SD-WANとは?

Software-defined WAN (SD-WAN) technology applies software-defined networking (SDN) concepts for the purpose of distributing network traffic throughout a wide area network (WAN).

SD-WANs work automatically, using predefined policies to identify the most effective route for application traffic passing from branch offices to headquarters, the cloud, and the Internet. There is rarely any need to configure your routers manually in branch locations.

A centralized controller manages the SD-WAN, sending policy information to all connected devices. Information technology (IT) teams can program network edge devices remotely, using low-touch or zero-touch provisioning.

Quantum SD-WAN SD-WAN demo

SD-WANとは?

SD-WANのユースケース

SD-WANテクノロジーは、通常、トランスポートに依存しない仮想オーバーレイを作成します。 これは、インターネットブロードバンド、ファイバー、ロングタームエボリューション(LTE)、ワイヤレス、マルチプロトコルラベルスイッチング(MPLS)など、基盤となるパブリックまたはプライベートWAN接続を抽象化することによって実現されます。 SD-WAN オーバーレイは、組織が独自の既存の WAN リンクを引き続き使用するのに役立ちます。 SD-WANテクノロジーは、ネットワークの制御を一元化し、コストを削減し、既存のリンク上でリアルタイムのアプリケーショントラフィック管理を提供します。

最も一般的なSD-WANのユースケースは、次のカテゴリに分類されます。

  • 地理的な拡大:企業が新しい地理的地域に進出したり、合併や買収を実行したりする場合、SD-WANを活用して、1つの統一されたポリシーと制御インターフェイスを使用して、新しい場所で既存のネットワークサービスを使用できます。
  • WAN容量をより有効に活用:パブリック・ネットワーク・サービスとプライベート・ネットワーク・サービスを組み合わせたデュアル接続戦略を使用します。 SD-WANは、パブリックインターネットサービスを使用して一部のプライベートネットワークトラフィックをオフロードし、ビジネスクリティカルなアプリケーションや低遅延を必要とするアプリケーションのためにプライベートネットワーク容量を予約できます。
  • WANの耐障害性の向上:同じサイトへの複数のネットワーク接続を持ち、アクティブ/アクティブ構成で動作するハイブリッド・ネットワーク環境を構築します。 通常の状況では、トラフィックはサービス間で分散できますが、1 つの接続が失われた場合、トラフィックは別のサービスにフェールオーバーできます。
  • クラウド移行 - さまざまなアプリケーションをクラウドに移行することで、デジタルトランスフォーメーションを実現します。 SD-WANはアプリケーションベースのルーティングをサポートしているため、各アプリケーションは、クラウドに展開されているかオンプレミスに展開されているかにかかわらず、ニーズに最適なワイドエリアサービスを使用できます。

SD-WAN Benefits

Uncoupling WAN architecture from high-cost, demanding MPLS setups is one of the greatest benefits that SD-WAN can offer. MPLS is notoriously expensive – far more so than typical internet connectivity – with average prices topping 4 figures per month.

The eye-watering price is a result of the very limited number of vendors that provide MPLS, and the difficulty for new competitors to break into the space.

The other reason that organizations may be looking to avoid or move away from MLPS is cloud transformation.

As organizations increasingly rely on cloud-based resources, MPLS’ hub and spoke models can begin to introduce inefficiencies. Since all MPLS traffic must be routed via the central headquarters, these hub requirements can become choke points for data otherwise flowing between a cloud-based database and the end user requesting it.

SD-WAN avoids much of this by removing the necessity of MPLS providers. 

集中管理

Rather than routing all traffic to a central point, SD-WANs instead apply a centralized control system. This allows a Security Operations Center (SOC) to manage networking policies across the entirety of an organization’s networks.

  • This ensures consistent security rules, traffic prioritization, and performance optimizations, reducing the complexity of manually configuring each site individually.

Greater Cost Efficiency

Unlike traditional WANs that rely on expensive MPLS circuits, SD-WAN can utilize a far broader wealth of protocols and approaches like broadband, LTE, and other cost-effective connections.

  • This can reduce infrastructure cost while maintaining robust connectivity.

Enhanced Flexibility and Scalability

Since SD-WAN is software-driven, businesses can quickly scale their network by adding new locations without extensive hardware installations.

  • Since there’s no underlying reliance on a single MPLS provider, either, SD-WAN is essentially transport-agnostic, able to route all types of traffic that an organization may need.
  • This flexibility also refers to the cloud-based management tools that allow IT teams to configure and deploy network changes remotely.

Improved Performance

SD-WAN continuously monitors network conditions and dynamically routes traffic based on real-time performance metrics.

  • This could include switching critical applications to the best available connection, or modifying traffic routes according to their contexts like issuing greater resources for video streaming at a time when many employees are jumping on calls.

Reliability

Traditional WANs depend on a single connection, leading to failures if that link goes down. SD-WAN, however, leverages multiple connections simultaneously, automatically rerouting traffic if one link fails.

SD-WAN アーキテクチャ

SD-WAN は、次の 2 つの部分で構成される抽象化されたネットワーク アーキテクチャを使用します。

  • コントロールプレーン:中央の場所から操作されるため、ITスタッフはオンプレミスにいなくてもWANリソースをリモートで管理できます。
  • フォワーディング プレーン:トラフィック フローを管理し、コントロール プレーンによって設定されたポリシーに従ってネットワーク リソースを動的に設定します

SD-WANアーキテクチャは、次のコンポーネントで構成されています。

  • エッジ:クラウド、オンプレミスのデータセンター、またはブランチオフィスに展開されたネットワーク機器で構成されます。
  • コントローラ:一元管理を提供し、オペレータがネットワークを視覚化および監視し、ポリシーを設定できるようにします。
  • オーケストレータ:トラフィックを監視し、コントローラによって定義されたポリシーとプロトコルを適用する仮想化ネットワーク管理コンポーネント。

SD-WANの概念

SD-WANの実装では、次のような幅広いテクノロジーが活用されます。

コントローラ

SD-WAN デプロイメントを管理する一元化されたコントローラー。 コントローラは、セキュリティとルーティングのポリシーを適用し、仮想オーバーレイ、ソフトウェアアップデートを監視し、レポートとアラートを提供します。

ソフトウェア・デファインド・ネットワーキング(SDN)

仮想オーバーレイ、集中型コントローラ、リンク抽象化など、アーキテクチャの主要コンポーネントを有効にします。

広域ネットワーク (WAN)

地理的に離れた施設または複数のLANを、無線または有線接続を使用して接続する責任があります。

仮想ネットワーク機能 (VNF)

ファーストパーティまたはサードパーティのネットワーク機能 (キャッシュ タスクやファイアウォールなど)。 VNF は通常、物理アプライアンスの量を減らす目的、または柔軟性と相互運用性を向上させる目的で使用されます。

コモディティ帯域幅

SD-WANテクノロジーは、複数の帯域幅接続を活用し、トラフィックを特定のリンクに割り当てることができます。 これにより、従来のコストのかかるMPLS回線から低コストのコモディティ帯域幅接続にトラフィックを移行することで、ユーザーはより多くの制御が可能になり、コスト削減が可能になります。

ラストワンマイル技術

SD-WANテクノロジーは、複数のトランスポートリンクを使用するか、複数のリンクを同時に使用することで、既存のラストマイル接続を改善できます。

WANとSD-WANの違いは何ですか?

WAN is a staple of corporate infrastructure: to easily explain this network layout, let’s start at the bottom of the network chain.

  • Connecting local devices is a local area network (LAN), which relies on a router to link each device and ferry network packets to their intended destination.
  • LAN networks are limited to a range of up to 2 km, however — so while they’re useful for individual offices, they can’t connect one branch to another.

Enter the WAN

This is where a WAN steps in: while each office has their own LAN, these LANs are connected to one national or global WAN.

  • When first scaling this up, organizations have typically decided on a similar approach to LANs: by implementing physical router and manual port configurations.
  • Also, they generally don’t rely on the same packet forwarding process that a LAN does.

When sending data from a LAN to a public network:

  • The router first determines where the packet needs to get to according to its routing table, and the packet’s own headers
  • The device consults its internal routing table, and – should the receiving device not be found in that LAN – it forwards the packet to the next network.
  • This network’s router then essentially repeats the same process, and on and on until the packet finally arrives at its intended network, and delivered to the IP address listed in the header.

WAN Scalability and Latency Challenges

  • Office branches can be numerous and very far apart.
  • It’s easy to see how relying solely on this approach could introduce an unmanageable amount of latency.

The Role of MPLS

To beat this, Multiprotocol Label Switching (MPLS) was used:

  • MPLS directs WAN traffic along predetermined paths using specialized routers.
  • MPLS is the high-speed railway of network infrastructure: it needs specific routers and dedicated leased lines — all of which add to the cost of setting up a WAN.

However:

  • MPLS comes with drawbacks.
  • Not all WANs require its state-of-the-art setups and high costs.

SD-WAN vs MPLS

Traditionally, the control plane and data plane were closely integrated within proprietary hardware appliances. SD-WANs decouple these layers by shifting the control plane to a software-based system, allowing routing decisions to be made in software running on standard, non-proprietary hardware instead of specialized network routers.

Put concisely, SD-WAN connects LANs using software.

  • Each individual network has a SD-WAN appliance installed, which individually manages all incoming and outgoing traffic.
  • When traffic reaches an SD-WAN appliance, it identifies the type of application data and directs it to the appropriate destination based on predefined policies, as well as the performance and availability of various network connections.
  • To ensure adequate in-transit security, most SD-WAN setups also encrypt the data being transferred

従来のWANソリューションとSD-WANソリューションの主な違いを見てみましょう。

WAN (英語) SD-WAN
負荷分散とディザスター リカバリーは利用できますが、展開が複雑になる可能性があります 負荷分散と災害復旧が組み込まれており、高速またはゼロタッチのデプロイメントが可能
設定の変更には時間がかかり、手作業で設定作業を行う必要があるため、エラーが発生しやすくなります リアルタイムでの設定変更、自動化による人為的ミスの防止
エッジ デバイスを 1 つずつ構成する必要があり、ポリシーの包括的な適用は許可されません 仮想オーバーレイを使用:多数のエッジ・デバイス間でポリシーを即座に複製可能
1 つの接続オプションに制限 (レガシー MPLS 回線) MPLSおよびSDN管理のブロードバンド回線など、複数の接続オプションを最適に活用できます。
単一の IP バックボーンでは適切に機能するが、音声やビデオなどの高スループットのワークロードと共存できない VPN に依存しています。 さまざまなタイプのアプリケーションに対してトラフィックを誘導し、帯域幅を最も必要とするアプリケーションのために帯域幅を節約できます
手動チューニングが必要 ネットワークの状態を自動的に検出し、WANを動的に最適化できます

SD-WANのベストプラクティス

パブリックインターネットを選択的に使用する

SD-WANは、すべてのミドルマイル伝送にパブリックインターネット接続を使用できるため、これは非常に費用対効果が高いですが、お勧めできません。 トラフィックがどのリンクを通過するかを知る方法がないため、セキュリティとパフォーマンスの懸念が生じます。

可能な限り、特に機密性の高い通信やミッションクリティカルな通信の場合は、プライベートネットワーク経由でSD-WANトラフィックを送信することをお勧めします。 一部のSD-WANプロバイダーでは、独自の安全なグローバルネットワークを使用できます。 パブリック インターネット容量は、重要で機密性の低いワークロード、またはプライベート ネットワークがダウンしたときのフェールオーバー シナリオ用に予約します。

デプロイメントプロセスを関係者に伝える

SD-WANプロジェクトに着手するときは、デプロイメントプロセスについて関係者を教育し、SD-WANが既存のネットワークインフラストラクチャへの追加であることを説明します。 経営幹部は、SD-WANを従来のネットワークテクノロジーの単なるドロップイン代替品と見なすべきではありません。

既存のテクノロジーを維持し、新しいSD-WANへの投資と統合する必要があることを明確にします。 技術的な背景とデプロイメント方法をよりよく理解することで、より良いリーダーシップのサポートが得られます。

SD-WAN サービスのテスト

SD-WANソリューションは、自動化とゼロタッチデプロイメントを提供する場合がありますが、期待どおりに機能することを確認する必要があります。 テストは見落とされがちですが、SD-WANプロジェクトの重要な部分です。 実装前、実装中、実装後に広範囲にテストしてください。 一般的なSD-WANプロジェクトでは、 サービス品質(QoS)、スケーラビリティ、可用性とフェイルオーバー、管理ツールの信頼性に重点を置いた3〜6か月のテストが行われます。

SD-WANセキュリティとSASE

SD-WANモデルは、分散型ネットワークファブリックを使用して動作しますが、通常、クラウド内のエンタープライズネットワークを保護するために必要なセキュリティとアクセス制御は含まれていません。

この問題に対処するために、Gartner はセキュア アクセス サービス エッジ (SASE) と呼ばれる新しいネットワーク セキュリティ モデルを提案しました。 SASEは、WAN機能と次のようなセキュリティ機能を組み合わせたものです。

クラウド環境向けに構築されたこれらのセキュリティ機能を組み合わせることで、SD-WANネットワークの安全性を確保することができます。

SASEソリューションは、モバイルユーザーやブランチオフィスに安全な接続性と一貫したセキュリティを提供します。 ネットワーク全体を一元的に把握できるため、管理者やセキュリティチームは、グローバルに分散したSD-WAN全体でユーザー、デバイス、エンドポイントを識別し、アクセスポリシーとセキュリティポリシーを適用し、複数の地理的な場所や複数のクラウドプロバイダーにわたって一貫したセキュリティ機能を提供することができます。

SD-WAN with チェック・ポイント

Check Point’s Quantum SD-WAN explicitly addresses the security shortcomings of WAN by integrating robust threat prevention directly into its architecture. Deployed at the branch level as a software blade within Quantum Security Gateways, it offers comprehensive protection against:

  • Zero day exploits
  • Phishing attempts
  • Ransomware attacks

This integration ensures that branch offices maintain the highest security standards, while still ensuring the highest network performance.

Beyond security, Quantum SD-WAN enhances connectivity by optimizing traffic flow for different apps: with inbuilt settings for over 10,000 enterprise applications, it’s able to quickly deliver optimized performance. The solution continuously monitors internet connectivity metrics, such as:

  • Latency
  • Jitter
  • パケット損失

So it can dynamically select the best path for traffic.

Sub-second failover capabilities are offered to ensure uninterrupted services, even during times of connection instability. Marry security and performance with Quantum SD-WAN and explore the comprehensive solution with a demo.

If you’re looking for a more complete overhaul toward SD-WAN, on the other hand, check out Checkpoint Harmony SASE: its full-mesh architecture offers a global private backbone that implements zero-trust security at every connection.