企業LANに、果たしてSDNは必要なのか。多くの企業にとって社内LANでSDNを導入するようになる日は来るのか。これら2つの疑問への、意外な回答が見えつつある。無線LAN製品の進化だ。
企業内LANで、SDN(Software Defined Networking)活用のきっかけを見出すのは、多くの場合難しいと考えられてきた。
まず、データセンターやWANでは、SDNのメリットが比較的はっきりしている。一方、一般企業のLANでは、「SDNだと何がうれしいのか」が分かりにくい。また、仮に「SDNでうれしいこと」があったとしても、既設のLANをそのために総入れ替えするコストを正当化しにくい。
だが、SDNを、「既存の(ソフトウエア機能を活用しきれていない)LANの限界を打破し、ネットワークをより積極的に活用できるようにするための技術」と考えれば、「できるとうれしいこと」はいろいろある。
「できると最もうれしいこと」とは、社内LAN全体を、ユーザーおよびアプリケーションに基づいて制御できるようになること、そしてこれに関連してセキュリティを強化することだ。
これにより、例えばユーザーや利用アプリケーションに基づいて、VLANを柔軟に設定できるようにしたい。事業部門単位でネットワークを論理的に分割しているような場合、各ユーザーが社内LANのどこか入っても、適切なVLANに属するようにできればいい。また、人事異動などに際しても、適切なVLAN設定を簡単に適用できるようにしたい。
また、社内LANのインターネット接続帯域幅は有限なので、例えば社内からの業務用クラウドサービス利用のための帯域幅は確保するが、それ以外のオンラインサービス利用は余った帯域幅で行われるようにしたい、また、特定サービスの利用をブロックしたいということもあるだろう。ユーザーの所属部署に応じて、インターネットサービスの利用を制御したいと考える運用担当者もいるはずだ。
一方、境界セキュリティ製品の利用を強化しても、標的型攻撃を防ぎきることができないとすれば、社内の端末がマルウエアに感染したときにどうするかという問題もある。まず端末を特定し、これを社内LANからできる限り早く切り離すという作業が行われるが、この作業を円滑・迅速にできるようにしたい。
企業が社内LANでやりたいSDNが、上記のようなメリットを享受することであるなら、多くの企業において、無線LANが有効なきっかけになりそうだ。
無線LANでは、接続が目に見えないという特性から、ユーザー認証が必須機能になっている。また、無線LANのアクセスポイントあるいはコントローラに、アプリケーションを認識する機能を実装することは可能だ。企業向けの無線LAN製品では、これらを活用して、ネットワーク制御/セキュリティを強化している製品がある。上記の「やりたいこと」の多くを、すでに実現しているものもある。
改めて考えると、企業向け無線LAN製品では、複数の無線LANアクセスポイントをコントローラで集中制御する。SDNで提唱されるコントローラの分離と似ていて、そのためにユーザーアクセスやネットワーク制御などの統合管理ができる仕組みになっている。
さらに考えてみると、上記の「やりたいこと」の多くは、アクセスネットワークでかなりの部分を実現できる。例えば社員ではない協力会社のスタッフに対し、一部の社内システムだけにアクセスを限定したい場合、アクセスネットワーク部分でファイアウォールを機能させることで、これをセキュリティ確保の手段の一つとして活用できる。
無線LANでいいのは、すでに多くの一般企業が導入を進めていることだ。つまり、無線LANへの投資は社内で正当化しやすい。
導入することが分かっている無線LAN製品のトラフィック制御機能を活用するだけで、上記のようなやりたいことをある程度実現できる。また、スイッチやルータなどの既存ネットワークインフラにVLANなどの静的な設定をしておき、ユーザーとの結び付けなどを無線LANコントローラから動的に制御するといった連携が図れれば、やれることが増える。さらに無線LAN製品とSDN製品との連携が進めば、やれることがさらに増える。ネットワーク的に、やりかったことができるようになることをSDNと呼ぶなら、SDNは社内LANで浸透する可能性が十分にある。
無線LANとSDNの関係について、IT INSIDER No.45「INTEROP TOKYO 2015リポート(2):無線LANが、企業内LANのSDN化を推進する」では、より具体的に解説しています。お読みいただければ幸いです。
Copyright © ITmedia, Inc. All Rights Reserved.