SD-WANで実現する「WANの完全仮想化」、インターネットブレークアウトだけがSD-WANの価値ではないあらためて考えるSD-WAN導入の目的

「インターネットブレークアウトのためだけにSD-WANを導入することは非常にもったいないこと」とシスコシステムズは言う。なぜならば、単一機能の実現を目指すことによって、硬直化したWAN環境を根本的に見直す機会を先延ばししてしまうリスクが生じるためだ。世界に目を向けると、SD-WANによる「WANの完全仮想化」の実現により、トップ企業や組織はその競争力をさらに向上させている。総合的なSD-WANアーキテクチャには、WAN活用の最適化を促し、「CI/CD」や「クラウドファースト」という言葉に象徴される企業の機動的なIT活用を支える力があるからだ。あらためて、SD-WANがユーザーにもたらす価値とは何だろうか。

» 2019年10月23日 10時00分 公開
[PR/@IT]
PR

インターネットブレークアウトのためだけにSD-WANを導入するのは非常にもったいない

 日本では、「ローカルインターネットブレークアウト」「ローカルブレークアウト」あるいは「インターネットブレークアウト」と呼ばれる用途でSD-WANを導入する事例が増えている。インターネットブレークアウトとは、一般的な企業におけるインターネット接続の構成を、部分的に変えようというもの。目的は飽和しかかっている社内ネットワークの改善だ。

 通常、複数の拠点を持つ企業は、本社(データセンター)でインターネット接続を行い、ここでファイアウォールをはじめとする境界セキュリティを適用する。その上で、各拠点は本社との接続回線を経由して、インターネットとの通信を行っている。

 だが、Office 365のような通信量の多いSaaSを使っていると、本社におけるプロキシファイアウォールの処理能力が飽和してしまい、体感速度が大幅に低下してユーザーの不満が高まる。

 これを解消するために、例えばSD-WAN(ソフトウェア定義型の広域ネットワーク)を利用して、Office 365との通信を、各拠点から直接インターネット回線経由で行わせるようにする。このような手法をインターネットブレークアウトと呼んでいる。

シスコシステムズの樋口洋一氏

 だが、「インターネットブレークアウトのみがSD-WANの価値ではありません」と、シスコシステムズ エンタープライズネットワーキング事業 プロダクトセールススペシャリストの樋口洋一氏は断言する。

 理由は、インターネットブレークアウトだけであれば、従来型のWANルーターでも対応できるからであり、インターネットブレークアウトは特定の問題をピンポイントで解決するものでしかないからだ。これではROI(投資対効果)がよくない上に、本格的なSD-WAN製品であれば宝の持ち腐れになってしまうと、樋口氏は続ける。

WANのトラフィックに盲点

 では、何のためにSD-WANを導入すればよいのか、答えは「WANの完全な仮想化」だという。だが、そう言われても具体的なイメージが沸かない人は多いだろう。シスコシステムズ エンタープライズネットワーク事業 プロダクトセールススペシャリストの北かおり氏は、国内企業の具体的な事例を挙げて説明する。

 ある金融機関は、WANのセグメンテーション(論理分割)を目的として「Cisco SD-WAN」を導入した。その後、SD-WANによって実現したトラフィックの可視化をきっかけとして、ハイブリッドWAN(本社と拠点間のWAN回線の使い分け)を利用するようになったという。

 この金融機関では、有線LANで接続されたシンクライアント端末で仮想デスクトップ(VDI)を使ってきた。だが働き方改革に向けた新たな取り組みとして、一部社員に無線LAN機能を搭載するノートPCの提供を開始した。

 これに伴う既存業務トラフィックへのインパクトを回避しつつ、同時にセキュリティを向上させるため、Cisco SD-WANを導入し、アプリケーションに基づくWANの論理分割および帯域制御を行った。

 Cisco SD-WANには、WANトラフィックをアプリケーション単位できめ細かく可視化し、制御できる機能がある。これを生かして、既存業務は主系(例えば閉域網)に、帯域を圧迫しがちなWindows Updateトラフィックを副系(インターネット回線)にと、アプリケーション別に使用するWAN回線を分けることが可能だ。この金融機関ではインターネットブレークアウトを行っていないが、Windows Updateのトラフィックを分離して、その影響から既存業務を保護でき、効果を十分評価しているという。

 また、別の業界に属する大企業は、協力企業との1年あるいは数カ月単位といった短期間のプロジェクトが数多く、そのたびプロジェクト専用のネットワーク環境の構築と撤収に時間を要していた。今後は、LTE回線を組み合わせたSD-WANを展開し、その柔軟性と即時性を生かせると見込んでいるという。協力企業にはLTE対応のSD-WANルーターを配布して迅速にSD-WAN化を行い、さらにセグメント機能を生かして、既存業務ネットワークとは論理的に分割されたプロジェクト専用の仮想ネットワークをプロジェクト期間中だけ構築するというものだ。

シスコシステムズの北かおり氏

 北氏が強調するのは、「これまでのようにWANルーターをいったん設置、設定したら、設定内容を(例えば)5年間全く変えない」という時代ではなくなっているということだ。

 さまざまな理由から、WAN要件はダイナミックに変化するようになった。上記の金融機関の場合、きっかけは新たな働き方改革プロジェクトを成功させるためのネットワーク要件だった。さらに可視化で得られた知見に基づき、ハイブリッドWANにSD-WANの用途が広がっていった。

 一方、多くの企業では、多様なクラウドサービスの利用が進展しつつあることで、既存の固定的なWAN運用に大きな課題が突き付けられていると北氏は話す。

 「企業WANでは、ビデオ会議などのコミュニケーションツールに加え、多様なクラウドサービスが次々に使われるようになり、WANを流れるトラフィック量やトラフィックパターンがますます分かりにくくなってきています。以前のように、数年後のトラフィックについての想定に基づき、長期的に有効なWANの構成を決定する手法は、もう限界に達しています」(北氏)

 ではどうすればよいのか。WANを可視化し、アプリケーションごとに、どの程度のトラフィックがどのようなパターンで流れているかを定量的に把握し、これに基づいて、必要な対策を機動的に講じることができる体制を築くべきだという。

CI/CDが困難だった企業WAN、これを救うのがSD-WAN

 アプリケーション開発の現場では、「CI/CD(継続的インテグレーション/継続的デリバリー)」が広がってきた。これは顧客からのフィードバックに基づき、迅速に新機能や改善を投入するサイクルを回していくという意味だ。一度で終わるのではなく、繰り返し実行していくことに価値がある。

 これは、多くの企業における最近の事業活動、そして事業活動におけるIT利用を象徴している。事業活動はますます機動性を求められるようになり、ITもこれに合わせて迅速、柔軟に活用できなければならない。多様なクラウドサービスを社内のさまざまな部署で、自律的に採用する動きが進んでいるのはこのためだ。

 こうした流れに、残念ながら最も大きな後れを取ってしまったといえるのが企業WANだ。もちろんそれには理由がある。企業にとってWANは、ライフライン中のライフラインの一つといえる。設定変更に伴う人的コスト、さらに不適切な設定がもたらすリスクは大きい。安定稼働が最重要視され、それを犠牲にしてまでWANの構成変更を機動的に実行するには、よほどのメリットがなければならなかった。

 ところが過去10年のうちに、多くの産業における事業活動にとって、機動的なITは必須要件と考えられるようになった。IT利用が機動化することで、安定稼働あってこその企業WANですら、これに追随できなければならなくなった。

 そこに登場してきたのがSD-WANだ。SD-WANは、WANの構成変更に伴うコストやリスクの問題を払拭(ふっしょく)する。さらに「ソフトウェア定義」という特色を生かし、通信回線や機器といった物理的、固定的な存在を超え、WANの完全仮想化への取り組みを支援できる。前出の樋口氏が強調していたのはこのことだ。

 まず、優れたSD-WAN製品では、導入拠点と回線におけるWANトラフィックをアプリケーション単位で容易に可視化できる。そして拠点間でIPsecトンネルをメッシュ状に張ることで物理WAN回線によらない基盤(オーバーレイ)を即座に構築できる。個別のアクセス回線(アンダーレイ)と切り離した、アプリケーション視点での優先付けや振り分けなどのトラフィック管理が容易に可能となるわけだ。

 従来、アプリケーション別のきめ細かな制御を行う場合は拠点ルーターごとに膨大な設定を行わなければならず、またその設定は固定的で、状況に応じて容易に変更できるものではなった。今日のようにアプリケーションの利用形態が日々進化し、ITに高い機動性が求められる状況では、このような固定的な個別設定を拠点ごとに施すことは、現実的とはいえない。

 アプリケーション単位で可視化を行い、そのトラフィックを静的、動的に振り分けられること、さらに導入後にも、可視化情報を生かして迅速かつ柔軟に振り分けルールを変更できることが、SD-WANを活用する最大のメリットだ。

 このように見ると、典型的なインターネットブレークアウト用途もSD-WANによる効果の一部にすぎないことが分かる。

 インターネットブレークアウト導入後も、半年、一年と経過するうちに、アプリケーションの利用形態や優先度、ユーザー数は大きく変化する可能性がある。その際にアプリケーション視点で状況を逐次可視化できるか、必要な変更や調整が容易にあるいは動的に実行できるか、といった点が導入したブレークアウトの価値を継続的に生かすための重要なポイントになるだろう。

 さらに、拠点間のWAN接続を、複数グループに論理分割することもできる。この論理分割は、場合によっては拠点内のLANにも延長できる。

 SD-WANネットワークは、パブリッククラウドにも延伸できる。これにより、クラウド環境があたかも自社拠点であるかのようにして可視化でき、社内のさまざまな部署、拠点における特定クラウド、あるいはマルチクラウドの利用を機動的にサポートできる。

 複数国に多数の拠点が散在している場合、WANの統合運用管理は一般に難しい。だが、SD-WANではまず「ゼロタッチプロビジョニング」によってWAN接続作業を簡素化でき、さらにトラフィック可視化機能によって国際的なVPN全体を監視し、トラブルシューティングに生かすこともできる。

 これら全てのことが、SD-WANを導入し、アプリケーション視点での設定を、必要に応じて追加するだけで実現してしまう。

 SD-WANは、企業WANを物理回線から独立した存在に変えてくれる。そして、アプリケーションとビジネスのニーズに応じ、柔軟かつ機動的に組み替えられるものに生まれ変わらせる。これがSD-WANの本質であり、価値の源泉でもある。

WANのリーダーであるシスコがSD-WANを提供する価値とは

 では、WANにおけるリーダーとして長年君臨し続けてきたシスコシステムズ(以下、シスコ)は、SD-WANという新たな世界でどのようなメリットを顧客に提供しようとしているのだろうか。

 同社は2017年に、この分野のリーダー企業だったViptelaを買収。以来、Viptelaのコントローラー(統合管理、制御ソフトウェア)に磨きをかけるとともに、制御対象のエッジノードとして、Viptela製品を継続提供し、さらに自社のルーター「Cisco ISR/ASRシリーズ」における対応を進めてきた。これらの取り組みにより、下図のようにCisco SD-WAN製品群は、仮想ルーターを含めてラインアップが一通りそろったといえる。

 樋口氏は、Cisco SD-WANの優位性として、次の4点を挙げる。

  • SD-WANにおける多様な要件をフルに満たすことができる業界標準の製品群であること
  • SD-WANに最適化されたルーティングとセキュリティ技術を、高い拡張性と堅牢(けんろう)性で実現すること
  • 豊富な導入実績があり、グローバル、日本の双方で高いマーケットシェアを誇ること(実環境で6000デバイスの導入例、グローバルでは2000以上の大型導入実績がある)
  • セキュリティ機能の充実に加え、キャンパスネットワークのSDN(Software Defined Network)である「Cisco SD-Access」との連携が進んでいること

 特に取り上げたいのは、選択肢の広さとセキュリティ機能だ。

 SD-WANは特定の用途、特定のユーザー組織だけのものではない。拠点の規模や数、場所、WAN製品の導入形態や運用体制、課題は多様だ。そこでCisco SD-WANでは、Viptelaから継承したSD-WAN専用CPE(Customer Premise Equipment)と、既存のISR/ASRルーターの一部機種、さらに仮想ルーターで、エッジノードを構成している。

 ISRとASRを組み合わせられるようにしたのは、シスコならではといえる。この2シリーズは、世界中で多数導入されている。これらを既に利用しているユーザー組織は、SD-WANへの移行がスムーズになる。例えば既存のISR/ASRを更新する機会に、SD-WAN機能を導入するといったシナリオも描ける。

 また、SD-WANとセキュリティは切っても切れない関係にある。インターネットブレークアウト一つをとっても、従来のセンター集約型セキュリティモデルとの整合性をどう取るかを考えなければならない。そこで、例えばファイアウォールなどのセキュリティ機能を搭載したISR/ASRシリーズを活用することが考えられる。加えてCisco SD-WAN製品群全体が、シスコの充実したセキュリティ製品群との連携を進めている。これも、シスコならではのポイントだ。

 例えばSD-WANでは、クラウド型のWebプロキシと組み合わせることがある。シスコではクラウド型のセキュアインターネットゲートウェイ(SIG)の「Cisco Umbrella」で、Webプロトコルにとどまらない保護を実現しており、このサービスと連携ができる。さらに近い将来、Cisco SD-WANエッジノードからUmbrellaへの自動IPsec接続機能が搭載される予定だ。これにより、各拠点からのセキュアなインターネット利用環境を、迅速に準備できるようになる。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:シスコシステムズ合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年11月19日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。