Contrail SD-WAN 導入アーキテクチャ
SD-WANの実装により、サイト間のトラフィックをルーティングするための柔軟で自動化された方法が提供されます。 図 1 に示すように、基本的な SD-WAN アーキテクチャには、
複数サイト
アンダーレイ ネットワークを形成するサイト間の複数の接続
複数のオーバーレイ トンネル
コントローラ
CSOに組み込まれたSD-WANコントローラは、オーケストレーションレイヤーとして機能し、インターフェイスを提供し、オペレーターはサイトのデバイスを設定および管理できます。
Contrail SD-WAN リファレンス アーキテクチャ
図 2 に示すジュニパーネットワークスの Contrail SD-WAN ソリューション アーキテクチャでは、ハブアンドスポーク方式トポロジーを使用し、CPE デバイスは顧客の支社サイトに配置されています。サイトのローカル側では、CPE デバイスは LAN セグメントに接続し、他の LAN デバイスと動的ルーティング プロトコルに参加します。WAN側では、CPEデバイスは2つ以上のリンクを介してプロバイダハブデバイスに接続します。SD-WAN モデルはハブアンドスポーク方式トポロジーを使用するため、トラフィックはサイト間をプロバイダ ハブを経由して移動します。デフォルトでは、インターネットに向かうトラフィックもプロバイダハブデバイスを通って流れます。
SD-WAN オーケストレータとコントローラ機能は、ジュニパーネットワークス Contrail Service Orchestration(CSO)ソフトウェアを通じて実装されます。CSOプラットフォームは、ポリシーとSLAパラメーターを使用して、利用可能なパス間でトラフィックフローを差別化し、指示します。
次のセクションでは、これらのアーキテクチャ要素について詳しく説明します。
スポークデバイス
顧客企業の支社/拠点サイトの CPE デバイスは、SD-WAN モデルのスポーク デバイスとして機能します。デバイスはゲートウェイ ルーターとしても機能し、ブランチ サイトからテナント ネットワーク内の他のサイト、インターネットへの接続を提供します。スポーク デバイスには、オンプレミス スポークとクラウド スポークの 2 種類があります。
オンプレミスのスポークデバイス
オンプレミスのスポーク デバイスは、NFX シリーズ デバイスまたは特定の SRX シリーズ デバイスのいずれかです。
NFX シリーズ ネットワーク サービス プラットフォーム
オンプレミスのスポーク デバイスとして使用される NFX シリーズ ネットワーク サービス プラットフォームは、さまざまなマルチベンダー VNF のホスト、サービス チェイニングのサポート、クラウドのオーケストレーション ソフトウェアによる管理が可能です。NFX シリーズ デバイスは、顧客サイトに複数の物理ネットワーク デバイスを導入する際の運用上の複雑さを解消し、従来の単一機能の CPE デバイスよりも大幅に向上します。
NFX シリーズ プラットフォームでサポートされている主な VNF は、vSRX 仮想ファイアウォールです。Contrail SD-WAN ソリューションでは、ルーティングおよびスイッチング機能を備えた vSRX インスタンスが、ゲートウェイ ルーター機能を実行します。また、標準の SRX シリーズ デバイスと同じ機能豊富なセキュリティ サービスも提供します。 表 1 は、オンプレミスのスポーク デバイスとして実装できる NFX シリーズ ハードウェアを示しています。
NFX150 は、他の NFX シリーズ デバイスに搭載されている vSRX 機能に代えて、SRX ファイアウォールが組み込まれています。
プラットフォーム |
対応モデル |
|---|---|
NFX150ネットワークサービスプラットフォーム |
|
NFX250ネットワークサービスプラットフォーム |
|
SRX シリーズ デバイスと vSRX 仮想ファイアウォール
NFX シリーズ プラットフォームの代わりに物理 SRX シリーズ セキュリティ デバイスを使用して、サーバーに vSRX インスタンスをインストールする場合と同様に、ゲートウェイ ルーターを機能させることができます。 表 2 は、オンプレミスのスポーク デバイスとして実装できる SRX ハードウェアと vSRX 仮想ファイアウォールを示しています。
プラットフォーム |
対応モデル |
|---|---|
SRXシリーズ |
|
vSRX 仮想ファイアウォール |
vSRX vSRX 3.0 |
CSO のハードウェアおよびソフトウェア サポートに関する最新情報については、Contrail Service Orchestration リリース ノートを参照してください。
クラウド スポーク デバイス
Contrail SD-WAN クラウド スポーク デバイスは、vSRX の形で AWS VPC に配置できます。vSRXはクラウドのスポークデバイスとして機能します。エンドポイントがオンラインになると、他のスポークデバイスと同様に動作します。
スポークの冗長性
スポーク サイトでは、デバイスとリンクの障害から保護するために、冗長 CPE デバイスを 2 台使用できます。詳細については、「耐障害性と高可用性」セクションを参照してください。 『Contrail SD-WAN Design and Architecture Guide』のガイドをご覧ください。
プロバイダ ハブ デバイス
Contrail SD-WAN ソリューションは、ダイナミック メッシュとハブアンドスポークという 2 つの導入トポロジーをサポートします(このガイドの後半で説明)。動的メッシュ導入では、各サイトには他のサイトとエンタープライズ ハブ デバイスに接続する CPE デバイスがあります。ハブアンドスポーク方式の導入では、少なくとも1つのプロバイダーハブデバイスと1つ以上のスポークデバイスがあります。
プロバイダ ハブ デバイスは、スポーク デバイスからの MPLS/GRE および IPsec トンネルの両方を終端します。
プロバイダ ハブ
サービス プロバイダ(SP)環境では、サービス プロバイダは自社のネットワーク内で プロバイダ ハブ デバイスをホストします。プロバイダハブデバイスは、ポイントオブプレゼンス(POP)または接続ポイントとして機能します。通常は共有デバイスで、仮想ルーティングおよび転送インスタンス(VRF)を使用して複数の顧客(テナント)にハブ機能を提供します。SP 管理者と OpCo 管理者はどちらもプロバイダ ハブ デバイスを管理できます。CSOaaS の場合、SP 管理者ロールはジュニパーネットワークスによって cspadmin ユーザー(または同等)として実行されます。OpCo管理者ロールは、SP管理者がユーザーに割り当てることはできますが、OpCo管理者にはSP管理者権限はありません。表 3 は、CSO SD-WAN 環境でサポートされているプロバイダ ハブ デバイスを示しています。
役割 |
サポートされているデバイス タイプ |
|---|---|
プロバイダ ハブ |
|
CSO のハードウェアおよびソフトウェア サポートに関する最新情報については、Contrail Service Orchestration リリース ノートを参照してください。
プロバイダ ハブ冗長性
1つのPOPで2つの冗長プロバイダーハブデバイスを使用して、デバイスとリンクの障害から保護し、スポークサイトにアップストリームのマルチホーミングを提供できます。詳細については、このガイドの 「耐障害性と高可用性」 トピックを参照してください。
エンタープライズハブのサイトとデバイス
エンタープライズ ハブ デバイスと呼ばれる特別なタイプのスポーク デバイスは、オンプレミスのスポーク サイトで CPE として導入できます。SRX1500、SRX4100、SRX4200のデバイスは、この機能を提供できます。このように機能するスポーク サイトは、サイト作成時にエンタープライズ ハブ サイトとして構成する必要があります。エンタープライズ ハブ サイトを作成すると、サイトの追加機能が開きます。
顧客のネットワーク上のサイト間通信のアンカー ポイントとして機能します。
顧客のネットワークの中央ブレークアウト ノードとして機能します。
データセンター部門と呼ばれる専門 部署を提供しています。
LAN側のレイヤー3デバイスからのデフォルトルートを含む、BGPおよびOSPFルートインポートによるデータセンターの動的LANセグメントをサポートします。
インテントベースのブレークアウトプロファイルを使用して、部門、アプリケーション、サイトなどをベースにしたきめ細かいブレークアウト動作を作成できます。
エンタープライズ環境では、エンタープライズ ハブは顧客(テナント)が所有し、通常はエンタープライズ データ センター内に存在します。顧客のスポーク サイトのみがエンタープライズ ハブ デバイスに接続できます。OpCo管理者とテナント管理者は、エンタープライズハブを管理できます。 表4 は、CSO SD-WAN環境でサポートされているエンタープライズハブデバイスを示しています。
役割 |
サポートされているデバイス タイプ |
|---|---|
エンタープライズハブ |
|
CSO のハードウェアおよびソフトウェア サポートに関する最新情報については、Contrail Service Orchestration リリース ノートを参照してください。
アンダーレイ(物理)ネットワーク
アンダーレイネットワークには、SD-WAN環境のデバイス間の物理的な接続が含まれています。ネットワークのこのレイヤーは、顧客の LAN セグメントを認識することができず、オンプレミス デバイス間の到達可能性を提供するだけです。
図 3 は、ハブアンドスポーク方式 SD-WAN 導入のアンダーレイ ネットワークの例を示しています(詳細は動的メッシュ設定にも同様に適用されます)。各スポーク サイトには通常、ハブ サイトへの複数のパスがあります。この場合、プライベートMPLSクラウドを介して1つ、インターネットを介して1つを使用します。
各オンプレミス デバイス(またはサイト)には、OAM に使用できるサテライト リンクを含む、最大 4 つの WAN リンクを持つことができます。設定中に、CSOはデバイスのWANに面したインターフェイスをWAN_3を通じてWAN_0として識別します。
以下の点に注意してください。
WANインターフェイスは、設計要件に応じて、VLANタグ付きまたはタグなしを選択できます。
オンプレミスデバイスのインターネットに面したインターフェイスは、異なるサービスプロバイダネットワークに接続できます。
WANアクセスオプション
以下に示す各 WAN アクセス タイプは、ZTP、データ、または OAM トラフィックに使用できます。すべてのリンクをデータ トラフィックに同時に活用できます。
Mpls
イーサネット
Lte
メモ:NFX250シリーズデバイスのドングルを使用してサポートされているLTE WANアクセス。
NFX150 シリーズ デバイスの組み込みインターフェイスを使用してサポートされる LTE WAN アクセス。
SRX300 シリーズ デバイスのスロット 1 で Mini-PIM を使用してサポートされる LTE WAN アクセス。
前述の LTE インターフェイスはすべて ZTP でサポートされています。
単一の CPE を使用した Hub-and-Spoke SD-WAN の導入でのみサポートされます。
フルコーンおよび制限付き NAT 導入がサポートされます。
デュアル CPE 設定はサポートされていません。
LTE APN 設定は、ZTP プロセス中にインストールリージョンに対してローカライズできます。
ADSL/VDSL(CSO リリース 4.0.0 以降の NFX シリーズ デバイスで WAN リンクと ZTP をサポート、CSO リリース 5.2.0 以降の SRX300 シリーズ サービス ゲートウェイでの ADSL サポート)
ブロード バンド
MPLS とブロードバンド
サテライト リンク
WANインターフェイスタイプ - データとOAM
WANインターフェイスは、主にユーザートラフィック(データ)の送受信に使用されます。少なくとも1つのWANインターフェイスを管理(OAM)トラフィックにも使用する必要があります。OAM インターフェイスは CSO と通信するために使用され、CSO はオンプレミス デバイスを管理できます。
図 4 は、 これら 2 つのインターフェイス タイプを示しています。
以下の点に注意してください。
オンプレミスデバイスのOAMインターフェイスがCSOに到達できる必要があります。接続は、CSOオーケストレーションされたオーバーレイネットワークを使用して厳密に提供できます。そのため、既存のアンダーレイネットワーク接続は必要ありません。CSOリリース5.0.1以降、CSOはオンプレミスデバイスのOAMインターフェイスのIPアドレスを自動的に選択します。これにより、CSO導入全体でアドレスが一意になり、ヒューマンエラーを防ぐことができます。
WAN上でセキュアな通信を確保するために、オンプレミスデバイスがCSOへの接続を開始します。
デバイスが開始する接続は、中間 NAT デバイス間で動作します。
ユーザーおよび OAM データ インターフェイスは、両方の機能に単一の IP アドレスを使用できます。
オーバーレイ(トンネル)ネットワーク
オーバーレイネットワークには、SD-WAN環境のデバイス間の論理トンネル接続が含まれています。ネットワークのこのレイヤーは、顧客の LAN セグメントを認識し、サイト間で顧客のトラフィックを転送する役割を担います。
図 5 は、ハブアンドスポーク環境のオーバーレイ ネットワークを示しています。各スポーク サイトには、ハブ サイトにトラフィックを伝送するための 2 つのトンネルがあります。1 つはプライベート MPLS クラウドを経由し、もう 1 つはインターネット経由です。
トンネルには、MPLSoGRE または MPLSoGREoIPsec という 2 つのカプセル化オプションがあります。CSOは、導入プロセスの一環として、これらのトンネルを自動的にプロビジョニングして確立します。
オーバーレイ導入トポロジー
SD-WANソリューションは、ハブアンドスポークまたはダイナミックメッシュの導入トポロジーをサポートします。動的メッシュ トポロジーはフルメッシュ トポロジーと似ています。各サイトは他のサイトに直接接続できます。しかし、ダイナミックメッシュでは、接続(トンネル)がオンデマンドで起動するため、1つのサイトでの継続的な負荷が軽減されます。1 つのテナントで、ハブアンドスポーク方式と動的メッシュトポロジーの両方をサポートできます。
Hub and Spoke
ハブアンドスポークトポロジーでは、 図6に示すように、すべてのスポークサイトが少なくとも1つのハブサイトに接続されています。スポーク サイトは他のスポーク サイトと直接通信できません。
使用するハブ サイトは、プロバイダ ハブ サイトとエンタープライズ ハブ サイトのどちらかです。エンタープライズ ハブ サイトを使用する場合は、プロバイダー ハブ (存在する場合) がバックアップとしてのみ使用されます。このトポロジーは、アプリケーションとサービスがハブ サイトで一元化されている場合に優先されます。
Dynamic Mesh
ダイナミック メッシュ トポロジーでは、参加するサイト間のオーバーレイ トンネルにより、 図 7 に示すようにサイト間で直接通信できます。図は MPLS リンクのDATA_AND_OAM接続を示していますが、WAN_0、この機能は MPLS リンクまたはインターネット リンクで実行できます。
このトポロジーは、アプリケーションとサービスが一元化されていない導入に適しています。
ハブアンドスポーク方式とフルメッシュトポロジーの両方で、セキュアなOAMネットワークオーバーレイ、つまりOAM Hubを導入に追加する必要があります。
スポーク デバイスをダイナミック メッシュ トポロジーに追加する場合、サイトを構成する管理者は各 WAN インターフェイスにメッシュ タグを割り当てる必要があります。VPN 接続を形成できるのは、メッシュ タグが一致するデバイス 2 台のみで、通信を許可します。メッシュタグが一致しないインターフェイスは、直接通信することはできません。
オーケストレーションと制御
オーケストレーションとコントローラ機能は、ジュニパーのContrail Service Orchestration(CSO)ソフトウェアを通じて実装されます。 図 8 に示すように、CSO ソフトウェアは、SD-WAN 環境を管理する Web ベースの UI を提供します。 図 8 はサンプル イメージであり、その上の CSO バージョン番号は参考用です。
サービス オーケストレーション レイヤーには、ネットワーク サービス オーケストレータ(NSO)が含まれています。オーケストレーションソフトウェアは、すべてのリソースをグローバルに可視化し、テナント管理を可能にし、エンドツーエンドのトラフィックオーケストレーション、可視化、監視を提供します。ドメイン オーケストレーション レイヤーには、ネットワーク サービス コントローラ(NSC)が含まれています。オーケストレーション ソフトウェアはコントローラと連携してオンプレミス(CPE)デバイスを管理し、トポロジーと CPE ライフサイクル管理機能を提供します。
ユーザーレベルでは、CSOはNSCを介してSD-WANネットワーク内のデバイスを導入、管理、監視するためのインターフェイスを提供します。ネットワークレベルでは、NSCには、各サイトがリモートサイトにローカルルートをアドバタイズできるvRRが含まれています。
セキュアな OAM ネットワーク
SD-WANの導入には、セキュアなOAMオーバーレイネットワークが含まれており、オンプレミスデバイスとCSO間のエンドツーエンドのセキュアな通信を提供します。CSOaaSの場合、これはサービスの一部として自動的に提供されます。
図 9 に示すように、専用の IPsec 暗号化 OAM トンネルにより、オンプレミス デバイスはネットワーク上のトラフィックをプロバイダ ハブに安全に送信し、管理、ルーティング、ロギングできます。次に、プロバイダハブはトラフィックをCSOに転送します。
導入トポロジーとの統合
ハブアンドスポーク方式と動的メッシュ導入トポロジーの両方で、セキュアなOAMトンネルを使用する必要があります。
ハブアンドスポーク
ハブアンドスポークトポロジーでは、プロバイダハブサイトに接続する2つのセットがあります。これは、データを伝送するオーバーレイトンネルと、OAMトラフィックを伝送する個別の専用IPsecオーバーレイトンネルです( 図10)。
の OAM トンネル
ダイナミック メッシュ
通常のフルメッシュ トポロジーにはデータ トラフィック用のハブ デバイスが含まれていないため、1 つを追加する必要があります。 図 11 に示すように、各スポーク サイトには新しい接続があります。これは、OAM トラフィックをプロバイダー ハブに伝送する個別の専用 IPsec オーバーレイ トンネルです。
の OAM トンネル
OAM ハブ設計オプション
設計要件に応じて、オンプレミスCSO導入にOAMハブを実装する方法は2つあります。 図 12 に示すように、オプションは次のとおりです。
データトンネルとOAMトンネルは、同じプロバイダーハブデバイスで終了します。これは、単一のハブデバイスがデータとOAMトラフィックの両方を処理できる小規模な導入に適しています。
データおよび OAM トンネルは別々のプロバイダ ハブ デバイスで終端します。このオプションは、データ トラフィックを運ぶオーバーレイ トンネルにサービスを提供するためにメイン ハブ デバイスのリソースが必要な大規模な導入に役立ちます。2つ目のハブデバイスを使用してOAMトンネルを終端できます。
図 12:OAM トンネル - プロバイダ ハブ設計オプション
CSOaaS の場合、OAM ハブがサービスの一部として提供されます。
ただし、OpCo管理者は、DATA_ONLYまたはOAM_AND_DATAハブを導入できます。DATA_ONLYハブの場合、DATAハブにはOAM_HUBへのIPsecセキュアトンネルがあります。OAM_AND_DATAハブの場合、OpCo管理者は、OAM_AND_DATA HUBとCSO間のIPsecセキュア接続を設定する必要があります。
プロバイダ ハブ設計オプションに関する使用上の注意
OAMハブは、複数のテナントをサポートすることも、単一テナント専用にすることもできます。
プロバイダハブからCSOへの接続は、OAMトンネルでカバーされないため、プライベートで安全でなければなりません。
冗長性を確保するために複数の OAM ハブを実装し、オンプレミス デバイスの管理や監視を損失しないようにすることをお勧めします。
CSOaaS の場合、OAM ハブの冗長性はサービスの一部です。
スポーク サイトが複数のハブ デバイスにマルチホームされている場合、1 つの OAM トンネルが各ハブで終端する必要があります。
NAT を使用したオンプレミス デバイスは、ハブアンドスポーク方式の導入でサポートされています。
ゼロタッチプロビジョニング
Contrail SD-WAN ソリューションの主な機能の 1 つは、ZTP(自動インストール)を使用して新しいスポーク デバイスを「プラグ アンド プレイ」できることです。ZTP 時に実行されるステップの概要を以下に示します。
オンプレミスバージョンのCSOを実装する場合、ZTPを実行する前に、適切なCSO SSL証明書をリダイレクトサーバーに追加する必要があります。
メモ:クラウド配信バージョンのCSOを展開する場合、ジュニパーネットワークスはリダイレクトサーバーを設定します。
スポーク デバイスが最初にオンラインになると、ローカル DHCP サーバーを使用して IP アドレスとネーム サーバー情報を取得します。
そして、スポーク デバイスはリダイレクト サーバーに接続し、CSO インストール用の DNS 名と証明書を提供します。
次に、スポーク デバイスが CSO サーバーに接続し、初期設定と Junos OS ソフトウェアの更新(必要な場合)を取得します。
CSO リリース 4.1 以降では、ZTP に必要な帯域幅を 2 Mbps に減らす拡張機能が含まれています。
ZTPの使用上の注意
デバイスの WAN インターフェイスの少なくとも 1 つは、DNS ネーム サーバーとデフォルト ルートを割り当てるために、DHCP サーバーから IP アドレスを取得する必要があります。
CSOとリダイレクトサーバーの両方が、同じWANインターフェイス上で到達可能である必要があります。
ZTP プロセスは、サテライト リンクを含め、スポーク デバイス上の任意の WAN インターフェイスから実行できます。
初期設定のダウンロードには、特に低速リンクでは、設定とJunos OSソフトウェアのサイズにより、かなりの時間が必要となる場合があります。
リダイレクト サーバー
リダイレクトサーバーは、インターネットに配置され、ジュニパーが所有し、管理するサーバーであり、ZTPプロセスに不可欠です。サーバーにより、各スポークデバイスは、指定されたCSOインスタンスを特定して認証できます。リダイレクト サーバーの支援を得て、スポーク デバイスは CSO に接続し、Junos OS ソフトウェアの更新(必要な場合)などの初期設定を受け取ることができます。
CSOのオンプレミス導入では、管理者がインターネットとリダイレクトサーバーの両方に接続するように、スポークデバイス上のWANポートを設定します。クラウド型CSOの場合、ジュニパーネットワークスはこの設定を処理します。
図 13 では、リダイレクト サーバーと CSO の両方がインターネットにあります。スポーク デバイスは、IP アドレッシングやその他のインターネット対応インターフェイスを介して提供される情報を取得して使用し、同じ WAN インターフェイスを介してリダイレクト サーバーと CSO の両方に到達できます。
Contrail SD-WAN のサービス チェイニング
CSOリリース4.0以降、サービスチェイニングはSD-WAN環境で使用できます。サービスチェイニングとは、ソフトウェアでインスタンス化され、x86ハードウェア上で実行される複数のネットワークサービスがエンドツーエンドでリンクされるか、連鎖するという概念です。これにより、1台の物理デバイスが通常複数のデバイスによって提供されるサービスを提供できます。サービスチェイニングは、 図14に示すように、NFXシリーズデバイスで実行できます。
でのサービス チェイニング
CSO リリース 4.0 以降、 Fortigate-VM と シングルレッグ型 Ubuntu VM は、以下のサードパーティー製 VNF(仮想ネットワーク機能)に対応しています。
現在、SD-WAN サービス チェーンではレイヤー 2 VNF モードのみがサポートされています。
3 つのプレーン、4 つのレイヤー
上記の要素をすべて統合するために、Contrail SD-WAN アーキテクチャは 4 つの機能レイヤーで構成される 3 つのプレーンで考えることができます。
データ プレーン:
アンダーレイネットワークを含みます。物理接続を提供
オーバーレイネットワークを含みます。テナントデータトラフィックのトンネルを提供します
制御プレーン—OAM トンネルを通過するルーティング プロトコルが含まれます。
管理プレーン — セキュアな OAM ネットワーク用のオーバーレイ トンネルが含まれます。
図 15 は、 この概念を示しています。
