SD-WANの主な機能と導入におけるポイントについて

ビジネス推進本部 応用技術部
ENT ITチーム
潮田 達也

1.SD-WAN導入に向けたモチベーション

 ここ数年、SDN(Software Defined Network)という言葉でネットワークをソフトウェアで管理・制御する技術が様々な場所で取り上げられています。その中でも、近年WAN部分にSDN技術を用いて高機能化かつ管理を省力化しようという流れが大きくなりつつあります。これらはSD-WAN(Software Defined WAN)という名称で、海外で多くの事例を聞きますが、日本では一部の企業を除いてはまだ普及が進まない状況です。なぜ日本で普及が進まないかは、前回のコラム「VeloCloudでWAN回線のコスト削減とセキュリティをがっちり!」で触れたため、今回のコラムでは多くは触れませんが、前回の執筆時とあまり変わらない状況です。しかしながら、まずは各社のSD-WAN製品を比較してみたい・SD-WANを導入したいという声も着実に増えており、今後最新キーワードの位置づけで、各企業内でも検討されていく物と推測されます。
 ここでSD-WANを検討する際、ほとんどの企業が共通で要望する機能が1つあります。それは、「ローカルブレークアウト」と呼ばれる機能です。この機能は、特定のトラヒックを通常とは別の安価な回線などから出すよう、振り分ける機能となります。日本企業のネットワーク構成では、トラヒックをデータセンタへ集約しそこでセキュリティや監視系の装置を通過後、インターネットへ出ていく形が非常に多く見られます。しかし、ここ数年でクラウド提供型のアプリケーションや、アップデート配信などのトラヒックが非常に多くなり、優先度の高い業務トラヒックが逼迫する事態となっています。また、これらインターネットとの通信は、SSL/TSL暗号化が施されている上に、CDN(Content Delivery Network)からの通信も多く、従来から識別に用いられていたPort番号やURLといった情報ではトラヒックを分類できないという問題があります。そこで、SD-WAN製品に搭載された、DPI(Deep Packet Inspection)機能を用いて、データセンタを経由する必要の無い、インターネット向けの通信は拠点で安価なWAN回線へ逃がし、高価な従来のWAN回線を使うトラヒックを抑えるという経費節減の面から、SD-WANが盛んに検討され始めています。

2.SD-WAN製品の特徴

 ローカルブレークアウト機能以外にもSD-WAN製品には様々な機能があります。日本では経費節減の面から、DPI機能が注目されていますが、海外では管理や導入の省力化、経営に合わせた柔軟なネットワーク設定、WAN回線の品質向上、拠点のセキュリティ強化などの面で導入が進んでいます。本章ではSD-WAN製品に搭載されている機能についてご紹介致します。なお、製品によって搭載されている機能が異なるため、どの様な機能が必要かの判断材料として読み進めて頂ければと思います。

●NFV
前回のコラムでご紹介でした内容と被りますが、各拠点に置くEdgeノード上で、他の機能を持つインスタンスを稼働させ、連携する動作です。これの特徴的な点として、SD-WAN以外の機能に関しては、他社や独自開発のインスタンスを用いる事で、既に確立している高い信頼性と、素早い構築を可能としたことです。
新たに機器を設置する事と同様の事が遠隔から実現可能なため、必要なタイミングに、最小限の投資と時間で新たな機能・製品を展開することが可能となります。
しかしながら、デメリットも存在します。インスタンスを動作させると言うことは、Edge側に多くのリソースが要求されるため、配備するEdgeの価格が上昇する事と、今後を見据えた余裕ある機器・リソース選定が困難と言うことです。そのため、想定よりも早いタイミングでEdgeを入れ替えることや、拠点規模に応じて仮想基盤を構築し、他の機器もまとめ仮想化を行う等の検討も視野に入れる必要があります。

●チェイニング
様々な分野の製品でサービスチェイニングが実装されていますが、SD-WAN製品では主にセキュリティ分野とのクラウドサービスチェイニングが実装されています。代表的なところではZscalerやSymantecなどがあります。これらは、拠点から出たトラヒックの転送を受け、安全性確認や監査用のログ生成を行った後、改めてインターネットへ出す、プロキシ的なサービスを提供しています。
また、クラウド上のサービスだけでは無く、NFVに対応したEdgeでは、内部のインスタンスとのチェイニングを行い、拠点内でのセキュリティ確保を行う事も可能です。

●回線品質最適化
SD-WANは安価な通信回線を用いる事を想定している製品も多く、様々な回線品質最適化技術を搭載しています。これら技術は大きく分けて2つあり、1つ目は回線の品質向上、2つ目は回線速度の向上となります。
1つ目の回線品質向上は、パケット複製やFECなどの冗長通信や、ジッタ・ロス率などの回線品質監視などの機能を用いて、安価で品質の悪い回線上でも、リアルタイム通信など高い品質が求められる通信を可能とした技術となります。
2つ目の回線速度の向上は、WAN最適化製品で用いられたようなTCP Optimization/ Accelerator技術やBonding(複数のWAN回線を束ねて行う通信)などの方法で、WAN回線の速度を最大限に引き出すという技術です。なお、TCP Optimization/Acceleratorの技術については弊社の別コラム「TCP最適化によるユーザーエクスペリエンスの改善」にて解説していますので、詳細な説明についてはそちらをご参照ください。
これら1と2は回線の利用効率の面では相反する内容となるため、メーカによって調整方法や更なる独自機能を開発するなど、様々な工夫が見られる部分でもあります。

●キャッシュ
キャッシュ技術は昔からあるとおり、同一のファイルにアクセスするトラヒックが多い場合は非常に効果的な機能となります。そのため、同一ファイルへの通信が多い場面で効果的ですが、近年は弱点も多く、適用場所が限られる技術となります。
具体的に挙げますと、利点として、WANを用いたLAN延伸の内を通るCIFS/SMB等のプロトコル上で同一のファイルに対してアクセスした際に、キャッシュから代理応用する事で、通信のトラヒックを最小限に抑えることが出来ます。これらは同一の帳票や何らかのシステム上の確認にファイルを用いている場合に大きな効果を発揮します。反面、近年多い、インターネット上からのアップデートファイルやBox/O365などのファイル通信に対しては、SSL/TSL暗号化によるキャッシュ失敗が発生するため、必ずしも有効とは限りません。これを回避するためには中間者攻撃を行うため、配下の機器に自組織の証明書をインストールする必要があります。しかしながら、この方法は運用手順の変更や、利用者への操作依頼など様々な課題が存在するため、それに見合う効果が得られるかの検証を行う必要があります。

今回ご紹介の機能に関して、各社の詳細な内容は記載していませんが、御社の課題解決に有用そうな機能があれば、ぜひ弊社にご相談頂ければ幸いです。

3.SD-WAN機能の取捨選択

 日本では複雑な企業ネットワークが構築されており、SD-WANの設計・導入にあたり様々な要件や、現状構成の維持が求められます。しかしながら、現在のSD-WANの機能では、細かな点で要件を満たさない状況があり、導入が進まない要因の一つとなっています。これらは、既存の拠点用ルータとまだ発展途上のSD-WAN製品を直接比較し、既存ルータと同等以上の機能を求める例が多いためです。当然ながら、SD-WAN製品が更に機能追加と完成度を高め、日本の要求に適う製品へと成長することが望ましいですが、現状、目先に課題が存在する状況で、いつ採用できるか分からない製品を待ち続けるのは企業成長の観点から、避けるべきと考えております。
 このような状況となる場合、無理に既存ネットワークに合わせるより、一部の要件を緩和・変更し製品の状況と既存環境をすり合わせて導入を行うことを検討すべきです。現状弊社では、通常のSD-WAN製品では導入が困難な例や、求める要件が多い状況では、下記のような導入をご提案しております。

I.既存ルータのDPI機能を活用する
最近のRouter製品にはDPI機能が具備されており、要件次第ではこの機能を用いたローカルブレークアウトを行う事で、課題の解決が可能となります。本機能を用いる事で、長年の実績があるRouting機能を使用しつつ、重要度の低いトラヒックを別の回線からブレークアウトする事が可能です。
本構成の欠点としては、SD-WANコントローラのような集中管理ができない事及び、他のSD-WAN製品で良くある機能が使用できないことです。
しかしながら、ほとんどの要件が現状のネットワークを維持した上で、ローカルブレークアウトを行いたいという要望のため、その点に絞れば本解決方法は非常に有効性の高い解決方法であると考えております。

II.既存ルータの配下にEdge装置を配置する
既存ルータの配下にEdge装置を配置することで、SD-WAN製品の持つ機能を利用することが可能です。こちらは先の提案と異なり、回線品質の最適化やキャッシュ、NFV/チェイニング等の機能を利用しながら、既存構成を維持することが可能です。
本構成の欠点としては、柔軟なネットワークの変更という利点が失われる事です。

 お客さまから頂くご要望の中で出てくる、代表的な2パターンの構成をご紹介させて頂きました。この他にも、SD-WAN導入に合わせて社内システムを見直すなど、案件により様々な提案方法が御座います。

4.まとめ

 本コラムでは、SD-WANの代表的な機能についてご紹介させて頂きました。SD-WANはまだ新しい分野であり、現在も各メーカが非常に活発に機能開発、要望調査を続けています。そのため、お客さまの解決したい問題やネットワーク構成によっては、より最適な製品・解決法をご紹介させて頂く事も御座います。お客さまの抱えている課題内容によらず、もし、興味がございましたら、ぜひ弊社までお声がけ頂ければ幸いです。

関連記事

VeloCloudでWAN回線のコスト削減とセキュリティをがっちり!
ネットワークの現場から見える、仮想化の課題と自動化のポイント 〜ネットワンシステムズ現役エンジニア座談会〜 – ZDNet Japan
「SD-WAN」の現在(前編)–登場の背景 – ZDNet Japan
「SD-WAN」の現在(後編)–主要プレーヤーの特徴 – ZDNet Japan
VeloCloudとネットワンのSD-WAN、三谷産業が自社での導入について説明 – @IT

執筆者プロフィール

潮田 達也
ネットワンシステムズ株式会社 ビジネス推進本部 応用技術部 ENT ITチーム所属

SD-WAN製品の技術者及び、モバイルコア・MVNOネットワークの提案・導入を支援する業務に従事。過去にはCATVインターネット製品の導入支援やサーバ・ストレージ、NFVの技術者として従事した経験を持つ。

イベント/レポート

pagetop