ユースケース:セグメンテーション

企業の経済活動が多岐にわたる昨今では、機密性の高いデータの保護や、異なる要件を伴うアプリケーションの利用のために、企業内ネットワークであっても用途に応じてネットワークを適切に使い分けることが重要です。キャンパスの中であれば、VLANを使って1つのネットワークインフラを論理的に分離し、部門や用途に応じて簡単に使い分けることができます。しかしながら、WANに関してはVLANのように簡単な手段はありませんでした。

WANにおける従来のネットワーク分離

今日、企業がWANにおいてネットワークを分離して使用する最も現実的な方法は広域イーサネットを利用することです。広域イーサネットを利用することで、キャンパスの中で使用しているVLANをそのままWANを越えて延長できるためです。しかしながら、広域イーサネットは、日本国内であっても接続可能な場所が限られ、海外拠点なども含めた全社レベルでのネットワーク分離には対応できません。また、全社レベルでVLAN IDの割り当てが共通である必要があり、エンドツーエンドでネットワークを適切に分離するソリューションとしては限定的と言わざるをえません。

VRFやBGP/MPLS VPNといったレイヤ3のテクノロジーもあります。しかしながら、これらの技術を利用してネットワーク分離を行うには、キャリアがWANの網内のネットワーク機器に設定を追加する必要があり、要件に応じたネットワークを得るために、企業は追加の費用とリードタイムを要します。

SD-WANによる解決方法 – セグメンテーション機能

ViptelaのSD-WANソリューションによって、このような問題を簡単に解決することができます。「セグメンテーション機能」は、WANをまたいで全社レベルでのエンドツーエンドのネットワーク分離を実現するシンプルで強力なソリューションです。企業のネットワーク管理者は新たなセグメント(VPN)を定義し、各拠点のvEdgeのLAN側の物理インターフェースやVLANを割りあてます。これだけで、あたかも新たなWAN回線を契約したかのように、論理的に分離されたネットワークを使うことができます。

複数のセグメントを使う場合でも、vEdgeはそれぞれにトンネルをはるわけではありません。このため、vEdgeの負荷を気にすることなく、多数のセグメントを使用できます。(ライセンスによってセグメントの上限数が規定されています。)

セグメンテーション機能のユースケース

各セグメントはルーティングドメインとして独立しており、IPアドレスやサブネットの重複は問題になりません。ルーティングプロトコルを個別に動かすことも可能ですし、セグメントごとにフルメッシュやハブ&スポークといったトポロジーを変えることも可能です。このため、セグメンテーション機能は下記のような様々なユースケースに利用できます。

  • 世界各地の拠点ごとにWAN回線の数や組み合わせが異なっていても、全社レベルの標準ポリシーに基づいて、適切にデータやアプリケーションのネットワーク分離を行う(PCI-DSS対応など)
  • 多数のグループ会社や関連会社のWANを統合した上で、論理的にセキュアに分離して使用する
  • 買収した企業のネットワークと物理的には統合しながら、IPアドレス体系などが段階的に整理されるまでは、論理的に隔離されたネットワークとして扱う
  • 個々の機器のアクセスリストに依存することなく、社外の協力会社と直接ネットワークを接続し、必要なデータやアプリケーションを共有する
  • 共通のネットワークインフラ上に、論理的に分離された本番・開発・UATのネットワーク面を作成する

このように、ViptelaのSD-WANソリューションでは、従来は簡単に実現できなかったWANでのネットワーク分離を実現し、管理性を維持しながら企業の経済活動のセキュリティリスクを軽減することができます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です