SD-WANについて、基本概念に始まり、注目を集めている背景や導入のメリッや課題などを、事例を交えながら解説していく本連載。第2回目となる今回は、従来のWANとの比較にも役立つ、SD-WANの3つの主要機能「単一の管理画面」「ゼロタッチでの拠点導入」「インターネット回線と専用線の同時活用」について説明する。
単一の管理画面
SD-WANにおける「単一の管理画面」を理解する際、ポイントとなるのが「従来機器との違い」「クラウドサービス上の管理画面」「管理画面の使用感」だ。
従来機器との違い
従来型のWAN機器は、各拠点に設置される機器それぞれが独立して管理され、動作している。大抵の場合、その機器の設定に精通したエンジニアによって、機器それぞれが持つCLIやGUIで設定、運用が行われる。ベンダーによっては複数機器を管理する統合管理ツールのようなものも存在しているが、それらは主に統計情報などの運用面で活用されるツールであり、設定面においては補助的な役割しかなかった。
しかし、SD-WANは統合管理がシステムの大前提になっている点において従来のWAN機器とは異なる。もともと、WANの構成は、頻繁に変更されるものではなかった。フレームリレー、ATM、IP-VPN、広域イーサネット、インターネットVPNなど、時代によって使用されるWAN回線に変わっていった。それに伴い、拠点のWAN機器は更改され、専門家を必要とするため導入における人的コストも大きい。
しかし、基本構成は10年以上変わらないというWANもざらにあるため、この静的なWAN環境においては、管理が機器ごとに分かれていてもさほど大きな問題にはならなかったと思われる。
クラウドサービス上の管理画面
管理画面はゼロタッチでの機器導入を目標とするため(ゼロタッチについては後述)、インターネット上のクラウドサービスで展開されるのがSD-WANの基本形態だ。
そこから、進捗はベンダーによって異なりながらも、インターネットから遮断されたオンプレ環境での管理画面の提供へと機能が拡張されている。政府機関への導入では、インターネットから完全遮断された環境への導入が必須となることから、各ベンダーが現在努力を続けているところだ。
管理画面の使用感
管理画面の使用感はベンダーにより異なるが、各社趣向を凝らしており、できるだけ管理しやすいGUIを備えている。しかし、IPネットワーキングの専門知識がなければ導入が不可能だと思えるものから、ネットワーク機器自体の設定を意識しなくても設定が終わってしまうものまで、まちまちである。
一般に、ネットワーク設定における柔軟性が高いものほど導入の敷居は高く、導入がシンプルなものであるほどネットワーク設定は決め打ちになっているため柔軟性が低くなっている。どれを選ぶかは運用するユーザー次第だが、SD-WANの運用も外部に委託するつもりであれば、何でもできる柔軟性の高い製品を選ぶことが多いだろう。
ユーザー自ら管理を行うのであれば、シンプルなGUIを持つ製品を選ぶことになるが、ネットワーク設定における柔軟性は劣る場合が多い。例えば、ダイナミックルーティングを駆使したネットワーク冗長を採用している場合は、ネットワーク機器の設定を見直す必要も出てくるかもしれない。
ゼロタッチでの拠点導入
2つ目の主要機能が「ゼロタッチでの拠点導入」だ。Agileに拠点間を接続していくというSD-WANの性質上、拠点側の機器にはほとんど個別の設定が必要ない仕組みになっている。
DHCPでアドレスを取得できる環境であれば、ネットワークに物理接続するだけで、管理サーバから自らの設定をダウンロードしたうえでその設定を適用し、他の拠点に接続するまでを全自動で行うことができる。以下が、接続の流れだ。
- DHCPでネットワークに接続
- 管理サーバにシリアル番号を送信
- シリアル番号のライセンス有無を確認
- シリアル番号に一致する設定をダウンロード
- 設定を適用し他の拠点に接続
従来のネットワーク機器では、現地で回線に接続した後シリアルコンソールで設定を施すのが一般的であった。SD-WANの場合は、現地にITスタッフを送る必要性はない。物理的にLANとWAN回線につなぎこみさえ行えば、あとの設定は管理サーバからダウンロードされる。
ゼロタッチの注意点
しかし、ゼロタッチでの導入には注意点がある。それは、DHCPでアドレスが取得でき、そのまま管理サーバに接続できる環境であるかどうかだ。日本国内ではビジネスで利用されるインターネット回線のほとんどでPPPoEが利用されているため、つなげばインターネットに接続できるという環境は望めない。
その場合、機器にはPPPoEの認証情報が設定されている必要があり、ゼロタッチとまではいかない。しかし、この場合でも可能な限り少ないステップで導入が可能になっており、初期導入におけるLTEでのインターネット接続やUSBスティックでの設定読み込みなど、拠点側での負担が少ない仕組みとなっている。
導入時のインターネット接続
管理画面は基本的にインターネット上のクラウドサービスで提供されるが、これはゼロタッチ導入と深い関わりがある。ライセンスの確認作業と設定のダウンロードが機器導入時に行われるが、管理画面がインターネットから遮断されていると、この導入時のプロセスが複雑化してしまう。そのため、初期導入時は機器のインターネットへの接続を必須とするベンダーも少なくない。
クラウドへの導入
SD-WANの性質上、クラウドの仮想ネットワーク接続もまた必須機能であり、クラウドへのVA(仮想アプライアンス)導入は、ほとんどの場合Amazon Web Service (AWS) やMicrosoft Azureのマーケットプレイス経由で行われる。
ベンダーごとに自動化のレベルは異なっているが、クラウド上の仮想ネットワーク上にVAのインスタンスを立ち上げる際、Global IPアドレスの付与、インターネットへの接続、仮想ネットワーク内のルーティング情報の変更、などをクラウドが提供するAPIを活用して簡単に一括で行える仕組みが提供されている。
VAはまた、VMwareなど各種ハイパーバイザー上でも動作するようになっており、VAにおいても可能な限り簡単に導入できるよう工夫されている。
インターネット回線と専用線の同時活用
3つ目の主要機能が「インターネット回線と専用線の同時活用」となる。DXの進展によるワークロードの分散化は今後もますます進んでいき、インターネットを企業インフラの一部としてみなす必要性が出てきている。従来はインターネットに向かうトラフィックをデータセンターに集約した上でセキュリティゲートウェイを経由させる構成が一般的であった。
このような従来の境界型セキュリティは、多くのトラフィックがオンプレ環境で閉じられており、インターネットへの接続が補完的なものであった場合は意味をなす。しかし今や、ワークロードの分散化によりインターネットに向かうトラフィックはオンプレで閉じられるトラフィックを凌駕し、この傾向はますます加速していく。そして、スマートフォン、タブレットのユーザーは当然のようにインターネットに直接接続してクラウド上のアプリケーションを使用していく。そうなると従来の境界型セキュリティは意味をなさなくなる。
さらに従来のままでは、大量のトランザクションと帯域をハンドルできるセキュリティゲートウェイが必要となり、インターネットのアクセスラインに必要な帯域も膨大なものとなっていく。このため、ネットワーク構成の再考が迫られるようになり、拠点からのインターネット接続(ローカルブレイクアウト)が考えられるようになった。そして拠点にインターネット接続があるなら、拠点間のトラフィックのためにインターネット上にVPN網を構築して回線をフル活用していけば、専用線にかかっていたコストも削減できるようになる。
転送先のコントロール
このためSD-WAN製品は、インターネット回線と専用線の両方を同時に活用するためトラフィックの転送先をコントロールする機能を持っている。例えば、SaaSおよびIaaS利用のトラフィックはインターネットに直接転送され、それ以外のインターネットトラフィックはVPNを経由してデータセンターのセキュリティゲートウェイを通りインターネットに出て行く。ビデオ会議や音声など厳しい回線品質が求められるトラフィックは専用線に送る。
このようにトラフィックのあて先に応じてパスを選択する機能を持つが、あて先がどこであるのかの認識はDPIを活用するものから、IPアドレスしか見ないものまでさまざまだ。
次回は、SD-WANの利用ケースを紹介しよう。
著者プロフィール
![]()
草薙 伸(くさなぎ しん)
リバーベッドテクノロジー株式会社 技術本部長。リバーベッド日本法人の技術本部長として、製品・技術開発、および日本市場への導入全般に責務を持ち、セールスエンジニアを統括している。またアプリケーション性能に貢献するリバーベッドソリューション普及のための啓蒙活動も行っている。
建造中の北極海研究船「みらいII」を見てきた、砕氷船ならではの特徴とは