Contrail SD-WANの導入アーキテクチャ
SD-WANを実装することで、サイト間でトラフィックを柔軟かつ自動的にルーティングできます。 図1に示すように、基本的なSD-WANアーキテクチャには、いくつかの基本要素しか含まれていません
複数のサイト
アンダーレイ ネットワークを形成するサイト間の複数の接続
複数のオーバーレイトンネル
コントローラ
CSOに組み込まれているSD-WANコントローラーは、オーケストレーションレイヤーとして機能し、オペレーターがサイトでデバイスをセットアップおよび管理できるようにするインターフェイスを提供します。
Contrail SD-WANリファレンスアーキテクチャ
ジュニパーネットワークスContrail SD-WANソリューションアーキテクチャ( 図2 )では、ハブアンドスポークトポロジーを使用して CPEデバイスをお客様の支社サイトに配置しています。サイトのローカル側では、CPE デバイスは LAN セグメントに接続し、他の LAN デバイスとの動的ルーティング プロトコルに参加します。WAN 側では、CPE デバイスは 2 つ以上のリンクを介してプロバイダ ハブデバイスに接続します。SD-WAN モデルはハブアンドスポークトポロジーを使用するため、トラフィックはプロバイダーハブを介してサイト間を移動します。デフォルトでは、インターネットに向かうトラフィックもプロバイダ ハブデバイスを経由します。
SD-WANオーケストレータとコントローラの機能は、ジュニパーネットワークスのContrail Service Orchestration(CSO)ソフトウェアを介して実装されます。CSOプラットフォームは、ポリシーとSLAパラメーターを使用して、トラフィックフローを区別し、必要に応じて利用可能なパスに誘導します。
以下のセクションでは、これらのアーキテクチャ要素について詳しく説明します。
スポーク デバイス
企業のお客様のブランチサイトの CPE デバイスは、SD-WAN モデルのスポークデバイスとして機能します。デバイスはゲートウェイルーターとしても機能し、支社サイトからテナントネットワーク内の他のサイトやインターネットへの接続を提供します。スポーク デバイスには、オンプレミス スポークとクラウド スポークの 2 種類があります。
オンプレミス スポーク デバイス
オンプレミスのスポークデバイスは、NFXシリーズデバイスまたは特定のSRXシリーズファイアウォールのいずれかです。
NFXシリーズネットワークサービスプラットフォーム
オンプレミスのスポークデバイスとして使用されるNFXシリーズネットワークサービスプラットフォームは、さまざまなマルチベンダーVNFをホストし、サービスチェイニングをサポートし、クラウドのオーケストレーションソフトウェアによる管理を受けることができます。NFXシリーズデバイスは、お客様のサイトに複数の物理ネットワークデバイスを展開する際の運用の複雑さを解消し、従来の単一機能のCPEデバイスよりも大幅に改善されています。
NFXシリーズプラットフォームでサポートされている主なVNFは、vSRX仮想ファイアウォール仮想ファイアウォールです。Contrail SD-WAN ソリューションでは、ルーティング機能とスイッチング機能を備えた vSRX仮想ファイアウォール インスタンスがゲートウェイ ルーターの機能を実行します。また、標準的なSRXシリーズファイアウォールと同様の、機能豊富なセキュリティサービスも提供します。 表 1 は、オンプレミス スポーク デバイスとして実装できる NFXシリーズ ハードウェアを示しています。
NFX150には、他のNFXシリーズデバイスに見られるvSRX仮想ファイアウォール機能の代わりに、SRXファイアウォールが組み込まれています。
プラットホーム |
対応機種 |
|---|---|
NFX150ネットワークサービスプラットフォーム |
|
NFX250ネットワークサービスプラットフォーム |
|
SRXシリーズデバイスとvSRX仮想ファイアウォール仮想ファイアウォール
NFXシリーズプラットフォームの代わりに物理的なSRXシリーズセキュリティデバイスを使用し、サーバーにvSRX仮想ファイアウォールインスタンスをインストールする場合と同様に、ゲートウェイルーター機能を提供できます。 表2 は、オンプレミスのスポークデバイスとして実装できるSRXハードウェアとvSRX仮想ファイアウォール仮想ファイアウォールを示しています。
プラットホーム |
対応機種 |
|---|---|
SRX シリーズ |
|
vSRX仮想ファイアウォール仮想ファイアウォール |
vSRX仮想ファイアウォール vSRX仮想ファイアウォール3.0 |
CSO向けのハードウェアおよびソフトウェアサポートに関する最新情報については、『Contrail Service Orchestration Release Notes』を参照してください。
クラウド スポーク デバイス
Contrail SD–WAN クラウド スポーク デバイスは、vSRX仮想ファイアウォールの形式で、AWS VPC に配置できます。vSRX仮想ファイアウォールは、クラウドでスポークデバイスとして機能します。エンドポイントがオンラインになると、他のスポーク デバイスと同様に動作します。
スポークの冗長性
スポークサイトでは、2 つの冗長 CPE デバイスを使用して、デバイスやリンクの障害から保護することができます。詳細については、「回復性と高可用性」セクションを参照してください。『Contrail SD-WAN 設計およびアーキテクチャガイド』の
プロバイダーハブデバイス
Contrail SD–WAN ソリューションは、ダイナミック メッシュとハブアンドスポークの 2 つの導入トポロジ(このガイドで後述)をサポートしています。動的メッシュ展開では、各サイトには、他のサイトおよびエンタープライズ ハブデバイスに接続する CPE デバイスがあります。ハブアンドスポーク展開では、少なくとも 1 つのプロバイダー ハブデバイスと 1 つ以上のスポーク デバイスがあります。
プロバイダー ハブデバイスは、スポーク デバイスからの MPLS/GRE トンネルと IPsec トンネルの両方を終端します。
プロバイダーハブ
サービス プロバイダ(SP)環境では、サービス プロバイダはネットワーク内で プロバイダ ハブ デバイスをホストします。プロバイダ ハブデバイスは、ポイント オブ プレゼンス(POP)または接続ポイントとして機能します。通常は共有デバイスであり、仮想ルーティングおよび転送インスタンス(VRF)を使用して複数の顧客(テナント)にハブ機能を提供します。SP管理者とOpCo管理者はどちらもプロバイダハブデバイスを管理できますCSOaaS の場合、SP 管理者ロールは、ジュニパーネットワークスが cspadmin ユーザー(または同等のユーザー)として実行します。OpCo 管理者ロールは SP 管理者がユーザーに割り当てることができますが、OpCo 管理者には SP 管理者権限がありません表 3 は、CSO SD-WAN 環境でサポートされる Provider Hub デバイスの一覧です。
役割 |
サポートされているデバイスタイプ |
|---|---|
プロバイダーハブ |
|
CSO向けのハードウェアおよびソフトウェアサポートに関する最新情報については、『Contrail Service Orchestration Release Notes』を参照してください。
プロバイダーハブの冗長性
2 つの冗長プロバイダー ハブ デバイスを 1 つの POP で使用して、デバイスとリンクの障害から保護し、スポーク サイトにアップストリーム マルチホーミングを提供できます。詳細については、このガイドの「 回復性と高可用性 」トピックを参照してください。
Enterprise Hub サイトとデバイス
エンタープライズ ハブデバイスと呼ばれる特殊なタイプのスポーク デバイスは、オンプレミス スポーク サイトの CPE として展開できます。SRX1500、SRX4100、およびSRX4200デバイスがこの機能を果たせます。このように機能するスポーク サイトは、サイトの作成時にエンタープライズ ハブ サイトとして構成する必要があります。エンタープライズ ハブ サイトを作成すると、サイトの追加機能が開きます。
お客様のネットワーク上で、サイト間通信のアンカーポイントとして機能することができます。
お客様のネットワークの中央ブレイクアウトノードとして機能できます。
データセンター部門と呼ばれる専門部門があります。
LAN側のレイヤー3デバイスからBGPおよびOSPFルート(デフォルトルートを含む)をインポートすることで、データセンターのダイナミックLANセグメントをサポートします。
インテントベースのブレークアウトプロファイルにより、部門、アプリケーション、サイトなどに基づいて、きめ細かなブレイクアウト動作を作成できます。
エンタープライズ環境では、エンタープライズハブは顧客(テナント)が所有し、通常はエンタープライズデータセンター内に存在します。エンタープライズ ハブデバイスに接続できるのは、顧客のスポーク サイトのみです。OpCo 管理者とテナント管理者は、エンタープライズ ハブを管理できます。 表 4 は、CSO SD-WAN 環境でサポートされるエンタープライズ ハブ デバイスの一覧です。
役割 |
サポートされているデバイスタイプ |
|---|---|
エンタープライズ ハブ |
|
CSO向けのハードウェアおよびソフトウェアサポートに関する最新情報については、『Contrail Service Orchestration Release Notes』を参照してください。
アンダーレイ(物理)ネットワーク
アンダーレイ ネットワークには、SD-WAN 環境内のデバイス間の物理的な接続が含まれます。ネットワークのこの層は、顧客のLANセグメントを認識せず、オンプレミスデバイス間の到達性を提供するだけです。
図 3 は、ハブアンドスポーク方式の SD-WAN 導入のアンダーレイ ネットワークの例を示しています(詳細は動的メッシュの設定にも同様に適用されます)。各スポーク サイトには、通常、ハブ サイトへの複数のパスがあります。このケースでは、1つはプライベートMPLSクラウドを経由し、もう1つはインターネットを経由します。
各オンプレミス デバイス(またはサイト)は、OAM に使用できるサテライト リンクを含む、最大 4 つの WAN リンクを持つことができます。設定時に、CSOはデバイスのWAN向けインターフェイスをWAN_0からWAN_3として識別します。
以下の点に注意してください。
WANインターフェイスは、設計要件に従って、VLANタグ付きまたはタグなしを選択できます。
オンプレミスデバイスのインターネットに接続するインターフェイスは、異なるサービスプロバイダのネットワークに接続することができます。
WAN アクセスオプション
以下に示す各WANアクセスタイプは、ZTP、データ、またはOAMトラフィックに使用できます。すべてのリンクをデータトラフィックに同時に利用できます。
MPLS
イーサネット
LTE
手記:NFX250シリーズ デバイスでドングルを使用したLTE WANアクセスをサポート。
NFX150シリーズデバイスに組み込まれたインターフェイスを使用して、LTE WANアクセスがサポートされています。
LTE WANアクセスは、SRX300シリーズデバイスのスロット1にあるミニPIMを使用してサポートされています。
前述のすべての LTE インターフェイスは ZTP でサポートされています。
単一の CPE を使用したハブアンドスポーク型 SD–WAN 展開でのみサポートされます。
フルコーン型および制限型の NAT 導入がサポートされています。
デュアル CPE 構成はサポートされていません。
LTE APN設定は、ZTPプロセス中に設置地域に合わせてローカライズできます。
ADSL/VDSL(CSOリリース4.0.0以降のNFXシリーズデバイスでのWANリンクおよびZTPに対するADSL/VDSLサポート、およびCSOリリース5.2.0以降のSRX300シリーズサービスゲートウェイでのADSLサポート)
ブロードバンド
MPLS およびブロードバンド
サテライトリンク
WAN インターフェイス タイプ:データと OAM
WANインターフェイスは、主にユーザートラフィック(データ)の送受信に使用されます。WANインターフェイスの少なくとも1つは、管理(OAM)トラフィックにも使用する必要があります。OAMインターフェイスはCSOとの通信に使用され、CSOがオンプレミスのデバイスを管理できるようにします。
図 4 は、これら 2 つのインターフェイス タイプを示しています。
以下の点に注意してください。
オンプレミス デバイスの OAM インターフェイスは、CSO に到達できる必要があります。この接続は、CSOがオーケストレーションしたオーバーレイネットワークを使用して厳密に提供できます。このために、既存のアンダーレイ ネットワーク接続は必要ありません。CSOリリース5.0.1以降、CSOはオンプレミスデバイスのOAMインターフェイスのIPアドレスを自動的に選択します。これにより、CSO導入全体でアドレスが一意になり、ヒューマンエラーを防止できます。
WAN 経由の安全な通信を確保するために、オンプレミス デバイスが CSO への接続を開始します。
デバイス開始型接続は、中間 NAT デバイス間で機能します。
ユーザーおよびOAMデータ・インタフェースは、両方の機能に1つのIPアドレスを使用できます。
オーバーレイ(トンネル)ネットワーク
オーバーレイネットワークには、SD-WAN環境内のデバイス間の論理トンネル接続が含まれます。ネットワークのこの層は、顧客のLANセグメントを認識しており、サイト間で顧客のトラフィックを転送する役割を担います。
図 5 は、ハブアンドスポーク環境のオーバーレイネットワークを示しています。各スポーク サイトには、ハブ サイトにトラフィックを伝送するためのトンネルが 2 つあります。1 つはプライベート MPLS クラウドを経由し、もう 1 つはインターネットを経由します。
トンネルには、MPLSoGRE または MPLSoGREoIPsec の 2 つのカプセル化オプションがあります。CSOは導入プロセスの一環として、これらのトンネルを自動的にプロビジョニングして確立します。
オーバーレイ導入トポロジー
SD-WANソリューションは、ハブアンドスポーク型または動的メッシュ型の展開トポロジーをサポートします。動的メッシュトポロジーは、すべてのサイトが他のサイトに直接接続できるフルメッシュトポロジーに似ています。しかし、ダイナミックメッシュを使用すると、接続(トンネル)がオンデマンドで起動されるため、1つのサイトの継続的な負荷が軽減されます。単一のテナントで、ハブアンドスポークと動的メッシュの両方のトポロジーをサポートできます。
Hub and Spoke
ハブアンドスポーク トポロジーでは、 図 6 に示すように、すべてのスポーク サイトが少なくとも 1 つのハブ サイトに接続されます。スポーク サイトは、他のスポーク サイトと直接通信できません。
使用されるハブ サイトは、プロバイダー ハブ サイトまたはエンタープライズ ハブ サイトのいずれかです。エンタープライズ ハブ サイトが使用される場合、プロバイダー ハブ (存在する場合) はバックアップとしてのみ使用されます。このトポロジーは、アプリケーションとサービスがハブ・サイトに集中している場合に推奨されます。
Dynamic Mesh
ダイナミックメッシュトポロジーでは、 図7に示すように、参加サイト間のオーバーレイトンネルにより、サイト同士が直接通信できます。図はMPLSリンクでのDATA_AND_OAM接続を示していますが、WAN_0、この機能はMPLSリンクまたはインターネットリンクのいずれかで実行できます。
このトポロジーは、アプリケーションとサービスが一元化されていない展開に適しています。
ハブ・アンド・スポーク・トポロジとフル・メッシュ・トポロジの両方で、セキュアなOAMネットワーク・オーバーレイ、つまりOAMハブをデプロイメントに追加する必要があります。
スポーク デバイスが動的メッシュ トポロジーに追加される場合、サイトを構成する管理者は、各 WAN インターフェイスにメッシュ タグを割り当てる必要があります。メッシュタグが一致する2つのデバイスのみが、通信を許可するVPN 接続を形成できます。メッシュタグが一致しないインターフェイスは、直接通信できません。
オーケストレーションと制御
オーケストレーションとコントローラの機能は、ジュニパーのContrail Service Orchestration(CSO)ソフトウェアを介して実装されます。 図8に示すように、CSOソフトウェアは、SD-WAN環境を管理するためのWebベースのUIを提供します。 図8 はサンプル画像であり、その上のCSOバージョン番号は参照用です。
サービス オーケストレーション レイヤーには、ネットワーク サービス オーケストレーター (NSO) が含まれています。オーケストレーションソフトウェアは、すべてのリソースのグローバルなビューを持ち、テナント管理を可能にし、エンドツーエンドのトラフィックオーケストレーション、可視化、監視を提供します。ドメインオーケストレーション層には、ネットワークサービスコントローラー(NSC)が含まれています。オーケストレーションソフトウェアは、コントローラと連携してオンプレミス(CPE)デバイスを管理し、トポロジーとCPEライフサイクル管理機能を提供します。
ユーザーレベルでは、CSOはNSCを通じてSD-WANネットワーク内のデバイスを展開、管理、監視するためのインターフェイスを提供します。ネットワークレベルでは、NSC には、各サイトがリモートサイトにローカルルートをアドバタイズできるようにする vRR が含まれています。
セキュアなOAMネットワーク
SD-WANの導入には、オンプレミスデバイスとCSO間のエンドツーエンドのセキュアな通信を提供する、セキュアなOAMオーバーレイネットワークが含まれます。CSOaaS の場合、これはサービスの一部として自動的に提供されます。
図9に示すように、専用のIPsecで暗号化されたOAMトンネルを使用すると、オンプレミスデバイスは、管理、ルーティング、ロギングトラフィックをネットワーク経由でプロバイダーハブに安全に送信できます。その後、プロバイダーハブはトラフィックをCSOに転送します。
展開トポロジとの統合
ハブ・アンド・スポーク・デプロイメント・トポロジーと動的メッシュ・デプロイメント・トポロジーの両方で、セキュアなOAMトンネルを使用する必要があります。
ハブアンドスポーク
ハブアンドスポーク トポロジでは、図 10 に示すように、各スポーク サイトは、プロバイダー ハブ サイトへの 2 つの接続セット (データを伝送するオーバーレイ トンネルと、OAM トラフィックを伝送する個別の専用 IPsec オーバーレイ トンネル) を持つようになります。
におけるOAMトンネル
ダイナミックメッシュ
通常のフル・メッシュ・トポロジーにはデータ・トラフィック用のハブデバイスが含まれていないため、追加する必要があります。 図 11 に示すように、各スポーク サイトには新しい接続、つまり OAM トラフィックをプロバイダー ハブに伝送する個別の専用 IPsec オーバーレイ トンネルがあります。
のOAMトンネル
OAMハブの設計オプション
オンプレミスCSO導入にOAMハブを実装するには、設計要件に応じて2つの方法があります。 図 12 に示すように、オプションは次のとおりです。
データトンネルとOAMトンネルは、同じプロバイダハブデバイスで終端する:単一のハブデバイスでデータとOAMトラフィックの両方を処理できる小規模な導入に適したオプションです。
データ トンネルと OAM トンネルは別々のプロバイダー ハブ デバイスで終端する - このオプションは、データ トラフィックを伝送するオーバーレイ トンネルを処理するためにメイン ハブデバイス のリソースが必要な大規模な展開に役立ちます。2台目のハブデバイスを使用して、OAMトンネルを終端できます。
図12: OAMトンネル - プロバイダハブの設計オプション
CSOaaSの場合、OAMハブはサービスの一部として提供されます。
ただし、OpCo管理者はDATA_ONLYまたはOAM_AND_DATAハブをデプロイできます。DATA_ONLYハブの場合、DATAハブにはOAM_HUBへのIPsecで保護されたトンネルがあります。OAM_AND_DATAハブの場合、OpCo管理者は、OAM_AND_DATAハブとCSOの間にIPsecで保護された接続を設定する必要があります。
プロバイダーハブの設計オプションの使用上の注意
OAMハブは、複数のテナントをサポートすることも、1つのテナント専用にすることもできます。
プロバイダハブからCSOへの接続は、OAMトンネルでカバーされていないため、プライベートで保護する必要があります。
冗長性を確保し、オンプレミス デバイスの管理または監視が失われないようにするために、複数の OAM ハブを実装することをお勧めします。
CSOaaSの場合、OAMハブの冗長性はサービスの一部です。
スポーク・サイトが複数のハブ・デバイスにマルチホームされている場合、各ハブで1つのOAMトンネルを終端する必要があります。
NAT を使用するオンプレミス デバイスは、ハブアンドスポーク展開でサポートされます。
ゼロタッチプロビジョニング
Contrail SD-WAN ソリューションの主な機能の 1 つは、ZTP(自動インストール)を使用して新しいスポーク デバイスを「プラグアンドプレイ」できることです。以下は、ZTP 中に実行される手順の概要です。
CSOのオンプレミスバージョンを実装する場合は、ZTPを実行する前に、適切なCSO SSL 証明をリダイレクトサーバーに追加する必要があります。
手記:クラウド配信バージョンのCSOを展開する場合は、ジュニパーネットワークスがリダイレクトサーバーを設定します。
スポーク デバイスが最初にオンラインになると、ローカル DHCP サーバーを使用して IP アドレスとネーム サーバー情報を取得します。
その後、スポーク デバイスはリダイレクト サーバーに接続します。これにより、CSO インストール用の DNS名と証明書が提供されます。
次に、スポーク デバイスは CSO サーバーに接続して、初期設定と Junos OS ソフトウェア アップデート(必要な場合)を取得します。
CSO リリース 4.1 以降では、ZTP に必要な帯域幅を 2 Mbps に削減する機能拡張が含まれています。
ZTP の使用上の注意
デバイスのWANインターフェイスの少なくとも1つに、DHCPサーバーからIPアドレスを取得して、DNS名サーバーとデフォルトルートを割り当てる必要があります。
CSOとリダイレクトサーバーの両方が、同じWANインターフェイスで到達できる必要があります。
ZTP プロセスは、サテライトリンクを含む、スポークデバイス上の任意の WAN インターフェイスから実行できます。
初期設定のダウンロードには、設定とJunos OSソフトウェアのサイズにより、特に低速リンクでは、かなりの時間がかかる場合があります。
リダイレクトサーバー
リダイレクトサーバーは、インターネットに配置され、ジュニパーが所有および管理するサーバーで、ZTPプロセスに不可欠です。サーバーにより、各スポーク デバイスは、指定された CSO インスタンスを見つけて認証できます。リダイレクト サーバーのサポートを得て、スポーク デバイスは CSO に接続し、Junos OS ソフトウェア アップデート(必要な場合)を含む初期設定を受け取ることができます。
CSO のオンプレミス展開の場合、管理者はスポーク デバイスの WAN ポートがインターネットとリダイレクト サーバーの両方に接続するように設定します。クラウド型のCSOの場合、この構成はジュニパーネットワークスが代行します。
図 13 では、リダイレクト サーバーと CSO の両方がインターネット上にあります。スポークデバイスは、インターネットに面したインターフェイスから提供されるIPアドレッシングやその他の情報を取得して使用し、同じWANインターフェイスを介してリダイレクトサーバーとCSOの両方にアクセスできます。
上の CSO とリダイレクト サーバー
Contrail SD-WAN のサービス チェイニング
CSOリリース4.0以降、SD-WAN環境でサービスチェイニングを使用できます。サービスチェイニングとは、ソフトウェアでインスタンス化され、x86ハードウェア上で動作する複数のネットワークサービスを、エンドツーエンドでリンクまたはチェイニングするという概念です。これにより、通常は複数のデバイスによって提供されるサービスを、1つの物理デバイスで提供できます。サービスチェイニングは、NFXシリーズデバイス上で実行できます( 図14を参照)。
CSOリリース4.0以降、 Fortigate-VM と Single-legged Ubuntu VMのサードパーティ仮想ネットワーク機能(VNF)がサポートされます。
現在、SD-WAN サービスチェーンでは、レイヤー 2 VNF モードのみがサポートされています。
3 つの平面、4 つのレイヤー
上記のすべての要素をまとめるために、Contrail SD-WAN アーキテクチャは、4 つの機能レイヤーから構成される 3 つのプレーンから考えることができます。
データプレーン:
アンダーレイ ネットワークを含みます。物理的な接続を提供
オーバーレイネットワークを含みます。テナントデータトラフィック用のトンネルを提供
コントロールプレーン—OAMトンネルを通過するルーティングプロトコルが含まれます
管理プレーン—セキュアなOAMネットワーク用のオーバーレイトンネルが含まれます
図 15 は、この概念を示しています。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。