【概要】
SD-WANのローカルブレイクアウトについて、「従来構成」と「SD-WAN ローカルブレイクアウト構成」を比較してメリットを考えてみる。
従来構成とローカルブレイクアウト構成
※HD = Head Quarter / ※MPLS = IP-VPN網をイメージ
ローカルブレイクアウト構成は、HQおよびブランチからMPLS、Internetへ2本足を出す。
この構成は説明例でよく使われていると共に、実運用にも使われた実績のある構成となる。
ローカルブレイクアウトさせる通信
ローカルブレイクアウトとは、多くの場合以下の通信をMPLS網を経由せずインターネットを経由させる事。
・主にSaaS通信(O365 / salesforce)
・Web会議システム(Teams /zoom)
・グループウェア 等々
ローカルブレイクアウトパケット対象を振り分ける方法
ローカルブレイクアウト対象を選出する手段は、多くの場合以下3通りがある。
- IPアドレス等々
送信元IP / 送信元ポート番号 / 宛先IP / 宛先ポート番号 / プロトコル番号 - アプリケーション識別
DPI (Deep Packet Inspection) により、アプリケーション識別しブレークアウト対象を決定する。
(DPIはシグネチャイメージ) - FQDN
FQDNにより、アプリケーション識別しブレークアウト対象を決定する。
ローカルブレイクアウトのメリット
- MPLS回線側の負荷軽減
⇒ SaaS通信、インターネット通信をブレイクアウトさせるため、その分の通信がMPLSを経由しなくなるため負荷が軽減する(回線増速が抑えられる) - ユーザエクスペリエンスの上昇
⇒ (MPLS回線の負荷軽減によりトラフィックが低下するため)
- WAN高速化機器の必要性低下
⇒ (MPLS回線の負荷軽減によりトラフィックが低下するため) - インターネット回線負荷軽減
⇒ 全ブランチから集まるインターネット向け通信をHQで受けることが無くなるため回線負荷が軽減する。
- HD側ルータの負荷軽減
⇒ ルータスケールアップが抑えられる(MPLS回線の負荷軽減によりトラフィックが低下するため) - HD障害時のリスク軽減
⇒ HQの全障害になった場合でも、ブランチからのブレイクアウトへの通信は継続利用可能で、従来構成よりリスク分散が可能。
補足
- ファーストセッションはブレークアウトしない件
⇒ ファーストセッションでは、アプリケーション識別の場合、ファーストセッションではアプリケーション識別できない事が要因かと思われる。 - SD-WAN機器(ハード/ソフト)選定
⇒ 振分け転送性能、 ブレイクアウト上限値
