SDNとは?仕組みやNFVとの違いをわかりやすく解説
クラウドの普及やワークスタイルの変化により、仮想化されたITインフラはより重要なものになりました。SDNはネットワークを仮想化し、高度な柔軟性を実現する技術です。快適な通信は生産性の向上につながり、事業の成長へと寄与します。
本記事では、ネットワークを仮想化するSDNの仕組みやNFVとの違いを詳しく解説します。
この記事の目次
SDNとは
SDN(Software Defined Network)はわかりやすく直訳すると「ソフトウェアで定義されるネットワーク」の意で、ネットワークの構築や設定をソフトウェアによって管理・制御をする考え方、および技術の総称です。
従来のネットワークは物理的なネットワーク機器によって設計・構築が行われ、機器単位で通信を管理・制御していました。そのため、従来の構成では物理的な変更が伴うため管理者の負担が大きく、クラウドの普及やITインフラの仮想化などビジネスシーンの変化に適応した運用ができない課題が顕在化します。そういった問題を解決したのがSDNのコンセプトによって実現したネットワークの仮想化です。
SDNが広まった背景
多くの企業がITを活用するようになり、ネットワークには柔軟性が求められるようになりました。クラウドの登場でサーバーやストレージが仮想化されたことで、ビジネスシーンに大きな変革が起こり、物理的制約を解消し、迅速にリソースを調達することが可能になりました。
ITインフラの環境が仮想へと変化していくなか、ネットワークだけが物理的要素に依存し取り残される形となったのです。そのため、クラウドで仕入れたサーバーとストレージをもとに新たなネットワーク構築をする時も、OSI参照モデルで定義されるように7つの階層ごとに対応する通信機能を個別でシステム設定を行う必要があります。
物理的なハードウェアへ依存しているため、既存ネットワークの構成変更や動作状態の確認を行う際は、機器単位で設定変更や状態確認、ハードウェアの増設や配線工事の手間が発生します。
こうした問題を解決するために、ネットワーク全体を集約してソフトウェアベースで制御する「ネットワークの仮想化」というSDNのコンセプトが普及するようになったのです。
仮想化とは
仮想化とは「本当は存在しないものをあるように見せかける」技術のことです。たとえば1つしかないサーバーを複数あるように見せかけて1台のサーバーで複数のO Sやアプリケーションを稼働できます。また、複数のストレージ(記憶媒体)を統合して1つに見せかけることも仮想化技術です。
サーバー、ストレージ、デスクトップのような物質的なIT資源をソフトウェアによって分割・集約することで、管理や拡張に対して発生する物理的なコスト(設定・管理)を減らせます。
実際のリソース以上に稼働しているように見えますが、スペックはもとの機器を超えることはありません。あくまで統合・分割によって複数あるように見せかける技術です。
SDNの場合、ネットワークを構築するルーター、スイッチ、通信回線などのネットワーク機器の制御機能をソフトウェアベースで統合し、一元管理することで実現します。
SDNを導入するメリットと効果
SDNはインターネット機器のもつ「伝送機能」と「制御機能」を分離し、制御機能をソフトウェアに集約して通信をコントロールします。ネットワーク全体を一元管理することで構成をシンプル化し、セキュリティ性を向上させるとともに、状況に応じて迅速に設定を変更・更新できるようになりました。
従来のネットワークではハードウェア側を手動でプログラミングしてデータの流れをコントロールする必要がありましたが、SDNはソフトウェアへのプログラミングだけで済みます。
また、ネットワークを新設する必要がある場合、設定時のルールを定めておくことでエンジニアがいなくても構築することが可能です。
ネットワークの接続、システム自動化や運用管理、分析、設計、障害対応をコントローラーですべて対応できるため運用コストが削減できます。また、IT資源のリソースを有効活用できるようになるため、新しいシステムを構築する際の初期投資費用を削減することも可能です。
SDNの仕組み
SDNはソフトウェアによって物理的なネットワークを統合し、一元管理を行う技術のコンセプトです。この概念を実現する技術の1つがOpenFlowと呼ばれる標準プロトコルです。OpenFlowはネットワークを構成するハードウェアを1つの制御装置(コントローラー)で集中管理し、スイッチによって動作の制御ができます。
物理統合と仮想分離によって従来のネットワークが抱えていた管理の複雑さ、構築のコスト、セキュリティの拡張性、クラウドとの互換性などの問題を解決できました。
ここではOpenFlowの役割や特徴などについて解説します。
OpenFlowスイッチ
従来のネットワークで使用されていたスイッチには「経路制御」と「データ転送」という2つの機能がありました。OpenFlowは2つの機能を分離することで、システムの構造をコントロールプレーンとデータプレーンに分けます。それにより、データの転送処理を制御機能で一括管理できる構造を構築できます。
OpenFlowとして機能するスイッチには、物理的なハードウェアのスイッチと仮想化されたスイッチのOpen vSwitchがあります。物理スイッチは転送力に優れていますが、OpenFlowへの対応が遅く柔軟性が低い特徴があります。対して仮想スイッチのOpen vSwitchはソフトウェアで制御されているためOpenFlowに対する柔軟性が優れています。
OpenFlowコントローラー
OpenFlowコントローラーはOpenFlowスイッチの制御を担っており、ネットワークの制御機能を集約したソフトウェアです。
データの送信・転送のルーティング、パケットの経路制御、通信の帯域制御などの処理を行い、ネットワークを自由自在にコントロールできます。
OpenFlowでITインフラをプログラミングする場合、管理者およびエンジニアが書くのは頭脳であるコントローラーです。
プログラマブルであることから、ネットワーク自体をプログラミングできるため、ルーターやファイアウォール、スイッチの役割を担うOpenFlowスイッチへ設定変更の指示や、負荷がかかっている回線トラフィックの抑制などが行えます。
OpenFlowによる制御の流れ
原則OpenFlowスイッチに着信されたパケットの処理はコントローラーにプログラミングされたフローエントリーに従います。
フローエントリーに記述されていないパケットが流れてきた時、コントローラーへ「Packet In」メッセージを問い合わせします。コントローラーは対処方法を「Flow Mod」メッセージとして返送し、スイッチは指示された通りの挙動を行います。
あらかじめ必要になるとわかっているフローエントリーは、事前に記述しておくことで問い合わせ件数を減らせるため、パケットの処理が素早く行われます。トラフィックの混み具合や負荷がかかっている場所の把握、全体のトラフィックをコントローラーで集中制御できるので、効率的に通信量の分散が可能です。
新たに指示されたフローエントリーはスイッチのフローテーブルに蓄積・更新されます。
OpenFlowの諸実装
OpenFlowは、特定のベンダー依存の規格ではなくオープンな規格であり、非営利団体のOpen Networking Foundation(ONF)によって標準仕様が設定されています。あくまでプロトコルなので、OpenFlowコントローラーには多数の実装方法が存在しています。
RubyやC言語で書かれたTrema、JavaのFloodLight、PythonのRyuなどのフレームワークがあります。
たとえばNTT研究所が開発したフレームワーク「Ryu」はスイッチングハブ機能やトラフィックモニター機能、ファイアウォール機能などのネットワーク機能が利用できます。さらに日本で開発されたため、ドキュメントが豊富に提供されています。
OFNは複数のOpenFlowバージョンを公開しており、現在1.0、1.1、1.2、1.3、1.4、1,5が存在しています。各バージョンに互換性はなく、物理的なOpenFlowスイッチは対応バージョンが限られています。そのため、新しければ良いわけではなく、主に1.0と1.3が使われている傾向にあります。
OpenFlow 1.0はキャンパスネットワークやデータセンター内のネットワークで利用されるプロトコルに対応しています。1.1になるとより広いネットワークで使用されることを想定しキャリア網を意識したプロトコルに対応しています。
1.2はIPv6に対応し、1.3は安定版仕様として決定されたことが特徴です。1.4は光伝送装置制御のために拡張されたものの、あまり実装されていません。現在の最新バージョンは1.5ですが、実装事例は少ない傾向にあります。
SDNとVPNとの違い
SDNと似た概念にVPNがあります。どちらも「仮想化技術」を用いたネットワーク関連の技術のため混同してしまうことも珍しくありません。
ここでは VPNの解説と、SDNとの違いについて紹介します。
VPNとは
VPN(Virtual Private Network)の略称でインターネット上に「仮想専用線」を作る技術のことを指します。
地理的に離れた拠点同士にあるLAN(ローカルエリアネットワーク)を接続するために専用線(PN)を利用します。専用線は物理的な回線のため断線による障害や拡張性のなさ、回線工事のコストといったデメリットがありますがセキュリティ性が高く、パフォーマンスの高い安定した通信が行えます。
VPNは特定の人だけが利用できる仮想的な専用ネットワークで、トンネリングや暗号化技術によって作られています。高いセキュリティ性を保ちながら、プライベートな通信ができます。
SDNとVPNとの違い
VPNは暗号化によってプライベートではないネットワーク接続を仮想的にプライベートとして扱う技術です。コストを削減しつつ、各拠点間のセキュリティを確保しながらアクセスを行うことが目的です。
対してSDNはネットワーク環境を仮想化し、ソフトウェアで一元管理・制御をすることで構築しやすくする目的で利用されます。
仮想化する箇所と仮想化する目的、利用用途が大きく異なるため、両者はそれぞれ別の概念として両立しています。
SDNの先駆技術VLAN
ネットワークの仮想化を実現するSDNが登場する以前にも、ネットワーク仮想化技術としてVLANが使用されていました。LANの接続方法が物理的接続ではなく、スイッチ機能によって1台の機器から複数の仮想的ネットワークの構成が行えます。
VLANによって実現できたことと、VLANの機能的限界やSDNが登場した背景を紹介します。
VLANとは
VLAN(Virtual LAN)は仮想LANと呼ばれ、その名の通り通常のLAN接続ではなく、スイッチ内部で論理的にLANセグメントを分離することによって仮想的なセグメントを作ります。
ネットワークの仮想化技術としてはSDN以前から存在しており、企業のLANを構築する上では重要な技術でした。
メリットはネットワーク機器の物理的な位置、配線に依存せずにLANを構築できることと、ネットワークを分割することで通信帯域を有効利用できる点です。また、直接通信できる箇所が限定されるため情報セキュリティの向上も可能です。
VLANは利用方法や接続方法によって区別されます。割り当てられたスイッチングハブポートを使用するポートベースVLAN、MACアドレスで通信の制限を行うMACベースVLAN、プロトコルによって通信をコントロールするプロトコルVLAN、1台のコンピューターを複数のネットワークに接続させるマルチプルVLANの4種類です。
VLANの限界
VLANによって行われる仮想化は、最初に設定するとその後あまり変更をしないことを前提に設計されている特徴があります。しかし、クラウド(サーバーやストレージ)によって作られる仮想マシンは必要な時にのみ稼働し、不要になったら停止する動的な特性があります。そのためネットワークの拡張や構成変更、設定を行うことに向いていない静的な仮想ネットワークであるVLANはITインフラの仮想化の流れに適していない課題がありました。
また、VLANの標準規格であるIEEE 802.1Qは固有の識別番号に限度があり、4096個のIDが存在しますが、0と4095はシステム専用に使われているため、4094個しか割り振れません。そのため、拡張性の限界という課題があります。
VLANは個々のスイッチ単位で設定する必要があるため、人的コストが発生するという欠点があります。そしてネットワークの設定を再設定することが困難という問題もあります。
これらの限界点をすべて解消し、仮想化されたサーバーと同じレベル感で動的な仮想化ネットワークを構築する手段として、SDNのコンセプトが注目されるようになりました。
NFVとの違い
SDNと合わせて使われることの多い仮想化技術にNFVがあります。
ネットワークをソフトウェアの設定だけでネットワーク機器を制御できるSDNは、ネットワーク構成を仮想化する技術です。
複数のネットワークを保有していたとしても、1つのネットワークとして物理統合を行うことで、複雑なパケットの制御やハードウェア単位で行われるシステム設定を集約できます。
対してNFVは、ネットワークサービスを仮想化する技術で、ルーター、スイッチ、ファイアウォールといったネットワーク機器の機能を仮想化します。
SDNとNFVは互いに補う関係であり、機能として類似する点もありますが、異なる概念です。ここではNFVによって実現できることや、その要点、SDNとの詳細な違いについて紹介します。
NFVとは
NFV(Network Function Virtualization)はネットワーク機器やセキュリティ機器の機能を仮想化する技術を指します。サーバーやストレージに使われている仮想化技術をネットワーク機器に応用したもので、ネットワークの構築で専用の装置として設置されていたルーター、スイッチングハブ、ファイアウォールなどのハードウェアを仮想マシンとして実行できます。
ハードウェアから通信サービスを分離することでソフトウェアによる機能のインストール、制御、拡張、設定、管理を行います。そのためネットワーク機能の追加にハードウェアを用意する必要がありません。
ネットワーク機能の仮想化を行うことで、運用・管理コストの削減、消費電力の削減、機能のアップデートを簡素化、設置スペースの低減といったメリットがあります。
SDNと併用して扱われることが多く、仮想スイッチとして先述したOpen vSwitchもNFVの一種です。
SDNとの違い
NFVはネットワーク機器そのものを仮想化することに対して、SDNはネットワーク機器の構成や接続を仮想化します。そのため概念としては大きく異なり、全く違う技術です。
ネットワークは、ルーターやスイッチのようなハードウェア同士を接続して形成されますが、NFVはこのハードウェアを仮想化するため、SDNで仮想化されたネットワークで補うことで、より強固な仮想化されたネットワークを構築することが可能です。
サーバー、デスクトップ、ストレージ、ネットワーク、ネットワーク機器のすべてを仮想化することで、ITインフラの変化に対応し、必要なリソースを迅速に確保することで、システムの設計・構築を容易にします。
SDNとSD-WAN
SD-WANはソフトウェア定義のネットワークであるSDNの考え方をWAN(Wide Area Network)に適用したものです。
SDNのメリットである「ソフトウェアによるネットワークの集中管理」「データの送電処理と制御機能の分離」「ネットワーク構成のシンプル化」をWANでも実現できます。
ここではSD-WANの概要と導入するメリットについて解説します。
SD-WANとは
SD-WAN(Software Defined Wide Area Network)は「ソフトウェアで定義される広域ネットワーク」を指します。SD-WAN の全体像を把握するには、まずWANについて理解することが重要です。
WANは地理的に離れた場所にある拠点(本社と支社、営業拠点、店舗、工場など)にある限定的なネットワークであるLAN(Local Area Network)を相互に接続し合う広域ネットワークです。接続には通信キャリアが提供する通信回線が主に利用されています。
SD-WANはSDNのNにあたる部分がWANになったもので、拠点間の接続全体を仮想化し、ソフトウェアでトラフィックの制御、ネットワークの管理を行います。
複数のベンダーによってサービスが展開されていることから、SDNに比べると定義が曖昧で全貌を掴むことが難しいため、本記事では北米の大手企業が主導している、ネットワークのオープン化を推進するユーザー団体が掲げる、SD-WANの満たすべき技術的な10の要件を紹介します。
- 1. Active/Active構成でさまざまなWAN回線の制御が可能
- 2. コモディティハードウェア上で、仮想的に専用VPNルーターを提供
- 3. アプリケーションなどのポリシーに基づき、ダイナミックな通信制御が可能
- 4. 個別のアプリケーションに対して、可視化・優先順位付け、ステアリングが可能
- 5. 可用性・柔軟性の高いハイブリッドなWANの構築が可能
- 6. スイッチやルーターと相互接続可能なL2/L3に対応
- 7. 拠点、アプリケーション、VPN品質などをダッシュボードでレポーティング可能
- 8. オープンなノースバウンドAPIをもちコントローラーへのアクセス・制御が可能
- 9. ゼロタッチプロビジョニングに対応
- 10. FIPS-140-2を取得
つまりSD-WANとは、アプリケーションを識別して可視化・優先順位付けが可能になることで、全拠点のネットワークを一元管理し、現地での設定作業を不要にできる技術です。導入することでコストの削減とシンプルな運用管理を実現します。
SDN/SD-WAN化によるメリット
SD-WANの導入が注目される背景にクラウドサービスを利用する企業の増加があります。
多くの企業では、全国の拠点からデータセンターに設置してあるサーバーを経由してインターネットへアクセスをする構成をとっていますが、業務アプリケーションのクラウド化と大容量コンテンツの利用増加によって通信量が劇的に増加し始めました。その結果、トラフィックが拠点ごとに増加し、回線への負荷が課題として顕在化しました。
特にテレワークが推進され、リモートからのアクセス増加やWeb会議システム、業務アプリケーションのクラウド利用が進むと、ネットワークの利用状況の把握が難しくなります。
ITインフラのクラウド化やワークスタイルの変化を受け、柔軟性があり、迅速にトラフィックの制御、セキュリティの確保、よりシンプルな運用管理、状況に合わせたポリシー設定ができるWANが求められるようになりました。
SDNの考え方を応用して生まれたSD-WANはネットワークを一元管理できます。インターネットVPNを利用する拠点間の通信に合わせて通信制御を行うことにより、遠隔でトラフィックの処理ができるので快適な通信を実現します。また、使用状況を可視化できるため、クラウドを含む複数拠点やリモート間での負荷や障害を即座に把握し、迅速な対応を行うことが可能です。
WANは広帯域・低遅延・高信頼性などの複数種類の回線を利用しますが、SD-WANは通信経路をコントロールできるため、利用状況や用途に合わせて適切な回線経路を自動で割り当てます。そのため、セキュリティ水準を落とさずにセキュアな通信が可能です。ネットワークごとに異なるポリシーを定めることが可能なため、アプリケーションに応じたポリシーを自動的に適用できます。
リモートワークが進むなか、グローバル展開をしている企業や国内全域に拠点をもつ企業だけでなく、スケーラブルで予算に応じた導入が可能なことから、中小規模の組織でも注目されるようになりました。
Arcstar Universal OneのSDNで次世代の企業WANを実現
ネットワークを仮想化することで、運用管理の一元化やトラフィック制御の自動化が実現でき、迅速に柔軟性が高いネットワーク構築が可能になります。リモートワークによって複雑かつ高度化するネットワークの管理も、SD-WANを導入することによって、複数拠点間でもクラウドや業務アプリケーションをセキュアな通信で利用可能です。
NTT Comが提供している、ネットワーク仮想化をスマートに導入できるArcstar Universal Oneは企業の課題や用途に合わせて高品質・高信頼な仮想化ネットワークを構築します。利用したいクラウドサービスやセキュリティ対策に合わせた構築が可能です。
各拠点や回線用途に合わせて最適な経路を自動制御することで、高度なセキュリティ対策と快適な通信が可能となり、生産性の向上につながります。さらに、設定の確認や変更にかかるコスト削減や、ITインフラへの投資を減らすことにも寄与するため、運用コストの削減にも貢献します。
お客さまの課題やお困りごとに合わせた
豊富なラインナップをご用意
OCN光 IPoEサービス
-
企業向けベストプラン
OCN光 IPoEサービス
ワイドプラン標準プランからさらに3倍の帯域設計(従来サービスの6倍)。
ワイドプランならではの特長として、Windows Updateによる通信をそのほかの業務用の通信から分離。安定した通信が可能。 -
オンライン会議に最適
OCN光 IPoEサービス
ワイドプラン オプションサービス
アプリコントロールAワイドプランに加え、映像によるリモート会議・商談の通信を別経路に分離。
ストレスフリーなコミュニケーション環境を実現します。 -
OCN光 IPoEサービス
標準プラン従来サービスから2倍の収容設計!
動画サービスなど、混雑の原因となりやすい個人向けインターネット通信のトラフィックを論理的に分離。
快適なインターネット接続環境を実現。 -
OCN光 IPoEサービス
vUTMセットIPoEインターネット接続とクラウド化されたUTM機器をセットで提供。運用保守をNTT Comが行うため、つねに最新のセキュリティ対策を実現します。クラウド利用時のセキュリティ対策にも最適です。
-
OCN光 IPoEサービス
VPNセット高品質なOCN IPoEインターネット接続と拠点間VPN機能、専用レンタルルーターをセットで提供。
IPsecによる暗号化技術により、インターネットVPNによる高品質な拠点間通信を実現します。