O que é SD-WAN?
Software-defined WAN (SD-WAN) technology applies software-defined networking (SDN) concepts for the purpose of distributing network traffic throughout a wide area network (WAN).
SD-WANs work automatically, using predefined policies to identify the most effective route for application traffic passing from branch offices to headquarters, the cloud, and the Internet. There is rarely any need to configure your routers manually in branch locations.
A centralized controller manages the SD-WAN, sending policy information to all connected devices. Information technology (IT) teams can program network edge devices remotely, using low-touch or zero-touch provisioning.
Casos de uso de SD-WAN
A tecnologia SD-WAN normalmente cria uma sobreposição virtual independente de transporte. Isso é conseguido abstraindo conexões WAN públicas ou privadas subjacentes, como banda larga de Internet, fibra, evolução de longo prazo (LTE), sem fio ou comutação de rótulo multiprotocolo (MPLS). Uma sobreposição SD-WAN ajuda as organizações a continuar usando seus próprios links WAN existentes. A tecnologia SD-WAN centraliza o controle da rede, reduzindo custos e fornecendo gerenciamento de tráfego de aplicativos em tempo real nos links existentes.
Os casos de uso mais comuns de SD-WAN se enquadram nas seguintes categorias:
- Expansão geográfica— quando uma empresa se expande para uma nova região geográfica ou executa uma fusão ou aquisição, ela pode usar os serviços de rede existentes no novo local, aproveitando o SD-WAN para gerenciar locais novos e antigos usando uma política unificada e interface de controle.
- Fazer melhor uso da capacidade WAN—usando uma estratégia de conectividade dupla que combina serviços de rede pública e privada. SD-WAN pode usar serviços públicos de Internet para descarregar parte do tráfego de rede privada, reservando capacidade de rede privada para aplicativos essenciais para os negócios ou que precisam de baixa latência.
- Melhorar a resiliência da WAN—criando um ambiente de rede híbrido com múltiplas conexões de rede para o mesmo site, operando em uma configuração ativa/ativa. Em circunstâncias normais, o tráfego pode ser equilibrado entre serviços, mas se uma ligação for perdida, o tráfego pode falhar para outro serviço.
- Migração para nuvem— possibilitando a transformação digital, migrando diversos aplicativos para a nuvem. SD-WAN oferece suporte ao roteamento baseado em aplicativos, para que cada aplicativo possa usar o serviço de área ampla que melhor atenda às suas necessidades, seja ele implantado na nuvem ou no local.
SD-WAN Benefits
Uncoupling WAN architecture from high-cost, demanding MPLS setups is one of the greatest benefits that SD-WAN can offer. MPLS is notoriously expensive – far more so than typical internet connectivity – with average prices topping 4 figures per month.
The eye-watering price is a result of the very limited number of vendors that provide MPLS, and the difficulty for new competitors to break into the space.
The other reason that organizations may be looking to avoid or move away from MLPS is cloud transformation.
As organizations increasingly rely on cloud-based resources, MPLS’ hub and spoke models can begin to introduce inefficiencies. Since all MPLS traffic must be routed via the central headquarters, these hub requirements can become choke points for data otherwise flowing between a cloud-based database and the end user requesting it.
SD-WAN avoids much of this by removing the necessity of MPLS providers.
Gerenciamento centralizado
Rather than routing all traffic to a central point, SD-WANs instead apply a centralized control system. This allows a Security Operations Center (SOC) to manage networking policies across the entirety of an organization’s networks.
- This ensures consistent security rules, traffic prioritization, and performance optimizations, reducing the complexity of manually configuring each site individually.
Greater Cost Efficiency
Unlike traditional WANs that rely on expensive MPLS circuits, SD-WAN can utilize a far broader wealth of protocols and approaches like broadband, LTE, and other cost-effective connections.
- This can reduce infrastructure cost while maintaining robust connectivity.
Enhanced Flexibility and Scalability
Since SD-WAN is software-driven, businesses can quickly scale their network by adding new locations without extensive hardware installations.
- Since there’s no underlying reliance on a single MPLS provider, either, SD-WAN is essentially transport-agnostic, able to route all types of traffic that an organization may need.
- This flexibility also refers to the cloud-based management tools that allow IT teams to configure and deploy network changes remotely.
Improved Performance
SD-WAN continuously monitors network conditions and dynamically routes traffic based on real-time performance metrics.
- This could include switching critical applications to the best available connection, or modifying traffic routes according to their contexts like issuing greater resources for video streaming at a time when many employees are jumping on calls.
Reliability
Traditional WANs depend on a single connection, leading to failures if that link goes down. SD-WAN, however, leverages multiple connections simultaneously, automatically rerouting traffic if one link fails.
Arquitetura SD-WAN
SD-WAN usa uma arquitetura de rede abstrata composta de duas partes separadas:
- Um plano de controle— operado a partir de um local central, o que significa que a equipe de TI pode gerenciar recursos WAN remotamente sem estar no local
- Um plano de encaminhamento— gerencia os fluxos de tráfego, configurando dinamicamente os recursos da rede de acordo com as políticas definidas pelo plano de controle
Uma arquitetura SD-WAN consiste nos seguintes componentes:
- Edge— consiste em equipamentos de rede implantados na nuvem, em centros de dados locais ou em filiais.
- Controlador— fornece gerenciamento centralizado e permite que as operadoras visualizem e monitorem a rede e definam políticas.
- Orchestrator— um componente de administração de rede virtualizada que monitora o tráfego e aplica políticas e protocolos conforme definidos pelo controlador.
Conceitos de SD-WAN
As implementações de SD-WAN aproveitam uma ampla gama de tecnologias, incluindo:
Controlador
Um controlador centralizado que gerencia a implantação de SD-WAN. O controlador impõe políticas de segurança e roteamento, bem como monitora a sobreposição virtual, quaisquer atualizações de software e fornece relatórios e alertas.
Rede definida por software (SDN)
Ativa os principais componentes da arquitetura, incluindo a sobreposição virtual, o controlador centralizado e a abstração de link.
Rede de área ampla (WAN)
Responsável por conectar instalações geograficamente separadas ou múltiplas LANs, usando conexões com ou sem fio.
Funções de rede virtual (VNFs)
Funções de rede próprias ou de terceiros, como tarefas de cache e firewall. As VNFs são normalmente usadas com a finalidade de reduzir a quantidade de dispositivos físicos ou para aumentar a flexibilidade e a interoperabilidade.
Largura de banda de commodities
A tecnologia SD-WAN pode aproveitar múltiplas conexões de largura de banda e atribuir tráfego a qualquer link específico. Isto proporciona aos usuários mais controle e permite economia de custos, transferindo o tráfego das dispendiosas linhas MPLS tradicionais para conexões de largura de banda de baixo custo.
Tecnologia de última milha
A tecnologia SD-WAN pode melhorar as conexões de última milha existentes através do uso de mais de um link de transporte ou do uso simultâneo de vários links.
Qual é a diferença entre WAN e SD-WAN?
WAN is a staple of corporate infrastructure: to easily explain this network layout, let’s start at the bottom of the network chain.
- Connecting local devices is a local area network (LAN), which relies on a router to link each device and ferry network packets to their intended destination.
- LAN networks are limited to a range of up to 2 km, however — so while they’re useful for individual offices, they can’t connect one branch to another.
Enter the WAN
This is where a WAN steps in: while each office has their own LAN, these LANs are connected to one national or global WAN.
- When first scaling this up, organizations have typically decided on a similar approach to LANs: by implementing physical router and manual port configurations.
- Also, they generally don’t rely on the same packet forwarding process that a LAN does.
When sending data from a LAN to a public network:
- The router first determines where the packet needs to get to according to its routing table, and the packet’s own headers
- The device consults its internal routing table, and – should the receiving device not be found in that LAN – it forwards the packet to the next network.
- This network’s router then essentially repeats the same process, and on and on until the packet finally arrives at its intended network, and delivered to the IP address listed in the header.
WAN Scalability and Latency Challenges
- Office branches can be numerous and very far apart.
- It’s easy to see how relying solely on this approach could introduce an unmanageable amount of latency.
The Role of MPLS
To beat this, Multiprotocol Label Switching (MPLS) was used:
- MPLS directs WAN traffic along predetermined paths using specialized routers.
- MPLS is the high-speed railway of network infrastructure: it needs specific routers and dedicated leased lines — all of which add to the cost of setting up a WAN.
However:
- MPLS comes with drawbacks.
- Not all WANs require its state-of-the-art setups and high costs.
SD-WAN vs MPLS
Traditionally, the control plane and data plane were closely integrated within proprietary hardware appliances. SD-WANs decouple these layers by shifting the control plane to a software-based system, allowing routing decisions to be made in software running on standard, non-proprietary hardware instead of specialized network routers.
Put concisely, SD-WAN connects LANs using software.
- Each individual network has a SD-WAN appliance installed, which individually manages all incoming and outgoing traffic.
- When traffic reaches an SD-WAN appliance, it identifies the type of application data and directs it to the appropriate destination based on predefined policies, as well as the performance and availability of various network connections.
- To ensure adequate in-transit security, most SD-WAN setups also encrypt the data being transferred
Vejamos as principais diferenças entre as soluções WAN tradicionais e SD-WAN.
| WAN | SD-WAN |
| Balanceamento de carga e recuperação de desastres disponíveis, mas podem ser complexos de implantar | Balanceamento de carga e recuperação de desastres integrados com implantação rápida ou sem intervenção humana |
| As alterações de configuração levam tempo e exigem trabalho de configuração manual, que é propenso a erros | Alterações de configuração em tempo real, automatizadas para evitar erros humanos |
| Requer que o dispositivo edge seja configurado um por um, não permite aplicação geral de políticas | Usa sobreposições virtuais – pode replicar políticas instantaneamente em um grande número de dispositivos de borda |
| Limitado a uma opção de conectividade: linhas MPLS legadas | Pode fazer uso ideal de múltiplas opções de conectividade – linhas de banda larga gerenciadas por MPLS e SDN |
| Depende de VPNs, que funcionam bem com um único backbone IP, mas não podem coexistir com cargas de trabalho de alto rendimento, como voz e vídeo | Capaz de direcionar o tráfego para diferentes tipos de aplicativos, economizando largura de banda para os aplicativos que mais precisam |
| Requer ajuste manual | Detecta automaticamente as condições da rede e pode otimizar dinamicamente a WAN |
Melhores práticas de SD-WAN
Use a Internet pública seletivamente
SD-WAN pode usar conexões públicas de Internet para todas as transmissões intermediárias e, embora isso possa ser extremamente econômico, não é aconselhável. Não há como saber por quais links o tráfego passará, levantando preocupações de segurança e desempenho.
Sempre que possível, especialmente para comunicações sensíveis ou de missão crítica, prefira transmitir o tráfego SD-WAN em vez de rede privada. Alguns provedores de SD-WAN permitem usar sua própria rede global segura. Reserve capacidade pública da Internet para cargas de trabalho não críticas e não sensíveis ou cenários de failover quando a rede privada estiver inoperante.
Comunique o processo de implantação às partes interessadas
Ao embarcar num projeto SD-WAN, eduque as partes interessadas sobre o processo de implantação e explique que SD-WAN é uma adição à infraestrutura de rede existente. Os executivos não devem ver a SD-WAN como um simples substituto da tecnologia de rede tradicional.
Deixe claro que você precisa manter a tecnologia existente e integrá-la aos novos investimentos em SD-WAN. Uma melhor compreensão da formação técnica e dos métodos de implantação proporcionará melhor suporte de liderança.
Teste o serviço SD-WAN
As soluções SD-WAN podem oferecer automação e implantação sem intervenção, mas você precisa verificar se funciona conforme o esperado. Os testes são frequentemente esquecidos, mas são uma parte crítica de um projeto SD-WAN. Certifique-se de testar extensivamente antes, durante e depois da implementação. Um projeto típico de SD-WAN envolve testes durante 3 a 6 meses, com foco na qualidade de serviço (QoS), escalabilidade, disponibilidade e failover, e confiabilidade das ferramentas de gerenciamento.
Segurança SD-WAN e SASE
O modelo SD-WAN opera usando uma estrutura de rede distribuída, que normalmente não inclui os controles de segurança e acesso necessários para proteger as redes corporativas na nuvem.
Para resolver esse problema, o Gartner propôs um novo modelo de segurança de rede chamado Secure Access Service Edge (SASE). SASE combina funcionalidade WAN com recursos de segurança como:
- Firewall como serviço (Firewall as a Service, FWaaS)
- Gateway de web seguro (Secure Web Gateway, SWG)
- Agente de segurança de acesso à nuvem (Cloud Access Security Broker, CASB)
- Acesso à rede de confiança zero (Zero Trust Network Access, ZTNA)
A combinação desses recursos de segurança, desenvolvidos para um ambiente de nuvem, torna possível garantir que as redes SD-WAN sejam seguras.
As soluções SASE fornecem aos usuários móveis e filiais conectividade segura e segurança consistente. Eles fornecem uma visão centralizada de toda a rede, permitindo que administradores e equipes de segurança identifiquem usuários, dispositivos e endpoint em uma SD-WAN distribuída globalmente, apliquem políticas de acesso e segurança e forneçam recursos de segurança consistentes em vários locais geográficos e vários provedores de nuvem. .
SD-WAN com Check Point
Check Point’s Quantum SD-WAN explicitly addresses the security shortcomings of WAN by integrating robust threat prevention directly into its architecture. Deployed at the branch level as a software blade within Quantum Security Gateways, it offers comprehensive protection against:
- Zero day exploits
- Phishing attempts
- Ransomware attacks
This integration ensures that branch offices maintain the highest security standards, while still ensuring the highest network performance.
Beyond security, Quantum SD-WAN enhances connectivity by optimizing traffic flow for different apps: with inbuilt settings for over 10,000 enterprise applications, it’s able to quickly deliver optimized performance. The solution continuously monitors internet connectivity metrics, such as:
- Latency
- Jitter
- Perda de pacotes
So it can dynamically select the best path for traffic.
Sub-second failover capabilities are offered to ensure uninterrupted services, even during times of connection instability. Marry security and performance with Quantum SD-WAN and explore the comprehensive solution with a demo.
If you’re looking for a more complete overhaul toward SD-WAN, on the other hand, check out Checkpoint Harmony SASE: its full-mesh architecture offers a global private backbone that implements zero-trust security at every connection.
