SD-WAN 方式について

適用:クラウド管理の Firebox

本トピックでは、WatchGuard Cloud でサポートされている SD-WAN 方式についてご説明します。

WatchGuard Cloud で SD-WAN を構成する方法については、SD-WAN を構成する を参照してください。

フェールオーバー

フェールオーバー方式が使用されるように SD-WAN アクションを構成することができます。Firebox では、以下の場合に別のインターフェイスに接続がフェールオーバーされます。

  • 現時点で使用されているインターフェイスが非アクティブ (ダウン) の場合
  • 現時点で使用されているインターフェイスで、指定されている測定値の超過が発生した場合

たとえば、測定ベースのフェールオーバーを使用する が選択されている場合で、既定値がそのまま使用されていれば、レイテンシー値は 400 ミリ秒、損失率値は 5%、ジッター値は 100 ミリ秒となります。レイテンシーが 401 ミリ秒に増加したことが Firebox で検出されると、損失率とジッターが指定値を超えていなくても、インターフェイスのフェールオーバーが発生します。

測定ベースのフェールオーバーを使用する が選択されていない場合は、インターフェイスが非アクティブ (ダウン) になった場合にのみ、接続がフェールオーバーされます。Firebox では、物理的な切断またはリンク監視プローブの失敗が発生すると、インターフェイスが非アクティブであると見なされます。

フェールバック

インターフェイスのフェールオーバーが発生した後に復旧した場合は、アクティブな接続と新しい接続が元のインターフェイスにフェールバックするかどうか、および直ちにフェールバックするか、徐々にフェールバックするかを選択することができます。以下のオプションを指定することができます。

  • 即時フェールバック — アクティブな接続と新しい接続でフェールバック (元の) インターフェイスが使用されます。これが既定の設定です。
  • 段階的フェールバック — アクティブな接続では引き続きフェールオーバー インターフェイスが使用されます。新しい接続では、フェールバック (元の) インターフェイスが使用されます。
  • フェールバックなし — アクティブな接続と新しい接続で引き続きフェールオーバー インターフェイスが使用されます。元の WAN 接続にフェールバックする前に問題が解決したことを確認する場合は、このオプションを選択することをお勧めします。

以下は、SD-WAN アクションで、フェールオーバー方式と測定ベースのフェールオーバーが使用される場合の例です。

Screen shot of an example SD-WAN Failover configuration

ラウンドロビン

ラウンドロビン方式が使用されるように SD-WAN アクションを構成することができます。ラウンドロビンとは、送信トラフィックを重み付けなどの要素に基づいて複数のインターフェイスに分散する負荷分散方式です。

SD-WAN ラウンドロビンを使用すると、以下を行うことができます。

  • 複数の ISP や回線でトラフィック負荷を共有する。
  • 企業で契約しているすべての ISP 接続のメリットを最大限に享受する。たとえば、セカンダリ接続を単にリダンダンシーのため以上の目的で使用することができます。

SD-WAN アクションに一致するトラフィックの場合、Firebox は以下の要素を考慮して送信インターフェイスを決定します。

  • 重み付け — SD-WAN アクションで各インターフェイスに割り当てる重み値
  • 3 タプル — SD-WAN アクションによって処理されるパケットの送信元 IP アドレス、宛先 IP アドレス、プロトコル
  • 測定値 — SD-WAN アクションにおける各インターフェイスの損失率、レイテンシー、ジッター

1 つまたは複数の SD-WAN ラウンドロビン アクションが含まれている構成を配備する場合は、デバイスでファームウェア v12.8 以降が実行されている必要があります。デバイスで以前のファームウェア バージョンが実行されている場合は、構成を配備する前に、デバイスのファームウェアを v12.8 以降にアップグレードする、または フェールオーバー 方式が使用されるようにすべての SD-WAN アクションを変更する、あるいはラウンドロビン方式が使用される SD-WAN アクションをすべて削除する操作のいずれかを行う必要があります。デバイス モデルでファームウェア v12.8 以降がサポートされていない場合は、フェールオーバー 方式が使用されるようにすべての SD-WAN アクションを変更する、またはラウンドロビン方式が使用される SD-WAN アクションをすべて削除します。

重み付け

SD-WAN アクションで、各インターフェイスの重み値を編集することができます。重み付け とは、Firebox がインターフェイスを経由して送信するトラフィック負荷の割合です。容量が異なる 2 つの WAN 接続を含む SD-WAN アクションを構成する場合は、インターフェイスの重み付けを容量に比例するように指定することができます。より大きい値で重み付けされたインターフェイスが、より多くのトラフィックを処理します。インターフェイスの重み付けの既定値は 1 です。

たとえば、External-1External-2 という 2 つのネットワークを使用して SD-WAN アクションを構成するとします。External-1 接続には、External-2 よりも多くの容量があります。SD-WAN アクション設定で、External-1 に 6 の重みを割り当て、External-2 に 4 の重みを割り当てます。SD-WAN アクションを 10 の接続とすると 、External-1 ではその接続のうちの 6 が処理されることになります。External-2 で処理される接続は 4 となります。

Screen shot of an SD-WAN Round-Robin action with custom interface weights

ライブ ステータス > ネットワーク の順に移動したページで、SD-WAN タブを選択すると、SD-WAN アクションで各ネットワークまたは VPN によって処理された接続の割合が表示されます。SD-WAN アクションで多数の接続 (数百〜数千の接続) が処理される場合は、負荷分散の割合が、指定されている重み付け比率とより正確に一致します。

SD-WAN アクションでトラフィックが発生しなければ、各インターフェイスの使用率の値は 0% となります。割合 (%) は、インターフェイスのステータスが変化するとリセットされます。

SD-WAN 監視の詳細については、Firebox および FireCluster でネットワークを監視する および SD-WAN の詳細 を参照してください。

重みを計算する

インターフェイスの重み付けは、整数のみ使用でき、分数または小数は使用できません。最適負荷分散は、各インターフェイスに割り当てる整数の重み付けを計算する場合があります。各外部接続の帯域幅の相対的比率を整数に変更できるように公倍数を使用します。

たとえば、3 つのインターネット接続があるとします。1 番目の ISP が 6 Mbps の接続、2 番目の ISP が 1.5 Mbps の接続、および 3 番目が 768 Kbps の接続を提供しています。比率を整数に変換します。

  • 3 つのラインに対して同じ測定単位を使用できるように、まず 768 Kbps を約 0.75 Mbps に変換します。3 つの回線速度は、6 Mbps、1.5 Mbps、および 0.75 Mbps になります。
  • 各値を 100 で乗算して小数を消します。比例的に、以下の数値は等価です。[6 : 1.5 : .75] の比率は、[600 : 150 : 75] と同じです。
  • 3 つの数値の最大公約数を調べます。この場合は、最多数の 75 は、600、150、および 75 を均等に除算します。
  • 各番号を最大公約数で除算します。

結果は、8、2、および 1 です。SD-WAN ラウンドロビン アクションの重み付けとして、上記の数値を使用することができます。

3 タプル

SD-WAN ラウンドロビンでは、重み付けに加えて、3 タプルのハッシュ計算を用いてパケットの送信インターフェイスが決定されます。3 タプルとは、パケット ヘッダーから導出される送信元 IP アドレス、宛先 IP アドレス、プロトコルという 3 要素のリストです。接続はスティッキーとなります。つまり、送信元と宛先が同じで、かつ同じプロトコルが適用されるトラフィックは、常に同じインターフェイス経由でルーティングされるということです。

測定

オプションとして、SD-WAN アクションですべてのインターフェイスに適用される損失率、レイテンシー、ジッターの測定を構成することができます。こうした測定値により、インターフェイスがパス選択の一部として適格かどうかが決まります。適格と見なされるためには、インターフェイスの損失率、レイテンシー、ジッターの値が、指定されている値以下でなければなりません。

インターフェイスの損失、レイテンシー、ジッターの値が指定値以下になると、そのインターフェイスが適格となり、ラウンドロビンの選択肢に加わります。

ネットワークはそれぞれに異なり、一部のアプリケーションはパフォーマンスの問題が発生しやすいため、ネットワークの知識に基づいて、損失、レイテンシー、ジッターの値を選択する必要があります。WAN 接続のベースライン値を最初に確立することをお勧めします。ベスト プラクティスとして、過去 24 時間の平均値を考慮することが推奨されます。

非アクティブかつ不適格なインターフェイス

Firebox では、以下の場合にラウンドロビンのパス選択からインターフェイスが削除されます。

  • 非アクティブの (ダウンした) インターフェイス — Firebox では、物理的な切断またはリンク監視プローブの失敗が発生すると、インターフェイスが非アクティブ (ダウン) であると見なされます。リンク監視の詳細については、Firebox ネットワーク リンク監視を構成する を参照してください。
  • 不適格なインターフェイス — インターフェイスの損失率、レイテンシー、またはジッターが指定されている値を超えている場合です。

Firebox では、残りの適格なインターフェイス間でトラフィックが分散されます。

Firebox では、適格なインターフェイスがない場合は、トラフィックが最初のアクティブな (稼働している) インターフェイスにルーティングされます。これは、SD-WAN アクション構成でリストされている最初のアクティブなインターフェイスとなります。アクティブなインターフェイスが存在しない場合は、SD-WAN アクションに一致するパケットが Firebox からドロップされます。インターフェイスが再びアクティブになると、または適格になると、それが自動的にラウンドロビンで使用可能になります。

以下は、SD-WAN アクションで、ラウンドロビン方式と測定ベースの参加が使用される場合の例です。

Screen shot of an example SD-WAN Round-Robin configuration

関連トピック

SD-WAN を構成する

SD-WAN の詳細