VMware SD-WAN ソリューションは、Palo Alto Networks VM-series、Fortinet FortiGate VNF、および Check Point CloudGuard Edge VNF などのサードパーティ製ファイアウォールをサポートします。SD-WAN Edge で VNF を介してトラフィックを正常にデプロイして転送するには、以下のセクションを参照してください。

開始する前に:

  • SD-WAN Edge 520V または 840 が有効になっている必要があります。
  • SD-WAN Orchestrator バージョン 3.3.2 以降が必要です。
  • SD-WAN Edge ソフトウェア バージョン 3.3.2 以降を実行している必要があります。
  • VNF Manager アドオンのライセンスが必要です。

このタスクについて:

このセクションの手順では、SD-WAN Orchestrator を介して VNF インスタンスを構成する方法について説明します。このタスクでは、選択したサードパーティ製ファイアウォールから、Orchestrator の外部で追加の手順を実行する必要があります。追加の手順については、適切なデプロイ ガイドを参照してください。

注: オペレータ スーパー ユーザーおよび標準オペレータのみが Edge NFV およびセキュリティ VNF を有効にできます。ビジネス スペシャリスト オペレータおよびサポート オペレータは、自分のオペレータに問い合わせてアクセス権を要求する必要があります。アクセスできない場合は、VNF を構成するためにオペレータがこの機能を有効にする必要があります。オペレータ アクセス権がある場合は、次の手順のセクションの「手順 1:Edge NFV およびセキュリティ VNF を有効にする」を参照してください。

VNF インスタンスを構成する手順:

手順 1:Edge NFV およびセキュリティ VNF を有効にする

  1. 必要なオペレータ アクセス権がある場合は、SD-WAN Orchestrator のナビゲーション パネルで [構成 (Configure)] > [ユーザー (Customer)] の順に移動します。

    [ユーザー構成 (Customer Configuration)] 画面が表示されます。

  2. [Edge NFV] 領域で、[Edge NFV の有効化 (Enable Edge NFV)] チェックボックスをオンにします(次の図を参照)。
  3. [セキュリティ VNF] 領域で、[Check Point Networks ファイアウォールを有効化 (Enable Check Point Networks Firewall)][Fortinet Networks ファイアウォールを有効化 (Enable Fortinet Networks Firewall)]、または [Palo Alto Networks ファイアウォールを有効化 (Enable Palo Alto Networks Firewall)] から、該当するセキュリティ VNF を有効にします。

    [Edge NFV] を有効にして [セキュリティ VNF (Security VNF)] を選択すると、[Edge NFV の有効化 (Enable Edge NFV)] チェックボックスが無効になります。これは、ネットワーク サービスが関連付けられているためです。

  4. [変更の保存 (Save Changes)] ボタンをクリックします。

手順 2:VNF インスタンスを定義する

  1. SD-WAN Orchestrator で、[構成 (Configure)] > [ネットワーク サービス (Network Services)] の順に移動します。

    [サービス (Services)] 画面が表示されます。

  2. [VNF (VNFs)] 領域で、[新規 (New)] ボタンをクリックします。

    [VNF サービス管理の構成 (VNF Service Management Configuration)] ダイアログ ボックスが表示されます。

  3. [VNF サービス管理の構成 (VNF Service Management Configuration)] ダイアログ ボックスで、次の手順を実行します。
    1. 適切なテキスト ボックスに VNF サービス インスタンスの名前を入力します。
    2. [VNF タイプ (VNF Type)] ドロップダウン メニューで、[Check Point ファイアウォール (Check Point Firewall)]、[Fortinet ファイアウォール (Fortinet Firewall)]、または [Palo Alto Networks ファイアウォール (Palo Alto Networks Firewall)] から、該当する VNF タイプを選択します。
      注: [VNF サービス管理の構成 (VNF Service Management Configuration)] ダイアログ ボックスには、選択した VNF タイプに応じて異なる情報が必要になります。[Palo Alto Networks ファイアウォール (Palo Alto Networks Firewall)] を選択した場合は、手順 3c を参照してください。[Check Point ファイアウォール (Check Point Firewall)] を選択した場合は、手順 3d を参照してください。[Fortinet ファイアウォール (Fortinet Firewall)] を選択した場合は、手順 3e を参照してください。次の該当する手順に従って、 [VNF サービス管理の構成 (VNF Service Management Configuration)] ダイアログ ボックスで必要な情報のタイプを確認します。
    3. VNF タイプとして [Palo Alto Networks ファイアウォール (Palo Alto Networks Firewall)] を選択した場合は、次の手順の説明に従って、[VNF サービス管理の構成 (VNF Service Management Configuration)] ダイアログ ボックスに次のように入力します。

      configure-vnf-dialog

      1. 必要に応じて、[プライマリ Panorama の IP アドレス (Primary Panorama IP Address)][セカンダリ Panorama の IP アドレス (Secondary Panorama IP Address)] を入力します。
      2. 該当するテキスト ボックスに [Panorama 認証キー (Panorama Auth Key)] を入力します。ユーザーは、Panorama で認証キーのパスワードを構成する必要があります。VNF は、認証キーを使用して、Panorama にログインして通信します。
      3. [変更の保存 (Save Changes)] をクリックします。

        [VNF (VNFs)] 領域が更新され、新しく作成した VNF 構成が表示されます。

        config-vnfs-vnfs-area
      4. Palo Alto Networks の VNF ライセンスを定義します(これらのライセンスは、1 つ以上の VNF が構成された Edge に適用されます)。
        • [VNF ライセンス (VNF Licenses)] 領域で、[新規 (New)] ボタンをクリックします([構成 (Configure)] > [ネットワーク サービス (Network Services)] 画面)。
        • [VNF ライセンスの構成 (VNF License Configuration)] ダイアログ ボックスで、次の手順を実行します。
          • 適切なテキスト ボックスに名前を入力します。
          • [VNF タイプ (VNF Type)] ドロップダウン メニューで、使用可能な唯一のオプションである [Palo Alto Networks ファイアウォール (Palo Alto Networks Firewall)] を選択します。
          • 適切なテキスト ボックスに [License Server の API キー (License Server API Key)] を入力します。ユーザーは、Palo Alto Networks アカウントからこのキーを取得します。SD-WAN Orchestrator は、このキーを使用して Palo Alto Networks の License Server と通信します。
          • [認証コード (Auth Code)] テキスト ボックスに認証コードを入力します。ユーザーは、Palo Alto Networks から認証コードを購入する必要があります。次の図を参照してください。

            configure-vnfs-vnf-license-config-dialog

          • [テスト (Test)] ボタンをクリックして、構成を検証します。
          • 構成が有効な場合は、[テスト (Test)] ボタンの横に確認のインジケータが表示されます。
          • 構成が有効でない場合は、[テスト (Test)] ボタンの横に無効メッセージのアイコンが表示されます。

            configure-vnfs-vnf-license-config-dialog-valid

          • [変更の保存 (Save Changes)] をクリックします。ユーザーは、これらのライセンスの 1 つ以上を VNF が構成された Edge に適用できるようになりました。

            次の図に示すように、[VNF ライセンス (VNF Licenses)] 領域が更新されます。

            configure-vnfs-vnf-license-area-populated-updates

          • 「手順 3:VNF で Edge 固有の設定を構成する」に進みます。
    4. VNF タイプとして [Check Point ファイアウォール (Check Point Firewall)] を選択した場合は、次の説明に従って、[VNF サービス管理の構成 (VNF Service Management Configuration)] ダイアログ ボックスに次のように入力します。(以下の図を参照。)

      1. 適切なテキスト ボックスに VNF サービス インスタンスの名前を入力します。
      2. [VNF タイプ (VNF Type)] ドロップダウン メニューで、[Check Point ファイアウォール (Check Point Firewall)] を選択します。
      3. 該当するテキスト ボックスに [プライマリ Check Point 管理サーバの IP アドレス (Primary Check Point Mgmt Server IP)] を入力します。これは Check Point CloudGuard Edge が接続する Check Point Smart Console の IP アドレスです。
      4. 該当するテキスト ボックスに、[管理サーバ アクセス用の SIC キー (SIC Key for Mgmt Server Access)] を入力します。これは、VNF を Check Point Smart Console に登録するために使用されるパスワードです。
      5. 該当するテキスト ボックスに [VNF イメージの場所 (VNF Image Location)] を入力します。これは、SD-WAN Orchestrator が VNF イメージをダウンロードするイメージの場所です。
      6. [イメージ バージョン (Image Version)] ドロップダウン メニューから、Check Point VNF イメージのバージョンを選択します。
      7. [ファイル チェックサム タイプ (File Checksum Type)] 自動入力フィールド - VNF イメージを検証するために使用する方法を指定します。このフィールドは、上記の手順でイメージ バージョンを選択した後に自動的に入力されます。
      8. [ファイル チェックサム (File Checksum)] 自動入力フィールド - VNF イメージを検証するために使用するチェックサムを指定します。このフィールドは、上記の手順でイメージ バージョンを選択した後に自動的に入力されます。
      9. [ダウンロード タイプ (Download Type)] ラジオ ボタン - 「s3」または「https」のいずれかのオプションを選択して、イメージを使用できる場所を指定します。注:「https」を選択した場合は、適切なテキスト フィールドにユーザー名とパスワードを入力します。「s3」を選択した場合は、適切なテキスト フィールドに AccessKeyid と SecretAccessKey を入力します。
      10. [変更の保存 (Save Changes)] ボタンをクリックします。

        [VNF (VNFs)] 領域が更新され、新しく作成した VNF 構成が表示されます(次の図を参照)。

      11. 「手順 3:VNF で Edge 固有の設定を構成する」に進みます。
    5. VNF タイプとして [Fortinet ファイアウォール (Fortinet Firewall)] を選択した場合は、[VNF サービス管理の構成 (VNF Service Management Configuration)] ダイアログ ボックスで次の手順を実行します。

      1. 適切なテキスト ボックスに VNF サービス インスタンスの名前を入力します。
      2. ドロップダウン メニューから VNF タイプに [Fortinet ファイアウォール (Fortinet Firewall)] を選択します。
      3. 該当するテキスト ボックスに [Fortinet 管理サーバの IP アドレス (Fortinet Mgmt Server IP)] を入力します。これは、FortiGate が接続するための FortiManager の IP アドレスです。
      4. [登録パスワード (Registration Password)] を入力します。これは、VNF を FortiManager に登録するために使用されるパスワードです。
      5. [VNF イメージの場所 (VNF Image Location)] を入力します。これは、SD-WAN Orchestrator が VNF イメージをダウンロードするイメージの場所です。
      6. [イメージ バージョン (Image Version)] ドロップダウン メニューから、Fortinet VNF イメージのバージョンを選択します。
      7. [ファイル チェックサム タイプ (File Checksum Type)] テキスト ボックス - VNF イメージを検証するために使用する方法を指定します。このフィールドは、上記の手順でイメージ バージョンを選択した後に自動的に入力されます。
      8. [ファイル チェックサム (File Checksum)] テキスト ボックス - VNF イメージを検証するために使用するチェックサムを指定します。このフィールドは、上記の手順でイメージ バージョンを選択した後に自動的に入力されます。
      9. [ダウンロード タイプ (Download Type)] ラジオ ボタン - 「s3」または「https」のいずれかのオプションを選択して、イメージを使用できる場所を指定します。注:「https」を選択した場合は、適切なテキスト フィールドにユーザー名とパスワードを入力します。「s3」を選択した場合は、適切なテキスト フィールドに AccessKeyid と SecretAccessKey を入力します。
      10. [変更の保存 (Save Changes)] ボタンをクリックします。

        [VNF (VNFs)] 領域が更新され、新しく作成した VNF 構成が表示されます(次の図を参照)。

      11. 「手順 3:VNF で Edge 固有の設定を構成する」に進みます。

手順 3:VNF で Edge 固有の設定を構成する

  1. SD-WAN Orchestrator ナビゲーション パネルで、[構成 (Configure)] > [Edge (Edges)] > [デバイス (Device)] タブの順に移動します。
  2. [Edge (Edges)] 画面で Edge を選択します。
  3. [デバイス (Device)] タブをクリックします。
  4. [デバイス (Device)] タブ画面で、[セキュリティ VNF (Security VNF)] 領域まで下にスクロールし、[編集 (Edit)] ボタンをクリックします。

    [Edge VNF の構成 (Edge VNF Configuration)] ダイアログ ボックスが表示されます。

  5. [Edge VNF の構成 (Edge VNF Configuration)] ダイアログで、[デプロイ (Deploy)] チェックボックスをオンにします(次の図を参照)。
  6. [Edge VNF の構成 (Edge VNF Configuration)] ダイアログ ボックスで、[デプロイ (Deploy)] チェックボックスをオンにします。

    config-vnfs-edge-vnf-config

  7. [Edge VNF の構成 (Edge VNF Configuration)] ダイアログ ボックスの [仮想マシンの構成 (VM Configuration)] 領域で、次の手順を実行します。
    1. ドロップダウン メニューから [VLAN] を選択します(この VLAN は VNF 管理に使用されます)。
    2. [管理 IP アドレス (Management IP)] を入力します。VNF が作成されると、VLAN インターフェイスの IP アドレスがデフォルト ゲートウェイとして自動的に指定されることに注意してください。
    3. 該当するテキスト ボックスに [ホスト名 (Hostname)] を入力します。
    4. [デプロイの状態 (Deployment State)] を選択します。デプロイの状態のタイプは、以下のように、事前定義された「セキュリティ VNF」ネットワーク サービスのタイプに基づいて決定されます。
      • セキュリティ VNF として Fortinet または Check Point を選択する場合は、次の 2 つの [デプロイの状態 (Deployment States)] のいずれかを選択します:「イメージをダウンロード済み」で「パワーオン」または「イメージをダウンロード済み」で「パワーオフ」(これらの状態の説明については、次の表を参照してください)。
      • セキュリティ VNF として Palo Alto Networks を選択する場合は、次の 2 つの [デプロイの状態 (Deployment States)] のいずれかを選択します:「パワーオン」または「パワーオフ」(これらの状態の詳細については、次の表を参照してください)。
        状態 定義
        パワーオン (Powered On) Edge でファイアウォール VNF を構築した後、パワーオンします。
        パワーオフ (Powered Off) Edge でファイアウォール VNF を構築した後、パワーオフのままにします。
        注: トラフィックは、VNF が「パワーオン」状態にあるときにのみ VNF を転送します。この場合、VNF の挿入用に少なくとも 1 つの VLAN またはルーティング インターフェイスを構成する必要があります。VNF を経由してトラフィックを送信する場合は、[パワーオフ (Powered Off)] を選択しないでください。
    5. [セキュリティ VNF (Security VNF)] ドロップダウン メニューで、事前定義済みの VNF ネットワーク サービスまたは新しいネット ワーク サービスのいずれかを選択します(後者のオプションを選択した場合は、[ネットワーク サービスの VNF 構成 (Network Service VNF Configuration)] ダイアログ ボックスが開き、新しい VNF サービスを作成できます)。
      • [セキュリティ VNF として [Palo Alto] を選択した場合:]
        • [ライセンス (License)] ドロップダウン メニューからライセンスを選択します。
        • 適切なテキスト ボックスに [デバイス グループ名 (Device Group Name)][構成テンプレート名 (Config Template Name)] を入力します([デバイス グループ名 (Device Group Name)] と [構成テンプレート名 (Config Template Name)] は、Panorama サーバで事前に構成されています)。
        • [更新 (Update)] ボタンをクリックします。

          [セキュリティ VNF (Security VNF)] パネルが更新されます。

          config-vnfs-security-vnf

      • [セキュリティ VNF として [Fortinet] を選択した場合:]
        • [検査 (Inspection)] モードを選択します(デフォルトでは [プロキシ (Proxy)] モードが選択されています)。
        • ライセンス ファイルを、画面下部にある [ライセンス (License)] ボックスにドラッグします。

          [更新 (Update)] ボタンをクリックします。

          [セキュリティ VNF (Security VNF)] パネルが更新されます。
      • [セキュリティ VNF として [Check Point] を選択した場合:]
        • [セキュリティ VNF (Security VNF)] ドロップダウン メニューから [Check Point] を選択します。
        • [更新 (Update)] ボタンをクリックします。

          [セキュリティ VNF (Security VNF)] パネルが更新されます。

手順 4:VNF をデータプレーンに挿入する

VNF は、VLAN とルーティング インターフェイスの両方に挿入できます。ルーティング インターフェイスを使用することを選択した場合は、信頼できる送信元がオンになっていて、そのインターフェイスで WAN オーバーレイが無効になっていることを確認します。

  1. SD-WAN Edge[デバイス (Device)] タブ画面が表示されていない場合は、SD-WAN Orchestrator のナビゲーション パネルで [構成 (Configure)] > [Edge (Edges)] の順に移動します。
  2. Edge を選択し、[デバイス (Device)] 列で、選択した Edge に関連付けられている [デバイス (Device)] アイコンをクリックします。
  3. 下にスクロールして、[VLAN の構成 (Configure VLAN)] 領域に移動します。
  4. 該当する VLAN の [編集 (Edit)] リンクをクリックします。
  5. [VLAN] ダイアログ ボックスで、[VNF 挿入 (VNF Insertion)] チェックボックスをオンにして、VNF を VLAN に挿入します。この手順では、トラフィックを特定の VLAN から VNF にリダイレクトします。

    configure-vnfs-vnf-insertion-checkbox-configure-vlan

    config-vnfs-configure-vlan-table

  6. VNF をレイヤー 3 のインターフェイスまたはサブインターフェイスに挿入します。この手順では、トラフィックを特定のレイヤー 3 インターフェイスまたはサブインターフェイスから VNF にリダイレクトします。

(オプション)手順 5:セグメントとサービス VLAN 間のマッピングを定義する

この手順は、複数のトラフィック セグメントを VNF にリダイレクトする必要がある場合に適用されます。

次の図に示すように、VNF が挿入されたセグメントには一意の VLAN ID が割り当てられます。VNF の FW ポリシーは、これらの VLAN ID を使用して定義されます。これらのセグメント内の VLAN およびインターフェイスからのトラフィックには、その特定のセグメントに割り当てられた VLAN ID がタグ付けされます。

configure-vnfs-step3-diagram1

次の図は、前の図の [FW VNF] 領域を拡大したものです。

ファイアウォール VNF については次の点に注意してください(以下の図は、Palo Alto Networks のみを対象としています)。

  • VLAN ID ごとに 1 つの仮想ワイヤー
  • サブインターフェイスのペアは、仮想ワイヤーごとに Panorama に作成する必要がある
  • FW ポリシーは仮想ワイヤーに関連付けられている
  • 重複するアドレスは、個別の仮想ワイヤーで使用できる

    configure-vnfs-step3-diagram2

[セグメントとサービス VLAN 間のマッピングを定義するには(手順 3)、次のサブステップを完了します。]

  1. [構成 (Configure)] > [セグメント (Segments)] の順に移動します。
  2. 使用可能なセグメントについては、各セグメントのサービス VLAN を入力します。

    config-vnfs-configure-segments

  3. [変更の保存 (Save Changes)] をクリックします。