Palo Alto NetworksのSD-WANについて調べる機会があったので、備忘録として纏めます。
Palo Alto NetworksのSD-WANはPAN-OSの1つの機能として実現可能なSD-WAN for NGFWと、SD-WAN専用機を使用してSD-WANを実現するPrisma SD-WANが存在します。
この記事ではまずSD-WAN for NGFWについて概要や設定要素、使いどころについて纏めたいと思います。
SD-WANとは・・
Software Defined Wide Area Networkの略で、複数の物理回線のグループ化を可能にする仮想WANアーキテクチャであり、ソフトウェアを使用してビジネス要件(アプリケーションの優先順位)および物理回線の正常性に基づいて、トラフィックをインテリジェントにルーティングするもの。
SD-WAN for NGFWの概要
SD-WAN for NGFWはPAN-OSの機能としてPAN-OS 9.1から利用可能になりました。
PAシリーズの全ての機種(VM含む)で利用することが可能ですが、SD-WANを使用するPAで該当のライセンスが有効化されている必要があります。
admin@PA-VM1> request license info
-- snip --
License entry:
Feature: SD WAN
Description: License to enable SD WAN feature
Serial: xxxxxxxxxxxxxx
Authcode:
Issued: November 14, 2022
Expires: November 08, 2023
Expired?: no
Base license: PA-VM
PAシリーズのみでもSD-WANの機能を利用することが可能ですが、後述するAutoVPNを使用するためにはPanoramaとSD-WAN Pluginが必要になります。
SD-WAN特有の処理はNext Generation Firewallの処理の中に組み込まれている形になっているので、NGFWとしてのセキュリティレベルを保ちつつ、拠点での柔軟な回線選択を行わせることができるようになっています。
SD-WANファブリックのトポロジーはハブ&スポークとメッシュ構成がサポートされています。
※メッシュ構成はPAN-OS 10.0.3以降、SD-WAN Plugin 2.0.1以降でのサポート
ハブ&スポーク
メッシュ
SD-WAN for NGFWの設定要素
ここからSD-WANを有効化するのに必要な設定要素を記載します。
SD-WANを有効化するPAではIPアドレス等の初期設定は完了している状態です。
(画面はPAN-OS 10.2.3のPanoramaのものです)
Tagの設定
OBJECTS > Tags でTagの設定をします。
このTagは回線に接続するインターフェイスと、後述する回線分散を定義するTraffic Distribution Profileを紐づけるために使用します。
拠点のPAで収容する回線(インターネット用、閉域用)の数だけ作成します。
作成時にSharedにチェックを入れることで、全てのDevice Groupから参照できるようになります。
SD-WAN Interface Profileの設定
次にNETWORK > SD-WAN Interface Profileで拠点PAで収容する回線に関する設定を行います。
収容する回線毎に回線の種別や帯域を設定します。1つ前の手順で設定したTagをここで選択します。
PanoramaのSD-WAN Pluginを使用したAutoVPNを使用する場合、ここで設定したLink Typeを基にSD-WANファブリックの構築を行います。
(インターネット用の回線種別(Ethernet, Fiber等)同士、MPLS等の閉域の回線同士でSD-WANファブリックを構築)
インターフェイスでSD-WANの有効化
NETWORK > Interfacesから回線と接続するPAのインターフェイス全てでSD-WANを有効化します。
Enable SD-WANにチェックを入れた後、SD-WANのタブで1つ前の手順で作成したSD-WAN Interface Profileを選択します。
また、PAにプライベートIPが設定されている状態で上位のルータ等でNATを行う場合、Upstream NATのところで変換後のグローバルIPを設定します。AutoVPNを使用する場合、ここで設定したグローバルIPを参照してIPsecの設定が自動で行われます。
SD-WAN Traffic Distribution Profileの設定
次に回線の分散方法を定義するためにOBJECTS > SD-WAN Link Management > Traffic Distribution ProfileでTraffic Distribution Profileの設定をします。
ここで使用する回線をTagで登録し、分散方法を選択します。
選択可能な分散方法は以下の通りです。
Best Available Path
-> 回線の品質が後述のPath Quality Profileで定義された閾値を下回っていない全ての回線を使用して
トラフィックを分散
Top Down Priority
-> Profileで登録されている一番上の回線を使用し、Path Quality Profileで定義された閾値を回線の
品質が下回った場合、次の回線を使用
Weighted Session Distribution
-> それぞれの回線に重みづけを行い、その値を基にトラフィックを分散
回線品質が低下した場合でもトラフィックの割り当て直しは行わない
Path Quality Profileの設定
次に回線の品質を測定するためにOBJECTS > SD-WAN Link Management > Path Quality Profileの設定をします。
事前設定されているものをそのまま使用することが可能ですが、アプリケーションの要件に応じて回線のJITTER、LATENCY、PACKET LOSS(率)の閾値を設定することが可能です。
SD-WAN Policyの設定
次に回線分散を行う対象を定めるためにSD-WAN Policyの設定をします。(POLICIES > SD-WAN)
セキュリティポリシーと同様に以下を指定することが可能です。
・送信元/宛先ZONE
・送信元/宛先IP
・送信元ユーザ/グループ
・アプリケーション
どの回線をどのように使用するかを定義したTraffic Distribution Profile、回線品質を測定するためのPath Quality ProfileはSD-WAN Policyの中で指定します。
また、SD-WANを使用してトラフィックの処理を行う場合、非対称通信を防ぐためSymmetric Returnが自動で有効となります。
パケットの誤り訂正
SD-WAN for NGFWではパケットの誤り訂正の方式としてForward Error Correction(前方誤り訂正)とPacket Duplication(パケットをコピーして2つ送信し、受信側で1つ目のパケットを正常に受信できた場合に2つ目を破棄)に対応しています。
収容する回線の品質が悪い場合に効果を発揮する機能ですが、使用しない場合に比べてCPUリソースや回線の帯域を多く消費する形になるので、品質の高い回線を収容する場合には設定不要です。
OBJECTS > SD-WAN Link Management > Error Correction ProfileでProfileを定義し、SD-WAN Policyの中で指定します。
SD-WAN Pluginを使用したAutoVPNの設定
拠点やData Centerの間でSD-WANファブリックを構成する場合、PanoramaのSD-WAN Pluginを使用するとIPsecの設定や経路交換のためのBGPの設定が自動で行われます。
また、Pluginを使用すると拠点の回線の状況の可視化も行うことが可能です。
SD-WAN Pluginを使用する場合、PAに対して以下のZoneをあらかじめ設定しておく必要があります。
Pluginに認識させるため、大文字小文字も含め正確に一致させる必要があります。
ブランチ(スポーク)のPA
・zone-internal
BGP接続を確立させるためのloopbackインターフェイスの作成にSD-WAN Pluginによって使用されます。
・zone-to-hub
SD-WANファブリックを構成するためのTunnelインターフェイスの作成にSD-WAN Pluginによって使用されます。
ハブのPA、またはメッシュ構成の場合のPA
・zone-internal
BGP接続を確立させるためのloopbackインターフェイスの作成にSD-WAN Pluginによって使用されます。
・zone-to-branch
SD-WANファブリックを構成するためのTunnelインターフェイスの作成にSD-WAN Pluginによって使用されます。
これはAutoVPNで設定を投入したあとのハブのPAのZone設定画面です。
作成したZoneに対して、AutoVPNによってインターフェイスが割り当てられていることがわかります。
次にSD-WAN PluginでDeviceの登録を行います。
ここではPAをハブまたはブランチとして動作させるかや、BGPの設定を行います。
インターフェイスでUpstream NATを設定している場合、ここでもグローバルIPの設定が必要です。
SD-WANファブリックを構成する全てのPAの登録が終わったら、次にVPN Clusterの設定を行います。
ここでSD-WANファブリックのトポロジー(ハブ&スポークまたはメッシュ)を選択したり、参加させるPAを追加します。
ここまで設定を行いPanoramaからPAに対して設定をプッシュすると、SD-WAN Pluginが各PAに対して適切なトンネルインターフェイスや、IPsecの設定を自動で行います。
SD-WAN Pluginを使用することで各拠点の状態を可視化することができますが、可視化を行う場合には各PAからのログをPanoramaで受信する必要があります。(Cortex Data Lakeには未対応)
まとめ
SD-WAN for NGFWは以下のような要件がある場合に有効です。
・大規模な拠点展開でハブ&スポーク構成のIPsecを構築する場合(SD-WAN Pluginを使用)
・拠点からの通信をインターネットに直接ローカルブレイクアウトする場合で、ローカルブレイクアウトした通信に対してもNGFWの高度なセキュリティを適用したい場合
コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!