1

「Managed SD-WAN」の提供開始

2 0 2 0 年 8 月 7 日N T T 東 日 本ビ ジ ネ ス 開 発 本 部第 一 部 門

2

NTT東日本は2020年7月より全国型の閉域VPNサービスである「Managed SD-WAN」の提供を開始しました。

本日は「Managed SD-WAN」のサービス概要をご紹介します。

はじめに

3

昨今のIT事情:トラフィック増加～多様化するアプリケーション形態と増大するトラフィック～

SaaSアプリケーションの普及や多様化

Windows10アップデートのトラフィック増

パブリッククラウドの普及

動画コンテンツ/IP Voip等の普及

4

２８．５％/UP

Internet

NW２６．７％/DL

企業内インターネットトラフィック2018年11月～2019年11月の増加率※

※総務省「我が国のインターネットにおけるトラヒックの集計結果(2019年11月分)」より

拠点 拠点 拠点

センタ拠点 帯域不足

帯域増強に伴う、回線コストの増大

昨今のIT事情:トラフィック増加～トラフィック増加に伴う、回線コストの増加～

5

バリューアップ

価値向上活動

ランザビジネス

既存業務運用

昨今のIT事情:稼働不足～既存システム運用稼働の増加とIT技術者の不足～

２ : ８※1

※1 経済産業省 2018年「DXレポート～ITシステム「2025年の崖」の克服とDCの本格的な展開～」より※2 経済産業省 2016年「IT人材の最新動向と将来推計に関する調査」の推計値のうち、高位シナリオ（市場の伸び率が相対的に高いシナリオ）より

稼働面/投資面ともに

増える稼働

AIIOT

5G

RPA

減っていく人材

2030年には、需要と供給のギャップ※2

７９万人不足

全国閉域網SD-WANサービス

シスコシステムズ社「Cisco SD-WAN powered by Viptela」を採用し、閉域網でのSD-WANサービスを提供いたします。CPEとして、Cisco ISR1100シリーズルータを提供し、「フレッツ 光ネクスト」ならびに弊社が指定するモバイルアクセスを選択いただくことで閉域網を利用したセキュアな通信が可能です。

6

Managed SD-WAN 提供範囲 ※2020/7提供開始時

＜基本機能＞■ CPE(Customer Premises Equioment)機器■ 専用コントローラ(NGN内に設置)

※コントロール用フレッツ光等で接続

＜オプション提供＞■ 閉域モバイル接続サービス■ 随時、追加オプション機能を提供予定

Managed SD-WAN(全国)

Internet

クラウドサービス

クラウド閉域接続提供予定

L2アクセス提供予定

ダイレクトインターネット

アクセス提供予定

CPE CPE

コントローラ

7

※リモートアクセス機能は、今後提供予定

サービス内容

◎IIJmobileおよびIIJモバイルサービスは株式会社インターネットイニシアティブの商標または登録商標です。

8

Managed SD-WANとは?

コントローラ(オーケストレータ)

ダッシュボード エッジ（ＣＰＥ）

一元的に制御/管理するシステム 稼働状況や通信状況を可視化 データ通信を行う端点

以下の３構成要素（コンポーネント）で構築

9

キャリアがSD-WANサービスを提供する意義

①全国提供の閉域ＳＤ－ＷＡＮ

②ＳＤ－ＷＡＮ機器の保守一元化

③月額利用料でのお支払い、イニシャルコスト小

10

インターネット

インターネットVPN

インターネット

IP-VPN（閉域VPN）

VPNは『インターネットVPN』 と『IP-VPN』に分類され、インターネットを経由するかが大きな違いとなる

アクセス回線

通信事業者網

アクセス回線

通信事業者網

インターネットを経由

ルータ ルータ ルータ ルータ ルータ ルータ

VPN装置（認証サーバ）

インターネットを経由しない

ＶＰＮの種類について

11

メリット

デメリット

• 自前で構築が可能• 各拠点にインターネット接続環境があれば、セキュリティ対策装置を置くことで利用可能

• セキュリティリスク（DoS攻撃等）• 品質が安定しない• 全拠点でセキュリティ対策装置、及びISPの契約が必要

『インターネットVPN』は比較的安価に利用可能だが、サイバーセキュリティ（※以下、セキュリティ）リスクへの対策や品質はIP-VPNに劣る

インターネット

インターネットVPN

アクセス回線

通信事業者網

セキュリティ対策装置

ルータ

セキュリティ対策装置

ルータ

セキュリティ対策装置

ルータ

インターネットＶＰＮの特徴

12

メリット

デメリット

• 認証機能により、他ユーザからのアクセス不可

• 閉域網内での通信により、高速・低遅延

• セキュリティ対策装置を全ての拠点に設置する必要がない

• 自前構築は困難（通信事業者等のサービスに加入）

『IP-VPN』は閉域網内での通信により、セキュアでかつ快適に利用できるVPN

閉域でセキュアに利用できることから、ビジネス用途でのニーズは高まっている

インターネット

IP-VPN（閉域VPN）

アクセス回線

通信事業者網

ルータ ルータ ルータ

VPN装置（認証サーバ）

ＩＰ－ＶＰＮの特徴

13

ＳＤ－ＷＡＮの提供形態

インターネット

アクセス回線

通信事業者網

CPE CPE CPE

コントローラ

アクセス回線

通信事業者網

CPE CPE CPE

VPN装置（認証サーバ）

コントローラ

お客さま自身でSD-WANを利用するためにはCPEを購入した上で、①インターネット上にあ

るコントローラを利用する、②コントローラを自前構築するという二種類の方法がある

14

西NGN MVNO事業者NW

CPE CPE CPE CPE CPE CPE

東NGN

コントローラ

Managed ＳＤ－ＷＡＮの提供形態

NTT東日本がコントローラとCPEを提供。東NGNと他キャリアのNWを閉域接続し、コント

ローラとCPEで挟み込む事で全国のお客さまが閉域VPNをご利用いただける

本社

15

最小限のコスト(稼働/回線)で最大限のパフォーマンスを実現

SD-WAN

Internet

クラウドサービス

エッジ（CPE)

コントローラ/ダッシュボード⇒一元管理/可視化

ハイブリッドWAN回線品質やパケット内容によるパス選択

ZTP(ゼロタッチプロビジョニング）

本社

インターネット(

ローカル）ブレイクアウト

アプリ単位でのトラフィック制御

ネットワーク構築および管理の稼働を最小化

NW管理者

設定反映

CPE CPE CPE

トラヒック状況/CPE状態等の確認も可能

Managed SD-WAN

コントローラ

ZTP機能で設置/配線のみ

コントローラ集中管理＋

ゼロタッチプロビジョニング

GUIベースで操作しやすい

※コントローラは現状英語表記となります2020年度下期日本語対応予定

GUIベースで操作しやすいコントローラから、設定(ルーティング/セキュリティ等)が一元的に可能。ZTP機能を活用することで、現地作業はCPEの設置と配線作業のみで、設定は接続時に自動的反映が可能なため、構築稼働が大幅に削減されることが期待できます。

コントローラにて、各種ステータスが可視化されているため、故障時や輻輳時は迅速な対応と対処により管理稼働が大幅に削減されることが期待できます。

16アパレル大手GAPでは、毎日25拠点以上の拠点/3カ月余りで1,200拠点の開設を実施※Cisco社HP ユーザー事例より抜粋※上記事例はあくまでも一例であり、すべてのお客さまについて同様の効果があることを保証するものではありません。

コントローラでの操作一覧

17

コントローラ画面で確認できるCPE情報※

状態

・正常性、ダウン状況・設定config・利用ポートとポート正常性、ダウン状況・同一グループ拠点数、NW構成図・設定登録日、設定更新日

接続性

・拠点間の接続状況・コントローラとの接続状況・拠点間のトンネル（GREまたはIPsec）利用状況・アプリケーション単位でインターネット接続（SaaS毎）の出口先

通信品質

・アクセス回線種別毎の遅延、ジッタ、パケットロス、転送量・インターフェース単位の遅延、ジッタ、パケットロス、転送量・エリア（地域）単位の遅延、ジッタ、パケットロス、転送量・日/時間単位の遅延、ジッタ、パケットロス、転送量・遅延、ジッタ、パケットロス、転送量の発生率・アクセス回線種別毎のダウンタイム発生率

通信量

・拠点間通信のトラヒック量・コントローラとの接続トラヒック量・アプリケーション単位でのトラヒック量、消費帯域・制限しているアプリケーショントラヒック状況

その他 ・位置情報（タイプ2はGPSで確認可能）・端末シリアルナンバー

コントローラ画面で設定できるCPEの設定項目※

端末設定※config設定も可能

・GUIでIF毎のIPアドレス、IP Configuration（スタティック/ダイナミック）、帯域制限等を設定・GUIでルーティング（BGP等）やフィルタリング設定（ACL）、冗⾧化設定（VRRP）、DHCP・GUIでIF毎の接続を設定・DNS設定（リレー、振り分け）・インターネットブレイクアウト機能

その他・GUIでアプリケーション単位でインターネット接続（SaaS毎）の出口先を設定・GUIでアプリケーション単位で通信制限を設定・開通前の端末に対して事前に設定内容を登録

コントローラで確認可能な事項

ポリシールーティング機能について

18

■ 回線品質状況による優先パス選択

■ アプリケーション識別によるパス選択

センタ拠点UpdateMail 社内 フレッツ光(IP-VPN)

フレッツ光

4G/LTE

WAN回線の最適化/常時モニタリング

通信品質の常時リアルタイムモニタリング(遅延/パケロス/ジッタ等※)やアプリケーション単位で通信識別が可能なため、回線状況や通信内容によって、通信経路の選択が可能。

＜活用例＞・特定アプリのインターネットブレイクアウト※

・重要通信の優先化および他通信のパス変更

拠点 センタ拠点

4G/LTE

フレッツ光(IP-VPN)

インターネット

通信品質モニタリング(遅延/パケロス/ジッタ)

◎

×

〇

※遅延値:データが送信側から受信側まで届く時間パケロス(パケットロス):溢れた/破損パケット率ジッタ:通信信号の時間的ズレや揺らぎを感知

※インターネットブレイクアウト(ローカルブレイクアウト)とは、特定トラフィックのみ選択し、直接拠点からインターネットへ接続させる方式

拠点

効率的な帯域の利用でストレスフリーな設計が可能

ポリシールーティング＋

インターネットブレイクアウト

網全体のトラフィック状況や回線品質、アプリケーション単位で通信識別しているため、アプリケーション別の通信ルート選択が可能。また、CPEにて一定のセキュリティ機能を具備しているため、アプリケーション単位でのインターネットブレイクアウトの実装が可能。

状況に応じた最適な通信を自動で識別し実行されるため、WAN回線の効率的な利用が可能になります。

19

閉域網

DC

Internet

クラウドサービス

インターネットブレイクアウト

Update

回線品質にて回線選択

米国最大医療機関Kindred Healthcare社において、実質的な帯域幅が平均700％程度増加※Cisco社HP ユーザー事例より抜粋※上記事例はあくまでも一例であり、すべてのお客さまについて同様の効果があることを保証するものではありません。

20

ECMPアクティブ/アクティブ

重み付きアクティブ/アクティブ

トラフィック エンジニアリングアクティブ/スタンバイ

アプリケーション認識型ルーティング

SLA ベース

SLASLA

コア

階層型マルチホップ シングルホップ

WAN通信/トラフィック転送

セグメンテーション機能による複数セグメント可

グループA

グループB

グループC

グループD

グループA

グループB

グループC

グループD

NW1

NW2

NW3

NW4

DC/教育センタ通信区分 NGN網

21

WAN回線の論理分割/セグメンテーション機能

セグメンテーション機能を活用することで、1つのWAN回線(SD-WAN 1契約)上に、論理分割されたVPNグループを最大4グループ構築することが可能。

＜活用例＞・利用用途におけるNW論理分割・セキュリティポリシー単位におけるNW論理分割

CPE CPE

22

柔軟なネットワーク設計で、迅速な対応が可能セグメンテーション機能

＋集中管理

セグメンテーション機能を活用することで、用途や立場に合わせて１つのネットワーク上で論理分割されたグループを構築可能。サプライチェーン上のネットワークや急な統廃合による関係会社の増減にも迅速に対応可能。

これまでの複数のネットワークを管理する稼働が不要になり、1つのCPEのみで完結します。

グループA

ManagedSD-WAN

DC

Ipsec内で複数セグメント

グループB グループC

Agilent Technologies社において、WAN有効活用によりMbpsあたりのコスト80%以上削減※Cisco社HP ユーザー事例より抜粋※上記事例はあくまでも一例であり、すべてのお客さまについて同様の効果があることを保証するものではありません。

23

フルメッシュ ハブアンドスポーク 部分メッシュ

ポイントツーポイント ゼロ

地域メッシュ

UC コンプライアンス

コロケーション

エクストラネット DIA

リージョン

任意のトポロジ

マルチトポロジ(各セグメントごとに選択可能)

24

料金一覧

25

本サービスのライセンスでは、以下の機能をご利用いただけます。（Cisco Advanced Malware Protection（AMP）、 Malware Sandbox、サービスチェイニングはコントローラ上で設定しても動作保証

できないため、設定しないようお願いします）

※送信元/先IP, 送信元/先ポート, プロトコル,DSCP

機能名 内容コントローラ 閉域コントローラ

ゼロタッチプロビジョニング 機能ありCPE間のトンネリングプロトコル IPsec、GRE

ポリシーサポート

・Local ACL:一般的なアクセスリスト作成・Data Policy:CPE内部制御(QoS等)・Control Policy:ルーティングテーブルを制御した

パス選択制御・DPI based Policy:上記ポリシー要素にDPIを利用

QoS(classification, policing, remarking, scheduling) 機能ありVPNグループ数 4つまで

DPI ・閲覧（通信の可視化）・ポリシー利用可アプリ毎の通信監視および制御

アプリケーションルーティング 6 tuple※、DPI based routingLAN側ルート情報配布(OSPF/BGP) 機能あり

インターネットブレイクアウト 機能ありVPNグループ間通信 機能あり

Application Firewall 機能あり（Drop、Accept）

（参考）ライセンスについて

名称 内容 数量

本体 Ｃ１１１１－８Ｐ本体 1台

ＡＣ電源アダプタ Ｃ１１１１－８Ｐ用AC電源アダプタ 1個

ＡＣ電源ケーブル Ｃ１１１１－８Ｐ用AC電源ケーブル(2極) 1本

LANケーブル ストレートUTPケーブル（カテゴリ5e以上 2.0m） 1本

取扱説明書 A5折り畳み 1冊

提供CPE仕様(1/3)

26

タイプⅠ タイプⅡ 背面写真

27

≪装置外観 前面≫

No. 名称 色/状態 説明

① Status

グリーン点灯 システムが正常に動作している

オレンジ点灯/点滅 システム起動中

消灯 システムが起動していない状態

② VPN 消灯VPN接続が確立されている※本サービスにおいては「点灯」しません。

③ CiscoLogo ブルー点灯 ルータが正しく起動している

No 名称 閉塞キャップ 備考① LAN (GE0/1/0-0/1/7) ポート － RJ45のSwitch Port

②RJ45/マイクロUSB コンソールポート

RJ45:〇

マイクロUSB:○※1

コンソール接続ポート。本サービスでは使用しません。

③ グランド － －④ リセットボタン － －⑤ 電源ボタン － －⑥ ４ピン 電源コネクタ － -

⑦ WAN (GE0/0/1) ポート －

⑧ WAN (GE0/0/0)RJ45ポート －RJ45/SFP選択のRouted Port。本サービスでは、RJ45ポートを使用します。

⑨ WAN (GE0/0/0) SFPポート 〇※1RJ45/SFP選択のRouted Port。本サービスでは、SFPポートは使用しません。

⑩ USBコネクタ 〇※1USB3.0対応。本サービスでは使用しません。

⑪ Kensingtonロックスロット － －

≪装置外観 裏面≫

提供CPE仕様(2/3)

28

K20-1460【2009-2109】