ローカルブレイクアウトをより快適に～Cisco SD-AVCのご紹介～

はじめに

昨今、Microsoft365やビデオ会議といったクラウドアプリケーションを業務に取り入れることが定着してきているのではないかと思います。クラウドアプリケーションは上手に活用してあげることで業務の効率化やDXに繋がりますが、ネットワークにおいても考慮する事項が増えました。今回は昨今のネットワークの考慮事項の一つであるクラウドアプリケーション通信の増加と最新の対応策についてご紹介します。

ローカルブレイクアウトの浸透

クラウドアプリケーションの業務利用の増加を背景に、データセンターにインターネットトラフィックの負荷が集中してしまうネットワークの課題が生じるようになりました。この状況に対応し、データセンターへのトラフィック集中を分散させる手法としてローカルブレイクアウトが次世代のソリューションとして導入されるようになってきています。

ローカルブレイクアウトでは、従来のようにインターネット向けのトラフィックをデータセンターに集約するのではなく、拠点のルーターにインターネット回線を敷設し拠点から直接インターネットアクセスをするようになります。

図1：ローカルブレイクアウトの通信フロー

ローカルブレイクアウトの手法の一つに、ルーター上でトラフィックのアプリケーションを識別し、「データセンターにトラフィックを送るか」・「インターネット回線に送るか」を決定する方法があります。

このようなローカルブレイクアウト機能に対応したサービスを導入するために、SD-WANと呼ばれる製品がベンダー各社から提供されています。

SD-WANによるローカルブレイクアウト

SD-WANで提供されるアプリケーション識別でよく使われている技術に、「Deep Packet Inspection(以下DPI)」という技術があります。DPIはIPアドレスやパケットの特徴を検知しキャッシュすることでアプリケーションの識別を可能にします。

DPIはパケットからアプリケーションを識別する大変優れた技術ですが、キャッシュされるまではアプリケーションの識別が出来ないという弱点もあります。アプリケーション識別がすぐに出来ない不都合として、アプリケーション識別前と識別後で通信経路が変わってしまう問題があります。

通信経路が変わってしまうことの問題点は、アプリケーション識別前のトラフィックがデータセンターに送信されるため、データセンターのプロキシやファイアウォール等のセキュリティにトラフィックをブロックされてしまうことや、通信経路の変化によりクラウドアプリケーションのセッションが途切れ再ログインを要求される、テレビ会議が途切れてしまう等の様々な不都合が生じることにあります。

この問題のことを本記事では「ファーストパケット問題」と呼びます。ほとんどのSD-WAN製品ではローカルブレイクアウト対応がなされていますが、「ファーストパケット問題」をクリアしているかは製品によって異なりますので、SD-WAN製品の導入を検討されている場合にはファーストパケット問題の観点でも製品を比較してみることをお勧めします。

ファーストパケット問題に対応するCisco SD-AVC

ファーストパケット問題への対応を行っている製品の一つにCisco SD-WANがあります。

Cisco SD-WANのSoftware Defined Application Visibility and Control(以下SD-AVC)という機能を利用することでファーストパケット問題の緩和または解消をすることが出来ます。

SD-AVCの機能の一つとして、個々のルーターが持つDPIのキャッシュ情報を他の拠点のルーターと共有する機能があります。SD-AVCを適用するネットワークの中で最初の一台についてはアプリケーションの識別が必要ですが、最初の一台のアプリケーション識別の完了後にDPIのキャッシュ情報をルーター間で共有することで通信経路の変化を抑制しファーストパケット問題を緩和することが可能です。

図2：SD-AVC機能によりルーター間でDPIキャッシュを共有する

今回ご紹介したいSD-AVCのもう一つの機能として、SD-AVC Cloud Connector for MS365という機能があります。こちらの機能ではMicrosoft365(以下MS365)と連携しMS365のアドレスリストをルーターに学習させることが出来ます。こちらのアドレスリストを元にローカルブレイクアウトすることでファーストパケット問題を解消することが出来ます。SD-AVCのアドレスリストは定期的に自動更新されますので、手動によるアドレスリスト更新を行う必要もありません。