【次世代ネットワーク】SDWANとは。

ネットワーク
Illustration of social media concept

はじめに

今回は次世代ネットワークとして期待されているSDWANの紹介です。
海外では導入が進んでいますが、日本ではまだまだこれからの技術なので気になる方も多いんじゃないでしょうか。

正直私はまだまだ若造なのでレガシーのネットワークには詳しいとは言えませんが、SDWANの技術はこれまでのネットワークと比較してもかなりすごいです。。。
今後普及することは間違いないでしょう。

では始まり始まり~。

SDWANってなに。

SDWANはSoftware Difined Wide Area Networkの略です。この記事を読んでいる人は「SDNなら聞いたことがある!」って人が多いんじゃないでしょうか。
そのSDNをWANに拡張したのがSDWANです!だから正確にはSDNってSDLANって言うべきなんですかね。

それではSDWANについてみていきましょう。SDWANはいくつかの企業によって提案されていますが、ここでは主にSDWANのパイオニア的存在であるviptelaのSDWANをもとに紹介していきます。

 

viptelaは2012年に設立された会社で、SDWANのパイオニアとして注目されていました。その後2017年にCisco systems社によって買収され、現在はCisco社の製品の一つとしてSDWANが売り出されています。
基本的にCisco社の製品はCisco IOSというOSが使用されていますが、viptelaの製品は昔のなごりを受けてviptela OSが使用されています。最近はISR 4000などIOSを使用したSDWANの製品も発売されています。

SDWANの特徴は以下の5つです。

  1. ネットワークの集中管理
  2. WAN回線利用の最適化、アプリケーションの可視化
  3. インターネットブレークアウト
  4. WANのセグメンテーション
  5. ゼロタッチプロビジョニング

これらはすべてレガシーのネットワークでは実現が難しかったものばかりですが、SDWANを利用するといとも簡単に実現が可能となります。

1、2を実現することで企業のネットワーク管理者はかなり業務を楽に、そして質を高めることができるし、3を実現することで社内ネットワークとインターネットの接続点の負荷を抑えユーザは通信の遅延を感じることが少なくなります。
また4を実現することで来客用のWi-Fiの導入や協力会社のアクセス制御などが実現でき、5を実現することで新規拠点のネットワーク構築を簡素化します。

つまり、SDWANを導入するとネットワーク管理者は業務の質が向上し、ユーザは遅延などの支障をきたさずに業務が可能となり、さらには導入企業はネットワーク維持にかかるコストを低減させることが可能となります。

ふむ、最強ですね。といっても言葉の羅列では正直イメージつかないですよね。
以下では具体的な技術について説明していきます。

詳しく

レガシーのネットワークとSDWANの違い

まずはレガシーのネットワークについて見ていきましょう。一般的に複数の拠点を持つ日本の企業のネットワークは以下の図のようになっています。

各地にオフィスがある場合、オフィス間の通信はセキュリティに気をつけなければいけません。またファイルサーバや内部向けウェブサーバなど、企業内でのみ閲覧されるべきリソースが存在するため、一般的にはインターネットを利用せずに、費用は高くなりますが閉域網を利用します。

閉域網は回線キャリアが提供するサービスで、インターネットには晒さずに拠点間でセキュアな通信を可能とします。今回はあの有名なKDDIとNTTを例としました。世界中誰でもアクセス可能で危険なインターネットは企業のネットワークとしてはあまり利用されないんですね~。

さらに大きな会社では閉域網は1つだけではその閉域網が通信障害を起こした際にすべての拠点で通信断が発生するので、可用性向上のため2つ以上の閉域網を利用します。けどだいたいの企業は2つの閉域網をActive/Standbyで利用するため、高いお金を払っているのに片方は使っていない、なんてことが多いんですね。

企業内のネットワークでは閉域網を利用していますが、社員がインターネットで色々検索することがあるため、もちろんインターネットにも接続していなければなりません。そこで企業ネットワークに1箇所または2箇所に穴あけを行って、そこからのみインターネットへの接続が可能、という風にしています。先程で言えばfirewallが設置されているところです。
企業のセキュリティ管理者にとってはここさえセキュリティを厳しくすれば良いので管理が楽なんですね~。企業内ネットワークのイメージは膨らませた風船です。風船の中の空気は外気には触れませんが、膨らまし口からは出入りすることができます。

しかしこのインターネットとの接点を制限していることで起こる弊害があります。それは帯域の圧迫です。例えば社員全員がyoutubeを見ていたとしましょう。凄い会社ですね。動画の通信量はかなり大きいため、インターネット出口の負荷は凄まじいことになってしまいます。

 

と、レガシーのネットワークの問題点を上げましたが、これらを解決するのがSDWANです。
それではSDWANの構成例を見てみましょう。

レガシーのネットワークでは2つ利用していた閉域網でしたが、SDWANでは片方はインターネットに直接つながっています。インターネットは閉域網よりも安いため、コストの削減に繋がります。

それではセキュリティ的にだいじょぶ??と思うかもしれません。確かに閉域網を利用するほど安全には通信はできないかもしれませんが、ほぼ同等なセキュリティレベルで通信を行うことができる仕組みが実装されています。それは主に以下の2つです。

  1. 拠点間はIPsecで暗号化されて通信が行われている。
  2. SDWANのルータがfirewallの機能も備えている。

この2つの機能により、企業のネットワークでも私達が普段利用するインターネットと同じものを利用しているのに安全に通信を行うことができるようになります。SDWANでは、私達が普段利用するインターネットの通信をアンダーレイの通信、vEdge間で行われているIPsecにより暗号化された通信をオーバーレイの通信と呼びます。

少しイメージが難しいかもしれませんが、インターネットというアンダーレイの土台を利用して仮想的にオーバーレイという閉域網を作っているというイメージです。アンダーレイとオーバーレイは交わることはないため、危険だらけのインターネットの中に安全なWANを構築しているわけです。
最近は何でも仮想化しますからね。。。しかしかなり画期的な技術ではあります。これまで閉域網を提供してきた回線キャリアもびっくりでしょうね(笑)

さらに直接インターネットに接続しているからこそ、インターネットブレークアウトが可能となり、firewall周りの負荷を低減させることが可能となります。まぁこの説明は後ほど。。

それではSDWANならではの特徴を以下で見ていきましょう。

SDWANの特徴

ネットワークの集中管理

まず冒頭でも説明した通り、SDWANはSoftware Difined Wide Area Networkです。ソフトウェアによって制御されるネットワークなわけです。つまりどういうことかというと、SDWANでは各地のオフィスの最もWANに近いルータはvManageと呼ばれるコントローラによって制御されます。制御される各オフィスのルータはvEdgeと呼びます。

それぞれのvEdgeはすべてvManageによって設定が決められ、常にvManageによって監視されています。つまり頻繁にvEdgeとvManage間で通信が行われるわけです。もちろんこの間の通信もオーバーレイでIPsecによって暗号化されています。

コントローラに一括管理されているのが何が良いのって話なんですが、これがまた便利なんですよ。全国各地のコントローラをvManageのGUI画面上で確認ができ、レガシーのネットワークでは実装が難しかったこともボタンをポチポチするだけで実施が可能になったりするわけです。
具体的には以下で説明する、「アプリケーションの可視化」や「インターネットブレークアウト」、「WANのセグメンテーション」などが該当します。

WAN回線利用の最適化、アプリケーションの可視化

SDWANでは閉域網の他に有線のインターネットやLTE回線などが利用されます。レガシーネットワークではそれぞれの回線をActive/Standbyで利用することがほとんどですが、SDWANではすべての回線をActiveで利用することが可能です。つまりせっかく契約している回線を無駄なく利用することが可能となります。

またvManageが常にアプリケーション毎の通信を監視しているため、アプリケーションの種類や回線の逼迫状況などによって優先パスを指定することが可能となります。
おかげさまでビデオ会議の通信は遅延が少ない回線を利用することで、映像や音声の遅延が全くなくなった、なんてことも実現可能となります。どの回線を利用するかとかってレガシーのネットワークでは選べませんからね。。QoSをパワーアップさせることができるわけです。

それではいったいどうやってそれぞれの通信が何のアプリケーションを特定しているのでしょうか。実はそこにはDPIという技術が使用されています。詳しくは以下のインターネットブレークアウトで説明します。

インターネットブレークアウト

上でもちらっと書いた画期的な技術です。別名、ローカルブレークアウトとも言います。
レガシーネットワークの問題点の一つがインターネットとの接続点の負荷です。これは企業ネットワークからインターネットへの出口が少ないことが問題でした。
インターネットブレークアウトを利用すると、指定した通信を各拠点から直接インターネットにアクセスすることが可能となります。
通信を図示すると以下のようになります。

見ての通り、各拠点からアンダーレイで通信が行われています。アンダーレイは通常のインターネットと同じのため、企業内ネットワークから直接インターネットに抜けられるわけです。このおかげでfirewall周りの負荷は抑えられ、さらに迂回ルートがなくなるため少しだけ通信は速くなります。

それならすべての通信をインターネットブレークアウトさせれば良いのでは、と思うかもしれませんが、それはよろしくないです。
先程、拠点ルータであるvEdgeがfirewallの役割も兼ねているため、セキュリティが担保されていると言いました。とはいえ、これまでインターネットとの接続点としていたfirewall周りのセキュリティと比べるとセキュリティレベルはかなり低くなります。そのため、ある程度信頼できる会社のサービスならまだしも、一般人が立てたよくわからないサーバにインターネットブレークアウトでアクセスするのは危険すぎます。
他にもレガシーでいうインターネットとの接続点では通信パケットの可視化や分析などを行っている場合が多いため、企業のネットワーク管理者側からしてもすべての通信をインターネットブレークアウトさせると弊害はあるんですね。
一般的には自社の外部サーバ、o365、salesforceなどをインターネットブレークアウトの対象として実装することが多いです。

インターネットブレークアウトではセキュリティ面で心配があると言いましたが、それを改善させるソリューションは存在しています。それは流行りのクラウドセキュリティです!
クラウドセキュリティはその名の通り、セキュリティをクラウドで担保させるというものです。例えばCiscoのクラウドセキュリティ、SDWANにプラスでCisco Umbrellaを実装すると以下の通りになります。

インターネットブレークアウトさせた通信はまずクラウドセキュリティのゲートウェイに向かわせるんですね。それでそこで通信を監視することで問題があれば遮断したりするわけです。
大体わかったかもしれませんが、SDWANとクラウドセキュリティってめちゃくちゃ相性がいいんです。基本的にクラウドなので最新のセキュリティへのアップデートなどもサービス提供側が行ってくれるため、社内のセキュリティ管理者の運用負荷を低減させることもできます。
Cisco以外にもSymantecやMcAfeeなどの有名なセキュリティ会社などもサービスを提供しています。それぞれの比較はここでは省略しますが、どれを選択してもSDWANにおけるセキュリティが向上することは間違いないでしょう。

それでは話を戻しましょう!さてそれではどうやってたくさんある通信の中からインターネットブレークアウト対象の通信を選び抜いているのでしょうか。

1つは宛先IPアドレスによる選定です。vEdgeはルータなのでもともとIPアドレスを見て通信先を決定していました。インターネットブレークアウトの場合は、同様に対象のIPアドレスを持つ通信をインターネットに出るようにルーティングしていると考えればわかりやすいでしょう。

そしてもう1つはDPI(Deep Packet Inspection)による通信の選別です。どんな技術かは名前から少し想像がつくかもしれません。これまでは通信を識別する際にIPアドレスやポート番号などしか見てきませんでしたが、DPIは通信をレイヤ5以上のデータも見て通信を判別します。
その際に用いられるのがシグネチャです。シグネチャはパターンマッチを利用してどんな通信かを識別します。IPアドレスなどの単一の情報には頼らずに、実際のデータを見ながらdeep learningなどにより俯瞰的に通信を決定するって感じですね。
もともとはアンチウイルスソフトなどセキュリティ分野で利用されてきた技術ですが、viptelaではアプリケーションの可視化やインターネットブレークアウトなどで利用されています。

宛先IPアドレスを用いてインターネットブレークアウトすることが難しい場合もあります。それは宛先IPアドレスがころころ変わっちゃう場合です。viptelaはドメイン名でインターネットブレークアウトさせることができない(←多分)ので、ドメイン名に紐付いたIPアドレスがころころ変わる場合はDPIを利用することがソリューションとなります。

それならインターネットブレークアウトを実装する際は、DPIを利用したほうが精度が高いし、新しくてかっこいい技術だし、宛先IPアドレスなんて見ずにすべてDPIを利用すればいいのではと思うかもしれません。しかしDPIによるインターネットブレークアウトが難しいケースも存在しています。DPIはシグネチャによる選別なので、インターネットブレークアウトはviptelaが指定したサービスのみ可能となっています。(まぁ大抵のサービスは可能なんですが、、)
さらにDPIは凄いことしているだけにやっぱり負荷が高いんですね。だからもし宛先IPアドレスが固定で分かっているならそちらを利用するのがよいと思います。

WANのセグメンテーション

ネットワーク要件としてこことここは通信可能だが、こことここは通信できないようにしてほしい、この通信を行う際は必ずここを通るようにしてほしい、などがよく出てきます。これを簡単に解決できる(かもしれない)のが、WANのセグメンテーションです。

例えば協力会社と一緒に業務を行う場合を考えましょう。もちろんですが、協力会社が自分たちのリソースにすべてアクセスできる状態にしちゃったら、情報をすべて盗まれてしまいます。viptelaではアクセスできるリソースの制限をWANで行うことが可能となります。

本来なら拠点同士でも通信が可能だけど、協力会社はデータセンターとしか通信ができない、などを行うことで、データセンター側を整備すれば協力会社からの通信はすべて制御できるってわけです。

他にはゲストWi-FiなどでWANのセグメンテーションは利用されています。ゲストWi-Fiとはその名の通り、お客様が来た時にお客様に利用していただくためのWi-Fiです。コスト削減のためにも普通は社員が利用している回線と同じものを利用しますが、ゲストWi-Fiから会社のリソースへアクセスできてしまっては問題です。そこでゲストWi-Fiのネットワークは他のどの拠点とも通信ができない、No connectionというトポロジーが利用されています。

ゼロタッチプロビジョニング

これはネットワークの構築を行うときに役立つ仕組みです。例えば沖縄に新しくオフィスを構えるケースを考えてみましょう。ゼロタッチプロビジョニングを利用して沖縄拠点にvEdgeを設置する際の流れは以下の通りとなります。

  1. 購入したvEdgeを沖縄に輸送する。
  2. 現地の社員がvEdgeを回線に接続させる。
  3. vEdgeがまずztp.viptela.comにアクセスする。
  4. cisco側でvEdgeの情報を見て、そのvEdgeを購入した企業のvBond情報を教える。
  5. vEdgeが指定されたvBondへアクセスする。
  6. vBondはvEdgeの情報を見て、vManageやvSmartへのアクセス権を付与してくれる。
  7. あとはリモートでもvManageからvEdgeの設定が可能となる。

これの何が凄いかというと、ネットワーク管理者がわざわざ沖縄に行かなくてもネットワークを構築できてしまうことです。まぁ沖縄なら行きたいと思う人の方が多いかと思われますが!!!
つまりゼロタッチでプロビジョニングが可能なわけです。レガシーのネットワークの構築を行ってきた人にとってこれがいかにありがたい仕組みかはわかると思います。

ついでにvBondという新しいワードがでてきましたが、vBondは今回のようにvEdgeの最初の認証先の役割を担っています。また話題には出していませんが、経路情報やIPsecで用いる暗号鍵の管理を行っているvSmartという機器もあります。

おわりに

いかがでしょうか。次世代ネットワークの素晴らしさは感じましたでしょうか。たぶん実際に触ってみたらさらに凄さ、便利さ、管理のしやすさなどを体感できると思います。

近年ではviptela以外にもSDWANサービスを提供している企業は多くなっているので、予算に余裕がある年に(ついでにクラウドセキュリティも)導入を検討してみてください!!!

コメント

タイトルとURLをコピーしました