毎日の技術の進化により、あるゆる手段で安全で安定的なネットワークの接続を実現出来るようになりました。日々利用しているネットワークを、セキュアに利用するときに使う一般的な方法としては「VPN」がよく挙げられますが、一方で、最近は新しい技術「SD-WAN(Software Defined Network)/エスディーワン」が登場し、市場規模が拡大しつつあります。
今回は、この最も新しい技術「SD-WAN/エスディーワン」と、従来型の「VPN」について、いったい何がどう違うのか、各々の特徴を延べながらわかりやすく解説します。
そもそもVPNとは?
まず、従来型の「VPN」についてです。VPNは「Virtual Private Network」を略した表記で、直訳すると「仮想専用ネットワーク」という日本語になります。専用ネットワークとは、事前に設定しておいた通信相手同士だけで通信することが可能なネットワークのことを意味します。インターネット上でウェブサイトにアクセスする時のような共有のネットワークとは違うものです。
VPNは、この「専用ネットワーク」を復数の技術を組み合わせることで仮想的に実現しています。次に、VPNの基本的なしくみとその種類について説明します。
1-1. VPN:Virtual Private Networkの種類
VPNの種類については、その接続構成によって大きく2つに分類することができます。
- 専用ネットワーク上でVPNを実現する「IP-VPN」
- インターネット上でVPNを実現する「インターネットVPN」
「IP-VPN」は通信事業者の閉域ネットワークの中で通信できる環境のことであり、多くの場合においてMPLSを利用して相互通信を行います。後で詳しく説明しますが、専用ネットワークを利用することは、インターネットVPNを利用することと比較するとコストがかかってしまうというデメリットもあるのですが、誰でも自由に使えるインターネットを経由しないため、セキュリティー面から考えるとより安全に利用できるというメリットがあります。
それと比較して、「インターネットVPN」は「IP-VPN」よりも安く利用できるというメリットがあります。インターネット環境さえあればどこからでも接続することができるからです。また、VPNを経由する通信は暗号化されます。
「インターネットVPN」に分類される接続方式の一つに、一般的にクライアント端末からVPN接続をするときに利用される「SSL-VPN」という方式があります。「SSL-VPN」専用のクライアントソフトウェアがなくても一般的なブラウザ経由で接続することが可能です。他の接続方式と比較すると簡単に使えるというメリットがあるのですが、利用できるプロトコルが「http」や「https」に限られてしまう、というデメリットがあります。
「インターネットVPN」に分類される接続方式としてもうひとつ代表的な方式に「IPsec」というものがあります。IPsecを利用すると、ネットワークレベルで通信を暗号化することが可能となります。利用するためにはあらかじめ設計し構築するためのコストが必要となりますが、SSL-VPNのように利用できるプロトコルの制限がない、というメリットがあります。
1-2. VPN:Virtual Private Networkの仕組みと動作について
VPNでは、3つの技術を組み合わせて実現しています。
まず、通信を希望するもの同士が相互に正しい相手であるかどうか、認証技術でチェックします。認証機能を実現できる複数存在するプロトコルによって、要件合わせて最適な方式を選択します。お互いが正しいことを確認のうえ、通信したいもの同士の間に「トンネリング技術」を利用して、仮想的なトンネルを構築します。こうすることで、複数の機器を物理的には経由したとしても、論理的には通信したい2者間で直接接続されているようにみせることができます。
次は、暗号化についてです。2者間の通信を暗号化することで、通信経路上で通信内容を改ざんされたり、通信内容を盗聴されたりする、といった不正行為を防止することが可能となります。また、VPNを利用するときは、送信する通信データには認証方式や暗号化のためのデータが付加されます。そのためVPNを利用した通信とVPNを利用していない通信を比較すると、VPNを利用した通信の通信速度は若干遅くなります。
SD-WAN/エスディーワンとは?
SD-WAN/エスディーワンは「Software Defined-WAN」の略で、日本語に訳すと「ソフトウェアで定義されたWAN」という言葉です。WANは「Wide Area Network」の略で、広域ネットワーク網のことを指します。従来のネットワークでは物理的な機器を利用して経路を制御することで、通信の制御を実現しネットワークを構築していました。
ただ近年において技術の進歩に伴い、ソフトウェアによってこれらの制御を実現できるようになったため、物理的な制約を超えてより柔軟なネットワークを構築できるようになりました。それがSDN(Software Defined Network)です。
2-1. SDN:Software Defined Networkの登場
SDN(Software Defined Network)を利用することで、これまでのネットワーク構築よりも、大幅にフレキシブルな設計を実現できるようになりました。SDNでは「コントロールプレーン」と呼ばれる通信を制御する箇所と、「データプレーン」と呼ばれるデータを転送する箇所とに分け、ソフトウェアを利用してネットワークを仮想化。通信の制御を一括で管理することで、コストを抑えたうえフレキシブルなネットワークを実現することができます。
制御する部位は「SDNコントローラ」と呼ばれ、SDNコントローラとデータを転送する部分の間は、APIを利用してコミュニケーションを成立させます。SDNコントローラ上で動作しているのもソフトウェアなので、不要な機能を削除することも新しい機能を搭載するなどの管理も、簡単なスクリプトさえ書くことができれば、運用タスクを自動化できるなど多くのメリットがあります。
これまでの物理機器をメインとしたネットワークにおいては、設定変更をするためにはリモート接続をおこなうか、現地に直接出向いて設定変更をおこなう必要があり、大幅な構成変更があるときは物理結線や機器の配置までも大きく変更する必要があるなど人件的な手間や人件費がかかっていました。しかしSDNの登場によって、上記のような大規模な変更の対応もSDNコントローラ上で容易に実現できるようになり大幅な手間や人件費削減が可能となりました。
2-2. SD-WANのしくみ
上記で説明したとおり、SDNは主に社内ネットワーク(LAN)で利用するために作られました。これを応用してWAN接続でも使えるよう開発されたものがSD-WAN/エスディーワンです。基本的なコンセプトは同じものであり、ただ制御する部位とデータ転送をする部位が分かれていることで、コントローラでネットワークの構成や通信制御を一括管理しWANを仮想化することによって柔軟な変更が可能です。それとともに、WANではインターネット・サービス・プロバイダと契約している回線を複数利用することができ、効率よく必要なネットワークに分配することができます。
また、アプリケーションごとに通信を認識することも可能であるため、各アプリケーションの利用状況や、アプリケーション別での帯域制御を行うことが可能となっています。SDNと同様に、データ通信のみ拠点の機器が担っているため、物理結線さえ行えばリモートによる設定作業をコントローラから適用することができます。リモート作業が可能になると、特に大規模なネットワークにおいては、運用コストを大幅に削減することができます。
特に、最近の企業のトレンドとしてはオンプレミスとクラウドの両システムを使うハイブリッド方式の利用が多くなっているので、クラウドサービスへの通信はインターネットへ直接接続することで実現させ、Webサイトの閲覧や社内システムへのアクセスなど検閲が必要な通信はデータセンター経由で通信させる、といった制御も行うことも可能です。SD-WAN/エスディーワンの考え方ではこれを「ローカルブレイクアウト」と呼びます。「ローカルブレイクアウト」を実現させることにより、負荷分散のため通信の経路を最適化することができます。
SD-WAN/エスディーワンとVPNの違いとは
SD-WAN/エスディーワンとVPNの違いはどのようなものであるかご存じですか。どちらも「ネットワークを仮想化する」という大きな概念としては共通しています。
しかし、「VPN」は2拠点間の通信を仮想的に専用のネットワークで接続するものだとすると、SD-WAN/エスディーワンは複数の拠点においてもネットワークを仮想化することができるものとなります。また、SD-WANとVPNの一番大きな違いは仮想化に使われる技術が異なる、ということです。VPNは認証、トンネリング、暗号化の3つの仕組みを利用して実現させます。それに対してSD-WANはSD-WANを実現させることを目的として開発されたソフトウェアによって、そして、その管理コンソールを用いて制御することが可能です。
VPNは、主にネットワーク層またはトランスポート層で動作するため、通信制御方式はポート制御となります。一方でSD-WANはVPNと比べてより上位レイヤーでこまやかな制御が実現可能でありアプリケーション層で通信を認識することが可能です。
また、SD-WANは構築後も柔軟かつ迅速に変更することが可能ですが、VPNは設計に基づいて構築されると、その後に変更するときは大きなコストがかかってしまったり再設計や設定変更作業が必要という特徴もあります。
一方でSD-WAN/エスディーワンはソフトウェアを使った通信制御を行うため、そのソフトウェアに不具合が発生してしまうと影響を受けてしまうという特徴があります。VPNの場合も不具合の可能性はあるのですが、より低いレイヤで動作する技術であるため、ソフトウェア不具合に比べてリスクは比較的低いといえます。
もうひとつ大きな違いとして集中管理があります。VPNでは設定変更が必要になった時は複数の機器で設定変更を実施することが必要です。しかし、SD-WAN/エスディーワンで設定変更が必要になったときは、管理コンソールによって一括で適用することが可能です。この違いはネットワークの規模が大きくなればなるほど運用負荷に違いが表れ、VPN運用に必要な運用コストとSD-WAN運用に必要な運用コストにおいて大きな差が生まれます。
まとめ:SD-WAN/エスディーワンとVPNはどう違うの?機能や役割の違い
いかがでしたでしょうか?今回はSD-WAN/エスディーワンとVPNの違いについて解説しました。
どちらのプロトコルも【ネットワークを仮想的に捉えて利用する】という概念は共通ですが、使う目的や利用する背景、利用するプロトコルなど違いがいくつもあります。
これらの技術を利用する場合には、利用する前にそれぞれの特徴を理解したうえで検討し決定することが大切ですす。正しく理解したうえで、正しく使うことによって、より高いネットワークパフォーマンスを利用することが可能になるので、事前の調査は十分に行っていただきたいと思います。
コメント