このセクションでは、VMware SD-WAN の機能について説明します。

動的マルチパス最適化

VMware SD-WAN の動的マルチパス最適化は、リンクの自動監視、動的リンク ステアリング、オンデマンド修正で構成されます。

リンク ステアリングと修正

アプリケーション対応のパケットごとの動的リンク ステアリングは、アプリケーションのビジネス優先度、アプリケーションのネットワーク要件に関する組み込み知識、および各リンクのリアルタイムの容量とパフォーマンスに基づいて自動的に実行されます。前方誤り訂正、ジッター バッファリング、否定応答プロキシによって個々のリンクの劣化をオンデマンドで緩和することは、優先順位の高いアプリケーションやネットワークの影響を受けやすいアプリケーションのパフォーマンスも保護します。パケットごとの動的リンク ステアリングとオンデマンドの緩和の両方を組み合わせて、堅牢な 1 秒未満のブロックされた、さらには限定された保護も提供し、アプリケーションの可用性、パフォーマンス、エンドユーザー エクスペリエンスを向上させます。

クラウド VPN

クラウド VPN は、ワンクリックの VPNC 準拠のサイト間 IPsec VPN で、VMware SD-WANNon SD-WAN Destination を接続しながら、サイトのリアルタイムの状態と健全性を提供します。クラウド VPN は、サービス レベルの目標とアプリケーション パフォーマンスに基づいて、すべてのブランチに対して動的な Edge 間通信を確立します。クラウド VPN は、PKI のスケーラブルなキー管理により、すべてのブランチに安全な接続を提供します。新しいブランチは自動的に VPN ネットワークに参加し、他のブランチ、エンタープライズ データセンター、および Amazon AWS などのサードパーティ データセンターのすべてのリソースにアクセスできます。

ファイアウォール

VMware SD-WAN は、ステートフルでコンテキスト(アプリケーション、ユーザー、デバイス)に対応した、サブアプリケーションをきめ細かく制御する統合アプリケーション対応のファイアウォールを提供し、Skype やその他のピアツーピア アプリケーションなどのプロトコル ホッピング アプリケーションをサポートします(たとえば、Skype ビデオとチャットをオフにするが、Skype オーディオを許可するなど)。セキュアなファイアウォール サービスは、ユーザーとデバイスの OS に対応し、音声、ビデオ、データ、およびコンプライアンス トラフィックを分離できます。企業ネットワーク上の BYOD デバイス(Apple iOS、Android、Windows、Mac OS など)のポリシーは簡単に制御できます。

ネットワーク サービス挿入

VMware SD-WAN ソリューションは、複数の仮想ネットワーク機能をホストして単一機能のアプライアンスを排除し、ブランチ IT の複雑さを軽減するプラットフォームをサポートします。VMware SD-WAN サービスチェーンは、ブランチからクラウドベース サービスおよびエンタープライズ リージョナル ハブ サービスの両方にトラフィックを送信し、パフォーマンス、セキュリティ、および管理性を保証します。ブランチは、Zscaler や Websense などのパートナーのサービスを含む、統合されたセキュリティおよびネットワーク サービスを活用します。クリックして有効にする簡単なインターフェイスを使用して、アプリケーション固有のポリシーに基づいてサービスをクラウドおよびオンプレミスに挿入できます。

アクティベーション

SD-WAN Edge アプライアンスは、完全に自動化された展開でインターネットに接続されると、設定手順を自動的に認証、接続、および受信します。これらは、SD-WAN Edge 冗長プロトコルを使用して高可用性展開を実現し、OSPF および BGP ルーティング プロトコルをサポートする既存のネットワークと統合し、動的学習と自動化を利用します。

オーバーレイ フロー制御

SD-WAN Edge は、OSPF と BGP を介して隣接するルーターからルートを学習します。学習済みルートを Gateway/コントローラに送信します。Gateway/コントローラはルート リフレクタのように動作し、学習済みルートを他の SD-WAN Edge に送信します。オーバーレイ フロー制御 (OFC) は、エンタープライズ全体のルートの可視化と制御を可能にし、プログラミングのしやすさ、および完全なオーバーレイと部分的なオーバーレイを実現します。

OSPF

VMware SD-WAN は、OSPF ネイバーへの受信/送信フィルタ、OE1/OE2 ルート タイプ、MD5 認証をサポートします。OSPF を通じて学習されたルートは、クラウドまたはオンプレミスでホストされているコントローラに自動的に再配布されます。

BGP

VMware SD-WAN は [拒否 (Deny)] に設定できる受信/送信フィルタをサポートし、また、オプションで BGP 属性を追加/変更して、パスの選択(RFC 1998 コミュニティ、MED、AS-Path プリペンド、ローカル設定)に影響を与えます。

セグメント

ネットワーク セグメントは、エンタープライズとサービス プロバイダの両方にとって重要な機能です。最も基本的な形式では、セグメントは管理とセキュリティ上の理由からネットワークを分離します。セグメントの最も一般的な形式は、L2 の VLAN と L3 の VRF です。

セグメントの一般的なユースケース:

  • 事業部門の分離:セキュリティ/監査のためのエンジニアリング、人事など
  • ユーザー データの分離:ゲスト、PCI、企業トラフィックの分離
  • 異なる VRF で重複する IP アドレスを使用するエンタープライズ

ただし、レガシーのアプローチは、1 つのボックスまたは 2 台の物理的に接続されたデバイスに制限されています。機能を拡張するには、セグメント情報をネットワーク経由で伝達する必要があります。

VMware SD-WAN は、エンドツーエンドのセグメントを可能にします。パケットが Edge を通過すると、セグメント ID がパケットに追加され、ハブと Cloud Gateway に転送されます。これにより、Edge からクラウドおよびデータセンターへのネットワーク サービスの分離が可能になります。これにより、プレフィックスを一意のルーティング テーブルにグループ化して、ビジネス ポリシーがセグメントを認識できるようになります。

ルーティング

動的ルーティングでは、SD-WAN Edge は OSPF または BGP を介して隣接するルーターからルートを学習します。SASE Orchestrator は、動的に学習されたすべてのルートを、オーバーレイ フロー制御 (OFC) と呼ばれるグローバル ルーティング テーブルに保持します。オーバーレイ フロー制御を使用すると、「オーバーレイ フロー制御の同期」および「受信/送信フィルタリング設定の変更」の際に動的ルートを管理できます。IGNORE から LEARN へのプレフィックスの受信フィルタリングの変更により、オーバーレイ フロー制御からプレフィックスが取得され、統合ルーティング テーブルにインストールされます。

詳細については、OSPF または BGP を使用した動的ルーティングの設定を参照してください。

ビジネス ポリシー フレームワーク

サービス品質 (QoS)、リソース割り当て、リンク/パス ステアリング、および誤り訂正は、ビジネス ポリシーとアプリケーションの優先順位に基づいて自動的に適用されます。プライベート リンクとパブリック リンク、ポリシー定義、およびリンク特性によって定義されたトランスポート グループに基づいてトラフィックを調整します。