catch-img

10分でわかる、Cisco SD-WANの概要

皆さんはじめまして!

Cisco SD-WAN製品担当の毛利です。

気温もあたたかくなり、花粉の季節がやってきましたね。

毎年去年の○倍と例えられますが、それを追っていくと今年はなんと2011年の2916倍!なんて話もあるみたいですよ!!

増えていると言えば、近年O365等のクラウドサービスも非常に増えてきていますね。

とても便利なクラウドサービスですがその反面、新たな課題も生じています。

ここで生じた課題を解決するためには今までのWAN技術では対応が難しく、SD-WANという新しいWANが求められています。

WANを取り巻く現状と問題点


こういった背景もあり、様々なベンダーがこのSD-WAN製品をリリースしている中でCiscoも【Cisco SD-WAN】としてSD-WAN製品をリリースしています。


目次[非表示]

  1. 1.概要
  2. 2.Cisco SD-WANの特徴
  3. 3.Cisco SD-WANの主な機能
    1. 3.1.ゼロタッチプロビジョニング
    2. 3.2.インターネットブレイクアウト
    3. 3.3.ハイブリットWAN
    4. 3.4.WANの論理分割
    5. 3.5.堅牢なセキュリティ機能(NEW!!)
  4. 4.終わりに


概要

Cisco SD-WANはCiscoが2017年にSD-WAN専業ベンダーであったViptela社を吸収し、Ciscoの提供するSD-WANソリューションの一つとして販売を開始した製品です。

元々Viptela社は2012年の早い段階からSD-WANを生業にしており、Fortune 500にノミネートされている内40社で採用されている等、非常に多くの実績を誇っている企業でした。

Viptelaが持つ豊富な実績にCisco社が持つネットワークのノウハウが組み合わせられることにより、更なる進化が期待されているのが、このCisco SD-WANという製品です。


Cisco SD-WANの特徴

Cisco SD-WANはSD-WANの基本要件としてよく引き合いに出されるONUG(Open Networking USER GROUP) による「SD-WAN のビジネス的要件」に加え、更に拡張された要件までも全てを満たす次世代の広域ネットワークソリューションとなっています。

Cisco SD-WANはコントローラとEdgeルータの2つのコンポーネントから構成されています。

Cisco SD-WANソリューションの構成要素


  • コントローラ

コントローラは3種類があり、それぞれ役割が分かれています。

このコントローラはCisco が提供するクラウド上、もしくはユーザーのオンプレミスサーバという2つのデプロイ方式から選んで頂きます。

Cisco SD-WANソリューションの構成要素

  • Edgeルータ

Edgeルータには2種類のラインナップがあります。vEdge/XE-SDWAN(cEdge)の概要

Cisco SD-WAN Edgeポートフォリオ


コントローラにて管理されたEdgeルータ間でフルメッシュのIPsecによるNWを構成するのが、Cisco SD-WANの基本構成となります。


Cisco SD-WANの主な機能


ゼロタッチプロビジョニング

ゼロタッチプロビジョニング

Cisco SD-WAN Edgeはデフォルトで物理IFにDHCPの設定と、自身が所属するコントローラへのリダイレクト設定が投入されています。

上記設定により、接続した際にIPアドレスを払い出すDHCPの設定とコントローラへの名前解決が可能なDNSサーバさえあれば、インターネット回線へ接続するだけでコントローラへの接続とコントローラ上で用意した設定の適用が可能です。(LTE対応モデルではSIMカードを挿すだけ!)

こちらの機能により、非常に簡単な設定の投入/拠点展開を実現しています。

(日本で良く用いられるPPPoEの場合は事前に認証情報を投入する必要があるため、実質ワンタッチとなります)

インターネットブレイクアウト

インターネットブレイクアウト

Cisco SD-WANではアプリケーションを識別し、特定のアプリケーションを自身が持っているインターネット回線から直接抜けさせることができます。

具体的には、O365等のトラフィックを識別し、本来ルーティングテーブルに沿って本社やデータセンタにあるインターネット出口から出ていくところを、自分自身のIFから通信を行います。

こちらの機能を活用すると、こんな嬉しいこと事があります。

  • 本社やデータセンタに集中していたインターネット向け通信が分散されることによるインターネット出口混雑の緩和
  • 物理的に遠い出口を経由しなくて済むことによる、通信遅延の軽減

このインターネットブレイクアウトがSD-WANの要件として一番多く挙げられるものかと思います。

Cisco SD-WANではローカルブレイクアウトを更に拡張した機能が実装されています。

こちらの機能はWAN上に存在する全てのインターネット出口からクラウドサービスへの通信品質をスコアリングし、最適な出口を自動で選択してくれるような動作を行います。

これにより、クラウド向けの通信をより最適な形でブレイクアウトすることが可能です。

また、ローカルブレイクアウトされた通信は本来インターネット出口に配置されているプロキシ―やファイアウォールを経由しないため、必ずセキュリティへの懸念が付きまといます。

Cisco SD-WANでは後述のセキュリティ機能によりEdge自身でや、Cisco Umbrellaとの連携によってよりセキュアなインターネットブレイクアウトを実現可能となっています。

ハイブリットWAN

ハイブリットWAN

ハイブリットWANと聞くとどんなWAN??と皆さん思うかと思いますが、内容を紐解くと次の二つの機能を合わせたものとなっています。

  • 複数の回線を全てアクティブで利用

これまで複数の回線があったとしても片方がスタンバイだったりと、活用できていない帯域があったと思います。

Cisco SD-WANでは、収容する全ての回線をアクティブで使用可能(デフォルトでロードバランス)となっています。

2本の回線をアクティブスタンバイで使用していた場合、単純に帯域が2倍になるような形です!

  • 回線品質、アプリケーションに応じて使用する回線を柔軟に制御

Cisco SD-WANでは回線の品質(遅延、損失、ジッタ)を常にモニタリングしています。(vManageから可視化された情報も確認可能です)

この回線品質に閾値を設けることにより決められた品質を下回る回線は使用しない等、最適な回線選択が可能です。

同様にアプリケーションについても識別を行い、遅延が許されないアプリケーションについては遅延の少ない回線を選択する等、アプリケーション毎に適した回線を選択できます。

これらの機能を組み合わせることにより、回線の本数や内容は変わらずとも実効帯域を増やすことができ、より快適なWANを提供することが可能となっています。

WANの論理分割

エンドツーエンドのセグメンテーション

Cisco SD-WANでは、VRFのような機能を備えております。(Cisco SD-WANではVPNと呼称します)

下図のように、複数のVPNとして分けられた別ネットワークを1つのWAN回線で運用することが可能となります。

これにより、NW毎に契約を行っていたWAN回線の1本化や、既存で持っているWAN回線だけでNWの分離を行う等、ユーザーの要望に応じたNWの形を提供することが可能となります。

堅牢なセキュリティ機能(NEW!!)

堅牢なセキュリティ機能

最新のアップデートで次の4つのセキュリティ機能が追加されました。(ISRのみの実装となります)

  • URL Fitering

  • IPS/IDS

  • APP Firewall

  • DNS Layer Security(Cisco Umbrella連携)

上記はCisco Security製品にて使用されている実績のあるコードを使用しており、信頼における実装となっています。

このセキュリティ機能により、Edge自身がUTMのような役割を担う事ができ、前述のインターネットブレイクアウトの際のセキュリティの確保やNW全体のセキュリティを向上させることが可能となります。

終わりに

Cisco SD-WANはこれからアップデートにより様々な機能拡張を控えています。

まだまだ進化を続けるCisco SD-WANの今後の動向から目が離せません!

毛利 堯(もうり たかし)

毛利 堯(もうり たかし)

NOP SE部でSD-WANを担当している3年目エンジニア 広島県産のはまっ子
ご不明な点はお気軽に
お問い合わせください
ソリューション・カタログは
こちら