SD-WAN のサイトとデバイスを理解する
Contrail Service Orchestration(CSO)では、SD-WANデバイスにはスポークデバイスとハブデバイスの2つのカテゴリーがあります。これらは、以下のセクションで説明します。
スポークデバイス
顧客企業の支社/拠点サイトの CPE デバイスは、SD-WAN モデルのスポーク デバイスとして機能します。デバイスはゲートウェイ ルーターとしても機能し、支社/拠点サイトからテナント ネットワーク内の他のサイトやインターネットへの接続を提供します。スポーク デバイスには、オンプレミス スポークとクラウド スポークの 2 種類があります。
オンプレミスのスポークデバイス
オンプレミスのスポーク デバイスは、NFX シリーズ デバイスまたは特定の SRX シリーズ デバイスのいずれかです。
NFX シリーズ ネットワーク サービス プラットフォーム
オンプレミスのスポーク デバイスとして使用される NFX シリーズ ネットワーク サービス プラットフォームは、さまざまなマルチベンダー VNF をホストし、クラウドのオーケストレーション ソフトウェアで管理されるサービス チェイニングをサポートできる点で、従来の CPE デバイスとは異なります。NFX シリーズ デバイスは、顧客サイトに複数の物理ネットワーク デバイスを導入する際の運用の複雑さを解消します。
NFX シリーズ プラットフォームでサポートされている主な VNF は、vSRX 仮想ファイアウォールです。CSO SD-WANソリューションでは、ルーティングとスイッチング機能を考えると、vSRXインスタンスはゲートウェイルーター機能を実行します。また、標準の SRX シリーズ デバイスと同じ機能豊富なセキュリティ サービスも提供します。 表 1 は、サポートされている NFX ハードウェア モデルを示しています。
NFX150 は、他の NFX シリーズ デバイスに搭載されている vSRX 機能に代えて、SRX ファイアウォールが組み込まれています。
プラットフォーム |
対応モデル |
---|---|
NFX150ネットワークサービスプラットフォーム |
NFX150-S1 NFX150-S1E NFX150–C-S1 NFX150–C-S1-AE/AA NFX150–C-S1E-AE/AA |
NFX250ネットワークサービスプラットフォーム |
NFX250-LS1 NFX250-S1 NFX250-S2 |
SRX シリーズ デバイスと vSRX 仮想ファイアウォール
サーバーにvSRXインスタンスをインストールする場合と同様に、NFXプラットフォームの代わりに物理SRXデバイスを使用してゲートウェイルーター機能を提供できます。 表 2 は、サポートされている SRX ハードウェアと vSRX 仮想ファイアウォールを示しています。
プラットフォーム |
対応モデル |
---|---|
SRXシリーズ |
SRX4600(SD-WANスポーク) SRX4200 SRX4100 SRX550M SRX380 SRX345 SRX340 SRX320 SRX300 |
SRX1500 |
|
vSRX 仮想ファイアウォール |
vSRX(スタンドアロン) |
vSRX(NFX250 にインストール) |
|
vSRX 3.0(スタンドアロン) |
クラウド スポーク デバイス
CSO SD-WANクラウドスポークデバイスは、vSRXの形式で、AWS仮想プライベートクラウド(VPC)に配置できます。vSRXはクラウドのスポークデバイスとして機能します。エンドポイントがオンラインになると、他のスポークデバイスと同様に動作します。
スポークの冗長性
スポーク サイトでは、デバイスとリンクの障害から保護するために、冗長 CPE デバイスを 2 台使用できます。詳細については、 CSO設計およびアーキテクチャガイドの耐障害性と高可用性セクションを参照してください。
プロバイダ ハブ デバイス
CSO SD-WANソリューションは、ダイナミックメッシュとハブアンドスポークの2つの導入トポロジーをサポートしています。動的メッシュ導入では、各サイトには他のサイトとエンタープライズ ハブ デバイスに接続する CPE デバイスがあります。ハブアンドスポーク方式の導入では、少なくとも1つのプロバイダーハブデバイスと1つ以上のスポークデバイスがあります。
プロバイダ ハブ デバイスは、スポーク デバイスからの MPLS/GRE および IPsec トンネルの両方を終端します。
プロバイダ ハブ
サービス プロバイダ(SP)環境では、サービス プロバイダは自社のネットワーク内で プロバイダ ハブ デバイスをホストします。プロバイダハブデバイスは、ポイントオブプレゼンス(POP)または接続ポイントとして機能します。通常は共有デバイスで、仮想ルーティングおよび転送インスタンス(VRF)を使用して複数の顧客(テナント)にハブ機能を提供します。SP 管理者と OpCo 管理者はどちらもプロバイダ ハブ デバイスを管理できます。CSO SaaS では、SP 管理者ロールがジュニパーネットワークスによって cspadmin ユーザー(または同等)として実行されます。OpCo管理者ロールは、SP管理者がユーザーに割り当てることはできますが、OpCo管理者にはSP管理者権限はありません。表 3 は、CSO SD-WAN 環境でサポートされているプロバイダ ハブ デバイスを示しています。
役割 |
サポートされているデバイス タイプ |
---|---|
プロバイダ ハブ |
SRX4600 SRX4200 SRX4100 SRX1500 |
vSRX |
|
vSRX 3.0 |
プロバイダ ハブ冗長性
1つのPOPで2つの冗長プロバイダーハブデバイスを使用して、デバイスとリンクの障害から保護し、スポークサイトにアップストリームのマルチホーミングを提供できます。詳細については、 CSO SD-WAN - 設計およびアーキテクチャガイドの「耐障害性と高可用性」セクションを参照してください。
エンタープライズハブのサイトとデバイス
エンタープライズ ハブ デバイスと呼ばれる特別なタイプのスポーク デバイスを、オンプレミス サイトの CPE として導入できます。このように機能するスポーク サイトは、サイト追加時にエンタープライズ ハブ サイトとして構成する必要があります。エンタープライズ ハブ サイトを追加すると、サイトの追加機能が開きます。
顧客のネットワーク上のサイト間通信のアンカー ポイントとして機能します。
顧客のネットワークの中央ブレークアウト ノードとして機能します。
データセンター部門と呼ばれる専門 部署を提供しています。
LAN側のL3デバイスからのデフォルトルートを含む、BGPおよびOSPFルートインポートによる動的LANセグメントをサポートします。
インテントベースのブレークアウトプロファイルを使用して、部門、アプリケーション、サイトなどをベースにしたきめ細かいブレークアウト動作を作成できます。
エンタープライズ環境では、エンタープライズ ハブは顧客(テナント)が所有し、通常はエンタープライズ データ センター内に存在します。顧客のスポーク サイトのみがエンタープライズ ハブ デバイスに接続できます。OpCo管理者とテナント管理者は、エンタープライズハブを管理できます。 表4 は、CSO SD-WAN環境でサポートされているエンタープライズハブデバイスを示しています。
役割 |
サポートされているデバイス タイプ |
---|---|
エンタープライズハブ |
SRX380 SRX4600 SRX4200 SRX4100 |
SRX1500 |
|
vSRX |
|
vSRX 3.0 |