Part1 SD-WANを入れると何がうれしいか
物理的に離れた複数の拠点を持つ企業は、その間をWANで接続する。こうしたWANの構築や運用を簡単にする「SD-WAN▼」という技術が注目を集めている。SD-WANを利用できるようにするサービスが続々登場しているからだ。これらのサービスを利用することで、WANの運用負荷を下げられると期待されている。
SD-WANサービスでは、ユーザーがWANの設定を行ったり回線状況や利用状況を可視化したりするWebサイト「ポータルサイト」が用意されており、WANを集中管理できる。ポータルサイトはSD-WANのサービス事業者がクラウド上に用意していることが多い。
WANで接続する各拠点には、WAN接続のための専用装置「CPE▼」を置く。SD-WANのCPEは「ポータルサイトから制御可能なVPN▼ルーター」だと考えるとわかりやすい。これら二つの要素により、ユーザーがSD-WANを利用できるようになる。
SD-WANは、ネットワークをソフトウエアで柔軟に制御する技術であるSDN▼をWANに適用するものとして生まれた(図1-1)。SDNとSD-WANの共通点は、ネットワークを制御する「コントロールプレーン」とデータ転送を行う「データプレーン」が明確に分かれている点だ。
SDNでは、アプライアンス▼やソフトウエアとして実装されるコントローラーがコントロールプレーンの役割を持つ。ここから、データプレーンを担当するスイッチを制御することで、LANを動的に制御する。コントローラーとスイッチの間のやり取りにはOpenFlowというプロトコルを使うことが多い。
SD-WANでは、ポータルサイトがコントロールプレーン、CPEがデータプレーンに相当する。これらが分離していることで、ネットワークの経路を柔軟に切り替えたり、新しい拠点を簡単に追加したりできるようになっている。ただSDNとは異なり、ポータルサイトとCPEの間をOpenFlowでやり取りするSD-WANサービスは少ない。
米国で決められた10要件
実際のSD-WANサービスは、サービスごとに実装や特徴はかなり異なる。このため「何をもってSD-WANと呼ぶか」が議論になる。
その目安になるのが、ネットワークのオープン化を目指すユーザーコミュニティであるONUG▼が定義したSD-WANの主要10要件だ(表1-1)。これらを満たすサービスであればSD-WANを名乗れることになる。このため、各社のSD-WANサービスは基本的にはこれらの定義をすべて満たすよう設計されている。
もっとも、この定義はSD-WANが誕生した米国の事情を色濃く反映したものであり、日本のユーザーにとってはややわかりにくい。そこで、取材からわかった「SD-WANの導入で得られる具体的なメリット」を図1-2にまとめた。これらの項目に沿ってSD-WANのメリットを説明していこう。
技術者なしでWAN構築が可能
最初のメリットが「ゼロタッチプロビジョニング」だ。CPEを拠点に設置して回線を接続するだけで、自動的にWANを構築できるというものである。
これは、SD-WANが米国で「WANを通信事業者からユーザーの手に取り戻す」という文脈から生まれたことが大きく関係している。SD-WANが登場した当初、約3500もの店舗を持つ衣料品小売企業である米GAPが、ゼロタッチプロビジョニングにより短期間でWANを構築した事例が話題になった。通信事業者から独立してユーザーがWANを構築できる事例として大きく注目されたのだ。
ただ、そのメリットは限定的だと見る意見もある。各社のSD-WANサービスを調査しているNTTコミュニケーションズ 技術開発部 担当部長の水口みずぐち孝則たかのり氏は「注目度は高いが、恩恵を受けられるのは導入時だけ。思ったほど強いニーズはユーザーからは聞かない」と語る。「ただ、ネットワーク技術者のレベルが低い東南アジアなどの拠点をWAN接続する際にはニーズはある」(水口氏)。
閉域網が高価な海外で有効
次のメリットが、異なる種類の回線を同時に使ってWANを構築できる「ハイブリッドWAN▼」だ。
従来のWANでは、二つの閉域網▼を用意し、一方をアクティブのメイン回線、一方をスタンバイのバックアップ回線として使うことが多かった(図1-3)。このため、閉域網二つ分の回線コストがかかっていた。
これに対しSD-WANでは、閉域網とインターネット回線といった異なる種類の回線を用意し、それぞれをアクティブで利用する。通信を流す回線は、事前に設定したポリシーに基づき、遅延やパケットロスといった回線品質の状況や、音声通話かWebアクセスかといったアプリケーションの違いに応じて切り替える。ポリシーはポータルサイトで集中的に設定できる。バックアップ回線の閉域網をインターネット回線に切り替えられるため、その分、回線コストを抑えられる。
もっとも、日本国内では回線コスト削減のメリットは小さい(図1-4)。閉域網の利用料金が海外よりも安価だからだ。
従来のWANとSD-WANは、機器コストはそれほど変わらない。このため、回線コストとSD-WANサービスの利用料金の合計が従来の回線コストよりも低いかどうかが比較のポイントになる。
海外では通信事業者の閉域網の利用料金が高く、インターネット回線のコストとの差が大きい。このため、SD-WANサービスの利用料金を追加してもコスト削減を期待できる(同左)。
これに対し、日本では閉域網の利用料金が比較的安い。このためSD-WANサービスの利用料金がかかることを考えると、コスト削減効果はあまり望めない(同右)。日本国内にSD-WANを導入する場合は、WANを集中管理できることによる運用コストの削減がメインになるだろう。
注目度が高い「アプリ識別」
一方、日本のユーザーから大きく注目されているのが、SD-WANサービスが備える「アプリケーション識別▼」だ(図1-5)。一般に数千種類程度のアプリケーションの識別が可能だ。パケットのヘッダーを見て判別するのに加え、アプリケーションの特徴を検知するシグネチャを使って識別を行う▼。具体的にはIP電話やテレビ会議、FacebookやTwitterといったSNS▼、Office 365やSalesforce.comといったクラウドサービスへのアクセスなどを識別できる。
こうして識別したアプリケーションの割合などをポータルサイトに表示することで、アプリケーションの利用状況を可視化できる。日本では「まず、アプリケーションの利用状況を知りたい」というユーザーが多いという。これにより、利用状況に応じてWANを最適化できる。
そうした最適化の例が、アプリケーションに応じた通信の振り分けだ。例えば、IP電話やテレビ会議などは信頼性が高い閉域網、通常のWebアクセスはWANのインターネット回線(インターネットVPN)といったように振り分けられる。SD-WANでは、こうした振り分けのためのポリシーを、ポータルサイトで一元的に設定・管理できる。
アプリケーション識別が前提の「インターネットブレークアウト」も最近のトレンドだ。Office 365など特定のアプリケーションの通信をWANではなくインターネット回線に直接流すようにするもの。SD-WANサービス「SteelConnect」を提供するリバーベッドテクノロジー 技術本部長の草薙伸氏は「企業がOffice 365を利用する場合、インターネット接続点に全社の通信が集中してボトルネックになりやすい▼。インターネットブレークアウトを利用すると、この問題を解決できる」と語る。
一つのWANを論理的に分割
「マルチテナント」は一つのSD-WANを複数の論理的なWANに分割し、それらで回線を共有するもの(図1-6)。前述の主要10要件には含まれないが、自社内にSD-WANを構築しようとする大企業や通信事業者▼の関心は高い。
NTTコミュニケーションズの水口氏は「例えば製造業では事務系と工場系とでWANを論理的に分けたいというニーズがある」と話す。WANを論理的に分割すると、例えばグループ会社のWAN回線の統合なども容易になる。
実力を検証するフェーズに
最近はSD-WANの導入を検討するユーザーが増えてきたことで、その実力を見極めようとする動きも出てきた。
NTTコミュニケーションズは、SD-WANの導入を検討している顧客向けに、SD-WANサービスを実際に試せる検証環境を提供している(図1-7)。現在は5社のサービスが検証できる。ユーザー企業は、SD-WANの具体的な機能や既存システムからの移行が可能かどうかなどを確認できる。
また、ボスコ・テクノロジーズと日商エレクトロニクスは共同で、代表的なSD-WANサービスである「Viptela SD-WAN」の技術検証を実施した。▼
Software-Defined Wide Area Networkの略。
Customer Premises Equipmentの略。
Virtual Private Networkの略。
Software-Defined Networkingの略。
特定のソフトウエアを利用できるように、ハードウエアに組み込んだ形で提供される専用機器。
Open Networking User Groupの略。
本文で説明している回線コストの削減だけでなく、信頼性の向上という意味もある。例えば、インターネット回線の品質が低い東南アジアなどでは、複数のインターネット回線を使ってハイブリッドWANを構成することでWANの通信品質を上げる手法が有効だ。
IP-VPNやMPLS網(あるいは単にMPLS)と呼ばれることもある。
この機能自体はSD-WANに固有のものではない。例えば、同様のアプリケーション識別機能を持つネットワーク機器やネットワーク管理ソフトウエアなどもある。
シグネチャには各アプリケーションの振る舞いが記されている。こうしたシグネチャは、SD-WANのサービス事業者が独自に用意している場合と、サービス事業者がサードパーティのシグネチャを利用している場合がある。
Social Networking Serviceの略。
Office 365が多数のセッションを消費するのが原因。全社のOffice 365の通信がインターネット接続点に集中することで、プロキシサーバーのセッション処理能力が足りなくなる場合がある。
通信事業者がマルチテナントを利用すれば、複数のユーザー企業に対してSD-WANサービスを提供できるようになる。
従来はWAN構築に1カ月半程度かかっていたのに対し、Viptelaでは2日に短縮できるのを確認した。その半面、経路障害時の回線の切り替え時間や、設定した条件による経路選択の正確さなどに課題があった。検証結果はインターネットで公開している。URLはhttp://www.bosco-tech.com/file/161124_icm2016-nakajima-ohta-hayashi.pdf。
Part 2 仕組みが異なる各社のサービス
ここからは国内で提供されている主なSD-WANサービスを見ていこう。これらは、ベンダーごとにネットワーク構成やトンネリング方式の仕組み、利用できるネットワークプロトコルなどが異なっている。
取材を基に、各サービスの位置付けを示したものが図2-1だ。縦軸は、下が「事業者が提供するサービスを利用する企業向け」、上が「自社内にSD-WANを構築する大企業や通信事業者向け」だ。横軸は、左が「設定をシンプルにして導入のしやすさを追求する▼」という方向性を示す。逆に右は「豊富な設定項目を用意して設定の柔軟性を追求する▼」という方向性だ。同じような位置付けを持っており、比較的競合しやすいサービス同士は、点線で囲んでグループ化した。
それぞれの性格に大きな差
導入しやすさを最も重視するサービスが、米シスコシステムズが提供する「Meraki」だ。拠点内のネットワーク規模が小さい店舗などを大量にWANに接続するのに向いている。
米ヴェロクラウド・ネットワークスが提供する「Velocloud」と米リバーベッドテクノロジーが提供する「SteelConnect」も、比較的設定が容易だ。
一方、設定の柔軟性を特徴にしているのが、米ヴィプテラが提供する「Viptela」だ。このサービスと競合することが多いのが、シスコシステムズの「Intelligent WAN」(IWAN)である。同社の既存ネットワーク製品が備えている機能を使ってSD-WANの挙動を実現するものだ。
以上のものは、基本的にはユーザーがそのまま利用できるSD-WANサービスだ。これに対し、米ニュアージュネットワークスの「Virtualized Network Services」(VNS)と米ジュニパーネットワークスの「Contrail Service Orchestration」(CSO)は、自社ネットワーク内にSD-WANを構築したい大企業や通信事業者に向いている。
その分、設定の柔軟性は低くなる。
引き換えに設定の難度は上がる。
開発元:米ヴィプテラ 日本での取り扱い:NTTPCコミュニケーションズ、日商エレクトロニクス、マクニカネットワークス
ヴィプテラが提供するSD-WANサービス「Viptela」は、IPsecによるVPNが自動的に構築されるのが最大の特徴だ。WAN内は必ずIPsecで暗号化/カプセル化されるため、安全性が高い。
同サービスは、CPEの「vEdge」、コントローラーの「vSmart」、ポータルサイトの「vManage」からなる(図2-2)。vManageの管理画面で拠点のポリシーなどをあらかじめ設定しておくことで、vManageをインターネットに接続するだけでその拠点がWANに追加されるゼロタッチプロビジョニングを実現している。CPEの設定はすべてインターネット経由で行われるので、設定を収めたUSBキーなどは不要だ。
CPEに対して、従来の企業ネットワークで使われているルーターと同じような詳細な設定ができるのも特徴だ。GUIによる設定のほかに、CLI(コマンドラインインタフェース)に慣れた従来のネットワーク技術者向けにCLIでも設定できるようになっている。
既存のレイヤー2(L2)/レイヤー3(L3)スイッチと相互接続でき、既存のネットワークと共存しやすいのも特徴だ。WAN内のルーティングプロトコルには、OSPF(Open Shortest Path First)やBGP(Border Gateway Protocol)を利用できる。複数の回線をまたいでルーティングできるように、BGPをベースにした独自プロトコルであるOMP(Overlay Management Protocol)を利用する。ルーティング計算は、OMPに基づいてvSmartで実施する。
CPE間の鍵交換が不要
IPsecで使われる鍵の計算もOMPに基づいてvSmartで行われる。従来のIPsecでは、暗号化通信の前に暗号鍵を交換するためにIKE(Internet Key Exchange)というプロトコルを使ってVPNルーター間で鍵を交換していた。このため、拠点数が増えると経路数の増加に伴って鍵交換の負荷が増大するのが問題になっていた。
Viptelaでは、CPE間で鍵交換を行わず、vSmartから一括して鍵を配布する(図2-3)。鍵交換の負荷を考慮する必要がない。各拠点にネットワークに詳しい技術者がいなくても、IPsecによるVPNを簡単に構築できる。
開発元:米ヴェロクラウド・ネットワークス 日本での取り扱い:ネットワンシステムズ
ヴェロクラウド・ネットワークスが提供する「Velocloud」は、同社がインターネットに用意している「ゲートウエイ」を介してCPE同士が通信を行うのが特徴だ。
同サービスでは、「エッジ」と呼ばれるCPEを拠点に置く(図2-4)。ポータルサイトである「オーケストレーター」では一元的に回線品質/アプリケーション利用状況の可視化や設定を行う。
CPE間の直接通信にも対応
Velocloud本社が提供するゲートウエイは全世界に20カ所ある。これに加え、ネットワンシステムズが東京と大阪にそれぞれ1カ所ずつ、ゲートウエイを提供している。ゲートウエイを介するので、ネットワーク構成は基本的にハブアンドスポーク型になる。すべての拠点間を結ぶフルメッシュ型に比べ、拠点数が増えても経路が少なくて済むというメリットがある。
ただ、こうしたネットワーク構成ではゲートウエイがボトルネックになる可能性がある。また、ゲートウエイが近くにない地域では、通信の遅延が大きくなってしまう。そこで、2016年春のバージョンアップで、エッジ間の直接通信もできるようになった。直接通信を行うかどうかはオーケストレーターで設定する。
エッジとゲートウエイの間の通信にはTCP(Transmission Control Protocol)ではなくUDP(User Datagram Protocol)を使う。再送などの機能がないUDPのほうが音声や動画などのリアルタイム通信に向いているからだ。実際には、通信パケットに対して独自のカプセル化を行った上でUDPヘッダーを付与している。
回線品質が悪い海外で威力
エッジにはWANを接続する端子が複数用意されている。例えば、2本のインターネット回線を束ねて1本のインターネット回線として利用するといったことが可能だ(図2-5)。この機能は、インターネット回線の品質が低い海外の地域の拠点をWANに接続する際に、特に威力を発揮する。
同サービスでは、遅延やパケットロスなどの回線の品質をリアルタイムにモニタリングしている。これにより、回線品質の悪化をすぐに検知できる。品質が悪化した場合は損失パケットを修復し、通信を実際に流す回線を切り替えて通信を継続する。
これらの通信が仮想的な1本の回線で行われているように見せることで、ユーザーにとっては品質が高い回線を使っているのと同じことになる。
開発元:米リバーベッドテクノロジー 日本法人:リバーベッドテクノロジー
WAN高速化装置で知られるリバーベッドテクノロジーが提供するSD-WANサービスが「SteelConnect」だ。2017年初めには、WAN高速化装置「SteelHead」の筐体にSteelConnectのCPE機能を内蔵できるようにする予定である。
同社は2016年初めにSD-WANサービスを提供する独オシードを買収。2016年4月にリバーベッドのサービスとして「SteelConnect 1.0」の提供を始めた。ただ、この製品はアプリケーション識別機能を持っていなかった。同年10月に提供を開始した「SteelConnect 2.0」でアプリケーション識別に対応した。
アプリケーションに応じて通信経路を設定する画面を図2-6に示した。このルールでは、アプリケーションが「Box」「Dropbox」「Salesforce.com」「Office 365」といったクラウドサービスの場合の挙動を設定している。右側の編集画面で、このルールではどの回線を使うかといった設定ができる。設定したルールは、CPEやユーザーに対して適用できる。
開発元:米シスコシステムズ 日本法人:シスコシステムズ
シスコシステムズは2種類のSD-WANサービスを提供している。いずれも、SD-WANに特化したものではなく、有線/無線LANを含むネットワーク全体を提供するサービスの一部としてSD-WANを提供する形になっている。
「Meraki」は設定がシンプルで導入しやすいのが特徴。Merakiで制御できる機器には、無線LANアクセスポイントの「MR」やスイッチの「MS」などが用意されている。SD-WAN機能ではセキュリティアプライアンスの「MX」をCPEとして利用する。
一方、「Intelligent WAN」(IWAN)は、同社のルーターにネットワーク管理ソフトウエアを組み合わせて実現する。管理ソフトウエアには、「Application Policy Infrastructure Controller Enterprise Module」(APIC-EM)や「Prime Infrastructure」(PI)といった同社の製品に加え、米ライブアクションの「LiveAction」も利用できる(図2-7)。これらの上で可視化や設定を一元的に行う。
開発元:米ニュアージュネットワークス 日本での取り扱い:NTTデータ先端技術、ユニアデックス
米ニュアージュネットワークスが提供するSD-WANサービスである「Nuage Networks VNS(Virtualized Network Services)」はデータセンター向けSDNをWANに適用したもの。ネットワークの制御にOpenFlowを利用するのが特徴(図2-8)。これにより、SDN並みのきめ細かいネットワーク制御が可能になっている。すべての設定をポータルサイトのGUI画面で行う。各種プログラミング言語向けのSDKが用意されており、外部ソフトウエアからの設定も可能だ。
CPEの「NSG」はx86ベースのLinuxパソコンであり、CPEとして機能するためのソフトウエアがインストールされている。WANの通信は、閉域網ではネットワーク仮想化技術の一つ「VXLAN」でカプセル化される。インターネット回線ではIPsecを併用する。
開発元:米ジュニパーネットワークス 日本法人:ジュニパーネットワークス
米ジュニパーネットワークスが提供するSD-WANサービスが「Contrail Service Orchestration」(CSO)だ。CSOは仮想ネットワーク機能を実現するのが主な目的の製品で、その機能の一部としてSD-WANも利用できるようになっている(図2-9)。同社がサービス事業者として提供するのではなく、このサービスを利用してサービス事業者や通信事業者がSD-WANを構築する。
「NFX」という機器をCPEとして利用することで、WAN高速化機能や無線LANコントローラー機能といった様々な仮想ネットワーク機能をインストールして利用できる。インストールする機能はユーザーがポータルサイトで選択する。これらの機能が不要なら、同社のファイアウオール製品「SRX」をCPEとして利用することで、コストを抑えることもできる。
