このセクションでは、VMware SD-WAN を使用する場合の理解に役立つ基本概念について説明します。

構成

VMware SD-WAN サービスには、階層関係にある 4 つのコア構成があります。これらの構成は SD-WAN Orchestrator で作成され、その値が入力されます。

config-relationships-simple

次の表に、4 つの構成の概要を示します。

構成 説明
ネットワーク アドレス指定や VLAN などの基本的なネットワーク構成を定義します。ネットワークは、企業またはゲストとして指定することができ、それぞれに複数の定義を含めることができます。
ネットワーク サービス バックホール サイト、クラウド VPN ハブ、Non-VMware SD-WAN Sites、クラウド プロキシ サービス、DNS サービス、認証サービスなど、VMware SD-WAN サービスで使用されるいくつかの一般的なサービスを定義します。
プロファイル 複数の Edge に適用できるテンプレート構成を定義します。プロファイルを構成するには、ネットワークとネットワーク サービスを選択します。プロファイルは、1 つまたは複数の Edge モデルに適用することができ、LAN、インターネット、ワイヤレス LAN、および WAN Edge インターフェイスの設定を定義します。また、プロファイルでは、Wi-Fi 無線、SNMP、NetFlow、ビジネス ポリシー、およびファイアウォール構成の設定を指定することもできます。
Edge Edge デバイスにダウンロードできる設定一式を指定する構成。Edge 構成は、選択されたプロファイル、選択されたネットワーク、およびネットワーク サービスの設定を組み合わせたものです。また、Edge 構成を使用して、プロファイル、ネットワーク、およびネットワーク サービスで定義されている設定をオーバーライドしたり、順序付きポリシーを追加したりすることもできます。

次の図に、もう少し詳しく把握できるように、複数の Edge、プロファイル、ネットワーク、およびネットワーク サービスの関係の概要を示します。

config-relationships

1 つのプロファイルを複数の Edge に割り当てることができるという点に注意してください。個々のネットワーク構成は、複数のプロファイルで使用できます。ネットワーク サービス構成は、すべてのプロファイルで使用されます。

上記の図では、Edge、プロファイル、ネットワーク、およびネットワーク サービスの構成設定の拡張ビューも示しています。これらについては以下のセクションで説明します。また、以下のセクションで、4 つのコア構成についてもう少し詳しく説明します。

ネットワーク (Networks)

ネットワークは、Edge のネットワーク アドレス空間と VLAN 割り当てを定義する標準構成です。ネットワークでは、次の 2 つのネットワーク タイプを設定します。
  • 企業(または信頼できるネットワーク)
  • ゲスト(または信頼できないネットワーク)

複数の企業ネットワークとゲスト ネットワークを定義することができます。VLAN は、企業ネットワークとゲスト ネットワークの両方に割り当てることができます。

  • 企業ネットワークでは、重複アドレスと非重複アドレスのどちらかを設定することができます。重複アドレスの場合、ネットワークを使用するすべての Edge のアドレス空間が同じになります。重複アドレスは、VPN 以外の構成に関連付けられます。
  • ゲスト ネットワークでは必ず重複アドレスを使用します。

[非重複アドレス] を使用すると、アドレス空間が同じ数のアドレスを含むブロックに分割されます。非重複アドレスは、VPN 構成に関連付けられます。各 Edge のアドレス セットが一意になるように、アドレス ブロックは、ネットワークを使用する Edge に割り当てます。[非重複アドレス] は、[Edge 間] および [Edge]Non-VMware SD-WAN Site 間 の VPN 通信に必要です。VMware SD-WAN 構成は、VPN アクセスのためのエンタープライズ データセンター ゲートウェイへのアクセスに必要な情報を作成します。以下の図は、どのようにしてネットワーク構成の一意の IP アドレス ブロックが SD-WAN Edges に割り当てられるかを示しています。また、どのようにして IPsec 構成が SD-WAN Orchestrator によって生成されるかも示しています。エンタープライズ データセンター ゲートウェイの管理者は、Non-VMware SD-WAN Site の VPN 構成時に生成された IPsec 構成情報を使用して、Non-VMware SD-WAN Site への VPN トンネルを構成します。

vc-vpn

注: 非重複アドレス指定を使用する場合、ユーザーが予測したネットワーク構成を使用する Edge の最大数に基づいて SD-WAN Orchestrator がアドレスのブロックを自動的に割り当てます。

ネットワーク サービス

SD-WAN Orchestrator のネットワーク サービスでは、エンタープライズ ネットワーク サービスを定義することができます。これらの定義は、すべてのプロファイルで使用できます。これには、認証、クラウド プロキシ、Non-VMware SD-WAN Sites、および DNS のサービスが含まれます。使用可能なサービスは、ネットワーク サービスで定義されますが、プロファイルで割り当てられていない限り使用されません。

プロファイル

プロファイルで 1 つまたは複数の SD-WAN Edges の標準構成を定義します。プロファイルとは、一連の VLAN、クラウド VPN 設定、インターフェイス設定(有線および無線)、ならびにネットワーク サービス(DNS 設定、認証設定、クラウド プロキシ設定、Non-VMware SD-WAN Sites への VPN 接続など)を定義する名前付きの構成です。

プロファイルは、VPN 用に構成された Edge のクラウド VPN 設定を指定します。クラウド VPN 設定によって、Edge 間および Edge と Non-VMware SD-WAN Site 間の VPN 接続を有効または無効にすることができます。

プロファイルでは、VMware SD-WAN のビジネス ポリシーとファイアウォール設定のルールおよび構成を定義することもできます。

Edge

Edge 構成にはプロファイルの割り当てが含まれ、ほとんどの Edge 構成はプロファイルを基に作成されます。

プロファイル、ネットワーク、またはネットワーク サービスで定義されるほとんどの設定は、変更せずに Edge 構成で使用することができます。ただし、特定のシナリオ用に Edge を調整するため、Edge 構成のいくつかの要素をオーバーライドしたり、順序付きポリシーを追加したりすることができます。  これには、インターフェイス、Wi-Fi 無線設定、DNS、認証、ビジネス ポリシー、およびファイアウォールの設定が含まれます。

プロファイルやネットワーク構成に含まれていない設定を補うため、Edge 構成に設定を追加することもできます。これには、サブネット アドレス指定、スタティック ルート設定、および受信ファイアウォール ルール(ポート転送と 1 対 1 の NAT に関するもの)が含まれます。

Orchestrator の構成のワークフロー

VMware SD-WAN は複数の構成シナリオをサポートします。ここでは、一般的なシナリオをいくつか紹介します。

シナリオ 説明
SaaS Edge 間の VPN 接続あるいは Non-VMware SD-WAN Site または VMware SD-WAN Site への VPN 接続を必要としない Edge に使用します。このワークフローでは、企業ネットワークのアドレス指定で重複アドレスが使用されているものとします。
VPN を経由する Non-VMware SD-WAN Site Amazon Web Services、Zscaler、Cisco ISR、または ASR 1000 シリーズなど、Non-VMware SD-WAN Site への VPN 接続を必要とする Edge に使用します。このワークフローでは、企業ネットワークのアドレス指定で非重複アドレスが使用されており、プロファイルで Non-VMware SD-WAN Sites が指定されているものとします。
VMware SD-WAN Site VPN Edge ハブやクラウド VPN ハブなど、VMware SD-WAN Site への VPN 接続を必要とする Edge に使用します。このワークフローでは、企業ネットワークのアドレス指定で非重複アドレスが使用されており、プロファイルで VMware SD-WAN Sites が指定されているものとします。

各シナリオには、SD-WAN Orchestrator での構成に関する主な手順として以下の 4 つがあります。

[手順 1]:ネットワーク

[手順 2]:ネットワーク サービス

[手順 3]:プロファイル

[手順 4]:Edge

以下の表に、各ワークフローのクイック スタート構成に必要な手順の概要を示します。クイック スタート構成では、事前構成済みのネットワーク、ネットワーク サービス、およびプロファイル構成が使用されます。また、VPN 構成では、既存の VPN プロファイルに何らかの変更を加えたり、VMware SD-WAN Site または Non-VMware SD-WAN Site の構成を作成したりすることも必要になります。最後の手順では、新しい Edge を作成してアクティベーションします。その他の詳細(画面キャプチャを含む)は、クイック スタート構成セクションで確認できます。

クイック スタート構成の手順

SaaS

Non-VMware SD-WAN Site VPN

VMware SD-WAN Site VPN

手順 1:ネットワーク [クイック スタート インターネット ネットワーク (Quick Start Internet Network)] を選択 [クイック スタート VPN ネットワーク (Quick Start VPN Network)] を選択 [クイック スタート VPN ネットワーク (Quick Start VPN Network)] を選択
手順 2:ネットワーク サービス 事前構成済みのネットワーク サービスを使用 事前構成済みのネットワーク サービスを使用 事前構成済みのネットワーク サービスを使用
手順 3:プロファイル [クイック スタート インターネット プロファイル (Quick Start Internet Profile)] を選択

[クイック スタート VPN プロファイル (Quick Start VPN Profile)] を選択

クラウド VPN を有効にし、Non-VMware SD-WAN Sites を構成

[クイック スタート VPN プロファイル (Quick Start VPN Profile)] を選択

クラウド VPN を有効にし、VMware SD-WAN Sites を構成

手順 4:Edge 新しい Edge を追加してアクティベーション

新しい Edge を追加してアクティベーション

新しい Edge を追加してアクティベーション