ソリューション

マクニカネットワークスが取り扱う製品で、皆様の課題を解決します

【“WAN”の課題でお悩みの方、必見】
“WAN”の課題を解決に導く“SD-WAN”を動かしてみました!

WANの課題を解決に導く“SD-WAN”製品が国内市場に登場!

検証!SD-WANを動かしてみました

複数の拠点を持つ企業の多くでは、基幹業務系の通信やインターネット接続系の通信、TV会議システム、VoIPなどのトラフィックが本社、拠点、データセンター間で流れるため、WANは非常に重要性の高いネットワークと言えます。そのため、企業はIP-VPNや広域イーサネット網などのサービスを利用し、WANを活用しています。しかし、企業がWANを構築・運用していく中で、「自由度」や「運用管理」、「コスト」といった点に課題を感じている方も多いのではないでしょうか。

そのような背景の中、今年に入って国内市場に新しいSDx(Software Defined anything)系の製品であるSD-WAN製品が登場しました。SDx系の製品には、Software Defined Network やSoftware Defined Storageなどがあり、クラウド、キャリア、構内ネットワークの分野を中心に徐々に導入が拡大しています。Software Defined Networkの分野には大まかにクラウド、キャリア、構内ネットワークがあり、共通する部分としてWANが存在しますが、この分野に共通して適用できるのがSD-WAN製品です。

本記事では、WANが抱える「自由度」や「運用管理」、「コスト」といった課題をSD-WANがどのように解決するのか、米雑誌のForbesで特集された「成長が期待されるスタートアップ25社」にも選ばれた「Viptela(ヴィプテラ)」社が提供するSD-WAN製品を検証した結果とともにご紹介します。

WANの主な課題①「自由度」

まず、WANの主な課題「自由度」は、SD-WANでどのように解決できるのでしょうか。

一般的には、フルメッシュ型やハブ・アンド・スポーク型が混在しているようなVPNのマルチトポロジーを実現し、また、構成を自由に変更することは困難です。

しかし、SD-WANではクラウド上のSDNコントローラで集中管理することにより、WANの構成を自由に組み替えることが簡単にできるようになります。さらに、「マルチトポロジーの実現」の他にも通信経路へのネットワークサービスの取り込みが容易となる「サービスインサーション」、「回線冗長」、「Deep Packet Inspection」などSD-WAN製品は様々な機能をもっています。これにより、これまで課題となっていた「自由度」を高めることができます。

それでは、実際にViptelaでどのように実現できるのかを見てみます。Viptelaに各機器のGPS情報を登録しておくことで、機器の設置位置やVPNがどのように張られているかを地図上に可視化できます。これにより、下図のように4か所のルータの設置位置とフルメッシュ型で設定されていることが一目で分かります。(実際の機器の設置場所はマクニカネットワークス社内)

検証!SD-WANを動かしてみました

それでは、これをハブ・アンド・スポーク型に設定変更してみます。

管理者画面上で30行ほどの設定を準備しておけば、Viptelaの管理者画面にログインし、たった4クリックで設定を変更することができました。また、設定変更が反映されるまでの時間も、フルメッシュ型から、仙台(仮想)を拠点にしたハブ・アンド・スポーク型に切り替わるまでわずか数秒でした。(下図)

検証!SD-WANを動かしてみました

従来のVPNでフルメッシュ型からハブ・アンド・スポーク型に設定を変更するには、各構成機器の管理者画面にログインし、全ての拠点におけるVPNやルーティングの設定を変更する必要があったため、設定変更における自由度や手間の差を感じていただけるのではないでしょうか。

WANの主な課題②「運用管理」

次に、WANの主な課題「運用管理」は、SD-WANでどのように解決できるのでしょうか

例えば、サービスによっては自動の場合もありますが、新しい拠点をWANに参加させたい場合、各種ルータやFWにVPNなどの設定を追加しなければなりません。

しかし、SD-WANでは、クラウド上のSDNコントローラにより初期設定を自動的に流し込むことができるため、各機器をネットワークに繋げるだけで設定が自動的に適用されます。この機能を「ゼロタッチプロビジョニング」と呼びます。これにより、初期構築も非常に簡単となり、運用中のバージョンアップもSDNコントローラ上から行えるため、各機器に対する運用管理工数を削減できます。

また、通信フローの観点で見た場合の例を考えたいと思います。極端な例ではありますが、以下のようなフルメッシュ型の場合、ユーザ(PC)からサーバへのトラフィックはオレンジの経路で行われます。しかし、「サービスチェイニング」の機能を利用することで、フルメッシュ型の構成を残しつつ、グリーンの経路のように、ユーザからサーバへのトラフィックを別拠点のFirewallやIPSを通すように変更できます。

検証!SD-WANを動かしてみました

一般的なVPNであれば、NATやサーバからの戻りの通信も踏まえたルーティング等の設定変更が必要となり、かなり煩雑になることが想定されますが、Viptelaでは管理を簡易化できます。

それでは、実際にViptelaで、どのように実現できるのかを見てみます。今回の例における、物理構成は下図となります。172.22.0.0/16のネットワークが仮想インターネットで、各機器同士がVPNで接続されています。デフォルトでは、フルメッシュ型のため、ユーザ(PC)からサーバへの通信はVE1→VE4へ送られます。

検証!SD-WANを動かしてみました

その際にTrace RouteをPCから実行すると以下のようになります。

検証!SD-WANを動かしてみました

FWサービスインサーションのポリシーも30行ほどの設定をクラウド上のSDNコントローラでポリシーを有効にするだけです。(下図)

検証!SD-WANを動かしてみました

ポリシー有効後、2~3秒で設定が反映され、ユーザ(PC)からの通信がFWを経由するようになりました。

検証!SD-WANを動かしてみました

Viptelaでは、このようなサービスチェイニングの簡易化により、運用管理における工数の削減と柔軟な構成変更が実現します。

WANの主な課題③「コスト」

最後に、WANの主な課題「コスト」は、SD-WANでどのように解決できるのでしょうか。

WANの安定性と帯域を保証するためには高価なサービスの導入が必要となり、結果、コストは拠点数が増えれば増えるほど積み重なります。

しかし、SD-WANであれば、回線を自由に組み合わせることで、安価なインターネット回線を束ねて帯域を広げたり、別のWANと組み合せて冗長構成を組んだりすることができます。

これはもちろん、Viptelaでも実現でき、高価なサービスを導入する場合よりも、コストに対して優位性を発揮します。

SD-WANの仕組み

このように、WANの主な課題を解決することが期待されるSD-WANの仕組みをViptelaを例にご紹介します。

Viptelaでは、下図のように各拠点に「vEdge」と呼ばれるネットワーク機器を設置します。画面上部の「vManage」が管理者画面となり、これと連携している「vSmart」と呼ばれるコントローラが各「vEdge」を管理します。この「vManage」と「vSmart」はクラウド上に準備されています。「vSmart」と「vEdge」間のインターネット上のやり取りは強度の高い暗号化通信で行われています。

検証!SD-WANを動かしてみました

このような構成を組むことで、「SDNコントローラによる集中管理」「VPNにおけるマルチトポロジーの実現」「ゼロタッチプロビジョニング」「サービスチェイニング」などを実現することが可能になります。

まとめ

今回、検証ということで実際にSD-WANを触ってみましたが、Viptelaの場合、運用管理のほとんど全てをSDNコントローラで行うことができるため、拠点数が多ければ多いほど管理面のメリットが大きくなり、また、WANのトポロジー変更やサービスチェイニングでも各機器に大掛かりな設定変更せずに実現できる点で利便性が非常に高いと感じました。本記事で興味を持たれた方は、皆様が抱えるWANの課題と照らし合わせての調査を是非ご検討ください。

いつか見た景色 from Staff's Albums