クラウドネイティブに向けた cisco sd-wanのご紹介...© 2020 cisco and/or its...
TRANSCRIPT
クラウドネイティブに向けたCisco SD-WANのご紹介
シスコシステムズ合同会社エンタープライズ ネットワーキング事業プロダクト セールススペシャリスト 北かおり ([email protected])
2020年8月27日
© 2020 Cisco and/or its affiliates. All rights reserved.
© 2020 Cisco and/or its affiliates. All rights reserved.
本セッションの内容
Ø SD-WANが求められる背景
Ø Cisco SD-WAN 概要とユースケース
• 代表的なケース
• マルチクラウドに備える
• セキュリティ − SASE & …?
Ø 「これから」の形
© 2020 Cisco and/or its affiliates. All rights reserved.
SD-WANが求められる背景新型コロナ後のネットワークとは…
ワークスタイルのハイブリッド化
アプリケーションの分散マルチクラウド化
オフィスワーク
リモートワーク
DC/プライベートクラウド
SaaSアプリケーション
IaaS/パブリッククラウド
どこからでもセキュアに業務ができる
利用者の体感と生産性を最大化する
どこからでも運用管理できる:可視化・自動化・分析
どのデバイスでも会議・共同作業ができる
コネクティビティ | ゼロトラスト | クラウド可視化 | 自動化 | ポリシー | 分析 (AI/ML)
IoT/デバイス
© 2020 Cisco and/or its affiliates. All rights reserved.
新型コロナ後に向けた企業WANの課題
クラウドサービス
リモートワーク
オフィス
自社DC
データセンター
VPN装置
プロキシ
Router
インターネット
VPN用Internet回線の逼迫
VPN装置の性能限界
プロキシの逼迫
WAN回線の逼迫
アプリケーション
インターネット
閉域網
インターネット回線の逼迫
セキュリティへの不安
パフォーマンス問題・ボトルネックが特定できない → そもそも可視化できない
© 2020 Cisco and/or its affiliates. All rights reserved.
新型コロナ後に向けた企業WANの形
クラウドサービス
クラウドアクセスハブ
インターネット
SASE/クラウドセキュリティ
リモートワーク
オフィス
インターネットへオフロード
バックアップ回線も活かし高帯域化
クラウドへの直接アクセス
セキュリティ機能集約VNFで柔軟な配備
SASEによる安全なクラウドアクセス
閉域網
自社DC
ネットワーク品質・ステータスを可視化
ハブからの高速アクセス
Cisco SD-WANの概要
© 2020 Cisco and/or its affiliates. All rights reserved.
Cisco SD-WAN論理的なネットワーク(オーバーレイ)を物理接続(アンダーレイ)上に形成
Underlay
通信網で構成する物理ネットワークアンダーレイ
SD-WANで構成する論理ネットワークオーバーレイ
アンダーレイ:通信キャリア網:安定化・堅牢化・キャパシティ管理インターネット回線:広帯域化、低コスト化、展開の迅速性
オーバーレイ:アンダーレイに依存せず、機能、サービスを展開可能• 回線品質のモニタリング• 自動回線選択• セグメンテーション• アプリケーションパフォーマンスの向上• クラウドアクセス最適化
分離
(CiscoSDWANコントローラ)
制御
© 2020 Cisco and/or its affiliates. All rights reserved.
Cisco SD-WANセキュアかつクラウドスケール
Circuit Load Balancing
Direct Internet AccessCentralized Management &
Orchestration
Circuit Cost Savings
Basic SD-WAN*
エンタープライズ、高付加価値SD-WAN
マルチドメイン
回線のロードバランス
ローカルブレイクアウト
可視化とオーケストレーション
回線コストの削減・抑制
ベーシックSD-WAN*
マルチクラウド最適化
マルチドメインDC/LAN NWと連携
*Gartner Critical Capabilities for WAN Edge Infrastructure, December 2019
SaaS最適化
IaaSオンボード
SD-WAN ファブリック
App Aware なダイナミック
ルーティング
音声vAnalytics
クラウド / オンプレミスのセキュリティ
マルチレイヤセキュリティ
セキュア
セグメンテーション
© 2020 Cisco and/or its affiliates. All rights reserved.
SD-WAN 2019年世界市場シェアでシスコは1位
Cisco SD-WAN代表的な5つのユースケース
© 2020 Cisco and/or its affiliates. All rights reserved.
代表的なSD-WANユースケースローカルブレイクアウト WAN最適化、アプリケーション最適化
ゼロタッチプロビジョニング 一元管理、可視化、分析
セグメント#1
セグメント#2
セグメンテーション
© 2020 Cisco and/or its affiliates. All rights reserved.
データセンター 本社・各拠点
ユースケース1. ローカルブレイクアウト
クラウド
セキュリティ
SD-WAN ファブリック
シスコなら、M365をマルチパスで簡単にüマルチパス
• いつでも品質に応じた最適パス• アクセス可用性が向上
ü クイック設定
• O365 ブレイクアウト用拠点を指定・追加するだけ
シスコなら、出口ポイントを複数指定できる
中継拠点当該拠点
従来どおりDCから
Cisco Cloud OnRamp for SaaSDCを経由せず、SaaS/インターネットに直接アクセス
© 2020 Cisco and/or its affiliates. All rights reserved.
■検討の背景出稿内容に動画や画像など大容量データが多くなり、広域イーサネットが逼迫していた
■選定の要件適切な広域イーサネットが使えるか自動的に複数回線の冗長性を確保できるか
■コスト削減のポイント広域イーサネット2本の冗長構成を取りやめ、広域イーサネット1本とインターネット回線の構成
■Office365をブレイクアウトし、体感向上拠点間NWにO365トラフィックが混在しない→ アプリケーション応答速度など性能劣化がない
ユースケース1. ローカルブレイクアウトお客様事例 朝日新聞社様
「常時利用可能な通信容量を増やしつつ、コストは削減できた」
「動画や写真を出稿する際の通信が速くなった」Techtargetジャパン 2020.3.27https://techtarget.itmedia.co.jp/tt/news/2002/21/news10.html
© 2020 Cisco and/or its affiliates. All rights reserved.
ユースケース2. WAN最適化、アプリケーション最適化シスコなら、ロードバランスも品質補正も
ネット品質が不十分?そんなときはCisco SD-WANの品質補正機能
■パケット複製 (Packet Duplication)複製パケットを複数回線上で送信
• 複数回線をAct-Act利用• アプリや回線品質に応じて、動的パス選択
■前方誤り訂正(FEC)パリティパケットを付加し、途中で損失しても復旧
xWAN 1回線
x
xxWAN複数回線
インターネット
閉域網
4G LTE
SD-WANトンネル
パス 2
パス 1
パス 3
SD-WAN
品質SLAの例アプリAに対し、下記を満たせばパス1そうでなければパス2へ• 遅延 50ms以下• ロス 2%以下• ジッター 10ms以下
© 2020 Cisco and/or its affiliates. All rights reserved.
ユースケース3. ゼロタッチ プロビジョニングシスコのZTPは『真の』ゼロタッチ
新規拠点の開設
開梱 結線 設定取得 稼働開始
①現地作業 ②現地作業
③ ④
③自動 ④自動
① ②
PnPサーバ、SD-WANコントローラ
■『真の』ゼロタッチプロビジョニング
• 開梱 & WAN・電源ケーブルの結線のみ!• WiFi端末でのPIN確認や入力がまったく不要(*)
(*)PPPoE時は、認証情報を含んだUSBを指して起動すればOK
■メリット 迅速展開、作業定型化、コスト抑制
• 現地工数(=所要時間、コスト)を大幅削減• 新規設定時の人的ミスを抑制• 同種拠点の設定をテンプレート化、管理サーバ
vManageで一括管理
作業はこれだけ!!
© 2020 Cisco and/or its affiliates. All rights reserved.
ユースケース4. 一元管理、可視化シスコなら、可視化+ 『分析』も
ユーザ体験が低下したサイトを特定
全拠点間のNW品質の推移
アプリケーションごとの通信量
通常と異なるアプリ使用状況を検知
従来把握が難しかったWAN回線ごとの品質、アプリ通信量や使用状況を可視化・分析ü ボトルネックの迅速な把握ü 将来に向けた的確な投資計画
標準的なNW統計情報のほか、ユーザ体験やセキュリティ面での可視化も
IPS適用時のシグニチャ数の推移
© 2020 Cisco and/or its affiliates. All rights reserved.
ユースケース5. セグメンテーションセキュリティとWAN活用を両立
それぞれ別トポロジーもOK
セグメント1 セグメント2
セグメント3 セグメント4
フルメッシュ(UCなど)
ハブ&スポーク(決済アプリなど)
部分メッシュ(工場や研究所など)
ノーコネクション(ゲストWiFiなど)
情報系
監視カメラ
関係会社
既存システム
試験システム
回線種別・数を問わない
• 部門別、アプリ別に面を分ける• 物理WAN回線を共有し、コスト集約• 分けた面の間の相互通信やIPアドレス重複も
© 2020 Cisco and/or its affiliates. All rights reserved.
ユースケース5. セグメンテーションお客様事例 東京海上日動火災保険様
【解決】 セグメント機能、初期15拠点〜• 迅速: 設定だけ。新規回線は不要• 影響回避: 既存業務の帯域確保• コンプライアンス: 既存と新規を分離
【さらなる効果】 Windows Update保険業務とWindows Updateを別回線に。管理者も気づかないほど影響なし
【課題】 新規Wi-Fiプロジェクト• 迅速に展開• 既存業務に影響しない• 既存業務とのコンプライアンス対応
既存業務と新規プロジェクトとでセグメントを分ける
既存業務
新規PJ
セキュリティを確保しながら、新規プロジェクト導入を迅速に実現
既存業務の帯域を確保
Cisco SD-WANマルチクラウドに備える
© 2020 Cisco and/or its affiliates. All rights reserved.
Cisco SD-WANによるIaaS拡張パブリッククラウドを自社NWの一部のように運用
ダッシュボードから数クリックでスピード構築が完了
物理拠点
INET MPLS
AWSやAzure上に仮想SDWANルータを展開。
自社のSDWANファブリックを複数VPC、VNETにまで拡張。
ホストVPC/VNET
AZ1 AZ2
VPC/VNET
ホストVPC/VNET
AZ1 AZ2
VPC/VNET
AZ1 AZ2
VPC/VNET
ゲートウェイVPC/VNET
物理拠点
Cloud OnRamp for IaaS
Direct ConnectExpress Routeインターネット
経由
© 2020 Cisco and/or its affiliates. All rights reserved.
戦略的クラウドパートナーシップクラウドサービスベンダーとの連携でさらなる価値をご提供
仮想インスタンスでAWSワークロードまで容易にネットワーク拡張
AWSトランジットゲートウェイ(TGW) ネットワークに
SD-WANエンドポイントをネイティブ統合
企業のクラウド戦略を支援・加速
Office 365パス選択と最適化でエンドユーザー体験を向上
テレメトリデータに基づくSD-WANパスの選択
管理の一元化設定/ポリシーの変更を自動化
Cisco SD-WANファブリックをコロケーションサイトまで拡張、包括的な管理性を実現
各拠点とパブリッククラウド間のセキュア、プライベートかつダイレクト接続を提供
テレメトリデータに基づくSD-WANパスの選択
Google Cloud上のアプリでコンテキスト アウェアなアクセス
制御
Google Cloudの高速バックボーンを利用
SD-WAN Cloud Edge Cloud Services
© 2020 Cisco and/or its affiliates. All rights reserved.
Equinixとシスコのパートナーシップ“Cloud OnRamp for Colocation”
管理・運用の容易化
マルチクラウド統合
• ブランチ/DCとパブリッククラウド間をセキュアな専用インターコネクトで
• クラウド向けの低遅延・仮想専用接続、ダイナミックな帯域幅拡張
• Cisco SD-WAN ファブリックをコロケーションサイトまで拡張
• Cisco SD-WANにより、ネットワークポリシーやセキュリティ要件の追加・変更をシンプル化
自社データセンター
ブランチ拠点
Equinix Network Edge
Equinix Cloud Exchange Fabric
Cloud OnRampfor Coloパッケージ
SD-WANファブリック
Cisco SD-WANエッジルータ
CSP 5400
Catalyst 9000
仮想SD-WAN
Cisco SD-WANとセキュリティ
SASE: Secure Access Service Edge
© 2020 Cisco and/or its affiliates. All rights reserved.
SD-WANとセキュリティ3つのセキュリティ展開ユースケース
#1: SASE/クラウドセキュリティ #2: 組込みセキュリティ #3: コロケーション/ハブ
シンプルなSD-WANエッジ+
SASE/クラウドセキュリティ
セキュリティ組込み SD-WANエッジ+
(SASEの併用)
セキュリティ機能を地域一括提供コロケーションハブにVNFで実装
SaaS/IaaSアプリケーション
SaaS/IaaSアプリケーション
SaaS/IaaSアプリケーション
SASEクラウドセキュリティ
組込みセキュリティ
SASEクラウドセキュリティ
コロケーション
© 2020 Cisco and/or its affiliates. All rights reserved.
IoT/モバイル
セキュリティ展開のユースケース#1 & #2ー クラウド型と組込み型の併用も可能
ユーザ/モバイル
ユーザ
IoT/モバイル SD-WAN
Cisco Umbrella
セキュアDNS
SWGクラウドプロキシ
クラウドFW
NATインターネット
ウィルスの蔓延・拡散防止
IPSFirewall AMP
IPSFirewall AMPIPSFirewall AMP
IoT機器との不正通信を制御
■インターネット向け通信を保護Cisco Umbrella• 不正サイトリクエストをドロップ• HTTP/HTTPS/の制御• ダウンロードファイルのウィルスチェック
■拠点間通信を保護Cisco SD-WAN• Port制限(Firewall)• IPSによる攻撃防御• マルウェア防御
DNSで不正サイトアクセス防止
SWG経由のセキュアブレイクアウト
© 2020 Cisco and/or its affiliates. All rights reserved.
NFV:仮想版インフラ
クラウドアクセスハブ
インターネット
セキュリティ展開のユースケース#3 クラウドアクセスハブにセキュリティ機能を集約
インターネットへオフロード
バックアップ回線も活かし高帯域化
WANオフィス
リモートワーク クラウドへの直接アクセス
データセンター
クラウドへの高速アクセス
アクセス、アプリケーション品質、ステータスの可視化
CiscoUmbrella
クラウドセキュリティの利用
クラウドネイティブへの道のり、将来像
© 2020 Cisco and/or its affiliates. All rights reserved.
インターネット
データセンター
クラウドネイティブなネットワークの姿とは..従来
インターネットへオフロード
バックアップ回線も活かし高帯域化
WAN
クラウドサービス
オフィス
クラウドへの直接アクセス
CiscoUmbrella
クラウドセキュリティSASEの利用
© 2020 Cisco and/or its affiliates. All rights reserved.
インターネット
データセンター
クラウドネイティブなネットワークの姿とは..従来→ 現在
インターネットへオフロード
バックアップ回線も活かし高帯域化
WAN
クラウドサービス
オフィス
クラウドへの直接アクセス
VPN終端装置の増強
リモートワーク
CiscoUmbrella
クラウドセキュリティSASEの利用
© 2020 Cisco and/or its affiliates. All rights reserved.
データセンター
WAN /インターネット
データセンターはクラウドと同じ位置づけに
インターネット
クラウドネイティブなネットワークの姿とは..従来→ 現在→ 今後
インターネットへオフロード
バックアップ回線も活かし高帯域化
WAN
クラウドサービス
オフィス
クラウドへの直接アクセス
リモートワーク
CiscoUmbrella
クラウドセキュリティの利用
クラウドアクセスハブ
クラウドへの高速アクセス
クラウドアクセスハブのコンセプト
セキュリティ機能ほかNFVによる増強
アクセス、アプリケーション品質、ステータスの可視化
© 2020 Cisco and/or its affiliates. All rights reserved.
データセンター
WAN /インターネット
データセンターはクラウドと同じ位置づけに
インターネット
クラウドネイティブなネットワークの姿とは..従来→ 現在→ 今後 さらなる将来形へ
インターネットへオフロード
バックアップ回線も活かし高帯域化
WAN
クラウドサービス
オフィス
クラウドへの直接アクセス
リモートワーク
CiscoUmbrella
クラウドセキュリティの利用
クラウドアクセスハブ
クラウドへの高速アクセス
セキュリティ機能ほかNFVによる増強
クラウド間のコネクティビティ自動化、ガバナンス
アクセス、アプリケーション品質、ステータスの可視化
クラウドアクセスハブのコンセプト
© 2020 Cisco and/or its affiliates. All rights reserved.
© 2020 Cisco and/or its affiliates. All rights reserved.
まとめ
Ø Cisco SD-WANのユースケース• マルチクラウド
• セキュリティ
Ø クラウドアクセスハブがもたらす「これから」の形
Thank you