Che cos'è SD-WAN?

Software-defined WAN (SD-WAN) technology applies software-defined networking (SDN) concepts for the purpose of distributing network traffic throughout a wide area network (WAN).

SD-WANs work automatically, using predefined policies to identify the most effective route for application traffic passing from branch offices to headquarters, the cloud, and the Internet. There is rarely any need to configure your routers manually in branch locations.

A centralized controller manages the SD-WAN, sending policy information to all connected devices. Information technology (IT) teams can program network edge devices remotely, using low-touch or zero-touch provisioning.

Quantum SD-WAN SD-WAN demo

Che cos'è SD-WAN?

Casi d'uso SD-WAN

La tecnologia SD-WAN crea in genere un overlay virtuale indipendente dal trasporto. Ciò si ottiene astraendo le connessioni WAN pubbliche o private sottostanti, come la banda larga di Internet, la fibra, l'evoluzione a lungo termine (LTE), il wireless o la commutazione di etichette multiprotocollo(MPLS). Un overlay SD-WAN aiuta le organizzazioni a continuare a utilizzare i propri collegamenti WAN esistenti. La tecnologia SD-WAN centralizza il controllo della rete, riducendo i costi e fornendo una gestione del traffico applicativo in tempo reale sui collegamenti esistenti.

I casi d'uso SD-WAN più comuni rientrano nelle seguenti categorie:

  • Espansione geografica: quandoun'azienda si espande in una nuova regione geografica, o esegue una fusione o un'acquisizione, può utilizzare i servizi di rete esistenti nella nuova sede, sfruttando SD-WAN per gestire le nuove e le vecchie sedi utilizzando un'unica interfaccia di controllo e policy unificata.
  • Sfruttare meglio la capacità WAN: utilizzareuna strategia di connettività duale che combina servizi di rete pubblici e privati. La SD-WAN può utilizzare i servizi Internet pubblici per scaricare parte del traffico della rete privata, riservando la capacità della rete privata alle applicazioni che sono critiche per il business o che necessitano di una bassa latenza.
  • Migliorare la resilienza della WAN: creareun ambiente di rete ibrido con più connessioni di rete allo stesso sito, operando in una configurazione attiva/attiva. In circostanze normali, il traffico può essere bilanciato tra i servizi, ma se una connessione viene persa, il traffico può passare ad un altro servizio.
  • Migrazione del cloud - Consentire latrasformazione digitale, migrando varie applicazioni nel cloud. SD-WAN supporta il routing basato sull'applicazione, in modo che ogni applicazione possa utilizzare il servizio wide area più adatto alle sue esigenze, sia che venga implementato nel cloud o on-premise.

SD-WAN Benefits

Uncoupling WAN architecture from high-cost, demanding MPLS setups is one of the greatest benefits that SD-WAN can offer. MPLS is notoriously expensive – far more so than typical internet connectivity – with average prices topping 4 figures per month.

The eye-watering price is a result of the very limited number of vendors that provide MPLS, and the difficulty for new competitors to break into the space.

The other reason that organizations may be looking to avoid or move away from MLPS is cloud transformation.

As organizations increasingly rely on cloud-based resources, MPLS’ hub and spoke models can begin to introduce inefficiencies. Since all MPLS traffic must be routed via the central headquarters, these hub requirements can become choke points for data otherwise flowing between a cloud-based database and the end user requesting it.

SD-WAN avoids much of this by removing the necessity of MPLS providers. 

Gestione Centralizzata

Rather than routing all traffic to a central point, SD-WANs instead apply a centralized control system. This allows a Security Operations Center (SOC) to manage networking policies across the entirety of an organization’s networks.

  • This ensures consistent security rules, traffic prioritization, and performance optimizations, reducing the complexity of manually configuring each site individually.

Greater Cost Efficiency

Unlike traditional WANs that rely on expensive MPLS circuits, SD-WAN can utilize a far broader wealth of protocols and approaches like broadband, LTE, and other cost-effective connections.

  • This can reduce infrastructure cost while maintaining robust connectivity.

Enhanced Flexibility and Scalability

Since SD-WAN is software-driven, businesses can quickly scale their network by adding new locations without extensive hardware installations.

  • Since there’s no underlying reliance on a single MPLS provider, either, SD-WAN is essentially transport-agnostic, able to route all types of traffic that an organization may need.
  • This flexibility also refers to the cloud-based management tools that allow IT teams to configure and deploy network changes remotely.

Improved Performance

SD-WAN continuously monitors network conditions and dynamically routes traffic based on real-time performance metrics.

  • This could include switching critical applications to the best available connection, or modifying traffic routes according to their contexts like issuing greater resources for video streaming at a time when many employees are jumping on calls.

Reliability

Traditional WANs depend on a single connection, leading to failures if that link goes down. SD-WAN, however, leverages multiple connections simultaneously, automatically rerouting traffic if one link fails.

Architettura SD-WAN

SD-WAN utilizza un'architettura di rete astratta composta da due parti separate:

  • Un piano di controllo - gestitoda una postazione centrale, il che significa che il personale IT può gestire le risorse WAN da remoto senza essere in sede.
  • Un piano di inoltro gestisce iflussi di traffico, configurando dinamicamente le risorse di rete in base alle politiche impostate dal piano di controllo.

Un'architettura SD-WAN è composta dai seguenti componenti:

  • Edge:si tratta di apparecchiature di rete distribuite nel cloud, nei data center on-premise o nelle filiali.
  • Controller: fornisce unagestione centralizzata e consente agli operatori di visualizzare e monitorare la rete e di impostare le politiche.
  • Orchestrator: uncomponente di amministrazione della rete virtualizzata, che monitora il traffico e applica le politiche e i protocolli definiti dal controller.

Concetti SD-WAN

Le implementazioni SD-WAN sfruttano un'ampia gamma di tecnologie, tra cui:

Controllore

Un controller centralizzato che gestisce SD-WAN deployment. Il controller applica le politiche di sicurezza e di routing, oltre a monitorare l'overlay virtuale, qualsiasi aggiornamento del software e a fornire rapporti e avvisi.

Rete definita dal software (SDN)

Abilita i componenti chiave dell'architettura, tra cui l'overlay virtuale, il controller centralizzato e l'astrazione dei collegamenti.

Rete ad ampio raggio (WAN)

È responsabile del collegamento di strutture geograficamente separate o di LAN multiple, utilizzando connessioni wireless o cablate.

Funzioni di rete virtuali (VNF)

Funzioni di rete di prima parte o di terzi, come le attività di caching e i firewall. Le VNF sono tipicamente utilizzate per ridurre la quantità di apparecchiature fisiche o per aumentare la flessibilità e l'interoperabilità.

Larghezza di banda delle materie prime

La tecnologia SD-WAN può sfruttare più connessioni di larghezza di banda e assegnare il traffico a qualsiasi collegamento specifico. Questo offre agli utenti un maggiore controllo e consente di risparmiare sui costi, spostando il traffico dalle tradizionali e costose linee MPLS a connessioni di larghezza di banda a basso costo.

Tecnologia dell'ultimo miglio

La tecnologia SD-WAN può migliorare le connessioni dell'ultimo miglio esistenti attraverso l'uso di più di un collegamento di trasporto o utilizzando simultaneamente più collegamenti.

Qual è la differenza tra WAN e SD-WAN?

WAN is a staple of corporate infrastructure: to easily explain this network layout, let’s start at the bottom of the network chain.

  • Connecting local devices is a local area network (LAN), which relies on a router to link each device and ferry network packets to their intended destination.
  • LAN networks are limited to a range of up to 2 km, however — so while they’re useful for individual offices, they can’t connect one branch to another.

Enter the WAN

This is where a WAN steps in: while each office has their own LAN, these LANs are connected to one national or global WAN.

  • When first scaling this up, organizations have typically decided on a similar approach to LANs: by implementing physical router and manual port configurations.
  • Also, they generally don’t rely on the same packet forwarding process that a LAN does.

When sending data from a LAN to a public network:

  • The router first determines where the packet needs to get to according to its routing table, and the packet’s own headers
  • The device consults its internal routing table, and – should the receiving device not be found in that LAN – it forwards the packet to the next network.
  • This network’s router then essentially repeats the same process, and on and on until the packet finally arrives at its intended network, and delivered to the IP address listed in the header.

WAN Scalability and Latency Challenges

  • Office branches can be numerous and very far apart.
  • It’s easy to see how relying solely on this approach could introduce an unmanageable amount of latency.

The Role of MPLS

To beat this, Multiprotocol Label Switching (MPLS) was used:

  • MPLS directs WAN traffic along predetermined paths using specialized routers.
  • MPLS is the high-speed railway of network infrastructure: it needs specific routers and dedicated leased lines — all of which add to the cost of setting up a WAN.

However:

  • MPLS comes with drawbacks.
  • Not all WANs require its state-of-the-art setups and high costs.

SD-WAN vs MPLS

Traditionally, the control plane and data plane were closely integrated within proprietary hardware appliances. SD-WANs decouple these layers by shifting the control plane to a software-based system, allowing routing decisions to be made in software running on standard, non-proprietary hardware instead of specialized network routers.

Put concisely, SD-WAN connects LANs using software.

  • Each individual network has a SD-WAN appliance installed, which individually manages all incoming and outgoing traffic.
  • When traffic reaches an SD-WAN appliance, it identifies the type of application data and directs it to the appropriate destination based on predefined policies, as well as the performance and availability of various network connections.
  • To ensure adequate in-transit security, most SD-WAN setups also encrypt the data being transferred

Vediamo le differenze principali tra le soluzioni WAN tradizionali e SD-WAN.

WAN SD-WAN
Il bilanciamento del carico e il disaster recovery sono disponibili, ma possono essere complessi da implementare. Il bilanciamento del carico e il ripristino di emergenza sono integrati con un sistema veloce o zero-touch. deployment
Le modifiche alla configurazione richiedono tempo e un lavoro di configurazione manuale, che è soggetto a errori. Modifiche della configurazione in tempo reale, automatizzate per evitare errori umani.
Richiede che i dispositivi edge siano configurati uno per uno, non consente l'applicazione generalizzata delle politiche. Utilizza gli overlay virtuali: può replicare istantaneamente le politiche su un gran numero di dispositivi edge.
Limitata a un'unica opzione di connettività: le linee MPLS tradizionali. Può utilizzare in modo ottimale più opzioni di connettività: linee a banda larga gestite da MPLS e SDN.
Si affida alle VPN, che funzionano bene con una singola dorsale IP, ma non possono coesistere con carichi di lavoro ad alta velocità, come voce e video. È in grado di indirizzare il traffico per diversi tipi di applicazioni, conservando la larghezza di banda per le applicazioni che ne hanno più bisogno.
Richiede una messa a punto manuale Rileva automaticamente le condizioni della rete e può ottimizzare dinamicamente la WAN.

Migliori pratiche SD-WAN

Utilizzi Internet pubblico in modo selettivo

La SD-WAN può utilizzare connessioni Internet pubbliche per tutte le trasmissioni del miglio intermedio, e sebbene questo possa essere estremamente conveniente, non è consigliato. Non c'è modo di sapere quali collegamenti attraverserà il traffico, sollevando problemi di sicurezza e di prestazioni.

Quando è possibile, soprattutto per le comunicazioni sensibili o mission critical, preferisce trasmettere il traffico SD-WAN su reti private. Alcuni fornitori di SD-WAN le permettono di utilizzare la loro rete globale sicura. Riservare la capacità di Internet pubblico per carichi di lavoro non critici e non sensibili, o per scenari di failover quando la rete privata è inattiva.

Comunicare il processo di deployment agli stakeholder

Quando intraprende un progetto SD-WAN, informi gli stakeholder sul processo deployment e spieghi che SD-WAN è un'aggiunta all'infrastruttura di rete esistente. I dirigenti non devono considerare la SD-WAN come una semplice sostituzione della tecnologia di rete tradizionale.

Chiarisca che deve mantenere la tecnologia esistente e integrarla con i nuovi investimenti SD-WAN. Una migliore comprensione del background tecnico e dei metodi di deployment le fornirà un migliore supporto di leadership.

Testare il servizio SD-WAN

Le soluzioni SD-WAN possono offrire automazione e zero touch deployment, ma è necessario verificare che funzioni come previsto. I test sono spesso trascurati, ma sono una parte fondamentale di un progetto SD-WAN. Si assicuri di eseguire test approfonditi prima, durante e dopo l'implementazione. Un tipico progetto SD-WAN prevede test per 3-6 mesi, concentrandosi sulla qualità del servizio (QoS), sulla scalabilità, sulla disponibilità e sul failover e sull'affidabilità degli strumenti di gestione.

Sicurezza SD-WAN e SASE

Il modello SD-WAN opera utilizzando un tessuto di rete distribuito, che in genere non include i controlli di sicurezza e di accesso necessari per proteggere le reti aziendali nel cloud.

Per affrontare questo problema, Gartner ha proposto un nuovo modello di sicurezza di rete chiamato Secure Access Service Edge (SASE). SASE combina la funzionalità WAN con caratteristiche di sicurezza come:

La combinazione di queste funzionalità di sicurezza, realizzate per un ambiente cloud, consente di garantire la sicurezza della rete SD-WAN.

Le soluzioni SASE offrono agli utenti mobili e alle filiali una connettività sicura e una sicurezza costante. Forniscono una visione centralizzata dell'intera rete, consentendo agli amministratori e ai team di sicurezza di identificare gli utenti, i dispositivi e gli endpoint in una SD-WAN distribuita a livello globale, di applicare le politiche di accesso e di sicurezza e di fornire funzionalità di sicurezza coerenti tra più sedi geografiche e più fornitori di cloud.

SD-WAN con Check Point

Check Point’s Quantum SD-WAN explicitly addresses the security shortcomings of WAN by integrating robust threat prevention directly into its architecture. Deployed at the branch level as a software blade within Quantum Security Gateways, it offers comprehensive protection against:

  • Zero day exploits
  • Phishing attempts
  • Ransomware attacks

This integration ensures that branch offices maintain the highest security standards, while still ensuring the highest network performance.

Beyond security, Quantum SD-WAN enhances connectivity by optimizing traffic flow for different apps: with inbuilt settings for over 10,000 enterprise applications, it’s able to quickly deliver optimized performance. The solution continuously monitors internet connectivity metrics, such as:

  • Latency
  • Jitter
  • Perdita di pacchetti

So it can dynamically select the best path for traffic.

Sub-second failover capabilities are offered to ensure uninterrupted services, even during times of connection instability. Marry security and performance with Quantum SD-WAN and explore the comprehensive solution with a demo.

If you’re looking for a more complete overhaul toward SD-WAN, on the other hand, check out Checkpoint Harmony SASE: its full-mesh architecture offers a global private backbone that implements zero-trust security at every connection.