第2回 クラウドサービス利用におけるSD-WANの優位性
はじめに
三井情報は2017年7月に米SD-WANベンダーであるVersaNetworks社との契約以降、本格的にSD-WAN製品の取り扱いを開始しています。いまでは同じく米国のCisco Systems社、Fortinet社などのSD-WANも取り扱っており、ユーザ企業への導入だけでなくSD-WANのサービスを提供するMSP企業への販売や技術支援も行っています。
そこで、三井情報がSD-WANビジネスの中で得てきた、SD-WANの導入メリットの整理、SD-WANの特徴的な技術要素の解説、今後SD-WANがどのように進展していくかの考察を全3回のコラムにてお届けします。
第1回のコラムではSD-WAN再入門として三井情報の実績を踏まえたSD-WANのメリットについてお届けしました。
第2回となる今回のコラムはユースケースとして、従来のデバイス(WANルータ等)経由でクラウドサービスを利用した際の課題とSD-WANを導入した時の優位性・解決方法についてお届けします。
クラウドの利用が当たり前の時代
クラウドサービスは自社で設備を持つ必要が無く、アカウントを作成すれば誰でも気軽に利用できると言うのが一つの利点です。また、サービス事業者によってはトライアルとして無償利用期間を設けている事業者もいるので、実際に利用したことがある方も多いのではないでしょうか。総務省が公開している「企業におけるクラウドサービスの利用動向※1」によると、令和元年の調査結果ではクラウドサービスを「全社的に」または「一部の事業所又は部門で」利用している企業の割合は6割を超えるそうです (前年の58.7%から6.0%増えているとの事)。すべての人がクラウドを利用する時代がすぐ目の前まで来ていると感じています。
さらに、第一回のコラムでも触れましたが、コロナ禍でテレワークやWeb会議が増加していることからセッション数や帯域の多いMicrosoft365®やCisco Webex等のアプリケーションを識別したいと言う顧客需要の高まりを感じています。
※1 出展:「情報通信白書 令和2年版『(4)企業におけるクラウドサービスの利用動向』」(総務省)
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd252140.html
クラウドサービス利用時の課題
クラウドサービスは誰でも気軽に使える一方で、これまで社内やデータセンターで完結していた業務通信がインターネット上まで延伸されることにより、インターネットアクセス回線の帯域逼迫や、IaaSをVPNネットワークへ組み込む際の煩雑さと言った課題があります。本コラムではこれらの課題に着目しSD-WANを使った解決方法をご紹介していきます。
【今回ご紹介する課題と解決方法】
- ローカルブレイクアウトでクラウド通信の負荷を改善
- プロキシ環境のローカルブレイクアウト ~Proxy Local Breakout~
- アプリ識別でクラウド宛通信を可視化し将来の通信量を予測
- 煩雑なVPN運用からの脱却を実現するSD-WANのオーバーレイ
三井情報では複数のSD-WANソリューションを取り扱っておりますが、本コラムでは米・Versa Networks社のSD-WANソリューションを用いた解決策を例示していきます。
ローカルブレイクアウトでクラウド通信の負荷を改善
従来のWANルータが抱える課題
企業ネットワークが本社やデータセンターを経由してインターネットへアクセスする構成では、クラウドサービス利用に伴う通信の負荷が1か所に集中します。その結果、インターネットへのアクセス回線が逼迫され利用者が遅延を体感し始めます。
インターネットへのアクセス回線逼迫イメージ図
従来は各拠点(Branch)にあるWANルータのルーティングテーブルを調整し、特定の通信のみ直接インターネットへ抜けさせる方法が考えられますが、これは主に以下の理由から非常に困難な作業になります。
- 利用するクラウドサービスのIPアドレスを調査し、各ルータに設定を反映する必要がある。膨大な経路情報の調査と制御は気の遠くなるような作業である。
- 事業者によってはサービスの拡充や変更に伴いIPアドレスが変わる事もあるため、定期的な確認が必要となり運用者の負担が増大してしまう。
従来のWANルータでクラウドサービス向けの経路を変更する場合
SD-WANによる解決方法
SD-WAN製品はユーザの通信を識別し、宛先のクラウドサービスやアプリケーション毎に柔軟に経路を変更する事ができます。また、クラウドサービス宛だけでなくその他のインターネット宛の通信もアプリケーション単位でコントロールする事ができます。本来、本社やデータセンターに集中するはずの通信を他の回線に分散し負荷を軽減させる事をローカルブレイクアウトと言います。
ローカルブレイクアウト
また、アプリケーションは、プルダウンで表示されるリストから必要なものを選ぶだけで簡単に指定できます。
アプリケーション指定画面
このアプリケーションリストは内部のデータベースを参照しており、定期的に自動更新されます。そのため、クラウドサービス側でアクセス先のIPアドレスやアプリケーションの挙動が変更されても、自動で追随していきます。
プロキシ環境のローカルブレイクアウト ~Proxy Local Breakout~
従来のWANルータが抱える課題
インターネットアクセスにプロキシが利用されている場合、端末からの通信先がプロキシサーバとなる為、経路を変更する事ができません。
プロキシサーバ宛通信フロー
企業ネットワークでプロキシが利用されている場合、端末はプロキシ宛に通信するため、ローカルブレイクアウトをするにはそれを理解し制御できるSD-WAN製品が必要になります。
SD-WANによる解決方法
三井情報が取り扱うVersa Networks社のSD-WAN製品はその機能をサポートしており、端末のプロキシ設定を変更することなく経路制御が可能です。Versa Networks社ではこのソリューションの事をProxy Local Breakoutと呼んでいます。
こちらにVersa Networks社のProxy Local Breakout機能の概要を動画に纏めましたので御覧ください。
尚、プロキシ宛の通信を制御できないSD-WAN製品が採用された場合、以下の対処をする事でSD-WANを導入しているようです。
- プロキシの利用を辞める
- PAC(Proxy Auto-Config)ファイルを編集しプロキシ宛の通信を除外してもらう
しかし前者の場合、プロキシの利用を辞めるというのは容易な事ではありません。
全体のネットワーク設計の見直しや、それまでプロキシを送信元としてファイアウォールのポリシーを作成していた場合はポリシーの変更も必要になります。後者の場合、逐一人間が様々なクラウドサービスのIPアドレスを確認し、PACファイルを編集するのは手間がかかります。
またPythonやAPI等を用いて運用管理をオートメーションすると言う方法もありますが、プログラミング知識のある有識者が必要ですので実装のハードルはより高くなります。
そのため三井情報では、プロキシを利用する環境にSD-WAN製品を導入する場合は、プロキシ宛の通信を制御できるSD-WAN製品を推奨・提案しています。
アプリ識別でクラウド宛通信を可視化し将来の通信量を予測
従来のWANルータが抱える課題
クラウドサービスの利用を拡大するには、常に利用状況をモニタリングし、将来の通信量を予測する必要があります。
しかし、従来のWANルータではインターフェイスの通信量しか情報がとれず、クラウドサービス宛の通信とその他の通信も混在する為、正確な通信量を測定するのは困難になります。
従来のWANルータで通信量を予測した時のイメージ図
SD-WANによる解決方法
SD-WAN製品では各ユーザの通信情報を収集しアプリケーション毎の統計を確認できます。その対象はSkypeと言ったコミュニケーションツールやOutlook®のようなメーラーソフトだけでなく、特定のWebサイト宛通信の情報、DNSやRTPと言った通信プロトコルの識別も可能です。
ユーザトラフィック情報識別イメージ図
収集した統計情報はSD-WAN製品の集中管理装置側でグラフィカルに表示でき、一週間・一ヶ月単位でレポートを生成する事が可能です。例としてVersa Networks社のAnalytics画面を掲載します。
アプリケーション毎のグラフィカルデータ(Versa Networks社 Analytics画面)
アプリケーション毎の1日辺りの通信量(Versa Networks社 Analytics画面
1つのアプリケーションに対するユーザ毎の通信量の情報(Versa Networks社 Analytics画面)
このように通信が識別できれば、通信量の将来予測にも活用できる他、通信量の多いアプリケーションは他の回線に分散させると言った検討もし易くなります。
SD-WAN導入時の解決方法イメージ図
煩雑なVPN運用からの脱却を実現するSD-WANのオーバーレイ
従来のWANルータが抱える課題
WANルータやIaaS基盤との拠点間VPNは多拠点になればなるほど構築や管理の煩雑さが増していきます。理由は以下の通りです。
- 初期構築時は全ての対向エッジに対して暗号化・認証・経路設計(ネットワークベース、ポリシーベース)をする必要がある
- 運用に入った後に拠点を増やす場合、フルメッシュVPNを維持するためには全てのエッジに対して設定追加を行う必要がある
- 拠点間VPNの設定は各ベンダー・IaaS基盤によって設定フォーマットが異なる為、採用するベンダーやIaaS基盤が多いほどより煩雑になる
- 複数のインターネットを持つエッジで複数のVPNを使い分ける場合は、アクティブ・スタンバイとするのか、アクティブ・アクティブの場合は宛先ネットワークで使い分けるか等、どのような経路制御を行うのか追加の検討が必要になる。
SD-WANによる解決方法
SD-WANはこのようなVPN管理の煩雑さを解消する仕組みを持っています。Versa Networks社のオーバーレイはL3のアンダーレイネットワークの上に、VXLAN(Virtual eXtensible Local Area Network)によるフラットなL2のネットワークを構成し、そのVXLAN上の仮想インターフェイス間でIPsecトンネルを張るIPsec over VXLANによりオーバーレイを実現しています。
これより、アンダーレイのWANの数に関わらず対向エッジとのIPsecトンネルの数は一つとなり、VXLANのL2ネットワークがエッジ間を結ぶことも含め、オーバーレイのネットワーク経路は非常にシンプルな構成となります。WANアップリンクごとに複数のIPsecトンネルを構成する従来の方式と異なり、ハードウェアリソースの節約にも有効です。
オーバーレイ通信はアプリケーション識別等のSD-WAN機能によりどのWANを利用するかが決定され、カプセリングされた後に適宜アンダーレイのWANに振り分けられます。つまり、オーバーレイがどのWANを利用するか設定するために、経路設計をあらためて検討する必要はありません。
また新しいエッジの展開時には、事前定義された設定に沿って自動的に既存のフルメッシュVPNに参加する仕組みを持っているため、従来のようにVPN設定を全てのエッジに追加する必要もありません。
SD-WANを使った構成のイメージ図
今回はクラウドサービス利用におけるSD-WAN製品の優位性をご紹介しました。次回はSASE(Secure Access Service Edge )を交えた今後のSD-WANの動向についてお届けします。
関連ページ
おすすめコラム:
最近よく聞くSD-WANってなにができるの?
最近よく聞くSD-WANってなにができるの? 続編
関連ソリューション:
Versa Networks
Fortinet
伊藤、山本
次世代基盤第一技術部 第一技術室
2017年よりVersaNetworks製品の技術支援業務に従事。
検証及び提案・構築・PoCの支援などを行っています。
コラム本文内に記載されている社名・商品名は、各社の商標または登録商標です。 本文および図表中では商標マークは明記していない場合があります。 当社の公式な発表・見解の発信は、当社ウェブサイト、プレスリリースなどで行っており、当社又は当社社員が本コラムで発信する情報は必ずしも当社の公式発表及び見解を表すものではありません。 また、本コラムのすべての内容は作成日時点でのものであり、予告なく変更される場合があります。
