【特別企画】

SD-WAN移行ガイド ~今、なぜSD-WANを考えるべきなのか~

[2020/01/29 10:00] ブックマーク ブックマーク

移行にあたって持つべき考え

SD-WANは、マルチクラウド時代において備えるべき拡張性と柔軟性、俊敏性を企業ネットワークにもたらす。しかし、残念ながらあらゆるタイプの企業やアプリケーション固有の要件すべてに対応できるプラットフォームは無い。

持つべきは、「今ある要件へ対応する」のではなく、「これから先の変化に対応可能なプラットフォームを整備する」という考えだ。プラットフォームが十分にオープンなベンダーかどうか、自社やパートナーの持つスキルセットで変化に対応していけるかどうか、こういった視点のもとで、ソリューションやベンダー選定を進めていく必要がある。

この前提のもと、ここからは「CPE」「ネットワーク」「トポロジー」「セキュリティ」「拡張」の5つの観点から、移行にあたって考慮すべき事項を整理していく。

考慮事項1_CPEの導入

SD-WANに対応するCPEデバイスは、「専用アプライアンス」「ユニバーサルCPE(uCPE)」「クラウドCPE」と大きく3つが存在する。アーキテクチャと運用の柔軟性を維持し、なおかつ次代への対応性も確保する上では何が必要なのかを考慮し、検討を進めていくことが必要だ。

専用アプライアンス
ファイアウォール、ルーティング、WAN最適化、ポリシー管理といったネットワーク機能を統合したNFV(Network Function Virtualization:仮想化ネットワーク機能)のセットをホストするCPE。

  • アプライアンス故の手軽さが大きな強みとなる。しかし、一方で企業がVNFや機能を自由にアップグレード、追加、変更できるほど柔軟性は高くない
  • WANサービスは、複数の物理ネットワークを束ねたオーバーレイネットワークとして提供される

uCPE
uCPEはベンダーに依存しないユニバーサルなCPEであり、同じベンダーまたは他のベンダー製のSD-WAN、VNF、その他のソフトウェア(セキュリティ含む)を追加で実行可能。

  • デバイスの設定変更やVNFソフトウェアのアップグレードが柔軟に実行できる
  • WANサービスは、多くの場合、サービスプロバイダのネットワークとサービス、公共インターネットのオーバーレイネットワークのハイブリッドな組み合わせで提供される

クラウドCPE
物理デバイスとしてではなく、企業内、パブリッククラウド、サービスプロバイダのクラウドのいずれかでホストされる仮想マシン形式で提供されるCPE。クラウドCPEは、パブリッククラウドにアプリケーションを保有する企業が利用することになる。

  • 初期投資や統合コストが最小限で済む。また、他のクラウドサービスと同様に従量課金型のWANサービスが利用可能
  • WANサービスは、多くの場合、サービスプロバイダのネットワークとサービス、公共インターネットのオーバーレイネットワークのハイブリッドな組み合わせで提供される

専用アプライアンス uCPE クラウドCPE


考慮事項2_ネットワーク

既述のとおり、専用アプライアンスではWANサービスがオーバーレイネットワークで提供されるのに対し、uCPEとクラウドCPEベースのサービスは大部分がハイブリッド形式でWANサービスが提供される。それぞれの概要と特徴をみていこう。

オーバーレイネットワーク
オーバーレイネットワークタイプのSD-WANは、複数の物理サービスネットワークを束ねたSDNオーバーレイとして提供される。企業がWANリンクの可視化やコストを管理する方法として有効となる。

  • ベンダーによってはオーバーレイベースのSDNが提供するサービスレベル、セキュリティ、冗長性の保証が減るため注意が必要

ハイブリッドネットワーク
ハイブリッドタイプでは、サービスプロバイダのネットワークとサービス(イーサネット、IP-MPLSなど)と、公共インターネットのオーバーレイのハイブリッドな組み合わせでWANサービスが提供される。

  • ハイブリッドタイプでは、サービスプロバイダのネットワークとサービス(イーサネット、IP-MPLSなど)と、公共インターネットのオーバーレイのハイブリッドな組み合わせでWANサービスが提供される。
  • 同様に、企業は、SD-WANプラットフォームが十分にオープンで、サードパーティVNFやSD-WAN製品と相互運用が可能なことを確認する必要がある

オーバーレイネットワーク ハイブリッドネットワーク


考慮事項3_トポロジー

すべてのSD-WANプラットフォームやCPEが次に挙げる様々なWANトポロジー(接続形式)に対応しているわけではない。企業は、選択したプラットフォームとサービスがどの程度ネットワークトポロジーに対応しているかを考慮しながら、選定を進める必要がある。

ハブ アンド スポーク
1つのサイトが「ハブ」としての役割を果たし、そこを通して他の視点/拠点が接続する形式。従来型のWAN設計に近い接続形式であり、ここではセキュリティやトラフィック検出などの機能は中央で実行される。

フル メッシュ
ネットワーク上の支社/拠点がすべて相互接続され、その間をトラフィックが自由に通過できる接続形式。これにより、ピアツーピアアプリケーション(電話会議など)が効率化されるが、設計とプロビジョニングは複雑となる。

パーシャル メッシュ
ハイブリッド型のアプローチで、サイトが論理グループ(地域など)に分割され、各サイトが独自の中央ハブとしての機能を有する接続形式。ハブ アンド スポークとフルメッシュ、双方の良いところをバランスよく提供しながら、設計とプロビジョニングも可能な限り簡素化する。

考慮事項4_セキュリティ

SD-WANは、公共インターネット上でより多くのWANトラフィックを転送するという性質上、エンドポイントとインターネットゲートウェイが増大することとなる。これは攻撃対象の領域が拡大することになるが、一方で脅威とトラフィックを分析ビューで一元的に可視化できることがSD-WANの検討のポイントともなる。

企業は、SD-WAN移行にあたって増大する攻撃対象をどう守るか、そのためにSD-WANの利点である統合監視をどう運用プロセスに組み込むか、誰が主体となって運用するのかなどを慎重に計画する必要がある。例えばCPEの種類別でみても、運用の主体には次のような傾向がある。

専用アプライアンスの場合:
企業の自己管理となることが多い。

uCPEの場合:
一般的にはインストール、実装、ライフサイクル管理といった作業がアウトソースされるため、日々の運用管理や設定変更のみを企業が行う場合が多い。

クラウドCPEの場合:
ベンダーやサービスプロバイダが管理、アップグレードの責任を負う。

セキュリティを考慮する上での重要事項

セキュリティを考慮する上での重要事項

考慮事項5_拡張

SD-WANでは、サイト間の通信については集中管理できるものの拠点内のLAN、Wi-Fiまでは管理できない。WAN以外にも存在する企業ネットワークすべての領域にまで統合・管理の対象を拡張することが、ICTの簡素化にあたっては求められる。

  • 検討対象のSD-WANプラットフォームに、「SDブランチ」と呼ばれる、様々なネットワークドメインとサービスが管理できる十分なフル機能のセットが備わっているかどうかを確認する必要がある
  • ただし、この選択肢は企業またはこれをサポートするベンダー、プロバイダが、ICTの統合と管理に関わるスキル、経験、自信を持っているかどうかに左右される
拡張の重要事項


ジュニパーのSD-WANソリューション

SD-WAN移行にあたって考慮すべき事項を整理してきた。企業ネットワークは今後、プライベートクラウド、パブリッククラウドの境界を越えてますます拡大していくだろう。ここに対応するためには、SD-WANによる柔軟で拡張性の高いアーキテクチャへの変化が不可欠だ。

既述の通り、ここで取るべき選択肢は企業の持つスキルセットや将来構想によって様々となる。ただ、ジュニパーのContrail SD-WANは、以下に挙げる機能によって多くの企業のSD-WAN移行を成功に導くことができる。SD-WAN移行を過不足なく進めるのに有用なプラットフォームとして、1つの候補としてほしい。

SD-WAN、LAN、Wi-Fi、セキュリティ:
キャンパスとブランチすべての可視化、セキュリティ、配信を、1か所から実行可能。

運用の簡素化:
ソフトウェアを実行せずに、クラウドベースのContrail SD-WANを使用しても、独自の条件で制御できるオンプレミスソフトウェアを選択しても、SDNが使用可能。どちらのオプションも、数千のエンタープライズアプリケーションを管理するためのスマートなデフォルトポリシーを備えている。

アプリケーションエクスペリエンスとパフォーマンスの最適化:
エクスペリエンス品質のセンサーと管理をきめ細やかな動的パス選択と組み合わせて、「アプリケーションのパフォーマンスと耐障害性の向上」「究極のユーザーエクスペリエンス」を実現する最適な制御を提供する。

WANコストの最適化:
MPLS、ブロードバンド、xDSL、TI/EI、T3/E3、4G LTE無線リンクなど、すべてのWANエッジインターフェイスを、単一のシステムと設計ポリシーを使用して制御可能。パフォーマンスと経済性を最大化する。

現地のIT部門に専門知識は不要:
セキュアなCPEやuCPEを拠点に配送するだけで、ゼロタッチ プロビジョニングにより即座にアクセスができる。

高度で重要なセキュリティ:
ジュニパー SRX シリーズ、NFX シリーズ、vSRX WAN エッジのすべてのデバイスには、強力なルーティングに加えて、次世代ファイアウォール、ユニバーサル脅威管理、高度な脅威防御サービスのサブスクリプションを追加するオプションが用意されている。

ダウンロード資料のご案内

SD-WANが必要なワケ。
SD-WAN移行時の7つの主要な課題と考慮すべきポイントとは?

>>PDFのダウンロードはこちら

[PR]提供:ジュニパーネットワークス

ページの先頭に戻る