SD-WAN

Programowo zarządzana sieć rozległa, która inteligentnie kieruje ruch między lokalizacjami przez różne łącza. Upraszcza zarządzanie i obniża koszty.

SD-WAN (Software-Defined Wide Area Network) to programowo zarządzana sieć rozległa, w której logika kierowania ruchem jest oddzielona od fizycznego sprzętu i przeniesiona do warstwy oprogramowania. Mówiąc po ludzku: zamiast ręcznie konfigurować każdy router w każdym oddziale, definiujesz reguły centralnie, a sieć sama decyduje, którym łączem puścić dany ruch. Łącza mogą być różne — światłowód MPLS, zwykły internet (broadband), LTE/5G — a SD-WAN traktuje je jak wspólną pulę i wybiera najlepsze dla konkretnej aplikacji.

Jak to działa i do czego służy

Klasyczny WAN przypinał ruch na sztywno: jeden oddział, jedno drogie łącze MPLS, i koniec. SD-WAN wprowadza warstwę abstrakcji — kontroler (control plane) zarządza politykami, a urządzenia brzegowe (data plane) w oddziałach tylko je egzekwują. Dzięki temu możesz powiedzieć: „ruch z Office 365 i VoIP ma priorytet i niską latencję, a backup w nocy może iść tańszym łączem”.

Sercem jest application-aware routing — sieć rozpoznaje aplikacje (nie tylko adresy IP) i mierzy na żywo parametry łączy: latencję, jitter, packet loss. Jeśli jedno łącze siada, ruch krytyczny przełącza się na inne w ułamku sekundy, bez interwencji człowieka. Do tego dochodzi szyfrowanie tuneli (zwykle IPsec) między lokalizacjami i centralne zarządzanie przez jeden panel.

Przykład z praktyki

Firma z 30 oddziałami stawia Cisco Catalyst SD-WAN (dawniej Viptela) albo VMware VeloCloud. Zamiast logować się do każdego routera, administrator definiuje w kontrolerze (vManage) politykę: „Microsoft Teams zawsze najlepszym łączem, ruch do internetu lokalnie przez broadband, reszta przez MPLS”. Każdy nowy oddział dostaje urządzenie, które po podłączeniu samo pobiera konfigurację z chmury — to zero-touch provisioning. Nie musisz wysyłać inżyniera w teren.

Częste błędy i mity

  • „SD-WAN zastąpi firewall — nie. Sam routing to nie bezpieczeństwo. Stąd wziął się SASE, łączący SD-WAN z funkcjami security w chmurze.
  • „MPLS umarł” — przesada. SD-WAN często działa obok MPLS, dokładając tanie łącza, a nie wyrzucając drogie do kosza z dnia na dzień.
  • Niedoszacowanie internetu — jeśli przełączasz ruch na publiczny broadband, jego jakość i SLA potrafią być loterią. Mierz, zanim obiecasz biznesowi cuda.

Pojęcia powiązane

WAN, MPLS, SASE, IPsec, QoS, overlay network, zero-touch provisioning, NFV (Network Functions Virtualization), application-aware routing.