概要

VMware SD-WAN™ は、エンタープライズ プロバイダとサービス プロバイダが同時に複数の WAN トランスポートを使用できるようにするソリューションです。これにより、帯域幅を増やし、アプリケーションのパフォーマンスを確保できます。このソリューションは、オンプレミス アプリケーションとクラウド アプリケーション (SaaS/IaaS) の両方で機能します。複数のトンネルを持つオーバーレイ ネットワークを構築するクラウド配信アーキテクチャを使用します。WAN 転送の変化をリアルタイムで監視し、それに適応します。Dynamic Multipath Optimization (DMPO) は、オーバーレイ ネットワークの耐障害性を高 VMware SD-WAN 開発したテクノロジーです。WAN リンクのリアルタイム パフォーマンスが考慮されます。このドキュメントでは、DMPO の主な機能とメリットについて説明します。

次の図は、マルチ クラウドの Non SD-WAN Destination を使用した一般的な SD-WAN の展開を示しています。

主な機能

継続的な監視

[自動帯域幅検出]：VMware SD-WAN Edge によって WAN リンクが検出されると、最初に 1 つ以上の VMware SD-WAN Gateway との DMPO トンネルを確立し、最も近い Gateway で帯域幅テストを実行します。帯域幅テストは、双方向トラフィックの短いバーストを送信し、各端で受信速度を測定することによって実行されます。Gateway はインターネット PoP に展開されるため、Edge インターフェイスが NAT または PAT デバイスの背後にある場合に備えて、WAN リンクの実際のパブリック IP アドレスを識別することもできます。プライベート リンクにも同様のプロセスが適用されます。ハブまたはヘッドエンドとして機能する Edge の場合、WAN 帯域幅は静的に定義されます。ただし、ブランチ Edge がハブ Edge との DMPO トンネルを確立すると、パブリック リンク上の Edge と Gateway の間で行われる方法と同様の帯域幅テスト手順に従います。

[継続的パス監視]：動的マルチパス最適化 (DMPO) は、任意の 2 つの DMPO エンドポイント（Edge または Gateway）間のすべてのトンネルで、各パケットの損失、遅延、ジッターなどのパフォーマンス メトリックの一方向の継続的な測定を実行します。VMware SD-WAN のパケット単位ステアリングにより、非対称ルーティングを導入することなく、アップリンクとダウンリンクの両方の方向で独立した決定を行うことができます。DMPO は、パッシブとアクティブの両方の監視アプローチを使用します。ユーザー トラフィックがある一方で、DMPO トンネル ヘッダーにはシーケンス番号やタイムスタンプなどの追加のパフォーマンス メトリックが含まれています。これにより、DMPO エンドポイントは、失われたパケットと順序外のパケットを識別し、各方向のジッターと遅延を計算できます。DMPO エンドポイントは、100 ミリ秒ごとに相互にパスのパフォーマンス メトリックを通信します。

ユーザー トラフィックがない場合、アクティブなプローブは 100 ミリ秒ごとに送信され、優先順位の高いユーザー トラフィックが 5 分間送信されないと、プローブの周波数は 500 ミリ秒に減らされます。この包括的な測定により、DMPO は基盤となる WAN 状態の変化に非常に迅速に対応できるため、帯域幅キャパシティの突然の低下や WAN の停止に対して 1 秒以下の保護を提供できます。

[MPLS サービス クラス (CoS)]：CoS 契約を持つプライベート リンクの場合、監視とアプリケーション ステアリングの両方の決定で CoS を考慮するように DMPO を設定できます。

動的アプリケーション ステアリング

[アプリケーション対応のパケット別ステアリング]：動的マルチパス最適化 (DMPO) は、VLAN、IP アドレス、プロトコル、アプリケーションなどのレイヤー 2 から 7 の属性を使用してトラフィックを識別します。VMware SD-WAN は、ビジネス ポリシーの設定とリアルタイムのリンク条件に基づいて、アプリケーション対応のパケット単位のステアリングを実行します。ビジネス ポリシーには、デフォルトのステアリング動作と 2,500 を超えるアプリケーションの優先順位を指定する特別な設定が不要なスマート デフォルトが含まれています。ユーザーは、ポリシーを定義することなく、動的なパケット ステアリングとアプリケーション対応の優先順位付けをすぐに使用できます。

その有効期間を通じて、トラフィック フローは、通信の途中で 1 つ以上の DMPO トンネルにステアリングされ、フローへの影響はありません。完全にダウンしたリンクは、停止状態にあると呼ばれます。特定のアプリケーションの SLA を提供できないリンクは、ブラウンアウト状態と呼ばれます。VMware SD-WAN では、1 秒後の停止と帯域幅キャパシティ保護の突然の低下が提供されます。すべての WAN リンクの継続的な監視により、DMPO は 300 ~ 500 ミリ秒の間に SLA または停止状態の突然の損失を検出し、トラフィック フローを直ちにステアリングしてアプリケーションのパフォーマンスを保護すると同時に、アクティブなフローとユーザー エクスペリエンスに影響を与えることはありません。DMPO がビジネス ポリシーで指定されている場合、DMPO がトラフィック フローを優先リンクにステアリングし直す前に、リンクのブラウンアウトまたは停止状態がクリアされてから 1 分間のホールド タイムがあります。

インテリジェント学習では、分類結果をキャッシュすることで、アプリケーションの最初のパケットに基づいてアプリケーション ステアリングを有効にします。これは、アプリケーションベースのリダイレクト（たとえば、DMPO トンネルをバイパスして Netflix をブランチ インターネット リンクにリダイレクトする、エンタープライズリージョンのハブまたはデータセンターに Office 365 をバックホールする場合など）に必要です。

[例]：スマート デフォルトは、Microsoft Skype for Business が高優先度でリアルタイム アプリケーションであるように指定します。遅延がそれぞれ 50 ミリ秒と 60 ミリ秒のリンクが 2 つあると仮定します。他のすべての SLA が等しいか、満たされていると仮定します。DMPO は、遅延が 50 ミリ秒のリンクなど、より良い遅延のリンクを選択します。Skype for Business トラフィックがステアリングされる現在のリンクで遅延が 200 ミリ秒未満の場合、1 秒以内に Skype for Business フローのパケットが別のリンクにステアリングされ、遅延が 60 ミリ秒になります。

[単一フローの帯域幅の集約]：ファイル転送など、より多くの帯域幅のメリットを利用できるアプリケーション タイプの場合、DMPO はパケット単位のロード バランシングを実行し、使用可能なすべてのリンクを使用して単一フローのすべてのパケットを宛先に配信します。DMPO はリアルタイムの WAN パフォーマンスを考慮に入れ、フローのパケットの送信に使用するパスを決定します。また、受信側で再シーケンシングを実行して、パケットごとのロード バランシングの結果として発生する順序外パケットがないようにします。

[例]：2 つの 50 Mbps リンクは、単一のトラフィック フローに対して 100 Mbps の集約されたキャパシティを提供します。QoS は、集約リンク レベルと個々のリンク レベルの両方で適用されます。

オンデマンド修正

[エラーとジッターの修正]：展開されているリンクが 1 つの場合、または同時に複数のリンクで問題が発生している場合など、トラフィック フローをより適切なリンクにステアリングできないシナリオでは、動的マルチパス最適化 (DMPO) により、WAN リンクに問題がある期間のエラー修正を有効にできます。使用されるエラー修正のタイプは、アプリケーションのタイプとエラーのタイプによって異なります。

音声フローや動画フローなどのリアルタイム アプリケーションは、パケット ロスがある場合に[前方誤り訂正 (FEC)] を利用できます。DMPO は、単一または複数のリンクで FEC を自動的に有効にします。複数のリンクがある場合、DMPO は FEC の任意の時点で最高のリンクを 2 つまで選択します。複製されたパケットは破棄され、受信側で順序の外れたパケットが最終宛先に配信される前に順序が変更されます。

DMPO を使用すると、WAN リンクでジッターが発生した場合に、リアルタイム アプリケーションのジッター バッファが有効になります。ファイル転送などの TCP アプリケーションは、Negative Acknowledgement (NACK) のメリットがあります。パケットが見つからないことを検出すると、受信 DMPO エンドポイントは送信 DMPO エンドポイントに、欠落しているパケットを再送信するように通知します。これにより、エンド アプリケーションがパケット ロスを検出するのを防ぎ、結果として TCP ウィンドウを最大化し、損失状態でも高い TCP スループットを提供します。

パケット ロスが特定のしきい値を超えると、パケットの複製による[アダプティブ前方誤り訂正 (FEC)] の開始が求められます。適用されるエラー修正は、トラフィック クラスに基づいています。

• [トランザクション/バルク トラフィック]：この場合、NACK ベースの再送信アルゴリズムを適用します。このアルゴリズムは VCMP プロトコル レベルで実行され、アプリケーションにパケットを渡す前にエラー状態の修正を試みます。
• [リアルタイム トラフィック]：この場合、パケットの複製（損失 SLA 違反時に有効化/無効化）またはジッター バッファの修正（ジッター SLA 違反時。これは有効化のみ可能で、フローの存続期間中持続します）にアダプティブ FEC を適用します。

リンク SLA（損失、遅延、ジッター）は定期的に監視および測定され、FEC（パケット重複）はリアルタイム トラフィックのしきい値違反（音声アプリケーションとビデオ アプリケーションの異なる値）に対して有効になります。

単一の WAN リンクシナリオでは、重複するパケットが互いに隣接する同じリンクで送信されます。輻輳によるパケット ドロップはランダムであるため、2 つの隣接するパケットがドロップされる可能性は統計的に低いため、パケットの 1 つが宛先に送信される可能性が大幅に高くなります。複製されたパケットは、2 つ以上の WAN リンクの場合は個別のリンクで送信されます。

[アダプティブ FEC] は、測定されたパケット ロスしきい値に基づいてフローごとにリアルタイムでトリガされ、パケット ロスが有効化しきい値を超えなくなると、リアルタイムで無効になります。これにより、使用可能なバンド幅が可能な限り効率的に使用され、不要なパケットの重複が回避され、リソース オーバーヘッドが削減されます。VMware のアダプティブ FEC アプローチのもう 1 つの重要なメリットは、エンドユーザー デバイスでのトランスポート ネットワークのパケット ロスの影響が最小限に抑えられる、または排除される点です。エンドユーザー デバイスでパケット ドロップが発生しない場合、再転送や、低速スタートなどの TCP 輻輳回避メカニズムが回避されます。これらが回避されないと、全体的なスループット、アプリケーションのパフォーマンス、エンドユーザー エクスペリエンスに悪影響を及ぼす可能性があります。

DMPO 実世界の結果

[シナリオ 1]：単一リンクでのブランチ間 VoIP 呼び出し。次の図の結果は、従来の WAN と VMware SD-WAN を使用した単一のインターネット リンクで FEC およびジッター修正を使用したオンデマンド修正のメリットを示しています。3.5 未満の平均意見スコア (MOS) は、音声通話またはビデオ通話では許容できない品質です。

[シナリオ 2]：単一リンクおよび複数リンクに対する VMware SD-WAN を使用した場合と使用しない場合の TCP パフォーマンス。これらの結果は、NACK がパケットごとのロード バランシングを有効にする方法を示しています。

[シナリオ 3]：MPLS リンクが停止し、インターネット (Comcast) リンクでジッターと損失の両方が発生するハイブリッド WAN シナリオ。これらの結果は、DMPO がアプリケーションをインターネット リンクにステアリングし、インターネット リンクでオンデマンド修正を有効にすることで、2 秒以内の停止からアプリケーションを保護する方法を示しています。

ビジネス ポリシー フレームワークとスマート デフォルト

ビジネス ポリシーにより、IT 管理者はアプリケーション トラフィックの QoS、ステアリング、およびサービスを制御できます。スマート デフォルトは、2,500 を超えるアプリケーションをサポートする、すぐに使用できるビジネス ポリシーを提供します。DMPO は、アプリケーションのタイプ、リアルタイム リンク条件(輻輳、遅延、ジッター、パケット ロス)、およびビジネス ポリシーに基づいてステアリングを決定します。ビジネス ポリシーの例を次に示します。

各アプリケーションにはカテゴリがあります。各カテゴリには、ビジネス優先度、ネットワーク サービス、リンク ステアリング、およびサービス クラスの組み合わせであるデフォルトのアクションがあります。カスタム アプリケーションを定義することもできます。

各アプリケーションには、[リアルタイム (Real Time)]、[トランザクション (Transactional)]、または [バルク (Bulk)] のサービス クラスがあります。サービス クラスは、DMPO がアプリケーション トラフィックを処理する方法を決定します。デフォルト アプリケーションのサービス クラスは変更できませんが、独自のカスタム アプリケーションに対して指定できます。

各アプリケーションには、[高 (High)]、[中 (Normal)]、または [低 (Low)] のビジネス優先度もあります。ビジネス優先度は、DMPO がアプリケーション トラフィックに QoS を優先順位付けして適用する方法を決定します。任意のアプリケーションのビジネス優先度を変更できます。

ネットワーク サービスには、[ダイレクト (Direct)]、[マルチパス (MultiPath)]、および [インターネット バックホール (Internet Backhaul)] の 3 種類があります。デフォルトでは、アプリケーションにはデフォルトのネットワーク サービスの 1 つが割り当てられます。このサービスはユーザーが変更できます。

トランスポート グループを使用したリンク ステアリング抽象化

ブランチとハブの場所が異なる場合、異なる WAN インターフェイスとキャリアを持つ VMware SD-WAN Edge のモデルが異なる場合があります。プロファイルを使用して一元化されたリンク ステアリング ポリシーを適用するには、インターフェイスと伝送を抽象化することが重要です。トランスポート グループは、さまざまな場所で使用されるデバイスとキャリアの実際のインターフェイスを抽象化します。プロファイル レベルのビジネス ポリシーはトランスポート グループに適用できますが、個々の Edge レベルのビジネス ポリシーはトランスポート グループ、WAN リンク(キャリア)、およびインターフェイスに適用できます。

[トランスポート グループによるリンク ステアリング]

WAN キャリア名、WAN インターフェイス名、DMPO はトランスポート グループの概念を使用して、基盤となる WAN キャリアまたはインターフェイスをビジネス ポリシー設定から抽象化します。ビジネス ポリシー設定では、トランスポート グループ(パブリック有線、パブリック 無線、プライベート 有線など)を指定できます。ステアリング ポリシーで、同じビジネス ポリシー設定を異なるデバイス タイプまたは場所に適用できるようにします。これは、WAN キャリアと WAN インターフェイスがまったく異なる場合があります。DMPO が WAN リンク検出を実行すると、トランスポート グループも WAN リンクに割り当てられます。これは、IT 管理者が物理接続または WAN キャリアを知る必要がなくなるため、ビジネス ポリシーでリンクを指定する場合に最も望ましいオプションです。

[インターフェイスによるリンク ステアリング]

リンク ステアリング ポリシーはインターフェイス(GE2、GE3 など)に適用できます。これは、Edge モデルと場所によって異なります。これは、IT 管理者が使用するインターフェイスを指定できるように Edge がどのように接続されているかを十分に認識する必要があるため、ビジネス ポリシーで使用する最も望ましいオプションです。

リンク ステアリングとオンデマンド修正

リンク ステアリングには、[自動 (Auto)]、[優先 (Preferred)]、[必須 (Mandatory)]、および [使用可能 (Available)] の 4 つのオプションがあります。

[リンクの選択：必須 (Link Selection: Mandatory)] - トラフィックをリンクまたはトランスポート グループに固定します。停止を含むリンクの状態に関係なく、トラフィックはステアリングされません。パケット ロスやジッターなどのブラウンアウト状態を軽減するために、オンデマンド修正がトリガされます。

[例]：Netflix は優先度の低いアプリケーションであり、常にパブリック有線リンク上に配置する必要があります。

[リンクの選択：優先 (Link Selection: Preferred)] -「優先 (Preferred)」としてマークするリンクを選択します。Edge で使用可能な WAN リンクのタイプに応じて、次の 3 つのシナリオが考えられます。

• [優先インターネット リンクに複数のパブリック WAN リンクの代替手段がある場合]：アプリケーション トラフィックは、そのアプリケーションの SLA を満たしている限り優先リンクに残り、優先リンクがアプリケーションに必要な SLA を提供できないようになると他のパブリック リンクにステアリングされます。ステアリング先のリンクがない状況では、すべてのパブリック リンクがアプリケーションに必要な SLA を提供できず、オンデマンド修正が有効になります。または、現在のリンクがアプリケーションに必要な SLA を提供できないとすぐにアプリケーションをステアリングするのではなく、DMPO は、劣化が深刻すぎて修正できないまでオンデマンド修正を有効にできます。その後、DMPO はアプリケーションをより適切なリンクに誘導します。
  • [例]：インターネット リンク上の動画コラボレーション アプリケーションを優先し、動画に必要な SLA を提供できなくなると、このアプリケーションの SLA を満たすパブリック リンクにステアリングされます。
• [優先インターネット リンクに複数のパブリック WAN リンクとプライベート WAN リンクの代替手段がある場合]：アプリケーション トラフィックは、そのアプリケーションの SLA を満たしている限り優先リンクに残り、優先リンクがアプリケーションに必要な SLA を提供できないようになると他のパブリック リンクにステアリングされます。SLA に障害が発生した場合、優先リンクはプライベート リンクにステアリングされず、優先リンクと別のパブリック リンクの両方が不安定になるか、完全にダウンした場合にのみ、そのプライベート リンクにステアリングされます。ステアリングするためのリンクがない状況では、アプリケーションに必要な SLA を提供するために別のパブリック リンクが失敗したことを意味し、オンデマンド修正が有効になります。または、現在のリンクがアプリケーションに必要な SLA を提供できないとすぐにアプリケーションをステアリングするのではなく、DMPO は、劣化が深刻すぎて修正できないまでオンデマンド修正を有効にできます。その後、DMPO はアプリケーションをより適切なリンクに誘導します。
  • [例 A]：インターネット リンク上の動画コラボレーション アプリケーションを優先し、動画に必要な SLA を提供できなくなると、このアプリケーションの SLA を満たすパブリック リンクにステアリングされます。
  • [例 B]：インターネット リンク上の動画コラボレーション アプリケーションを優先し、リンクが不安定になるか完全にドロップされ、他のパブリック リンクも不安定になるか完全にドロップされると、使用可能なプライベート リンクにステアリングされます。
• [優先インターネット リンクにプライベート WAN リンクの代替手段しかない場合]：アプリケーション トラフィックは、そのアプリケーションの SLA 状態に関係なく優先リンクに残り、優先リンクがアプリケーションに必要な SLA を提供できない場合でも、他のプライベート リンクにステアリングされません。そのアプリケーションの SLA 障害時にプライベート リンクにステアリングする代わりに、オンデマンド修正が有効になります。優先リンクは、優先リンクが不安定または完全にダウンした場合にのみ、プライベート リンクにステアリングして別のプライベート リンクにステアリングします。
  • [例]：インターネット リンク上の動画コラボレーション アプリケーションを優先し、リンクが不安定になるか完全にドロップされると、使用可能なプライベート リンクにステアリングされます。

[リンクの選択：使用可能 (Link Selection: Available)] - このオプションは、使用可能なリンクを選択します（稼動している限り）。リンクが SLA を満たさなければ、DMPO はオンデマンド修正を有効にします。DMPO は、リンクがダウンしていない限り、アプリケーション フローを別のリンクにステアリングしません。

[例]：Web トラフィックは、SLA に関係なく、インターネット リンクがアクティブである限り、インターネット リンクを介してハブ サイトにバックホールされます。

[リンクの選択：自動 (Link Selection: Auto)] - これはすべてのアプリケーションのデフォルト オプションです。DMPO は、アプリケーションのタイプに基づいて最適なリンクを自動的に選択し、必要に応じてオンデマンド修正を有効にします。インターネット アプリケーションには、リンク ステアリングとオンデマンド修正の可能な組み合わせが 4 つあります。エンタープライズ内のトラフィック (VPN) は常に DMPO トンネルを通過するため、常にオンデマンド修正のメリットが得られます。

次の例では、さまざまなタイプのアプリケーションとリンク状態に対するデフォルトの DMPO 動作について説明します。さまざまなアプリケーション タイプのデフォルトの SLA については、付録セクションを参照してください。

[例]：リアルタイム アプリケーション。

1. [シナリオ]：アプリケーションの SLA を満たすリンクが 1 つある。

   予期される DMPO の動作：使用可能な最適なリンクを選択します。

2. [シナリオ]：アプリケーションの SLA を超えるパケット ロスが発生しているリンクが 1 つある。

   予期される DMPO の動作：このリンクのリアルタイム アプリケーションで FEC を有効にします。

3. [シナリオ]：2 つのリンクがあり、1 つのリンクでのみパケット ロスが発生している。

   予期される DMPO の動作：両方のリンクで FEC を有効にします。

4. [シナリオ]：複数のリンクがあり、複数のリンクでパケット ロスが発生している。

   予期される DMPO の動作：2 つの最適なリンクで FEC を有効にします。

5. [シナリオ]：2 つのリンクがあり、1 つのリンクが不安定（つまり、3 つの連続したハートビートが失われる）。

   予期される DMPO の動作：リンクを使用不能としてマークし、フローを次に最適なリンクにステアリングします。

6. [シナリオ]：2 つのリンクがあり、両方のリンクでジッターとパケット ロスが発生している。

   予期される DMPO の動作：両方のリンクで FEC とジッター バッファを有効にします。ジッター バッファは、ジッターが音声の場合に 7 ms を超え、動画の場合に 5 ms を超えると有効になります。送信側の DMPO エンドポイントは、受信側の DMPO エンドポイントに対して、ジッター バッファを有効にするように通知します。受信側の DMPO エンドポイントは、最大 10 パケットまたは 200 ms のトラフィックのいずれか早い方をバッファリングします。DMPO ヘッダーの元のタイムスタンプを使用して、デジッター バッファの流量を計算します。フローが一定でない場合、ジッター バッファリングは無効になります。

[例]：トランザクション アプリケーションとバルク アプリケーション。パケット ロスがアプリケーション タイプごとに許容されるしきい値を超えた場合に NACK を有効にします（値については付録を参照）。

セキュアなトラフィック転送

DMPO は、プライベート トラフィックまたは内部トラフィックの IPsec 転送モードをエンドツーエンドで使用して、ペイロードとトンネル ヘッダーの両方を暗号化します。ペイロードにはユーザー トラフィックが含まれます。DMPO は、暗号化のために AES128 および AES256 をサポートします。IPsec キーの管理と認証に PKI および IKEv2 プロトコルを使用します。

使用されるプロトコルとポート

DMPO は、次のポートを使用します。

• [UDP/2426] - UDP/2426：このポートは、2 つの DMPO エンドポイント（Edge と Gateway）間のオーバーレイ トンネル管理と情報交換用です。また、Edge と Gateway 間のブランチからクラウドへの SFDC トラフィックなど、すでにセキュリティ保護されているか、重要でないデータ トラフィックの場合にも使用されます。SFDC トラフィックは TLS で暗号化されています。
• [UDP/500 および UDP/4500] - これらのポートは IKEv2 ネゴシエーションおよび IPsec NAT の透過性のために使用されます。
• [IP/50] - このプロトコルは、2 つの DMPO エンドポイント間に NAT がない場合に、ネイティブ IP プロトコル 50 (ESP) を経由した IPsec に使用されます。

付録：QoE しきい値とアプリケーション SLA

DMPO は、さまざまなタイプのアプリケーションに対して以下の SLA しきい値を使用します。WAN リンク状態が 1 つ以上のしきい値を超えると、影響を受けるアプリケーション フローをステアリングするか、オンデマンド修正を実行するアクションが直ちに実行されます。パケット ロスは、失われたパケットの数を過去 1 分間の合計パケット数で除算して計算されます。DMPO エンドポイントは、1 秒ごとの失われたパケット数を通知します。QoE レポートにもこのしきい値が反映されます。

DMPO は、300 ミリ秒以内に通信を失った場合（ユーザー データやプローブなし）にも直ちにアクションを実行します。

注： リリース 5.2.0 以降では、ユーザーは、カスタマイズ可能な QoE 機能を通じて、ビデオ、音声、トランザクション トラフィック タイプの遅延のしきい値を変更できるようになりました。これは、カスタマーが高遅延リンクを選択プロセスの一部として含めることができ、Orchestrator が新しい値を QoE 監視ページに適用することを意味します。