SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

VMware SD-WAN のビジネスポリシー(基本編)

  1. ホーム
  2. 技術ブログ
  3. ネットワーク
  4. VMware SD-WAN のビジネスポリシー(基本編)
ネットワーク
2021.09.24
みなさま、こんにちは。
SB C&SでVMware SD-WAN の製品担当をしている、平田と申します。
このブログでは、VMware SD-WAN によるクラウドアプリケーションのトラフィックコントロールをコントロールするビジネスポリシーについてご説明いたします。

■はじめに

近年のデジタルトランスフォーメーションに先立ち、ネットワーク更改の際にインターネット接続へのボトルネック解消を検討されるお客様が増えております。
ちょうど先日お客様から、あるクラウドアプリケーションの対策として、"ローカルブレイクアウトを導入したい"との相談がありました。
このお客様は、現在インターネットバックホールによるインターネット接続をしており、クラウドアプリケーション利用による、ハブ拠点へのトラフィック集中によってボトルネック発生、これを解決したいとのことでした。
ローカルブレイクアウトは、クラウドアプリケーションなど外部のサービスを利用する際、「拠点から直接インターネット接続」する方式になります。
対する方式として、「ハブ拠点(データセンターなど)を経由してインターネット接続」する、インターネットバックホールがあげられます。
VMware SD-WANでは、ローカルブレイクアウトやインターネットバックホールのようなアプリケーショントラフィックのコントロールを、"ビジネスポリシー"という設定で実現しております。
今回はVMware SD-WAN ビジネスポリシーによるアプリケーショントラフィックコントロールを、ローカルブレイクアウト、インターネットバックホールを例に挙げてご紹介したいと思います。
 ※VMware SD-WANの概要についてはこちらの記事をご覧ください。


■図で見るローカルブレイクアウトとインターネットバックホール

ローカルブレイクアウト、インターネットバックホールの動きを下図に表します。
01.PNG
ネットワークの構成が、ハブ&スポークのトポロジーとなっているケースを例にしてご説明いたします。
ハブ拠点はデータセンター、スポーク拠点はオフィスをイメージしていただければと思います。
2拠点それぞれにVMware SD-WAN Edge(以降Edge)が配置され、インターネット回線に接続されており、拠点間は拠点間VPNが構成され、双方から疎通ができる状態になっています。
図のように、スポーク拠点の端末からインターネット接続を行うとき、
インターネットバックホールとローカルブレイクアウトでは、通信経路及びインターネットの出口に違いがあります。
ローカルブレイクアウトはスポーク拠点から直接インターネットへ接続し、ハブ拠点を経由せずインターネット接続することが可能となります。
インターネットバックホールの場合は、スポーク拠点からハブ拠点を経由し、ハブ拠点を発信元としてインターネットへ接続されます。
このようにインターネットバックホールから、ローカルブレイクアウトへトラフィックフローを変更することで、ハブ拠点のインターネット回線・設備で発生しうるトラフィックのボトルネックを解決することができます。

■設定で見るビジネスポリシー

ビジネスポリシーは、Edgeにデプロイされる設定のひとつであり、複数のポリシーが連なるルールセットになります。
そのひとつひとつのルールによって、アプリケーションのトラフィックコントロールを実現しております。スポーク拠点から発生するトラフィックをどのように識別し、インターネットバックホールとローカルブレイクアウトのどちらを適用するかといった設定は、ビジネスポリシーで行います。
それでは、ビジネスポリシーには、どのような設定項目があるかを見てみましょう。
02.PNG
ビジネスポリシーはマッチ条件(青枠)とアクション(赤枠)で構成されます。
マッチ条件(青枠)は、ビジネスポリシーを適用したいアプリケーションの定義です。
アクション(赤枠)は、トラフィックをどのような動きをするのか、を設定します。

●マッチ条件
Source(発信元)、Destination(発信先)、Application(アプリ)があり、それぞれを設定します。
初期値はすべて「Any」になっていますが、「Define」を選択すると展開され、
下図のようになります。
この条件に当てはまるトラフィックに対して、アクションが実行されます。
03.PNG
Source(発信元):①ラジオボタン(排他的)と②の設定値(任意)の組み合わせ
Destination(発信先):③ラジオボタン(排他的)と④の設定値(任意)の組み合わせ
Application(アプリ):⑤リストから選択(必須)
 ※空白は「Any」(すべて)と扱われます。
 ※Destination(発信先)は③の選択により、④の設定項目が変化します。

●アクション
マッチ条件の該当するトラフィックに対するアクションを設定します。
ビジネスポリシーのアクションには、アプリケーショントラフィックをコントロールする様々な設定(Priority、Network Service、Link Steering、NAT、Service Class)がありますが、
本ブログではトラフィックの宛先を指定する「Network Service」(緑枠)のみ説明します。
04.PNG

Network Serviceを見ると3つの選択があり、それぞれの動作は以下になります。
  • Direct
    トラフィックを WAN 回線から宛先に直接送信します。
05.PNG
  • Multi-Path
    トラフィックをEdgeから別のEdge(もしくはGateway) に送信します。
     ※Multi-Pathの説明について、今回は割愛させて頂きます。
     ※今回の登場はありませんが、拠点間通信は「Multi-Path」に設定します。
06.PNG
  • Internet Backhaul
    インターネット向けトラフィックを、Hubに指定したEdgeへ送信します。
     ※Internet Backhaulは、マッチ条件DestinationをInternetに設定した時に設定可能になります。
07.PNG

■設定例 Office365をローカルブレイクアウト

Office365をローカルブレイクアウトさせたい場合、下記のように簡単な設定で実現することができます。
Of365_lb.JPG
BP-Of365-lb2.JPG

■設定例 Webアクセスをインターネットバックホール

Webアクセスをインターネットバックホールさせたい場合、下記のような設定で実現することができます。
ローカルブレイクアウトと違い、インターネットバックホールの宛先となる「ハブ」を指定する必要があります。

Web_ib.JPG

BP-Web-IB2.JPG

■おわりに

今回は「VMware SD-WAN のビジネスポリシー(基本編)」と題し、ローカルブレイクアウト、インターネットバックホールを例に挙げ、VMware SD-WAN によるクラウドアプリケーションのトラフィックコントロールするビジネスポリシーについてご紹介しました。

このような複雑なトラフィックコントロールは、一般的なルーターでもポリシーベースルーティングを用いることで実現可能ですが、大変な複雑で難しく製品に精通している専門的なスキルが必要となります。

VMware SD-WANでは、『ビジネスポリシー』を利用することでシンプルで簡単な設定手順でルールを作成することができ、アプリケーションのトラフィックフローを定義することができます。

VMware SD-WANのビジネスポリシーは、企業が求める様々なトラフィック要求に対して、運用者のネットワーク運用を手助けする重要な機能であり、VMware SD-WAN の大きな魅力の一つです。


次回は応用編(仮)として、"ビジネスポリシーを使ったトラフィックフロー"の詳細について、ご説明していきたいと考えております。

本ブログでもVMware SD-WANに関する情報を積極的にお伝えしていきたいと思います。
もし、ご興味のある内容やご不明点などございましたら、弊社の担当営業までお問い合わせください。
※VMware SD-WANドキュメント(ビジネスポリシーの構成)

製品情報はこちら

VMware SD-WAN

著者紹介

SB C&S株式会社
ICT事業本部 技術本部 技術統括部
第1技術部 1課
平田 裕介 - Yusuke Hirata -

VMware vExpert

NW機器メーカ、SIerでインフラエンジニアの経歴を経て、SB C&Sに入社。
SIer時代にサーバ仮想化と出会い、人生が大きく変わる。

Related Posts

関連記事