【前編】SD-WANについてエンジニア目線で解説
はじめに
SD-WANについて記事を書きます。特定のSD-WAN製品の説明ではなくSD-WANの全体構成のイメージや各機能について説明します。なお、記事を書いていたら意外と長くなりましたので、前編と後編の二部構成としました。
| 【前編】 | SD-WANのコンポーネントや全体構成のイメージについて |
| 【後編】 | SD-WANの主要機能の詳細説明 |
前編はSD-WAN機能を実現する上で必要となるコンポーネントの説明や全体構成について説明します。後編はSD-WANの主要機能を中心に説明します。
前編で説明するコンポーネントやオーバーレイの理解がその後に続く主要機能の前提知識になりますので、構築に携わる方は前編こそ読んで頂けると少しばかりイメージが湧いてくるのではと思います。
では、SD-WANの説明に入ります。
※注意
これから説明するSD-WANの内容は当方が過去に触れた機器を中心に説明します。すべてのSD-WAN製品に共通して言える内容では御座いませんので、その点ご注意ください。
SD-WANとは?
SD-WANとは「Software Defined WAN」のことであり、一昔前まではWANのトポロジー構成をソフトウェアで簡単に定義する技術製品やサービスのことでしたが、ここ最近のSD-WANはユーザが求める複雑なWAN要件に応える為、ローカルブレイクアウトやアプリケーション通信の回線選定と言った様々な機能を付加価値として提供しています。
ソリューションとしては主に外資系メーカーを中心に市場に投入されており、新たに開発され他製品も有れば既製品にSD-WAN機能を追加したものもあります。ちなみに一部の国内SIerや通信事業者でも独自のSD-WANサービスを展開しています。
<SD-WAN製品を扱っているメーカ>
・VMware ※旧Velocloud
・Fortinet
・Versa Networks
・Cisco Systems ※旧Viptela
・Palo Alto Networks
etc…
SD-WANの構成
次にSD-WANのコンポーネントと全体構成について触れたいと思います。
エッジルータ
エッジルータは複数の拠点(本社・支社・データセンター等)に設置し、通信キャリアが提供している様々な回線種別をシングル回線や複数回線で接続するゲートウェイとして機能するルータです。接続する回線種別としては「MPLS」「IP-VPN」「インターネット」回線と様々な回線を終端することが可能です。また、機種によってはエッジルータに直接LTEのSIMを挿入したりUSBドングルをエッジルータに接続し「4G/LTE」通信する製品もあります。4G/LTEは災害や回線借用時に業務通信を切り替えて使えるようにするといったバックアップラインとして使われることが多いです。
なお、『エッジルータ』とはVMwareであれば「Edge」、Fortinetであれば「Fortigate」、Ciscoであれば「Cisco1100」や「Catalyst8000」シリーズ等となります。
機器や回線の構成としては、本社やデータセンターの大規模、且つ重要拠点には高価なハイクラス機器+マルチキャリアによる冗長回線、小規模で可用性が求められない拠点にはロークラス機器でシングル回線、と様々な構成をとることが可能です。
コントローラ
ほとんどのメーカで『コントローラ』という管理サーバのようなものを必要とします。このコントローラはメーカーによって提供する機能が異なりますが、概ね、下記のような機能をメインに提供します。
- SD-WANポリシーの作成と適用
- エッジルータのコンフィグ変更機能
- エッジルータのヘルスチェック
- エッジルータのステータスやログ取得
- SD-WAN全体の状態モニタリングと監視
- ゼロタッチプロビジョニング機能
「コントローラ」はメーカーによって様々な形で提供されています。例えば、物理アプライアンス版、ハイパーバイザー等にインストールする仮想版、AWSなどのパブリッククラウド版、またメーカーやサービス事業者にてパブリック上に既に作らておりそれを利用するというパターンもあります。
なお、『コントローラ』とはVMwareであれば「オーケストレーター」、Fortinetであれば「FortiManager」、Ciscoであれば「vManage」「vSmart」「vBond」になります。
また、構築者や運用担当はこのコントローラにWebブラウザでログインし、そこからSD-WANの設定を行ったり、ステータスの確認をすることになります。
なお、メーカーによっては特定の機能を使う為にDHCPサーバやDNSサーバ等のサブシステムが必要になる場合があります。導入時は要件の確認と要件を満たす為に必要なサブシステムが無いかをチェックすることが重要です。
全体構成のイメージ
下図は『エッジルータ』と『コントローラ』を導入した際の全体構成のイメージです。※構成はあくまでイメージです。実際は要件やメーカによって異なりますので注意して下さい。
まず、重要拠点となるデータセンターと本社には『エッジルータ』を2台構成、且つ広域イーサネットとインターネット回線のマルチホーミング構成としました。
小規模拠点の支社については2パターン用意してみました。どちらも『エッジルータ』は1台構成ですが、広域イーサネット+インターネット回線、フレッツインターネット+LTEインターネットの構成です。
各エッジルータの管理役として機能する『コントローラ』はクラウド上に配置しています。メーカーによってはオンプレミスの専用ハードウェアや仮想OS版が提供されているので自社のデータセンターで運用することも可能です。その場合は東西に配置してBCP対策となる冗長構成をとることも出来ます。
また、コントローラからエッジルータに設定変更を行ったりエッジルータのステータスを取得する為に、下図のようにコントローラとエッジルータ間は常に管理通信が行える状態にする必要があります。なお、エッジルータはコントローラへの疎通性が途絶えてもユーザの業務通信に影響はありません。基本的にコントローラからエッジルータに対する制御やステータスの確認ができなくなるだけです。
※多くのSD-WAN製品がコントローラと管理通信を必要とするはずですが、一部の製品で仕様が違う場合がありますのでご了承ください。
SD-WANのオーバーレイ
次にSD-WANの特徴について説明します。SD-WANには柔軟な通信制御をする機能がたくさんあります。それらを使う上で前提となるのがIPsec等を使用したオーバーレイ技術です。
オーバーレイ技術は物理的な回線であるアンダーレイネットワークの上でエッジルータ同士がIPsecを張り仮想的なネットワークを作る技術です。SD-WAN=ネットワークトポロジーを柔軟に変更できる、と言うイメージがあると思いますが、実際はこのIPsecトンネルで自由にトポロジーを組み、トンネル上のルーティングによりユーザ通信を実現します。
ルーティングについてはメーカそれぞれのやり方を提案しており、Fortinetの場合はBGPやOSPFと言ったレガシーな技術を使います。Ciscoの場合はコントローラで各ルータのTLOCという情報を収集しそれを基にポリシーで定義していく方式です。
下記の構成例はハブアンドスポーク構成ですが拠点間で直接IPsecを張るフルメッシュ構成も可能です。フルメッシュにすることでトラフィックの転送効率を高めデータセンターのエッジルータや回線の負荷を減らすことができます。
SD-WANの主要機能
次にSD-WANのメインであるSD-WAN主要機能について説明したいと思います。まずは多くのメーカが導入している機能について並べてみます。
※全てのメーカが下記の機能を実装しているわけではありませんのでご注意ください。
<通信制御の機能>
・アプリケーション通信のローカルブレイクアウト
・回線の負荷分散
・アプリケーション毎に利用する回線を選択する機能
・回線品質によるルーティングトラック
<モニタリング>
・WAN全体の状態モニタリング
・各エッジデバイスのステータス状態
・アプリケーショントラフィックの可視化
・イベント発生時のアラート発砲
<セキュリティ>
・UTMなどの高度なセキュリティポリシーの適用
・サンドボックス機能
<構築>
・エッジルータのコンフィグテンプレート化機能
・ゼロタッチプロビジョニング(通称ZTP)
・エッジルータの一斉OSアップデート
<その他>
・APIの提供
・マルチテナント
当方の感覚ですが、SD-WANでよく求められる機能としては『ローカルブレイクアウト』『回線の負荷分散』『アプリケーション毎に利用する回線の選択』『ゼロタッチプロビジョニング』あたりが多いと思います。
『セキュリティ機能』はSASEやゼロトラストネットワークから需要が有るかと思いきや、当方の知る限りではあまりSD-WANのセキュリティ機能を積極的に使っている案件も事例も少ない状態です。ただSD-WANはSASEやゼロトラストネットワークと親和性が高いことから今後はセキュリティ要件の一部に組み込まれた使われた方がされていく可能性はあると思います。
前編は以上となります。後編では主要機能をメインに説明していきます。