SD-WANの利活用について

adventar.org

この記事は、corp-engr 情シスSlack（コーポレートエンジニア x 情シス）#2 Advent Calendar 2020 の25日目の記事です。

前書き

少し前にSDNやSDWAN、CiscoでいうとSDAccess(SDLAN？)といった言葉が流行りましたが、そのうちの「SDWAN」について、現職で再度検討する機会がありましたので簡単な説明と、今のリモートワークが主体となる環境でどう活用できるか、についてまとめたいと思います。

SDWANとは

そもそもSDWANとは何か、どういったことができるのか、という点に関しては以下Citrixの定義が参考になるかと思います。

SD-WANとは

ものすごく端的に言うと、クラウドから機器管理を一括して行えて、機器間を自動でトンネル接続・通信制御してくれて、回線を柔軟に利用できるルータ、と捉えてもらうとよいかなと思います。(別にルータでなくとも同機能を持ちさえすればファイアウォールでも実装することはできますが)

SDWANのメリット

過去にCisco製品を触った実感も含め、簡単にメリットをあげると、以下の点が挙げられるかなと思います。(Ciscoの回し者ではありません)

(1) 機器管理が楽になる
→管理コンソールで全ての機器の設定を管理できるので、機器の管理が
　非常に楽になります。
　また、Configを意識せずにオーバレイの設定を変更できるため、
　深い知識が無くてもある程度の運用ができるようになります。(たぶん)
　Cisco機器の場合、Configをテンプレートとして登録することができます。
　ホスト名やIP等の機器ごとに変わる箇所のみ変数として変更することが
　できるので、全拠点のConfigを一括で変えたい！　という要件にも
　サクッと対応可能です。

(2) 拠点開設スピードがめちゃ早くなる
→ゼロタッチプロビジョニング機能を使うことで、工場から直接機器を
　現地に発送し、インターネット回線と繋ぐだけで開設完了となります。
　SIMカードが利用できる機器を使えば、回線敷設のリードタイムも
　無視することができるようになります。(回線速度はともかく)

(3) 回線コストを抑えることができる
→ローカルブレイクアウトで特定のInternet通信を拠点から直接逃がすことが
　できます。SaaSの利用が増えた昨今、拠点-DC間の帯域圧迫が問題に
　なりがちですが、これらを逃がせばその分空いた帯域を削減したり、
　増速せずに別の用途に回すことが可能になります。
　ちなみに、クラウドプロキシとの連携も可能なので、プロキシサーバの
　負荷軽減にも寄与します。

(4) 拠点間接続が柔軟にできる
→SDWANルータ間は簡単にIPsecトンネル接続を行うことができ、
　ハブアンドスポーク型、スター型、フルメッシュ型といった拠点間の
　接続形態を柔軟に構築することができます。
　DCを経由しない拠点間の通信がある場合は、その通信だけ拠点間の
　トンネルを通して直接通信させる、といった操作も可能です。

(5) 快適な通信を提供できる
→SDWAN機器は通信内容を確認し、IP/プロトコル/サービスベースで
　通信の優先度や使うトンネルを指定することが可能です。
　また、トンネルの品質を加味した自動的な通信制御を行えるため、
　simの通信品質が悪くなったらmplsの専用線網を自動で使う、といった
　柔軟に回線を利用することができます。
　(常にどの回線もECMPで使うとかもOK)

(6) 自前のクラウド環境とのトンネル接続も簡単に行える
→Azure等のマーケットプレイス製品に対象機器が存在することが
　条件となりますが、パブリッククラウド上に構築することで
　クラウド環境とのトンネル接続も簡単に行うことが可能です。

デメリットを上げるとすれば、ベンダーでナレッジが溜まっていない、拠点数が少ない場合やDCが無い場合はあまりメリットを生かせない、機器とライセンスが高い、といったあたりになるかなと思います。(1年前の知識なので、今はもっといい感じになってるかもしれません)

自分が過去に対応していた案件では特殊要件が多く、当時はまだ技術がこなれていなかったこともありバグ多発で大変な目にあいましたが、以下のような要件にはマッチするのではないかと。

・クラウド化やSaaSの利用は進めているけどまだDCは無くせない。Internet通信が増えてDCの回線やプロキシが一杯一杯になってる…。
・拠点のDR用回線があるけど普段は大して利用してないからもったいない、またはDR用の回線を安価で設けたい…。
・店舗にばらまくルータが欲しいけどキッティングや回線工事申請めんどくさい…。

頑張れば以下みたいな環境を組むことも可能です。
(ここまで実装できるのは相当体力のある会社だけだと思いますが)

本題

前置きが長くなりましたが、そんなSD-WAN環境。正直DCやクラウドと接続をする拠点ありきの製品で、リモートワークが一般になってしまうと拠点からのアクセスが減り、導入するメリットが薄くなってしまいます。現に弊社でも検討を行っていましたが、コロナの影響で一時的にリモートワークとなり、検討が白紙になってしまったことがあります。
では、そんなリモートワークで拠点の縮小化が進んだ場合に導入を検討する場合、どういったシチュエーションがあるかぼんやり考えた結果…

重役の家に設置する！

ゼロタッチプロビジョニングで現地での設定や対応は不要！　あまりITに強くない重役のPCにVPNソフトを入れたり細かい設定をすることもなく、社内LANやSaaSへのアクセスが可能となります！　Internet回線にはSIMを契約すれば、家のネットワークとは別回線を使うことになるため、仕事中にご家族から通信が遅いなどと文句を言われることもない！　機器管理はWebコンソールで行うことができるので、故障や回線トラブルがない限り現地に向かう必要もない！　海外だと社長等の自宅に社用回線引き込むこともよく行われてると聞きますし、この機会にいかがでしょうか！？　あわよくば味を占めた重役がリモートワーク推進派になってくれれば…！！

…と妄想してましたが、弊社では早々にリモートワークが無くなり重役一同全員出社形式に戻ったので提案する間もなく夢と消えました。
現在はライセンスも機器費用もそこそこしますし、やはり拠点や店舗へのばら撒き用というのがメインストリームになるのかなと思います。今後Wi-fiルータくらい小型化して、機器もライセンス費用も安くなってくれるといいんですけどね。

追記(2021/9/3)

なんかMerakiで似たようなサービスやってました。