Was ist SD-WAN?

Software-defined WAN (SD-WAN) technology applies software-defined networking (SDN) concepts for the purpose of distributing network traffic throughout a wide area network (WAN).

SD-WANs work automatically, using predefined policies to identify the most effective route for application traffic passing from branch offices to headquarters, the cloud, and the Internet. There is rarely any need to configure your routers manually in branch locations.

A centralized controller manages the SD-WAN, sending policy information to all connected devices. Information technology (IT) teams can program network edge devices remotely, using low-touch or zero-touch provisioning.

Quantum SD-WAN SD-WAN demo

Was ist SD-WAN?

SD-WAN-Anwendungsfälle

Die SD-WAN-Technologie erstellt typischerweise ein transportunabhängiges virtuelles Overlay. Dies wird durch die Abstraktion zugrunde liegender öffentlicher oder privater WAN-Verbindungen wie Internet-Breitband, Glasfaser, Long-Term Evolution (LTE), Wireless oder Multiprotocol Label Switching (MPLS) erreicht. Ein SD-WAN-Overlay hilft Unternehmen, ihre eigenen bestehenden WAN-Verbindungen weiterhin zu nutzen. Die SD-WAN-Technologie zentralisiert die Kontrolle über das Netzwerk, senkt die Kosten und bietet Echtzeit-Verkehrsmanagement für Anwendungen über bestehende Verbindungen.

Die häufigsten SD-WAN-Anwendungsfälle fallen in die folgenden Kategorien:

  • Geografische Expansion– wenn ein Unternehmen in eine neue geografische Region expandiert oder eine Fusion oder Übernahme durchführt, kann es die vorhandenen Netzwerkdienste am neuen Standort nutzen und SD-WAN nutzen, um neue und alte Standorte über eine einheitliche Richtlinien- und Kontrollschnittstelle zu verwalten.
  • Bessere Nutzung der WAN-Kapazität– mithilfe einer dualen Konnektivitätsstrategie, die öffentliche und private Netzwerkdienste kombiniert. SD-WAN kann öffentliche Internetdienste nutzen, um einen Teil des privaten Netzwerkverkehrs auszulagern und private Netzwerkkapazität für Anwendungen zu reservieren, die geschäftskritisch sind oder eine geringe Latenz erfordern.
  • Verbesserung der WAN-Resilienz– Schaffung einer hybriden Netzwerkumgebung mit mehreren Netzwerkverbindungen zum selben Standort, die in einer Aktiv/Aktiv-Konfiguration betrieben werden. Unter normalen Umständen kann der Datenverkehr zwischen den Diensten ausgeglichen werden. Wenn jedoch eine Verbindung verloren geht, kann der Datenverkehr auf einen anderen Dienst umgeschaltet werden.
  • Cloud-Migration– Ermöglichung der digitalen Transformation durch Migration verschiedener Anwendungen in die Cloud. SD-WAN unterstützt anwendungsbasiertes Routing, sodass jede Anwendung den Weitverkehrsdienst nutzen kann, der ihren Anforderungen am besten entspricht, unabhängig davon, ob sie in der Cloud oder vor Ort bereitgestellt wird.

SD-WAN Benefits

Uncoupling WAN architecture from high-cost, demanding MPLS setups is one of the greatest benefits that SD-WAN can offer. MPLS is notoriously expensive – far more so than typical internet connectivity – with average prices topping 4 figures per month.

The eye-watering price is a result of the very limited number of vendors that provide MPLS, and the difficulty for new competitors to break into the space.

The other reason that organizations may be looking to avoid or move away from MLPS is cloud transformation.

As organizations increasingly rely on cloud-based resources, MPLS’ hub and spoke models can begin to introduce inefficiencies. Since all MPLS traffic must be routed via the central headquarters, these hub requirements can become choke points for data otherwise flowing between a cloud-based database and the end user requesting it.

SD-WAN avoids much of this by removing the necessity of MPLS providers. 

Zentralisiertes Management

Rather than routing all traffic to a central point, SD-WANs instead apply a centralized control system. This allows a Security Operations Center (SOC) to manage networking policies across the entirety of an organization’s networks.

  • This ensures consistent security rules, traffic prioritization, and performance optimizations, reducing the complexity of manually configuring each site individually.

Greater Cost Efficiency

Unlike traditional WANs that rely on expensive MPLS circuits, SD-WAN can utilize a far broader wealth of protocols and approaches like broadband, LTE, and other cost-effective connections.

  • This can reduce infrastructure cost while maintaining robust connectivity.

Enhanced Flexibility and Scalability

Since SD-WAN is software-driven, businesses can quickly scale their network by adding new locations without extensive hardware installations.

  • Since there’s no underlying reliance on a single MPLS provider, either, SD-WAN is essentially transport-agnostic, able to route all types of traffic that an organization may need.
  • This flexibility also refers to the cloud-based management tools that allow IT teams to configure and deploy network changes remotely.

Improved Performance

SD-WAN continuously monitors network conditions and dynamically routes traffic based on real-time performance metrics.

  • This could include switching critical applications to the best available connection, or modifying traffic routes according to their contexts like issuing greater resources for video streaming at a time when many employees are jumping on calls.

Reliability

Traditional WANs depend on a single connection, leading to failures if that link goes down. SD-WAN, however, leverages multiple connections simultaneously, automatically rerouting traffic if one link fails.

SD-WAN Architektur

SD-WAN verwendet eine abstrahierte Netzwerkarchitektur, die aus zwei separaten Teilen besteht:

  • Eine Kontrollebene –die von einem zentralen Standort aus betrieben wird, was bedeutet, dass IT-Mitarbeiter WAN-Ressourcen aus der Ferne verwalten können, ohne vor Ort zu sein
  • Eine Weiterleitungsebeneverwaltet den Datenverkehr und konfiguriert Netzwerkressourcen dynamisch gemäß den von der Kontrollebene festgelegten Richtlinien

Eine SD-WAN-Architektur besteht aus folgenden Komponenten:

  • Edge– hierbei handelt es sich um Netzwerkgeräte, die in der Cloud, im Rechenzentrum vor Ort oder in Zweigstellen bereitgestellt werden.
  • Controller– bietet eine zentrale Verwaltung und ermöglicht Betreibern die Visualisierung und Überwachung des Netzwerks sowie die Festlegung von Richtlinien.
  • Orchestrator– eine virtualisierte Netzwerkverwaltungskomponente, die den Datenverkehr überwacht und vom Controller definierte Richtlinien und Protokolle durchsetzt.

SD-WAN-Konzepte

SD-WAN-Implementierungen nutzen eine breite Palette von Technologien, darunter:

Regler

Ein zentraler Controller, der die SD-WAN-Bereitstellung verwaltet. Der Controller setzt Sicherheits- und Routing-Richtlinien durch, überwacht das virtuelle Overlay und alle Software-Updates und stellt Berichte und Warnungen bereit.

Softwaredefiniertes Netzwerk (SDN)

Aktiviert Schlüsselkomponenten in der Architektur, einschließlich des virtuellen Overlays, des zentralisierten Controllers und der Link-Abstraktion.

Wide-Area-Netzwerk (WAN)

Verantwortlich für die Verbindung geografisch getrennter Einrichtungen oder mehrerer LANs, entweder über drahtlose oder kabelgebundene Verbindungen.

Virtuelle Netzwerkfunktionen (VNFs)

Netzwerkfunktionen von Erstanbietern oder Drittanbietern, wie etwa Caching-Aufgaben und Firewall. VNFs werden typischerweise verwendet, um die Anzahl physischer Geräte zu reduzieren oder die Flexibilität und Interoperabilität zu erhöhen.

Rohstoffbandbreite

Die SD-WAN-Technologie kann Verbindungen mit mehreren Bandbreiten nutzen und den Datenverkehr einer bestimmten Verbindung zuweisen. Dies bietet Benutzern mehr Kontrolle und ermöglicht Kosteneinsparungen, indem der Datenverkehr von herkömmlichen, kostspieligen MPLS-Leitungen auf kostengünstige Standardbandbreitenverbindungen verlagert wird.

Technologie für die letzte Meile

Die SD-WAN-Technologie kann bestehende Last-Mile-Verbindungen durch die Nutzung von mehr als einer Transportverbindung oder durch die gleichzeitige Nutzung mehrerer Verbindungen verbessern.

Was ist der Unterschied zwischen WAN und SD-WAN?

WAN is a staple of corporate infrastructure: to easily explain this network layout, let’s start at the bottom of the network chain.

  • Connecting local devices is a local area network (LAN), which relies on a router to link each device and ferry network packets to their intended destination.
  • LAN networks are limited to a range of up to 2 km, however — so while they’re useful for individual offices, they can’t connect one branch to another.

Enter the WAN

This is where a WAN steps in: while each office has their own LAN, these LANs are connected to one national or global WAN.

  • When first scaling this up, organizations have typically decided on a similar approach to LANs: by implementing physical router and manual port configurations.
  • Also, they generally don’t rely on the same packet forwarding process that a LAN does.

When sending data from a LAN to a public network:

  • The router first determines where the packet needs to get to according to its routing table, and the packet’s own headers
  • The device consults its internal routing table, and – should the receiving device not be found in that LAN – it forwards the packet to the next network.
  • This network’s router then essentially repeats the same process, and on and on until the packet finally arrives at its intended network, and delivered to the IP address listed in the header.

WAN Scalability and Latency Challenges

  • Office branches can be numerous and very far apart.
  • It’s easy to see how relying solely on this approach could introduce an unmanageable amount of latency.

The Role of MPLS

To beat this, Multiprotocol Label Switching (MPLS) was used:

  • MPLS directs WAN traffic along predetermined paths using specialized routers.
  • MPLS is the high-speed railway of network infrastructure: it needs specific routers and dedicated leased lines — all of which add to the cost of setting up a WAN.

However:

  • MPLS comes with drawbacks.
  • Not all WANs require its state-of-the-art setups and high costs.

SD-WAN vs MPLS

Traditionally, the control plane and data plane were closely integrated within proprietary hardware appliances. SD-WANs decouple these layers by shifting the control plane to a software-based system, allowing routing decisions to be made in software running on standard, non-proprietary hardware instead of specialized network routers.

Put concisely, SD-WAN connects LANs using software.

  • Each individual network has a SD-WAN appliance installed, which individually manages all incoming and outgoing traffic.
  • When traffic reaches an SD-WAN appliance, it identifies the type of application data and directs it to the appropriate destination based on predefined policies, as well as the performance and availability of various network connections.
  • To ensure adequate in-transit security, most SD-WAN setups also encrypt the data being transferred

Schauen wir uns die wichtigsten Unterschiede zwischen herkömmlichen WAN- und SD-WAN-Lösungen an.

WAN SD-WAN
Lastausgleich und Notfallwiederherstellung sind verfügbar, die Bereitstellung kann jedoch komplex sein Integrierter Lastausgleich und Disaster Recovery mit schneller oder Zero-Touch-Bereitstellung
Konfigurationsänderungen nehmen Zeit in Anspruch und erfordern manuelle Konfigurationsarbeiten, die fehleranfällig sind Konfigurationsänderungen in Echtzeit, automatisiert, um menschliches Versagen zu verhindern
Erfordert, dass das Edge-Gerät einzeln konfiguriert wird, erlaubt keine pauschale Anwendung von Richtlinien Verwendet virtuelle Overlays – kann Richtlinien sofort über eine große Anzahl von Edge-Geräten replizieren
Beschränkt auf eine Konnektivitätsoption – ältere MPLS-Leitungen Kann mehrere Konnektivitätsoptionen optimal nutzen – MPLS- und SDN-verwaltete Breitbandleitungen
Verlässt sich auf VPNs, die gut mit einem einzelnen IP-Backbone funktionieren, aber nicht mit Workloads mit hohem Durchsatz wie Sprache und Video koexistieren können Kann den Datenverkehr für verschiedene Arten von Anwendungen steuern und so Bandbreite für die Anwendung sparen, die sie am meisten benötigt
Erfordert manuelle Abstimmung Erkennt Netzwerkbedingungen automatisch und kann das WAN dynamisch optimieren

Best Practices für SD-WAN

Nutzen Sie das öffentliche Internet selektiv

SD-WAN kann öffentliche Internetverbindungen für alle Middle-Mile-Übertragungen nutzen. Dies kann zwar äußerst kosteneffektiv sein, wird jedoch nicht empfohlen. Es gibt keine Möglichkeit zu wissen, über welche Links der Datenverkehr geleitet wird, was zu Sicherheits- und Leistungsbedenken führt.

Wann immer möglich, insbesondere bei sensibler oder geschäftskritischer Kommunikation, sollten Sie den SD-WAN-Verkehr lieber über ein privates Netzwerk übertragen. Bei einigen SD-WAN-Anbietern können Sie ihr eigenes sicheres globales Netzwerk nutzen. Reservieren Sie öffentliche Internetkapazität für unkritische und nicht sensible Arbeitslasten oder Failover-Szenarien, wenn das private Netzwerk ausfällt.

Kommunizieren Sie den Bereitstellungsprozess den Stakeholdern

Wenn Sie ein SD-WAN-Projekt starten, informieren Sie die Beteiligten über den Bereitstellungsprozess und erklären Sie, dass SD-WAN eine Ergänzung zur bestehenden Netzwerkinfrastruktur ist. Führungskräfte sollten SD-WAN nicht als einfachen Ersatz für traditionelle Netzwerktechnologie betrachten.

Machen Sie deutlich, dass Sie die bestehende Technologie beibehalten und in neue SD-WAN-Investitionen integrieren müssen. Ein besseres Verständnis der technischen Hintergründe und Bereitstellungsmethoden bietet Ihnen eine bessere Führungsunterstützung.

Testen Sie den SD-WAN-Dienst

SD-WAN-Lösungen bieten möglicherweise Automatisierung und Zero-Touch-Bereitstellung, Sie müssen jedoch überprüfen, ob sie wie erwartet funktionieren. Tests werden oft übersehen, sind aber ein wichtiger Teil eines SD-WAN-Projekts. Stellen Sie sicher, dass Sie vor, während und nach der Implementierung ausführliche Tests durchführen. Ein typisches SD-WAN-Projekt umfasst Tests über einen Zeitraum von drei bis sechs Monaten, wobei der Schwerpunkt auf der Servicequalität (QoS), der Skalierbarkeit, der Verfügbarkeit und dem Failover sowie der Zuverlässigkeit der Verwaltungstools liegt.

SD-WAN-Sicherheit und SASE

Das SD-WAN-Modell arbeitet mit einer verteilten Netzwerkstruktur, die normalerweise nicht die Sicherheits- und Zugriffskontrollen umfasst, die zum Schutz des Unternehmensnetzwerks in der Cloud erforderlich sind.

Um dieses Problem anzugehen, hat Gartner ein neues Netzwerk-Sicherheitsmodell namens Secure Access Service Edge (SASE) vorgeschlagen. SASE kombiniert WAN-Funktionalität mit Sicherheitsfunktionen wie:

Die Kombination dieser Sicherheitsfunktionen, die für eine Cloud-Umgebung entwickelt wurden, ermöglicht es, die Sicherheit des SD-WAN-Netzwerks zu gewährleisten.

SASE-Lösungen bieten mobilen Benutzern und Zweigstellen sichere Konnektivität und konsistente Sicherheit. Sie bieten eine zentralisierte Sicht auf das gesamte Netzwerk und ermöglichen es Administratoren und Sicherheitsteams, Benutzer, Geräte und Endgeräte über ein weltweit verteiltes SD-WAN zu identifizieren, Zugriffs- und Sicherheitsrichtlinien durchzusetzen und konsistente Sicherheitsfunktionen über mehrere geografische Standorte und mehrere Cloud-Anbieter hinweg bereitzustellen .

SD-WAN mit Check Point

Check Point’s Quantum SD-WAN explicitly addresses the security shortcomings of WAN by integrating robust threat prevention directly into its architecture. Deployed at the branch level as a software blade within Quantum Security Gateways, it offers comprehensive protection against:

  • Zero day exploits
  • Phishing attempts
  • Ransomware attacks

This integration ensures that branch offices maintain the highest security standards, while still ensuring the highest network performance.

Beyond security, Quantum SD-WAN enhances connectivity by optimizing traffic flow for different apps: with inbuilt settings for over 10,000 enterprise applications, it’s able to quickly deliver optimized performance. The solution continuously monitors internet connectivity metrics, such as:

  • Latency
  • Jitter
  • Paketverlust

So it can dynamically select the best path for traffic.

Sub-second failover capabilities are offered to ensure uninterrupted services, even during times of connection instability. Marry security and performance with Quantum SD-WAN and explore the comprehensive solution with a demo.

If you’re looking for a more complete overhaul toward SD-WAN, on the other hand, check out Checkpoint Harmony SASE: its full-mesh architecture offers a global private backbone that implements zero-trust security at every connection.