一元管理と仮想化/最適化
迅速な拠点展開という3つの特徴
近年、企業ユーザーがクラウドサービスを利用する頻度が増え、サーバーなどのリソースもデータセンターからクラウドへ移行するケースが増えている。
現状のネットワークは、拠点からクラウドなど外部へアクセスする際、一度データセンターで集約してからインターネットへアクセスする構成が一般的である。そのためクラウド宛ての通信の増加に伴い、帯域が不足して遅延が生じやすくなり、ユーザーの業務効率を悪化させる。またクラウド利用による通信先の増加に伴い、拠点のWAN接続の管理や通信制御が複雑化していることも課題として挙げられる。
この現状を解決する策として回線増速なども考えられるが、近年注目されているのが、WAN回線のネットワークを仮想化することで経路制御を柔軟に実行するSD-WANソリューションである。
本稿では、現状の課題がSD-WANによりどのように解決できるのかを説明し、併せてSD-WANを検討するうえで重要なセキュリティ対策についても紹介する。
現状の課題
現在多くの企業が一般的に採用しているネットワーク構成を図表1に示す。
この構成では、以下のような課題がある。
WAN回線の帯域不足による
ユーザーのクラウド利用品質の低下
これまで各拠点のユーザーがクラウドへアクセスする通信は、一度データセンターで集約してからインターネット回線へアクセスする構成で対応できていた。しかしクラウド宛ての通信が増加している状況では、データセンターの既存の回線帯域では対応できなくなっている。
多数拠点の運用・管理により
複雑性が増大
ネットワーク管理者の観点から見ると、現在は多数の拠点を管理する必要があり、ルータの通信情報の詳細を把握できず、ルーティングの設計や変更作業が複雑化している。
新規拠点展開で作業工数が増大
構成変更や新規拠点の展開により、作業人員の増大、およびルータ設定の準備作業やコストの増大を招いている。
SD-WANによる課題の解決
SD-WANでは、前述の課題を以下のように効果的に解決できる。
・任意の宛先やアプリケーションのみを拠点から直接インターネットへアクセスさせるなど柔軟な通信経路制御が可能であるため、ユーザーの通信品質が向上する。
・管理機器の一元管理とアプリケーションの可視化により、複数拠点のWANルータや回線の状況などを視覚的に把握でき、管理者の負担を軽減する。
・新規に拠点を追加する場合、事前に作成したルータの設定がダウンロードされ、作業者のネットワークスキルに依存せず迅速に拠点展開を行える。
上記について、SD-WANというソリューションがユーザーや管理者に対して、どのような課題解決をもたらすかを以下に紹介しよう。
SD-WANとは、Software Defined Wi de Area Networkの略称である。データセンター内のネットワークを仮想化する技術であるSDN(Software Defined Net work)と同様に、コントローラが配下のSD-WANルータを制御する。アーキテクチャもSDNと共通しており、主に以下の3つのプレーンから構成される(図表2)。
・設定変更や機器管理を行うマネジメントプレーン
・データプレーンを制御するコントロールプレーン
・設定に沿ってデータを転送するデータプレーン
・データプレーンを制御するコントロールプレーン
・設定に沿ってデータを転送するデータプレーン
従来は各ルータを個別に設定し、各ルータが独立して制御処理を実行していたが、SD-WANではコントローラが配下のルータを制御・管理し、系全体が1つのシステムとして稼働する。コントローラの提供形態はインターネット上のクラウド、またはオンプレミスが一般的である。
SD-WANは各ベンダー独自の仕組みで動作するので、SD-WANを構築する場合、コントローラとルータは同一ベンダーで構成する必要がある。
SD-WANにはさまざまな特徴があるが、以下に「一元管理」「仮想化/最適化」「迅速な拠点展開」の3つに絞って紹介する。
一元管理
前述したようにSD-WANではプレーンごとに機構を分割することで、コントローラがSD-WANネットワーク全体を制御し、マネジメントプレーンの位置付けにあるGUI画面から配下のルータを一元管理する。
コントローラが配下のルータから通信に関する情報を収集し、集約しているため、管理者はGUIからコントローラにアクセスすることで配下のルータ情報を一元的に確認できる。
また拠点ごとの回線状況(遅延、ジッタ、ロス率など)も確認でき、従来のSNMPなどの監視プロトコルから得ていた情報と比較しながら、より詳細な情報を把握できる。
ルータの設定を変更する場合も、コントローラにアクセスするコンソール画面から実行する。設定変更は各機器個別でも、あるいは複数台一括でも実行できる。
またコントローラは、ルーティング情報も一元管理できる。従来は、ルータ間でルーティングプロトコルを用いて経路情報を交換していた。これに対してSD-WANでは、コントローラが各拠点のルータから経路情報をまとめ、ルータに最適なパスの指示を送る。
さらに、その他のネットワーク機器と従来のルーティングプロトコルでも経路交換でき、その経路情報もコントローラが管理する。
仮想化/最適化
トンネルの確立と回線の抽象化
従来は物理回線上でIPアドレスやプロトコル単位の経路制御しかできなかったため、経路制御の設定を柔軟に変更することは難しかった。しかしSD-WANでは、ルータの物理回線上にトンネルを形成することで仮想ネットワークを構築し、経路制御の設定変更が柔軟に行える。
またトンネルにより回線が抽象化され、各サイトで使用している物理回線の種類が異なる場合でも、同様の制御を実行できる。ルータ間でトンネルを形成して通信することは現在のネットワーク構成でも一般的だが、それには作業者が各拠点ルータで個別に暗号化などの設定を行う必要があった。
これに対してSD-WANでは、構成するトポロジーに応じてコントローラがルータにトンネルを自動設定できる。
なおベンダーによっては、複数のトンネルがある場合、それらを束ねて1つの経路として仮想的に扱うこともできる。
回線品質に応じた経路制御
1台のルータから複数の経路がある場合、従来の通信経路の選択方法では、回線の利用状況に応じて動的に選択することは難しく、ポリシーベースルーティングで制御していた。
これに対してSD-WANでは、回線の品質状態を把握するのに加え、アプリケーション種別の識別も可能なので、重要度の高いアプリケーションを遅延の少ない回線にルーティングするなど柔軟に経路を選択できる (図表3)。
アプリケーション識別
SD-WANでは、HTTPSなどの同一ポート番号を使用するWebアプリケーションの種別を識別するエンジンが搭載されている。それにより、従来はIPアドレスやポート番号単位でしかできなかった通信制御がアプリケーションの種別に応じて実行できる。
たとえば、従来はTCP443番ポートという単位でしか認識できなかったHTTPS通信は、SD-WANではOffice365への通信、YouTubeへの通信といった具合に識別できる。そのため、管理者は通信しているアプリケーションの種別ごとの通信量を把握でき、アプリケーションの種別で拠点から直接インターネットへ通信させる経路 (ローカルブレイクアウト)への変更、制御が容易になる。
ローカルブレイクアウトは任意のアプリケーションを拠点から直接インターネットへ通信させる構成であり、データセンターの回線やWAN回線の負荷軽減、ユーザーの通信遅延解消を実現する(図表4)。
回線品質の計測
音声通信、ウェブ会議などのクリティカルなアプリケーション通信には遅延が少なく品質のよい回線を選択する。それ以外の通信には別回線を動的に選択することで最適化を実現し、ユーザーの通信遅延を解消できる。
この回線の品質測定の仕様はベンダーごとに異なり、回線に測定用のパケットを送出する場合、あるいはデータ通信で使用するパケットに測定情報としてタイムスタンプやシーケンス番号を埋め込む場合がある。
これらの情報から回線の遅延やロス率などを定期的に測定し、その情報をもとに経路制御を行う。そのため今まで通信品質のよかった回線が遅延したり、ロス率が他の回線より悪化した場合に、使用回線を切り替えて通信することで、ユーザーの通信品質を維持できる。
さらにForward Error Correction(F EC)機能により、損失パケットを回復でき、パケットロスによる通信への影響を最小化する。
インターネット向け通信の最適化
ローカルブレイクアウトは拠点から直接インターネットへ通信することで、データセンターのインターネット回線の混雑緩和に寄与するが、さらに通信を最適化する実装も可能となる。
あるベンダーでの実装を一例として挙げてみよう。ここでは各拠点のルータが定期的にSaaSサーバーへhttpingを行う。その結果から、自拠点より他拠点を経由した経路での応答時間が優れている場合、自拠点から直接インターネットアクセスするのではなく、他拠点を経由してSaaSへアクセスさせることで、インターネット向け通信の品質を保つ(図表5の左)。
これ以外にも、インターネット上に構成されたゲートウェイ装置に各拠点ルータからトンネルを確立し、インターネット向け通信はすべてそのトンネルを通ることで、FEC機能などのメリットを享受しながら通信を効率化するベンダーの例も挙げられる(図表5の右)。
迅速な拠点展開
新規拠点を展開する際、従来は回線やルータの設定を準備し、現地の作業手配を行う必要があり、これらに時間を要していた。SD-WANにはZero Touch Provisioning(ZTP)という機能があり、これにより新規拠点展開が完了するまでの時間を短縮できる。
従来はCLIでルータごとにログインし、個別に設定していた。これに対してSD-WANではベンダーごとの手順に沿って設定を作成し、あらかじめルータに適用する設定情報をコントローラ上で指定し、ルータを起動して正しくケーブル配線をすることでルータが設定をダウンロードし、初期設定が完了する。
そのためネットワークスキルが十分でない担当者でも初期作業が可能で、ネットワーク要員を十分に手配できない場合でも容易に、かつタイムリーに拠点展開が行えるようになる。
ZTPを使用するための条件としては、コントローラと通信を行うためのインターネット回線が必要である。その際、インターネット回線種別への考慮が必要となる。
たとえばPPPoEなどの回線では通常、IDとパスワードを入力しなければインターネットに接続できない。そのため、最低限この情報をルータに手動で設定しておく必要がある。ベンダーによっては、実装仕様によりこの作業を回避できる製品もある。
ZTPを使用してルータがコントローラから設定をダウンロードする手順は、ベンダーごとに異なる。たとえばルータにあらかじめプリセットされたZTPサーバーに接続し、ZTPサーバーはシリアル番号から所有者を識別し、所有者が管理するコントローラへリダイレクトする(図表6の左)。
また別のベンダーでは、コントローラの接続情報やインターネットに接続するための最低限の情報を含むURLが記載されたメールを作業者に送り、作業者がルータのWi-Fi機能に接続後、そのメールのURLにアクセスすることで、コントローラへ接続する (図表6の右)。
以上がSD-WANの主要な特徴、機能である。それぞれの機能を用いれば、現状のネットワークの課題を以下のように解決できる
・単一の管理画面からSD-WAN全体の機器設定や状況把握が可能になるため、管理者の運用を簡素化できる。
・トンネル経路の制御とローカルブレイクアウト、アプリケーションの可視化を組み合わせてWAN回線の有効活用や通信経路の最適化を実現し、ユーザーのクラウド通信品質を保つ。
・ 新規拠点展開では、ZTP機能により現地作業の簡略化や時間短縮を実現し、ビジネススピードに影響が出ないよう展開できる。
SD-WANのセキュリティ案
最後にSD-WANで必ず検討事項として挙げられるセキュリティについて補足する。
従来は外部(インターネット)から内部(社内ネットワーク)への不正侵入や、内部から外部の不正サイトへのアクセス制御は、データセンターのファイアウォールやIPS/IDSで対策していた。
しかしローカルブレイクアウト通信ではデータセンターのセキュリティ機器を通過しないので、別の対策を講じる必要がある。たとえば各拠点でセキュリティ機器を導入する方法などが考えられるが、コスト面で現実的ではない。
そこで外部から内部向け通信の対策としては、ルータが搭載しているアクセスリストなどの基本的なファイアウォール機能を使用することが挙げられる。
また内部から外部向け通信の対策としては、不正通信を確認するクラウドサービスの利用が考えられる。通信をクラウド上のセキュリティサービス経由とすることで、不正通信の検査、フィルタリングを実行するサービスが利用できる。
さらに端末がインターネットにアクセスする際、DNSサーバーとして機能するクラウドセキュリティサービスを利用し、悪意あるサイトへの接続要求時は名前解決をブロックするといった形でのアクセス制御も考えられる。
以上本稿ではSD-WANの機能と特徴を紹介し、それを用いて現状のネットワークが抱える課題がどのように解決できるかを紹介した。
SD-WANは、ベンダーごとに使用できる機能や強みが異なる。そのためベンダー製品の選定に際しては、解決したい課題が何かを明確にしたうえで、それを解決する機能、強みを備えるSD-WAN製品は何かという観点で検討するのがよいだろう。
著者|
佐野 悠輝
日本アイ・ビー・エム システムズ・エンジニアリング株式会社
ネットワーク
ネットワークスペシャリスト
ネットワーク
ネットワークスペシャリスト
2014年、日本アイ・ビー・エム システムズ・エンジニアリングに入社。以来、ネットワークを中心とした技術支援に携わり、金融業界のネットワーク構築プロジェクトへの参画、ワイヤレス関連の技術支援活動を行っている
[IS magazine No.26(2020年1月)掲載]
