SD-WAN

R81.10.10から、SD-WAN機能はローカル管理のQuantum Sparkアプライアンスで利用できるようになりました。

SD-WANは、特定のアプリケーションのトラフィックを特定のインタフェース上で誘導します。手動で設定する必要がなく、あらかじめ設定された推奨一般設定を使用します。特定のアプリケーションのトラフィックは、利用可能なすべてのリンクのパフォーマンスと利用率を最適化するために、異なるリンクを使用します。SD-WANがなければ、トラフィックは宛先IPアドレスに基づいて自動的にルーティングされます。

SD-WANは、ほとんどのトラフィックにプライマリISPを使用し、プライマリリンクに障害が発生した場合にバックアップとしてセカンダリISP(例えば、LTE閉じた ロングタームエボリューション - GSM/EDGEおよびUMTS/HSPA技術をベースとした、モバイルデバイスやデータ端末向けの無線ブロードバンド通信規格。これにより、コアネットワークの改善とともに、異なるラジオインタフェースを使用して容量と速度が増加します。)を使用するように設定されています。

アクセスポリシー>ファイアウォールセクション>SD-WANページでは、SD-WANルールを設定し、トラフィックをモニタできます。

- Centrally Managedアプライアンス向けのSD-WANは、R81.10.05から利用可能です。詳細は次を参照: Quantum SD-WAN Administration Guide

ゲートウェイの前提条件

  • 複数のインターネット接続が設定されている。

  • インターネットへの接続。

SD-WANの既知の制限

  • Smart SD-WANはVTIをサポートしていません。

    回避策は4つあります。

  • SD-WANポリシーはカスタムアプリケーションをサポートしていません。

  • SD-WANはボンド、ブリッジ、エイリアスの各インタフェースをサポートしていません。

  • SD-WANはIPv6アドレスが設定されたインターネット接続をサポートしません。

SD-WANでの作業

    1. アプライアンスのWebUIに接続します。

    2. 左のツリーからデバイスをクリックします。

    3. 中央のペインでネットワークセクションを展開し、インターネットをクリックします。

    4. 少なくとも2つのインターネット接続を設定します(各ISPに1つ):

      1. [新規]をクリック。

        新しいインターネット接続ウィンドウが開きます。

      2. 設定タブで

        1. 接続名フィールドに、この接続に該当する名前を入力します。

        2. インタフェースフィールドで、該当するインタフェースを選択します。

        3. 接続タイプフィールドで、該当するタイプを選択します。

      3. 接続モニタリングタブで

        デフォルトゲートウェイ接続の切断を自動的に検知を選択します。

      4. 詳細タブで

        1. SD-WAN設定をクリックしてセクションを展開します。

        2. アップロードスピード (Mbps)フィールドでは、インターネット接続のアップロード速度について、ISPが提供する値を設定します。例えば、Bezeqのアップロード速度は100MBです。

        3. ダウンロードスピード(Mbps)フィールドでは、インターネット接続のダウンロード速度についてISPから提供された値を設定します。例えば、Bezeqのダウンロード速度は1000MBです。

          SD-WANはしきい値を満たすすべてのリンクを使用し、設定されたアップロード/ダウンロード速度に比例して重み付けを行います。

        4. インターネット接続をSD-WANの一部にするチェックボックスを選択します。

        5. インターネット接続をSD-WANのバックアップとして設定チェックボックスは、高価または低品質のリンクのみ、選択します。例えば、携帯電話ネットワークにはプランがあり、限度額を超えると高額になることがあります。MPLSネットワークでは、使用ごとに料金を支払います。

      5. [保存]をクリックします。。

      詳細:インターネット接続の設定

      • また、アクセスポリシー> SD-WANページで新しいSD-WAN接続を構成することもできます。

      • SD-WAN ページからデバイス>インターネットページに直接移動するには、管理モニタリンクをクリックします。

  2. - SD-WANインタフェースは、指定された宛先にICMPエコーリクエストを送信します。受信したICMPエコー応答に基づいて、アプライアンスは使用するISPリンク(SD-WANインタフェース)を決定します。

    1. SD-WANモード行(SD-WANブレードが有効)で、設定をクリックします。

    2. 1番目のホストフィールドに、最初のプロービング先のIPv4アドレスまたはホスト名を入力します。

      デフォルトはdns.google.com

    3. 2番目のホストフィールドに、最初のプロービング先のIPv4アドレスまたはホスト名を入力します。

      デフォルトはdns.cloudflare.com

    4. 3番目のホストフィールドに、最初のプロービング先のIPv4アドレスまたはホスト名を入力します。

      デフォルトはdns.opendns.com

    5. プロービング間隔フィールドに、プロービングパケット間の時間(ミリ秒)を入力します。

      デフォルトは1000ミリ秒(1秒)です。

    6. プロービングモードフィールドで、該当する値を選択します。

      デフォルトはBestです。

      このフィールドは、プローブモードに基づいて、アプライアンスが各ステアリングオブジェクトで選択するインターネット接続を制御します:

      • Best - 最良のプロービングモード(パケットロス、遅延、ジッターのプロービング特性が最も低い値)を持つインターネット接続を選択します。これはデフォルトです。

      • Average - 平均プロービングモードを持つインターネット接続を選択します。

      • Worst - 最も悪いプロービングモード(パケットロス、遅延、ジッターのプロービング特性が最も高い値)を持つインターネット接続を選択します。

      例:

      これらの2つのインターネット接続は、SD-WAN用に設定されます("WAN "と "DMZ")。

      "ホスト1"、"ホスト2"、"ホスト3 "の3つのプロービングホスト(送信先)があります。

      設定されたプロービング間隔でのプロービングモードは次のとおりです。

       

      WAN

      DMZ

      プロービング

      特徴

      ホスト1

      ホスト2

      ホスト3

      ホスト1

      ホスト2

      ホスト3

      パケット ロス(%)

      1

      1

      4

      2

      3

      7

      遅延(ミリ秒)

      1

      1

      4

      2

      3

      7

      ジッター(ミリ秒)

      1

      1

      4

      2

      3

      7

      各変数の意味は以下のとおりです。

      • プロービングモード(Best):

        • WANの場合:パケットロス = 1、遅延 = 1、ジッター = 1

        • DMZの場合:パケットロス = 2、レイテンシー = 2、ジッター = 2

      • プロービングモード(Average):

        • WANの場合:パケットロス = (1+1+4)/3 = 2、遅延 = (1+1+4)/3 = 2、ジッター = (1+1+4)/3 = 2

        • DMZの場合:パケットロス = (2+3+7)/3 = 4、遅延 = (2+3+7)/3 = 4、ジッター = (2+3+7)/3 = 4

      • プロービングモード(Worst):

        • WANの場合:パケットロス=4、遅延=4、ジッター=4

        • DMZの場合:パケットロス = 7、レイテンシー = 7、ジッター = 7

      結果:

      • Bestを選択すると、アプライアンスはインターネット接続「WAN」を選択します。

      • Averageを選択すると、アプライアンスは対応するインターネット接続を選択します。

      • Worstを選択すると、アプライアンスはインターネット接続「DMZ」を選択します。

      - インターネット接続の間に同点がある場合、アプライアンスは設定されたリンク利用率に基づいてインターネット接続を選択します(以下を参照):

    7. 最大パケットロスフィールドに、プロービングパケットの最大許容パケットロス(%)を入力します。

      デフォルトは30%です。

    8. 最大遅延フィールドに、プロービングパケットの最大許容レイテンシ(ミリ秒)を入力する。

      デフォルトは200ミリ秒です。

    9. 最大ジッターフィールドに、プロービングパケットの許容可能な最大ジッター(ミリ秒単位)を入力します。

      デフォルトは80ミリ秒です。

    10. [保存]をクリックします。。

  		3.

    - 複数の接続を設定した後は、ハイアベイラビリティモードでのみ作業できます。

    1. 左のツリーから、アクセスポリシーをクリックします。

    2. 中央のペインで、ファイアウォールセクションを展開し、SD-WANをクリックします。

    3. パフォーマンスポリシータブが表示されるまで下にスクロールします。

    4. カスタムルールセクションの下にある Smart SD-WAN uses prioritizeスライダーを右に動かして、このオプションを有効にします。

    5. このスライダーの右側で設定をクリックします。

      Smart SD-WAN設定ウィンドウが開きます。

    6. Link Utilizationセクションで、Smart SD-WANのリンク利用方法を選択します:

      • リンクアグリゲーション - デフォルトで選択されています。アプライアンスは、しきい値基準を満たすすべての SD-WAN インタフェースを使用します。

      • 優先順位付け - アプライアンスは、設定された優先順位に基づいてインターネット接続を使用します。

        接続の優先順位を変更するには

        1. 該当するテーブルの行をクリックしたままにします。

        2. テーブルの行を必要な位置まで上下にドラッグします。

        3. マウスボタンを離します。

        4. [保存]をクリックします。。

  4. これらのルールは、特定のアプリケーショントラフィックのステアリング動作を設定します。ステアリング動作は、アプライアンスがインターネットにトラフィックを送信する方法を決定します。デフォルトの動作はローカルブレークアウトです。参照: 定義済みのステアリング動作オブジェクトユーザ定義ステアリング動作オブジェクトの設定

    アプライアンスは、ポリシーで設定した順序でルールを適用します。

    1. [新規]をクリック。

      注:

      • 新規ボタンをクリックすると、アプライアンスはこのセクションの下部にルールを作成します。必要な位置に移動できます。

        新規ボタンの右側にある下向きの矢印をクリックして、該当するルールの位置をあらかじめ選択しておくことができます(上のルール下のルール選択した上選択した下)。

      • ルールは、作成後に編集、無効化、有効化できます。

    2. 新しいSD-WANルールのウィンドウで、これらのカラムの該当するオブジェクトを選択します:

      重要 - ユーザ定義オブジェクトを選択するには、新しいルールを作成する前にオブジェクトを作成する必要があります。

      適用先:

        1. +アイコンをクリックします。

        2. 該当するタブ(ネットワークまたは更新可能オブジェクト)をクリックします。

        3. 該当するオブジェクトを選択します。

          更新可能オブジェクト閉じた Microsoft 365、AWS、GEOロケーションなど、外部サービスを表すネットワークオブジェクト。を選択するには、インポートをクリック > オブジェクトを選択 > 保存をクリックします。

        4. 選択をクリックします。

        1. +アイコンをクリックします。

        2. 該当するタブ(ネットワークまたは更新可能オブジェクト)をクリックします。

        3. 該当するオブジェクトを選択します。

          更新可能オブジェクトを選択するには、インポートをクリック > オブジェクトを選択 > 保存をクリックします。

        4. 選択をクリックします。

        1. +アイコンをクリックします。

        2. 該当するタブ(共通サービスアプリケーション)をクリックします。

        3. 該当するオブジェクトを選択します。

        4. 選択をクリックします。

        1. Default Breakoutオブジェクトをクリックします。

        2. 該当するステアリング動作オブジェクトを選択します。

    3. [保存]をクリックします。。

    4. カスタムルールの優先順位を変更するには

      1. 該当するテーブルの行をクリックしたままにします。

      2. テーブルの行を必要な位置まで上下にドラッグします。

      3. マウスボタンを離します。

  5. ページの中央部には、すべてのSD-WANインターネット接続のグラフが表示されます。

    グラフの上部にマウスを合わせ、該当するカテゴリをクリックします:

    • スループット

    • パケットレート

    • コネクション

    • すべて(スループットとパケットレートのみ表示)

    • インバウンド(スループットとパケットレートのみ対象)

    • アウトバウンド(スループットとパケットレートのみ対象)

    • リアルタイム

    • トレンド - 特定の期間におけるトラフィック

    リアルタイムビューで、各インターネット接続にマウスカーソルを合わせると、遅延、ジッター、パケットロスなどの追加データがツールチップに表示されます。

定義済みのステアリング動作オブジェクト

アプライアンスには、いくつかの定義済みステアリングビヘイビアオブジェクトがあります:

  1. 左のツリーから、アクセスポリシーをクリックします。

  2. 中央のペインで、ファイアウォールセクションを展開し、SD-WANをクリックします。

  3. パフォーマンスポリシータブが表示されるまで下にスクロールします。

  4. パフォーマンスタブをクリックします。このタブには、事前に定義されたステアリングオブジェクトと、その動作が表示されます。

  5. 定義済みのオブジェクトをクリックすると、そのオブジェクトの完全な設定が表示されます。

    • このオブジェクトが使用するアプリケーションのアイコン。

    • このオブジェクトが使用するインターネットSD-WANリンク。

    • 各SD-WANリンクの状態を示すアイコン。

    • 各SD-WANリンクにカーソルを合わせると、ツールチップに品質(ジッター、遅延、パケットロス)が表示されます。

    定義済みオブジェクトの設定を変更することはできません。

ユーザ定義ステアリング動作オブジェクトの設定

アプライアンスには、いくつかの定義済みステアリングビヘイビアオブジェクトがあります:

  1. 左のツリーから、アクセスポリシーをクリックします。

  2. 中央のペインで、ファイアウォールセクションを展開し、SD-WANをクリックします。

  3. パフォーマンスポリシータブが表示されるまで下にスクロールします。

  4. ポリシータブをクリックします。

  5. 上部のツールバーから動作の管理をクリックします。

  6. 上部のツールバーから新規をクリックします。

  7. 名前フィールドに、わかりやすい名前を入力します。

  8. オプションコメントフィールドに該当するテキストを入力します。

  9. しきい値セクションで、ステアリング動作に必要な基準を設定します。

    • 定義済みを選択し、リストから該当するカテゴリを選択します(各カテゴリには定義済みのしきい値があります)。

    • カスタムを選択し、必要なしきい値を設定します。

      • 最大ジッター

      • 最大レイテンシー

      • 最大パケットロス

  10. ステアリング候補セクションで、必要なSD-WANインタフェースを選択します:

    • すべてのSD-WANインタフェースを使用するには、関連するすべてのリンクを選択します。

    • 特定リンクを選択し、必要なSD-WANインタフェースを選択します(SD-WANインタフェースが3つ以上ある場合)。

  11. リンクの使用セクションで、必要な設定を行います:

    • リンク アグリゲーションを選択し、すべてのSD-WANインタフェースを使用するアルゴリズムを選択します:

      • 接続ハッシュ - 属性のハッシュに基づいてリンクに接続を割り当て、接続のすべてのパケットが同じパスを通るようにします。

      • ラウンドロビン - 利用可能なリンクに周期的に接続を分散し、バランスの取れた割り当てを目指しますが、必ずしも帯域幅を最適化する必要はありません。

      • アップロード帯域幅に比例 - リンクのアップロード帯域幅に比例して接続をリンクに割り当て、帯域幅を効率的に利用できるように最適化します。

      • ダウンロード帯域幅に比例 - ダウンロード容量に基づいてリンクに接続を割り当て、受信帯域幅の使用を最適化します。

    • 優先順位付けを選択し、SD-WANインタフェースの優先順位を設定します(ドラッグ&ドロップで順序を変更)。このオプションは2つ以上のSD-WANインタフェースを設定する場合に使用できます。

  12. プロービングセクションでは、グローバルプロービング設定をオーバーライドできます。

    アプライアンスは、設定されたすべてのホストに並行してpingを送信し、ジッター、遅延、パケットロスに基づいてISPリンク品質を測定します。

    1. 1番目のホスト2番目のホスト3番目のホストに該当する宛先IPアドレスまたはホスト名を入力します。

    2. プロービングモードフィールドで、以下のオプションから該当する結果を選択します:BestAverageWorst

  13. [保存]をクリックします。。

スタティックルートとSD-WAN

アプライアンスでSD-WANが有効になっている場合(デフォルト)、SD-WAN ルーティングの決定は、インターネット接続経由でトラフィックを送信するすべての静的ルート(デバイスビュー > 詳細ルーティングセクション > ルーティングテーブルページで設定)よりも優先されます。

これはデフォルトのSD-WAN設定です:

  1. SD-WANブレードが有効です。

  2. インターネット接続はSD-WANで有効になっています。

SD-WANを使用したくない場合、設定された静的ルートに基づいてインターネット接続でトラフィックを送信するには、次のいずれかのオプションに従ってください:

  • SD-WANブレードを無効にします:

    - アプライアンスのSD-WANが完全に無効になります。

    1. アクセスポリシービューをクリックし、ファイアウォールセクションでSD-WANページをクリックします。

    2. ページの上部で、スライダーを左の位置(SD-WANブレードは有効という表示の近く)に移動します。

  • 各インターネット接続で、インターネット接続をSD-WANの一部にするオプションをオフにします:

    - 特定のインタフェースでのみSD-WANを無効にし、他のインタフェースではSD-WANを使用し続けるには、このオプションを使用します。

    1. デバイスビューをクリックし、ネットワークセクションでインターネットページをクリックします。

    2. インターネット接続を選択し、編集をクリックします。

    3. 右のタブ詳細に進みます。

    4. 最後のセクションSD-WAN設定を展開します。

    5. インターネット接続をSD-WANの一部にするオプションをオフにします。