TechLeague

    Cisco

    Cisco SD-WANマルチリージョンファブリック:2026年を見据えた高可用性デザイン

    TechLeague Editorial··11 分で読了

    少数サイトを超えるCisco Catalyst SD-WANの展開において、マルチリージョンファブリック(MRF)アーキテクチャを用いない場合、コントロールプレーンが崩壊する可能性があります。単一リージョンファブリックはよりシンプルに見えますが、そのフルメッシュの性質はBFDセッションとOMP更新の幾何級数的な爆発を引き起こし、いかなるvSmartやエッジルーターもエンタープライズ規模で維持することはできません。旧称階層型SD-WANであるMRFは、任意の追加機能ではなく、1,000サイトを超えるか複数の大陸にまたがるネットワークにとって必須の設計パラダイムです。しかし、MRFの展開が成功するかどうかは、完璧に設計されたRegion 0と適切にサイジングされたトランスポートゲートウェイに完全に依存します。これを誤ると、スケーラブルなファブリックではなく、分散型ボトルネックを構築することになります。

    マルチリージョンファブリックコントロールプレーンの理解

    デフォルトの単一リージョンCatalyst SD-WAN展開は、フラットなコントロールプレーンです。すべてのエッジルーター(cEdge/vEdge)は、TLOC(Transport Locator)とサービスルートを学習するために他のすべてのエッジルーターとOMP隣接関係を確立し、すべてのvSmartコントローラーとも確立します。BFDセッションはすべてのTLOC間のパスの生存性を検証します。100サイトではこれは管理できます。2,000サイトで、それぞれが2つのトランスポートを持つ場合、単一のルーターが数千のBFDおよびOMPセッションを維持する必要があるかもしれません。これは、エッジルーターだけでなく、中央のルートリフレクターとして機能するvSmartコントローラー上で、大量のCPUとメモリを消費します。堅牢なハードウェアであっても、単一のvSmartペアは、約2,500のOMPピアリングセッションで事実上の限界に達します。

    MRFは、階層型コントロールプレーンを導入することでこれを解決します。ファブリックはコアリージョン(Region 0)と複数のアクセスリージョン(Region 1-N)に分割されます。

    • アクセスリージョン:ユーザーサイト(支社、キャンパス、データセンターアプリケーション環境)を含みます。アクセスリージョン内のルーターは、相互にフルメッシュで動作します。
    • Region 0:この特殊なリージョンはユーザーサイトを含みません。その唯一の目的は、アクセスリージョンを相互接続することです。高スループットのボーダールーターが含まれ、トランスポートゲートウェイとして機能します。

    この魔法は、コントロールプレーンの抽象化にあります。Region 1(例:ロンドン)のエッジルーターは、Region 2(例:東京)のエッジルーターとピアリングしません。代わりに、ロンドンのルーターは、ローカルのボーダールーターを介して東京リージョンへの集約されたパスを学習します。vSmartは、このセグメンテーションを強制し、各デバイスが維持しなければならないOMPおよびBFDセッションの数を劇的に削減します。これは単なる提案ではなく、Catalyst SD-WAN 20.9以降で稼働するグローバルネットワークにとって、唯一安定したアーキテクチャです。

    コアアーキテクチャ:Region 0、ボーダールーター、トランスポートゲートウェイ

    ここでの用語は正確です。リージョンへの出口点を提供するルーターはボーダールーターです。これらのボーダールーターがリージョンを相互接続するために使用される場合、それらはトランスポートゲートウェイとして機能します。MRF設計では、これらの用語はしばしば同じデバイスに対して互換的に使用されます。

    コアの設計:Region 0

    Region 0はファブリックの心臓部であり、その設計がすべてのリージョン間通信の安定性、遅延、スループットを決定します。これはトランジット専用のリージョンです。いかなる状況でも、ユーザー支社やデータセンターのサービス側VPNをRegion 0に直接終端させてはいけません。その唯一のメンバーはトランスポートゲートウェイ自体です。安定性を最大化するために、Region 0のトランスポートゲートウェイは、少なくとも2つ、できれば3つ以上の地理的に分散したキャリアニュートラルな施設に、高速接続とともに展開する必要があります。グローバルネットワークの場合、アッシュバーン、ロンドン、シンガポールのエクイニクスのような場所を想定してください。これらのコアサイトを接続するトランスポートはパブリックインターネットではなく、プライベートで高性能なバックボーン(例:100Gbps DWDM、専用キャリアイーサネット、またはプレミアムMPLSサービス)である必要があります。

    ハードウェアの選択:妥協なし

    Region 0のトランスポートゲートウェイと高密度アクセスリージョンにおける重要な役割は、ハードウェアの選択が最重要です。エントリーレベルのブランチルーターを使用しようとしないでください。必要とされるIPsec暗号化パフォーマンスとセッションのスケーラビリティは、ハイエンドプラットフォームを要求します。この役割の主力はCatalyst 8500 Series、特にC8500-12Xであり、最大197 GbpsのIPsecスループットを提供します。プライベートクラウドまたはコロケーションにおける仮想展開の場合、十分なCPUコア(例:UCS C220 M7上の16+ vCPU)とNICパフォーマンスのためのSR-IOVを備えたCatalyst 8000V(Cat8kV)インスタンスが実行可能な代替手段です。小規模リージョンのアクセスリージョンボーダールーターの場合、Catalyst 8300のペアで十分ですが、集約スループット要件に対してパフォーマンスを慎重に検証する必要があります。

    トランスポートゲートウェイとコントロールプレーンコンポーネントのサイジング

    トランスポートゲートウェイのサイジング不足は、MRF設計で最も一般的で費用のかかる間違いです。この計算には、リージョン間トラフィックフローの正直な評価と、IPsecオーバーヘッドの理解が必要です。

    実際のサイジング例

    600のブランチサイトを持つ欧州アクセスリージョン(Region 1)用のトランスポートゲートウェイをモデル化し、そのリージョンがアメリカのリージョン(Region 2)と通信する必要があると仮定します。

    1. 集約ブランチスループット:600の各ブランチが100 MbpsのDIA回線を持ち、平均ピーク利用率が40%であると仮定すると、各サイトあたり40 Mbpsです。理論上の集約出口スループットは600 * 40 Mbps = 24 Gbpsです。
    2. リージョン間トラフィックの推定:すべてのトラフィックがリージョン外に出るわけではありません。アプリケーション分析に基づき、トラフィックの30%がAMERリージョン向けであると仮定します。これは、トランスポートゲートウェイが24 Gbps * 0.30 = 7.2 Gbpsのステートフルトラフィックを処理する必要があることを意味します。
    3. 暗号化オーバーヘッドの計算:IPsec(AES-256-GCMによるトンネルモードのESP)はカプセル化オーバーヘッドを追加します。控えめな見積もりでは、生のスループットに対して25%のパフォーマンス影響があります。したがって、必要な暗号化パフォーマンスは7.2 Gbps * 1.25 = 9.0 Gbpsです。
    4. フェイルオーバーの考慮:冗長性のために少なくとも2つのトランスポートゲートウェイ(例:ロンドンに1つ、フランクフルトに1つ)を展開します。もう一方が故障した場合、各ゲートウェイは全体の9.0 Gbpsの負荷を処理できるようにサイジングする必要があります。それぞれを4.5 Gbps(50/50負荷)にサイジングすると、故障時に大規模なパフォーマンス劣化を保証します。
    5. プラットフォームの選択:単一のCatalyst 8300(C8300-2N2S-4T2X)は、理想的な条件下で最大10-15 Gbpsの集約IPsecスループットに達します。フェイルオーバー中に9 Gbpsを処理するのはリスクが高く、成長の余地がありません。ここでの正しい選択は、Catalyst 8500-12Xのペアまたは高性能なCat8kVインスタンスです。Palo Alto NetworksのPA-5440のような競合製品が約40 GbpsのIPsecスループットを提供するかもしれませんが、vManageの下での管理を簡素化するためにはCatalystエコシステム内に留まることが望ましいです。

    TLOC設計とパス制御

    MRFの洗練さは、TLOCの使用にあります。アクセスリージョンのボーダールーターは、重要な機能であるTLOC拡張を実行します。それは自身のTLOCをそのリージョン内のエッジルーターに拡張します。フランクフルトのブランチcEdgeがダラスのブランチcEdgeにトラフィックを送信する必要がある場合、ダラスcEdgeのTLOCを直接見ることはありません。AMERリージョンへのパスを持つローカルのトランスポートゲートウェイ(例:ロンドン内)のTLOCを見ます。

    コントロールプレーンのフローは以下の通りです。

    • ダラスcEdgeは、ローカルのTLOCとサービス側プレフィックスを、OMPを介してローカル(AMER)ボーダールーターにアドバタイズします。
    • AMERボーダールーターは、これらのプレフィックスをRegion 0 vSmartにアドバタイズしますが、重要なことに、自身のTLOCをネクストホップとしてアドバタイズします。
    • Region 0 vSmartは、このサマリーをEMEAボーダールーターに渡します。
    • EMEAボーダールーターは、到達可能性情報をフランクフルトcEdgeに渡します。

    結果として:フランクフルトcEdgeは、リージョン間トラフィックをロンドンのトランスポートゲートウェイのTLOCに転送するだけです。複雑な大陸間パスは、個々のブランチルーターではなく、構造化された階層によって処理されます。これにより、強力なポリシー適用が可能になります。たとえば、Region 1からRegion 2への特定のDSCPマーキングを持つすべてのトラフィックは、Region 0を介したMPLSトランスポートを使用し、その他のすべてのトラフィックはインターネットトランスポートを使用するように、vManageで集中型コントロールポリシーを作成できます。

    よくある落とし穴:裏口のリージョン間リンクの作成

    致命的な設計上の欠陥は、Region 0を迂回するアクセスリージョン間の帯域外接続を確立することです。たとえば、エンジニアがRegion 1のデータセンターとRegion 2のデータセンターを、特定のアプリケーションのために専用のレイヤー3接続で直接リンクし、そのルートをOMPに再配布する場合です。これは「裏口」パスを作成します。

    これはMRFアーキテクチャを完全に損ないます。Region 1から2へのトラフィックが裏口リンクを通り、しかしRegion 2から1への戻りトラフィックが公式のRegion 0パスを使用しようとする非対称ルーティングのリスクを導入します。これは、ファイアウォールのようなステートフルサービスに大混乱をもたらします。vManageのツールを用いたトラブルシューティングをほぼ不可能にし、実際のトラフィックパスが論理的に設定されたものと一致しないため、コントロールプレーンの階層を侵害します。すべてのリージョン間トラフィックは、Region 0を介してトランスポートゲートウェイを通過する必要があります。例外はありません。

    マルチリージョンファブリックを使用しない場合

    MRFは、設計および運用上の複雑さを一層追加します。常に正しい答えではありません。適切に拡張された単一リージョンは、不適切に実装されたマルチリージョン設計よりも望ましいです。

    MRFを使用すべきではないのは次の場合です。

    • ネットワークが500サイト未満である場合。コントロールプレーンのオーバーヘッドは、最新のハードウェアで管理可能です。vSmart(仮想または物理)のペアはOMP負荷を処理でき、Catalyst 8200や8300のようなエッジルーターは、この規模のネットワークのBFDセッションを処理できます。
    • ネットワークが地理的に限定されている場合。すべてのサイトが単一の大陸内にある場合(例:北米)、地域化による遅延のメリットは最小限です。地理的に中央のデータセンター(例:シカゴとダラス)にコントローラーを配置した単一リージョンの方が効率的です。
    • 信頼性の高いRegion 0のためのコアネットワークバックボーンがない場合。コアRegion 0サイト間で専用の高速・低遅延トランスポートをプロビジョニングできない場合、MRFは十分に機能しません。パブリックインターネット上でRegion 0を構築しようとすると、予測不能性が高まり、安定したコアを作成するという目的に反してしまいます。

    MRFを導入する主なきっかけは、単一のコントロールプレーンドメインのOMP/BFD制限を超えてスケールする場合(通常、1,000〜1,500サイトを超えたあたりに見られます)、またはグローバルで多大陸にわたる展開全体で厳しいセグメンテーションと最適化されたパスを強制する必要がある場合です。

    マルチリージョンファブリックを習得することは、高可用で地球規模のCatalyst SD-WANを構築するために不可欠です。その階層構造は、フラットなネットワーク設計固有のスケーリングの限界を克服する唯一の方法です。堅牢なプライベートRegion 0に焦点を当て、フェイルオーバーのためにトランスポートゲートウェイを適切にサイジングし、コントロールプレーン階層の整合性を維持することで、数千のサイトに安定したポリシー駆動型接続を提供するファブリックを構築できます。大規模なSD-WAN展開の設計、実装、管理に関する専門的なガイダンスについては、techleague.ioのコンサルティングサービスをご検討ください。専門知識をさらに深めるには、Catalyst 8000とISR 4000のプラットフォーム選択比較、およびZTNAとVPN統合ガイドでファブリック設計とSASEの交差点に関する分析をお読みください。

    よくある質問

    Region 0トランスポート接続にパブリックインターネットを使用できますか?+

    技術的にはインターネットを介してトンネルを実行することで可能ですが、根本的に欠陥のある設計です。Region 0はあなたのコアバックボーンであり、その安定性がファブリック全体のパフォーマンスを決定します。予測不能なパブリックインターネットを使用すると、遅延とジッターが変動し、MRFが提供することを意図している信頼性が損なわれます。Region 0には、DWDM、キャリアイーサネット、プレミアムMPLSのような専用のプライベートトランスポートを常に使用してください。

    いくつのアクセスリージョンを作成すべきですか?+

    大陸境界から始めるのが一般的です。AMER、EMEA、APJCが一般的な出発点です。適切な目安は、ボーダールーターのコントロールプレーンの制限内に収まるように、リージョンサイズを500〜1000サイトに保つことです。多数の小さなきめ細かいリージョンを作成することは避けてください。これにより、大幅なスケーリングのメリットなしに管理の複雑さが増大します。

    各リージョンに個別のvSmartコントローラークラスターが必要ですか?+

    いいえ、これは一般的な誤解です。単一の集中型vSmartコントローラークラスターが、マルチリージョンファブリック全体を管理します。設定中にルーターとそのサイトを特定のリージョン番号に割り当てると、単一のvSmartクラスターがこれらの割り当てに基づいて階層型コントロールプレーンの境界を強制します。

    MRFにはどのCisco SD-WANソフトウェアバージョンが必要ですか?+

    元々「階層型SD-WAN」と名付けられたこの機能は、Viptela OS 18.xから利用可能でした。現在のCisco Catalyst SD-WANソフトウェア(例:バージョン20.9以降)では、安定しており成熟した機能です。プロダクションMRF展開には、Ciscoが推奨する20.13や将来の同等バージョンなど、長期安定版リリースを使用することが重要です。

    単一のブランチサイトが複数のアクセスリージョンに属することはできますか?+

    いいえ、エッジルーター(cEdge/vEdge)は、システム設定によって単一のアクセスリージョンに明示的に割り当てられます。TLOCとルートを学習するためのすべてのOMPセッションは、その単一リージョンの範囲内で、他のエッジまたはリージョンの指定されたボーダールーターに対して確立されます。

    MRFでのルーティングポリシーとQoSはどのように機能しますか?+

    ポリシーとQoSは階層的に適用されます。アクセスリージョン内のトラフィックのみに影響する特定のデータポリシー、コントロールポリシー、またはアプリケーションアウェアルーティングポリシーを適用できます。別途、Region 0を経由するトラフィックを管理するために、トランスポートゲートウェイにポリシーを適用できます。これにより、リージョン内でのきめ細かい制御と、リージョン間バックボントラフィックに対する高レベルの制御が可能になります。

    マルチリージョンファブリックはCisco SD-WAN Cloud OnRampと同じですか?+

    いいえ、これらは異なる問題を解決しますが、補完的な関係にあります。Cloud OnRamp for SaaS/IaaSは、ブランチサイトから特定のクラウドアプリケーションまたはIaaSプロバイダーへのパスを最適化する機能です。MRFは、多くのサイトと地理全体でWAN自体を拡張するための基本的なアーキテクチャです。通常、MRF展開のアクセスリージョン内でCloud OnRampを使用します。