ナレッジセンター

KNOWLEDGE CENTER

技術マニュアル

技術仕様書:サービス構成 ( オーバーレイ )

サービス構成

WANネットワーク構成

オーケストレーターとエッジ装置は常にセキュアなトンネルセッションを持ち、制御通信を行っており、エッジ装置の状態を監視、把握することができます。オーケストレーターはエッジ装置とBGP4ピア接続しており、オーケストレータ-がBGP4ルートリフレクタとして動作することにより、拠点の追加や廃止、変更が行われても各拠点のエッジ装置は個別に設定などを行うことなく通信を行うことができます。

オーバーレイとアンダーレイ

本サービスはアンダーレイの通信 / オーバーレイの通信という考え方を持っており、アンダーレイは、オーケストレーターとのトンネル接続や制御通信をやりとりする層を指し、オーバーレイは、エッジ装置間のトンネルセッションで構築するVPNや、そのVPNを利用したお客さまの通信を指します。そのため、アンダーレイのデフォルトルートは回線終端のルーターからDHCPで配信されるデフォルトGWとなりますが(DHCP接続の場合)、オーバーレイではアンダーレイとは別なデフォルトルートのエッジ装置を設定できます。また、制御のための通信を行うため、Cプレーン (Control Plane) と呼び、データ通信はUプレーン (User Data Plane) またはDプレーン (User Data Plane) と呼びます。

オーケストレーターとエッジ装置の制御通信 (Cプレーン)

エッジ装置とオーケストレータ-間やエッジ装置間の通信は全て、UDPベースの暗号化プロトコルであるDTLSによって暗号化されます。オーケストレーターとの暗号化セッションの確立の際には、エッジ装置のシリアル情報などを基して、認証を行いますので、なりすましや盗聴が非常に困難な安全性の高い通信を行うことができます。

拠点エッジ装置間でのデータ通信 (Uプレーン / Dプレーン)

Uプレーンとは、拠点に設置されるエッジ装置間の暗号化された通信を指します。エッジ装置間の暗号化セッションを確立する際には、オーケストレーターから通知される接続先のIPアドレスに対してのみセッション確立を試みますので、オーケストレーターで承認された接続先のエッジ装置とだけ、暗号化セッションが確立されることになります。