SlideShare a Scribd company logo
小松 康二 (kkomatsu@cisco.com)
Technical Marketing Engineer, Product Management - Viptela
2017年11月1日
MPLS Japan 2017
日本でも本番環境導入が急加速!
SD-WAN導入の現場でみえてきたアレコレ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SD-WAN この1年を振り返って
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
CiscoによるViptela買収
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
各SD-WANソリューションの立ち位置の明確化
・複雑な要件に対応
・高いスケーラビリ
ティ
・直観的
・シンプル
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
ほかにも、本番展開済みのお客様が急増中
日本では、製造業・金融機関のお客様が比較的多い印象
日本での本番環境での導入の加速
http://itpro.nikkeibp.co.jp/atcl/column/17/060200225/060200004/
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• 日本の企業の本番環境での、Cisco SD-WAN (Viptela) のデプロイを
ご一緒させていただいた経験からご紹介
• 実際に遭遇したトラブル
• たびたび議論になったこと
1. IPsecがつながらない
2. インターネットブレークアウトがうまくうごかない
3. 移行設計
4. オンプレ構築
今日の発表は
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
IPsecがつながらない..
(SD-WANに限った話ではありませんが)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• コントローラーを使ってNAT Traversalを実現するなど
SD-WANルータをNAT/NAPTの裏側におくのはOK
PUBLIC PRIVATE
ADDRESS PSEUDO PUBLIC PRIVATE PUBLIC IPV6 PRIVATE IPV6 BFD
FAMILY TLOC IP COLOR ENCAP FROM PEER STATUS KEY PUBLIC IP PORT PRIVATE IP PORT IPV6 PORT IPV6 PORT STATUS
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ipv4 1.1.1.22 mpls ipsec 1.1.1.25 C,I,R 1 221.245.168.210 1024 10.210.31.1 12386 :: 0 :: 0 up
1.1.1.125 C,R 1 221.245.168.210 1024 10.210.31.1 12386 :: 0 :: 0 up
1.1.1.22 biz-internet ipsec 1.1.1.25 C,I,R 1 153.137.89.183 12406 10.156.31.11 12406 :: 0 :: 0 up
1.1.1.125 C,R 1 153.137.89.183 12406 10.156.31.11 12406 :: 0 :: 0 up
1.1.1.33 mpls ipsec 1.1.1.25 C,I,R 1 187.232.252.133 12346 192.168.1.66 12346 :: 0 :: 0 up
1.1.1.125 C,R 1 187.232.252.133 12346 192.168.1.66 12346 :: 0 :: 0 up
1.1.1.44 mpls ipsec 1.1.1.25 C,I,R 1 221.245.168.211 12346 192.168.11.5 12346 :: 0 :: 0 up
1.1.1.125 C,R 1 221.245.168.211 12346 192.168.11.5 12346 :: 0 :: 0 up
Source NAT Source NAT
Internet
SD-WAN ルータ SD-WAN ルータ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• Source NAT/NAPTでも、実際の挙動は細かく分かれる
• Mapping Behavior
• Filtering Behavior
• Hairpin etc..
• Endpoint-dependent Mappingを行うNAT機器にはNAT Traversalが有
効に機能しない (古い用語ではSymmetric NAT)
ただし、例外もある
内部リソース
192.168.100.1:12346
同一の内部リソースが、外部の複数のリソースと
通信する場合に、異なるアドレスもしくはポート番号に
変換されるケース
Source NAT
(Endpoint-dependent Mapping)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• 両端がEndpoint-dependent Mappingの場合には、そのままではIPsec
トンネルがあがらない
• 全拠点にEndpoint-dependent Mapping機器があると大変…
• ハブ&スポークならハブサイトだけ、フルメッシュなら全サイトで対策
• 対策
• Endpoint-dependent MappingはハイエンドFirewallに比較的特有の実装
• 各社のデフォルト設定や、設定変更の可否が異なる
• Fortinetさん、Juniperさん、SonicWallさん、Palo Altoさん、Cisco ASA (?)
• 1:1 SNATは広く使える対策 (ただしIPが必要)
• IPがなければ、Port指定でStatic NAPTを構成(機器冗長時には異なるポートを使
うよう設定)
Endpoint-dependent Mappingにあたると
※ 実際には、Filtering behaviorとの組み合わせでより細かい条件があるものの、ここでは省略させていただきます
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• SD-WANルータの前にFirewallを置く設計をとらない
• 直接回線につないでも安心なSD-WANルータを選択する
• FirewallはSD-WANルータの内側に設置し、データが復号化されたあとの
トラフィックを検査する
根本対策は…
IPSec
SD-WANルータ
コントローラー
対向
SD-WANルータ
CPU
パケット
フォワーディング
コントロールプレーンの
ポリシング
 300pps per flow
 5,000pps
その他の
通信  Default Deny: All
 Default Allow: ICMP, DNS, DHCP
 Manual Allow: SSH, NTP
 Default Deny: All
 Allow: 明示的に許可されたIPと
ポートのみ (vBondから学習)
 Default Deny: All
 Allow: 明示的に許可されたvEdge
(vSmartから学習)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• いまだに適切にNAPTがなされないケースも
• 異なるIPを使う複数の内部リソースの変換を行えるが、ポート番号は変換
しない
• 異なるIPのリソースが同じポート番号を使うと区別できない
• 対策・・・機器冗長を組む場合、異なるSrc Portを使うように設定
グローバルのWAN環境のNATは多彩
内部リソースA
192.168.100.1:12346
異なる内部リソースにもかかわらず、同一のIPとポート番号に
変換されてしまい、同時に
NAPT
内部リソースB
192.168.100.2:12346
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• IPヘッダのIDフィールド
• IPフラグメンテーションに利用される
• フラグメント化されると、本来は最終的
にリアセンブルされるまで同じIDを使用
• AHによってOuter IPヘッダも認証
• 一部NAT機器がIDフィールドを書き換え
ると、不正とみなされパケットドロップ
• 解決策
• IDフィールドを認証対象からはずす
Outer IPヘッダのIDフィールド書き換え問題
ご参考:IDフィールドの書き換えについての考察 (by Cisco進藤)
http://blog.shin.do/2017/06/natは意外と難しい/
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
インターネットブレークアウトが
うまく動かない
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• SaaS Providerは複数のサービスに共通インフラを使用するケースが
ある (認証機能など)
• 同じNATポイントからインター
ネットに出す必要がある
• ポリシーをカスタマイズする
際には要注意
大規模なSaaSの実装はシンプルではない
Internet
DCデータセンター
SD-WAN ルータ
WAN
拠点
SD-WAN ルータ
ユーザ
nat
nat
インターネットブレークアウト
(ローカルエグジット)
セントラルエグジット
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• SaaSによっては、関連するリソースが社内データセンターと併用さ
れているケースがある
• インターネットブレークアウト
とオーバーレイルーティングを
慎重に設計
Office 365とオンプレOffice機能の併用
Internet
DC
WAN
ユーザ
データセンター
SD-WAN ルータ拠点
SD-WAN ルータ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• DPI機能 (アプリケーション識別) はSD-WANのキモの1つ
• WAN最適化装置の最適化によって、SD-WANルータのDPIが影響をうける
と、意図通りに動かないことも
• 対策例 – DSCPによる連携、WCCPでの連携
WAN最適化装置がアプリケーション識別に影響
SD-WANルータ
WAN / Internet
WAN最適化装置
WAN最適化
LAN側
トラフィックがただしく判別できない
DPI
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
よくある議論 – 移行設計
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• (少なくともViptelaの)SD-WANルータは完全に独立したルーティングドメイン(VPN)を複数もつ
• インターフェースやルーティングの設定は、個々のルーティングドメインの中で行う
• WANとLANのルーティングは最初から明確にわかれていて混在しない
• LAN側に複数のドメイン(VPN)をつくると、WANを論理的な面にわけることができる(VRFの代替)
• LAN側の経路は全てコントローラー経由で他の拠点のルータに広告される
• トンネルのなかにルーティングプロトコルを流すことはない
WANとLANのルーティングの独立
MPLS
Internet
WAN
(VPN 0)
IF
IF
LAN
(VPN 1)
LAN
(VPN 2)
IF
IF
SD-WAN
ルータ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• そのままつなぐと、既存ルータの拠点のLAN側は、SD-WANルータ
のLAN側とつながらない
非SD-WAN拠点との通信 (NGケース)
WANLAN IFIF
LANWAN
IF
IF
SD-WAN
ルータ
SD-WAN
ルータ
MPLS IFIF
既存ルータ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• 中央のサイトをSD-WANと非SD-WANのハブとしてつなぐ
• ハブサイトは、LAN側のルーティングドメインにも直接WANをつなぎこむ
• ハブを介して相互に経路を広告
• メッシュ化も可能
非SD-WAN拠点との通信 (ハブパターン)
WANLAN IFIF
LANWAN
IF
IF
SD-WAN
ルータ
SD-WAN
ルータ
MPLS IFIF
既存ルータIF
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• SD-WANサイト間の通信は新回線で、非SD-WANサイトとの通信は旧回線で通信
• 旧回線で経路集約すると、SD-WANサイト間の通信はLongest Matchでオーバーレイを自動優先
• SD-WAN移行が完了すれば、旧回線を解約
非SD-WAN拠点との通信 (回線切り替えと並行)
WAN
LAN IFIF
LANWAN
IF
IF
SD-WAN
ルータ
SD-WAN
ルータ
旧
MPLS IFIF
既存ルータ
IF
新
MPLS
IF
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
• SD-WANのもつセグメンテーションへの移行
• 移行期間中はSD-WANセグメント(LAN側)とVRFを直接接続しておく
Router-A
Router
ハブ
MPLS
SD-WANルータ
VRF 1
WAN
LAN VPN 1
VPN 0 VPN 1
VRF 2LAN VPN 2
LAN
LAN VPN 3 VRF 3
VPN 2
SD-WANルータ
Router-B
VRF 1
VRF 2
非SD_WAN
非SD_WAN
SD-WAN VPN 1
SD-WAN VPN 2
Multi VRFからの移行 (移行期間中)
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SD-WANルータ
Router
Data Center (Hub)
MPLS
SD-WANルータ
VPN 0
VPN 0 VPN 1
VPN 1 etc.
VPN 2
SD-WANルータ
SD-WANルータ
Branch-B VPN 2
Branch-A VPN 1
Branch-C VPN 1
Branch-C VPN 2
• 移行完了後はWAN側にマルチVRF不要
Multi VRFからの移行 (移行完了後)
VPN 0
VPN 0
VPN 1
VPN 2
ipsec
ipsec
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
よくある議論 – オンプレでの構築
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
コントローラーをオンプレ環境に構築する
4G/LTE
MPLS
イン
ター
ネット
Viptela クラウド、マネージドクラウド
もしくは、オンプレ環境
コントローラーと
マネージメント
セキュアな
フルメッシュ
データプレーン
セキュアな
コントロールプレーン
REST API
GUI
SD-WAN
コントローラー
SD-WAN ルータ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
インターネットなしでゼロタッチを実現する
ゼロタッチ立ち上げ用
サーバ
SD-WAN コントローラ
SD-WAN ルータ
1 2
3 4
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
閉域網に直接接続してのゼロタッチを実現する
WAN
SD-WAN
ルータ
PE DHCPなし
• IPアドレスは?
• 経路は?
• 名前解決は?
• コントローラーの場所は?
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
まとめ
© 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
SD-WAN のユースケース
企業WANの最適化
パブリッククラウドへ
の対応
可視化・オペレー
ションの簡素化
日本でも確実に導入が増えています!
SD-WAN導入の現場でみえてきたアレコレ

More Related Content

What's hot

BGP Unnumbered で遊んでみた
BGP Unnumbered で遊んでみたBGP Unnumbered で遊んでみた
BGP Unnumbered で遊んでみた
akira6592
 
Onieで遊んでみようとした話
Onieで遊んでみようとした話Onieで遊んでみようとした話
Onieで遊んでみようとした話
Masaru Oki
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
Motonori Shindo
 
IPv6マルチプレフィックスの話
IPv6マルチプレフィックスの話IPv6マルチプレフィックスの話
IPv6マルチプレフィックスの話
YasunobuToyota
 
Hyper v ネットワークの基本
Hyper v ネットワークの基本Hyper v ネットワークの基本
Hyper v ネットワークの基本
Syuichi Murashima
 
大規模サービスを支えるネットワークインフラの全貌
大規模サービスを支えるネットワークインフラの全貌大規模サービスを支えるネットワークインフラの全貌
大規模サービスを支えるネットワークインフラの全貌
LINE Corporation
 
PCE 〜MPLSネットワークのSDN化を本気で実現する"唯一の"方法〜
PCE 〜MPLSネットワークのSDN化を本気で実現する"唯一の"方法〜PCE 〜MPLSネットワークのSDN化を本気で実現する"唯一の"方法〜
PCE 〜MPLSネットワークのSDN化を本気で実現する"唯一の"方法〜
Takuya Miyasaka
 
絶対に止まらないバックボーン
絶対に止まらないバックボーン絶対に止まらないバックボーン
絶対に止まらないバックボーン
IIJ
 
vSRX on Your Laptop : PCで始めるvSRX ~JUNOSをさわってみよう!~
vSRX on Your Laptop : PCで始めるvSRX ~JUNOSをさわってみよう!~vSRX on Your Laptop : PCで始めるvSRX ~JUNOSをさわってみよう!~
vSRX on Your Laptop : PCで始めるvSRX ~JUNOSをさわってみよう!~
Juniper Networks (日本)
 
大学研究室レベルでLocal 5Gを導入するための手法の考察
大学研究室レベルでLocal 5Gを導入するための手法の考察大学研究室レベルでLocal 5Gを導入するための手法の考察
大学研究室レベルでLocal 5Gを導入するための手法の考察
Yutaka Kikuchi
 
IX事業者とインターネットの未来
IX事業者とインターネットの未来IX事業者とインターネットの未来
IX事業者とインターネットの未来Yoshiki Ishida
 
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
ネットワーク機器のAPIあれこれ入門(NetOpsCoding#2)ネットワーク機器のAPIあれこれ入門(NetOpsCoding#2)
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
Kentaro Ebisawa
 
ISPの向こう側、どうなってますか
ISPの向こう側、どうなってますかISPの向こう側、どうなってますか
ISPの向こう側、どうなってますか
Akira Nakagawa
 
DS-LiteをFreeBSDで使う
DS-LiteをFreeBSDで使うDS-LiteをFreeBSDで使う
DS-LiteをFreeBSDで使う
Satoshi Togawa
 
IPv4/IPv6 移行・共存技術の動向
IPv4/IPv6 移行・共存技術の動向IPv4/IPv6 移行・共存技術の動向
IPv4/IPv6 移行・共存技術の動向
Yuya Rin
 
プログラマ目線から見たRDMAのメリットと その応用例について
プログラマ目線から見たRDMAのメリットとその応用例についてプログラマ目線から見たRDMAのメリットとその応用例について
プログラマ目線から見たRDMAのメリットと その応用例について
Masanori Itoh
 
0円でできる自宅InfiniBandプログラム
0円でできる自宅InfiniBandプログラム0円でできる自宅InfiniBandプログラム
0円でできる自宅InfiniBandプログラム
Minoru Nakamura
 
DNS再入門
DNS再入門DNS再入門
DNS再入門
Takashi Takizawa
 
Telecom Infra Projectの取り組み -光伝送におけるハードとソフトの分離-
Telecom Infra Projectの取り組み -光伝送におけるハードとソフトの分離-Telecom Infra Projectの取り組み -光伝送におけるハードとソフトの分離-
Telecom Infra Projectの取り組み -光伝送におけるハードとソフトの分離-
HidekiNishizawa
 
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
シスコシステムズ合同会社
 

What's hot (20)

BGP Unnumbered で遊んでみた
BGP Unnumbered で遊んでみたBGP Unnumbered で遊んでみた
BGP Unnumbered で遊んでみた
 
Onieで遊んでみようとした話
Onieで遊んでみようとした話Onieで遊んでみようとした話
Onieで遊んでみようとした話
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
 
IPv6マルチプレフィックスの話
IPv6マルチプレフィックスの話IPv6マルチプレフィックスの話
IPv6マルチプレフィックスの話
 
Hyper v ネットワークの基本
Hyper v ネットワークの基本Hyper v ネットワークの基本
Hyper v ネットワークの基本
 
大規模サービスを支えるネットワークインフラの全貌
大規模サービスを支えるネットワークインフラの全貌大規模サービスを支えるネットワークインフラの全貌
大規模サービスを支えるネットワークインフラの全貌
 
PCE 〜MPLSネットワークのSDN化を本気で実現する"唯一の"方法〜
PCE 〜MPLSネットワークのSDN化を本気で実現する"唯一の"方法〜PCE 〜MPLSネットワークのSDN化を本気で実現する"唯一の"方法〜
PCE 〜MPLSネットワークのSDN化を本気で実現する"唯一の"方法〜
 
絶対に止まらないバックボーン
絶対に止まらないバックボーン絶対に止まらないバックボーン
絶対に止まらないバックボーン
 
vSRX on Your Laptop : PCで始めるvSRX ~JUNOSをさわってみよう!~
vSRX on Your Laptop : PCで始めるvSRX ~JUNOSをさわってみよう!~vSRX on Your Laptop : PCで始めるvSRX ~JUNOSをさわってみよう!~
vSRX on Your Laptop : PCで始めるvSRX ~JUNOSをさわってみよう!~
 
大学研究室レベルでLocal 5Gを導入するための手法の考察
大学研究室レベルでLocal 5Gを導入するための手法の考察大学研究室レベルでLocal 5Gを導入するための手法の考察
大学研究室レベルでLocal 5Gを導入するための手法の考察
 
IX事業者とインターネットの未来
IX事業者とインターネットの未来IX事業者とインターネットの未来
IX事業者とインターネットの未来
 
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
ネットワーク機器のAPIあれこれ入門(NetOpsCoding#2)ネットワーク機器のAPIあれこれ入門(NetOpsCoding#2)
ネットワーク機器のAPIあれこれ入門 (NetOpsCoding#2)
 
ISPの向こう側、どうなってますか
ISPの向こう側、どうなってますかISPの向こう側、どうなってますか
ISPの向こう側、どうなってますか
 
DS-LiteをFreeBSDで使う
DS-LiteをFreeBSDで使うDS-LiteをFreeBSDで使う
DS-LiteをFreeBSDで使う
 
IPv4/IPv6 移行・共存技術の動向
IPv4/IPv6 移行・共存技術の動向IPv4/IPv6 移行・共存技術の動向
IPv4/IPv6 移行・共存技術の動向
 
プログラマ目線から見たRDMAのメリットと その応用例について
プログラマ目線から見たRDMAのメリットとその応用例についてプログラマ目線から見たRDMAのメリットとその応用例について
プログラマ目線から見たRDMAのメリットと その応用例について
 
0円でできる自宅InfiniBandプログラム
0円でできる自宅InfiniBandプログラム0円でできる自宅InfiniBandプログラム
0円でできる自宅InfiniBandプログラム
 
DNS再入門
DNS再入門DNS再入門
DNS再入門
 
Telecom Infra Projectの取り組み -光伝送におけるハードとソフトの分離-
Telecom Infra Projectの取り組み -光伝送におけるハードとソフトの分離-Telecom Infra Projectの取り組み -光伝送におけるハードとソフトの分離-
Telecom Infra Projectの取り組み -光伝送におけるハードとソフトの分離-
 
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
Cisco Modeling Labs (CML)を使ってネットワークを学ぼう!(DevNet編)
 

Similar to SD-WAN導入の現場でみえてきたアレコレ

OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
VirtualTech Japan Inc.
 
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月 知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
VirtualTech Japan Inc.
 
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
Trainocate Japan, Ltd.
 
Openstack neutron vtjseminar_20160302
Openstack neutron vtjseminar_20160302Openstack neutron vtjseminar_20160302
Openstack neutron vtjseminar_20160302
Takehiro Kudou
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backboneShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
Interop Tokyo ShowNet NOC Team
 
Mk vpp for-containers-vppug
Mk vpp for-containers-vppugMk vpp for-containers-vppug
Mk vpp for-containers-vppug
Miya Kohno
 
【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム
【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム 【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム
【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム シスコシステムズ合同会社
 
ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...
ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...
ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...
シスコシステムズ合同会社
 
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
Tomoya Hibi
 
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
Yahoo!デベロッパーネットワーク
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
Interop Tokyo ShowNet NOC Team
 
OSC 2011 Tokyo/Fall 自宅SAN友の会 (Infinibandお試し編)
OSC 2011 Tokyo/Fall 自宅SAN友の会 (Infinibandお試し編)OSC 2011 Tokyo/Fall 自宅SAN友の会 (Infinibandお試し編)
OSC 2011 Tokyo/Fall 自宅SAN友の会 (Infinibandお試し編)
Satoshi Shimazaki
 
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!シスコシステムズ合同会社
 
IIJmio meeting 17 DSDSと着信シーケンスについて
IIJmio meeting 17 DSDSと着信シーケンスについてIIJmio meeting 17 DSDSと着信シーケンスについて
IIJmio meeting 17 DSDSと着信シーケンスについて
techlog (Internet Initiative Japan Inc.)
 
VIOPS04: NTTコミュニケーションズのクラウド戦略
VIOPS04: NTTコミュニケーションズのクラウド戦略VIOPS04: NTTコミュニケーションズのクラウド戦略
VIOPS04: NTTコミュニケーションズのクラウド戦略
VIOPS Virtualized Infrastructure Operators group ARCHIVES
 
IPv6標準化の最新動向
IPv6標準化の最新動向IPv6標準化の最新動向
IPv6標準化の最新動向
Shinsuke SUZUKI
 
クラウドとは何か / what is cloud computing (1.4 / 2017.07)
クラウドとは何か / what is cloud computing (1.4 / 2017.07)クラウドとは何か / what is cloud computing (1.4 / 2017.07)
クラウドとは何か / what is cloud computing (1.4 / 2017.07)
Arichika TANIGUCHI
 
SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...
SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...
SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...
Miya Kohno
 
VYATTA USERS MEETING Autumn 2013_idcf
VYATTA USERS MEETING Autumn 2013_idcfVYATTA USERS MEETING Autumn 2013_idcf
VYATTA USERS MEETING Autumn 2013_idcf
IDC Frontier
 
Stratosphereが提供するSDN/OpenFlow技術の現在と未来
Stratosphereが提供するSDN/OpenFlow技術の現在と未来Stratosphereが提供するSDN/OpenFlow技術の現在と未来
Stratosphereが提供するSDN/OpenFlow技術の現在と未来
IIJ
 

Similar to SD-WAN導入の現場でみえてきたアレコレ (20)

OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
OpenStackを利用したNFVの商用化 - OpenStack最新情報セミナー 2017年7月
 
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月 知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
知っているようで知らないNeutron -仮想ルータの冗長と分散- - OpenStack最新情報セミナー 2016年3月
 
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
[G-Tech2014講演資料] シスコのSDN最新動向とITインフラエンジニアに求められるスキル - シスコシステムズ合同会社
 
Openstack neutron vtjseminar_20160302
Openstack neutron vtjseminar_20160302Openstack neutron vtjseminar_20160302
Openstack neutron vtjseminar_20160302
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backboneShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_sr-based_backbone
 
Mk vpp for-containers-vppug
Mk vpp for-containers-vppugMk vpp for-containers-vppug
Mk vpp for-containers-vppug
 
【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム
【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム 【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム
【Interop tokyo 2014】 IoE 時代を支えるシスコ最新ネットワーク技術とクラウド プラットフォーム
 
ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...
ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...
ITPro Expo 2014: Cisco Application Centric Infrastructure と Openstack による統合イン...
 
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
 
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
[dbts-2014-tokyo] 目指せExadata!! Oracle DB高速化を目指した構成
 
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
ShowNetにおけるバックボーン設計と運用について語る_ShowNet2021_conf_mini_3_backbone_l2l3
 
OSC 2011 Tokyo/Fall 自宅SAN友の会 (Infinibandお試し編)
OSC 2011 Tokyo/Fall 自宅SAN友の会 (Infinibandお試し編)OSC 2011 Tokyo/Fall 自宅SAN友の会 (Infinibandお試し編)
OSC 2011 Tokyo/Fall 自宅SAN友の会 (Infinibandお試し編)
 
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
【Interop tokyo 2014】 ネットワークの高度な可視化〜企業向けSDNポリシー制御まで!
 
IIJmio meeting 17 DSDSと着信シーケンスについて
IIJmio meeting 17 DSDSと着信シーケンスについてIIJmio meeting 17 DSDSと着信シーケンスについて
IIJmio meeting 17 DSDSと着信シーケンスについて
 
VIOPS04: NTTコミュニケーションズのクラウド戦略
VIOPS04: NTTコミュニケーションズのクラウド戦略VIOPS04: NTTコミュニケーションズのクラウド戦略
VIOPS04: NTTコミュニケーションズのクラウド戦略
 
IPv6標準化の最新動向
IPv6標準化の最新動向IPv6標準化の最新動向
IPv6標準化の最新動向
 
クラウドとは何か / what is cloud computing (1.4 / 2017.07)
クラウドとは何か / what is cloud computing (1.4 / 2017.07)クラウドとは何か / what is cloud computing (1.4 / 2017.07)
クラウドとは何か / what is cloud computing (1.4 / 2017.07)
 
SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...
SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...
SRv6 Network Programmability - Dis-aggregation and Re-aggregation of Network ...
 
VYATTA USERS MEETING Autumn 2013_idcf
VYATTA USERS MEETING Autumn 2013_idcfVYATTA USERS MEETING Autumn 2013_idcf
VYATTA USERS MEETING Autumn 2013_idcf
 
Stratosphereが提供するSDN/OpenFlow技術の現在と未来
Stratosphereが提供するSDN/OpenFlow技術の現在と未来Stratosphereが提供するSDN/OpenFlow技術の現在と未来
Stratosphereが提供するSDN/OpenFlow技術の現在と未来
 

Recently uploaded

「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
嶋 是一 (Yoshikazu SHIMA)
 
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
Matsushita Laboratory
 
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
CRI Japan, Inc.
 
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMMハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
osamut
 
キンドリル ネットワークアセスメントサービスご紹介 今のネットワーク環境は大丈夫? 調査〜対策までご支援します
キンドリル ネットワークアセスメントサービスご紹介 今のネットワーク環境は大丈夫? 調査〜対策までご支援しますキンドリル ネットワークアセスメントサービスご紹介 今のネットワーク環境は大丈夫? 調査〜対策までご支援します
キンドリル ネットワークアセスメントサービスご紹介 今のネットワーク環境は大丈夫? 調査〜対策までご支援します
Takayuki Nakayama
 
論文紹介:Deep Learning-Based Human Pose Estimation: A Survey
論文紹介:Deep Learning-Based Human Pose Estimation: A Survey論文紹介:Deep Learning-Based Human Pose Estimation: A Survey
論文紹介:Deep Learning-Based Human Pose Estimation: A Survey
Toru Tamaki
 
This is the company presentation material of RIZAP Technologies, Inc.
This is the company presentation material of RIZAP Technologies, Inc.This is the company presentation material of RIZAP Technologies, Inc.
This is the company presentation material of RIZAP Technologies, Inc.
chiefujita1
 
Generating Automatic Feedback on UI Mockups with Large Language Models
Generating Automatic Feedback on UI Mockups with Large Language ModelsGenerating Automatic Feedback on UI Mockups with Large Language Models
Generating Automatic Feedback on UI Mockups with Large Language Models
harmonylab
 
遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化
遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化
遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化
t m
 
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
Osaka University
 
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobodyロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
azuma satoshi
 
Humanoid Virtual Athletics Challenge2024 技術講習会 スライド
Humanoid Virtual Athletics Challenge2024 技術講習会 スライドHumanoid Virtual Athletics Challenge2024 技術講習会 スライド
Humanoid Virtual Athletics Challenge2024 技術講習会 スライド
tazaki1
 

Recently uploaded (12)

「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
「進化するアプリ イマ×ミライ ~生成AIアプリへ続く道と新時代のアプリとは~」Interop24Tokyo APPS JAPAN B1-01講演
 
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
 
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
 
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMMハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
ハイブリッドクラウド研究会_Hyper-VとSystem Center Virtual Machine Manager セッションMM
 
キンドリル ネットワークアセスメントサービスご紹介 今のネットワーク環境は大丈夫? 調査〜対策までご支援します
キンドリル ネットワークアセスメントサービスご紹介 今のネットワーク環境は大丈夫? 調査〜対策までご支援しますキンドリル ネットワークアセスメントサービスご紹介 今のネットワーク環境は大丈夫? 調査〜対策までご支援します
キンドリル ネットワークアセスメントサービスご紹介 今のネットワーク環境は大丈夫? 調査〜対策までご支援します
 
論文紹介:Deep Learning-Based Human Pose Estimation: A Survey
論文紹介:Deep Learning-Based Human Pose Estimation: A Survey論文紹介:Deep Learning-Based Human Pose Estimation: A Survey
論文紹介:Deep Learning-Based Human Pose Estimation: A Survey
 
This is the company presentation material of RIZAP Technologies, Inc.
This is the company presentation material of RIZAP Technologies, Inc.This is the company presentation material of RIZAP Technologies, Inc.
This is the company presentation material of RIZAP Technologies, Inc.
 
Generating Automatic Feedback on UI Mockups with Large Language Models
Generating Automatic Feedback on UI Mockups with Large Language ModelsGenerating Automatic Feedback on UI Mockups with Large Language Models
Generating Automatic Feedback on UI Mockups with Large Language Models
 
遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化
遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化
遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化
 
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
生成AIがもたらすコンテンツ経済圏の新時代  The New Era of Content Economy Brought by Generative AI
 
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobodyロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
ロジックから状態を分離する技術/設計ナイト2024 by わいとん @ytnobody
 
Humanoid Virtual Athletics Challenge2024 技術講習会 スライド
Humanoid Virtual Athletics Challenge2024 技術講習会 スライドHumanoid Virtual Athletics Challenge2024 技術講習会 スライド
Humanoid Virtual Athletics Challenge2024 技術講習会 スライド
 

SD-WAN導入の現場でみえてきたアレコレ

  • 1. 小松 康二 (kkomatsu@cisco.com) Technical Marketing Engineer, Product Management - Viptela 2017年11月1日 MPLS Japan 2017 日本でも本番環境導入が急加速! SD-WAN導入の現場でみえてきたアレコレ
  • 2. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential SD-WAN この1年を振り返って
  • 3. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential CiscoによるViptela買収
  • 4. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 各SD-WANソリューションの立ち位置の明確化 ・複雑な要件に対応 ・高いスケーラビリ ティ ・直観的 ・シンプル
  • 5. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential ほかにも、本番展開済みのお客様が急増中 日本では、製造業・金融機関のお客様が比較的多い印象 日本での本番環境での導入の加速 http://itpro.nikkeibp.co.jp/atcl/column/17/060200225/060200004/
  • 6. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • 日本の企業の本番環境での、Cisco SD-WAN (Viptela) のデプロイを ご一緒させていただいた経験からご紹介 • 実際に遭遇したトラブル • たびたび議論になったこと 1. IPsecがつながらない 2. インターネットブレークアウトがうまくうごかない 3. 移行設計 4. オンプレ構築 今日の発表は
  • 7. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential IPsecがつながらない.. (SD-WANに限った話ではありませんが)
  • 8. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • コントローラーを使ってNAT Traversalを実現するなど SD-WANルータをNAT/NAPTの裏側におくのはOK PUBLIC PRIVATE ADDRESS PSEUDO PUBLIC PRIVATE PUBLIC IPV6 PRIVATE IPV6 BFD FAMILY TLOC IP COLOR ENCAP FROM PEER STATUS KEY PUBLIC IP PORT PRIVATE IP PORT IPV6 PORT IPV6 PORT STATUS ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ipv4 1.1.1.22 mpls ipsec 1.1.1.25 C,I,R 1 221.245.168.210 1024 10.210.31.1 12386 :: 0 :: 0 up 1.1.1.125 C,R 1 221.245.168.210 1024 10.210.31.1 12386 :: 0 :: 0 up 1.1.1.22 biz-internet ipsec 1.1.1.25 C,I,R 1 153.137.89.183 12406 10.156.31.11 12406 :: 0 :: 0 up 1.1.1.125 C,R 1 153.137.89.183 12406 10.156.31.11 12406 :: 0 :: 0 up 1.1.1.33 mpls ipsec 1.1.1.25 C,I,R 1 187.232.252.133 12346 192.168.1.66 12346 :: 0 :: 0 up 1.1.1.125 C,R 1 187.232.252.133 12346 192.168.1.66 12346 :: 0 :: 0 up 1.1.1.44 mpls ipsec 1.1.1.25 C,I,R 1 221.245.168.211 12346 192.168.11.5 12346 :: 0 :: 0 up 1.1.1.125 C,R 1 221.245.168.211 12346 192.168.11.5 12346 :: 0 :: 0 up Source NAT Source NAT Internet SD-WAN ルータ SD-WAN ルータ
  • 9. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • Source NAT/NAPTでも、実際の挙動は細かく分かれる • Mapping Behavior • Filtering Behavior • Hairpin etc.. • Endpoint-dependent Mappingを行うNAT機器にはNAT Traversalが有 効に機能しない (古い用語ではSymmetric NAT) ただし、例外もある 内部リソース 192.168.100.1:12346 同一の内部リソースが、外部の複数のリソースと 通信する場合に、異なるアドレスもしくはポート番号に 変換されるケース Source NAT (Endpoint-dependent Mapping)
  • 10. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • 両端がEndpoint-dependent Mappingの場合には、そのままではIPsec トンネルがあがらない • 全拠点にEndpoint-dependent Mapping機器があると大変… • ハブ&スポークならハブサイトだけ、フルメッシュなら全サイトで対策 • 対策 • Endpoint-dependent MappingはハイエンドFirewallに比較的特有の実装 • 各社のデフォルト設定や、設定変更の可否が異なる • Fortinetさん、Juniperさん、SonicWallさん、Palo Altoさん、Cisco ASA (?) • 1:1 SNATは広く使える対策 (ただしIPが必要) • IPがなければ、Port指定でStatic NAPTを構成(機器冗長時には異なるポートを使 うよう設定) Endpoint-dependent Mappingにあたると ※ 実際には、Filtering behaviorとの組み合わせでより細かい条件があるものの、ここでは省略させていただきます
  • 11. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SD-WANルータの前にFirewallを置く設計をとらない • 直接回線につないでも安心なSD-WANルータを選択する • FirewallはSD-WANルータの内側に設置し、データが復号化されたあとの トラフィックを検査する 根本対策は… IPSec SD-WANルータ コントローラー 対向 SD-WANルータ CPU パケット フォワーディング コントロールプレーンの ポリシング  300pps per flow  5,000pps その他の 通信  Default Deny: All  Default Allow: ICMP, DNS, DHCP  Manual Allow: SSH, NTP  Default Deny: All  Allow: 明示的に許可されたIPと ポートのみ (vBondから学習)  Default Deny: All  Allow: 明示的に許可されたvEdge (vSmartから学習)
  • 12. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • いまだに適切にNAPTがなされないケースも • 異なるIPを使う複数の内部リソースの変換を行えるが、ポート番号は変換 しない • 異なるIPのリソースが同じポート番号を使うと区別できない • 対策・・・機器冗長を組む場合、異なるSrc Portを使うように設定 グローバルのWAN環境のNATは多彩 内部リソースA 192.168.100.1:12346 異なる内部リソースにもかかわらず、同一のIPとポート番号に 変換されてしまい、同時に NAPT 内部リソースB 192.168.100.2:12346
  • 13. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • IPヘッダのIDフィールド • IPフラグメンテーションに利用される • フラグメント化されると、本来は最終的 にリアセンブルされるまで同じIDを使用 • AHによってOuter IPヘッダも認証 • 一部NAT機器がIDフィールドを書き換え ると、不正とみなされパケットドロップ • 解決策 • IDフィールドを認証対象からはずす Outer IPヘッダのIDフィールド書き換え問題 ご参考:IDフィールドの書き換えについての考察 (by Cisco進藤) http://blog.shin.do/2017/06/natは意外と難しい/
  • 14. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential インターネットブレークアウトが うまく動かない
  • 15. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SaaS Providerは複数のサービスに共通インフラを使用するケースが ある (認証機能など) • 同じNATポイントからインター ネットに出す必要がある • ポリシーをカスタマイズする 際には要注意 大規模なSaaSの実装はシンプルではない Internet DCデータセンター SD-WAN ルータ WAN 拠点 SD-WAN ルータ ユーザ nat nat インターネットブレークアウト (ローカルエグジット) セントラルエグジット
  • 16. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SaaSによっては、関連するリソースが社内データセンターと併用さ れているケースがある • インターネットブレークアウト とオーバーレイルーティングを 慎重に設計 Office 365とオンプレOffice機能の併用 Internet DC WAN ユーザ データセンター SD-WAN ルータ拠点 SD-WAN ルータ
  • 17. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • DPI機能 (アプリケーション識別) はSD-WANのキモの1つ • WAN最適化装置の最適化によって、SD-WANルータのDPIが影響をうける と、意図通りに動かないことも • 対策例 – DSCPによる連携、WCCPでの連携 WAN最適化装置がアプリケーション識別に影響 SD-WANルータ WAN / Internet WAN最適化装置 WAN最適化 LAN側 トラフィックがただしく判別できない DPI
  • 18. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential よくある議論 – 移行設計
  • 19. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • (少なくともViptelaの)SD-WANルータは完全に独立したルーティングドメイン(VPN)を複数もつ • インターフェースやルーティングの設定は、個々のルーティングドメインの中で行う • WANとLANのルーティングは最初から明確にわかれていて混在しない • LAN側に複数のドメイン(VPN)をつくると、WANを論理的な面にわけることができる(VRFの代替) • LAN側の経路は全てコントローラー経由で他の拠点のルータに広告される • トンネルのなかにルーティングプロトコルを流すことはない WANとLANのルーティングの独立 MPLS Internet WAN (VPN 0) IF IF LAN (VPN 1) LAN (VPN 2) IF IF SD-WAN ルータ
  • 20. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • そのままつなぐと、既存ルータの拠点のLAN側は、SD-WANルータ のLAN側とつながらない 非SD-WAN拠点との通信 (NGケース) WANLAN IFIF LANWAN IF IF SD-WAN ルータ SD-WAN ルータ MPLS IFIF 既存ルータ
  • 21. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • 中央のサイトをSD-WANと非SD-WANのハブとしてつなぐ • ハブサイトは、LAN側のルーティングドメインにも直接WANをつなぎこむ • ハブを介して相互に経路を広告 • メッシュ化も可能 非SD-WAN拠点との通信 (ハブパターン) WANLAN IFIF LANWAN IF IF SD-WAN ルータ SD-WAN ルータ MPLS IFIF 既存ルータIF
  • 22. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SD-WANサイト間の通信は新回線で、非SD-WANサイトとの通信は旧回線で通信 • 旧回線で経路集約すると、SD-WANサイト間の通信はLongest Matchでオーバーレイを自動優先 • SD-WAN移行が完了すれば、旧回線を解約 非SD-WAN拠点との通信 (回線切り替えと並行) WAN LAN IFIF LANWAN IF IF SD-WAN ルータ SD-WAN ルータ 旧 MPLS IFIF 既存ルータ IF 新 MPLS IF
  • 23. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential • SD-WANのもつセグメンテーションへの移行 • 移行期間中はSD-WANセグメント(LAN側)とVRFを直接接続しておく Router-A Router ハブ MPLS SD-WANルータ VRF 1 WAN LAN VPN 1 VPN 0 VPN 1 VRF 2LAN VPN 2 LAN LAN VPN 3 VRF 3 VPN 2 SD-WANルータ Router-B VRF 1 VRF 2 非SD_WAN 非SD_WAN SD-WAN VPN 1 SD-WAN VPN 2 Multi VRFからの移行 (移行期間中)
  • 24. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential SD-WANルータ Router Data Center (Hub) MPLS SD-WANルータ VPN 0 VPN 0 VPN 1 VPN 1 etc. VPN 2 SD-WANルータ SD-WANルータ Branch-B VPN 2 Branch-A VPN 1 Branch-C VPN 1 Branch-C VPN 2 • 移行完了後はWAN側にマルチVRF不要 Multi VRFからの移行 (移行完了後) VPN 0 VPN 0 VPN 1 VPN 2 ipsec ipsec
  • 25. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential よくある議論 – オンプレでの構築
  • 26. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential コントローラーをオンプレ環境に構築する 4G/LTE MPLS イン ター ネット Viptela クラウド、マネージドクラウド もしくは、オンプレ環境 コントローラーと マネージメント セキュアな フルメッシュ データプレーン セキュアな コントロールプレーン REST API GUI SD-WAN コントローラー SD-WAN ルータ
  • 27. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential インターネットなしでゼロタッチを実現する ゼロタッチ立ち上げ用 サーバ SD-WAN コントローラ SD-WAN ルータ 1 2 3 4
  • 28. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 閉域網に直接接続してのゼロタッチを実現する WAN SD-WAN ルータ PE DHCPなし • IPアドレスは? • 経路は? • 名前解決は? • コントローラーの場所は?
  • 29. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential まとめ
  • 30. © 2017 Cisco and/or its affiliates. All rights reserved. Cisco Confidential SD-WAN のユースケース 企業WANの最適化 パブリッククラウドへ の対応 可視化・オペレー ションの簡素化 日本でも確実に導入が増えています!