Ein softwaredefiniertes Wide Area Network (SD-WAN) ist eine virtualisierte WAN-Architektur, die die Verwaltung kleinerer und anderweitig unzusammenhängender WAN-Netzwerke abstrahiert und zentralisiert.

Mit SD-WAN kann ein Unternehmen Daten und Anwendungen über Zweigstellen, Remote-Mitarbeiter und autorisierte Geräte (auch als „Knoten“ bezeichnet) hinweg gemeinsam nutzen, die sich über große geografische Entfernungen und mehrere Telekommunikationsinfrastrukturen erstrecken.

Stellen Sie sich eine SD-WAN-Architektur als eine softwaredefinierte WAN-Schicht vor, die auf einem oder mehreren physischen WAN-Netzwerken aufbaut. Da eine SD-WAN-Architektur softwarebasiert ist, kann die IT-Abteilung damit Governance-Richtlinien festlegen, z. B. zur Priorisierung von Netzwerkressourcen, zur Anpassung und Durchsetzung von Benutzerrechten und zur Überwachung von Sicherheitsbedrohungen in den WAN-Netzwerken, die darunter liegen. Edge-Geräte innerhalb eines WAN-Netzwerks können auch von der SD-WAN-Lösung in der Architekturschicht aus ferngesteuert werden.

Eine starke SD-WAN-Überwachungsstrategie ist für den Geschäftserfolg entscheidend, um die Leistung in einer vielfältigen Netzwerkumgebung effektiv zu überwachen und zu verwalten.

WAN im Vergleich zu SD-WAN

Ein traditionelles WAN ist ein Netzwerk aus physischen Routern, die Daten an und von Geräten in mehreren lokalen Netzwerken (Local Area Networks, LANs) wie Ethernet- oder WLAN-Netzwerken übertragen. Ein WAN kann eines von mehreren Protokollen zur Datenübertragung verwenden, z. B. Multiprotocol Label Switching (MPLS). Ein MPLS ist ein Protokoll, das den WAN-Verkehr über den kürzesten physischen Pfad leitet.

Während ein einzelnes LAN auf einen physischen Standort wie z. B. ein Bürogebäude beschränkt ist, kann ein WAN mehrere LANs umfassen, die sich sowohl im selben Büro als auch in verschiedenen, weit voneinander entfernten Gebäuden befinden.

WANs sind jedoch auf das Telekommunikationsnetz der jeweiligen Region und die Service-Level-Agreements (SLA) des Transport-Services eines Internetanbieters beschränkt. Ein WAN, das Informationen über das Kabel oder das Breitband-Internet des Internetanbieters dieser Region transportiert, kann beispielsweise nicht über diese physische Infrastruktur hinausgehen. Das WAN-Netzwerk kann also nur deshalb alle 20 LANs aus beiden Büros umfassen, weil sie denselben Transport-Service nutzen. Wenn das Unternehmen ein drittes Bürogebäude besitzt, das sich in einer Region mit einem anderen Transport-Service befindet, ist ein separates WAN erforderlich, um alle dortigen LAN-Verbindungen zu verwalten. Außerdem sind die Büros innerhalb des WANs auf die Bandbreite beschränkt, die ihr Internetzugang garantiert. Hier bietet ein SD-WAN mehrere Vorteile gegenüber einem herkömmlichen WAN.

Ein SD-WAN, das als Softwareschicht auf einer Reihe von Router-basierten WANs basiert, geht über die physischen Grenzen dieser WANs hinaus. Es ermöglicht die Überwachung, Steuerung und Optimierung des gesamten Datenverkehrs im Netzwerk, der verschiedene Regionen, Infrastrukturtypen und Anbieter von Services umfasst, von einer einzigen Anwendung aus, auf die jeder autorisierte Benutzer von überall aus zugreifen kann. Ohne ein SD-WAN oberhalb einer Reihe von WAN-Netzwerken ist die Steuerung und Konfiguration jedes einzelnen WAN dagegen auf die Hardware-Ebene beschränkt.

Was ist der Unterschied zwischen SD-WAN und SASE?

Eine SASE-Architektur (Secure Access Service Edge) ist eine Alternative zu SD-WAN. Beide Architekturtypen sind Formen der WAN-Optimierung und fallen unter die breitere Kategorie des Software-definierten Netzwerks (SDN). Ähnlich wie ein SD-WAN die Verwaltung einer Reihe von WANs in einer abstrahierten Softwareschicht zentralisiert, abstrahiert eine SASE-Architektur die Verwaltungs- und Sicherheitsservices eines Netzwerks in eine cloudbasierte Bereitstellung, die sich näher am oder am Edge des Netzwerks befindet.

Während die SD-WAN-Architektur den Schwerpunkt auf die Konnektivität zwischen den Standorten legt, befasst sich eine SASE-Bereitstellung mit den Netzwerkendpunkten und den Geräten, die das Netzwerk nutzen.

Wie funktioniert ein SD-WAN?

Eine SD-WAN-Architektur richtet einen softwarebasierten Controller ein, der die individuellen Konfigurationseinstellungen jedes zugrundeliegenden WAN-Netzwerks konsolidiert und zentralisiert. So können Datenbereitstellung, Netzwerksicherheitsprotokolle und Richtlinieneinstellungen gleichzeitig für mehrere WAN-Endpunkte und Edge-Geräte orchestriert werden.

Diese zentralisierte Softwareschicht entsteht durch den Aufbau von verschlüsselten Tunneln (auch als „Overlay“ bezeichnet) zwischen ihr und den WAN-Netzwerken, die sie über ein SD-WAN-Gerät verwaltet. Jeder WAN-Standort ist mit einem SD-WAN-Gerät ausgestattet, das als Kommunikationsknotenpunkt zwischen diesem physischen WAN-Netzwerk und der SD-WAN-Softwareschicht dient. Dieses Gerät empfängt und erzwingt benutzerdefinierte Konfigurations- und Datenverkehrsrichtlinien von der darüber liegenden zentralisierten SD-WAN-Schicht. Diese physischen SD-WAN-Geräte können aus der Ferne verwaltet werden und ermöglichen es der SD-WAN-Schicht, über die physischen Grenzen eines WAN hinaus zu arbeiten.

Welche Anwendungsfälle gibt es für SD-WAN?

  • Cloud- und Edge-Computing-Modelle: Ein SD-WAN kann als Teil einer vollständigen Data-Mesh-Architektur konfiguriert werden, um Distributed Computing Environments zu schaffen, in der große Datenmengen am Edge verarbeitet werden. Dies erleichtert das Daten-Backhauling, das WAN-Netzwerke verursachen. Das liegt daran, dass alle Datenübertragungen innerhalb eines WAN über das eigene Rechenzentrum eines Unternehmens geleitet werden. Wenn ein WAN-Netzwerk stark ausgelastet ist, kann es in diesem Rechenzentrum zu Datenengpässen kommen. Stellen Sie sich vor, dass fünf Fahrspuren durch eine einzige Mautstelle geführt werden müssen. Ein SD-WAN kann dazu verwendet werden, Rechenleistung für Geräte zuzuweisen und zu verwalten, die sich in der Nähe oder am Edge befinden, sowie in Cloud-Umgebungen, sodass der Daten- und Anwendungsverkehr nicht mehr durch das Rechenzentrum geleitet werden muss.
  • Durchgängige Sicherheitsintegration im gesamten Netzwerk: Da eine SD-WAN-Architektur ein virtualisiertes Netzwerk erstellt, können SD-WAN-Lösungen für die Sicherheit an jedem Punkt einer physischen oder cloudbasierten Infrastruktur integriert werden. Darüber hinaus bietet ein SD-WAN einen zentralen Überblick über ein ganzes Netzwerk, das aus mehreren WANs besteht. Dadurch wird die Sicherheitsüberwachung und -verwaltung zentralisiert und skalierbar. Sicherheitsrichtlinien können für das gesamte Netzwerk definiert oder für bestimmte Bereiche des Netzwerks über verschlüsselte Tunnel angepasst werden.
  • Zentralisierte Verwaltung: Ein SD-WAN bietet einen einzigen Kontrollpunkt für eine komplexe Reihe von WAN-Netzwerken und macht diese Kontrolle überall für autorisierte Benutzer zugänglich. Bei einer Fusion zwischen zwei Finanzunternehmen kann ein SD-WAN beispielsweise die Verwaltung der unterschiedlichen WAN-Netzwerke beider Unternehmen auf eine abstrahierte Softwareebene verlagern. Innerhalb dieser zentralen Verwaltung können die IT-Mitarbeiter eine Netzwerksegmentierung vornehmen, um das gesamte Netzwerk in kleinere Segmente zu unterteilen, in denen sich lokalisierte Richtlinien festlegen und durchsetzen lassen. Dadurch erhalten die IT-Mitarbeiter eine differenzierte Kontrolle über das Netzwerk und behalten gleichzeitig den Überblick über das gesamte Netzwerk und die Möglichkeit, es zu verwalten.
  • Sicherstellen, dass die SLAs für bestimmte Anwendungen eingehalten werden: Mit einem SD-WAN können Netzwerkadministratoren Prioritäten für geschäftskritische Anwendungen definieren und anpassen, um sicherzustellen, dass sie immer über die erforderlichen Netzwerkressourcen und -pfade verfügen, um die Anforderungen zu erfüllen. Stellen Sie sich eine stark befahrene Autobahn mit einer freien Fahrspur vor, die für geschäftskritische Daten reserviert ist, damit diese so schnell wie möglich dorthin gelangen, wo sie benötigt werden. Diese „Fahrgemeinschaftsspur“ kann die 5G-Bandbreite des Netzwerks sein, während die langsamere Spur die 4G-LTE-Bandbreite des Netzwerks repräsentiert. Über die SD-WAN-Schnittstelle legt ein IT-Mitarbeiter fest, welche Apps diese Fahrspur nutzen dürfen, um ihr Ziel so schnell wie möglich zu erreichen.

Ist SD-WAN ein VPN?

Ein SD-WAN ist kein virtuelles privates Netzwerk (VPN). Die SD-WAN-Architektur dient als zentrales Gateway für alle Geräte auf der zugrundeliegenden Reihe eines oder mehrerer WAN-Netzwerke. Ein VPN hingegen stellt eine private Punkt-zu-Punkt-Verbindung über ein öffentliches Netzwerk wie das Internet her. Bei einer VPN-Internetverbindung wird der Netzwerkverkehr durch einen verschlüsselten Tunnel geleitet, der vom privaten Servernetzwerk des VPN-Anbieters verwaltet wird.

Welche Vorteile bietet SD-WAN?

Da ein SD-WAN die zugrundeliegenden Netzwerkservices mehrerer WANs miteinander kombiniert, kann es jeden dieser Services nutzen, um die Leistung der einzelnen Anwendungen zu optimieren. Zu diesen Services gehören die physische Infrastruktur wie der Transport-Service, die Bandbreitenkapazität und Sicherheitsfunktionen wie Firewall-Einstellungen. Die optimierten Einstellungen für jede Anwendung werden durch die Überwachung der Anwendungsleistung ermittelt und über Richtlinieneinstellungen konfiguriert.

Da das SD-WAN als virtualisierte Schicht vorliegt, bietet es mehrere Vorteile gegenüber einem traditionellen WAN, darunter:

  • Es eignet sich gut für die Verwaltung eines hybriden Netzwerks: Ein SD-WAN gibt IT-Mitarbeitern die Möglichkeit, komplexe hybride Netzwerkverbindungen zu verwalten, die aus privaten Rechenzentren, Public Clouds und Edge-Geräten bestehen. Diese zentralisierte Steuerung über hybride Umgebungen ist entscheidend für Initiativen zur digitalen Transformation, die Virtualisierung und die Einführung von Public Clouds erfordern.
  • Agilität: Ein SD-WAN vereinfacht die Netzwerkverwaltung. So können IT-Mitarbeiter den Datenverkehr effizient überwachen und in Echtzeit anpassen, um schneller auf geschäftliche Anforderungen zu reagieren. Darüber hinaus ermöglicht diese vereinfachte Verwaltung auch eine schnellere Bereitstellung von Netzwerkressourcen durch Zero-Touch-Provisioning (ZTP), eine SD-WAN-Funktion, die für die automatische Konfiguration von Netzwerkgeräten verwendet wird.
  • Effizienz und Kostenersparnis: Durch die SD-WAN-Technologie entfallen viele physische Aufgaben, wie z. B. der Besuch oder die Entsendung eines IT-Mitarbeiters an den geografischen Standort eines WANs, wo sich die Steuerungen befinden. Dadurch lassen sich die Kosten senken und das Netzwerk effizienter verwalten. Ein SD-WAN ermöglicht auch eine bessere Nutzung vorhandener Ressourcen. So kann beispielsweise ein einzelner IT-Mitarbeiter die SD-WAN-Softwareschicht nutzen, um nicht-kritischen Datenverkehr auf kostengünstige Transport-Services zu verlagern oder geschäftskritischen/sensiblen Datenverkehr über sichere MPLS-Verbindungen zu übertragen.
  • Leistungsstarke Anwendungen und eine bessere Benutzererfahrung: Durch die Leistungsüberwachung in der SD-WAN-Schicht können die IT-Mitarbeiter die optimalen Netzwerkeinstellungen für jede Anwendung ermitteln. Anschließend können sie den Datenverkehr auf die entsprechenden Services umleiten und die Netzwerkeinstellungen anpassen, um die Latenzzeiten der Anwendungen zu verringern und die Verfügbarkeit für die Endbenutzer zu verbessern. So können beispielsweise Netzwerkressourcen als Failover-Optionen konfiguriert werden, wenn die Ressourcen, die eine unternehmenskritische Anwendung nutzt, plötzlich nicht mehr verfügbar sind. Bei einer Unterbrechung wird eine Anwendung sofort auf die Failover-Ressourcen umgeleitet, um eine Unterbrechung des Service zu verhindern oder zu minimieren.
  • Schnellere Bereitstellung im Vergleich zu herkömmlichen MPLS-basierten WANs: Da ein SD-WAN eine virtuelle Abstraktion ist, die physische Ressourcen verwaltet, lässt es sich schneller einrichten als MPLS-basierte WANs, die Hardware-Konfigurationen erfordern. Das kann langwierige Bereitstellungszeiten zur Folge haben, die den Kauf, die Installation und die Implementierung physischer Komponenten beinhalten. Ein SD-WAN kann eine lokale, cloudbasierte oder hybride Bereitstellung sein.
  • Geringerer Paketverlust und Jitter: Wenn ein technisches Problem mit der Telekommunikationsleitung eines herkömmlichen WAN auftritt, kann es zu Paketverlusten und Jitter kommen. Paketverluste treten auf, wenn nicht alle angeforderten Daten am vorgesehenen Ziel ankommen, während Jitter das Ergebnis einer längeren Zeitverzögerung zwischen dem Versand und dem Eintreffen eines Datenpakets ist. Benutzer beobachten zum Beispiel Jitter, wenn das Bild und der Ton einer Videokonferenz verzerrt werden.

Ein SD-WAN kann ein Verbindungsproblem von einem seiner zugrundeliegenden WANs lösen, indem es den Datenverkehr umleitet. Alternativ können IT-Mitarbeiter das SD-WAN auch so automatisieren, dass es eine der folgenden QoS-Techniken (Quality of Service) ausführt, um Paketverluste und Jitter zu verringern:

  • Vorwärts-Fehlerkorrektur (Forward error correction, FEC): Diese Technik hilft, Paketverluste zu reduzieren, indem mehrere Kopien desselben Datenpakets gesendet werden.
  • Jitter-Puffer: Bei dieser Technik werden Datenpakete zurückgehalten und in Intervallen freigegeben, um eine hohe Netzwerklatenz auszugleichen. Stellen Sie sich vor, dass Autos an einer roten Ampel warten müssen und in 30-Sekunden-Intervallen gebündelt weiterfahren dürfen.
  • Negative Rückmeldung (Negative Acknowledgement, NACK): Im Falle eines Paketverlustes erkennt diese Technik, welche spezifischen Daten fehlen und sendet die fehlenden Informationen schnell erneut.

Gibt es verschiedene SD-WAN-Typen?

Ja, drei gängige SD-WAN-Architekturen sind:

  1. Internetbasiertes SD-WAN
  2. Telco- oder MSP-Service-SD-WAN
  3. Managed SD-WAN-as-a-Service

Ein internetbasiertes SD-WAN wird auch als „Do it Yourself“-SD-WAN bezeichnet und liegt vor, wenn ein Unternehmen ein SD-WAN mit eigenen Ressourcen einrichtet. Die IT-Mitarbeiter des Unternehmens sind für die Installation der erforderlichen SD-WAN-Geräte, die Bereitstellung der SD-WAN-Software und die laufende Wartung und Verwaltung des SD-WAN verantwortlich.

Bei einem Telco- oder MSP-Service-SD-WAN bezahlt ein Unternehmen einen Service-Provider für die Installation und Bereitstellung von SD-WAN-Konnektivität an seinen WAN-Standorten. Der Provider stellt die Ausrüstung und Arbeitskräfte zur Verfügung und stellt sicher, dass die erforderlichen Netzwerk- und Transport-Services verfügbar sind.

Managed SD-WAN-as-a-Service ermöglicht es einem Unternehmen, durch Software-Orchestrierung auf die bestehende SD-WAN-Architektur eines Providers zuzugreifen. Dieses SD-WAN befindet sich im privaten Netzwerk des Providers und wird häufig als Software-as-a-Service (SaaS) für Kunden angeboten.
