SD-WANの定義
SD-WANの定義は、ネットワークのオープン化を目指す、北米のエンタープライズを中心としたユーザコミュニティONUG(Open Networking User Group)※1によって10個の技術要件として定義されています。拠点展開の容易性(ゼロタッチプロビジョニング)、アクティブ・アクティブなハイブリッドWAN、可視性の高いダッシュボードといった、企業ネットワークのWAN環境の利便性を高めるソリューションです。
【ONUGによるSD-WANの技術要件】
| ▶ Ability for remote site/branch to leverage public and private WANs in an active-active fashion for business applications.▶ Ability to deploy CPE in a physical or virtual form factor on commodity hardware.▶ A secure hybrid WAN architecture that allows for dynamic traffic engineering capability across private and public WAN paths as specified by application policy, prevailing network WAN availability and/or degradation at transport or application layer performance.▶ Visibility, prioritization and steering of business critical and real-time applications as per security and corporate governance and compliance policies.▶ A highly available and resilient hybrid WAN environment for optimal client and application experience.▶ Layer 2 and 3 interoperability with directly connected switch and/or router.▶ Site, Application and VPN performance level dashboard reporting.▶ Open north-bound API for controller access and management, ability to forward specific log events to network event co-relation manager and/or Security Incident & Event Manager (SIEM).▶ Capability to effect zero touch deployment at branch site with minimal to no configuration changes on directly connected infrastructure, ensuring agility in provisioning and deployment.▶ FIPS 140-2 validation certification for cryptography modules/encryption with automated certificate life cycle management and reporting. |
【出典元】ONUG Software-Defined WAN Use Case (https://www.onug.net/wp-content/uploads/2015/05/ONUG-SD-WAN-WG-Whitepaper_Final1.pdf)
上記に加え、近年の企業トラフィックにおけるマルチクラウドの利用増加や、それに伴うセキュリティ適用範囲の拡大、モバイルアクセスを加味した要件がSD-WAN 2.0として定義されています。
【ONUGによるSD-WAN2.0での追加技術要件】
| ▶ Branch office direct access to SaaS and IaaS▶ Multi-cloud attachment to the SD-WAN fabric▶ Security for branch offices and the cloud▶ Integrated cloud APIs via SDWAN controllers▶ SDWAN client for end users |
昨今のSD-WAN製品には、最初からSD-WANに特化した製品(フル機能SD-WAN)と、旧来から存在するFirewall、Router、WAN高速化装置などにSD-WAN機能を取り込んだ製品に2分されます。前者のフル機能SD-WAN製品はほぼONUGの定義をカバーしており、後者のSD-WAN製品はローカルブレイクアウトといった一部の機能に特化していることが多いです。また、前述のSD-WAN 2.0を踏まえ、パブリッククラウド接続のための専用設定メニュー、モバイルアクセスのためのリモートアクセスサーバ機能も徐々に実装され始めています。
※1 ONUGは、ネットワークのオープン化を目指す北米のエンタープライズを中心に2012年に設立されたユーザコミュニティです。
URL:https://www.onug.net/
導入メリットの再考
高価な回線コストの削減
米国では閉域網を2回線契約しアクティブ・スタンバイとして利用する企業が多いのですが、海外の閉域網はコストが高い上に2回線分のコストが掛かります。そこでSD-WANを導入し、バックアップ側の閉域網をインターネット回線に置き換えることでコスト削減を行うユースケースが以前から存在しました。
日本においては比較的安価な広域イーサネットやIP-VPNのサービスが充実しており、SD-WAN導入により、米国同様のメリットを得ることは難しいかもしれません。国内においてSD-WANを採用している企業からは、以下のような効果を得られたという話を聞いています。
●閉域網の一部をインターネット回線に変更し、クラウド利用により増大するトラフィックを、SD-WANのローカルブレイクアウト機能により軽減するとともに、SD-WANのオーバーレイ機能により、仮想的に閉域網を構築しWANとしても利用する。
●アクティブ・スタンバイ構成などのWAN環境を、SD-WANの採用によりアクティブ・アクティブ化することで、通信帯域の増速を実現する。
コストメリットを得るためには、SD-WANとWAN回線の両方に着目する必要があります。
運用管理コストの削減
米国では自社のネットワークを自社で設計、運用、管理するケースがほとんどです。日本のように専門のベンダーに委託するというケースは非常に少ないです。また自社に技術者がいると言っても、各拠点にいるわけではありません。当然、本社のような拠点で全社の運用管理を行うことが前提となります。運用管理の負荷を軽減するため可視性が良いシステムの採用は重要であり、集中管理コンソールやグラフィカルな統計情報表示が管理者にとってメリットとなります。
日本では扱うネットワークの規模が大きくなるほど専門のベンダーに委託する傾向があります。このため、日本の企業においては、SD-WANを導入する際の判断ポイントとして、操作性の良さはメリットになり得ない場合が多いという事情があります。
しかし、昨今のリモートワークの普及もあり、企業のネットワーク管理者にもユーザ単位でトラフィックの利用状況を把握したいというニーズが増えてきています。SD-WAN製品のダッシュボードでは、WAN帯域使用率の高い拠点や特定のアプリケーションにおける帯域利用状況をキーにしてグラフが表示でき、それをクリックしながらブレイクダウンしていくことで端末のIPアドレスまで特定することが可能です。この時、トラフィックログのソートや検索といった操作は一切必要なく、直感的な操作で目的の情報にたどり着けるようになっているものがほとんどです。
またMSP等のマネージドサービスを提供する企業では、複数拠点の展開を容易に行えることが利点の一つです。設定テンプレートを用いることで類似構成のエッジデバイスの設定群をひとまとめにし、複数拠点の展開をより容易かつスピーディに実現できます。またSD-WAN製品の多くは各拠点のエッジデバイスを展開するだけでフルメッシュトンネルを自動で生成する仕組みを持っています。つまり、これまでのように拠点のエッジデバイスごとのサイト間VPNの設定(暗号化・認証・トンネル経路等)が不要となります。
近年の注目機能
プロキシ環境に対応するローカルブレイクアウト
拠点からの通信を一旦データセンタ等の大規模拠点にて集約してからインターネットを利用する構成を採用している企業は多いですが、その場合データセンタ等で集約されたインターネット回線の逼迫が生じます。そこで、特定の通信のみ各拠点から直接インターネットにアクセスさせる技術がローカルブレイクアウトです。特にセッション数や帯域の多い業務通信(Microsoft365、ZoomやWebExといったWeb会議、パブリッククラウド向け通信等)について本機能を適用したいという顧客ニーズはかなり多く、SD-WANの機能と言えばローカルブレイクアウトのことと考える方も多いはずです。
しかし、クライアントPCがプロキシを使う場合はローカルブレイクアウトの障壁となります。ローカルブレイクアウトはIPアドレスや送信先ポート、宛先ドメイン、アプリケーション識別によって通信を識別し、SD-WANデバイスに収容されたインターネット向け回線に通信を振り分けることで実現します。ところが、プロキシ環境ではインターネット向けの全ての通信は一旦プロキシサーバへ向かうため、SD-WANデバイスでローカルブレイクアウトを機能させても通信は必ずプロキシサーバに向かってしまいます。
この課題を解決する方法としては、クライアントPCに配布しているPAC(Proxy Auto-Config、プロキシ自動設定)ファイルを編集し、ローカルブレイクアウト対象通信をプロキシ宛から除外する必要があります。しかしこれは、ネットワーク管理者にとっては手間のかかる運用です。
そこで、既存のプロキシ環境に変更を加えることなくローカルブレイクアウトを実現する機能を実装したSD-WAN製品が増えてきています。
次回以降のコラムではプロキシ環境に対応したローカルブレイクアウト機能など、より詳細な動作の解説を行う予定です。
■プロキシ環境に対応したローカルブレイクアウト機能の動作例
リモートワーク時代のアプリケーション識別需要の増加
Covid-19の発生により日本企業の多くが半ば強制的にリモートワークへ舵を切ることになりました。それに伴いアプリケーション識別においてもMicrosoft365だけではなく、WebEx、Zoomといったリモートワークに必要な特定のアプリケーションを識別したいというニーズは増えてきています。識別するアプリケーションによっては多種多様のトラフィックが発生する点や、アプリケーション自体のアップグレードによって、識別漏れが発生することも稀にあります。このような場合、実際のトラフィック状況を確認しながら、必要に応じてアプリケーションの定義を追加したり、ドメイン識別等の別の識別方式を組み合わせることで、より精度の高いアプリケーション識別が可能となります。
2021年度以降SD-WANはどうなっていく?
これまで各拠点に設置・利用されていたクライアントPCは、リモートワークの普及によって出先や自宅で利用されるケースが今後さらに増えていくものと考えられます。アクセス先も社内サーバやインターネットだけではなく、パブリッククラウドやSaaSの利用がより増加していくはずです。このような接続をシームレスに実現するためにはフレキシブルかつセキュアな経路選択と、包括的なセキュリティが必要になってきます。これまでのような拠点のエッジデバイスを中心としたWAN制御やセキュリティ対策を行う従来の方式で対応できるのでしょうか?
そこで、これらを踏まえたSD-WANの将来予想につきましてはSASE(Secure Access Service Edge )というキーワードを交えつつ次回以降のコラムでお届けする予定です。