こんにちは。世の中のリモートワーク急増により、自宅インターネット品質の悪さに気がついてお仕事中イライラしてしまっている皆さま、ご機嫌如何でしょうか?
VMware SD-WAN は IPv6 に対応しており、NTT東西の NGN網である 「IPv6 IPoE」 の直収もできたりします。たとえば、NGNの「網内折り返し機能」を活用した拠点間VPNに対して、
VMware SD-WAN を応用できたりします。NGNの広帯域・低遅延をうまく活かした拠点間VPNを、
VMware SD-WANで構築してみた軌跡をこちらでご紹介したいと思います。
NTT東西様が提供されているNGNの「網内折り返し機能」は、「フレッツ・v6オプション」契約にて提供される機能です。 この「網内折り返し機能」により、VNEを経由せずにNGN内で通信が行えるため、NGN内の拠点間でP2PやVPN通信が行えます。NTT様の情報では、NGNの全ユーザの約9割ほどがこの契約を利用されているとも言われています。
参照:https://www.geekpage.jp/blog/?id=2013/1/11/1
まずはじめに、「回線終端装置(ONU)」を使ってNGN 回線にSD-WAN Edge を直結する構成を紹介します。(下図)
この構成では個人宅を使いまして、回線はNTTコミュニケーションズ様の「OCN 光 (マンションタイプ)」を利用します。
この「OCN 光 (マンションタイプ)」で「IPoEインターネット接続機能」の対応地域であれば、市販のルーターを使用することができます。「IPoEインターネット接続」が利用できると、キャリア様のレンタルルータや、NTT様のホームゲートウェイを使うことなく、「回線終端装置(ONU)」と SD-WAN Edge だけで NGN に IPv6 IPoEで接続し IPv6 インターネットへのアクセスやNGN内でのIPv6通信が行えるようになります。
今回の「ONU」本体の背面には複数の接続口があり、上からRJ45 LANケーブル、電源、NGNからの光回線となっています。
以下のようにそれぞれの接続口に各種ケーブルを接続します。
これで、NGNからの光回線をONUで終端し、LANケーブルで VMware SD-WAN Edge に接続する構成ができました。
このように回線終端装置(ONU)と VMware SD-WAN Edge だけで NGN (IPv6 IPoE) 直結の環境が整いました。
上記の契約内容と構成の場合、NGN 収容ルータからRA を受けとる形で SD-WAN Edge インターフェイスにダイナミックに VNE IPv6 アドレスを割り当てることになります。
VMware SD-WAN設定として、インターフェイスは [IPv6 設定 (IPv6 Settings)] – [有効/アクティブ (Active)] チェックボックスをオンにして、IPv6 設定を有効にします。また、このインターフェイスの「アドレス指定のタイプ (Addressing Type)」では [DHCP ステートレス (DHCP Stateless)] を用いることで、SLAAC(RA)によるアドレス割り当てとして動作します。
「ひかり電話」契約などの場合、NGN 収容ルータから RA を受けるのではなく、DHCPv6-PDに規格が変わったりしますので、契約内容は慎重にご確認ください。
それでは、NGN (IPv6 IPoE) 接続後、VCOで接続状況を確認してみます。こちらのように、今回の個人宅ではマンションで契約したアルテリア様の IPv4 インターネット回線と、NGN IPv6 IPoE回線 それぞれがインターネット回線として識別されています。
また、NGN IPv6 IPoE 回線で VCG と IPv6 Overlay がはれていることがわかります。VCGは現在IPv6 Overlayにも対応しており、EdgeとVCGとの間で IPv6 Overlayを確立することができます。
Edge – VCG間 IPv6 Overlay のユースケース
Edge – VCG間 IPv6 Overlay があることで、これまでになかった使い方がでてきます。
- プライベート IPv4 over IPv6 Overlay によるインターネットへのアクセス
- IPv4 Overlay と IPv6 Overlay を併用したDMPO
- NGNの「網内折り返し機能」を活用した拠点間VPN
プライベート IPv4 over IPv6 Overlay によるインターネットへのアクセス
Edge – VCG間 での プライベート IPv4 over IPv6 Overlay を使いつつ、 VCGでは NAT44 (PAT) を行うことで、Edgeの プライベート IPv4アドレスで IPv4 インターネットにアクセスすることができます。(下図の青矢印のフロー)
IPv6で動作する IPoE網を経由して IPv4 インターネットにアクセスする場合、「v6プラス」を利用して下図のような構成をとり、VNEが指定する MAP-E/DS-Liteといった IPv4 over IPv6 プロトコルを拠点ルータで使用する必要があります。これは、MAP-E/DS-Liteといったプロトコルで、拠点の プライベート IPv4アドレスをVNEまでIPv6で運び、VNEで グローバル IPv4アドレスにNAT44(PAT)することで、IPv6で動作する IPoE網 でも IPv4 インターネットにアクセスできるようにしているためです。
VMware SD-WANの場合は、こうした「IPv4アドレスをVNEまでIPv6で運びVNEで NAT44(PAT) する役割」を、VCGが実施していることになります。VMware SD-WANでは、IPv4 インターネットにアクセスに「
v6プラス」や MAP-E/DS-Lite を利用しない構成をとります。
余談ですが、VCGでは「プライベート IPv6アドレス(ユニークローカルユニキャストアドレス(ULA))」と 「グローバル IPv6アドレス (グローバルユニキャストアドレス(GUA)) 」とでの NAT66 も実施してくれます。これにより、企業内はプライベートIPv6アドレス(ULA)を利用しながら、VCGのNAT66により グローバルユニキャストアドレス(GUA) にNATされて IPv6インターネットへのアクセスができるようになります。
IPv4 Overlay と IPv6 Overlay を併用したDMPO
このように、今回の個人宅ではマンションで契約したアルテリア様のIPv4 インターネット回線と、今回の NGN IPv6 IPoE回線 のそれぞれが回線として識別され、VCGと2つのOverlayをもっています。
「宛先をインターネットとした Business policyルール」 で 「Actionを Multipath」とすると、この2つOverlayを同時に利用することになります。
それぞれのOvrelayの品質も確認してみると、、、
VCGまでの上り・下りそれぞれの遅延
VCGまでの上り・下りそれぞれのジッター
VCGまでの上り・下りそれぞれのパケットロス率
上図のように、今回の個人宅ではIPv6 IPoEのほうがより低遅延でより安定した回線であることがわかりました。
試しに、それぞれの回線を活線挿抜してみました。
個人宅の端末を VMware SD-WANと接続して、Zoomミーティングを開始して、アルテリアのIPv4回線をダウンさせてみました。音声は欠けることなく、Zoomミーティングは無傷で動き続けていました。IPv6 IPoEだけでZoomのIPv4インターネットへのアクセスが継続できていたことになります。また、IPv6回線だけでVCOからEdgeのステータス監視や統計情報を継続して参照できていました。このように、IPv6回線だけの環境でも、VMware SD-WANを展開し運用管理していくことができるようになっています。
実際のデモでお見せしたいところ活字解説となり恐縮ですが、今回の構成では2つOverlayを同時に利用していて、下図(左)のようにより品質が高いIPv6 IPoE回線のほうのOvrelayを優先的に使ってZoomトラフィックをVCGに運んでいたことがわかります。
次に、アルテリアのIPv4回線を復旧させ、IPv6 IPoE回線をダウンさせてみました。今度は、音声は瞬間的に欠けたように感じましたが、またもZoomミーティングは無傷で動き続けていました。なぜZoomセッションは切れずに無傷だったのでしょうか。下図(右)のように、2つOverlayを同時に利用する中で 1つのOverlayがダウンしたことで、もう1つのOverlayに瞬時に Failover されていました。Zoomのトラフィックは継続してVCG経由でルーティングできたことで、Zoomミーテイングが無傷で動き続けていましたというカラクリになります。
このように、IPv4 OverlayとIPv6 Overlayを併用/共存させても、従来のVCMPプロトコルとしてのメリット、DMPOの効果が享受できます。ちなみに、品質の近しい2本の回線、Overlayがある場合は、Active・Activeで両方のOverlayを利用して、仮想的に回線をバンドルしているように見せられますが、この環境では、NGN IPv6 IPoEのほうがアルテリアの回線品質よりも高いため、そちらを優先して利用する動きをしています。
NGNの「網内折り返し機能」を活用した拠点間VPN
次は、下図のような拠点間VPN/拠点間Overlayを試してみます。Edge – VCG間 IPv6 Overlay があることで、Edgeのアドレス解決がなされ Edge – Edge間で動的な拠点間VPN接続ができます。なので、拠点間VPNのためにEdgeに固定IPアドレスを使うこともありません。IPv6 IPoEで割り当てられたステートレスなIPv6アドレスをそのままVPN(Overlay)に利用します。
東京と福岡の拠点で、それぞれ IPv6 IPoE回線 (NTTコミュニケーションズ/OCN) を終端しています。このIPv6 IPoEで割り当てられたIPv6アドレスを用いて IPv6 Overlayによる拠点間VPNを行います。
以下のように、これまでのVMware SD-WANでの IPv4 Overlayによる拠点接続と同様に、IPv6回線を使って拠点接続ができました。東京と福岡でなんと 10msec程の低遅延での拠点間VPNが利用できていることもわかります。NTT東西をまたぐVPNでも、IPv6 IPoE 上であるために非常に低遅延で広帯域の拠点間接続ができてしまいますね。
さいごに
いかがだったでしょうか。このように「網内折り返し機能」により、NGNで拠点間VPNができ、NGNの低遅延で広帯域・高品質のネットワークを下地とした拠点間VPN環境が手に入ります。VMware SD-WANと組み合わせることで、とても簡単な手順でVPNを構築でき、今回のようなさまざま用途に応答できることもわかりました。
余談ですが、今回の拠点は筆者の自宅(東京)と実家(福岡)でした。実際に回線契約もしまして、両拠点には VMware SD-WAN Edge 510 を使いました。
そして、Google Photoにあった 70GB程の家族写真を自宅パソコンにダウンロードしてみたのですが、VCG経由にすることで非常に短時間でダウンロードができとっても快適でした。EdgeとVCG間で Overlay を使うことで、回線補正(TCPの場合はOverlay間でのパケット損失を再送処理で補正。VoIPやQUICのようなUDPの場合はOverlay間でパケロスを検知すると転送パケットを複製して送信したりジッターバッファを用いて補正)が効くため、快適だったようです。
他には、実家(福岡)にはNASを置いており、自宅(東京)からも SD-WAN Overlay (VPN) 越しに福岡のNASにアクセスできるようにしてみました。そして、この70GBほどファイル(写真)を福岡のNASにコピーしてバックアップをとってみました。いまVCOで確認してみると、たしかに福岡との間で「合計70GBほどが送信バイト数としてカウント」されています。時間軸でみると午後一から 4時間ほどでファイル転送が完了しているようなので、平均すると常時 40Mbps 程度でファイル転送していたことになりそうです。
瞬間値では、2回線をバンドルして 110Mbpsあたりまで出ていたようです。個人向けNASとパソコンの間でSMBを使って、しかもVPN越しでここまでの転送性能がでるとは思いませんでした。IPv6 IPoEは非常に魅力的ですね。
最後までお付き合いいただき、ありがとうございました。VMware SD-WAN Edge を自宅に置いて、快適なリモートワーク環境を整えてみませんか?
