クロスサイド 鈴木です。
クロスサイドはVMware SD-WANの導入支援を数多く提供しています。

今回はそんなSD-WANの魅力を伝えるために、全5回でVMware SD-WANのハンズオンシナリオを紹介します。第1回では、ハンズオンの前提知識となるSD-WANの概要について説明します。

SD-WANの定義

このブログに限らず「SD-WANとは何か」を解説している記事は多数存在します。しかし、どの記事も定義はバラバラです。メーカー公式ドキュメントは非常に読みやすい文書ですが、メーカーのポジショントークには十分注意しなければなりません。他方、ONUG(Open Networking User Group)のようなメーカーとは独立した機関が公表する資料は、客観性はあるものの非常に難解な文章で意味を理解するのは非常に困難でしょう。以下、「ONUG Software-Defined WAN Use Case」で定められている10個の要件のうちの3つを紹介します。

• Ability for remote site/branch to leverage public and private WANs in an active-active fashion for business applications.
• Ability to deploy CPE in a physical or virtual form factor on commodity hardware.
• A secure hybrid WAN architecture that allows for dynamic traffic engineering
  capability across private and public WAN paths as specified by application
  policy, prevailing network WAN availability and/or degradation at transport or
  application layer performance.

SD-WANを触った事がない人はONUGの定義が全く理解できないかと思います。しかし、安心して下さい。全5回の記事を読み切れば、ONUGの定義は至極当たり前と思えるようになります。全5回VMware SD-WANハンズオンシナリオの第1回では、手を動かす前にSD-WANの概要を説明します。以下、SD-WANの特徴を示す導入メリット3点を導入事例を踏まえつつ紹介します。

SD-WANの導入メリット

SD-WANのイメージが湧きやすくするために導入事例をいくつか紹介します。

SD-WANの導入メリットは様々です。特殊な事例を挙げれば「アプリケーション可視化」を目的としてSD-WANを導入されたお客様も居ますが、多くの事例では「インターネット回線の有効活用」「広域網設定の簡素化」「ローカルブレークアウト」などの目的としてSD-WANを導入します。以下、主なSD-WANの導入メリット3つをやや掘り下げて解説します。

インターネット回線の有効活用

基幹系のシステムを思い浮かべてください。基幹系システムの性質によっては、インターネットの10秒程度の障害でも大きな業務影響になる事もあるでしょう。このように大きな業務影響が発生する場合は、安価なインターネットではなく高信頼性で高価な閉域網を使用する事があります。

このような状況に対して、SD-WANは回線費用のランニングコスト低減を図れます。SD-WANは2本以上の回線を束ねて高信頼性のトンネルを確立する事ができます。高価な1つの閉域網よりも安価なインターネット網を2つ組み合わせた方がランニングコストはお得になります。イメージ図で表すと以下の通りです。

ここでネットワークの実装が得意な人は疑問に思うかもしれません。「もしかして、IPSec + ECMPでも同様の実装できるかな」と。この疑問は正しいです。2つ以上のインターネット回線を束ねるだけならば、SD-WAN製品に頼らなくても実装可能です。VMware SD-WANは単にインターネット回線を束ねるだけではなく

• パケット単位でActive/Activeの負荷分散する (ECMPはポート番号などのハッシュ値に基づく負荷分散)
• 障害発生時に高速な切り替わりを提供する
• パケットロスが発生した場合にSD-WAN装置が再送要求処理をする

などのレガシールータでは提供できない負荷分散と高信頼性の機能を提供します。

この辺りの機能は全てのSD-WAN製品で実装されているわけではありません。今のところ(2023年5月時点)、ここまでの負荷分散と高信頼性の機能を提供できているのはVMware SD-WANのみです。VMware SD-WANはDMPO(Dynamic Multipath Optimization)と呼ばれる特別な機能によって負荷分散と高信頼性を提供します。VMware SD-WANの核となるDMPOは6月に記事作成予定です。

広域網設定の簡素化

SD-WAN製品は下図に示すような拠点数が多いような環境において、設定簡略化のメリットをもたらします。

拠点数がnで互いに疎通可能な状態にするならば、n(n-1)のIPsec設定が必要になります。このような構成は拠点数が増えれると設定量が二次関数的に増大します。拠点数が少ない環境ならば人海戦術でIPsecを設定を作成しても良いかもしれませんが、拠点数が増えれば次第に人の手に負えなくなってきます。このような状況に対して、設定簡略化の機能を提供するのがSD-WAN製品です。ただし、どの程度に簡略化されるかは製品によって異なりますので、機器選定の際は入念にチェックしましょう。SD-WANを自称している製品でも設定が手間な製品はあります。

ローカルブレークアウト

多くのエンタープライズ環境では本社機能を提供する拠点でセキュリティを担保します。具体的には、ファイアウォールやプロキシサーバが本社やデータセンターに配置される事が多いでしょう。そのため、ファイアウォールやプロキシサーバは高負荷になりがちで従業員の作業を阻害する事があります。

このような状況に対して、SD-WAN製品は一部の通信を直接インターネットへ向ける事で本社機能の負荷低減を図ります。よく見られる事例では、Office365などの悪用困難と判断される通信を直接インターネットに向けます。このような直接インターネットに向ける機能はローカルブレークアウト(VMware SD-WANでは「ダイレクト」と呼称される事もある)と呼ばれす。

以下にローカルブレークアウトのイメージ図を示します。

総括

SD-WAN製品はWAN回線に対して様々な機能を提供します。ここに示した機能は極一部に過ぎず、ここに示されていない機能を目的としてSD-WAN製品を導入するお客様も居ます。また、高信頼性やコスト圧縮が求められないならばレガシールータでも十分実装可能でしょう。レガシールータでも実装できる事とSD-WAN製品でしか実装できない事をご理解の上でSD-WAN製品の導入を決定して頂けると幸いです。

次回は、具体的なVMware SD-WAN製品の操作を解説します。