SD-WAN について

ソフトウェア定義 WAN (SD-WAN) とは、定義されたポリシーに基づいて複数の WAN 接続にネットワーク トラフィックが自動的に配布されるソフトウェアベースのルーティング ソリューションのことです。SD-WAN は Firebox に組み込まれています。Firebox では WAN 接続が監視され、ほぼリアルタイムでパフォーマンス データがキャプチャされます。そして、このデータを使用して、ルーティングが決定されます。たとえば、WAN 接続が混雑している場合は、Firebox では別の WAN 接続にトラフィックが自動的に送信されます。

SD-WAN は、さまざまな種類の WAN 接続で機能します。つまり、ハイブリッド WAN を構成できるということです。たとえば、Firebox に MPLS 接続とブロードバンド インターネット接続がある場合は、SD-WAN 構成で両方を使用することができます。

SD-WAN を使用することで、アプリケーションの可用性とパフォーマンスを向上させ、ハイブリッド WAN をより有効に活用することができます。たとえば、SD-WAN を利用することで、以下が可能となります。

  • 高品質で高価な WAN 接続を介して、VoIP やビデオ会議など、優先度が高く、遅延の影響を受けやすいトラフィックを送信する。
  • 安価な WAN 接続で優先度の低いトラフィックを送信する。
  • パフォーマンスが理想的でないときに接続が別の WAN 接続にフェールオーバーするように、パフォーマンスのしきい値を指定する。

SD-WAN はグローバル複数 WAN の構成設定を無視します。

Fireware v12.3 以降で SD-WAN を構成するには、以下の手順を実行します。

  • Link Monitor ターゲットを構成する
  • SD-WAN アクションを構成する
  • ポリシーで使用される SD-WAN アクションを構成する

このトピックでは、SD-WAN の仕組みについて説明します。構成手順の詳細については、SD-WAN を構成する を参照してください。

構成例については、次を参照してください: BOVPN 仮想インターフェイス トンネルへの MPLS リンクからの SD-WAN フェールオーバー

Fireware v12.3 以降では、ポリシーベースのルーティングが SD-WAN に置き換えられています。Fireware v12.2.1 以前では、トラフィックを別の外部インターフェイスにルーティングする場合は、ポリシーベースのルーティングを使用する必要があります。Fireware v12.3 以降にアップグレードすると、フェールオーバーなしのポリシーベースのルーティングが、単一のインターフェイスの SD-WAN アクションに変換されます。フェイルオーバーありのポリシーベースのルーティングは、複数インターフェイスの SD-WAN アクションに変換されます。Fireware OS 旧バージョンとの後方互換性のために、Policy Manager でポリシーベースのルーティング設定を引き続き使用することができます。ポリシーベースのルーティングの詳細については、WatchGuard ナレッジ ベースの Fireware v12.2.1 以前でポリシーベースのルーティングを構成する を参照してください。

Link Monitor ターゲットを構成する

SD-WAN アクションに含まれるインターフェイスの Link Monitor ターゲットを構成することをお勧めします。

Link Monitor ターゲットとは、ネットワーク境界の外側のホストのことです。Firebox から ping、TCP、または DNS プローブがターゲットに送信され、接続が確認されます。損失、レイテンシー、ジッターを測定することを選択した場合は、Firebox では、プローブ結果を使用して、パフォーマンスを検証することもできます。

Link Monitor 構成では、以下の種類のインターフェイスのターゲットを追加することができます。

  • 外部
  • 内部 (信頼済み、オプショナル、またはカスタム) — Fireware v12.4 以降
  • BOVPN 仮想インターフェイス — Fireware v12.4 以降

Link Monitor は、SD-WAN 構成の重要な部分です。Firebox でメトリックベースの SD-WAN ルーティングが使用される場合は、 Link Monitor プローブからの損失、レイテンシー、ジッターの計算に基づいてルーティングが決定されます。たとえば、損失率が SD-WAN アクションで指定されている値を超えた場合に、Firebox では SD-WAN アクションに含まれる別のインターフェイスへ接続をフェールオーバーすることができます。メトリックベースの SD-WAN ルーティングを構成するには、SD-WAN アクションのすべてのインターフェイスに少なくとも 1 つの Link Monitor ターゲットが構成されている必要があります。

SD-WAN 構成でメトリックを指定しなかった場合、Firebox は接続のみに基づいて SD-WAN ルーティングの決定を行います。たとえば、特定回数試行しても Link Monitor ターゲットから応答が発信されない場合は、Firebox ではインターフェイスが非アクティブであるとみなされます。その後、Firebox では、SD-WAN アクションに含まれる別のインターフェイスへ接続をフェールオーバーできるようになります。

SD-WAN インターフェイスの Link Monitor 要件

SD-WAN アクションに含まれるインターフェイスには、以下のような Link Monitor 要件があります。

内部インターフェイス

内部インターフェイスの場合は、 Link Monitor 構成に次のホップの IP アドレスまたはカスタム ターゲットが必要です。次のホップの IP アドレスを指定することをお勧めします。次のホップの IP アドレスにより、インターフェイスの Link Monitor トラフィックと SD-WAN トラフィックのルーティング方法が Firebox に伝達されます。

次のホップの IP アドレスが指定されていないと、Firebox ではそのルート テーブルが使用され、インターフェイスの Link Monitor トラフィックと SD-WAN トラフィックがルーティングされます。つまり、ルート テーブルに静的ルートを追加する必要があるということです。

Link Monitor には追加されているけれども、次のホップまたはカスタム ターゲットがない内部インターフェイスは、SD-WAN アクションに追加することができません。

BOVPN 仮想インターフェイス

BOVPN 仮想インターフェイスを Link Monitor に追加する前に、まず BOVPN 仮想インターフェイス設定でピア IP アドレスを構成する必要があります。ネットマスクを指定することはできません。

他のインターフェイスが含まれている SD-WAN アクションに BOVPN 仮想インターフェイスを追加するには、BOVPN 仮想インターフェイスに Link Monitor ターゲットが必要です。BOVPN 仮想インターフェイスを Link Monitor に追加すると、ターゲットは自動的にピア IP アドレスになるように構成されます。このターゲットを変更または削除することはできません。

外部インターフェイス

SD-WAN アクションの外部インターフェイスでは、メトリックが選択されていない場合は、 Link Monitor ターゲットの指定はオプションとなります。しかし、Link Monitor ターゲットを指定することをお勧めします。Link Monitor ターゲットが構成されておらず、アクションでメトリックが選択されていない場合は、有効な IP アドレスがインターフェイスに割り当てられていない状況で、かつ物理接続が検出されないと、Firebox では外部インターフェイスが非アクティブであるとみなされます (インターフェイスが動的な場合)。

Link Monitor の詳細については、Link Monitor について を参照してください。

SD-WAN アクションを構成する

Link Monitor を構成したら、SD-WAN アクションを構成する必要があります。

SD-WAN アクションは、トラフィックを開始する新しい接続に適用されます。SD-WAN アクションは、応答トラフィックには適用されません。SD-WAN アクションを使用して、応答トラフィックを特定のインターフェイスから強制的に送信することはできません。

SD-WAN アクションには以下の設定が含まれます。

  • インターフェイス — どのインターフェイスがアクションに参加するか。
  • プライマリ インターフェイス — どのインターフェイスがプライマリか。プライマリ インターフェイスがアクティブで、メトリックが指定値を超過していない場合は、プライマリ インターフェイスが優先されます。一覧の最初のインターフェイスがプライマリ インターフェイスです。プライマリ インターフェイスを変更するには、リスト内でインターフェイスを上下に移動します。
  • フェールオーバー — フェールオーバーするか否かの決定に、メトリック (損失、レイテンシー、またはジッター) を使用するか、接続 (アクティブ/非アクティブ) を使用するか。メトリックを選択する場合は、フェールオーバーするか否かの決定に、一部のメトリックを使用するか、またはすべてのメトリックを使用するかを指定することができます。
  • フェールバック — どのように接続がフェールバックするか (即時フェールバック、段階的フェールバック、または フェールバックなし)。

これらのインターフェイスの種類を 1 つまたは複数 SD-WAN アクションに含めることができます。

  • 外部
  • 内部 (信頼済み、オプショナル、またはカスタム) — Fireware v12.4 以降。内部インターフェイスには、専用回線や MPLS リンクなど、プライベート ネットワーク接続に構成されたインターフェイスが含まれます。
  • BOVPN 仮想インターフェイス — Fireware v12.4 以降では、複数の BOVPN 仮想インターフェイスを追加して、フェールオーバーにメトリックを使用することを選択することができます。

SD-WAN アクションに追加するインターフェイスにより、使用可能なフェールオーバー設定とフェールバック設定が決まります。

  • 複数のインターフェイスが選択されているが、Link Monitor ターゲットが有効化されていないインターフェイスがある場合は、フェールバック設定のみを構成することができます。
  • 1 つの外部インターフェイスまたは 1 つの BOVPN 仮想インターフェイスのみを選択した場合は、フェールオーバーまたはフェールバック設定は構成することができません。
  • アクションの各外部インターフェイスで Link Monitor ターゲットが有効化されていない場合は、フェールバック設定のみを構成することができます。

追加できる SD-WAN アクションの数に制限はありません。複数のポリシーで同じ SD-WAN アクションを使用することができます。

構成手順の詳細については、SD-WAN を構成する を参照してください。

Fireware v12.3.x では、少なくとも 1 つの外部インターフェイスをアクションに追加する必要があります。または、1 つの BOVPN 仮想インターフェイスを追加することができます。複数の外部インターフェイスを選択することができます。複数の BOVPN 仮想インターフェイスを選択することはできません。BOVPN 仮想インターフェイスを選択した場合は、他のインターフェイスを選択することはできません。

SD-WAN アクションでフェールオーバー設定とフェールバック設定を構成する

SD-WAN アクションで損失、レイテンシー、およびジッターの測定値が選択されている場合は、それらの測定値に指定された値を超えると接続がフェールオーバーします。以下のオプションを指定することができます。

選択された測定値が指定値を超えた場合にフェールオーバーする

たとえば、損失率レイテンシー、および ジッター を選択して、既定値を維持します。この場合は、損失率の値が 5 %、レイテンシーの値が 20 ミリ秒、ジッターの値が 10 ミリ秒となります。

レイテンシーが 21 ミリ秒に増加したことが Firebox で検出されると、損失率とジッターが指定値を超えていなくても、インターフェイスのフェールオーバーが発生します。

選択されたすべての測定値が指定値を超えた場合にフェールオーバーする

たとえば、損失率ジッター を選択して、既定値を維持します。この場合は、損失率の値が 5 %、ジッターの値が 10 ミリ秒となります。選択されたすべての測定値が指定値を超えた場合にフェールオーバーする チェックボックスを選択します。

損失率が 6 %に増加し、ジッターが 11 ミリ秒に増加したことが Firebox で検出されると、インターフェイスのフェールオーバーが発生します。損失率のみが指定値を超えた場合は、インターフェイスのフェールオーバーは発生しません。

ネットワークはそれぞれに異なり、一部のアプリケーションはパフォーマンスの問題が発生しやすいため、ネットワークの知識に基づいて、損失、レイテンシー、ジッターの値を選択する必要があります。WAN 接続のベースライン値を最初に確立することをお勧めします。これを行う場合は、Firebox で SD-WAN レポート データを表示することができます。ベスト プラクティスとして、過去 24 時間の平均値を考慮することが推奨されます。Firebox System Manager にはリアルタイム データしか表示されないため、Web UI を使用してください。最長 7 日間の履歴データが表示され、平均値が計算されます。Web UI で SD-WAN 監視データを表示して解釈する方法の詳細については、インターフェイス情報と SD-WAN 監視 を参照してください:

SD-WAN アクションでメトリックが選択されていない場合は、インターフェイスが非アクティブの場合にのみ接続がフェールオーバーします。

フェールオーバー モードのみがサポートされています。ラウンドロビン、インターフェイス オーバーフロー、およびルーティング テーブル モードはサポートされていません。

Fireware v12.3.x では、BOVPN 仮想インターフェイスのフェールオーバーはサポートされていません。

インターフェイスのフェールオーバーが発生した後に復旧した場合は、アクティブな接続と新しい接続が元のインターフェイスにフェールバックするかどうか、および直ちにフェールバックするか、徐々にフェールバックするかを選択することができます。3 つのオプションがあります。

  • 即時フェールバック — アクティブな接続と新しい接続でフェールバック (元の) インターフェイスが使用されます。これが既定の設定です。
  • 段階的フェールバック — 有効な接続は引き続きフェールオーバー インターフェイスを使用します。新規の接続はフェールバック (オリジナル) インターフェイスを使用します
  • フェールバックなし — 有効な新しい接続は引き続きフェールオーバー インターフェイスを使用します。元の WAN 接続にフェールバックする前に問題が解決したことを確認する場合は、このオプションを選択することをお勧めします。

段階的フェールバック または フェールバックなし を選択した場合は、SD-WAN ステータス ページでフェールバックを手動で開始することができます。Fireware Web UI における手動フェールバックの詳細については、SD-WAN ステータスおよび手動フェールバック (Web UI) を参照してください。Fireware System Manager (FSM) における手動フェールバックの詳細については、SD-WAN 監視、ステータス、および手動フェールバック (Firebox System Manager) を参照してください。

SD-WAN アクションをポリシーに適用する

SD-WAN 構成を完了するには、Firebox ポリシーで SD-WAN アクションを選択します。ポリシーに一致するすべてのトラフィックで SD-WAN アクションが使用されます。たとえば、VoIP トラフィックのポリシーで、ジッターの値またはレイテンシーの値が指定値を超えたことが Firebox で検出された場合にトラフィックが別のインターフェイスに自動的にフェールオーバーするように SD-WAN アクションを指定することができます。

構成手順の詳細については、SD-WAN を構成する を参照してください。

SD-WAN レポートを表示する

Link Monitor ターゲットが設定されたインターフェイスの損失、レイテンシー、およびジッターのメトリックを示すグラフを表示することができます。

Web UI における SD-WAN レポートの詳細については、インターフェイス情報と SD-WAN 監視 を参照してください。

Firebox System Manager (FSM) における SD-WAN レポートの詳細については、SD-WAN 監視、ステータス、および手動フェールバック (Firebox System Manager) を参照してください。

構成例

多くのネットワークの種類でメトリックベースの SD-WAN ルーティングをうまく活用することができます。SD-WAN が MPLS リンク、専用回線、またはプライベート回線で機能する仕組みについては、BOVPN 仮想インターフェイス トンネルへの MPLS リンクからの SD-WAN フェールオーバー を参照してください。

関連情報:

SD-WAN を構成する

SD-WAN ステータスおよび手動フェールバック (Web UI)

Link Monitor について

Link Monitor を構成する