SD-WANって言葉をよく聞くけど、実際どういう意味なんだろう?
SD-WANはよく聞く単語だけど、実はその中にはいろんな機能や要素が含まれてるんだ。全体像を把握するためにも、まずはその要素である細かい機能について解説するよ。
目次
SD-WANとは
SD-WANとは、ソフトウェアによってWANネットワークを制御する技術のことです。
元々SDN(Software Defined Networking)という、ネットワークをソフトウェアで制御する技術がありました。こちらは基本的に企業LANで使われる技術なのですが、それを拡張し、WANにまで適用できるようにしたのがSD-WANになります。
ですので厳密に言うと、広範囲に及ぶネットワークで使用されていなければ、SD-WANとは言えません。ただややこしいので、ソフトウェア制御で広域ネットワーク全体を制御・管理できる技術がSD-WANという理解でOKです。
SD-WANでできること
SD-WANではさまざまな機能を提供しており、ネットワークの利用者だけでなく、運用・構築面でもさまざまなメリットを提供してくれます。
その例を下記にていくつか紹介していきます。
ローカルブレイクアウト
前回紹介したローカルブレイクアウトもSD-WANの一種です。
詳しくは前回の記事を参照ください。
これはNW帯域全体の効率利用につながりますので、利用者目線でメリットがある機能になりますね。
ゼロタッチプロビジョニング
ゼロタッチプロビジョニング(ZTP)とは、機器への設定作業を遠隔で実施できる機能になります。わざわざ現地に赴いて設定作業をしたりする必要がありませんので、最低限のIP設定などを実施しておけば、あとは遠隔で設定ファイルやファームウェアのアップグレードなどを読み込ませることができます。
設定ファイルやファームウェアは中央管理しているZTPサーバにて管理、配布を行います。
そのため、事前に用意さえしておけば、現地設置後から導入までの時間を短縮することが可能です。
また、設定ファイルに関しては、DNSやNTPなど、複数拠点・機器で共通の設定を、テンプレートとして作成したりできます。そのため「この拠点では設定したが、他の拠点では設定が漏れていた」といった些細なミスを防ぐメリットもあります。
このように、ミスや時間短縮・効率を実施できると言う面で、構築者や運用者向けにメリットのある機能となります。
NW管理
SD-WANの機能を使えば、社内のNW管理が可能です。いくつか例をあげると
・社内トラフィックの可視化
・社内NW機器の一元管理(台数や各機器のVersionやS/Nなどの情報)
などです。
SD-WANを導入することによって、大抵のベンダーで一元管理を実施するサーバが導入されます。そのGUI上では、管理する各NW機器の通信状態を含めたデータを管理し、グラフ化したり統計として蓄積をすることが可能となります。
また、SD-WANではどこに機器があり、どのように接続されているのかを図示する形で表示できますので、構成をGUI上で一目で判断できるという点でもメリットがあります。
これらの機能は主に運用面でメリットとなる機能となります。
負荷分散
SD-WANではソフトウェア制御により、事前に決めていたポリシー等にしたがい、通信の負荷分散を行うことができます。
よくある例でいうと、WAN回線を2本接続し、それらをSD-WAN機能により、1本の仮装WANとしてまとめる構成です。こうすることによって、WAN側への通信をラウンドロビン方式で振り分け、擬似的にLAGを組んで負荷分散をしているような状況を作り出すことが可能です。
ラウンドロビン方式は一例ですが、WANの帯域圧迫や障害を検知してトラフィックを切り替えたり、分散するといったことも可能になります。
この機能は、利用者向けにメリットのある機能となります。
SD-WANのリスク
ここまでSD-WANのメリットを紹介しましたが、当然導入にはいくつかリスクもあります。
導入を検討する際には以下の点に注意しましょう。
セキュリティ対策が必要
SD-WANではいくつかセキュリティ面でのリスクがあります。例として挙げると
・ローカルブレイクアウト構成におけるセキュリティリスクの増加
・SD-WANコントローラの脆弱性がNW全体に拡大する可能性がある
などです。
ローカルブレイクアウト構成時のリスクですが、上記で挙げた記事でも述べている通り、FW等を介さずに直接インターネットに抜ける構成となるため、セキュリティリスクは増加します。
また、SD-WANコントローラの脆弱性が発生してしまうと、そこを起点として管理しているNW全体に影響を及ぼすような攻撃の恐れがあります。
どちらにしろ、新しい構成に対して、懸念すべきセキュリティリスクが増えるのは当然です。
導入時には、メリットだけでなく、セキュリティ面も含めて費用や効果を検討するようにしましょう。
ゼロタッチプロビジョニングにはいくつか前提条件が必要
ゼロタッチプロビジョニングを使用するには、離れた場所にあるSD-WANコントローラへアクセスするための回線・IP設定やポート設定が必要となります。
回線は申し込みして設置するだけでOKでしょうが、IP設定に関しては既存のNWの要件によって変わる部分もあります。たとえばDHCP構成の場合であれば、SD-WANクライアントがIPを取りにいくような設定が必要になります。PPPoEなどの構成であれば、FQDNの登録が必要となったり、ある程度の初期構築は必要となってきます。
はじめ私がゼロタッチプロビジョニングを学んだ時は、完全自動で構築可能かと勘違いしたのですが、拠点にSD-WANクライアント機器を設置・ケーブルを好きなところに挿しておわりとなるのはまだまだ難しそうです。
機器ベンダーを揃える必要がある
SD-WANですが、機能を最大限利用するためには、NW全体でできる限りベンダーを揃えることが望ましいです。(※全部同じにしないと使えないわけではありません。)
なぜかというと、メーカーごとに独自のプロトコルや規格を利用していることがあるからです。例えば、メーカA-メーカB-メーカAという構成の場合、メーカA対応のSD-WANコントローラからは、メーカAの機器管理しかできません。そのためメーカBの障害等をSD-WANの管理機能で察知できないという可能性があります。
それ以外にも、ゼロタッチプロビジョニングによる設定ファイル、ファームウェエア転送がうまく動作しない、といったリスクも考えられます。
ローカルブレイクアウトに関しては、拠点機器の単一機能として実施可能なパターンもありますが、それ以外の機能もしっかり利用したい場合は、NW全体でできる限りベンダーを揃えるのが望ましいです。
まとめ
SD-WANといってもさまざまな機能があり、それぞれに制約事項やデメリットもあります。
制約事項の中には費用面や現状構成からの移行の関係で実施できる範囲が限られることも多いかと思います。
それらをうまく取捨選択し、最適な提案ができるようにSD-WANの全体像とリスク・リターンを把握するようにしましょう。