Panoramaを使用したSD-WAN for NGFWの構成/設定方法

Aug 09, 2023
3 minutes
... views

はじめに

パロアルトネットワークスのSD-WANソリューションは主に2種類に分かれます。SD-WANをPAN-OSの機能の1つとして実現できるSD-WAN for NGFWと、SD-WAN専用機を使用してSD-WANを実現するPrisma SD-WANです。

本稿では、1つめのPAN-OSで実現するSD-WAN for NGFWについて、その概要や設定要素、使いどころをまとめます。

SD-WAN for NGFWの概要

SD-WAN for NGFWはPAN-OSの機能としてPAN-OS 9.1から利用可能になりました。

PA-Seriesのすべての機種(VM含む)で利用できますが、SD-WANを使用するPAで該当のライセンスが有効化されている必要があります。

PA-Seriesのみでもローカルブレイクアウト等、SD-WANの機能を利用できますが、後述するAutoVPN (SD-WANファブリックの自動構築)を使用するにはPanoramaとSD-WAN Pluginが必要です。

図1. Panoramaのダッシュボード。General Information (概要) パネルの Plugin SD WAN plugin の列に sd_wan-3.0.3 が赤い矩形でハイライト表示されている
図1. Panorama のダッシュボードの [General Information] パネル
SD-WAN特有の処理は次世代ファイアウォールの処理に組み込まれているので、次世代ファイアウォールとしてのセキュリティレベルを保ちつつ、拠点で柔軟に回線を選択できます。

図2. 次世代ファイアウォールに SD-WAN を組み込んだフロー図
図2. 次世代ファイアウォールに SD-WAN を組み込んだフロー図

SD-WANファブリックのトポロジーは「ハブ&スポーク」構成と「メッシュ」構成をサポートしています。ただし「メッシュ」構成がサポートされるのは、PAN-OS 10.0.3以降、SD-WAN Plugin 2.0.1以降です。

図3. ハブ&スポーク構成
図3. ハブ&スポーク構成
図4. メッシュ構成
図4. メッシュ構成

SD-WAN for NGFWの設定要素

ではさっそくSD-WANの有効化に必要な設定要素を見ていきましょう。

ここではSD-WANを有効化するPA-SeriesのIPアドレスなどの初期設定が完了していることを前提としています。また、以下に図として表示している画面は、PAN-OS 10.2.3のPanoramaのものです。

Tagの設定

[OBJECTS]タブを開き、左ペインから[Tags]メニューを選び、Tagを設定します。

Tagとは、回線に接続するインターフェイスと、後述する回線分散を定義するTraffic Distribution Profileの紐づけに使うものです。

拠点のPA-Seriesで収容する回線(インターネット用、閉域用)の数だけ、Tagを作成してください。

図5. Panorama のTagの設定画面
図5. Panorama のTagの設定画面

Tagの作成時、図6のように[Shared]にチェックを入れると、すべてのDevice GroupからそのTagを参照できるようになります。

図6. Panorama で Tag を設定。Shared にチェックを入れると全 Device Group から参照できる
図6. Panorama で Tag を設定。Shared にチェックを入れると全 Device Group から参照できる

SD-WAN Interface Profileの設定

次に、[NETWORK]タブを開いて[SD-WAN Interface Profile]メニューを選び、拠点PA-Seriesに収容する回線を設定します。

図7. Panorama の SD-WAN Interface Profile の設定画面
図7. Panorama の SD-WAN Interface Profile の設定画面

収容する回線ごとに回線種別や帯域を設定してください。1つ前の手順で設定したTagをここで選択します。

PanoramaのSD-WAN Pluginを使ってAutoVPNを使用する場合、ここで設定したLink TypeをもとにSD-WANファブリックを構築します(インターネット用の回線種別(Ethernet, Fiber等)同士、MPLS等の閉域の回線同士でSD-WANファブリックを構築)。

図8. SD-WAN Interface Profile の詳細設定ダイアログ
図8. SD-WAN Interface Profile の詳細設定ダイアログ

インターフェイスでSD-WANの有効化

[NETWORK]タブを開いて[Interfaces]メニューを選び、回線と接続するPAのインターフェイスすべてでSD-WANを有効化します。

図9. Ethernet Interface の詳細設定ダイアログ。Enable SD-WAN オプションを有効化
図9. Ethernet Interface の詳細設定ダイアログ。Enable SD-WAN オプションを有効化

[Ethernet Interface]ダイアログの[IPv4]タブで[Enable SD-WAN]を有効化します(図9)。次に、同じダイアログの[SD-WAN]タブに移動して、[SD-WAN Interface Profile] ドロップダウンから1つ前の手順で作成したSD-WAN Interface Profile (この例では「Low-Cost-ISP1」)を選択します。

PA-SeriesにプライベートIPが設定されていて、上位のルーターなどでNATを行う場合は、[SD-WAN]タブの一番下にある[Upstream NAT]グループでNAT変換後のグローバルIPを[Type]ドロップダウンから設定します。AutoVPNを使う場合、ここで設定したグローバルIPが参照され、IPsecが自動で設定されます。

図10. Ethernet Interface の詳細設定ダイアログ。SD-WAN タブを開いて Upstream NAT を設定
図10. Ethernet Interface の詳細設定ダイアログ。SD-WAN タブを開いて Upstream NAT を設定

SD-WAN Traffic Distribution Profileの設定

次に回線の分散方法を定義します。[OBJECTS]タブを開き、左ペインの[SD-WAN Link Management]メニューを展開し、[Traffic Distribution Profile]を選んでください。ここからTraffic Distribution Profileを設定します。

図11. Panorama の設定画面。左ペインのメニューから Traffic Distribution Profile を選択
図11. Panorama の設定画面。左ペインのメニューから Traffic Distribution Profile を選択

使いたい回線をTagで登録し、[Traffic Distribution]グループから分散方法を選択します。

図12. Panoramaの設定画面。Traffic Distribution Profile ダイアログを開いて分散方法を選択
図12. Panoramaの設定画面。Traffic Distribution Profile ダイアログを開いて分散方法を選択

[Traffic Distribution]グループでは、次の3つの分散方法を選べます。

  1. Best Available Path: 回線の品質が後述のPath Quality Profileで定義された閾値を下回っていない全ての回線を使用してトラフィックを分散する。
  2. Top Down Priority: Profileで登録されている一番上の回線を使用し、Path Quality Profileで定義された閾値を回線の品質が下回った場合、次の回線を使用する。
  3. Weighted Session Distribution: それぞれの回線に重みづけを行い、その値をもとにトラフィックを分散する。回線品質が低下した場合でもトラフィックの割り当て直しは行わない。

Path Quality Profileの設定

次に、回線品質を測定するため、[OBJECTS]タブを開いて左ペインの[SD-WAN Link Management]メニューから[Path Quality Profile]を開きます。

事前設定プロファイルをそのまま使ってもよいですが、アプリケーションの要件に応じ、回線のJITTER、LATENCY、PACKET LOSS(率)の閾値を詳細に設定することもできます。

図13. Panoramaの設定画面。Path Quality Profile の設定画面
図13. Panoramaの設定画面。Path Quality Profile の設定画面
図14. Panoramaの設定画面。Path Quality Profile の詳細設定画面
図14. Panoramaの設定画面。Path Quality Profile の詳細設定画面

SD-WAN Policyの設定

次に、回線分散を行う対象を定めるため、SD-WAN Policyを設定します。それには[POLICIES]タブを開き、左ペインから[SD-WAN]メニューを展開します(図15)。

セキュリティポリシーと同様に以下を指定できます。

  • 送信元/宛先ZONE
  • 送信元/宛先IP
  • 送信元ユーザ/グループ
  • アプリケーション
図15. Panoramaの設定画面。Policies タブを選択し、SD-WAN メニューを展開
図15. Panoramaの設定画面。Policies タブを選択し、SD-WAN メニューを展開

どの回線をどのように使用するかを定義したTraffic Distribution Profile、回線品質を測定するPath Quality Profileは、SD-WAN Policyの中から指定します。

SD-WANでトラフィックを処理する場合、非対称通信を防ぐため、Symmetric Returnが自動で有効になります。

図16. Panoramaの設定画面。Policies タブを選択し、SD-WAN メニューを展開して Pre Rules を選択、SD-WAN Rule ダイアログを表示し、Path Selection タブを開く
図16. Panoramaの設定画面。Policies タブを選択し、SD-WAN メニューを展開して Pre Rules を選択、SD-WAN Rule ダイアログを表示し、Path Selection タブを開く
図17. Panoramaの設定画面。Policies タブを選択し、SD-WAN メニューを展開して Pre Rules を選択、SD-WAN Rule ダイアログを表示し、Application/Service タブを開く
図17. Panoramaの設定画面。Policies タブを選択し、SD-WAN メニューを展開して Pre Rules を選択、SD-WAN Rule ダイアログを表示し、Application/Service タブを開く

パケットの誤り訂正

SD-WAN for NGFWは2つのパケットの誤り訂正方式に対応しています。1つめは、前方誤り訂正方式(Forward Error Correction)です。2つめは、パケットをコピーして2つ送信し、受信側で1つめのパケットを正常に受信できた場合は2つめのパケットを破棄するPacket Duplication方式です。

パケットの誤り訂正は収容する回線の品質が悪い場合に効果があります。ただし使用しない場合に比べ、CPUリソースや回線の帯域の消費が増えます。そのため、品質の高い回線を収容するのであれば設定は必要ありません。

パケットの誤り訂正を設定するには、[OBJECTS]タブを開いて左ペインの[SD-WAN Link Management]を展開し、[Error Correction Profile]を選んでProfileを定義し、[SD-WAN Policy]の中で指定します。

図18. Panoramaの設定画面。Objects タブを選択し、SD-WAN Link Management メニューを展開して Error Correction Profileを定義
図18. Panoramaの設定画面。Objects タブを選択し、SD-WAN Link Management メニューを展開して Error Correction Profileを定義

SD-WAN Pluginを使用したAutoVPNの設定

拠点やデータセンター間でSD-WANファブリックを構成する場合、PanoramaのSD-WAN Pluginを使えば、IPsecの設定や経路交換のためのBGPの設定が自動で行われ、拠点の回線状況も可視化できます。

SD-WAN Pluginを使うには、PA-Seriesに対し、以下のZoneをあらかじめ設定しておく必要があります。なお、Pluginは大文字・小文字を区別しますのでZone名は正確に記入してください。

ブランチ(スポーク)のPA

  • zone-internal: BGP接続を確立させるloopbackインターフェイスの作成時にSD-WAN Pluginによって使用されます。
  • zone-to-hub: SD-WANファブリックを構成するTunnelインターフェイスの作成時にSD-WAN Pluginによって使用されます。

ハブのPA、またはメッシュ構成の場合のPA

  • zone-internal: BGP接続を確立させるloopbackインターフェイスの作成時にSD-WAN Pluginによって使用されます。
  • zone-to-branch: SD-WANファブリックを構成するTunnelインターフェイスの作成時にSD-WAN Pluginによって使用されます。

次の画面は、AutoVPNで設定を投入した後のハブのPA-SeriesのZones設定画面です。

作成したZoneにAutoVPNがインターフェイスを割り当てていることがわかります。

図19. PA-VM の設定画面。Network タブを選択し、Zones メニューを展開。作成したZoneに対しAutoVPNがインターフェイスを割り当てている
図19. PA-VM の設定画面。Network タブを選択し、Zones メニューを展開。作成したZoneに対しAutoVPNがインターフェイスを割り当てている

次に、SD-WAN PluginでDeviceの登録を行います。[PANORAMA]タブを開き、左ペインの[SD-WAN]メニューを展開して、[Devices]を選びます。

図20. Panorama の設定画面。Panorama タブを選択し、SD-WAN メニューを展開し、Devices を選択して登録を行う
図20. Panorama の設定画面。Panorama タブを選択し、SD-WAN メニューを展開し、Devices を選択して登録を行う

ここで、PA-Seriesをハブまたはブランチとして動作させる設定や、AS番号などのBGPの基本設定を行います。

前の手順でインターフェイスにUpstream NATを設定している場合は、ここでもグローバルIPの設定が必要です。

図21. Panorama の設定画面。Panorama タブを選択し、SD-WAN メニューを展開し、Devices の詳細設定を行う
図21. Panorama の設定画面。Panorama タブを選択し、SD-WAN メニューを展開し、Devices の詳細設定を行う

この画面から、SD-WANファブリックを構成するすべてのPA-Seriesを登録してください。

それが終わったら、次にVPN Clusterの設定を行います。[PANORAMA]タブを開き、左ペインの[SD-WAN]メニューを展開して、[VPN Clusters]を選びます。

図22. Panorama の設定画面。Panorama タブを選択し、SD-WAN メニューを展開し、VPN Cluster の設定を行う
図22. Panorama の設定画面。Panorama タブを選択し、SD-WAN メニューを展開し、VPN Cluster の設定を行う

ここで、SD-WANファブリックのトポロジーとして「ハブ&スポーク」か「メッシュ」を選び、参加させるPAを追加します。

図23. Panorama の設定画面。Panorama タブを選択し、SD-WAN メニューを展開し、VPN Cluster の詳細設定を行う。SD-WANファブリックのトポロジーを選択し、参加させるPA-Seriesを追加
図23. Panorama の設定画面。Panorama タブを選択し、SD-WAN メニューを展開し、VPN Cluster の詳細設定を行う。SD-WANファブリックのトポロジーを選択し、参加させるPA-Seriesを追加

ここまでの設定を終了し、PanoramaからPA-Seriesに設定をプッシュすると、SD-WAN Pluginが各PAに対し、適切なトンネルインターフェイスやIPsecの設定を自動で行います。

SD-WAN Pluginを使うことで各拠点のトラフィック状態を可視化できます。可視化する場合は、各PA-SeriesのログをPanoramaに受信させる必要があります。

まとめ

SD-WAN for NGFWは以下のような要件がある場合にとくに効果的です。

  • 大規模な拠点展開でSD-WAN Pluginを使ってハブ&スポーク構成のIPsecを構築したい
  • 拠点からの通信をインターネットに直接ローカルブレイクアウトしたいが、ローカルブレイクアウトした通信にも次世代ファイアウォールの高度なセキュリティを適用したい

PA-SeriesにSD-WANライセンスを適用することでローカルブレイクアウトを含む柔軟な制御が行えるようになります。また、PanoramaでSD-WAN Pluginを使うことで、大規模な拠点展開を容易に行えます。


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.