はじめに
パロアルトネットワークスのSD-WANソリューションは主に2種類に分かれます。SD-WANをPAN-OSの機能の1つとして実現できるSD-WAN for NGFWと、SD-WAN専用機を使用してSD-WANを実現するPrisma SD-WANです。
本稿では、1つめのPAN-OSで実現するSD-WAN for NGFWについて、その概要や設定要素、使いどころをまとめます。
SD-WAN for NGFWの概要
SD-WAN for NGFWはPAN-OSの機能としてPAN-OS 9.1から利用可能になりました。
PA-Seriesのすべての機種(VM含む)で利用できますが、SD-WANを使用するPAで該当のライセンスが有効化されている必要があります。
PA-Seriesのみでもローカルブレイクアウト等、SD-WANの機能を利用できますが、後述するAutoVPN (SD-WANファブリックの自動構築)を使用するにはPanoramaとSD-WAN Pluginが必要です。
SD-WANファブリックのトポロジーは「ハブ&スポーク」構成と「メッシュ」構成をサポートしています。ただし「メッシュ」構成がサポートされるのは、PAN-OS 10.0.3以降、SD-WAN Plugin 2.0.1以降です。
SD-WAN for NGFWの設定要素
ではさっそくSD-WANの有効化に必要な設定要素を見ていきましょう。
ここではSD-WANを有効化するPA-SeriesのIPアドレスなどの初期設定が完了していることを前提としています。また、以下に図として表示している画面は、PAN-OS 10.2.3のPanoramaのものです。
Tagの設定
[OBJECTS]タブを開き、左ペインから[Tags]メニューを選び、Tagを設定します。
Tagとは、回線に接続するインターフェイスと、後述する回線分散を定義するTraffic Distribution Profileの紐づけに使うものです。
拠点のPA-Seriesで収容する回線(インターネット用、閉域用)の数だけ、Tagを作成してください。
Tagの作成時、図6のように[Shared]にチェックを入れると、すべてのDevice GroupからそのTagを参照できるようになります。
SD-WAN Interface Profileの設定
次に、[NETWORK]タブを開いて[SD-WAN Interface Profile]メニューを選び、拠点PA-Seriesに収容する回線を設定します。
収容する回線ごとに回線種別や帯域を設定してください。1つ前の手順で設定したTagをここで選択します。
PanoramaのSD-WAN Pluginを使ってAutoVPNを使用する場合、ここで設定したLink TypeをもとにSD-WANファブリックを構築します(インターネット用の回線種別(Ethernet, Fiber等)同士、MPLS等の閉域の回線同士でSD-WANファブリックを構築)。
インターフェイスでSD-WANの有効化
[NETWORK]タブを開いて[Interfaces]メニューを選び、回線と接続するPAのインターフェイスすべてでSD-WANを有効化します。
[Ethernet Interface]ダイアログの[IPv4]タブで[Enable SD-WAN]を有効化します(図9)。次に、同じダイアログの[SD-WAN]タブに移動して、[SD-WAN Interface Profile] ドロップダウンから1つ前の手順で作成したSD-WAN Interface Profile (この例では「Low-Cost-ISP1」)を選択します。
PA-SeriesにプライベートIPが設定されていて、上位のルーターなどでNATを行う場合は、[SD-WAN]タブの一番下にある[Upstream NAT]グループでNAT変換後のグローバルIPを[Type]ドロップダウンから設定します。AutoVPNを使う場合、ここで設定したグローバルIPが参照され、IPsecが自動で設定されます。
SD-WAN Traffic Distribution Profileの設定
次に回線の分散方法を定義します。[OBJECTS]タブを開き、左ペインの[SD-WAN Link Management]メニューを展開し、[Traffic Distribution Profile]を選んでください。ここからTraffic Distribution Profileを設定します。
使いたい回線をTagで登録し、[Traffic Distribution]グループから分散方法を選択します。
[Traffic Distribution]グループでは、次の3つの分散方法を選べます。
- Best Available Path: 回線の品質が後述のPath Quality Profileで定義された閾値を下回っていない全ての回線を使用してトラフィックを分散する。
- Top Down Priority: Profileで登録されている一番上の回線を使用し、Path Quality Profileで定義された閾値を回線の品質が下回った場合、次の回線を使用する。
- Weighted Session Distribution: それぞれの回線に重みづけを行い、その値をもとにトラフィックを分散する。回線品質が低下した場合でもトラフィックの割り当て直しは行わない。
Path Quality Profileの設定
次に、回線品質を測定するため、[OBJECTS]タブを開いて左ペインの[SD-WAN Link Management]メニューから[Path Quality Profile]を開きます。
事前設定プロファイルをそのまま使ってもよいですが、アプリケーションの要件に応じ、回線のJITTER、LATENCY、PACKET LOSS(率)の閾値を詳細に設定することもできます。
SD-WAN Policyの設定
次に、回線分散を行う対象を定めるため、SD-WAN Policyを設定します。それには[POLICIES]タブを開き、左ペインから[SD-WAN]メニューを展開します(図15)。
セキュリティポリシーと同様に以下を指定できます。
- 送信元/宛先ZONE
- 送信元/宛先IP
- 送信元ユーザ/グループ
- アプリケーション
どの回線をどのように使用するかを定義したTraffic Distribution Profile、回線品質を測定するPath Quality Profileは、SD-WAN Policyの中から指定します。
SD-WANでトラフィックを処理する場合、非対称通信を防ぐため、Symmetric Returnが自動で有効になります。
パケットの誤り訂正
SD-WAN for NGFWは2つのパケットの誤り訂正方式に対応しています。1つめは、前方誤り訂正方式(Forward Error Correction)です。2つめは、パケットをコピーして2つ送信し、受信側で1つめのパケットを正常に受信できた場合は2つめのパケットを破棄するPacket Duplication方式です。
パケットの誤り訂正は収容する回線の品質が悪い場合に効果があります。ただし使用しない場合に比べ、CPUリソースや回線の帯域の消費が増えます。そのため、品質の高い回線を収容するのであれば設定は必要ありません。
パケットの誤り訂正を設定するには、[OBJECTS]タブを開いて左ペインの[SD-WAN Link Management]を展開し、[Error Correction Profile]を選んでProfileを定義し、[SD-WAN Policy]の中で指定します。
SD-WAN Pluginを使用したAutoVPNの設定
拠点やデータセンター間でSD-WANファブリックを構成する場合、PanoramaのSD-WAN Pluginを使えば、IPsecの設定や経路交換のためのBGPの設定が自動で行われ、拠点の回線状況も可視化できます。
SD-WAN Pluginを使うには、PA-Seriesに対し、以下のZoneをあらかじめ設定しておく必要があります。なお、Pluginは大文字・小文字を区別しますのでZone名は正確に記入してください。
ブランチ(スポーク)のPA
- zone-internal: BGP接続を確立させるloopbackインターフェイスの作成時にSD-WAN Pluginによって使用されます。
- zone-to-hub: SD-WANファブリックを構成するTunnelインターフェイスの作成時にSD-WAN Pluginによって使用されます。
ハブのPA、またはメッシュ構成の場合のPA
- zone-internal: BGP接続を確立させるloopbackインターフェイスの作成時にSD-WAN Pluginによって使用されます。
- zone-to-branch: SD-WANファブリックを構成するTunnelインターフェイスの作成時にSD-WAN Pluginによって使用されます。
次の画面は、AutoVPNで設定を投入した後のハブのPA-SeriesのZones設定画面です。
作成したZoneにAutoVPNがインターフェイスを割り当てていることがわかります。
次に、SD-WAN PluginでDeviceの登録を行います。[PANORAMA]タブを開き、左ペインの[SD-WAN]メニューを展開して、[Devices]を選びます。
ここで、PA-Seriesをハブまたはブランチとして動作させる設定や、AS番号などのBGPの基本設定を行います。
前の手順でインターフェイスにUpstream NATを設定している場合は、ここでもグローバルIPの設定が必要です。
この画面から、SD-WANファブリックを構成するすべてのPA-Seriesを登録してください。
それが終わったら、次にVPN Clusterの設定を行います。[PANORAMA]タブを開き、左ペインの[SD-WAN]メニューを展開して、[VPN Clusters]を選びます。
ここで、SD-WANファブリックのトポロジーとして「ハブ&スポーク」か「メッシュ」を選び、参加させるPAを追加します。
ここまでの設定を終了し、PanoramaからPA-Seriesに設定をプッシュすると、SD-WAN Pluginが各PAに対し、適切なトンネルインターフェイスやIPsecの設定を自動で行います。
SD-WAN Pluginを使うことで各拠点のトラフィック状態を可視化できます。可視化する場合は、各PA-SeriesのログをPanoramaに受信させる必要があります。
まとめ
SD-WAN for NGFWは以下のような要件がある場合にとくに効果的です。
- 大規模な拠点展開でSD-WAN Pluginを使ってハブ&スポーク構成のIPsecを構築したい
- 拠点からの通信をインターネットに直接ローカルブレイクアウトしたいが、ローカルブレイクアウトした通信にも次世代ファイアウォールの高度なセキュリティを適用したい
PA-SeriesにSD-WANライセンスを適用することでローカルブレイクアウトを含む柔軟な制御が行えるようになります。また、PanoramaでSD-WAN Pluginを使うことで、大規模な拠点展開を容易に行えます。