ソフトウェア定義型WAN(SD-WAN)テクノロジーは、ワイドエリアネットワーク(WAN)全体にネットワークトラフィックを分散する目的で、ソフトウェア定義ネットワーク(SDN)の概念を適用します。 SD-WANは、事前定義されたポリシーを使用して、ブランチオフィスから本社、クラウド、インターネットに通過するアプリケーショントラフィックの最も効果的なルートを特定して、自動的に機能します。 支店でルーターを手動で構成する必要はほとんどありません。 一元化されたコントローラがSD-WANを管理し、接続されているすべてのデバイスにポリシー情報を送信します。 情報技術 (IT) チームは、ロータッチまたはゼロタッチ プロビジョニングを使用して、ネットワーク エッジ デバイスをリモートでプログラムできます。
SD-WANテクノロジーは、通常、トランスポートに依存しない仮想オーバーレイを作成します。 これは、インターネットブロードバンド、ファイバー、ロングタームエボリューション(LTE)、ワイヤレス、マルチプロトコルラベルスイッチング(MPLS)など、基盤となるパブリックまたはプライベートWAN接続を抽象化することによって実現されます。 SD-WAN オーバーレイは、組織が独自の既存の WAN リンクを引き続き使用するのに役立ちます。 SD-WANテクノロジーは、ネットワークの制御を一元化し、コストを削減し、既存のリンク上でリアルタイムのアプリケーショントラフィック管理を提供します。
最も一般的なSD-WANのユースケースは、次のカテゴリに分類されます。
SD-WAN は、次の 2 つの部分で構成される抽象化されたネットワーク アーキテクチャを使用します。
SD-WANアーキテクチャは、次のコンポーネントで構成されています。
SD-WANの実装では、次のような幅広いテクノロジーが活用されます。
コントローラ
SD-WAN デプロイメントを管理する一元化されたコントローラー。 コントローラは、セキュリティとルーティングのポリシーを適用し、仮想オーバーレイ、ソフトウェアアップデートを監視し、レポートとアラートを提供します。
ソフトウェア・デファインド・ネットワーキング(SDN)
仮想オーバーレイ、集中型コントローラ、リンク抽象化など、アーキテクチャの主要コンポーネントを有効にします。
広域ネットワーク (WAN)
地理的に離れた施設または複数のLANを、無線または有線接続を使用して接続する責任があります。
仮想ネットワーク機能 (VNF)
ファーストパーティまたはサードパーティのネットワーク機能 (キャッシュ タスクやファイアウォールなど)。 VNF は通常、物理アプライアンスの量を減らす目的、または柔軟性と相互運用性を向上させる目的で使用されます。
コモディティ帯域幅
SD-WANテクノロジーは、複数の帯域幅接続を活用し、トラフィックを特定のリンクに割り当てることができます。 これにより、従来のコストのかかるMPLS回線から低コストのコモディティ帯域幅接続にトラフィックを移行することで、ユーザーはより多くの制御が可能になり、コスト削減が可能になります。
ラストワンマイル技術
SD-WANテクノロジーは、複数のトランスポートリンクを使用するか、複数のリンクを同時に使用することで、既存のラストマイル接続を改善できます。
従来のWANソリューションとSD-WANソリューションの主な違いを見てみましょう。
WAN (英語) | SD-WAN |
負荷分散とディザスター リカバリーは利用できますが、展開が複雑になる可能性があります | 負荷分散と災害復旧が組み込まれており、高速またはゼロタッチのデプロイメントが可能 |
設定の変更には時間がかかり、手作業で設定作業を行う必要があるため、エラーが発生しやすくなります | リアルタイムでの設定変更、自動化による人為的ミスの防止 |
エッジ デバイスを 1 つずつ構成する必要があり、ポリシーの包括的な適用は許可されません | 仮想オーバーレイを使用:多数のエッジ・デバイス間でポリシーを即座に複製可能 |
1 つの接続オプションに制限 (レガシー MPLS 回線) | MPLSおよびSDN管理のブロードバンド回線など、複数の接続オプションを最適に活用できます。 |
単一の IP バックボーンでは適切に機能するが、音声やビデオなどの高スループットのワークロードと共存できない VPN に依存しています。 | さまざまなタイプのアプリケーションに対してトラフィックを誘導し、帯域幅を最も必要とするアプリケーションのために帯域幅を節約できます |
手動チューニングが必要 | ネットワークの状態を自動的に検出し、WANを動的に最適化できます |
SD-WANは、すべてのミドルマイル伝送にパブリックインターネット接続を使用できるため、これは非常に費用対効果が高いですが、お勧めできません。 トラフィックがどのリンクを通過するかを知る方法がないため、セキュリティとパフォーマンスの懸念が生じます。
可能な限り、特に機密性の高い通信やミッションクリティカルな通信の場合は、プライベートネットワーク経由でSD-WANトラフィックを送信することをお勧めします。 一部のSD-WANプロバイダーでは、独自の安全なグローバルネットワークを使用できます。 パブリック インターネット容量は、重要で機密性の低いワークロード、またはプライベート ネットワークがダウンしたときのフェールオーバー シナリオ用に予約します。
SD-WANプロジェクトに着手するときは、デプロイメントプロセスについて関係者を教育し、SD-WANが既存のネットワークインフラストラクチャへの追加であることを説明します。 経営幹部は、SD-WANを従来のネットワークテクノロジーの単なるドロップイン代替品と見なすべきではありません。
既存のテクノロジーを維持し、新しいSD-WANへの投資と統合する必要があることを明確にします。 技術的な背景とデプロイメント方法をよりよく理解することで、より良いリーダーシップのサポートが得られます。
SD-WANソリューションは、自動化とゼロタッチデプロイメントを提供する場合がありますが、期待どおりに機能することを確認する必要があります。 テストは見落とされがちですが、SD-WANプロジェクトの重要な部分です。 実装前、実装中、実装後に広範囲にテストしてください。 一般的なSD-WANプロジェクトでは、 サービス品質(QoS)、スケーラビリティ、可用性とフェイルオーバー、管理ツールの信頼性に重点を置いた3〜6か月のテストが行われます。
SD-WANモデルは、分散型ネットワークファブリックを使用して動作しますが、通常、クラウド内のエンタープライズネットワークを保護するために必要なセキュリティとアクセス制御は含まれていません。
この問題に対処するために、Gartner はセキュア アクセス サービス エッジ (SASE) と呼ばれる新しいネットワーク セキュリティ モデルを提案しました。 SASEは、WAN機能と次のようなセキュリティ機能を組み合わせたものです。
クラウド環境向けに構築されたこれらのセキュリティ機能を組み合わせることで、SD-WANネットワークの安全性を確保することができます。
SASEソリューションは、モバイルユーザーやブランチオフィスに安全な接続性と一貫したセキュリティを提供します。 ネットワーク全体を一元的に把握できるため、管理者やセキュリティチームは、グローバルに分散したSD-WAN全体でユーザー、デバイス、エンドポイントを識別し、アクセスポリシーとセキュリティポリシーを適用し、複数の地理的な場所や複数のクラウドプロバイダーにわたって一貫したセキュリティ機能を提供することができます。
SD-WANを導入する前は、リモートオフィス接続は企業のデータセンターにバックホールされ、企業のネットワークセキュリティスタックを使用して保護されていました。 SD-WANの出現により、インターネットに直接接続されたクラウドやインターネット接続により、WANユーザーは高度な攻撃にさらされています。
ファイアウォール・アズ・ア ・サービスおよびセキュア・アクセス・サービス・エッジ(SASE)ソリューションは、クラウドアプリケーションやインターネットへのSD-WAN接続を保護します。 チェック・ポイントのSASEソリューションの詳細と、SASEソリューションが組織のWANセキュリティをどのように向上させるかについては、 お問い合わせください。 また、チェック・ポイントのSASEソリューションを実際にご覧いただくための デモをご依頼 いただくこともできます。