SDNにおけるSD-WANの位置づけ

　ネットワークというと実体のない、ソフトウェア的に機能を提供してくれるものとイメージしがちだが、実際には、ネットワークはルーター、スイッチなどのネットワーク機器、サーバやストレージなどのハードウェア的な部分があって成り立っている。

　前者の視点で見るネットワークを「論理ネットワーク」、後者の視点で見るネットワークを「物理ネットワーク」と呼ぶ。両者は不可分であり、はるか昔は基本的に一致していた。

　ところが、近年、論理ネットワークと物理ネットワークを完全に分離し、論理ネットワークの部分だけでネットワーク設計を行えるようになってきた。

　実はこれがSDN（Software Defined Networking）と呼ばれる技術が目指すもので、ソフトウェア的にネットワークを管理することで、構成や機能、性能を動的に、柔軟に変更しようとする技術だ。クラウドをベースにすることで、企業LANを中心に広がりを見せている。

　SD-WANは、そのSDNをローカルエリアだけでなく、より広域なネットワーク（WAN）に適用しようというもの。通信事業者が提供を始めているSDNソリューションを利用し、たとえば大阪と東京などの拠点を低コストに結ぶ。SD-WANでは、ソフトウェア側で構築や管理を行うため、企業側が状況に応じて、より柔軟に運用できる可能性がある。

　どういうことだろうか。

　まずは、ネットワーク技術における仮想化について見ていこう。

なぜネットワークの仮想化が生まれたのか

　次の図に示すのは、小規模なネットワークの構成例だ。


　図に示したネットワーク構成図には、ルーター、ファイアウォール、サーバ、L2スイッチ、L3スイッチなどのネットワーク機器が含まれている。ネットワークを構成するこれらのネットワーク機器は、当然ある種の“制限”になる。イーサネットケーブルには最大ケーブル長や伝送速度といった制限、ネットワーク機器には接続可能台数といった制限がある。

　制限を超えた場合、ネットワークをスケールさせることになる。たとえばノードの数が増えればハブで中継したり、LAN同士をルーターで結ぶなど拡張する。

　ネットワーク構築時には、あらかじめ、想定する規模や構成、機能から、必要なハードウェア（サーバやネットワーク機器）を設計する。この部分をいかに適正に設計できるか、さらには拡張性を持たせられるか、が重要な要素の1つになる。

　しかしインターネットをはじめ、ネットワークがさまざまな場所で活用され出すと、もっと柔軟にネットワークを構成できないかというニーズが出てくる。規模はどうあれ、これは企業内LANの事情も同じだ。いや、ニーズは企業内LANにおいてのほうが大きかったかもしれない。会社の規模に応じて、柔軟に変更できるようでないと実質的に困るからだ。

　そこで、もっと柔軟にネットワーク構成ができるように、と登場したのが仮想化技術だ。

　仮想化には、大きく「サーバの仮想化」と「ネットワークの仮想化」がある。ここで扱うのは「ネットワークの仮想化」なので、サーバの仮想化については触れないでおく。その「ネットワークの仮想化」だが、主な仮想化技術に「VLAN（Virtual LAN）」がある。VLANとは、L2スイッチを使って仮想的にネットワークの分割を行う仕組み、および、そのネットワークのこと。ちなみに、基本的にIPアドレスで表されるアドレス空間を分割するのはサブネットだが、それとはレイヤーが異なっている。VLAN分割の場合、サブネット分割も必要になる。

　VLANにはL2スイッチのポートごとに仮想ネットワークに振り分ける「ポートVLAN」と、データに所属する仮想ネットワークをタグ付けし、通信させたくないネットワークにはデータがいかないようにする「タグVLAN」がある。L2スイッチをまたがってVLANを構成したい場合、タグVLANを用いる。SDNに使われるのもタグVLANだ。

　こうしたサーバ、ネットワーク仮想化技術の進化の先にSDNがある。以降では、SDN、そしてSD-WANについて見ていこう。

SDNとは何か？ 何がメリットなのか

　SDNとは、従来はネットワーク機器がそれぞれ行ってきたネットワーク制御とデータ転送処理を分離し、制御部分をソフトウェアの操作だけで動的に設定（変更）する技術仕様の総称だ。

　オンプレミス、VPS、クラウド、と現代のネットワークは多様な領域にまたがっている。SDNの思想は、こうしたさまざまな環境に構築されたネットワーク群を「1つの仮想的なネットワークとして運用する」こと、何より、従来のネットワークは一度構築したらそのまま運用し続ける静的なものであったのに対し、ネットワークも必要に応じて適正にリソースを運用できるよう動的にとらえるべき、というところにある。

　前述のように、ネットワークの拡張には個々のサーバのほか、ネットワーク機器ごとの設定を手作業で行う必要がある。

　基本的にイーサネットのプロトコルは標準化され、他社の製品であってもプロトコルに従っていれば通信することができる。しかし、ネットワーク機器は個々が自律的にネットワーク制御とデータ転送処理を行っている。

　必要な情報を互いに交換しながら自律分散的に動作することで、全体としての通信を効率的に行っている。それらの機能を実装するソフトウェアはベンダーが個別に開発している。そのため、変更などは個々の、専用の管理ツールから設定を行うことになる。

　こうしたネットワークを構成する数多くの機器の設定を手作業で行うのは、非常に大変だ。個別の管理ツールの操作、それごとのナレッジも必要になる。それに対し、SDNの、オンプレミスにつながる物理的なネットワーク機器であろうと、VPSやクラウドにつながる仮想デバイスであろうとコントローラから一元的に管理できるという点は大きなメリットといえる。


　SDNはセキュリティの面でも注目されている。セキュリティ対策ツールとSDNの連携により、攻撃をいち早く検知し対処するプロセスを自動化し、初動の対策を迅速に実行するという新しいセキュリティアーキテクチャが可能だからだ。セキュリティ対策はどうしても攻撃の痕跡を見つけて対策するという後手にまわるが、適切な対処を直ちに行うことで被害を最小限に食い止めることができる。

　アライドテレシスがSDN対応ネットワーク機器を一括管理し、アクセスを制御、監視、管理するコントローラ製品を展開している（「AT-SESC」「AT-SESC-APL」）。

なぜOpenFlowはそれほど普及しなかったのか

　こうしたSDNを実現する技術として、SDN登場時から挙げられてきたのが「OpenFlow」だ。これはOpen Networking Foundation（ONF）が標準化を進める仕様で、最新バージョンは1.4。制御部のOpenFlowコントローラに必要な制御機能を実装し、OpenFlowスイッチはコントローラの指示でデータ転送を行う。その際、OpenFlowプロトコルを用いる。


　ただ、一時はSDNの標準プロトコルとも目され、多くのネットワーク機器ベンダーがOpenFlow対応のスイッチを開発すると発表していたが、現在はちょっと様子が違ってきている。

　OpenFlowを使ったシステムにはOpenFlowプロトコルに対応して動作するスイッチが必要で、既存のスイッチを置き換える必要がある。そこがOpenFlow普及の壁になっており、SDNに関連する製品を開発するベンダーの足並みは揃っていない。OpenFlowをサポートしていてもそれを前面には出さない、あるいは独自仕様でSDN製品を開発するというベンダーも出てきている。

【次ページ】SD-WANの具体的なサービス・製品例