セキュアで冗長な OAM ネットワーク
Contrail SD-WAN の導入には、セキュアな OAM オーバーレイ ネットワークが含まれており、オンプレミス デバイスと CSO 間のエンドツーエンドのセキュアな通信を実現します。 図 1 に示すように、専用の IPsec 暗号化 OAM トンネルにより、オンプレミス デバイスはネットワーク上のトラフィックをプロバイダ ハブに安全に送信し、管理、ルーティング、ロギングできます。その後、ハブはそのトラフィックをCSOに転送します。
ハブアンドスポーク方式および動的メッシュ導入トポロジーの両方のサイトでは、少なくとも 1 つのセキュアな OAM トンネルを使用する必要があります。これは、サイトのオンボーディング プロセスで OAM で使用する WAN リンクの 1 つを設定することで実現できます。
図 1 に示すように、少なくとも 2 つの WAN リンクを OAM として使用するように設定することをお勧めします。
ハブアンドスポークトポロジーでは、プロバイダハブサイトに接続する2つのセットがあります。これは、データを伝送するオーバーレイトンネルと、OAMトラフィックを伝送する個別の専用IPsecオーバーレイトンネルです( 図2を参照)。
通常の動的メッシュ トポロジーにはデータ トラフィック用のハブ デバイスが含まれていないため、セキュアな OAM トラフィック用にハブ デバイスを追加する必要があります。 図 3 に示すように、各スポーク サイトには新しい接続があります。これは、OAM トラフィックをプロバイダー ハブに伝送する個別の専用 IPsec オーバーレイ トンネルです。
OAM Provider Hub Design Options
設計要件に応じて、OAM ハブを実装する方法は 2 つあります。 図 4 に示すように、オプションは次のとおりです。
データトンネルとOAMトンネルは、同じプロバイダーハブデバイスで終端します。これは、単一のハブデバイスがデータとOAMトラフィックの両方を処理できる小規模な導入に適しています。
データトンネルとOAMトンネルは別々のプロバイダーハブデバイスで終端します。このオプションは、データトラフィックを運ぶオーバーレイトンネルにサービスを提供するためにメインハブデバイスのリソースが必要な大規模な導入に役立ちます。2つ目のハブデバイスを使用してOAMトンネルを終端できます。
図 4:OAM トンネル - プロバイダ ハブ設計オプションプロバイダ ハブ設計オプションに関する使用上の注意:
OAM プロバイダ ハブは、複数のテナントをサポートすることも、単一テナント専用にすることもできます。
プロバイダハブからCSOへの接続は、OAMトンネルでカバーされないため、プライベートで安全でなければなりません。
冗長性を確保するために複数の OAM プロバイダ ハブを実装し、オンプレミス デバイスの管理や監視を損失しないようにすることをお勧めします。
スポーク サイトが複数のハブ デバイスにマルチホームされている場合、1 つの OAM トンネルが各ハブで終端する必要があります。CSOには、マルチホーミングを設定し、2つのハブを指定する以外の設定は必要ありません。CSOは、各ハブデバイスで1つのOAMトンネルを自動的に終端します。
NAT の背後にあるオンプレミス デバイスは、ハブアンドスポーク方式と動的メッシュ導入に対応しています。