特別企画
SD-WANに取り組むアライドテレシス、DPIによるアプリケーションルーティングで拠点のクラウド活用を支援
2018年3月6日 06:00
アライドテレシス株式会社では、2014年に発表したUTM/VPNルータ「AR3050S/AR4050S」で、DPI(Deep Packet Inspection)によるアプリケーション識別機能を搭載している。
このDPIエンジンとして採用されているのが、米Sandvineの「NAVL(Network Application Visibility Library)」だ。
本稿では、NAVLの優位性と、それを用いたアライドテレシスのSD-WANソリューションについて、SandvineのKevin Matrosovs氏(OEMソリューションアーキテクト)と、アライドテレシスに話を聞いた。
実績に裏付けられたDPI技術を採用
今回、NAVLを採用した理由として、アライドテレシス側では「軽く、かつ性能や品質がよかった」ことを挙げる。さらに、当社のOSと相性が良く移植がすんなりできたことも理由の1つだ。これも、NAVLがさまざまなOSやハードウェアで広範囲に利用されていることによるという。
NAVLはもともとVineyard Networksが開発した技術だが、そのVineyard NetworksをProcera Networksが2013年に買収し、自社のものとした。そして、Procera Networksが2017年にSandvineを買収し、社名を買収された側のSandvineへ変更。現在は新生Sandvineとして事業を行っている。
「当社はTier 1のネットワークプロバイダーなどにDPIを提供しており、その経験により現在までに世界で20億人の加入者、数百のTier 1事業者や企業などのお客さまに支えられ、情報や知識を得て効果的にシグネチャを維持できるようにしています」とMatrosovs氏が語るように、実績に裏付けられたDPIエンジンなのだ。
なおアライドテレシスでは当初、特定のアプリケーションの利用を禁止するアプリケーションフィルタリングを目的として、ルータへDPIを導入している。
Matrosovs氏も、「DPIによって正確なアプリケーションの分類ができれば、ネットワークのリソースを守るのか、ロックするのか、セキュリティ問題として解析するのか、などのポリシーが立てられます。DPIが一番活用されているのはセキュリティ分野でしょう」と、DPIによるセキュリティ面での価値を説明する。
しかし、DPIの用途はセキュリティだけにとどまらない。「そのほか、一般的な解析、アプリケーション可視化ソフト、ネットワーク管理ツールなどで活用されていますし、SD-WAN市場においても多く利用されているのを確認しています」(同氏)。
SD-WANでの活用にも注目が集まる
Matrosovs氏が挙げたSD-WANとは、SDN(Software Defined Networking)技術をWAN回線に適用した分野で、近年注目が集まっているが、その中でもアライドテレシスが特に着目したのは、拠点からのWAN回線の利用をアプリケーションごとに制御する用途だ。
現在、企業ではSaaSアプリケーションの利用など、クラウドサービスの活用が急増している。従来型のネットワーク構成では、拠点からのインターネット接続もすべて本社経由で行うというのがよくあるケースで、SaaSアプリケーションもこの例外ではない。
しかしSaaSアプリケーション、特に、ひんぱんな通信が発生するOffice 365のようなアプリケーションの活用が本格化すると、クラウド利用のためのトラフィックが膨大になり、その結果として本社との通信回線全体が影響を受けることになる。
そこで、Office 365など特定のアプリケーションについては、本社を経由せずに拠点からダイレクトにアクセスするように制御する「アプリケーションルーティング」を拠点側ルータなどで行うことにより、本社との通信回線の負担を減らす試みが注目を集めるようになった。
ところがこの際、IPアドレスやFQDNに基づいてSaaSアプリケーションのトラフィックを分離・制御しようとすると、FQDNやIPアドレスが変更になった際に、その都度設定を変更する必要が出てきてしまう。
これに対して、DPIエンジンでアプリケーションを適切に識別することができれば、宛先に関係なくOffice 365などのトラフィックを把握して振り分けてくれるようになるため、管理者側での面倒なメンテナンスは不要となるというわけだ。
最初のパケットからアプリケーションを分類可能に
ただしDPIの適用で難しいのは、通常、DPIエンジンでアプリケーションを識別しようとしても、初回の通信については判別できないという点だ。
「アプリケーションによってフローのルーティングを求められることがありますが、最初のパケットでルーティングしなければいけないことが課題となります。TCPアプリケーションでは、最初の3つのパケットにはペイロード情報がありません」と、Matrosovs氏は問題を指摘する。
例えば前述のように、Office 365の通信を直接インターネットへ振り分ける場合、1回目の通信で正しく識別できないと、本社経由の通常のルートでアプリケーションへアクセスすることになる。その後、後続の通信が正しく識別され、拠点から直接アクセスしたとしても、途中から接続元が変わることになるので、不正な通信とみなされ、うまく通信ができなくなってしまうおそれがある。
これを解決すべくNAVLでは、2017年に新機能を追加し、最初のパケットからアプリケーションを識別できるようにした。「ネットワークトラフィックを監視してその経験から学んだ結果、NAVLでは、このフローはどのアプリケーションかを予測することが可能になったのです」(Matrosovs氏)。
アライドテレシスでも、2018年春に予定されているファームウェアアップデートから、この機能を導入する予定だ。これによって、AR3050S/AR4050SでもDPIベースのアプリケーションルーティングが可能になる。
なお、提供開始段階でも多くのアプリケーションに対応するが、アプリケーションは常に新しいものが登場するし、既存のアプリケーションの特徴も変化することが多い。これについてMatrosovs氏は、「当社では、SD-WAN市場をターゲットとした機能の開発に注力していきますが、その中でも、DPIエンジンとシグネチャの正確性や機能性を進化させ、パケットの分類や、ネットワークのトラフィックトレンドに対応できるようにしていくことが重要だと考えています」と述べ、継続して性能の維持と対応アプリケーションの拡大などに取り組んでいくとアピールした。