ソフトウェア定義型ワイド・エリア・ネットワーク(SD-WAN)は、小規模なネットワークや切断されたWANネットワークの管理を抽象化して一元化する仮想WANアーキテクチャーで、広大な地理的距離と複数の電気通信インフラストラクチャーにまたがるブランチ・オフィス、リモートワーカー、承認されたデバイス(「ノード」とも言います)間で組織がデータとアプリケーションを共有できるようにします。
SD-WANアーキテクチャーは、1つ以上の物理WANネットワーク上にあるソフトウェア定義型WANレイヤーと考えてください。SD-WANアーキテクチャーはソフトウェアベースであるため、ITスタッフはこのアーキテクチャーを使用して、ネットワーク・リソースの優先順位を決定するといったガバナンス・ポリシーを設定し、ユーザー権限を調整および強制し、その下にあるWANネットワーク全体のセキュリティーへの脅威を監視できます。アーキテクチャー層のSD-WANソリューションからWANネットワーク内のエッジ・デバイスをリモートで制御することもできます。
従来のWANは、イーサネットやWi-Fiネットワークなどの複数のローカル・エリア・ネットワーク(LAN)内のデバイスとの間でデータを送受信する物理ルーターのネットワークです。WANは、マルチプロトコル・ラベル・スイッチング(MPLS)など、複数のプロトコルの1つを使用してデータを送信できます。MPLSは最短の物理パスを使用してWANトラフィックをルーティングするプロトコルです。
単一のLANはオフィス・ビルなどの物理的な場所に限定されますが、WANには、同じオフィス内だけでなく、数マイル離れた異なる建物内にある複数のLANを含めることができます。
ただし、WANは、その地域の通信回線と、インターネット・プロバイダーのトランスポートサービスのサービス・レベル契約(SLA)に制限されています。たとえば、その地域のインターネット・プロバイダーが提供するケーブルまたはブロードバンド・インターネットを介して情報を伝送するWANは、その物理インフラストラクチャーを超えて拡張することはできません。つまり、WANネットワークが両方のオフィスの20個のLANをすべて包含できるのは、両オフィスが同じトランスポート・サービスを共有しているためです。組織が別のトランスポート・サービスを使用する地域にある3番目のオフィス・ビルを所有している場合は、そこにあるLAN接続を管理するために別のWANが必要になります。さらに、WAN内のオフィスは、インターネット・アクセスが保証する帯域幅に制限されます。この点で、SD-WANには従来のWANに比べていくつかの利点があります。
SD-WANは、一連のルーターベースの WAN上に存在するソフトウェア・レイヤーとして機能するため、これらのWANが直面する物理的な制限を超えて拡張されます。そのため、さまざまな地域、インフラタイプ、トランスポート・サービス・プロバイダーにまたがるすべてのネットワークト・ラフィックを、どこからでもアクセス可能な単一のアプリケーションから監視、制御、最適化することができます。逆に、一連のWANネットワーク上にSD-WANがない場合、個々のWANの制御と構成はハードウェア・レベルに制限されます。
セキュア・アクセス・サービス・エッジ(SASE)アーキテクチャーは、SD-WANの代わりとなるものです。どちらのアーキテクチャー・タイプもWAN最適化の一形態として機能し、ソフトウェア定義型ネットワーク(SDN)のより広いカテゴリに分類されます。ただし、SD-WANが抽象化されたソフトウェア・レイヤーで一連のWANの管理を集中管理するのと同じように、SASEアーキテクチャーは、ネットワークの管理サービスとセキュリティ・サービスを、ネットワークのエッジ近くまたはネットワークのエッジに常駐するクラウドベースの環境へと抽象化します。
SD-WANアーキテクチャーは拠点間の接続に重点を置いていますが、SASE環境ではネットワーク・エンドポイントとネットワークを使用するデバイスが考慮されます。
SD-WANアーキテクチャーは、基盤となる各WANネットワーク固有の構成設定を統合して一元化するソフトウェアベースのコントローラーを確立し、データ・プロビジョニング、ネットワーク・セキュリティ・プロトコル、ポリシー設定を複数のWANエンドポイントとエッジ・デバイスに対して同時に調整できるようにします。
この一元化されたソフトウェア・レイヤーは、SD-WANデバイスを介して管理するWANネットワークとの間に暗号化されたトンネル(「オーバーレイ」とも呼ばれる)を確立することで形成されます。各WANの拠点には、物理WANネットワークとSD-WANソフトウェア・レイヤー間の通信ハブとして機能するSD-WANデバイスが備わっています。このデバイスは、その上の集中型SD-WANレイヤーからカスタム定義の構成とトラフィック・ポリシーを受信して適用します。これらの物理的なSD-WANデバイスはリモートで管理でき、SD-WANレイヤーがWANの物理的な境界を越えて動作できるようにします。
SD-WANは仮想プライベート・ネットワーク(VPN)ではありません。SD-WAN アーキテクチャは、基盤となる1つ以上のWANネットワーク上の全デバイスの中央ゲートウェイとして機能します。対照的に、VPNは、インターネットなどのパブリック・ネットワークを介してプライベート・ポイントツーポイント接続を確立します。VPNインターネット接続の場合、ネットワーク・トラフィックは、VPNプロバイダーのプライベート・サーバー・ネットワークによって管理される暗号化されたトンネルを通じてルーティングされます。
SD-WANは、複数のWANの基盤となるネットワーク・サービスを組み合わせているため、これらのサービスのいずれかを利用して各アプリケーションのパフォーマンスの最適化を実現できます。これらのサービスには、トランスポート・サービス、帯域幅容量、ファイアウォール設定などのセキュリティー機能といった物理インフラストラクチャーが含まれます。最適化された各アプリケーションの設定は、アプリケーションのパフォーマンス監視によって決定され、ポリシー設定を通じて構成されます。
SD-WANは仮想化レイヤーとして存在するため、従来のWANに比べて次のようないくつかのメリットがあります。
SD-WANは、トラフィックをリダイレクトすることで、基盤となるWANの1つからの回線の問題を克服できます。また、ITスタッフはSD-WANを自動化して、次のサービス品質(QoS)テクノロジーのいずれかを実行して、パケット損失とジッターを軽減することもできます。
一般的なSD-WANアーキテクチャーには次の3つがあります。
インターネットベースのSD-WANは「Do it Yourself」SD-WANとも呼ばれ、組織が社内リソースを使用してSD-WANを展開するときに発生します。企業のITスタッフは、必要なSD-WANデバイスの設置、SD-WANソフトウェアの展開、SD-WANの継続的なメンテナンスと管理を担います。
電話会社またはMSPサービスのSD-WANは、組織がサービス・プロバイダーに料金を支払って、WANの拠点全体へのSD-WAN接続を設置し、提供してもらうものです。プロバイダーは、機器と人員を提供するだけでなく、必要なネットワークと転送サービスが確実に利用できるようにします。
サービス型マネージドSD-WANを使用すると、組織はソフトウェア・オーケストレーションを通じてプロバイダーの既存のSD-WANアーキテクチャーにアクセスできます。このSD-WANはプロバイダーのプライベート・ネットワーク上に存在し、多くの場合、サービス型ソフトウェア(SaaS)として顧客に提供されます。