- ライター:由原 亮太
- 新卒入社後、主にCisco製ルータ担当として技術調査、検証評価、提案および導入支援に従事。
現在は担当領域の拡大に伴い、無線や認証、仮想化など幅広く対応中。
目次
はじめに
国内のビジネスシーンにおいて、クラウドアプリケーション利用が普及してくるにつれて、特定トラフィックのインターネットローカルブレイクアウトの需要が伸びてきています。
それに伴い、ネットワークベンダー各社もこのビジネスニーズに応えるため、インターネットローカルブレイクアウトを手軽に実現させることが可能なSD-WAN製品をいくつも市場に展開してきています。
しかし、多くのSD-WAN製品は共通して課題を持っています。
それはトラフィック制御を行うために用いるアプリケーション識別の精度に関する点です。
本記事ではなぜ識別精度に課題が出てくるのか、この課題をどう解決するかという点についてご紹介します。
識別精度が上がらない原因
従来のインフラのようにL3/L4レイヤで行うトラフィック識別に関しては、どのSD-WAN製品においても大きな差はありません。Microsoft 365やGoogle WorkSpaceといった特定アプリケーションのみをインターネットブレイクアウトしたいという要件の多い現状となると、L4レイヤ以上を利用した識別が必須となってきています。
この要件を満たすため、どの製品も共通してDPI(DeepPacketInspection)と呼ばれる機能を用いてアプリケーション識別を行っているのですが、DPI機能を提供するために用いられるDPIエンジンの特性とSaaSアプリケーションの特性によりアプリケーション識別精度に限界が出てしまいます。
それぞれの特性とは何なのか、という点ですが、まずDPI機能は、DPIエンジンとシグネチャパックの2つの要素で成り立っています。DPIエンジンを用いてパケットの解析を行い、その結果とシグネチャパック上に存在するアプリケーションデータを照合させることで、通信がどのアプリケーションかを分類することでDPIの機能を実現させています。
多くの製品ではDPIエンジンの仕組みを非公開にしていることが多いのですが、一般的にはインターネット上のサービスと通信する際、最初に発生するDNS通信のやり取りを元に識別を行ったり、パケットやSSL/TLSで用いられる証明書情報などをパターンマッチングさせたりすることで、アプリケーション識別を行っているようです。
この仕組み上、シグネチャパックの情報が古くなってしまうと識別精度が低下してしまい、識別できていたはずのクラウドサービスが識別できなくなってしまうというトラブルに繋がってしまいます。
そのためシグネチャパックを常に最新にしておくことで識別精度の低下を防ぐことが可能になります。
ただし、シグネチャパックはネットワーク機器のOSに紐づいていることが多く、その場合シグネチャパックを最新にするためにはOSの更新作業も必要になってしまいます。
SaaSアプリケーションはクラウド事業者が管理しているため、サービスの不定期なアップデートによってトラフィックパターンが変化したり、サービス基盤の宛先情報が変わったりと、一度識別できたとしても、識別ができなくなってしまう可能性があります。
また、共通のリソースを複数のクラウドサービスで利用している場合などは識別結果が偏ってしまい、一部のアプリケーション通信において、正常に制御できなくなるという懸念点も存在しています。
識別精度を向上させるための技術
CiscoのSD-WAN製品においてはコントローラを用いてシグネチャパックを自動的に拡張する機能を持っています。
この機能はCBAR(Controller-Based Application Recognition)やSD-AVC(Software Defined Application Visibility and Control)と呼ばれ、コントローラに搭載されてきています。
この機能は、今までCiscoのネットワークデバイスの機能を利用して、アプリケーションデータを識別、集約するという動作を全てそれぞれの機器内部で完結させていたものをコントローラに集約させて識別させることで、末端のネットワークデバイスにかかる負荷を軽減し、アプリケーション情報を用いたトラフィックポリシーの応答性を向上させることが可能になります。
また、SD-AVCはシグネチャパックの品質を向上させるため、アプリケーション情報を外部ソースによって拡張することが可能です。
例えばMicrosoft 365のサブネットリストや、FQDN情報などをコントローラが自動的に取得することによって常に最新の情報をベースにトラフィック制御を行うことが可能になります。
実際にSD-AVCの設定を有効化させると、ルータ上では上記の出力のように自身のもつシグネチャパックに不足している情報のトラフィック情報を学習させることができ、常に最新の情報を利用してアプリケーション識別を行うことが可能になっています。
最後に
SD-WAN製品を選定する際には、既存機器からの機能踏襲のしやすさや、今後のロードマップ、コスト感といった観点から選定をさせるパターンが多いと感じます。
しかし、SD-WANを導入する背景が特定アプリケーションのローカルブレイクアウトの場合、識別精度の高さという点にも着目してみてはいかがでしょうか。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
