SASE、SSE360における、CatoソケットとIPSec接続の違い

SASE、SSE360における、CatoソケットとIPSec接続の違い

はじめに

Cato Networksを導入する場合、ソケットで導入するのか、IPsecで導入をするのか検討をする必要があります。

ソケットとはCato Networksが提供しているSD-WAN接続アプライアンスのことを指しており、ラストマイル接続(1本または複数)を経由し、お客様環境から最も近いCato PoPに接続することができます。

SASE、SSE360に接続するSASE SD-WAN同地

一方IPsecを利用して接続する場合は、既設のFWもしくはルーターをから特定のCato PoPに接続する仕組みとなっております。

お客様がCato Networksを導入する上で、ソケット経由で接続させるべきか、もしくはIPsecを利用して接続させるべきなのか判断ができるようそれぞれのメリット、デメリットを比較していきながら解説していきます。

回線断にも対応できる、グローバルフルメッシュバックボーンに接続されるCATO SASE

Cato ソケットのメリット VS IPSec 接続

それではまずソケットのメリット/デメリットを列挙していきます。

Catoソケットのメリット

  • PoP自動選択
  • ラストマイルパケットのモニタリング
  • 帯域制御機能(QoS)
  • アプリケーションベースのルーティング
  • オフクラウド通信(ソケットを設置した拠点間のCato非経由通信)
  • ソケットのリモート管理

ソケットのデメリット

  • ソケットの設置作業が必要(LAN側のルーティングの変更等)
  • BGP以外の動的ルーティングは利用できない

ソケットには多数メリットがありますが、大きなポイントとしてはPoPの自動選択機能があるため、PoPの冗長化を行うことができます。

そのためPoP側で障害が発生した際には、Cato側で自動的にPoPの切り替えが行われます。

その他にもラストマイル通信(Catoクラウド非経由の通信)のパケットロス状況をモニタリングすることもできるため、IPsecと比較すると障害発生時の対応および分析において非常に強い部分を持っているのがソケットの特徴になります。

また、ソケットのコンソール画面にはWeb管理画面から接続ができ、リモートで設定変更等を行うことも可能となっております。

一方IPsecと比較したデメリットとしては、アプライアンスを設置するという作業は必要となってしまうため、既存のネットワーク環境に一部変更を加えなければいけないという点があります。

しかし、ソケットとCato間の接続設定においては非常に簡単に設定でき、DHCPでソケットにIPアドレスを割り振る場合はゼロタッチでCato PoPに接続することが可能になります。

デメリットとしては挙げてはおりますが、既存のネットワーク環境の変更が許容いただけるのであれば、ソケットの設置作業によるお客様側の負担はそこまで大きなものにはならないと考えております。

それでは次に、IPsec接続におけるメリット/デメリットを列挙していきます。

IPsecのメリット

  • 既存のFWもしくはルーターを利用可能
  • 多数のクラウドサービス(GCP、Oracleなど)と接続可能

※AWS、Azureなどは、仮想のSocketがをお使い頂けます。

IPsecのデメリット

  • PoPの冗長性が少ない(PoPのIPアドレスを2つまで指定可能)
  • お客様環境のFW、ルーターで正常に接続できるか事前検証が必要
  • メーカー側のサポート範囲に限界がある

IPsecにおけるメリットとしては、やはり既存でご利用のFW、ルーターを利用できるという点になります。

既存のネットワーク環境を変更する必要がないため、Cato PoPとの接続が確立されれば利用可能となります。

しかしデメリットとして、お客様環境で利用されているFWおよびルーターでIPsecで接続できることが確認されているとは限りませんため、事前にご検証いただく必要性があります。

また仮に不具合や障害が発生した場合においても、お客様側で利用されているFWおよびルーターにおきましてはCato Netowrks社のサポート対象範囲外となり、全ての範囲をサポートすることができない可能性があります。

IPsec接続を行う場合は、これらのデメリットとなる点も予めご了承いただいた上で導入を行っていただく必要があります。

短時間でセットアップ、PoC可能なSASE

ここまでソケットとIPsecの比較を行ってきましたが、どの点を魅力に感じるかはお客様次第です。

導入後の障害対策、冗長化の観点や運用の観点を重要視するならソケット、導入時のネットワーク構成を極力変更したくないのであればIPsecという考え方もできるかと存じます。

Cato SASEはPOCにより、実際にソケットをご検証いただくことも可能ですので、ぜひご興味がある場合には弊社までご連絡いただければと存じます。

お問い合わせ・資料請求

株式会社マクニカ  Cato Networks 担当

平日 9:00~17:00