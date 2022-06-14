IT infrastructure

SD-WANとは

父と息子がファミリー・ビジネスの事業所まで一緒に歩いている。

SD-WANとは

ソフトウェア定義型ワイド・エリア・ネットワーク（SD-WAN）は、小規模なWANネットワークや切断されたWANネットワークの管理を抽象化して一元化する仮想WANアーキテクチャーです。

SD-WANを使用すると、組織は、広大な地理的距離と複数の通信インフラストラクチャーにまたがる支店、リモートワーカー、および許可されたデバイス（「ノード」とも呼ばれる）間でデータとアプリケーションを共有できます。

SD-WANアーキテクチャーは、1つ以上の物理WANネットワーク上にあるソフトウェア定義型WANレイヤーと考えてください。SD-WANアーキテクチャーはソフトウェア・ベースであるため、ITスタッフはこのアーキテクチャーを使用して、ネットワーク・リソースの優先順位を決定するといったガバナンス・ポリシーを設定し、ユーザー権限を調整および強制し、その下にあるWANネットワーク全体のセキュリティーへの脅威を監視できます。アーキテクチャー層のSD-WANソリューションからWANネットワーク内のエッジ・デバイスをリモートで制御することもできます。

強力なSD-WAN監視戦略は、混合ネットワーク環境でパフォーマンスを効果的に監視、管理するため、ビジネスの成功に不可欠です。

WANとSD-WANの比較

従来のWANは、イーサネットやWi-Fiネットワークなどの複数のローカル・エリア・ネットワーク（LAN）内のデバイスとの間でデータを送受信する物理ルーターのネットワークです。WANは、マルチプロトコル・ラベル・スイッチング（MPLS）など、複数のプロトコルの1つを使用してデータを送信できます。MPLSは最短の物理パスを使用してWANトラフィックをルーティングするプロトコルです。

単一のLANはオフィス・ビルなどの物理的な場所に限定されますが、WANには、同じオフィス内だけでなく、数マイル離れた異なる建物内にある複数のLANを含めることができます。

ただし、WANは、その地域の通信回線と、インターネット・プロバイダーのトランスポートサービスのサービス・レベル契約（SLA）に制限されています。たとえば、その地域のインターネット・プロバイダーが提供するケーブルまたはブロードバンド・インターネットを介して情報を伝送するWANは、その物理インフラストラクチャーを超えて拡張することはできません。つまり、WANネットワークが両方のオフィスの20個のLANをすべて包含できるのは、両オフィスが同じトランスポート・サービスを共有しているためです。組織が別のトランスポート・サービスを使用する地域にある3番目のオフィス・ビルを所有している場合は、そこにあるLAN接続を管理するために別のWANが必要になります。さらに、WAN内のオフィスは、インターネット・アクセスが保証する帯域幅に制限されます。この点で、SD-WANには従来のWANに比べていくつかの利点があります。

SD-WANは、一連のルーターベースのWAN上に存在するソフトウェア・レイヤーとして機能するため、これらのWANが直面する物理的な制限を超えて拡張されます。そのため、さまざまな地域、インフラタイプ、トランスポート・サービス・プロバイダーにまたがるすべてのネットワークト・ラフィックを、どこからでもアクセス可能な単一のアプリケーションから監視、制御、最適化することができます。逆に、一連のWANネットワーク上にSD-WANがない場合、個々のWANの制御と構成はハードウェア・レベルに制限されます。

SD-WANとSASEの相違点

セキュア・アクセス・サービス・エッジ（SASE）アーキテクチャーは、SD-WANの代わりとなるものです。どちらのアーキテクチャー・タイプもWAN最適化の一形態として機能し、ソフトウェア定義型ネットワーク（SDN）のより広いカテゴリに分類されます。ただし、SD-WANが抽象化されたソフトウェア・レイヤーで一連のWANの管理を集中管理するのと同じように、SASEアーキテクチャーは、ネットワークの管理サービスとセキュリティ・サービスを、ネットワークのエッジ近くまたはネットワークのエッジに常駐するクラウドベースの環境へと抽象化します。

SD-WANアーキテクチャーは拠点間の接続に重点を置いていますが、SASE環境ではネットワーク・エンドポイントとネットワークを使用するデバイスが考慮されます。

SD-WANの仕組み

SD-WANアーキテクチャーは、基盤となる各WANネットワーク固有の構成設定を統合して一元化するソフトウェアベースのコントローラーを確立し、データ・プロビジョニング、ネットワーク・セキュリティ・プロトコル、ポリシー設定を複数のWANエンドポイントとエッジ・デバイスに対して同時に調整できるようにします。

この一元化されたソフトウェア・レイヤーは、SD-WANデバイスを介して管理するWANネットワークとの間に暗号化されたトンネル（「オーバーレイ」とも呼ばれる）を確立することで形成されます。各WANの拠点には、物理WANネットワークとSD-WANソフトウェア・レイヤー間の通信ハブとして機能するSD-WANデバイスが備わっています。このデバイスは、その上の集中型SD-WANレイヤーからカスタム定義の構成とトラフィック・ポリシーを受信して適用します。これらの物理的なSD-WANデバイスはリモートで管理でき、SD-WANレイヤーがWANの物理的な境界を越えて動作できるようにします。

SD-WANのユースケース例

  • クラウドとエッジ・コンピューティングのモデル：SD-WANは、フル・データ・メッシュ・アーキテクチャーの一部として構成することで、大量のデータをエッジで処理する分散型コンピューティング環境を実現できます。これにより、WANネットワークから生じるるデータ・バックホールが軽減されます。これは、WAN内のすべてのデータ転送が組織の企業データセンターを経由するためです。WANネットワークの使用頻度が高い場合、このデータセンターでデータがボトルネックになる可能性があります。5車線の車が1つの料金所を通ることを余儀なくされているところを想像してみてください。SD-WANを使用すると、クラウド環境だけでなく、エッジに近いデバイスやエッジ上のデバイスに処理能力を割り当てて管理できるため、データとアプリケーションのトラフィックをデータセンター経由でルーティングする必要がなくなります。
  • ネットワーク全体にわたるエンドツーエンドのセキュリティ統合： SD-WANアーキテクチャによって仮想ネットワークが構築されるため、セキュリティー用のSD-WANソリューションは、物理ベースまたはクラウドベースのインフラストラクチャーのどのポイントでも統合することができます。さらに、SD-WANは、複数のWANで構成されるネットワーク全体に単一の可視性ポイントを提供します。その結果、セキュリティーの監視と管理が一元化され、スケーラブルになります。セキュリティー・ポリシーは、ネットワーク全体に対して定義することも、暗号化されたトンネルを介してネットワークの特定のセクションに対してカスタマイズすることもできます。
  • 一元管理：SD-WANは、複雑な一連のWANネットワークに単一の制御ポイントを提供し、許可されたユーザーはこの制御にどこからでもアクセスできます。たとえば、2社の金融会社が合併した場合、SD-WANは両方の組織にまたがる異なるWANネットワークの管理を、抽象化されたソフトウェア・レイヤーにすることができます。この一元化された管理の中で、ITスタッフはネットワークをセグメント化してネットワーク全体をより小さいセグメントに分割し、ローカライズしたポリシーを設定して適用できます。その結果、ITスタッフは、ネットワーク全体の全体的な可視性と管理を維持しながら、ネットワークをある程度きめ細かく制御できます。
  • 特定のアプリケーションに対してSLAを確実に満たす：SD-WANを使用すると、ネットワーク管理者はミッションクリティカルなアプリケーションの優先順位を定義、調整することで、要件を満たすために必要なネットワーク・リソースと経路を常に確保できます。交通量の多い高速道路で、ミッションクリティカルなデータを必要な場所にできるだけ早く届けるために専用の相乗りレーンが確保されているところを想像してください。この「相乗り車線」はネットワークの5G帯域幅である可能性があり、ゆっくりと移動する車線はネットワークの4G LTE帯域幅である可能性があります。ITスタッフ・メンバーは、SD-WANインターフェースを介して、目的地にできるだけ早く到達するためにどのアプリにこの車線を使わせるかを指定します。

SD-WANはVPNなのか？

SD-WANは仮想プライベート・ネットワーク（VPN）ではありません。SD-WAN アーキテクチャは、基盤となる1つ以上のWANネットワーク上の全デバイスの中央ゲートウェイとして機能します。対照的に、VPNは、インターネットなどのパブリック・ネットワークを介してプライベート・ポイントツーポイント接続を確立します。VPNインターネット接続の場合、ネットワーク・トラフィックは、VPNプロバイダーのプライベート・サーバー・ネットワークによって管理される暗号化されたトンネルを通じてルーティングされます。

SD-WANのメリット

SD-WANは、複数のWANの基盤となるネットワーク・サービスを組み合わせているため、これらのサービスのいずれかを利用して各アプリケーションのパフォーマンスの最適化を実現できます。これらのサービスには、トランスポート・サービス、帯域幅容量、ファイアウォール設定などのセキュリティー機能といった物理インフラストラクチャーが含まれます。最適化された各アプリケーションの設定は、アプリケーションのパフォーマンス監視によって決定され、ポリシー設定を通じて構成されます。

SD-WANは仮想化レイヤーとして存在するため、従来のWANに比べて次のようないくつかのメリットがあります。

  • ハイブリッド・ネットワークの管理に適している：SD-WANを使用すると、ITスタッフはプライベート・データセンター、パブリッククラウド、 エッジ・デバイスで構成される複雑なハイブリッド・ネットワーク接続を管理できるようになります。このハイブリッド環境の一元管理は、仮想化とパブリッククラウドの導入を必要とするデジタル・トランスフォーメーションの取り組みに不可欠です
  • 俊敏性：SD-WANはネットワーク管理を簡素化し、ITスタッフがトラフィックをリアルタイムで効率的に監視および調整して、ビジネスの需要に迅速に対応できるようにします。さらに、この簡素化された管理により、ネットワーク・デバイスの自動構成に使用されるSD-WAN機能、ゼロタッチ・プロビジョニング（ZTP）を通じて、ネットワーク・リソースのより迅速なプロビジョニングも可能になります。
  • 効率性とコスト削減：SD-WANテクノロジーにより、コントロール機能があるWANの地理的な場所へのITスタッフ・メンバーの訪問や派遣など、多くの物理的なタスクが不要になります。これにより、ネットワーク管理のコストが削減され、効率性が向上します。SD-WANによって既存のリソースをより有効に活用することもできます。たとえば、1人のITスタッフ・メンバーがSD-WANソフトウェア・レイヤーを使用して、重要性の低いトラフィックをコスト効率の高いトランスポート・サービスに振り分けたり、安全なMPLS接続を介してミッションクリティカルなトラフィックや機密性の高いトラフィックを送信したりすることができます
  • 高性能アプリケーションとユーザー・エクスペリエンスの向上： SD-WANレイヤーで実施されるパフォーマンス監視により、ITスタッフは各アプリケーションに最適なネットワーク設定を決定できます。ITスタッフは、トラフィックを適切なトランスポート・サービスにリダイレクトし、ネットワーク設定を調整することで、アプリケーションの遅延を減らし、エンドユーザーへの可用性を向上させることができます。たとえば、ミッションクリティカルなアプリケーションが使用しているリソースが突然使用できなくなった場合、ネットワーク・リソースをフェイルオーバー・オプションとして設定できます。障害が発生した場合、アプリケーションは即座にフェイルオーバー・リソースにリダイレクトされ、サービスの中断を防止または最小限に抑えます。
  • 従来のMPLSベースのWANよりも迅速な展開：SD-WANは物理リソースを管理する仮想抽象化であるため、ハードウェア構成が必要なMPLSベースのWANよりも迅速に展開できます。MPLSベースのWANは物理コンポーネントの購入、設置、実装が必要となり、展開時間が長くなる可能性があります。SD-WANは、オンプレミス、クラウドベース、またはハイブリッド展開にすることができます
  • パケット損失とジッターの削減：従来のWANの通信回線で技術的な問題が発生すると、パケット損失とジッターが発生する可能性があります。パケット損失は、要求されたすべてのデータが意図した宛先に到着しない場合に発生します。一方、ジッターは、データ・パケットの送信時と到着の間の長時間の遅延の結果です。たとえば、ビデオ会議の画像と音声が歪むと、ユーザーはジッターを経験します。

SD-WANは、トラフィックをリダイレクトすることで、基盤となるWANの1つからの回線の問題を克服できます。また、ITスタッフはSD-WANを自動化して、次のサービス品質（QoS）テクノロジーのいずれかを実行して、パケット損失とジッターを軽減することもできます。

  • 前方誤り訂正（FEC）：この手法は、同じデータ・パケットの複数のコピーを送信することで、パケット損失を減らすのに役立ちます。
  • ジッター・バッファー：この手法には、データ・パケットを保持し、一定の間隔で解放して高いネットワーク遅延を補償することが含まれます。赤信号で待っている車が 30 秒間隔で数台ずつ前進できる場面を想像してください。
  • 否定応答（NACK）： パケット損失が発生した場合、この手法は、欠落している特定のデータを検出し、欠落している情報を迅速に再送信します。

SD-WANの種類

一般的なSD-WANアーキテクチャーには次の3つがあります。

  1. インターネットベースのSD-WAN
  2. 電話会社またはMSP サービスのSD-WAN
  3. サービス型マネージドSD-WAN

インターネットベースのSD-WANは「Do it Yourself」SD-WANとも呼ばれ、組織が社内リソースを使用してSD-WANを展開するときに発生します。企業のITスタッフは、必要なSD-WANデバイスの設置、SD-WANソフトウェアの展開、SD-WANの継続的なメンテナンスと管理を担います。

電話会社またはMSPサービスのSD-WANは、組織がサービス・プロバイダーに料金を支払って、WANの拠点全体へのSD-WAN接続を設置し、提供してもらうものです。プロバイダーは、機器と人員を提供するだけでなく、必要なネットワークと転送サービスが確実に利用できるようにします。

サービス型マネージドSD-WANを使用すると、組織はソフトウェア・オーケストレーションを通じてプロバイダーの既存のSD-WANアーキテクチャーにアクセスできます。このSD-WANはプロバイダーのプライベート・ネットワーク上に存在し、多くの場合、サービス型ソフトウェア（SaaS）として顧客に提供されます。

