このセクションでは、SASE Orchestrator の主な概念と主要な設定について説明します。
設定
VMware サービスには、階層関係にある 4 つのコア設定があります。SASE Orchestrator でこれらの設定を作成します。
次の表に、設定の概要を示します。
| 設定 | 説明 |
|---|---|
| ネットワーク (Network) | IP アドレス指定や VLAN などの基本的なネットワーク設定を定義します。ネットワークは、企業またはゲストとして指定することができ、ネットワークごとに複数の定義を含めることができます。 |
| ネットワーク サービス | バックホール サイト、クラウド VPN ハブ、Non SD-WAN Destination、クラウド プロキシ サービス、DNS サービス、認証サービスなど、VMware サービスで使用されるいくつかの一般的なサービスを定義します。 |
| プロファイル (Profile) | 複数の Edge に適用できるテンプレート設定を定義します。プロファイルを設定するには、ネットワークとネットワーク サービスを選択します。プロファイルは、1 つまたは複数の Edge モデルに適用することができ、LAN、インターネット、ワイヤレス LAN、および WAN Edge インターフェイスの設定を定義します。また、プロファイルでは、Wi-Fi 無線、SNMP、NetFlow、ビジネス ポリシー、およびファイアウォール設定を指定することもできます。 |
| Edge | Edge デバイスにダウンロードできる設定一式を指定する設定。Edge 設定は、選択されたプロファイル、選択されたネットワーク、およびネットワーク サービスの設定を組み合わせたものです。また、Edge 設定を使用して、プロファイル、ネットワーク、およびネットワーク サービスで定義されている設定を上書きしたり、順序付きポリシーを追加したりすることもできます。 |
次の図は、複数の Edge、プロファイル、ネットワーク、およびネットワーク サービスの関係および設定の詳細な概要を示しています。
1 つのプロファイルを複数の Edge に割り当てることができます。個々のネットワーク設定は、複数のプロファイルで使用できます。ネットワーク サービス設定は、すべてのプロファイルで使用されます。
ネットワーク (Networks)
- 重複アドレスと非重複アドレスのどちらかを設定することができる企業ネットワークまたは信頼済みネットワーク。
- 常に重複アドレスを使用するゲスト ネットワークまたは信頼されていないネットワーク。
複数の企業ネットワークとゲスト ネットワークを定義し、両方のネットワークに VLAN を割り当てることができます。
重複アドレスの場合、ネットワークを使用するすべての Edge のアドレス空間が同じになります。重複アドレスは、VPN 以外の設定に関連付けられます。
非重複アドレスを使用すると、アドレス空間が同じ数のアドレスを含むブロックに分割されます。非重複アドレスは、VPN 設定に関連付けられます。各 Edge のアドレス セットが一意になるように、アドレス ブロックは、ネットワークを使用する Edge に割り当てます。[非重複アドレス] は、[Edge 間] および [Edge] と Non SD-WAN Destination 間 の VPN 通信に必要です。VMware 設定は、VPN アクセスのためのエンタープライズ データセンター ゲートウェイへのアクセスに必要な情報を作成します。エンタープライズ データセンター ゲートウェイの管理者は、Non SD-WAN Destination の VPN 設定時に生成された IPsec 設定情報を使用して、Non SD-WAN Destination への VPN トンネルを設定します。
以下の図は、ネットワーク設定の一意の IP アドレス ブロックが SD-WAN Edge に割り当てられていることを示しています。
ネットワーク サービス
エンタープライズ ネットワーク サービスを定義して、すべてのプロファイルで使用できます。これには、認証、クラウド プロキシ、Non SD-WAN Destination、および DNS のサービスが含まれます。定義済みのネットワーク サービスは、プロファイルに割り当てられている場合にのみ使用されます。
プロファイル (Profiles)
プロファイルとは、一連の VLAN、クラウド VPN 設定、有線および無線インターフェイス設定、ならびにネットワーク サービス(DNS 設定、認証設定、クラウド プロキシ設定、Non SD-WAN Destination への VPN 接続など)を定義する名前付きの設定です。プロファイルを使用して、1 つまたは複数の SD-WAN Edge の標準設定を定義できます。
プロファイルは、VPN 用に設定された Edge のクラウド VPN 設定を指定します。クラウド VPN 設定によって、Edge 間および Edge と Non SD-WAN Destination 間の VPN 接続を有効または無効にすることができます。
プロファイルでは、ビジネス ポリシーとファイアウォール設定のルールおよび設定を定義することもできます。
Edge
Edge にプロファイルを割り当てることができます。Edge は、その設定のほとんどをプロファイルから継承します。
Edge 設定を変更することなく、プロファイル、ネットワーク、またはネットワーク サービスで定義された設定のほとんどを使用できます。ただし、特定のシナリオに合わせて Edge をカスタマイズするために、Edge 設定要素の設定を上書きできます。 これには、インターフェイス、Wi-Fi 無線設定、DNS、認証、ビジネス ポリシー、およびファイアウォールの設定が含まれます。
また、プロファイルまたはネットワーク設定に含まれていない設定を強化するように Edge を設定することもできます。これには、サブネット アドレス指定、スタティック ルート設定、およびポート転送と 1 対 1 の NAT のためのインバウンド ファイアウォール ルールが含まれます。
Orchestrator の設定のワークフロー
VMware は複数の設定シナリオをサポートします。次の表は、いくつかの一般的なシナリオを示しています。
| シナリオ | 説明 |
|---|---|
| SaaS | Edge 間の VPN 接続あるいは Non SD-WAN Destination または VMware SD-WAN Site への VPN 接続を必要としない Edge に使用します。このワークフローでは、企業ネットワークのアドレス指定で重複アドレスが使用されているものとします。 |
| VPN を経由する Non SD-WAN Destination | Amazon Web Services、Zscaler、Cisco ISR、または ASR 1000 シリーズなど、Non SD-WAN Destination への VPN 接続を必要とする Edge に使用します。このワークフローでは、企業ネットワークのアドレス指定で非重複アドレスが使用されており、プロファイルで Non SD-WAN Destination が定義されているものとします。 |
| VMware SD-WAN Site VPN | Edge ハブやクラウド VPN ハブなど、VMware SD-WAN Site への VPN 接続を必要とする Edge に使用します。このワークフローでは、企業ネットワークのアドレス指定で非重複アドレスが使用されており、プロファイルで VMware SD-WAN Site が定義されているものとします。 |
各シナリオでは、SASE Orchestrator の設定を次の順序で実行します。
[手順 1]:ネットワーク
[手順 2]:ネットワーク サービス
[手順 3]:プロファイル
[手順 4]:Edge
以下の表に、各ワークフローのクイック スタート設定の概要を示します。クイック スタート設定には、事前設定されたネットワーク、ネットワーク サービス、プロファイル設定を使用できます。VPN 設定の場合は、既存の VPN プロファイルを変更し、VMware SD-WAN Site または Non SD-WAN Destination を設定します。最後の手順では、新しい Edge を作成して有効にします。
| クイック スタート設定の手順 |
SaaS | Non SD-WAN Destination VPN |
VMware SD-WAN Site VPN |
|---|---|---|---|
| 手順 1:ネットワーク | [クイック スタート インターネット ネットワーク (Quick Start Internet Network)] を選択 | [クイック スタート VPN ネットワーク (Quick Start VPN Network)] を選択 | [クイック スタート VPN ネットワーク (Quick Start VPN Network)] を選択 |
| 手順 2:ネットワーク サービス | 事前設定済みのネットワーク サービスを使用 | 事前設定済みのネットワーク サービスを使用 | 事前設定済みのネットワーク サービスを使用 |
| 手順 3:プロファイル | [クイック スタート インターネット プロファイル (Quick Start Internet Profile)] を選択 | [クイック スタート VPN プロファイル (Quick Start VPN Profile)] を選択 クラウド VPN を有効にし、Non SD-WAN Destination を設定 |
[クイック スタート VPN プロファイル (Quick Start VPN Profile)] を選択 クラウド VPN を有効にし、VMware SD-WAN Site を設定 |
| 手順 4:Edge | 新しい Edge を追加して有効にする | 新しい Edge を追加して有効にする |
新しい Edge を追加して有効にする |
詳細については、SD-WAN Edge のアクティベーションを参照してください。
