Blog

SD-WAN デプロイメントについて

Bin Han Published June 11, 2024

本稿ではSD-WAN のデプロイメントについて、紹介したいと思います。

ブランチサイトでのインターネットの利用を推進する要因の1つは企業内へのクラウドサービスの浸透です。今日、多くの企業で、SaaS のサービス、例えば、Office 365、Saleforce、Zoom などを利用しています。

従来のWANアーキテクチャはエンタープライズのブランチサイトからのクラウドサービス接続には適していません。どうしてでしょうか? 通常、インターネットに接続されたすべてのトラフィックは、高価なプライベートWANリンクを介して中央サイトにバックホールされるからです。

SD-WANがない場合、インターネットとプライベートWANリンクを組み合わせるには複雑なセットアップが必要です。また、トラフィックパターンに対して複数なファイアウォールロールのセットアップも必要です。これは企業にとって、膨大な運用コスト及びデプロイメントコストが掛かります。

アプリケーションとネットワークリンクの状態に基づいて各ネットワークリンクのルーティングを手動で調整するために、アプリケーションのIPアドレス(ほとんどクラウドタイプアプリケーションのIP アドレスが固定ではない) を追跡することが必要です。この手動調整はネットワーク管理者にとって本当に悪夢です。

SD-WANでは、企業のビジネスポリシーを基づいたWANの設定及び調整を自動化できます。クラウドタイプSaaS アプリケーションは直接クラウドに送信するか、中間のクラウドサービスにフォワ―ドするか(SASE)、あるいいは中央サイトにバックホールするか、を企業ビジネスの優先度に基づき決定できます。SD-WAN のソリューションは、ビジネスの優先順位とリアルタイムのネットワークリンクの状態に基づいて、アプリケーションを配信するために最も適切なネットワークリンクを選択することができます。

SD-WANを使用すると、企業は利用しているSaaSアプリケーションを監視しながら、アプリケーションのパフォーマンスを維持し、アプリケーショントラフィックをインターネットあるいはプライベートネットワークに誘導することができます。

ブランチサイトのSD-WAN デプロイメントには主に2つのタイプがあります。

1.インターネットWAN ブランチのデプロイメント

このタイプのブランチは、ブロードバンド、ワイヤレス(4G あるいは 5G)およびファイバーの任意の組み合わせである1つ以上のインターネットリンクの終端があります。重要なビジネスアプリケーションと優先度の低いトラフィックは、異なるサービスレベル(SLA)で同じインターネットリンクを通過します。そして、2つのインターネットを備えたSD-WANは、パケットごとにアプリケーションを動的に操作することができます。

インターネットのベストエフォートによる一時的なパフォーマンスの問題を克服するために、SD-WANは、前方誤り訂正(Forward Error Correction: FEC)などのオンデマンドの修復を実行して、パフォーマンスの問題を軽減できます。

2.ハイブリッドWAN ブランチのデプロイメント

ハイブリッドWANは、プライベートWANとインターネットリンクの組み合わせを利用します。企業によってはデュアルプライベートWANリンクを利用するケースもあります。通常はインターネットリンクがバックアップリンクとして利用されます。また、重要なアプリケーションの安定性を確保するためには、プライベートWANの帯域幅を増やす必要があり、それにはコストが掛かります。SD-WAN の特徴はアプリケーションのパフォーマンスを確保するために異種ネットワークを監視・管理できることです。

SD-WANがビジネスポリシーを抽象化することによって、すべてのアプリケーションのルーティングプロトコルを手動で調整しなくても、使用可能なすべてのリンクを利用できます。例えば、バーストのトラフィックはインターネットを使用し、優先度が高いリアルタイムアプリケーションはプライベートWANリンクを通過させることができます。ファイル転送のアプリケーションはすべてのリンクを利用できます。企業がコンプライアンスまたはセキュリティ上の理由であるアプリケーションを特定のリンクに固定する必要がある場合、SD-WANは、そのアプリケーションごとにリンクを制御することができます。

最後にSD-WAN へのマイグレーションの例を紹介します。

例1:SD-WAN ブランチサイトをデータセンターに接続

SD-WANサイトを追加するためには、WANヘッドエンドを交換したり、あるいはデータセンターに新しいデバイスを追加する必要はありません。SD-WANソリューションは企業ですでに広く使用されている標準のIPSec の技術をサポートするので、企業内のWANヘッドエンドあるいはデータセンターとIPsec トンネルを張ることができます。

例2:ファイアウォールとSD-WAN の組み合わせ

すでにファイアウォールがデプロイされたブランチサイトは、SD-WAN デバイスをファイアウォールのパブリックインターフェイスの前に配置することができます。ファイアウォールのセキュリティポリシーを変更する必要がありません。SD-WAN はより管理が容易で、かつ信頼性の高いWAN 接続サービスを提供できます。

例3:MPLS WAN ルータとSD-WAN の組み合わせ

企業は、WANルーターやレイヤー3 LANスイッチなど、既存のインフラストラクチャに大幅なコンフィグレーション変更を加えることなく、特定のトラフィックをSD-WANデバイスにオフロードすることができます。

例えば、SD-WANデバイスはOSPFなどのルーティングプロトコルを介して、該当するネットワークトラフィックのサブネットをアドバタイズすることができます。それによって、指定されたトラフィックがSD-WANデバイスに到着すると、SD-WAN のポリシーに基づいて、このトラフィックはSD-WANオーバーレイを介して転送するか、従来のWANデバイスで処理するかを決定することができます。

例4:複数ブランチサイトのSD-WANの組み合わせ

従来のデプロイメントにはハブアンドスポークアーキテクチャが多くみられますが、このアーキテクチャは静的であり、かつアプリケーションのパフォーマンスが最適化されない可能性があります。ブランチサイト間のトラフィックを優先的に対応したい場合には、この2つのサイト間に静的なトンネルを張ることで対応できますが、ブランチオフィスの数が増えると、スケーラビリティと管理の課題に直面するだけでなく、これらのリモートブランチがインターネットVPNを介して接続されている場合だと、静的に定義されたWANポリシーは機能しなくなる可能性があります。SD-WANデバイスは、ブランチ間通信のスケーラビリティ、管理性、信頼性、およびセキュリティの問題を解決することができます。

以上、SD-WANデプロイメントについていくつかのオプションを含めてご紹介しました。

次回はExtremeCloud SD-WANが提供するアプリケーションの可視化機能についてご紹介します。