3日PoC環境の構築（2/3）vSocket on ESXi

こんにちは。
株式会社フーバーブレイン SE の香取です。

ESXi 上に仮想アプライアンスである vSocket をインストールして、3日PoC環境を構築します。ESXi環境の必要から、中古PCを買ってきました！

第４世代 Core i7（Haswell）でちょっと古いのですが、メモリを 32GB，SSD 500GB を DVDドライブの形をしたマウンタで取り付けて検証PCの出来上がりです。
VMware vSphere Hypervisor 7.0（ESXi）をインストールしました。Cato Socket の VM を作り、3日PoC を行ってみたいと思います。

Cato Socket の仕様

Cato vSocket のセットアップ前に。
前回「3. ホームネットワーク型」として、NAPT を使用しているネットワークからも Cato Socket で SD-WAN への接続ができることを書きました。

一般的に Site-to-Site の VPN では IPSec が用いられ、NAPTの環境では NAT Traversal を設定しないと、うまく VPN 接続が出来ません。
ところが、Cato Socket は特にこの設定をしなくても、Cato Cloud に接続し Site-to-Site（Site-to-PoP）の VPN を展開できてしまいます。なぜでしょう？

Cato Networks の資料 Cato Networks Security as a Service を参照すると、この様に書かれています。

P.5
The Cato Socket dynamically connects to the nearest PoP across a DTLS tunnel for optimum security and efficiency.
“Cato Socket は最適なセキュリティと効率を実現するために、DTLS トンネルを介して最も近い PoP に動的に接続します。”

なるほど。DTLS を使用しているのですね。
この DTLS Tunnel のパケット構造を図にして、IPSec と比べてみましょう。

NAPT 環境下で IPSec を使うと「暗号化された TCP/UDP ヘッダから、NAPTで使用しているポート番号を読み出せない」という厄介な問題があります。
そのため NAT Traversal では「新UDPヘッダ」を付加し、そこにNAPTで使用しているポート番号を含めます。

DTLS Tunnel も「新UDPヘッダ（暗号化の対象外）にポート番号を含む事ができるので、NAPT 環境下でも Site-to-PoP の VPN を構築できる」と、言えますね！ 実際の通信を見てみます。

Socket - PoP 間に DTLSv1.2（443/udp）を使用していることが分かります。

Cato vSocket 環境の構築

先ほどセットアップした ESXi に環境を構築しました。

vSocket が利用可能になるまでの流れは、この様になります。

Cato Cloud の大きな特長はクラウド側（ポータル）から、ローカルの vSocket を設定できることです。vSocket を起動すると DHCP でIPアドレスを取得して、最寄りの PoP に自動的に接続します。

まずは SD-WAN に接続。その後に詳細設定をする。

従来型の VPN 構築手順とは真逆で、何だか変な気分ですね。
しかし、慣れてしまうと Cato Cloud の方式が余程自然ですし、リモート拠点の追加時も本当に楽で気に入っています。
例えば、IT管理者の居ない支店に Cato Socket を送り、担当の方と10分ほど電話をしながら WAN 接続ということも出来てしまいます。「出張して、アプライアンスを設置して、なぜか VPN 接続がうまく行かず…」こういうのは、もう昔の話です。

1. 拠点を追加

Socketを使用するPoC、拠点・帯域をご契約いただいた際は、ポータルから拠点を追加できる様になっています。

＋ ボタン（Add a new Site）をクリックして拠点を追加します。

この様に拠点を追加します。今回は PoC / デモ用のブランチで、ESXi 用の vSocket を指定しています。また、Cato Clooud に接続する拠点 LAN は 10.10.10.0/24 にしました。

2. シリアル番号を確認する

クラウドに拠点の vSocket を登録したので、そのシリアル番号を取得します。Cato Cloud はこのシリアル番号により、インターネットに接続された Socket / vSocket が「どの契約の、どの拠点のもの？」を識別しています。

先ほどのポータル画面でスパナのアイコン（Edit Sites）をクリックします。

図中の「XX-XX-XX-XX-XX-XX」がシリアル番号です。Cato vSocket のセットアップ時に必要となるため、控えておきます。

3. vSocket ダウンロード

Knowledge Base で「vSocket Download」で検索して見つけた「Configuring an ESXi vSocket Site」というページの解説を読み、vSocket の OVA をダウンロードしました。

私がダウンロードしたものは 60MB くらいでした（ファイルサイズは、その時点のバージョンにより異なります）。

4. ネットワークの追加

vSocket をインストールする前に、ESXi にネットワークを追加しておきましょう。先ほど設定した 10.10.10.0/24 を使用するネットワークです。
ESXi のネットワークの追加は、仮想スイッチ→ポートグループの順ですね。よって、この様にしました。

【仮想スイッチ】vSwitchCato
【ポートグループ】Cato Network

5. vSocket 構築

引き続き ESXi で「仮想マシン / 仮想マシンの作成/登録」を実行します。OVA ファイルから、vSocket を構築しましょう。

仮想マシン名を付け（私は vSocket としました）OVA をアップロードし、セットアップ先のストレージを選択…と進めて行きます。
そして、ネットワークの設定です。

【LAN1】Cato Cloud から見たときの vSocket（10.10.10.1）
【LAN2】マネージメント用
【WAN1】インターネット
【WAN2】インターネット（今回は未使用）

この様に使用しますので、私の設定は下図の通りです。

少しややこしいですね。特に LAN2！「LAN なのに WAN と同じネットワーク？」と混乱します。
これは通常使用している LAN（VM Network : NAPT 環境）に、更に Cato Cloud 用の LAN を構築しているためです。

「5 その他の設定」でシリアル番号を登録します。先ほどの「XX-XX-XX-XX-XX-XX」です。うっかり設定し忘れて構築をしてしまうと、仮想マシンを消して最初からやり直すことになります。忘れずに設定しておきましょう（実は１回、この操作を飛ばしてしまい…）。

構築完了です！起動してみましょう。vSocket の ESXi からの操作は基本的に起動とシャットダウンくらいです。

6. 確認

管理ポータルにアクセスします。いま構築した vSocket があります！
拠点を選択し、Configuration で vSocket の管理画面にアクセスして詳細設定をします。

先ほど述べた「まず、SD-WAN に接続。その後に詳細設定をする」というのが、これです。vSocket は手元にあるのに、クラウドを経由して…と考えると変ですが、手元では無い遠隔地にあると考えれば、これはとても便利です。

LAN 02, WAN 01（共に VM Network）が DHCP から受け取ったIPアドレスでしたので、固定のプライベートアドレスに変更しました。
実は Cato Cloud を介さなくても、直接 vSocket の管理画面にアクセスできます。場面に応じて使い分けが可能です。

その後も良い感じで動作しています。3日PoC環境の構築が完了です！
次回はモバイルクライアントから、この拠点にアクセスをしてみます。

Cato Cloud PoC 用の環境設計やシナリオの作成支援など、ぜひお気軽にご相談ください。