WANネットワーク構成
オーケストレーターとエッジ装置は常にセキュアなトンネルセッションを持ち、制御通信を行っており、エッジ装置の状態を監視、把握することができます。
オーケストレーターはエッジ装置とBGP4ピア接続しており、オーケストレータ-がBGP4ルートリフレクタとして動作することにより、拠点の追加や廃止、変更が行われても各拠点のエッジ装置は個別に設定などを行うことなく通信を行うことができます。
閉域網を経由した拠点間通信と、Cプレーン通信
本サービスはアンダーレイの通信 / オーバーレイの通信という考え方を持っており、アンダーレイは、オーケストレーターとのトンネル接続や制御通信をやりとりする層を指し、オーバーレイは、エッジ装置間のトンネルセッションで構築するVPNや、そのVPNを利用したお客さまの通信を指します。
そのため、アンダーレイのデフォルトルートはIPoE接続によりIPv6の閉域網に向いたデフォルトルートと、PPPoE接続によりIPv4のインターネットに向いたデフォルトルートの2つを有しますが、オーバーレイではアンダーレイとは別にデフォルトルートを設定できます。
また、制御のための通信を行うため、Cプレーン ( Control Plane ) と呼び、データ通信はDプレーン ( Data Plane ) と呼びます。
オーケストレーターとエッジ装置の制御通信 (Cプレーン)
エッジ装置とオーケストレータ-間やエッジ装置間の通信は全て、UDPベースの暗号化プロトコルであるDTLSによって暗号化されます。
インターネットを介したエッジ装置とオーケストレーターとの暗号化セッションの確立の際には、エッジ装置のシリアル情報などを基にして認証を行いますので、なりすましや盗聴が非常に困難な安全性の高い通信を行うことができます。
拠点エッジ装置間でのデータ通信 (Dプレーン)
Dプレーンとは、拠点に設置されるエッジ装置間の暗号化された通信を指します。
エッジ装置間の暗号化セッションを確立する際には、オーケストレーターから通知される接続先のIPアドレスに対してのみセッション確立を試みますので、オーケストレーターで承認された接続先のエッジ装置とだけ、暗号化セッションが確立されることになります。
エッジ装置間のDプレーンは、閉域網経由、インターネット経由の2本が確立されますが、ハイブリッドWANでの制御により、お客さま通信は必ず閉域網を経由したDプレーンを経由します。
閉域網経由のDプレーンが切断された場合でも、インターネット経由のDプレーンへは通信は迂回しません。
エッジ装置は東日本、西日本いずれかのネットワークに所属し、それぞれのネットワークの中でフルメッシュのDプレーンを確立します。
東日本と西日本をまたぐ通信は、それぞれのネットワークに具備されたコアエッジ装置を介しNTTPC閉域ネットワークを経由して通信を行います。
オーバーレイのデフォルトルートと、Master'sONEとの接続
本サービスは、NTTPCコミュニケーションが提供するMaster’sONEとの接続が必要となります。
オーバーレイとしてのインターネットへ通信するための“デフォルトルート”は、Master’sONE側に設定する場合と、拠点側のエッジ装置のLAN側に設定する場合の2つのパターンがございます。
Master’sONE側へデフォルトルートを設定する場合
Master’sONEにデフォルトルートの設定ができるサービスは次の通りです。
- Master’sONE ビジネスインターネット接続サービス ( FWタイプ、NW-UTMタイプ )
- Master’sONE イーサ接続サービス
- Master’sONE セ キ ュ ア ・ イ ン タ ー ネ ッ トVPN-HighSpeed 接続サービス(デフォルトルート拠点のみ )
拠点側のエッジ装置のLAN側に設定する場合
エッジ装置のLAN側にデフォルトルートを設定する仕様は以下のマニュアルをご参照ください。
提供機能(セキュアパッケージタイプ):デフォルトルート機能
コントロールパネル(セキュアパッケージタイプ):デフォルトルート機能
コメント
0件のコメント
記事コメントは受け付けていません。