タグ: SD-WAN

カテゴリー
2021年 Riverbed SD-WAN クラウド コンピューター 技術一般

SD-WAN を試す (2) Controller のインストール


にほんブログ村

某お客様で SD-WAN を導入したいという話がありました。そこでリバーベッドテクノロジー社の SD-WAN 製品であるSteelConnect EX を提案しました。

その時にいろいろと動作確認しましたので、メモとして残しておこうと思いました。

今回は、Controller の初期設定についてです。


にほんブログ村

Controller の初期設定

ヘッドノードの1つである Controller のインストールです。

リバーベッドテクノロジー社のサポートサイトから、OVA ファイルが手に入りますので、それをダウンロードし、ESXi にインストールします。

Controller には、最低3つのネットワークアダプターが必要となりますが、今回の構成では4つのネットワークアダプターで構成します。

OVA ファイルからインストールすると、ネットワークアダプタは1つしかありませんので、三つ追加しておきます。

  • ネットワークアダプタ1

Management Switch に接続させます。これが North-bound になります。

  • ネットワークアダプタ2

Control Switch に接続させます。これが South-bound になります。

  • ネットワークアダプター3

インターネットに接続させます。インターネット越しに接続しにきたSDWANルーターにポリシーを適用します。

  • ネットワークアダプター4

Logical WAN に接続させます。WANとして設定しますが、実際はLAN内のセグメントの1つです。

それでは、Controller インスタンスを起動させ、ログインします。デフォルトのログインアカウントは、admin/versa123 です。

ログインできました。

まず、インターフェースの設定を行います。これは、/etc/network/interfaces ファイルを編集していきます。

エディターソフトとしてvim がインストールされていますので、それを使います。

sudo vim /etc/network/interfaces

初期状態は、以下のように設定されています。

これを、以下のように編集していきます。

ここで設定するのは、eth0 の設定です。

eth0 は、Management Switch に接続されますので、私の環境では、10.100.3.0/24 のセグメントになります。

auto eth0
iface eth0 inet static
address 10.100.3.201
netmask 255.255.255.0
gateway 10.100.3.254

ファイルの編集が完了したら、:wq で保存します。

cat コマンドを使って、interfaces ファイルの内容を表示させて確認してみます。

cat /etc/network/interfaces

記入間違いがなければOKです。

次に、インターフェースの設定情報を表示させます。

ifconfig

eth0 には、まだIPアドレスが設定されてませんね。先ほどの設定内容を反映させる必要があります。

eth0 インターフェースをDownさせます。

sudo ifdown eth0

そして、eth0 インターフェースをUpさせます。

sudo ifup eth0

再度、インターフェースの設定情報を表示させてみます。

eth0インターフェースに、IPアドレスが設定されましたね。

ここでIPアドレスが見えない場合、interfacesファイルの記述が間違っている可能性がありますので、内容を見直してください。

Director のeth0が同じセグメントに接続されています。そのIPアドレスに対してPingを打ってみます。

ping 10.100.3.200

echo reply が返ってきましたね。通信可能ということです。

これで、Controller の初期設定は完了です。次は、Director とController を接続させて設定していきます。

Director からの設定

Director と Controller を連携させていきます。設定は全て、Director 上で行います。

Director のウェブ管理画面にログインします。

  • Name: Controllerのホスト名を入力します。今回は「CTL-02」としています。
  • Provider Organization: Director の初期設定の時に作成したOrganizationの名前をプルダウンメニューから選びます。
  • Global Controller ID: 始めの Controller であれば、「1」が表示されます。通番で、Controller が追加される度に数字が上がります。
  • Staging Controller: このコントローラーをステージング(SDWAN ルーターにコンフィグを渡す作業)で使用するため、チェックボックスにチェックを入れます。
  • IP Address: Controller の Eth0 の IPアドレスを入力します。入力後、接続性チェックが走ります。エラーになった場合は、Director と Controller 間の接続性を確認してください。
  • Analytics Cluster: Analytics サーバーをヘッドノードに追加する場合は、Analytic Cluster の名前をプルダウンメニューから選択します。

「Continue」で次に進みます。

次に、Controller の所在地を指定します。

住所を入力後、「Get Coordinates」をクリックすると、正確な位置情報が表示されます。

「Continue」で次に進みます。

Control ネットワーク向けのインターフェースの設定です。

  • Network Name: Control Switch に接続されるインターフェースの名前です。eth1が使われます。
  • Interface: vni-0/0 をそのまま使います。
  • VLAN ID: 今回の構成ではVLANは使ってませんので、0のままにします。
  • IP Address/Prefix: eth1のIPアドレスとサブネットマスクを指定します。
  • Gateway: eth1のデフォルトゲートウェイを指定します。今回の構成では、特に必要ないので空白にしています。
  • DHCP: eth1のIPアドレスをDHCPを使って動的アドレスで設定したい場合は、このオプションを有効にします。

「Continue」をクリックして次に進みます。

WAN インターフェースの設定です。

ここではNetwork Nameを指定していく必要があるのですが、初期状態は選択できるものがないため、最初に作成していきます。

画面右上の「+WAN Interface」をクリックします。

最初に作成するのは、「Internet」です。

  • Name: Internet と入力します。
  • Description: このWANインターフェースの説明を入力します。
  • Transport Domain: プルダウンメニューから「Internet」を選択します。

「OK」をクリックして、設定を保存します。

次に、「Logical WAN」を作成します。

再度、画面右上の「+WAN Interface」をクリックします。

  • Name: Logical_WAN と入力します。
  • Description: このWANインターフェースの説明を入力します。
  • Transport Domain: プルダウンメニューには「Logical WAN」がありませので、新規作成します。

「+ Transport Domain」をクリックします。

  • Name: Transport Domain の名前です。ここでは、Transport と入力します。
  • Description: このTransport Domain の説明を入力します。
  • Transport Domain ID: 22 と入力します。

「OK」をクリックして、設定を保存します。

Transpor Domain のプルダウンメニューから、「Transport」が選択できるようになりました。

「OK」をクリックして、設定を保存します。

それでは、WAN interfaces を設定していきます。

vni-0/0: 

Control ネットワークへの接続で使いますので、触らないようにします。

vn1-0/1:

インターネットに接続します。

  • Network Name: プルダウンメニューから、Internet を選択します。
  • IPv4 Address: インターネットへ接続するアドレスです。ここでは、11.0.0.2/24 としています。
  • IPv4 Gateway: 上記IPアドレスのデフォルトゲートウェイのアドレスです。ここでは、11.0.0.254としています。
  • Public IP Address: Inbound NATでこのインターフェースにアクセスさせたい場合は、ここにパブリックIPアドレスを指定します。今回は使用しません。
  • WAN Staging: ステージングの通信を行いたいインターフェースであれば、このオプションを有効にします。

vni-0/2:

Logical WAN に接続します。

  • Network Name: プルダウンメニューから、Logical WAN を選択します。
  • IPv4 Address: Logical WANセグメントと通信するためのアドレスです。ここでは、10.100.6.201/24 としています。
  • IPv4 Gateway: 上記IPアドレスのデフォルトゲートウェイのアドレスです。ここでは、10.100.6.254としています。
  • Public IP Address: Inbound NATでこのインターフェースにアクセスさせたい場合は、ここにパブリックIPアドレスを指定します。今回は使用しません。
  • WAN Staging: ステージングの通信を行いたいインターフェースであれば、このオプションを有効にします。

「Deploy」をクリックして、設定を適用します。

画面右下にプログレスバーが出力されますので、100%になるまで待ちます。

設定の適用が完了したら、画面右上のTasks(ベルマークの隣のメモ帳のようなアイコン)をクリックします。

ここに、ログが表示されます。

Controller のDeploy のログを確認します。エラーが出力されていなければOKです。

Administration > Appliances の順にクリックします。

アプライアンスのリストに、CTL-02の名前のController が表示されます。

Config SynchronizationとReachabilityが緑マーク、ServiceがUpになていることを確認します。

Controller にログイン

最後の仕上げです。

Controller に、コンソール、またはSSHでログインします。

Controller を再起動し、設定を反映させます。

sudo shutdown -r now

システムの起動が完了したら、Controller にログインします。

関連する記事:

最近の記事:

カテゴリー
2021年 Riverbed SD-WAN クラウド コンピューター 技術一般

SD-WAN を試す (1) Director のインストール

某お客様で SD-WAN を導入したいという話がありました。そこでリバーベッドテクノロジー社の SD-WAN 製品であるSteelConnect EX を提案しました。

その時にいろいろと動作確認しましたので、メモとして残しておこうと思いました。


にほんブログ村

Director の初期設定

まずは、ヘッドノードの1つである Director のインストールです。

リバーベッドテクノロジー社のサポートサイトから、OVA ファイルが手に入りますので、それをダウンロードし、ESXi にインストールします。

Director には、最低2つのネットワークアダプターが必要となります。OVA ファイルからインストールすると、ネットワークアダプタは1つしかありませんので、もう一つ追加しておきます。

  • ネットワークアダプタ1

Management Switch に接続させます。これが North-bound になります。

  • ネットワークアダプタ2

Control Switch に接続させます。これが South-bound になります。

ネットワークアダプターが 2つにになりましたので、早速、Director の仮想アプライアンスを起動させます。

Director にログインします。

デフォルトのログインアカウントは、Administrator/versa123 です。

ログインできたら、初期設定をしていきます。

Do you want to enter setup? (y/n)?

セットアップを開始しますか?

y で進みます。

[sudo] password for Administrator

Administrator のパスワードを入力してください。

ログインした時のパスワードを入力します。

Do you want to setup hostname for system? (y/n)?

システムのホスト名を設定しますか?

y で進みます。

Enter hostname:

ホスト名を入力してください。

Director のホスト名を入力します。ここでは「DIR-01」としてます。

Do you want to set up network interface configuration? (y/n)?

ネットワークインターフェースの設定を行いますか?

y で進みます。

Enter interface name [eg. eth0]

設定するインターフェース名を指定してください。

eth0 と入力し、このインターフェースの設定を行います。

Enter IP Address:

IPアドレスを入力してください。

今回は、10.100.3.200 とします。これは、Managementネットワークに所属するアドレスです。

このネットワーク経由で、ウェブ管理画面へのアクセスや、SSH でのアクセスを行います。

Enter Netmask Address:

ネットマスクを入力してください。

今回は、255.255.255.0 (24 bit) とします。

Configure Gateway Address? (y/n)?

ゲートウェイのアドレスを設定しますか?

y で進みます。

Enter Gateway Address:

ゲートウェイのアドレスを入力してください。

今回は、10.100.3.254 とします。

Configure another interface? (y/n)?

別のインターフェースを設定しますか?

y で進みます。

Enter interface name [eg. eth0]

インターフェースの名前を入力してください。

eth1 と入力します。

Enter IP Address:

IPアドレスを入力してください。

今回は、10.100.4.200 とします。これは、Control ネットワークのアドレスです。

Enter Netmask Address:

ネットマスクを入力してください。

今回は、255.255.255.0 とします。

Configure another interface? (y/n)?

別のインターフェースを設定しますか?

今回の構成では、ネットワークインターフェースは 2つになりますので、n で進みます。

Configure North-Bound interface (If not configured, default 0.0.0.0 will be accepted)(y/n)?

North-Bound インターフェースを設定しますか?(もし設定しない場合、デフォルトの0.0.0.0が適用されます)

y で進みます。North-Bound インターフェースに、デフォルトルートが適用されます。

North-Bound インターフェースの設定です。

Enter interface name [eg. eth0]

インターフェース名を入力してください。

今回の構成では、eth0 を North-Bound インターフェースとします。eth0 を指定します。

South-Bound インターフェースの設定です。

Enter interface name [eg. eth0]

インターフェース名を入力してください。

今回の構成では、eth1 を South-Bound インターフェースとします。eth1 を指定します。

Configure another South-Bound interface? [y/n]?

別のSouth-Bound インターフェースを設定しますか?

今回の構成では、South-Bound インターフェースは 1つとします。n で進みます。

Enable secure mode for Director HA ports [y/n]?

Director HA ポート向けにセキュアモードを有効にしますか?

今回の構成では、Director は HA 構成とはしません。n で進みます。

Secure Director HA communication? [y/n]?

Director のHAコミュニケーションを暗号化しますか?

今回の構成では、Director は HA 構成とはしません。n で進みます。

Prompt to set new password at first time UI login [y/n]?

最初にウェブ管理画面にアクセスした時に、パスワード変更の連絡を出力させますか?

ウェブ管理画面に初めてアクセスした際に、ログインパスワードを変更したい場合、y とします。

今回は変更しませんので、n で進みます。

設定が適用され、各種サービスが停止し始めます。

設定が完了し、各種サービスが起動ました。

Press ENTER to continue

エンターキーを押し進んでください。

Enter キーを押します。

ログインプロンプトが表示されますので、Director にログインします。

設定を完了させるため、システムを再起動します。

Linux のシャットダウンコマンドです。実行するためには、「sudo」を付けておく必要があります。

sudo shutdown -r now

ウェブブラウザーに、Director の eth0 の IPアドレスを指定し、Director のウェブ管理画面にアクセスします。

http://10.100.3.200

ログインできました。

Organization の作成

Organization とは、これから追加する Controller や SD-WAN ルーターが所属する組織(いわゆるグループ)のことです。

この Organization を一括りにして管理することができます。

SteelConnect EX は、マルチテナントをサポートしています。つまり、この Organization が複数作成できます。そして、Organization-1 は Organization-2 にはアクセスできず、設定も別となるというセキュリティー範囲の単位でもあります。

ちなみにこのOrganizationですが、階層型をサポートしており、Sub Organization を複数配下に作成していくことも可能です。

Administration > Organization の順にクリックして進みます。

初めてのアクセスの際に、Confirm Add Organization のポップアップウィンドウが表示されます。

OK」をクリックします。

「Add Organization」の設定画面のウィンドウが表示されます。

  • Name: Organizationの名前を指定します。
  • Description: この Organization の説明を入力します。
  • Global Organization ID: 初めての Organization の作成であれば「1」になります。通番ですので、通常は特に意識することはないです。
  • Subscription Profile: 通常は、Default-All-Service-Plan を選択しておきます。
  • Authentication Connector: Analytics サーバーも使用する場合は、ここで Analytics Cluster の名前を指定します。

Supported User Rules」タブをクリックします。

Available」のところに、さまざまな役割が表示されます。

Add All」をクリックして、全ての項目を「Selected」の方へ移動させます。

全ての項目が移動したのを確認し、「OK」をクリックします。

Organization のリストに、作成した名前が表示されれば完了です。

次回は、Controller を設定していきます。

関連する記事:

最近の記事:

カテゴリー
2021年 Riverbed SD-WAN クラウド コンピューター 技術一般

リバーベッドのSD-WAN製品分析と実装メモ


にほんブログ村

某お客様で SD-WAN を導入したいという話がありました。そこでリバーベッドテクノロジー社の SD-WAN 製品であるSteelConnect EX を提案しました。

その時にいろいろと動作確認しましたので、メモとして残しておこうと思いました。

SD-WAN ですが、ヘッドノードのサーバーで構成されるコントロールプレーンと、実際にユーザーデーターを転送するデータプレーンの 2つで構成されます。

ヘッドノードは、ハードウェア版と仮想版があるのですが、今回は、仮想版を使用しました。VMWare ESXi上で動作します。

SD-WAN ヘッドノードですが、

  1. Director
  2. Controller
  3. Analytics

という 3つのサーバーから構成されます。

このうち、1 と 2 はヘッドノードとして必須コンポーネントとなり、3 はオプションとなります。

注意点は、ヘッドノードを構成して運用が始まった後に、Analyticsサーバーを後から追加するためには、設定を全て初期化する必要があります。

そのため、Analyticsが必要であるかどうかは、最初によく検討しておく必要があります。

SD-WAN がなぜ求められるのか

SD-WAN と言っても、結局は、ルーターやスィッチです。

ですが、コントロールプレーンとデータプレーンを分け、設定や管理は全てコントロールプレーンで集中管理し、データプレーンはデータを転送することのみに集中しているという点が異なります。

これにより、データプレーンの機器は比較的安価なもので良くなり、中央管理できるので、運用管理のコストも下げられます。

また、クラウドを利用することが当たり前になった今、ローカルブレークアウトを使うことも普通になりました。

このためには、アプリケーションをポート番号レベルではなく、L7(アプリケーション)レベルで認識する必要があります。

このアプリケーション情報を使って、アプリ1 はインターネット、アプリ2 は MPLS、アプリ3 はインタネットVPN、という感じで経路を使い分けることができます。

これは、従来のルーターやスィッチでは難しかったことです。

PBR (Policy Based Routing) で、経路を使い分けることはできました。ですが、PBR のポリシーは、ACL (Access Control List) で定義されます。ACL は、IPアドレスとポート番号の組み合わせで成り立っています。

現在のアプリケーション、特にインターネット向けは、85% 以上が暗号化されています。つまり HTTPS(TCP/443)です。

ポート番号でしか指定できないと、HTTPS が一括りでしか制御できず、経路選択の意味がほとんどないという状態になります。

ここで Ciscoは、PfR (Performance Routing) と NBAR (Network Based Application Recognition) を組み合わせた設定を推していましたが、これを使うためには、ルーターにパワーが必要です。大型の機器になってしまうのです。

こういった点でも、SD-WAN ならお手軽に実現できます。

リバーベッドテクノロジー社の SD-WAN

リバーベッドテクノロジー社の SD-WAN ですが、最初はドイツの Ocedo社を買収しています。これを自社製品として、SteelConnect CX として販売をしました。

ですが、この製品は、エンタープライズクラスのルーティング向けには機能が足りないことが分かり、今度は、Versa Networks社と技術提携し、OEM 販売をしています。これが今回の SteelConnect EX です。

Versa Networks ですが、元々 Juniper Networks にいた人たちが結成した会社であり、ルーティング機能は非常にしっかりしています。エンタープライズルーティングという面でバッチリです。

そして、Next-Gen Firewall、URL フィルタリング、Anti Virus、IPS/IDS といったセキュリティー機能も豊富に搭載しています。リバーベッドテクノロジー社はこれを OEM 販売しているため、SteelConnect EX にも、同じ強みと特徴があります。

そして、リバーベッドテクノロジー社と言えば、WAN最適化のSteelHeadです。リバーベッドテクノロジー社の SD-WAN ルーターには、SteelHead の機能も搭載できます。

SteelConnect EX には、エンタープライズルーティング、セキュリティー、WAN最適化という SD-WAN に求められる 3つの機能の全てが搭載されているという訳です。

私のお客様も、SteelHead 大好きユーザーの1つでして、SD-WAN を検討された際に、SteelConnect EX 以外は考えられないと言われてました。

次回から、SteelConnect EX のヘッドノードをインストールした際のメモを紹介していきます。

関連する記事:

最近の記事: