Ð ë - business.ntt-east.co.jp · 177($67 7HFKt&RPPXQLW\ IRU 931 6 Ú] ][]Q] ][]#]G]2]d\§ ¸ ë...
Transcript of Ð ë - business.ntt-east.co.jp · 177($67 7HFKt&RPPXQLW\ IRU 931 6 Ú] ][]Q] ][]#]G]2]d\§ ¸ ë...
1
「Managed SD-WAN」の提供開始
2 0 2 0 年 8 月 7 日N T T 東 日 本ビ ジ ネ ス 開 発 本 部第 一 部 門
2
NTT東日本は2020年7月より全国型の閉域VPNサービスである「Managed SD-WAN」の提供を開始しました。
本日は「Managed SD-WAN」のサービス概要をご紹介します。
はじめに
3
昨今のIT事情:トラフィック増加~多様化するアプリケーション形態と増大するトラフィック~
SaaSアプリケーションの普及や多様化
Windows10アップデートのトラフィック増
パブリッククラウドの普及
動画コンテンツ/IP Voip等の普及
4
28.5%/UP
Internet
NW26.7%/DL
企業内インターネットトラフィック2018年11月~2019年11月の増加率※
※総務省「我が国のインターネットにおけるトラヒックの集計結果(2019年11月分)」より
拠点 拠点 拠点
センタ拠点 帯域不足
帯域増強に伴う、回線コストの増大
昨今のIT事情:トラフィック増加~トラフィック増加に伴う、回線コストの増加~
5
バリューアップ
価値向上活動
ランザビジネス
既存業務運用
昨今のIT事情:稼働不足~既存システム運用稼働の増加とIT技術者の不足~
2 : 8※1
※1 経済産業省 2018年「DXレポート~ITシステム「2025年の崖」の克服とDCの本格的な展開~」より※2 経済産業省 2016年「IT人材の最新動向と将来推計に関する調査」の推計値のうち、高位シナリオ(市場の伸び率が相対的に高いシナリオ)より
稼働面/投資面ともに
増える稼働
AIIOT
5G
RPA
減っていく人材
2030年には、需要と供給のギャップ※2
79万人不足
全国閉域網SD-WANサービス
シスコシステムズ社「Cisco SD-WAN powered by Viptela」を採用し、閉域網でのSD-WANサービスを提供いたします。CPEとして、Cisco ISR1100シリーズルータを提供し、「フレッツ 光ネクスト」ならびに弊社が指定するモバイルアクセスを選択いただくことで閉域網を利用したセキュアな通信が可能です。
6
Managed SD-WAN 提供範囲 ※2020/7提供開始時
<基本機能>■ CPE(Customer Premises Equioment)機器■ 専用コントローラ(NGN内に設置)
※コントロール用フレッツ光等で接続
<オプション提供>■ 閉域モバイル接続サービス■ 随時、追加オプション機能を提供予定
Managed SD-WAN(全国)
Internet
クラウドサービス
クラウド閉域接続提供予定
L2アクセス提供予定
ダイレクトインターネット
アクセス提供予定
CPE CPE
コントローラ
7
※リモートアクセス機能は、今後提供予定
サービス内容
◎IIJmobileおよびIIJモバイルサービスは株式会社インターネットイニシアティブの商標または登録商標です。
8
Managed SD-WANとは?
コントローラ(オーケストレータ)
ダッシュボード エッジ(CPE)
一元的に制御/管理するシステム 稼働状況や通信状況を可視化 データ通信を行う端点
以下の3構成要素(コンポーネント)で構築
9
キャリアがSD-WANサービスを提供する意義
①全国提供の閉域SD-WAN
②SD-WAN機器の保守一元化
③月額利用料でのお支払い、イニシャルコスト小
10
インターネット
インターネットVPN
インターネット
IP-VPN(閉域VPN)
VPNは『インターネットVPN』 と『IP-VPN』に分類され、インターネットを経由するかが大きな違いとなる
アクセス回線
通信事業者網
アクセス回線
通信事業者網
インターネットを経由
ルータ ルータ ルータ ルータ ルータ ルータ
VPN装置(認証サーバ)
インターネットを経由しない
VPNの種類について
11
メリット
デメリット
• 自前で構築が可能• 各拠点にインターネット接続環境があれば、セキュリティ対策装置を置くことで利用可能
• セキュリティリスク(DoS攻撃等)• 品質が安定しない• 全拠点でセキュリティ対策装置、及びISPの契約が必要
『インターネットVPN』は比較的安価に利用可能だが、サイバーセキュリティ(※以下、セキュリティ)リスクへの対策や品質はIP-VPNに劣る
インターネット
インターネットVPN
アクセス回線
通信事業者網
セキュリティ対策装置
ルータ
セキュリティ対策装置
ルータ
セキュリティ対策装置
ルータ
インターネットVPNの特徴
12
メリット
デメリット
• 認証機能により、他ユーザからのアクセス不可
• 閉域網内での通信により、高速・低遅延
• セキュリティ対策装置を全ての拠点に設置する必要がない
• 自前構築は困難(通信事業者等のサービスに加入)
『IP-VPN』は閉域網内での通信により、セキュアでかつ快適に利用できるVPN
閉域でセキュアに利用できることから、ビジネス用途でのニーズは高まっている
インターネット
IP-VPN(閉域VPN)
アクセス回線
通信事業者網
ルータ ルータ ルータ
VPN装置(認証サーバ)
IP-VPNの特徴
13
SD-WANの提供形態
インターネット
アクセス回線
通信事業者網
CPE CPE CPE
コントローラ
アクセス回線
通信事業者網
CPE CPE CPE
VPN装置(認証サーバ)
コントローラ
お客さま自身でSD-WANを利用するためにはCPEを購入した上で、①インターネット上にあ
るコントローラを利用する、②コントローラを自前構築するという二種類の方法がある
14
西NGN MVNO事業者NW
CPE CPE CPE CPE CPE CPE
東NGN
コントローラ
Managed SD-WANの提供形態
NTT東日本がコントローラとCPEを提供。東NGNと他キャリアのNWを閉域接続し、コント
ローラとCPEで挟み込む事で全国のお客さまが閉域VPNをご利用いただける
本社
15
最小限のコスト(稼働/回線)で最大限のパフォーマンスを実現
SD-WAN
Internet
クラウドサービス
エッジ(CPE)
コントローラ/ダッシュボード⇒一元管理/可視化
ハイブリッドWAN回線品質やパケット内容によるパス選択
ZTP(ゼロタッチプロビジョニング)
本社
インターネット(
ローカル)ブレイクアウト
アプリ単位でのトラフィック制御
ネットワーク構築および管理の稼働を最小化
NW管理者
設定反映
CPE CPE CPE
トラヒック状況/CPE状態等の確認も可能
Managed SD-WAN
コントローラ
ZTP機能で設置/配線のみ
コントローラ集中管理+
ゼロタッチプロビジョニング
GUIベースで操作しやすい
※コントローラは現状英語表記となります2020年度下期日本語対応予定
GUIベースで操作しやすいコントローラから、設定(ルーティング/セキュリティ等)が一元的に可能。ZTP機能を活用することで、現地作業はCPEの設置と配線作業のみで、設定は接続時に自動的反映が可能なため、構築稼働が大幅に削減されることが期待できます。
コントローラにて、各種ステータスが可視化されているため、故障時や輻輳時は迅速な対応と対処により管理稼働が大幅に削減されることが期待できます。
16アパレル大手GAPでは、毎日25拠点以上の拠点/3カ月余りで1,200拠点の開設を実施※Cisco社HP ユーザー事例より抜粋※上記事例はあくまでも一例であり、すべてのお客さまについて同様の効果があることを保証するものではありません。
コントローラでの操作一覧
17
コントローラ画面で確認できるCPE情報※
状態
・正常性、ダウン状況・設定config・利用ポートとポート正常性、ダウン状況・同一グループ拠点数、NW構成図・設定登録日、設定更新日
接続性
・拠点間の接続状況・コントローラとの接続状況・拠点間のトンネル(GREまたはIPsec)利用状況・アプリケーション単位でインターネット接続(SaaS毎)の出口先
通信品質
・アクセス回線種別毎の遅延、ジッタ、パケットロス、転送量・インターフェース単位の遅延、ジッタ、パケットロス、転送量・エリア(地域)単位の遅延、ジッタ、パケットロス、転送量・日/時間単位の遅延、ジッタ、パケットロス、転送量・遅延、ジッタ、パケットロス、転送量の発生率・アクセス回線種別毎のダウンタイム発生率
通信量
・拠点間通信のトラヒック量・コントローラとの接続トラヒック量・アプリケーション単位でのトラヒック量、消費帯域・制限しているアプリケーショントラヒック状況
その他 ・位置情報(タイプ2はGPSで確認可能)・端末シリアルナンバー
コントローラ画面で設定できるCPEの設定項目※
端末設定※config設定も可能
・GUIでIF毎のIPアドレス、IP Configuration(スタティック/ダイナミック)、帯域制限等を設定・GUIでルーティング(BGP等)やフィルタリング設定(ACL)、冗⾧化設定(VRRP)、DHCP・GUIでIF毎の接続を設定・DNS設定(リレー、振り分け)・インターネットブレイクアウト機能
その他・GUIでアプリケーション単位でインターネット接続(SaaS毎)の出口先を設定・GUIでアプリケーション単位で通信制限を設定・開通前の端末に対して事前に設定内容を登録
コントローラで確認可能な事項
ポリシールーティング機能について
18
■ 回線品質状況による優先パス選択
■ アプリケーション識別によるパス選択
センタ拠点UpdateMail 社内 フレッツ光(IP-VPN)
フレッツ光
4G/LTE
WAN回線の最適化/常時モニタリング
通信品質の常時リアルタイムモニタリング(遅延/パケロス/ジッタ等※)やアプリケーション単位で通信識別が可能なため、回線状況や通信内容によって、通信経路の選択が可能。
<活用例>・特定アプリのインターネットブレイクアウト※
・重要通信の優先化および他通信のパス変更
拠点 センタ拠点
4G/LTE
フレッツ光(IP-VPN)
インターネット
通信品質モニタリング(遅延/パケロス/ジッタ)
◎
×
〇
※遅延値:データが送信側から受信側まで届く時間パケロス(パケットロス):溢れた/破損パケット率ジッタ:通信信号の時間的ズレや揺らぎを感知
※インターネットブレイクアウト(ローカルブレイクアウト)とは、特定トラフィックのみ選択し、直接拠点からインターネットへ接続させる方式
拠点
効率的な帯域の利用でストレスフリーな設計が可能
ポリシールーティング+
インターネットブレイクアウト
網全体のトラフィック状況や回線品質、アプリケーション単位で通信識別しているため、アプリケーション別の通信ルート選択が可能。また、CPEにて一定のセキュリティ機能を具備しているため、アプリケーション単位でのインターネットブレイクアウトの実装が可能。
状況に応じた最適な通信を自動で識別し実行されるため、WAN回線の効率的な利用が可能になります。
19
閉域網
DC
Internet
クラウドサービス
インターネットブレイクアウト
Update
回線品質にて回線選択
米国最大医療機関Kindred Healthcare社において、実質的な帯域幅が平均700%程度増加※Cisco社HP ユーザー事例より抜粋※上記事例はあくまでも一例であり、すべてのお客さまについて同様の効果があることを保証するものではありません。
20
ECMPアクティブ/アクティブ
重み付きアクティブ/アクティブ
トラフィック エンジニアリングアクティブ/スタンバイ
アプリケーション認識型ルーティング
SLA ベース
SLASLA
コア
階層型マルチホップ シングルホップ
WAN通信/トラフィック転送
セグメンテーション機能による複数セグメント可
グループA
グループB
グループC
グループD
グループA
グループB
グループC
グループD
NW1
NW2
NW3
NW4
DC/教育センタ通信区分 NGN網
21
WAN回線の論理分割/セグメンテーション機能
セグメンテーション機能を活用することで、1つのWAN回線(SD-WAN 1契約)上に、論理分割されたVPNグループを最大4グループ構築することが可能。
<活用例>・利用用途におけるNW論理分割・セキュリティポリシー単位におけるNW論理分割
CPE CPE
22
柔軟なネットワーク設計で、迅速な対応が可能セグメンテーション機能
+集中管理
セグメンテーション機能を活用することで、用途や立場に合わせて1つのネットワーク上で論理分割されたグループを構築可能。サプライチェーン上のネットワークや急な統廃合による関係会社の増減にも迅速に対応可能。
これまでの複数のネットワークを管理する稼働が不要になり、1つのCPEのみで完結します。
グループA
ManagedSD-WAN
DC
Ipsec内で複数セグメント
グループB グループC
Agilent Technologies社において、WAN有効活用によりMbpsあたりのコスト80%以上削減※Cisco社HP ユーザー事例より抜粋※上記事例はあくまでも一例であり、すべてのお客さまについて同様の効果があることを保証するものではありません。
23
フルメッシュ ハブアンドスポーク 部分メッシュ
ポイントツーポイント ゼロ
地域メッシュ
UC コンプライアンス
コロケーション
エクストラネット DIA
リージョン
任意のトポロジ
マルチトポロジ(各セグメントごとに選択可能)
24
料金一覧
25
本サービスのライセンスでは、以下の機能をご利用いただけます。(Cisco Advanced Malware Protection(AMP)、 Malware Sandbox、サービスチェイニングはコントローラ上で設定しても動作保証
できないため、設定しないようお願いします)
※送信元/先IP, 送信元/先ポート, プロトコル,DSCP
機能名 内容コントローラ 閉域コントローラ
ゼロタッチプロビジョニング 機能ありCPE間のトンネリングプロトコル IPsec、GRE
ポリシーサポート
・Local ACL:一般的なアクセスリスト作成・Data Policy:CPE内部制御(QoS等)・Control Policy:ルーティングテーブルを制御した
パス選択制御・DPI based Policy:上記ポリシー要素にDPIを利用
QoS(classification, policing, remarking, scheduling) 機能ありVPNグループ数 4つまで
DPI ・閲覧(通信の可視化)・ポリシー利用可アプリ毎の通信監視および制御
アプリケーションルーティング 6 tuple※、DPI based routingLAN側ルート情報配布(OSPF/BGP) 機能あり
インターネットブレイクアウト 機能ありVPNグループ間通信 機能あり
Application Firewall 機能あり(Drop、Accept)
(参考)ライセンスについて
名称 内容 数量
本体 C1111-8P本体 1台
AC電源アダプタ C1111-8P用AC電源アダプタ 1個
AC電源ケーブル C1111-8P用AC電源ケーブル(2極) 1本
LANケーブル ストレートUTPケーブル(カテゴリ5e以上 2.0m) 1本
取扱説明書 A5折り畳み 1冊
提供CPE仕様(1/3)
26
タイプⅠ タイプⅡ 背面写真
27
≪装置外観 前面≫
No. 名称 色/状態 説明
① Status
グリーン点灯 システムが正常に動作している
オレンジ点灯/点滅 システム起動中
消灯 システムが起動していない状態
② VPN 消灯VPN接続が確立されている※本サービスにおいては「点灯」しません。
③ CiscoLogo ブルー点灯 ルータが正しく起動している
No 名称 閉塞キャップ 備考① LAN (GE0/1/0-0/1/7) ポート - RJ45のSwitch Port
②RJ45/マイクロUSB コンソールポート
RJ45:〇
マイクロUSB:○※1
コンソール接続ポート。本サービスでは使用しません。
③ グランド - -④ リセットボタン - -⑤ 電源ボタン - -⑥ 4ピン 電源コネクタ - -
⑦ WAN (GE0/0/1) ポート -
⑧ WAN (GE0/0/0)RJ45ポート -RJ45/SFP選択のRouted Port。本サービスでは、RJ45ポートを使用します。
⑨ WAN (GE0/0/0) SFPポート 〇※1RJ45/SFP選択のRouted Port。本サービスでは、SFPポートは使用しません。
⑩ USBコネクタ 〇※1USB3.0対応。本サービスでは使用しません。
⑪ Kensingtonロックスロット - -
≪装置外観 裏面≫
提供CPE仕様(2/3)
28
K20-1460【2009-2109】