Software-Defined WANと呼ばれる新潮流。企業の拠点間ネットワークをクラウドサービスのように自由自在に展開、ダッシュボードから集中管理[PR]

2016年4月5日

ITを積極的に利活用している企業ほど、それを支えるネットワークへの要求も高いものになります。

例えば、ゲスト用の無線LANは社内ネットワークとは分け、さらに部門ごとにVLANでセグメントを分けたい。内線電話をIP化して、ビデオ会議やOffice 365も導入したのでサービスごとにQoSを設定したい、などの様々な要望があるはずです。

Viptela ヴィプテラ- SD-WANソリューション

しかも本社だけでなく複数の拠点を展開し、クラウドサービスや社外のデータセンターとも接続するとなれば、さらにネットワークへの要求は複雑になっていきます。これらを実現するのに、どれほどのネットワークエンジニアのスキルと手間と、コストがかかるでしょうか。

マクニカネットワークスが販売する「Viptela」(ヴィプテラ)はこのような、企業におけるインターネットやクラウドとの接続、拠点間の接続における設定や運用を大きく変える製品です。その概要を紹介しましょう。

企業向けにセキュアな拠点間通信がすぐに実現する

広域のネットワークインフラを容易かつ柔軟に構成し設定できる製品は現在、「Software-Defined WAN」(SD-WAN)と呼ばれ注目を集めています。ViptelaはこのSD-WANの代表的な製品の1つです。

Viptelaはオーバーレイネットワークの上で、セグメントの分割やQoSの設定、サービスチェイニングなどの様々なネットワークサービスを構築できます。

fig Viptelaの仕組みを示した図。様々な拠点に配置されたvEdgeがIPsecによって相互に通信し、Secure Extensible Network(SEC)を形成する。vSmartは全体の頭脳となるSDNコントローラで、vManageが管理画面となるGUIを提供する

こうした構成や設定はすべて、クラウドサービスとして提供される「vManage」と呼ばれる専用のGUI画面からリモートで行えるため、ネットワークエンジニアが現地に行く必要はありません。

世界中のどこの拠点であっても、インターネットに専用ハードウェアをつなげさえすれば自動的に各拠点が結ばれ、それらを完全にvManageからリモートで集中管理できます。まるでクラウドでダッシュボードから仮想サーバを呼び出すように、クリック1つでネットワークの機能をプロビジョニングし操作できます。

fig vManageのダッシュボード画面

Viptelaの製品は、「vEdge」と呼ばれる拠点側のルータとなる専用ハードウェアと、Viptela社がクラウドサービスとして提供・運用する「Viptela Cloud」(vManage、vSmart、vBond)から構成されます(Viptela Cloudはオンプレミス環境で展開することも可能)。

fig (下)vEdge-2000、(左中)vEdge-1000、(左上)vEdge-100b、(右上)vEdge-100m(国内未リリース)
vEdgeには複数種類が用意されている。スループット1Gbpsの「vEdge-1000」、スループット10Gbpsの「vEdge-2000」。さらに2016年3月に発売されたより小型な「vEdge-100b」。小型のvEdge-100シリーズは今後プラスチック筐体のWiFiモデルのほか、SIMカードを直接挿してLTEでWAN接続可能なモデル「vEdge-100m」なども用意される予定

vEdgeはインターネットやMPLSなどの多種多様な回線をハイブリッドで接続し、拠点ルータとして利用することが可能です。vEdgeがインターネットに接続されViptela Cloud側と認証が完了すると、自動的にゼロタッチでコンフィグレーションが流し込まれ各拠点をIPsecでフルメッシュ接続し、広域のオーバーレイネットワークを簡単に構築できます。

このようにしてViptelaによって拡張されたセキュアなネットワークの上で、様々な機能を一元的に提供することが可能となります。

そのポイントの1つは回線のハイブリッド化による帯域幅の増強とQoSの確保です。vEdgeはインターネットやIP-VPNなど複数のWAN回線をハイブリッドに接続し、それらを束ねて利用できます。

vEdgeは常に回線ごとの帯域幅や遅延やジッタ、パケットロスの状態などをリアルタイムで各通信トンネルごとに品質監視をしているので、例えばビデオ会議のような重要なアプリケーションでは、あらかじめ指定した閾値を超えると自動的に最適な回線を選択して通信を行うといったことが可能となります。格安のインターネット回線と、高いSLAのキャリア回線を組み合わせることでコストと品質の最大化を図ることが可能になります。

fig

さらにvEdgeではパケットの種類を判断するDPI(Deep Packet Inspection)機能を備えており、それによって数千種類にも及ぶアプリケーションの識別ができ、YouTubeなど特定のトラフィックをアプリケーションレベルで遮断したり、アプリケーションごとに回線を固定したりQoS優先制御をかけるといったL4-7での柔軟な制御が可能になります。

セキュリティ要件に厳しいお客様の要望に応えるセキュアなSD-WAN

セキュリティ要件の厳しい企業向けに高度なセキュリティが最初から組み込まれているのもViptelaの特長です。その1つがvEdgeに組み込まれているロケーション設定やGPSの機能です。

展開したvEdgeには住所情報を設定することが可能で(vEdge-100にはGPSチップも搭載)、vManageではネットワークの拠点・通信トンネルがマップ上に表示されます。例えば万が一vEdgeがあるべき場所から移動した場合も、その機能を停止することなどが可能となり、機器の盗難や不正利用を防ぐことが可能になります。

fig vManageのトポロジー画面でマップ上にvEdgeの位置を表示できる

vEdgeの内部にはvManageから操作可能にするための認証情報などを格納したTPMチップが搭載されています。このチップには、vEdgeを物理的にこじ開けて悪意を持った操作をしようとすると自己破壊するなどの対策が施されています。Viptela Cloudと認証が完了しない限りはコンフィグレーションが投入されず、その状態ではvEdgeは全く機能しません。コンフィグを先に投入してから展開する通常のルータと違ってセキュリティも強化することが可能です。

さらにvEdgeはAES256のIPsecをすべてのあらゆる通信トンネルにフルメッシュで張ることで、通信の論理的なセキュリティを実現しています。

一般に、IPsecを複数拠点に展開するのはコンフィグ含め非常に手間がかかります。IPsecの設定は面倒なことが多く、しかも複数の拠点でIPアドレスが重複していたら何らかの方法でそれを解決しなければなりませんし、拠点が増えるごとにIPsecで必要な鍵交換の組み合わせが加速度的に複雑化していきます。

Viptelaはこうした課題を、ユニークな分散アーキテクチャとクラウドを用いた集中管理によって自動的に解決してくれます。企業がインターネット上でのIPsecやIP-VPNを活用し、安全かつ安定的に複数拠点のネットワークを統合できる基盤を提供するのです。

WANをまたいだネットワークのセキュアなセグメンテーションを実現

さらにネットワークセキュリティを高めてくれる機能として、vEdgeでは拠点を結んで拡張したネットワークを論理的なセグメントに分割できるというユニークな特徴も備えています。

以下の図では、Viptelaで結ばれている3つの拠点が2つのセグメントに分割されていることを示しています。例えば左側の拠点では2つのセグメントが設定され、同一拠点であってもセグメント間での通信はできないようになっています。

一方、離れた拠点で左の拠点の「Seg 1」と右の拠点の「Seg 1」は、まるで同一LAN上にあるように通信ができます。VLANをWANにまで延長するような機能といえるでしょう。

また各セグメントはそれぞれ用途・アプリ・組織といった様々な切り口で分割・管理することが可能で、トポロジーも柔軟に変更することが可能です。例えばERP通信はハブ&スポークで、音声系通信は拠点間にフルメッシュを張って通信をさせるといったことが可能になります。

fig

外部のクラウドやデータセンターとの連携が可能なサービスチェイニング

特定のトラフィックを自在な経路制御によって外部サービスと連携させる「サービスチェイニング」も、多数の拠点を持つ企業にとって有用な機能です。

例えば、拠点ごとに別々のファイアウォールを用意している場合、その導入や運用維持には相当の手間がかかるでしょう。

Viptelaのサービスチェイニングを使えば、ファイアウォールサービスを提供している拠点までvEdgeからの安全なIPsecの通信で接続し、そこで一括してファイアウォールによるポリシーを適用した後に、対抗のデータセンターやクラウドと接続するといった柔軟な経路制御が可能になります。

fig

このサービスチェイニングはその名前が示すように、複数のサービスをさらにつなげていくことができます。例えば上の図ですと、特定のトラフィックを経路制御し、ファイアウォールを経由した後に、IPS/IDSを経由してデータセンターにアクセスさせるといった複雑な経路コントロールも簡単に設定することが可能です。

またこのサービスチェイニング機能を応用してデータセンター向け通信のみならず、Office 365などの増大するクラウドサービス向けトラフィックを制御することも可能です。

fig

Viptelaにはこのほか、プロトコルごとにとポリジーを柔軟に設定する機能や、セキュアなマルチキャスト配信機能など他の製品には無い多数のユニークな機能を備えています。

今春にViptelra日本法人設立でより充実した展開に

Viptelaは2012年に米カリフォルニア州で設立された新興企業であり、ソフトウェアでネットワークを構成するSoftware-Defined NetworkのWAN分野をリードする企業の1つです。米国を始めとして大手サービスプロバイダーでは、同社製品を本番環境で採用する動きが本格化しています。

マクニカネットワークスは以前から同社製品を取り扱っていますが、今春にViptelaの日本法人が設立される見通しとなっており、今後さらに国内での手厚い製品展開やサポートが期待されます。

Viptela日本人社員の第一号となったシニアテクニカルディレクターの進藤資訓氏は「Viptelaは新しい価値を提供できる、非常にわくわくする製品だと思います。これから日本でのプレゼンスをさらに高めていきます」と話しています。

figViptelaの進藤氏(中央左)を囲んで。マクニカネットワークスのViptela関係者(左から根塚 昭憲、恒本 一樹、大橋 洋平、鈴木 健一、直井 利志宏、山下 浩平)

≫Viptela製品ページ

≫Viptela定期セミナー開催中!

(本記事はマクニカネットワークス提供のタイアップ記事です)

あわせて読みたい

ハードウェア PR Software-Defined Network ネットワーク




タグクラウド

クラウド
AWS / Azure / Google Cloud
クラウドネイティブ / サーバレス
クラウドのシェア / クラウドの障害

コンテナ型仮想化

プログラミング言語
JavaScript / Java / .NET
WebAssembly / Web標準
開発ツール / テスト・品質

アジャイル開発 / スクラム / DevOps

データベース / 機械学習・AI
RDB / NoSQL

ネットワーク / セキュリティ
HTTP / QUIC

OS / Windows / Linux / 仮想化
サーバ / ストレージ / ハードウェア

ITエンジニアの給与・年収 / 働き方

殿堂入り / おもしろ / 編集後記

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本