- ライター:川畑 勇貴
- ネットワンシステムズに入社し、応用技術部にて、Ciscoミドルエンド・ローエンドルータ製品、スイッチ製品を担当。
ネットワークに関わる先進テクノロジーの調査、研究に従事している。
執筆者プロフィールに「・CCIE」と載せるべく日々研鑽中。
目次
SD-WANの浸透
ネットワンから Cisco Catalyst SD-WAN を導入いただくお客様が、ありがたいことに近年増えております。SD-WAN を検討、導入していただいているお客様は、多くの場合で SD-WAN ルータでローカルブレイクアウトを実施したいという要件があります。
ローカルブレイクアウトでは、各拠点の WAN ルータにインターネット回線を敷設し、本社やデータセンタに存在するファイアウォールやプロキシサーバを中継せずに、拠点から直接インターネットへのアクセスを可能とします。これにより、本社、データセンタ等の中央施設へのトラフィック集中を緩和し、負荷分散が可能となります。企業活動でのインターネット向けのトラフィックが増加したため、現在ではトラフィック増への一般的な対応として、ローカルブレイクアウトはよく検討される手段となりました。
ローカルブレイクアウトのデメリット
ローカルブレイクアウトを実装することで、本社やデータセンタへの負荷集中は回避出来るようになりましたが、これらの施設で担っていたファイアウォールやプロキシサーバ等のセキュリティ設備を経由しなくなります。これにより、セキュリティの担保、ログの保全といった観点には課題が発生していました。
ローカルブレイクアウト + セキュリティ
ローカルブレイクアウトを利用した上で、セキュリティの担保、ログの保全を実現するためには、セキュアインターネットゲートウェイを組み合わせるという方法があります。セキュアインターネットゲートウェイはクラウド上でファイアウォールやログ機能を提供するセキュリティサービスです。セキュアインターネットゲートウェイを提供するベンダは数多くありますが、シスコ社ではCisco Secure Accessというセキュアインターネットゲートウェイサービスがあります。SD-WANルータがSecure Accessを利用する際、SD-WANとSecure Access間にIPsecトンネルで接続をします。
SD-WANルータとSecure Access間のIPsec接続
Cisco Catalyst SD-WANではGUI上でSecure AccessとのIPsec接続用のコンフィグを作成可能です。Cisco Catalyst SD-WANとSecure Accessを組み合わせるメリットの一つにSecure AccessのAPIを利用した設定が可能なことがあります。APIの利用によってSD-WAN、Secure Accessの双方でIPsecの細かいパラメーター設定を省略しIPsecトンネルの確立が可能となります。従来、IPsecの設定はCLI上でコマンドを入力し実装することが一般的でしたが、コマンド入力不要で設定可能となるためコマンドの設定ミスによりIPsecトンネルが利用できないといったトラブルを回避することが出来ます。
API認証情報の入力
APIの認証情報を入力後、GUI上の設定項目がいくつかありますが一度操作を経験すると簡単に設定が可能な内容となっています。
IPsecトンネル設定の一部抜粋
設定を作成後、SD-WANルータに適用する工程があります。SD-WANルータへの適用はSD-WANの管理コンポーネントがGUI上の設定をCLIコマンドに変換しSD-WANルータの設定を書き換える処理が走ります。設定の適用は下記の画像のようにステータスがSuccessとなれば成功となります。
作成した設定のSD-WANルータへの適用
SD-WANルータに設定を適用後、GUI上でIPsecトンネルのUP状況を確認することが出来、SD-WANルータのCLIでコマンドを打たなくとも容易にトンネルステータスの確認が可能です。日々のネットワーク運用においては、専門のネットワークエンジニアでなくてもネットワークに問題が発生していないか簡易的な確認が可能となります。
IPsecトンネルステータスの確認
まとめ
今回、Cisco Catalyst SD-WANとSecure AccessのIPsec接続について紹介させていただきましたが、Cisco Catalyst SD-WAN、Secure Accessには他にも様々な優れた機能が実装されています。WANの更改、クラウドのセキュリティを強化したいといった場合には是非、弊社担当営業までご相談いただけますと幸いです。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
