SD-WAN 2.0としての機能の豊富さにおいて、Cisco SD-WANは際立っています。SD-WAN 2.0は第3回で紹介した通り、SD-WAN本来の役割であるWAN帯域幅(回線容量)の効率的な利用に加え、他のネットワーク機能と連携することで、拠点ネットワークに関するさまざまな課題を解消するSD-WANを指します。
そうしたSD-WAN 2.0としての豊富な機能を実現できている大きな理由は、Cisco Systemsがもともと開発、提供していたルーター製品群「Cisco Integrated Services Router」(Cisco ISR)に旧ViptelaのSD-WANルーターである「vEdge」の技術を取り込んでいる点にあります。これによりCisco ISRは従来の用途に加えて、SD-WANルーターとして利用することも可能になりました。
例えばCisco SystemsがSD-WANルーターの機能として特に強調するのは、セキュリティ機能です。Cisco ISRは、単体でアプリケーションファイアウォール(WAF)やURLフィルタリング、IPS(不正侵入防止システム)といったさまざまなセキュリティ対策が可能です。Cisco Systemsは今後、キャンパスネットワーク(構内ネットワーク)用のスイッチやデータセンター用のスイッチ、無線LAN機器などとSD-WANルーターとの連携を強化し、自社製品におけるネットワーク機能の統合をより広げるビジョンを掲げています。
パケットレベルロードバランシングが可能な「VeloCloud」
VMwareが開発、提供するSD-WAN製品が、VMware SD-WANです。Cisco SystemsがViptelaを買収したことと同様に、VMwareはVeloCloudを買収してSD-WAN製品を自社製品群に取り込みました。
このVMware SD-WANには、大きく分けて3つの特徴があります。1つ目は、CLI(コマンドラインインタフェース)による操作画面が存在せず、トラブルシューティングを含めて全ての操作をGUI(グラフィカルユーザーインタフェース)で実行可能である点です。CLIが存在しないため、旧来のネットワーク機器のような、そのネットワーク機器独自のコマンドを意識する必要がなく、製品の操作に慣れていなくても運用や監視が可能です。
2つ目は、接続方式がPPPoE(Point-to-Point Protocol over Ethernet)の場合でも、設定を遠隔でネットワーク機器に適用する「ゼロタッチプロビジョニング」が可能だという点です。他のSD-WAN製品は、PPPoEの接続方式となる回線を利用する場合、インターネット接続用の設定を事前にネットワーク機器側に施しておく必要があり、ゼロタッチプロビジョニングのメリットが減じてしまいます。VeloCloudは、PPPoE接続の場合であってもネットワーク機器への事前設定は必要ありません。
VMware SD-WANは、コントローラー(Web画面)でゼロタッチプロビジョニング用のURLを発行できます。拠点の設置担当者は、SD-WANルーター「VeloCloud Edge」に工場出荷時から設定されているSSID(サービスセット識別子)へクライアントPCから無線LANで接続し、その際に発行されるURLへアクセスするだけでゼロタッチプロビジョニングが完了します。
3つ目は、トラフィック制御の機能として「DMPO」(Dynamic Multi-Point Optimization)という独自技術を搭載していることです。DMPOは、データ伝送の遅延やパケットロス、到着順の入れ替わりといったWANの通信品質を低下させる問題をリアルタイムで検知し、修正することで通信品質を改善することが可能です。DMPOを利用することにより、WANの通信品質の低下によって発生するWeb会議やストリーミングコンテンツの音声や映像の途切れなどの問題を解決できます。
複数のWAN回線を利用している場合は、複数の回線を仮想的に1本の高速回線として利用し、パケット単位でロードバランシングを実行することも可能です。一般的なルーター製品で利用可能なセッション(通信の開始から終了までの接続)単位のロードバランシングよりも細かい単位で実行するため、エンドユーザーがWAN高速化を体感しやすくなっています。
アプリケーション識別のファーストパケット問題に強い「Silver Peak」
アプリケーション識別によるトラフィック制御において、ファーストパケットを正常に識別できないことによる「ファーストパケット問題」があります。ファーストパケットとはセッションが確立する際に最初に送信されるパケットであり、ファーストパケットではアプリケーション識別が正確に機能しない場合があります。ファーストパケットを通過して、通信の途中からパケットがアプリケーション識別されると、通信経路が切り替わりセッション情報がリセットされてしまったり、Web会議のリアルタイム性が損なわれる通信の瞬断が発生してしまったりします。この問題は、一度アプリケーションの識別が完了すると次からの通信では発生しませんが、アプリケーション識別によるトラフィック制御を実装する場合には考慮する必要があります。
SD-WANのアプリケーション識別の機能は、基本的にはファーストパケットを使ってアプリケーションを識別する仕組みになっているため、このファーストパケット問題を完全に避けることはできません。Silver Peak SD-WANは、この問題に対して「First-Packet iQ」という機能を備えています。First-Packet iQは、Silver Peakが持つクラウドデータベースから最新のアプリケーション識別データを取得することで、ファーストパケットによるアプリケーション識別の精度を大きく高め、ファーストパケット問題の発生を抑制することが可能です。
アプリケーション識別機能はIPアドレスやFQDN(Fully Qualified Domain Name:完全修飾ドメイン名)の情報も識別要素として利用します。オフィススイート「Microsoft 365」(Office 365)をはじめとする、アプリケーションの接続先IPアドレスが不定期に変わってしまうクラウドサービスの場合、IPアドレスが変更になると正常に接続できない問題が発生する場合があります。First-Packet iQはそうした変更にも追従し、識別データを日々更新するため、アプリケーション識別を正常に機能させることができます。
Sliver Peak SD-WANはアプリケーション識別以外にも、通信データのキャッシュを活用したり、TCPのウィンドウサイズ(バッファー領域の容量)の書き換えを実施したりすることによってデータ伝送を高速化する機能も備えています。VeloCloudのDMPOとは違った形でWANの有効利用が可能です。
今回は、3つの代表的なSD-WAN製品を紹介しました。どの製品もそれぞれの強みを持っていますので、必要なSD-WANの要件を詳細に検討することで、適した製品を選択することができるでしょう。
3回にわたって連載した記事の最終回となりました。デジタルトランスフォーメーション(DX)や新型コロナウイルス感染症(COVID-19)対策としてテレワークが広がることで、今後もクラウドサービスの利用が拡大することが予測されます。次世代のITインフラ構築の際にSD-WANを検討する場合に、本連載がその一助となれば幸いです。
執筆者紹介
川畑勇貴(かわばた・ゆうき)ネットワンシステムズビジネス開発本部第3応用技術部
Cisco Systemsのミドルエンド・ローエンドルーターやスイッチ「Catalyst」シリーズ、SD-WANなどの提案、評価、検証、技術サポートを担当。ネットワークに関わる先進テクノロジーの調査、研究にも従事している。
由原亮太(よしはら・りょうた)ネットワンシステムズビジネス開発本部第3応用技術部
主にCisco Systems製品を担当し、製品の評価・検証を実施。クラウドサービス用ネットワークの構築支援やサービス開発にも取り組んでいる。