インラインモード
このモードでは、SD-WAN アプライアンスはイーサネットブリッジのように見えます。SD-WAN アプライアンスモデルのほとんどは、 インラインモード用の配線接続 (イーサネットバイパス)機能を備えています。電源が故障すると、リレーが閉じ、入力ポートと出力ポートが電気的に接続され、イーサネット信号がポート間で通過できるようになります。Fail-to-Wire モードでは、SD-WAN アプライアンスは 2 つのポートを接続するクロスオーバーケーブルのように見えます。
利点とユースケース
インラインモード展開の利点と使用例を次に示します。
- したがって、MPLS ルータを維持することは素晴らしい機能です。Fail-to-Wire対応デバイスにより、ボックスがダウンした場合にインフラストラクチャをアンダーレイにシームレスにフェイルオーバーできます。
- デバイスが Fail-to-WAN(SD-WAN 210 以降)をサポートしている場合、これにより、SD-WAN がクラッシュまたはダウンしたときに、1 つの SD-WAN をハードウェアにインラインで配置して、カスタマーEdgeルータへの LAN トラフィックをバイパスできます。
- お客様の LAN/イントラネットを自然に拡張する MPLS リンクが存在する場合は、デバイスがクラッシュしたりダウンしたりしたときに、LAN トラフィックがハードウェアでバイパスされ、お客様のEdgeルータにハードウェアでバイパスされる(次のルータも維持される)ようなフェールツーワイヤブリッジペアポート(フェールツーワイヤ対応ペア)が最適です。ホップ)。
- ネットワークはシンプルです。
- SD-WAN は、インラインモードを介してすべてのトラフィックを認識するため、適切な帯域幅/キャパシティアカウンティングの最適なシナリオです。
- L2セグメントのIPのみを必要とするため、統合要件はほとんどありません。LAN セグメントは、LAN インターフェイスに腕があるためよく知られています。コアスイッチに接続する場合は、ダイナミックルーティングを実行して、すべての LAN サブネットを可視化することもできます。
- お客様の期待は、SD-WANは新しいネットワークノードとして既存のインフラストラクチャに溶け込む必要があるということです(他には何も変わりません)。
- プロキシ ARP-インラインモードでは、ゲートウェイがダウンした場合、またはネクストホップへの SD-WAN インターフェイスがダウンした場合に、SD-WAN が LAN ネクストホップに ARP 要求をプロキシするのはありがたいことです。
- 一般に、複数の WAN 接続(MPLS/インターネット)を持つブリッジペア(Fail-to-Block または Fail-to-Wire)を使用するインラインモードでは、LAN ホストをネクストホップ Gateway に接続するブリッジペアインターフェイスに対してプロキシ ARP を有効にすることを推奨します。
- 何らかの理由で、ネクストホップがダウンしているか、ネクストホップへの SD-WAN インターフェイスがダウンしてGateway に到達不能になっている場合、SD-WAN は ARP 要求のプロキシとして機能し、LAN ホストはパケットをシームレスに送信し、仮想パスを維持する残りの WAN 接続を使用できます。
- 高可用性 :Failto-Wire がオプションでない場合、デバイスを並列高可用性(アクティブ/スタンバイ用の共通の LAN および WAN インターフェイス)デバイスに配置して、冗長性を実現できます。
- SD-WAN 110のようにアプライアンスがFail-to-Wireをサポートしていない場合は、プライマリがダウンした場合にスタンバイデバイスを起動できるインラインパラレル高可用性を利用する必要があります。
推奨事項
インラインモード展開の推奨事項を次に示します 。
- インラインモードは、既存のインフラストラクチャを変更せず、SD-WAN が LAN セグメントに対して透過的にインラインに配置されているブランチに最適です。
- データセンターは、デバイスのダウン/クラッシュによってデータセンターのワークロードがブラックホールにならないようにすることが非常に重要であるため、インラインフェールツーワイヤまたはインラインパラレル高可用性を導入することもできます。
注意事項
インラインモードで注意する必要がある情報は次のとおりです 。
- SD-WAN (LAN と WAN 側) に 2 つのアームを持つ配管ネットワーク, ネットワークは 2 つのアームで配管する必要があるため、いくつかのダウンタイムを必要とします.
- Failto Wire が使用されている場合、セキュリティが侵害されないように、 信頼ゾーン内のカスタマーEdgeルータ/ファイアウォールの背後にあることを確認する必要があります 。
- MPLS QoS は、以前の QoS ポリシーが送信元 IP アドレスまたは DSCP ベースに依存していた可能性があるため、この点では少し変化します。これは、オーバーレイのためにマスクされるためです。
- SD-WANのQoSがトラフィックの優先順位付けを処理し、優先順位の高いアプリケーションをすぐに他のクラスを送信するように(ただし、全体を説明できる)、特定のDSCPタグを使用して、適切に設計されたSD-WAN固有の予約帯域幅でMPLSルーターを再利用するように注意する必要があります。MPLS ルータ上の SD-WAN 用に予約された帯域幅)。MPLS キューは、自動パスグループに 1 つの DSCP が設定された代替または MPLS で、これを処理できます。
- カスタマーEdgeルータでリンクが終端しているためにインターネットインターフェイスが信頼されている場合は 、インターネットサービスを使用するには、アプライアンスからのインターネットブレークアウトを有効にする排他的なダイナミック NAT ルールを作成する必要があります。
- インターネットリンクが WAN 接続だけであり、カスタマーEdgeルータで終端している場合でも、カスタマーEdgeルータが既存のアンダーレイインフラストラクチャを介してパケットを操縦するための予防措置を講じている場合は、接続をバイパスしても問題ありません。
- インターネット接続のあるブリッジペア経由で LAN トラフィックをバイパスする流れや、アプライアンスがダウンしているときの流れを考慮する必要があります。これは機密性の高い企業イントラネットトラフィックであるため、障害発生前夜には、その処理方法を知っている必要があります。
はじめに
構成を開始する前に、ネットワークトポロジを十分に理解し、サイトの詳細を収集していることを確認します。
以下は、ブランチがインラインモードで構成されている SD-WAN ネットワークの例です。
各サイトの詳細を以下の表に示します。
| サイトの詳細 | インラインモード |
|---|---|
| サイト名 | ブランチ 1 |
| 管理IP | 172.30.2.20/24 |
| セキュリティキー | もしあれば |
| モデル/ Edition | 2100 |
| Mode | インライン |
| トポロジ | 2 x WAN パス |
| VIP アドレス | 10.17.0.9/24-MPLS、10.18.0.9/24-インターネット、パブリック IP a.b.c.d |
| Gateway MPLS | 10.17.0.1 |
| Gateway・インターネット | 10.18.0.1 |
| リンク速度 | MPLS-10 Mbps、インターネット-2 Mbps |
| Route | 追加のルートは追加されませんでした |
| VLAN | なし (デフォルト 0) |
インラインモードの設定
-
顧客レベルの設定で、[構成] > [ネットワークホーム] に移動します。「サイトを追加」をクリックします。
-
[ 次へ ] をクリックし、[ サイトの詳細 ] タブに移動します。サイトロールを「 ブランチ」として選択します。[ 次へ ] をクリックし、[ デバイスの詳細 ] タブに移動します。アプライアンスのシリアル番号を入力します。
-
[ 次へ ] をクリックし、[ インターフェイス ] ページに移動します。[ + インターフェイス] をクリックします。 導入モードとして [ インライン (Fail-To-Wire)] を選択します。設定と仮想 IP アドレスに基づいてインターフェイスを選択します。[完了] をクリックします。
ブリッジペアモードで 2 つのインターフェイスペアを追加します。1 つは MPLS 用、もう 1 つはインターネット用です。
-
[ 次へ ] をクリックし、[ インターフェイス ] タブに移動します。[ + インターフェイス] をクリックします。
-
「 デプロイモード 」ドロップダウンリストから「 バーチャルインライン (ワンアーム) 」を選択し、 インターフェイスタイプとして 「 ワンアーム」を選択します。仮想インラインモードルータに接続するイーサネットインターフェイスを選択します。このトポロジに従って、同じ物理インターフェイスを持つ仮想 LAN を 2 つ追加します。1 つは MPLS 用、もう 1 つはインターネット用です。
最初の VLAN を追加するには、[ 仮想インターフェイス ] セクションに VLAN ID、仮想インターフェイスの名前、および IP アドレスを入力します。[完了] をクリックします。
-
[ 次へ ] をクリックし、[ WAN リンク ] タブに移動します。[ + WAN リンク ] をクリックし、[ 新規作成 ] ラジオボタンを選択します。2 つの WAN リンクを追加します。1 つは MPLS 用、もう 1 つはインターネット用。
インターネット WAN リンクの場合は、 アクセスタイプとして [ パブリックインターネット] を選択します。 ISP 名を選択すると 、WAN リンクの名前が自動的に入力されます。速度を選択し、必要な仮想インターフェイスとゲートウェイを選択します。
MPLS WAN リンクの場合は、 アクセスタイプとしてMPLSを選択します。ISP 名を選択すると、WAN リンクの名前が自動的に入力されます。速度を選択し、必要な仮想インターフェイスとゲートウェイを選択します。
注:
データセンターと支店で異なる ISP がある場合は、autopath グループを作成し、そのグループに ISP の詳細を含める必要があります。
-
[ 完了 ] をクリックし、[ 保存] をクリックします。「検証」をクリックして構成を検証します。エラーが見つかった場合は、次に進む前に修正してください。