VMware SD-WANが選ばれる理由

はじめに

前回は、「VMware SD-WAN」に限定されないSD-WAN製品全般について解説しました。今回は、VMware SD-WANの特徴をどのように活用できるのかを紹介します。

VMware SD-WANとは

VMware SD-WANは、2017年にVMware社がSD-WAN専業ベンダーとしてSD-WAN市場をリードしていたVeloCloud社を買収し、現在はVMware SD-WANというブランドで販売されています。また、2017年はVeloCloud社だけでなく、VeloCloud社と共にSD-WAN市場をリードしてきたViptela社がCisco社に買収されたことから、SD-WAN業界における重要な転換期となりました。VMware社は、2019年11月に発表されたGartner社のMagic QuadlantレポートでもLeaderポジションに位置しています。

VMware SD-WANの特徴を説明する際には、よく図1を使用しています。図上部の「ゼロタッチプロビジョニング」「ワンクリックVPN」「クラウドによる一括管理」が従来のVPNソリューションと比較して「運用管理」面において優位性がある特徴を表しています。同様に図下部の3つは「ネットワーク機器としての機能」面において優位性がある特徴を表しています。これらの特徴の詳細については後述します。

図1：VMware SD-WANの特徴

VMware SD-WANの特徴を説明する前に、簡単にハードウェアの製品ラインアップを紹介します(図2)。大きく分けて2つのカテゴリに分類できます。Edge 840、Edge 2000、Edge 3x00は本社やデータセンターなどハブサイトの役割を果たすサイトでの利用を想定したモデルです。5x0、6x0シリーズは拠点などエッジサイトの役割を果たすサイトでの利用を想定したモデルです。このモデルは無線LANのアクセスポイント機能も有しており、小さな店舗などではこれだけでネットワークを構成することも可能です。またvSphereやKVMなどのハイパーバイザー上で仮想アプライアンスとしても利用できます。またAWSやAzureなどのパブリッククラウド上でマーケットプレイスからVMware SD-WAN Edgeを展開することも可能です。

図2：VMware SD-WAN Edgeの製品ラインナップ

VMware SD-WANの
コンポーネントとその役割

なお、VMware SD-WAN Edgeはハードウェア単体で動作させることはできません。「VMware SD-WAN Orchestrator」「VMware SD-WAN Gateway(Controller）)「VMware SD-WAN Edge」の 3つのコンポーネントがあってはじめてSD-WAN製品として利用できます。では、これら3つのコンポーネントがどのような役割を果たすのかを簡単に見ていきましょう。

VMware SD-WAN Orchestrator

クラウドサービスとして提供されるVMware SD-WAN Orchestratorを利用して、すべてのVMware SD-WAN Edgeを管理できます(図3)。クラウドサービスなので、仮想アプライアンスを別途構築する必要は一切ありません。

図3：VMware SD-WAN Orchestratorから、すべてのVMware SD-WAN Edgeを一元管理

VMware SD-WAN Edgeの製品コンセプトとして「No CLI」があります。CLIを利用して個別の機器を管理する必要性を排除するため、各VMware SD-WAN Edgeの設定・状態確認からパケットキャプチャに至るまで、すべての操作をVMware SD-WAN Orchestratorから実行できます(図4)。また前回の冒頭で紹介したSD-WANに求められる10個の要素に含まれる管理APIはVMware SD-WAN Orchestratorで提供されています。

図4：CLIを排除したVMware SD-WAN Orchestratorによる管理

VMware SD-WAN Gateway(Controller)

VMware SD-WANのみが持つVMware SD-WAN EdgeとVMware SD-WAN Orchestratorを繋ぐ中継サーバのような役割を果たすコンポーネントで、通常はAWSやAzureといったパブリッククラウド上で動作します。VMware SD-WAN GatewayとVMware SD-WAN Controllerは全く同じコンポーネントで、役割によって名前が異なると考えて問題ありません。

通常時はVMware SD-WAN OrchestratorとVMware SD-WAN Edgeの間に入るコーディネータのような役割を果たしますが、用途によりVMware SD-WAN Edgeのような役割を果たすこともできます。VMware SD-WAN Edge間で構成されるトンネルにVMware SD-WAN Gatewayも接続し、まるで顧客のデータセンターに設置されたVMware SD-WAN Edgeのように利用できます。

AWSやAzureなどのパブリッククラウド上にあるVMware SD-WAN Gatewayまで、VMware SD-WAN独自の優れたトンネリング技術を利用できるようになるため、例えば大阪拠点からOffice 365にアクセスする際はAzure上のVMware SD-WAN GatewayまでVMware SD-WANのトンネリング技術を利用し、VMware SD-WAN GatewayからOffice 365はMicrosoft社のバックボーンネットワークを利用するといったことを可能します。利用したいクラウドサービスのより近くまで高速道路を使えるオプションがあると認識いただければ分かりやすいかもしれません。

VMware SD-WAN Edge

前述したハードウェアのラインアップで、従来のVPN機器に相当するものです。VMware SD-WAN Edge間は1つずつトンネルを設定する必要はなく、VMware SD-WAN Orchestratorの設定に従って自動的にVPNが構成されます。

VMware SD-WANの特徴
～運用管理編～

ここでは、運用管理におけるVMware SD-WANの2つの代表的な機能を紹介します。

1つ目はVMware SD-WAN Orchestratorを利用して、別途管理サーバを構築しなくてもすべてのVMware SD-WAN Edgeを管理できる点です。またVMware SD-WAN Orchestratorには「プロファイル」というVMware SD-WAN Edgeの管理負荷を軽減する機能が提供されています。複数のVMware SD-WAN Edgeで利用する設定テンプレート(プロファイル)を共有することで、設定差異により拠点毎の挙動が若干異なるといったオペレーションミスを防ぐことができます。もちろん機器毎に異なる設定が必要な箇所はプロファイルを上書きする形で設定可能です。

2つ目は「ゼロタッチプロビジョニング」と呼ばれる機能です。IT管理者は機器を触ることなく、現地の非IT部門の社員でも容易に設置できるようになっています。IT管理者はVMware SD-WAN Orchestrator上で事前に新しいハードウェア用の設定を行ない、設置担当者にメールを送信するだけです。現地の担当者は機器に最低限の配線をして、メールに含まれるURLをクリックするだけで自動的にセットアップが実行されます(図5)。他社のSD-WAN機器では、PPPoE利用時にIT管理者があらかじめハードウェアに初期設定を行なう必要があったりしますが、VMware SD-WAN Edgeでは工場出荷時の状態で設置先に発送しても、問題なくゼロタッチプロビジョニングを実行できます。

図5：ゼロタッチプロビジョニングの仕組み

文章ではなかなか伝わりにくいと思いますので、実際にどれくらい簡単にセットアップできるのか、是非VMware社が公開しているデモ動画https://www.youtube.com/watch?v=MoVvsVzc88E をご覧ください。

機器のリプレースや新拠点の開設時に、IT管理者が現地でセットアップする必要がなくなるゼロタッチプロビジョニングは、VMware SD-WANの非常に大きな強みと言えます。

VMware SD-WANの特徴
～ネットワーク機能編～

VMware SD-WANでは、VMware SD-WAN Edge同士やVMware SD-WAN Edge- VMware SD-WAN Gateway間の通信に「DMPO(Dynamic MultiPath Optimization)」と呼ばれる技術でオーバーレイネットワークを構成します。DMPOでは従来のIPSec VPNにはない、いくつかの機能が提供されています。

その1つが帯域幅や遅延、パケットロス率といった回線の健全性をリアルタイムでチェックする機能です。また「どの回線を使って通信するのか」の判断基準にも利用します。例えば、音声を利用するアプリケーションのトラフィックは高品質で動作しているA社の回線を使用、ファイルダウンロードは高品質を必要としないため中品質で動作しているB社の回線を使用、といった判断を自動で行い、適切に回線を割り当てて通信できるようにしています(図6)。

図6：DMPOはリアルタイムの回線チェック機能をもつ

もう1つは、複数の回線を利用している環境においてパケットレベルでロードバランシングができる機能です。ネットワークのActive-Activeのチーミングとしてリンクアグリゲーションがありますが、通常送信元IPと送信先IPのハッシュ値などで利用する回線を選定するため、1ファイルのダウンロードには1回線しか利用されず、回線を何本も束ねても高速化はできません。DMPOでは1ファイルのダウンロードでもパケット単位で回線を選定するため、例えば1Gの回線が4本あれば4Gのスループットでファイルをダウンロードできるのです。高速回線のない地域で安価な回線を複数束ねて高速回線として利用できるのはVMware SD-WANだけの機能です。

さらに、回線の品質を向上する機能も提供しています。「Forward Error Correction(FEC))と呼ばれる機能で、パケットロスが発生している状況や発生しそうな状況と、回線のリアルタイムの健全性チェックから判断し、パケットを二重で送信してパケットロスの発生を最低限に抑えることができます。この機能を利用することで、安価な回線で問題になる特定時間帯での品質劣化を気にすることなく、音声や動画を利用するリアルタイムアプリケーションを快適に利用できる「拠点間接続の回線品質の快適化」を実現します。

また、VMware SD-WANではDMPOと密接に連携する「QoS設定」機能を提供しています。3000以上のアプリケーションを識別し、自動的にVMware SD-WAN Edgeの9つのカテゴリに振り分けることで、ネットワーク品質の劣化の影響を受けやすいアプリケーションが優先的に通信できるQoS設定が工場出荷時からされています(図7)。そのため、複雑なQoS設計をすることなく「特定アプリケーションの体感を快適化」する拠点間接続を構成できます。

図7：QoS機能ではアプリケーションの体感を快適化する接続を実現

おわりに

今回は、VMware SD-WANの機能から、他社のSD-WAN製品では実現できない特徴的な機能を紹介しました。

次回は、VMware SD-WANを導入する際に、どのような構成にするべきか、どのような点に注意するべきか、また導入効果をどのように評価するかといった点を見ていきます。

※富士ソフトのVMware仮想化ソリューションについての詳細は、こちらをご参照ください。

著者

佐藤浩(vExpert)

この著者の記事一覧この著者の
記事一覧

富士ソフト株式会社ソリューション事業本部インフラ事業部クラウドソリューション部第2技術グループ課長

富士ソフト株式会社でネットワークインフラの提案から導入までを担当。同社のネットワークスペシャリストでオンプレ、仮想、クラウドなど様々なネットワークの提供に加え、標的型攻撃を中心にセキュリティ対策、脆弱性診断および大規模クラウドシステムのSOC 運用に従事。5年前にVMware NSX に触れ感銘を受け、NSX専門部隊を立ち上げる。最近、Azure VMware SolutionsやVeloCloudといったVMware社のクラウドソリューションに強く惹かれながら地道に提案活動、セミナー、記事寄稿を行っている。
※本記事に記載の所属・役職情報は12月20日現在での情報です。