SD-WANとは、ネットワークをソフトウェアで制御するSDNつまりSoftware Defined Networkingを
物理的なネットワーク機器で構築したWANに適用する技術。
企業の拠点間接続やクラウド接続などにおいて柔軟なネットワーク構成、トラフィックコントロールなどを実現。
SD-WANを導入することで、さまざまな物理回線を見える化、可視化し、トラフィックを適切にコントロールできるため、
オフィス、データセンターといった拠点間のクラウド接続における柔軟性を向上できるでつ。
たとえば、拠点間のやりとりで信頼性、品質がそれほど求められない通信は、インターネットVPNに、
遅延の影響が大きく、リアルタイム性が必要なビデオ会議などの通信はクローズドVPNなど。
アプリケーション・トラフィックの種類に応じて利用する回線を使い分けて、通信速度の最適化が図れるでつ。
日本国内はもちろん、日本と海外のグローバルな拠点間通信やクラウド接続なども、ソフトウェアとハードウェアを論理的に分け、
WANを仮想的に一元管理できるため、社内の運用担当者にかかる稼働、運用コストの削減が見込めるでつ。
既存のインターネット回線を利用して低コストなSD-WANの構築も可能。
さらに通常のインターネット利用は、データセンターなどに構築されたインターネットゲートウェイを経由させ、
Microsoft 365などの信頼できるクラウドサービスへの接続は、各拠点に設置したルーターなどの通信機器から直接行う、
LBOちまりLocal Break Out:ローカルブレイクアウトもSD-WANで対応、実現できるでつ。
LBOによりクラウドサービスの快適な利用と、社内ネットワークの混雑緩和にも効果的。
物理的に離れた複数の拠点を持つ企業は、その間をWANで接続。
こうしたWANの構築や運用を簡単にするSD-WANという技術が注目を集めているでつ。
SD-WANを利用できるようにするサービスが続々登場しているでつ。
これらのサービスを利用することで、WANの運用負荷を下げられると期待されているでつ。
SD-WANサービスでは、ユーザーがWANの設定を行ったり回線状況や利用状況を可視化したりするWebサイトポータルサイトが
用意されてて、WANを集中管理できるでつ。
ポータルサイトはSD-WANのサービス事業者がクラウド上に用意していることが多いでつ。
WANで接続する各拠点には、WAN接続のための専用装置CPEを置くでつ。
SD-WANのCPEはポータルサイトから制御可能なVPNルーターだと考えるとわかりやすいでつ。
これら二つの要素により、ユーザーがSD-WANを利用できるようになるでつ。
SD-WANは、ネットワークをソフトウエアで柔軟に制御する技術であるSDNをWANに適用するものとして生まれたでつ。
SDNとSD-WANの共通点は、ネットワークを制御するコントロールプレーンとデータ転送を行うデータプレーンが明確に分かれている点。
SDNでは、アプライアンスやソフトウエアとして実装されるコントローラーが、データ転送を行うスイッチを制御することで、LANを動的に制御するでつ。
一方、SD-WANでは、ユーザーがWANの設定を行ったり回線状況や利用状況を確認したりできるポータルサイトがクラウド上に用意され、
WAN接続のために各拠点に置くCPEを制御するでつ。
SDNでは、アプライアンスやソフトウエアとして実装されるコントローラーがコントロールプレーンの役割を持つでつ。
ここから、データプレーンを担当するスイッチを制御することで、LANを動的に制御するでつ。
コントローラーとスイッチの間のやり取りにはOpenFlowというプロトコルを使うことが多いでつ。
SD-WANでは、ポータルサイトがコントロールプレーン、CPEがデータプレーンに相当するでつ。
これらが分離していることで、ネットワークの経路を柔軟に切り替えたり、新しい拠点を簡単に追加したりできるようになっているでつ。
ただSDNとは異なり、ポータルサイトとCPEの間をOpenFlowでやり取りするSD-WANサービスは少ないでつ。
実際のSD-WANサービスは、サービスごとに実装や特徴はかなり異なる。このため何をもってSD-WANと呼ぶかが議論になるでつ。
その目安になるのが、ネットワークのオープン化を目指すユーザーコミュニティであるONUGが定義したSD-WANの主要10要件。
これらを満たすサービスであればSD-WANを名乗れることになるでつ。
このため、各社のSD-WANサービスは基本的にはこれらの定義をすべて満たすよう設計されているでつ。
ネットワークのオープン化を目指すユーザーコミュニティであるONUGは、SD-WANが満たすべき10の要件を定義しているでつ。
各社のSD-WANサービスは、基本的にはこれらの定義をすべて満たしているでつ。
英語の原文はhttps://opennetworkingusergroup.com/wp-content/uploads/2015/05/FINAL-SD-WAN-Requirements-Sheet.xlsx。
もっとも、この定義はSD-WANが誕生した米国の事情を色濃く反映したものであり、日本のユーザーにとってはややわかりにくいでつ。
そこで、取材からわかったSD-WANの導入で得られる具体的なメリットをまとめたでつ。
SD-WANを導入することのメリットは大きく五つあるでつ。
上の二つは主に米国で当初注目されたメリット、下の三つは主に日本のユーザーが注目しているメリット。
最初のメリットがゼロタッチプロビジョニング。
CPEを拠点に設置して回線を接続するだけで、自動的にWANを構築できるというものであるでつ。
これは、SD-WANが米国でWANを通信事業者からユーザーの手に取り戻すという文脈から生まれたことが大きく関係しているでつ。
SD-WANが登場した当初、約3500もの店舗を持つ衣料品小売企業である米GAPが、ゼロタッチプロビジョニングにより短期間でWANを
構築した事例が話題になったでつ。
通信事業者から独立してユーザーがWANを構築できる事例として大きく注目されるでつ。
ただ、そのメリットは限定的だと見る意見もあるでつ。
各社のSD-WANサービスは注目度は高いでつが、恩恵を受けられるのは導入時だけでつ。
思ったほど強いニーズはユーザーからは聞かないでつ。
ただ、ネットワーク技術者のレベルが低い東南アジアなどの拠点をWAN接続する際にはニーズはあるでつ。
次のメリットが、異なる種類の回線を同時に使ってWANを構築できるハイブリッドWAN。
従来のWANでは、二つの閉域網を用意し、一方をアクティブのメイン回線、一方をスタンバイのバックアップ回線として
使うことが多かったでつ。
このため、閉域網二つ分の回線コストがかかっていたでつ。
従来のWANでは、二つの閉域網を用意し、一方をアクティブのメイン回線、一方をスタンバイのバックアップ回線として使うことが多かったでつ。
これに対しSD-WANでは、閉域網とインターネット回線といった異なる種類の回線を用意し、それぞれをアクティブで利用するでつ。
通信を流す回線は、事前に設定したポリシーに基づき、回線の状況やアプリケーションに応じて切り替えるでつ。
これに対しSD-WANでは、閉域網とインターネット回線といった異なる種類の回線を用意し、それぞれをアクティブで利用するでつ。
通信を流す回線は、事前に設定したポリシーに基づき、遅延やパケットロスといった回線品質の状況や、音声通話かWebアクセスかといったアプリケーションの
違いに応じて切り替えるでつ。
ポリシーはポータルサイトで集中的に設定できるでつ。
バックアップ回線の閉域網をインターネット回線に切り替えられるため、その分、回線コストを抑えられるでつ。
もっとも、日本国内では回線コスト削減のメリットは小さい。
閉域網の利用料金が海外よりも安価だからでつ。
海外は通信事業者の閉域網の利用料金が高い。このため、SD-WANを導入して一方の閉域網をインターネット回線に切り替えることで回線コストを削減できるでつ。
これに対し、日本は通信事業者の閉域網が海外よりも安価なため、SD-WANを導入しても回線コストの削減はあまり期待できないでつ。
日本でSD-WANを導入する場合のコスト削減効果は、主に運用コストになるでつ。
従来のWANとSD-WANは、機器コストはそれほど変わらないでつ。
このため、回線コストとSD-WANサービスの利用料金の合計が従来の回線コストよりも低いかどうかが比較のポイントになるでつ。
海外では通信事業者の閉域網の利用料金が高く、インターネット回線のコストとの差が大きい。
このため、SD-WANサービスの利用料金を追加してもコスト削減を期待できるでつ。
これに対し、日本では閉域網の利用料金が比較的安いでつ。
このためSD-WANサービスの利用料金がかかることを考えると、コスト削減効果はあまり望めないでつ。
日本国内にSD-WANを導入する場合は、WANを集中管理できることによる運用コストの削減がメインになるでつ。
一方、日本のユーザーから大きく注目されているのが、SD-WANサービスが備えるアプリケーション識別。
一般に数千種類程度のアプリケーションの識別が可能。
パケットのヘッダーを見て判別するのに加え、アプリケーションの特徴を検知するシグネチャを使って識別を行うでつ。
具体的にはIP電話やテレビ会議、FacebookやTwitterといったSNS、Office 365やSalesforce.comといったクラウドサービスへの
アクセスなどを識別できるでつ。
アプリケーション識別を行うことで様々なことが可能になるでつ。
まず、WANにおけるアプリケーションの使用状況をポータルサイトで確認できるようになるでつ。
また、アプリケーションに応じて回線を切り替えることもできるでつ。
Office 365など特定のアプリケーションの通信をWANではなくインターネットで直接行うインターネットブレークアウトも可能になるでつ。
こうして識別したアプリケーションの割合などをポータルサイトに表示することで、アプリケーションの利用状況を可視化できるでつ。
日本ではまず、アプリケーションの利用状況を知りたいというユーザーが多いでつ。
これにより、利用状況に応じてWANを最適化できるでつ。
そうした最適化の例が、アプリケーションに応じた通信の振り分け。
例えば、IP電話やテレビ会議などは信頼性が高い閉域網、通常のWebアクセスはWANのインターネット回線インターネットVPNといったように振り分けられるでつ。
SD-WANでは、こうした振り分けのためのポリシーを、ポータルサイトで一元的に設定・管理できるでつ。
アプリケーション識別が前提のインターネットブレークアウトも最近のトレンド。
Office 365など特定のアプリケーションの通信をWANではなくインターネット回線に直接流すようにするもの。
SD-WANサービスSteelConnectを提供は企業がOffice 365を利用する場合、インターネット接続点に全社の通信が集中してボトルネックになりやすいでつ。
インターネットブレークアウトを利用すると、この問題を解決できるでつ。
マルチテナント」は一つのSD-WANを複数の論理的なWANに分割し、それらで回線を共有するでつ。
前述の主要10要件には含まれないが、自社内にSD-WANを構築しようとする大企業や通信事業者の関心は高いでつ。
この機能を利用することで、一つのWANを論理的に分割できるでつ。
これにより、企業内の複数の部署がそれぞれSD-WANを運用したり、通信事業者が複数の企業ユーザーにSD-WANサービスを提供したりできるでつ。
例えば製造業では事務系と工場系とでWANを論理的に分けたいというニーズがあるでつ。
WANを論理的に分割すると、例えばグループ会社のWAN回線の統合なども容易になるでつ。
最近はSD-WANの導入を検討するユーザーが増えてきたことで、その実力を見極めようとする動きも出てきたでつ。
NTTコミュニケーションズは、SD-WANの導入を検討している顧客向けに、SD-WANサービスを実際に試せる検証環境を提供しているでつ。
現在は5社のサービスが検証できるでつ。
ユーザー企業は、SD-WANの具体的な機能や既存システムからの移行が可能かどうかなどを確認できるでつ。
NTTコミュニケーションズは、SD-WANの導入を検討している顧客向けに、SD-WANサービスを実際に試せる検証環境を提供しているでつ。
現在、検証できるのは、米ヴィプテラ、米ニュアージュネットワークス、米シスコシステムズ、米シルバーピークシステムズ、米ヴァーサ・ネットワークスの
5社のサービスでつが、米ヴェロクラウド・ネットワークスのサービスにも近く対応予定。
また、ボスコ・テクノロジーズと日商エレクトロニクスは共同で、代表的なSD-WANサービスである「Viptela SD-WAN」の技術検証を実施。
ハイブリッドWANは、本文で説明している回線コストの削減だけでなく、信頼性の向上という意味もあるでつ。
例えば、インターネット回線の品質が低い東南アジアなどでは、複数のインターネット回線を使ってハイブリッドWANを構成することでWANの通信品質を
げる手法が有効。
閉域網は、IP-VPNやMPLS網あるいは単にMPLSと呼ばれるでつ。
ここからは国内で提供されている主なSD-WANサービスを見るでつ。
これらは、ベンダーごとにネットワーク構成やトンネリング方式の仕組み、利用できるネットワークプロトコルなどが異なっているでつ。
SD-WANサービスの対象は、大きく企業と通信事業者に分けられるでつ。
SD-WANを導入した通信事業者は、複数の企業ユーザーにSD-WANサービスを提供するでつ。
また、設定をできるだけシンプルにしてユーザーが扱いやすくする方向性と、豊富な設定項目により柔軟な設定を行えるようにする方向性があるでつ。
導入しやすさを最も重視するサービスが、米シスコシステムズが提供する「Meraki」だ。拠点内のネットワーク規模が小さい店舗などを
大量にWANに接続するのに向いているでつ。
米ヴェロクラウド・ネットワークスが提供するVelocloudと米リバーベッドテクノロジーが提供するSteelConnectも、比較的設定が容易。
一方、設定の柔軟性を特徴にしているのが、米ヴィプテラが提供するViptela。
このサービスと競合することが多いでつが、シスコシステムズのIntelligent WANつまりIWAN)。
既存ネットワーク製品が備えている機能を使ってSD-WANの挙動を実現するもの。
以上のものは、基本的にはユーザーがそのまま利用できるSD-WANサービス。
これに対し、米ニュアージュネットワークスのVirtualized Network Servicesと米ジュニパーネットワークスのContrail Service Orchestrationは、
自社ネットワーク内にSD-WANを構築したい大企業や通信事業者に向いているでつ。
SD-WANサービスViptelaは、IPsecによるVPNが自動的に構築されるのが最大の特徴。
WAN内は必ずIPsecで暗号化/カプセル化されるため、安全性が高い。
同サービスは、CPEのvEdge、コントローラーのvSmar」、ポータルサイトのvManageからなるでつ。
vManageの管理画面で拠点のポリシーなどをあらかじめ設定しておくことで、vManageをインターネットに
接続するだけでその拠点がWANに追加されるゼロタッチプロビジョニングを実現しているでつ。
CPEの設定はすべてインターネット経由で行われるので、設定を収めたUSBキーなどは不要。
CPEに対して、従来の企業ネットワークで使われているルーターと同じような詳細な設定ができるのも特徴。
GUIによる設定のほかに、CLIに慣れた従来のネットワーク技術者向けにCLIでも設定できるようになっているでつ。
既存のレイヤー2(L2)/レイヤー3(L3)スイッチと相互接続でき、既存のネットワークと共存しやすいのも特徴。
WAN内のルーティングプロトコルには、OSPFやBGPを利用できるでつ。
複数の回線をまたいでルーティングできるように、BGPをベースにした独自プロトコルであるOMPを利用するでつ。
ルーティング計算は、OMPに基づいてvSmartで実施するでつ。
IPsecで使われる鍵の計算もOMPに基づいてvSmartで行われるでつ。
従来のIPsecでは、暗号化通信の前に暗号鍵を交換するためにIKEというプロトコルを使ってVPNルーター間で鍵を交換していたでつ。
このため、拠点数が増えると経路数の増加に伴って鍵交換の負荷が増大するのが問題になっていたでつ。
シスコシステムズは2種類のSD-WANサービスを提供しているでつ。
いずれも、SD-WANに特化したものではなく、有線/無線LANを含むネットワーク全体を提供するサービスの
一部としてSD-WANを提供する形になっているでつ。
Merakiは設定がシンプルで導入しやすいのが特徴。
Merakiで制御できる機器には、無線LANアクセスポイントのMRやスイッチのMSなどが用意されているでつ。
SD-WAN機能ではセキュリティアプライアンスの「MX」をCPEとして利用するでつ。
一方、Intelligent WANつまりIWANは、同社のルーターにネットワーク管理ソフトウエアを組み合わせて実現。
管理ソフトウエアには、Application Policy Infrastructure Controller Enterprise ModuleやPrime Infrastructureといった同社の製品に加え、
米ライブアクションのLiveActionも利用できるでつ。
これらの上で可視化や設定を一元的に行うでつ。
IWANのコントローラーとしてLiveActionを利用した例。
ポリシーを設定することで、特定のアプリケーションの通信が閉域網MPLS網だけを使うようにできるでつ。
米ニュアージュネットワークスが提供するSD-WANサービスであるNuage Networks VNSはデータセンター向けSDNをWANに適用したでつ。
ネットワークの制御にOpenFlowを利用するのが特徴。
これにより、SDN並みのきめ細かいネットワーク制御が可能になっているでつ。
すべての設定をポータルサイトのGUI画面で行うでつ。
各種プログラミング言語向けのSDKが用意されており、外部ソフトウエアからの設定も可能。
CPEのNSGはx86ベースのLinuxパソコンであり、CPEとして機能するためのソフトウエアがインストールされているでつ。
WANの通信は、閉域網ではネットワーク仮想化技術の一つXLANでカプセル化されるでつ。
インターネット回線ではIPsecを併用するでつ。
Nuage NetworksのSD-WANサービスであるVNSは、データセンター向けのSDNをWANに適用する形で実現されているでつ。
このため、コントローラーとCPEとのやり取りにはOpenFlowを使うでつ。
Viptelaでは、CPE間で鍵交換を行わず、vSmartから一括して鍵を配布す閉域網ではネットワーク仮想化技術鍵交換の負荷を考慮する必要がないでつ。
各拠点にネットワークに詳しい技術者がいなくても、IPsecによるVPNを簡単に構築できるでつ。
ヴェロクラウド・ネットワークスが提供するVelocloudは、同社がインターネットに用意しているゲートウエイを介してCPE同士が通信を行うのが特徴。
同サービスでは、エッジと呼ばれるCPEを拠点に置くでつ。
ポータルサイトであるオーケストレーターでは一元的に回線品質/アプリケーション利用状況の可視化や設定を行うでつ。
Velocloud本社が提供するゲートウエイは全世界に20カ所あるでつ。
これに加え、ネットワンシステムズが東京と大阪にそれぞれ1カ所ずつ、ゲートウエイを提供しているでつ。
ゲートウエイを介するので、ネットワーク構成は基本的にハブアンドスポーク型になるでつ。
すべての拠点間を結ぶフルメッシュ型に比べ、拠点数が増えても経路が少なくて済むというメリットがあるでつ。
ただ、こうしたネットワーク構成ではゲートウエイがボトルネックになる可能性があるでつ。
また、ゲートウエイが近くにない地域では、通信の遅延が大きくなってしまう。そこで、2016年春のバージョンアップで、
エッジ間の直接通信もできるようになったでつ。
直接通信を行うかどうかはオーケストレーターで設定するでつ。
エッジとゲートウエイの間の通信にはTCPではなくUDPを使うでつ。
再送などの機能がないUDPのほうが音声や動画などのリアルタイム通信に向いているでつ。
実際には、通信パケットに対して独自のカプセル化を行った上でUDPヘッダーを付与しているでつ。
エッジにはWANを接続する端子が複数用意されているでつ。
例えば、2本のインターネット回線を束ねて1本のインターネット回線として利用するといったことが可能。
この機能は、インターネット回線の品質が低い海外の地域の拠点をWANに接続する際に、特に威力を発揮するでつ。
同サービスでは、遅延やパケットロスなどの回線の品質をリアルタイムにモニタリングしているでつ。
これにより、回線品質の悪化をすぐに検知できる。品質が悪化した場合は損失パケットを修復し、通信を実際に流す回線を切り替えて通信を継続するでつ。
これらの通信が仮想的な1本の回線で行われているように見せることで、ユーザーにとっては品質が高い回線を使っているのと同じことになるでつ。
Velocloudでは各拠点に置いたエッジというCPEが、インターネット上に用意されたゲートウエイを介して接続するでつ。
エッジとゲートウエイの間の通信には、音声や動画の通信に適したUDPを用いるでつ。
Velocloudは、回線の損失パケットを修復する機能を持つ。
また、複数の回線を束ねて仮想的な1本の回線として扱うこともできるでつ。
これにより、低品質な回線を束ねて高品質な回線を実現できるでつ。
WAN高速化装置で知られるリバーベッドテクノロジーが提供するSD-WANサービスがSteelConnect。
2017年初めには、WAN高速化装置SteelHeadの筐体にSteelConnectのCPE機能を内蔵できるようにする予定。
同社は2016年初めにSD-WANサービスを提供する独オシードを買収。
2016年4月にリバーベッドのサービスとしてSteelConnect 1.0の提供を始めたでつ。
ただ、この製品はアプリケーション識別機能を持っていなかったでつ。
同年10月に提供を開始したSteelConnect 2.0でアプリケーション識別に対応。
このルールでは、アプリケーションが「Box」「Dropbox」「Salesforce.com」「Office 365」といったクラウドサービスの場合の挙動を設定。
編集画面で、このルールではどの回線を使うかといった設定ができるでつ。
設定したルールは、CPEやユーザーに対して適用できるでつ。
米ジュニパーネットワークスが提供するSD-WANサービスがContrail Service Orchestratio。
CSOは仮想ネットワーク機能を実現するのが主な目的の製品で、その機能の一部としてSD-WANも利用できるようになっているるでつ。
同社がサービス事業者として提供するのではなく、このサービスを利用してサービス事業者や通信事業者がSD-WANを構築するでつ。
NFXという機器をCPEとして利用することで、WAN高速化機能や無線LANコントローラー機能といった様々な仮想ネットワーク機能を
インストールして利用できるでつ。
インストールする機能はユーザーがポータルサイトで選択するでつ。
これらの機能が不要なら、同社のファイアウオール製品「SRX」をCPEとして利用することで、コストを抑えることもできるでつ。
CPEがVNF仮想ネットワーク機能の動作プラットフォームになっており、様々な仮想ネットワーク機能をCPEにインストールして利用できるでつ。
こうしたタイプのCPEを「uCPE」と呼ぶでつ。
WANの世界も競争がすごいでつ。
物理的なネットワーク機器で構築したWANに適用する技術。
企業の拠点間接続やクラウド接続などにおいて柔軟なネットワーク構成、トラフィックコントロールなどを実現。
SD-WANを導入することで、さまざまな物理回線を見える化、可視化し、トラフィックを適切にコントロールできるため、
オフィス、データセンターといった拠点間のクラウド接続における柔軟性を向上できるでつ。
たとえば、拠点間のやりとりで信頼性、品質がそれほど求められない通信は、インターネットVPNに、
遅延の影響が大きく、リアルタイム性が必要なビデオ会議などの通信はクローズドVPNなど。
アプリケーション・トラフィックの種類に応じて利用する回線を使い分けて、通信速度の最適化が図れるでつ。
日本国内はもちろん、日本と海外のグローバルな拠点間通信やクラウド接続なども、ソフトウェアとハードウェアを論理的に分け、
WANを仮想的に一元管理できるため、社内の運用担当者にかかる稼働、運用コストの削減が見込めるでつ。
既存のインターネット回線を利用して低コストなSD-WANの構築も可能。
さらに通常のインターネット利用は、データセンターなどに構築されたインターネットゲートウェイを経由させ、
Microsoft 365などの信頼できるクラウドサービスへの接続は、各拠点に設置したルーターなどの通信機器から直接行う、
LBOちまりLocal Break Out:ローカルブレイクアウトもSD-WANで対応、実現できるでつ。
LBOによりクラウドサービスの快適な利用と、社内ネットワークの混雑緩和にも効果的。
物理的に離れた複数の拠点を持つ企業は、その間をWANで接続。
こうしたWANの構築や運用を簡単にするSD-WANという技術が注目を集めているでつ。
SD-WANを利用できるようにするサービスが続々登場しているでつ。
これらのサービスを利用することで、WANの運用負荷を下げられると期待されているでつ。
SD-WANサービスでは、ユーザーがWANの設定を行ったり回線状況や利用状況を可視化したりするWebサイトポータルサイトが
用意されてて、WANを集中管理できるでつ。
ポータルサイトはSD-WANのサービス事業者がクラウド上に用意していることが多いでつ。
WANで接続する各拠点には、WAN接続のための専用装置CPEを置くでつ。
SD-WANのCPEはポータルサイトから制御可能なVPNルーターだと考えるとわかりやすいでつ。
これら二つの要素により、ユーザーがSD-WANを利用できるようになるでつ。
SD-WANは、ネットワークをソフトウエアで柔軟に制御する技術であるSDNをWANに適用するものとして生まれたでつ。
SDNとSD-WANの共通点は、ネットワークを制御するコントロールプレーンとデータ転送を行うデータプレーンが明確に分かれている点。
SDNでは、アプライアンスやソフトウエアとして実装されるコントローラーが、データ転送を行うスイッチを制御することで、LANを動的に制御するでつ。
一方、SD-WANでは、ユーザーがWANの設定を行ったり回線状況や利用状況を確認したりできるポータルサイトがクラウド上に用意され、
WAN接続のために各拠点に置くCPEを制御するでつ。
SDNでは、アプライアンスやソフトウエアとして実装されるコントローラーがコントロールプレーンの役割を持つでつ。
ここから、データプレーンを担当するスイッチを制御することで、LANを動的に制御するでつ。
コントローラーとスイッチの間のやり取りにはOpenFlowというプロトコルを使うことが多いでつ。
SD-WANでは、ポータルサイトがコントロールプレーン、CPEがデータプレーンに相当するでつ。
これらが分離していることで、ネットワークの経路を柔軟に切り替えたり、新しい拠点を簡単に追加したりできるようになっているでつ。
ただSDNとは異なり、ポータルサイトとCPEの間をOpenFlowでやり取りするSD-WANサービスは少ないでつ。
実際のSD-WANサービスは、サービスごとに実装や特徴はかなり異なる。このため何をもってSD-WANと呼ぶかが議論になるでつ。
その目安になるのが、ネットワークのオープン化を目指すユーザーコミュニティであるONUGが定義したSD-WANの主要10要件。
これらを満たすサービスであればSD-WANを名乗れることになるでつ。
このため、各社のSD-WANサービスは基本的にはこれらの定義をすべて満たすよう設計されているでつ。
ネットワークのオープン化を目指すユーザーコミュニティであるONUGは、SD-WANが満たすべき10の要件を定義しているでつ。
各社のSD-WANサービスは、基本的にはこれらの定義をすべて満たしているでつ。
英語の原文はhttps://opennetworkingusergroup.com/wp-content/uploads/2015/05/FINAL-SD-WAN-Requirements-Sheet.xlsx。
もっとも、この定義はSD-WANが誕生した米国の事情を色濃く反映したものであり、日本のユーザーにとってはややわかりにくいでつ。
そこで、取材からわかったSD-WANの導入で得られる具体的なメリットをまとめたでつ。
SD-WANを導入することのメリットは大きく五つあるでつ。
上の二つは主に米国で当初注目されたメリット、下の三つは主に日本のユーザーが注目しているメリット。
最初のメリットがゼロタッチプロビジョニング。
CPEを拠点に設置して回線を接続するだけで、自動的にWANを構築できるというものであるでつ。
これは、SD-WANが米国でWANを通信事業者からユーザーの手に取り戻すという文脈から生まれたことが大きく関係しているでつ。
SD-WANが登場した当初、約3500もの店舗を持つ衣料品小売企業である米GAPが、ゼロタッチプロビジョニングにより短期間でWANを
構築した事例が話題になったでつ。
通信事業者から独立してユーザーがWANを構築できる事例として大きく注目されるでつ。
ただ、そのメリットは限定的だと見る意見もあるでつ。
各社のSD-WANサービスは注目度は高いでつが、恩恵を受けられるのは導入時だけでつ。
思ったほど強いニーズはユーザーからは聞かないでつ。
ただ、ネットワーク技術者のレベルが低い東南アジアなどの拠点をWAN接続する際にはニーズはあるでつ。
次のメリットが、異なる種類の回線を同時に使ってWANを構築できるハイブリッドWAN。
従来のWANでは、二つの閉域網を用意し、一方をアクティブのメイン回線、一方をスタンバイのバックアップ回線として
使うことが多かったでつ。
このため、閉域網二つ分の回線コストがかかっていたでつ。
従来のWANでは、二つの閉域網を用意し、一方をアクティブのメイン回線、一方をスタンバイのバックアップ回線として使うことが多かったでつ。
これに対しSD-WANでは、閉域網とインターネット回線といった異なる種類の回線を用意し、それぞれをアクティブで利用するでつ。
通信を流す回線は、事前に設定したポリシーに基づき、回線の状況やアプリケーションに応じて切り替えるでつ。
これに対しSD-WANでは、閉域網とインターネット回線といった異なる種類の回線を用意し、それぞれをアクティブで利用するでつ。
通信を流す回線は、事前に設定したポリシーに基づき、遅延やパケットロスといった回線品質の状況や、音声通話かWebアクセスかといったアプリケーションの
違いに応じて切り替えるでつ。
ポリシーはポータルサイトで集中的に設定できるでつ。
バックアップ回線の閉域網をインターネット回線に切り替えられるため、その分、回線コストを抑えられるでつ。
もっとも、日本国内では回線コスト削減のメリットは小さい。
閉域網の利用料金が海外よりも安価だからでつ。
海外は通信事業者の閉域網の利用料金が高い。このため、SD-WANを導入して一方の閉域網をインターネット回線に切り替えることで回線コストを削減できるでつ。
これに対し、日本は通信事業者の閉域網が海外よりも安価なため、SD-WANを導入しても回線コストの削減はあまり期待できないでつ。
日本でSD-WANを導入する場合のコスト削減効果は、主に運用コストになるでつ。
従来のWANとSD-WANは、機器コストはそれほど変わらないでつ。
このため、回線コストとSD-WANサービスの利用料金の合計が従来の回線コストよりも低いかどうかが比較のポイントになるでつ。
海外では通信事業者の閉域網の利用料金が高く、インターネット回線のコストとの差が大きい。
このため、SD-WANサービスの利用料金を追加してもコスト削減を期待できるでつ。
これに対し、日本では閉域網の利用料金が比較的安いでつ。
このためSD-WANサービスの利用料金がかかることを考えると、コスト削減効果はあまり望めないでつ。
日本国内にSD-WANを導入する場合は、WANを集中管理できることによる運用コストの削減がメインになるでつ。
一方、日本のユーザーから大きく注目されているのが、SD-WANサービスが備えるアプリケーション識別。
一般に数千種類程度のアプリケーションの識別が可能。
パケットのヘッダーを見て判別するのに加え、アプリケーションの特徴を検知するシグネチャを使って識別を行うでつ。
具体的にはIP電話やテレビ会議、FacebookやTwitterといったSNS、Office 365やSalesforce.comといったクラウドサービスへの
アクセスなどを識別できるでつ。
アプリケーション識別を行うことで様々なことが可能になるでつ。
まず、WANにおけるアプリケーションの使用状況をポータルサイトで確認できるようになるでつ。
また、アプリケーションに応じて回線を切り替えることもできるでつ。
Office 365など特定のアプリケーションの通信をWANではなくインターネットで直接行うインターネットブレークアウトも可能になるでつ。
こうして識別したアプリケーションの割合などをポータルサイトに表示することで、アプリケーションの利用状況を可視化できるでつ。
日本ではまず、アプリケーションの利用状況を知りたいというユーザーが多いでつ。
これにより、利用状況に応じてWANを最適化できるでつ。
そうした最適化の例が、アプリケーションに応じた通信の振り分け。
例えば、IP電話やテレビ会議などは信頼性が高い閉域網、通常のWebアクセスはWANのインターネット回線インターネットVPNといったように振り分けられるでつ。
SD-WANでは、こうした振り分けのためのポリシーを、ポータルサイトで一元的に設定・管理できるでつ。
アプリケーション識別が前提のインターネットブレークアウトも最近のトレンド。
Office 365など特定のアプリケーションの通信をWANではなくインターネット回線に直接流すようにするもの。
SD-WANサービスSteelConnectを提供は企業がOffice 365を利用する場合、インターネット接続点に全社の通信が集中してボトルネックになりやすいでつ。
インターネットブレークアウトを利用すると、この問題を解決できるでつ。
マルチテナント」は一つのSD-WANを複数の論理的なWANに分割し、それらで回線を共有するでつ。
前述の主要10要件には含まれないが、自社内にSD-WANを構築しようとする大企業や通信事業者の関心は高いでつ。
この機能を利用することで、一つのWANを論理的に分割できるでつ。
これにより、企業内の複数の部署がそれぞれSD-WANを運用したり、通信事業者が複数の企業ユーザーにSD-WANサービスを提供したりできるでつ。
例えば製造業では事務系と工場系とでWANを論理的に分けたいというニーズがあるでつ。
WANを論理的に分割すると、例えばグループ会社のWAN回線の統合なども容易になるでつ。
最近はSD-WANの導入を検討するユーザーが増えてきたことで、その実力を見極めようとする動きも出てきたでつ。
NTTコミュニケーションズは、SD-WANの導入を検討している顧客向けに、SD-WANサービスを実際に試せる検証環境を提供しているでつ。
現在は5社のサービスが検証できるでつ。
ユーザー企業は、SD-WANの具体的な機能や既存システムからの移行が可能かどうかなどを確認できるでつ。
NTTコミュニケーションズは、SD-WANの導入を検討している顧客向けに、SD-WANサービスを実際に試せる検証環境を提供しているでつ。
現在、検証できるのは、米ヴィプテラ、米ニュアージュネットワークス、米シスコシステムズ、米シルバーピークシステムズ、米ヴァーサ・ネットワークスの
5社のサービスでつが、米ヴェロクラウド・ネットワークスのサービスにも近く対応予定。
また、ボスコ・テクノロジーズと日商エレクトロニクスは共同で、代表的なSD-WANサービスである「Viptela SD-WAN」の技術検証を実施。
ハイブリッドWANは、本文で説明している回線コストの削減だけでなく、信頼性の向上という意味もあるでつ。
例えば、インターネット回線の品質が低い東南アジアなどでは、複数のインターネット回線を使ってハイブリッドWANを構成することでWANの通信品質を
げる手法が有効。
閉域網は、IP-VPNやMPLS網あるいは単にMPLSと呼ばれるでつ。
ここからは国内で提供されている主なSD-WANサービスを見るでつ。
これらは、ベンダーごとにネットワーク構成やトンネリング方式の仕組み、利用できるネットワークプロトコルなどが異なっているでつ。
SD-WANサービスの対象は、大きく企業と通信事業者に分けられるでつ。
SD-WANを導入した通信事業者は、複数の企業ユーザーにSD-WANサービスを提供するでつ。
また、設定をできるだけシンプルにしてユーザーが扱いやすくする方向性と、豊富な設定項目により柔軟な設定を行えるようにする方向性があるでつ。
導入しやすさを最も重視するサービスが、米シスコシステムズが提供する「Meraki」だ。拠点内のネットワーク規模が小さい店舗などを
大量にWANに接続するのに向いているでつ。
米ヴェロクラウド・ネットワークスが提供するVelocloudと米リバーベッドテクノロジーが提供するSteelConnectも、比較的設定が容易。
一方、設定の柔軟性を特徴にしているのが、米ヴィプテラが提供するViptela。
このサービスと競合することが多いでつが、シスコシステムズのIntelligent WANつまりIWAN)。
既存ネットワーク製品が備えている機能を使ってSD-WANの挙動を実現するもの。
以上のものは、基本的にはユーザーがそのまま利用できるSD-WANサービス。
これに対し、米ニュアージュネットワークスのVirtualized Network Servicesと米ジュニパーネットワークスのContrail Service Orchestrationは、
自社ネットワーク内にSD-WANを構築したい大企業や通信事業者に向いているでつ。
SD-WANサービスViptelaは、IPsecによるVPNが自動的に構築されるのが最大の特徴。
WAN内は必ずIPsecで暗号化/カプセル化されるため、安全性が高い。
同サービスは、CPEのvEdge、コントローラーのvSmar」、ポータルサイトのvManageからなるでつ。
vManageの管理画面で拠点のポリシーなどをあらかじめ設定しておくことで、vManageをインターネットに
接続するだけでその拠点がWANに追加されるゼロタッチプロビジョニングを実現しているでつ。
CPEの設定はすべてインターネット経由で行われるので、設定を収めたUSBキーなどは不要。
CPEに対して、従来の企業ネットワークで使われているルーターと同じような詳細な設定ができるのも特徴。
GUIによる設定のほかに、CLIに慣れた従来のネットワーク技術者向けにCLIでも設定できるようになっているでつ。
既存のレイヤー2(L2)/レイヤー3(L3)スイッチと相互接続でき、既存のネットワークと共存しやすいのも特徴。
WAN内のルーティングプロトコルには、OSPFやBGPを利用できるでつ。
複数の回線をまたいでルーティングできるように、BGPをベースにした独自プロトコルであるOMPを利用するでつ。
ルーティング計算は、OMPに基づいてvSmartで実施するでつ。
IPsecで使われる鍵の計算もOMPに基づいてvSmartで行われるでつ。
従来のIPsecでは、暗号化通信の前に暗号鍵を交換するためにIKEというプロトコルを使ってVPNルーター間で鍵を交換していたでつ。
このため、拠点数が増えると経路数の増加に伴って鍵交換の負荷が増大するのが問題になっていたでつ。
シスコシステムズは2種類のSD-WANサービスを提供しているでつ。
いずれも、SD-WANに特化したものではなく、有線/無線LANを含むネットワーク全体を提供するサービスの
一部としてSD-WANを提供する形になっているでつ。
Merakiは設定がシンプルで導入しやすいのが特徴。
Merakiで制御できる機器には、無線LANアクセスポイントのMRやスイッチのMSなどが用意されているでつ。
SD-WAN機能ではセキュリティアプライアンスの「MX」をCPEとして利用するでつ。
一方、Intelligent WANつまりIWANは、同社のルーターにネットワーク管理ソフトウエアを組み合わせて実現。
管理ソフトウエアには、Application Policy Infrastructure Controller Enterprise ModuleやPrime Infrastructureといった同社の製品に加え、
米ライブアクションのLiveActionも利用できるでつ。
これらの上で可視化や設定を一元的に行うでつ。
IWANのコントローラーとしてLiveActionを利用した例。
ポリシーを設定することで、特定のアプリケーションの通信が閉域網MPLS網だけを使うようにできるでつ。
米ニュアージュネットワークスが提供するSD-WANサービスであるNuage Networks VNSはデータセンター向けSDNをWANに適用したでつ。
ネットワークの制御にOpenFlowを利用するのが特徴。
これにより、SDN並みのきめ細かいネットワーク制御が可能になっているでつ。
すべての設定をポータルサイトのGUI画面で行うでつ。
各種プログラミング言語向けのSDKが用意されており、外部ソフトウエアからの設定も可能。
CPEのNSGはx86ベースのLinuxパソコンであり、CPEとして機能するためのソフトウエアがインストールされているでつ。
WANの通信は、閉域網ではネットワーク仮想化技術の一つXLANでカプセル化されるでつ。
インターネット回線ではIPsecを併用するでつ。
Nuage NetworksのSD-WANサービスであるVNSは、データセンター向けのSDNをWANに適用する形で実現されているでつ。
このため、コントローラーとCPEとのやり取りにはOpenFlowを使うでつ。
Viptelaでは、CPE間で鍵交換を行わず、vSmartから一括して鍵を配布す閉域網ではネットワーク仮想化技術鍵交換の負荷を考慮する必要がないでつ。
各拠点にネットワークに詳しい技術者がいなくても、IPsecによるVPNを簡単に構築できるでつ。
ヴェロクラウド・ネットワークスが提供するVelocloudは、同社がインターネットに用意しているゲートウエイを介してCPE同士が通信を行うのが特徴。
同サービスでは、エッジと呼ばれるCPEを拠点に置くでつ。
ポータルサイトであるオーケストレーターでは一元的に回線品質/アプリケーション利用状況の可視化や設定を行うでつ。
Velocloud本社が提供するゲートウエイは全世界に20カ所あるでつ。
これに加え、ネットワンシステムズが東京と大阪にそれぞれ1カ所ずつ、ゲートウエイを提供しているでつ。
ゲートウエイを介するので、ネットワーク構成は基本的にハブアンドスポーク型になるでつ。
すべての拠点間を結ぶフルメッシュ型に比べ、拠点数が増えても経路が少なくて済むというメリットがあるでつ。
ただ、こうしたネットワーク構成ではゲートウエイがボトルネックになる可能性があるでつ。
また、ゲートウエイが近くにない地域では、通信の遅延が大きくなってしまう。そこで、2016年春のバージョンアップで、
エッジ間の直接通信もできるようになったでつ。
直接通信を行うかどうかはオーケストレーターで設定するでつ。
エッジとゲートウエイの間の通信にはTCPではなくUDPを使うでつ。
再送などの機能がないUDPのほうが音声や動画などのリアルタイム通信に向いているでつ。
実際には、通信パケットに対して独自のカプセル化を行った上でUDPヘッダーを付与しているでつ。
エッジにはWANを接続する端子が複数用意されているでつ。
例えば、2本のインターネット回線を束ねて1本のインターネット回線として利用するといったことが可能。
この機能は、インターネット回線の品質が低い海外の地域の拠点をWANに接続する際に、特に威力を発揮するでつ。
同サービスでは、遅延やパケットロスなどの回線の品質をリアルタイムにモニタリングしているでつ。
これにより、回線品質の悪化をすぐに検知できる。品質が悪化した場合は損失パケットを修復し、通信を実際に流す回線を切り替えて通信を継続するでつ。
これらの通信が仮想的な1本の回線で行われているように見せることで、ユーザーにとっては品質が高い回線を使っているのと同じことになるでつ。
Velocloudでは各拠点に置いたエッジというCPEが、インターネット上に用意されたゲートウエイを介して接続するでつ。
エッジとゲートウエイの間の通信には、音声や動画の通信に適したUDPを用いるでつ。
Velocloudは、回線の損失パケットを修復する機能を持つ。
また、複数の回線を束ねて仮想的な1本の回線として扱うこともできるでつ。
これにより、低品質な回線を束ねて高品質な回線を実現できるでつ。
WAN高速化装置で知られるリバーベッドテクノロジーが提供するSD-WANサービスがSteelConnect。
2017年初めには、WAN高速化装置SteelHeadの筐体にSteelConnectのCPE機能を内蔵できるようにする予定。
同社は2016年初めにSD-WANサービスを提供する独オシードを買収。
2016年4月にリバーベッドのサービスとしてSteelConnect 1.0の提供を始めたでつ。
ただ、この製品はアプリケーション識別機能を持っていなかったでつ。
同年10月に提供を開始したSteelConnect 2.0でアプリケーション識別に対応。
このルールでは、アプリケーションが「Box」「Dropbox」「Salesforce.com」「Office 365」といったクラウドサービスの場合の挙動を設定。
編集画面で、このルールではどの回線を使うかといった設定ができるでつ。
設定したルールは、CPEやユーザーに対して適用できるでつ。
米ジュニパーネットワークスが提供するSD-WANサービスがContrail Service Orchestratio。
CSOは仮想ネットワーク機能を実現するのが主な目的の製品で、その機能の一部としてSD-WANも利用できるようになっているるでつ。
同社がサービス事業者として提供するのではなく、このサービスを利用してサービス事業者や通信事業者がSD-WANを構築するでつ。
NFXという機器をCPEとして利用することで、WAN高速化機能や無線LANコントローラー機能といった様々な仮想ネットワーク機能を
インストールして利用できるでつ。
インストールする機能はユーザーがポータルサイトで選択するでつ。
これらの機能が不要なら、同社のファイアウオール製品「SRX」をCPEとして利用することで、コストを抑えることもできるでつ。
CPEがVNF仮想ネットワーク機能の動作プラットフォームになっており、様々な仮想ネットワーク機能をCPEにインストールして利用できるでつ。
こうしたタイプのCPEを「uCPE」と呼ぶでつ。
WANの世界も競争がすごいでつ。