[デバイス設定 (Device Settings)] を使用すると、プロファイル内の 1 つ以上の Edge モデルのインターフェイス設定を構成できます。

Edge モデルに応じて、各インターフェイスはスイッチ ポート (LAN) インターフェイスまたはルーティング (WAN) インターフェイスのいずれかになります。ブランチ モデルに応じて、接続ポートは専用の LAN ポートまたは WAN ポートになります。または、ポートを LAN ポートまたは WAN ポートとして構成できます。ブランチ ポートは、イーサネット ポートまたは SFP ポートにすることができます。一部の Edge モデルは、無線 LAN インターフェイスもサポートしている場合があります。

単一のパブリック WAN リンクが、WAN トラフィックのみを処理する単一のインターフェイスに接続されていることを想定しています。WAN に対応しているルーティング インターフェイスに WAN リンクが構成されていない場合は、単一のパブリック WAN リンクが自動的に検出されることを想定しています。検出された場合は、SD-WAN Orchestrator にレポートされます。次に、この自動検出された WAN リンクを SD-WAN Orchestrator を介して変更し、新しい構成をブランチにプッシュ バックできます。

注:
  • ルーティング インターフェイスで WAN オーバーレイが有効になっていて、WAN リンクが接続されている場合、インターフェイスはすべてのセグメントで使用できるようになります。
  • インターフェイスが PPPoE として構成されている場合、1 つの自動検出された WAN リンクのみがサポートされます。インターフェイスに追加のリンクを割り当てることはできません。

リンクが自動検出されない場合、または自動検出できない場合は、明示的に構成する必要があります。次に示す複数のサポートされる構成では、自動検出は実行できません。

  • プライベート WAN リンク
  • 単一のインターフェイス上の複数の WAN リンク。例:2 つの MPLS 接続を持つデータセンター ハブ
  • 複数のインターフェイスを介してアクセスできる単一の WAN リンク。例:アクティブ/アクティブの HA トポロジの場合

自動検出されたリンクは常にパブリック リンクになります。ユーザー定義のリンクはパブリックまたはプライベートにすることができ、選択されているタイプに応じて構成オプションは異なります。

注: 自動検出されたリンクの場合でも、サービス プロバイダや帯域幅などの自動検出されたパラメータは、Edge 構成によってオーバーライドできます。

パブリック WAN リンク

パブリック WAN リンクは、パブリック インターネットへのアクセスを提供する従来のリンク(ケーブルや DSL など)です。パブリック WAN リンクにピア構成は必要ありません。これらのリンクは、SD-WAN Gateway に自動的に接続され、ピア接続に必要な情報の伝達が処理されます。

プライベート (MPLS) WAN リンク

プライベート WAN リンクはプライベート ネットワークに属し、同じプライベート ネットワーク内の他の WAN リンクにのみ接続できます。たとえば、単一のエンタープライズ内に複数の MPLS ネットワークが存在する可能性があるため、ユーザーはどのリンクがどのネットワークに属しているかを識別する必要があります。SD-WAN Gateway はこの情報を使用して WAN リンクの接続情報を配布します。

MPLS リンクを単一のリンクとして扱うように選択できます。ただし、異なる MPLS サービス クラスを区別するため、各 WAN リンクに異なる DSCP タグを割り当てることにより、異なる MPLS サービス クラスにマッピングする複数の WAN リンクを定義できます。

さらに、プライベート WAN リンクに静的 SLA を定義することもできます。これにより、ピアがパス統計情報を交換する必要がなくなり、リンクでの帯域幅消費が減少します。プローブ間隔はデバイスのフェイルオーバーの速さに影響するため、静的 SLA 定義によってプローブ間隔が自動的に縮小されるかどうかは明確ではありません。

デバイス設定

以降の画面キャプチャは、SD-WAN Edge 500、SD-WAN Edge 1000 の最上位レベルのユーザー インターフェイスを示します。3.4 リリースでは SD-WAN Edge 610 が導入されます。次の表に、ユーザー インターフェイスの主な機能を示します(表の番号は後続の画面キャプチャの番号に対応しています)。

configure-profile-device-setting-510-3-0

ネットワーク インターフェイスで実行できるアクション([編集 (Edit)] や [削除 (Delete)] など)。
インターフェイス名。この名前は、Edge デバイスの Edge ポート ラベルと一致するか、ワイヤレス LAN の場合は事前に定義されています。
一部の設定(アクセス モードまたはトランク モード、およびインターフェイスの VLAN など)の概要を含むスイッチ ポートのリスト。スイッチ ポートは明るい黄色の背景で強調表示されます。
ルーティング インターフェイスとその設定(アドレス指定のタイプ、インターフェイスが自動検出されたかどうか、WAN オーバーレイが [自動検出 (Auto Detected)] か [ユーザー定義 (User Defined)] か、など)の概要のリスト。ルーティング インターフェイスは明るい青色の背景で強調表示されます。
ワイヤレス インターフェイスのリスト(Edge デバイスで使用可能な場合)。[Wi-Fi SSID の追加 (Add Wi-Fi SSID)] ボタンをクリックして、ワイヤレス ネットワークを追加できます。ワイヤレス インターフェイスは明るい灰色の背景で強調表示されます。
  • [Wi-Fi SSID の追加 (Add Wi-Fi SSID)] ボタンをクリックして、ワイヤレス ネットワークを追加できます。ワイヤレス インターフェイスは明るい灰色の背景で強調表示されます。
  • [サブインターフェイスの追加 (Add Sub Interfaces)] ボタンをクリックして、サブインターフェイスを追加できます。サブインターフェイスは、インターフェイスの横に「SIF」と表示されます。
  • [セカンダリ IP アドレスの追加 (Add Secondary IP)] ボタンをクリックして、セカンダリ IP アドレスを追加できます。セカンダリ IP アドレスは、インターフェイスの横に「SIP」と表示されます。

3.4 リリースでは、Edge 610 が導入されます。

3.4 リリースでは、新しいルーティング インターフェイス (CELL1) が追加され、ユーザーがモデルとして Edge 510-LTE を選択した場合、[インターフェイス設定 (Interface Settings)] 領域に表示されます(下の図を参照)。

上の図に示すように、[編集 (Edit)] リンクをクリックすると、ユーザーは [セルの設定 (Cell Settings)] セクションを編集できます。(以下の図を参照。)

注: [510 LTE モデム情報診断テスト]:3.4 リリースでは、Edge 510 LTE デバイスが構成されていると、「LTE モデム情報」の診断テストが利用可能になります。LTE モデム情報診断テストでは、信号強度、接続情報などの診断情報を取得します。診断テストの実行方法については、 リモート診断というタイトルのセクションを参照してください

サブインターフェイスとセカンダリ IP アドレス

configure-profile-device-setting-510-3-0

サブインターフェイスの追加

ルーティング インターフェイスにサブインターフェイスを追加すると、サブインターフェイスは親インターフェイスに提供されている構成オプションのサブセットを取得します。

  1. [サブインターフェイスの追加 (Add Sub Interface)] ボタンをクリックします。
  2. 以下の [インターフェイスの選択 (Select Interface)] ダイアログに示すように、ドロップダウン メニューからインターフェイスを選択し、[サブインターフェイス ID (Sub Interface ID)] テキスト ボックスに入力します。
    configure-profile-device-select-interface
  3. [次へ (Next)] をクリックします。
  4. [サブインターフェイス (Sub Interface)] ダイアログ ボックスで、[アドレス指定のタイプ (Addressing Type)] を選択します([DHCP] または [静的 (Static)])。
    1. [アドレス指定のタイプ (Addressing Type)] に [DHCP] を選択した場合、デフォルトで [VLAN タグ付けを有効にする (Enable VLAN Tagging)] チェックボックスがオンになり、前のダイアログで選択したサブインターフェイス ID がテキスト ボックスに表示されます。

      configure-profile-device-edit-subinterface-dialog-dhcp

    2. [アドレス指定のタイプ (Addressing Type)] に [静的 (Static)] を選択した場合、[VLAN タグ付けを有効にする (Enable VLAN Tagging)] チェックボックスをオンにして VLAN を有効にすることができます。前のダイアログで選択したサブインターフェイス ID がテキスト ボックスに表示されます。

      configure-profile-device-edit-subinterface-dialog-Static

  5. 必要に応じて、[NAT ダイレクト トラフィック (NAT Direct Traffic)] チェックボックスをオンにします。
  6. [更新 (Update)] ボタンをクリックします。

[インターフェイス (Interface)] 列が更新され、新しく作成されたサブインターフェイスが表示されます。

セカンダリ IP アドレスの追加

  1. [セカンダリ IP アドレスの追加 (Add Secondary IP)] ボタンをクリックします。
  2. 以下の [インターフェイスの選択 (Select Interface)] ダイアログに示すように、ドロップダウン メニューからインターフェイスを選択し、[サブインターフェイス ID (Sub Interface ID)] テキスト ボックスに入力します。サブインターフェイスのタイプが [セカンダリ IP アドレス (Secondary IP)] であることに注意してください。

    configure-profile-device-secondary-ip

  3. [次へ (Next)] をクリックします。
  4. [セカンダリ IP アドレス (Secondary IP)] ダイアログ ボックスで、[アドレス指定のタイプ (Addressing Type)] を選択します([DHCP] または [静的 (Static)])。

    configure-profile-device-secondary-ip-dialog

  5. [セカンダリ IP アドレス (Secondary IP)] ダイアログ ボックスで、[アドレス指定のタイプ (Addressing Type)] を選択します([DHCP] または [静的 (Static)])。
  6. [更新 (Update)] ボタンをクリックします。

[インターフェイス (Interface)] 列が更新され、新しく作成されたセカンダリ IP アドレスが表示されます(次の [インターフェイス設定 (Interface Settings)] の図を参照)。

configure-profile-device-interface-settings-secondary-interfaces

ユーザー定義の WAN オーバーレイのユースケース

この構成が役立つシナリオを最初に説明し、次にその構成の仕様を示します。

  1. [ユースケース 1:L2 スイッチに 2 つの WAN リンクが接続されている] - 従来のデータセンター トポロジを考えます。すなわち、SD-WAN Edge が DMZ 内の L2 スイッチに接続され、スイッチが複数のファイアウォールに接続され、それぞれが異なるアップストリーム WAN リンクに接続されています。

    2-wan-links-connected-to-l2-switch2_new

    このトポロジでは、VMware SD-WAN インターフェイスが FW1 をネクスト ホップとして使用して構成されている場合があります。ただし、FW1 が DSL に到達できないため、DSL リンクを使用するには、パケットの転送先となる代替ネクスト ホップを使用してプロビジョニングする必要があります。DSL リンクを定義するときに、パケットが DSL モデムに確実に到達できるように、ユーザーはカスタムのネクスト ホップ IP アドレスを FW2 の IP アドレスとして構成する必要があります。さらに、ユーザーはこの WAN リンクのカスタムの送信元 IP アドレスを構成して、Edge が戻りインターフェイスを識別できるようにする必要があります。最終的な構成は次の図のようになります。

    2-wan-links-connected-to-l2-switch-config2

    次のパラグラフでは、最終的な構成の定義方法について説明します。
    • インターフェイスは IP アドレス 10.0.0.1 およびネクスト ホップ 10.0.0.2 で定義されています。複数の WAN リンクがインターフェイスに接続されているため、リンクは「ユーザー定義」に設定されています。
    • ケーブル リンクが定義され、IP アドレス 10.0.0.1 とネクスト ホップ 10.0.0.2 を継承します。変更は必要ありません。パケットをケーブル リンクから送信する必要がある場合は、10.0.0.1 から送信され、10.0.0.2 (FW1) の ARP に応答するデバイスに転送されます。戻りパケットは 10.0.0.1 に送信され、ケーブル リンクに到達したものとして識別されます。
    • DSL リンクが定義されており、これは 2 番目の WAN リンクであるため、SD-WAN Orchestrator は IP アドレスとネクスト ホップに必須の構成アイテムのフラグを設定します。ユーザーは、送信元 IP アドレスにカスタム仮想 IP アドレス(10.0.0.4 など)を指定し、ネクスト ホップに 10.0.0.3 を指定します。パケットを DSL リンクから送信する必要がある場合は、10.0.0.4 から送信され、10.0.0.3 (FW2) の ARP に応答するデバイスに転送されます。戻りパケットは 10.0.0.4 に送信され、DSL リンクに到達したものとして識別されます。
  2. [ケース 2:L3 スイッチ/ルーターに 2 つの WAN リンクが接続されている]:アップストリーム デバイスは L3 スイッチまたはルーターの場合もあります。ネクスト ホップ デバイスは、前の例では異なるファイアウォールでしたが、この場合は両方の WAN リンクで同じスイッチになります。これは多くの場合、ファイアウォールが SD-WAN Edge の LAN 側に配置されているときに利用されます。

    2-wan-links-connected-to-l3-switch-router

    このトポロジでは、ポリシーベースのルーティングを使用して、パケットを適切な WAN リンクにステアリングします。このステアリングは、IP アドレスまたは VLAN タグによって実行される可能性があるため、両方のオプションをサポートしています。

    IP アドレスによるステアリング:L3 デバイスが送信元 IP アドレスによるポリシーベースのルーティングに対応している場合、両方のデバイスを同じ VLAN に配置することができます。この場合、必要な構成は、デバイスを区別するためのカスタム送信元 IP アドレスのみです。

    2-wan-links-connected-to-l3-switch-router-config2

    次のパラグラフでは、最終的な構成の定義方法について説明します。
    • インターフェイスは IP アドレス 10.0.0.1 およびネクスト ホップ 10.0.0.2 で定義されています。複数の WAN リンクがインターフェイスに接続されているため、リンクは「ユーザー定義」に設定されています。
    • ケーブル リンクが定義され、IP アドレス 10.0.0.1 とネクスト ホップ 10.0.0.2 を継承します。変更は必要ありません。パケットをケーブル リンクから送信する必要がある場合は、10.0.0.1 から送信され、10.0.0.2(L3 スイッチ)の ARP に応答するデバイスに転送されます。戻りパケットは 10.0.0.1 に送信され、ケーブル リンクに到達したものとして識別されます。
    • DSL リンクが定義されており、これは 2 番目の WAN リンクであるため、SD-WAN Orchestrator は IP アドレスとネクスト ホップに必須の構成アイテムのフラグを設定します。ユーザーは、送信元 IP アドレスにカスタム仮想 IP アドレス(10.0.0.3 など)を指定し、ネクスト ホップに同じ 10.0.0.2 を指定します。パケットを DSL リンクから送信する必要がある場合は、10.0.0.3 から送信され、10.0.0.2(L3 スイッチ)の ARP に応答するデバイスに転送されます。戻りパケットは 10.0.0.3 に送信され、DSL リンクに到達したものとして識別されます。

    VLAN によるステアリング:L3 デバイスが送信元ルーティングに対応していない場合、またはその他の理由でユーザーがケーブル リンクと DSL リンクに個別の VLAN を割り当てることを選択した場合は、これを構成する必要があります。

    2-wan-links-connected-to-l3-switch-router-config-2-2

    • インターフェイスは、VLAN 100 の IP アドレス 10.100.0.1 とネクスト ホップ 10.100.0.2 を使用して定義されます。インターフェイスには複数の WAN リンクが接続されているため、リンクは「ユーザー定義」に設定されています。
    • ケーブル リンクが定義され、VLAN 100 および IP アドレス 10.100.0.1 とネクスト ホップ 10.100.0.2 を継承します。変更は必要ありません。パケットをケーブル リンクから送信する必要がある場合は、10.100.0.1 から送信され、VLAN 100 のタグが付けられ、VLAN 100 の 10.100.0.2(L3 スイッチ)の ARP に応答するデバイスに転送されます。戻りパケットは 10.100.0.1/VLAN 100 に送信され、ケーブル リンクに到達したものとして識別されます。
    • DSL リンクが定義されており、これは 2 番目の WAN リンクであるため、SD-WAN Orchestrator は IP アドレスとネクスト ホップに必須の構成アイテムのフラグを設定します。ユーザーは、送信元 IP アドレスにカスタム VLAN ID (200) および仮想 IP アドレス(10.200.0.1 など)を指定し、ネクスト ホップに 10.200.0.2 を指定します。パケットを DSL リンクから送信する必要がある場合は、10.200.0.1 から送信され、VLAN 200 のタグが付けられ、VLAN 200 の 10.200.0.2(L3 スイッチ)の ARP に応答するデバイスに転送されます。戻りパケットは 10.200.0.1/VLAN 200 に送信され、DSL リンクに到達したものとして識別されます。
  3. [ケース 3:ワンアーム展開]:ワンアーム展開は、他の L3 展開と非常によく似ています。

    one-arm-deployments

    この場合も、SD-WAN Edge は両方の WAN リンクで同じネクスト ホップを共有します。ポリシーベースのルーティングを行うと、トラフィックを上記で定義された適切なターゲットに確実に転送できます。または、VMware SD-WAN 内の WAN リンク オブジェクトの送信元 IP アドレスおよび VLAN は、ルーティングを自動化するためにケーブル リンクおよび DSL リンクの VLAN と同じである場合があります。
  4. [ケース 4:複数のインターフェイスを介して 1 つの WAN リンクに到達可能]:2 つの代替パスを介して MPLS に到達可能な従来のゴールド サイト トポロジを考えます。この場合、通信に使用されているインターフェイスに関係なく共有できるカスタム送信元 IP アドレスとネクスト ホップを定義する必要があります。

    1-wan-link-reachable-over-multiple-interfaces

    • GE1 は、IP アドレス 10.10.0.1 とネクスト ホップ 10.10.0.2 を使用して定義されます。
    • GE2 は、IP アドレス 10.20.0.1 とネクスト ホップ 10.20.0.2 を使用して定義されます。
    • MPLS が定義され、いずれかのインターフェイスを介して到達可能となるように設定されます。これにより、送信元 IP アドレスとネクスト ホップ IP アドレスがデフォルト設定なしで必須になります。
    • 送信元 IP アドレスとターゲットが定義され、使用されているインターフェイスに関係なく通信に使用できます。パケットを MPLS リンクから送信する必要がある場合は、169.254.0.1 から送信され、構成済みの VLAN のタグが付けられ、構成済みの VLAN の 169.254.0.2(CE ルーター)の ARP に応答するデバイスに転送されます。戻りパケットは 169.254.0.1 に送信され、MPLS リンクに到達したものとして識別されます。
    注: OSPF または BGP が有効になっていない場合は、両方のスイッチで同じである中継 VLAN を構成して、この仮想 IP アドレスの到達可能性を有効にする必要がある場合があります。

インターフェイスの構成

[編集 (Edit)] リンクをクリックすると、特定のインターフェイスの設定を更新するためのダイアログが表示されます。以降のセクションでは、Edge モデルとインターフェイス タイプに対して表示されるさまざまなダイアログについて簡単に説明します。

Edge 500 LAN アクセス

次に、アクセス ポートとして構成された Edge 500 LAN インターフェイスのパラメータを示します。ポートの VLAN を選択し、[L2 設定 (L2 Settings)] の [自動ネゴシエーション (Autonegotiate)](デフォルトでオン)、[速度 (Speed)]、[二重 (Duplex)] のタイプ、および [MTU] のサイズ(デフォルトは 1500)を選択できます。

configure-profile-device-settings-e500-lan-access

Edge 500 LAN トランク

次に、トランク ポートとして構成された Edge 500 LAN インターフェイスのパラメータを示します。ポートの VLAN、タグなし VLAN データの処理方法(特定の VLAN にルーティング、またはドロップ)を選択し、[L2 設定 (L2 Settings)] の [自動ネゴシエーション (Autonegotiate)](デフォルトでオン)、[速度 (Speed)]、[二重 (Duplex)] のタイプ、および [MTU] のサイズ(デフォルトは 1500)を選択できます。

configure-profile-device-settings-e500-lan-trunk

Edge 1000 LAN アクセス

次に、スイッチ アクセス ポートとして構成された Edge 1000 LAN インターフェイスのパラメータを示します。ポートの VLAN を選択し、[L2 設定 (L2 Settings)] の [自動ネゴシエーション (Autonegotiate)](デフォルトでオン)、[速度 (Speed)]、[二重 (Duplex)] のタイプ、および [MTU] のサイズ(デフォルトは 1500)を選択できます。

configure-profile-device-settings-e1000-lan-access

Edge 1000 LAN トランク

次に、トランク ポートとして構成された Edge 1000 LAN インターフェイスのパラメータを示します。ポートの VLAN、タグなし VLAN データの処理方法(特定の VLAN にルーティング、またはドロップ)を選択し、[L2 設定 (L2 Settings)] の [自動ネゴシエーション (Autonegotiate)](デフォルトでオン)、[速度 (Speed)]、[二重 (Duplex)] のタイプ、および [MTU] のサイズ(デフォルトは 1500)を選択できます。

configure-profile-device-settings-e1000-lan-trunk

Edge 500 WAN

次に、[機能 (Capability)] が [ルーティング (Routed)] に設定された Edge 500 WAN インターフェイスのパラメータを示します。[アドレス指定のタイプ (Addressing Type)]([DHCP]、[PPPoE]、または [静的 (Static)])、[WAN オーバーレイ (WAN Overlay)]([自動検出 (Auto-detect)] または [ユーザー定義 (User Defined)])を選択し、[OSPF] を有効にし、[NAT ダイレクト トラフィック (NAT Direct Traffic)] を有効にし、[L2 設定 (L2 Settings)] の [自動ネゴシエーション (Autonegotiate)](デフォルトでオン)、[速度 (Speed)]、[二重 (Duplex)] のタイプ、および [MTU] のサイズ(デフォルトは 1500)を選択できます。

注: ポートはスイッチ インターフェイスとして構成することもできます。

configure-profile-device-settings-e500-wan

Edge 1000 WAN

次に、[機能 (Capability)] が [ルーティング (Routed)] に設定された Edge 1000 WAN インターフェイスのパラメータを示します。[アドレス指定のタイプ (Addressing Type)]([DHCP]、[PPPoE]、または [静的 (Static)])、[WAN オーバーレイ (WAN Overlay)]([自動検出 (Auto-detect)] または [ユーザー定義 (User Defined)])を選択し、[OSPF] を有効にし、[NAT ダイレクト トラフィック (NAT Direct Traffic)] を有効にし、[L2 設定 (L2 Settings)] の [自動ネゴシエーション (Autonegotiate)](デフォルトでオン)、[速度 (Speed)]、[二重 (Duplex)] のタイプ、および [MTU] のサイズ(デフォルトは 1500)を選択できます。

注: ポートはスイッチ インターフェイスとして構成することもできます。

configure-profile-device-settings-e1000-wan

Edge 500 WLAN

最初に、SD-WAN Edge 500 に対して 2 つの Wi-Fi ネットワークが定義されています。1 つは企業ネットワーク、もう 1 つはゲスト ネットワーク(最初は無効)です。それぞれに特定の VLAN、SSID、およびセキュリティ構成を持つ追加のワイヤレス ネットワークを定義できます。

configure-profile-device-settings-e500-wlan

Wi-Fi 接続のセキュリティ

Wi-fi 接続のセキュリティは、次の 3 種類のいずれかになります。

タイプ 説明
オープン (Open) セキュリティは適用されません。
WPA2/個人 (WPA2 / Personal) パスワードは、ユーザーの認証に使用されます。
WPA2/エンタープライズ (WPA2 / Enterprise) Radius サーバは、ユーザーの認証に使用されます。このシナリオでは、[ネットワーク サービス (Network Services)] で RADIUS サーバを構成し、[デバイス (Device)] ページの [プロファイル認証設定 (Profile Authentication Settings)] で RADIUS サーバを選択する必要があります。[セキュリティ (Security)] のデフォルト設定は、[Edge デバイス (Edge Device)] ページでオーバーライドすることもできます。