Cisco SD-WANが提供する3つの付加価値
近年モバイルデバイスの普及や各種スマート化でITインフラが複雑化し、ネットワークの課題が増えてきている。そこにコロナ禍が襲来し、ワークスタイルやアプリケーションのハイブリッド化が加速している
ワークスタイルが変容するなか、企業システムはビジネスアプリケーション体験を良好に保ち、セキュリティを維持し、かつスケーラブルであることが求められている。マルチクラウドやマルチドメイン(LAN, WAN, データセンター)を運用するなか、マルチレイヤでセキュリティを担保するとなると、WANの見直しが必要になってくる。このとき解決の鍵となるのがCisco SD-WANだ。
2020年4月、CiscoのSD-WANはルーターのOSを刷新し生まれ変わった。綿密に検証も重ね、SD-WANの専用OSとIPルーティングのOSを完全に統合し、シングルイメージとなるOSを提供開始した。
新しくなったCisco SD-WANは基本的なSD-WAN機能(回線のロードバランス、ローカルブレイクアウト、センター集中型の運用管理とオーケストレーション、回線コストの削減・抑制)にさらなる付加価値として、「マルチドメイン」「マルチレイヤセキュリティ」「マルチクラウド最適化」を強化している。
図: クラウドスケールのCisco SD-WAN
マルチクラウド最適化
SD-WAN導入の目的として多く掲げられるのがアプリケーション体験の向上だ。SLAベースのパス選択やTCP最適化などにより、ユーザーが快適にアプリケーションを利用することができる。
近年ではSaaSへのアクセス最適化、いわゆる「ローカルブレイクアウト」に注目が集まっている。Cisco SD-WANでは拠点から直接インターネットに出るだけではなく、クラウドセキュリティや中継拠点の経由や、複数のISPから選択するなど、複数のパスを柔軟に設定できる。これによりSaaSの体感や信頼性を向上させることができる。実際CiscoではMicrosoft 365(※資料ではOffice 365とありましたがMicrosoft 365としました※)パフォーマンスを40%向上できた。
IaaSまで延伸することも可能だ。仮想SD-WANルーターをTransit Hubに配備することでIaaSクラウドへのインターネットアクセスや、SD-WANファブリックを拡張することでコロケーション経由のIaaSクラウド接続することもできる。これらを管理ダッシュボードから迅速かつ自動で展開できるのも強みとなる。
主要クラウドベンダーとの戦略的パートナーシップも構築している。例えばマイクロソフトとはテレメトリデータを活かして最適パスを選択できるほか、AWSやEquinixともパートナーシップがあり、2020年4月からはGCPとのパートナーシップが始まり高速バックボーンを活用できるようになる。また、2020年5月末にはシスコがThousandEyes買収を発表しており、今後は同社のインターネット可視化技術との統合が期待できる。
直近の流れから今後を展望してみよう。数カ月前から始まった新型コロナウィルス感染症対策で、まずは喫緊の対処としてリモートワークで使うVPNの増強が必要とされた。現在は一段落ついたところだろう。これからは改めてクラウドハブのコンセプトでマルチクラウドを考えていく必要がある。データセンターと並ぶ位置にクラウドを配置し、クラウド間の接続性や自動化、ガバナンスについても考えていくことになるだろう。アプリケーション体験の向上だけではなく、設備投資や運用コスト削減できて、柔軟な構成も重要なポイントとなる。
図:POST COVID-19のネットワークの姿
マルチレイヤセキュリティ
マルチクラウドで複雑化するネットワーク環境やリモートワークのローカルブレイクアウトによって、セキュリティが懸念されている。ラテラルムーブメントと呼ばれるサイバー攻撃にも警戒が必要だ。そこで重要視されているのがSASE(Secure Access Service Edge)、ネットワークサービスとセキュリティサービスの統合となる。
シスコのSASEはUmbrella SIG(Security as a Service)とSD-WAN(Networking as a Service)を組み合わせ、ゼロトラストのアプローチでユーザーやデータを保護する。セキュリティインテリジェンス「TALOS」も強みとなる。
図:ゼロトラストを実現するマルチドメインとセキュリティ
Cisco SD-WANのライセンスはCisco DNA Essentials、Cisco DNA Advantage、Cisco DNA Premierに分かれており、機能ベースのパッケージとなっている。例えばEssentialsではローカルブレイクアウト時に拠点ごとの利用状況が把握でき、Advantageでは追加でクラウドアプリケーションの利用状況なども把握できる。さらにPremierではセキュアクラウドゲートウェイとしての機能も利用可能だ。
シスコならニーズに基づいた柔軟さが強みだ。シンプルにSD-WANエッジとクラウドセキュリティを併用したいケース、これにSD-WANエッジ部分にセキュリティ機能を統合したケース、地域のコロケーションハブをVNFで実装してロージョンハブを実現したいケースなど、要件に応じて柔軟に設計できる。
マルチドメイン
ネットワークのソリューションにはSD-WAN以外にも、SD-Access、ACI(Cisco Application Centric Infrastructure)もある。これらをAPIで統合あるいは連携することも可能だ。統合化することでLAN, WAN, データセンター間でユーザーとアプリケーションの相互運用性が高まる。
図:マルチドメインネットワークを相互接続
3通りのソリューションが扱えるだけではなく、それぞれ統合または連携できるのがシスコの強みとなる。ダッシュボードでは設定が一覧できて、ステータスをリアルタイムで分析できる。
SD-WANを導入する際に必要となるハードウェアは大きく分けて2種類ある。SD-WANに付加価値機能がついた(IOS XE)シリーズと、SD-WAN専用(Viptela OS)シリーズがある。前者には新たにISR1000-4G/6Gモデルが追加となった。企業の規模や形態に応じて幅広いラインナップを用意している。
新しいユニファイドOS「IOS-XE 17.2.1」
2020年4月にSD-WANのXE SD-WANとIPルーティングのためのIOS-XEを単一イメージで統合したユニファイドOS(IOS-XE 17.2.1)がリリースされた。これまではSD-WANは別物のような扱いだったが今回の新OSで統合され、シングルイメージとなった。今後も従来どおり年3回のサイクルでリリースしていく予定だ。
現時点(17.2以降)では、CLIからデバイスモードを切り替えて使う。モード変更時には設定情報が消去され、再起動が必要になる。デフォルトの「自律モード」だとIPルーティングとなり、「コントローラーモード」だとSD-WANとして使える。将来的にはモード切り替え不要とし、デバイス上で有効化/無効化できるように計画している。
ユニファイドOSにすると、開発の効率化やSD-WANソリューションの高度化が期待できる。これまでは同一デバイスでIOS-XEとXE-SDWAN、両イメージの開発とテストを実施する必要があったが、ユニファイドOSでは統合シングルイメージなので開発やテスト工数が削減できるため開発が加速する。またユニファイドOSではIOS-XEとvManageとの連携が強化されているため、SD-WANソリューションを簡素化して提供可能だ。ソリューションの幅が広がることが期待できる。
ここからは新しくリリースされたOS(Viptela 20.1.1/IOS-XE 17.2.1)について、コア機能アップデートを紹介する。まずvManage 20.1.1からはXE-SDWAN専用の新しいテンプレートが導入された。従来の共有のテンプレートは移行する必要があるものの、自動化スクリプトが提供されている。CLIテンプレートはcEdge用に刷新された。
NAP Pool For DIAも新機能となる。大規模LAN内にあるデバイスにDIAを提供する場合、インターネットアクセスにNATプール構成を使用する必要がある。これはNAT変換を実行するためにIPアドレスのプールを使用可能とするものだ。
アプリケーションレベルでの体感品質向上のためのAppQoE(Application Quality of Experience)では、マルチパスの最適化(Cloud onramp for SaaS)がcEdgeもサポートとなる。他にもPer-Tunnel QoSサポート、WAAS(WAN最適化装置)がトラフィックを最適化するAppNav-XE with SD-WANなどが追加された。
セキュリティ関連では、スマートアカウントでデバイスをシスコUmbrellaへ自動登録されるAuto-Registration to Cisco Umbrella、トランスポート再度 IPsec/GREトンネルサポート、SIG接続などがある。