エンタープライズネットワーク

2019.09.02

Author:

実測、NSX SD-WAN by VeloCloud Edgeのスループットとその真価

ネットワーク機器をお客様へご紹介する際、ほとんど全てのケースで実測値としての転送性能に関するご質問をいただきます。
ネットワンシステムズ(以下、当社)ではNSX SD-WAN by VeloCloud(以下、VeloCloud)に限らず、こうした製品の転送性能を独自に測定し、お客様へ高品質なシステムをご提案できるよう準備を進めています。

今回はSD-WAN製品として市場にリリースされている各社製品群のうち、VMware社のVeloCloud Edgeについて、当社で実施した性能測定結果をご紹介します。

メーカ公称値と実測値

VeloCloud のコンポーネントとしてのEdgeハードウェアは、現時点で9機種リリースされています。
下記の表はそのうちの5機種について、VMware社の公称値(*1)と、当社での実測結果です。

上記のとおり、メーカ公称値とのかい離がみられます。
特に最大スループットにおいて、Edge 840と2000ではメーカ公称値の半分程度の結果となりました。

ここで少しわき道にそれますが、VeloCloudのVPNスループット測定に使用されているパケット長は1300byteです。
従来、IPSec暗号化通信のスループット測定において、私はこれまで1400byteのパケット長の試験トラフィックを使用してきました。
これは長年Cisco Systems社や、その他のネットワーク機器メーカの製品においては純粋なIPSecが実装されており、暗号化オーバヘッド(IPSec暗号化によって付与されるヘッダ情報など)は100Byte以内に収まっていたためです。
また、ネットワーク機器メーカ各社もVPNスループットは1400byteで計測した値を公称値としている場合が多いのが実情です。

ところが、VeloCloudではVPN通信に独自の暗号化方式を採用しているため、暗号化オーバヘッドは120Byte発生します。
これは通常のIPSec VPNよりも長く、従来どおり1400Byteの試験トラフィックを使用した場合、1500byteを超過し、IP Fragmentが発生します。
このため著しい性能劣化が起こり、正しい最大スループットを計測することができなくなります。

実はこの独自の暗号化方式こそがVeloCloudの差別化ポイントでもあります。

VeloCloudの真価は転送性能にあらず

SD-WANというシステム全体として見たVeloCloudは、様々な機能の組み合わせによって実現されています。
VeloCloud Management Protocol (VCMP) 及びDynamic Multi-Path Optimization (DMPO)は特徴的な機能の最たる例であり、他社製のSD-WAN製品では実現できない以下の機能を提供します。

  1. 片方向通信の品質監視
  2. リアルタイム、パケット単位での利用回線切り替え
  3. 欠損パケットの再送処理、複数回線へのパケット複製送信、パケット到着順序の補正

これらの機能を実現するための様々な情報が、VeloCloudの拡張されたVPNオーバヘッドの中に詰め込まれています。
そのため回線の状態を監視するためのプローブ通信、例えばICMPパケット等を使用することなく、実際のユーザデータを転送しながら同時に、リアルタイムに通信の最適化が実行されます。

VeloCloudが単なるIPSec + OSPF/BGP といったVPN網をコントローラ上のGUI画面で設定することが可能なソリューションとは一線を画す秘密はここに隠されています。

ネットワーク機器、特にWANルータのVPN転送性能は製品選定の重要な指標の一つです。
VeloCloudは、コスト対VPN転送性能で他社製品と比較した際、より高価に見える場合もあるかもしれません。
しかし、VeloCloudではシステムとして従来型Internet VPNでは実現不可能であった、回線品質の監視、通信の補正/最適化、クラウドゲートウェイによるSaaSサービスとの高度な連携といった機能を同時に、リアルタイムに、より簡単な操作で実現することが可能となっています。
WANルータは単なるVPN通信を高速に処理するだけの箱として評価するものではなく、より高い次元でお客様のビジネスを加速するシステムを構成する1つのコンポーネントへと立場を変えつつあります。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。

MORE「エンタープライズネットワーク」記事