Contact Us

SD-WAN: Was ist Software-Defined WAN?

SD-WAN: Was ist Software-Defined WAN?

Als Software-Defined Wide Area Network (SD-WAN) wird eine virtuelle WAN-Architektur bezeichnet, mit der Unternehmen Benutzer sicher und effizient mit Anwendungen verbinden können. Diese Technologielösung bietet unübertroffene Flexibilität und Kosteneinsparungen im Netzwerkbereich. Mit einem SD-WAN lassen sich reaktionsschnellere und zuverlässigere Anwendungen zu geringeren Kosten und in kürzerer Zeit bereitstellen als mit den traditionell von Unternehmen genutzten MPLS-Services. So können IT-Mitarbeiter flexibler reagieren und Standorte innerhalb von Minuten einrichten, beliebige Datendienste wie MPLS, dedizierten Internetzugang (DIA), Breitband oder WLAN nutzen sowie Standorte im Handumdrehen neu konfigurieren.

Beim SD-WAN erfolgt dies durch die Trennung der Anwendungen von den zugrunde liegenden Netzwerkdiensten durch ein richtlinienbasiertes, virtuelles Overlay. Dieses Overlay überwacht die Leistungskennzahlen der zugrunde liegenden Netzwerke in Echtzeit und wählt anhand von Konfigurationsrichtlinien das optimale Netzwerk für jede Anwendung aus.

Was ist die SD-WAN-Technologie?

Die SD-WAN-Technologie ist eine Möglichkeit, um ein Wide Area Network (WAN) zu verwalten und zu optimieren. Sie wurde entwickelt, um der veränderten Nutzung von Unternehmensnetzwerken durch den vermehrten Einsatz von Cloud Computing-Lösungen und mobilen Geräten Rechnung zu tragen. Dabei ist diese Lösung flexibler als MPLS, da sie an verschiedenen Standorten befindliche und mobile Arbeitskräfte besser unterstützt. Außerdem ist sie zuverlässiger und skalierbarer als ein VPN-basiertes WAN.

Bei einer SD-WAN-Lösung werden mehrere SD-WAN-Appliances über verschlüsselte Tunnel miteinander zu einem Netzwerk verbunden. Jede SD-WAN-Appliance ist mit verschiedenen Netzwerkdiensten (meist MPLS und einige Internetdienste) verbunden und überwacht die aktuelle Verfügbarkeit und Leistung von jedem dieser Dienste. Der Datenverkehr, der eine SD-WAN-Appliance erreicht, wird nach Anwendung klassifiziert und mithilfe von zentral verwalteten Prioritäten geordnet, bevor er über die beste verfügbare Netzwerkverbindung weitergeleitet wird.

Mit einem SD-WAN lassen sich die MPLS-Lösungen ersetzen, die bei der Anbindung neuer Standorte sehr kosten- und zeitintensiv sind. Außerdem können so auch an Randbereichen des Netzwerks Sicherheitsfunktionen bereitgestellt werden. Damit ist es nicht mehr erforderlich, den gesamten Datenverkehr zur Überprüfung durch das Rechenzentrum des Unternehmens zu leiten, bevor er an Cloudservices weitergeleitet wird – eine Vorgehensweise, die die Latenz und Leistung beeinträchtigt.
Durch die Zusammenführung von Netzwerk- und Sicherheitsfunktionen macht ein SD-WAN den Einsatz teurer Einzel-Sicherheitslösungen an Außenstellen überflüssig. Ein SD-WAN mit einem großen Netzwerk von global verteilten Points-of-Presence (PoPs) gewährleistet eine hohe Leistungsfähigkeit und Sicherheit und bietet zudem zentrale Verwaltungs- und Überwachungsfunktionen.

Worin besteht der Unterschied zwischen SD-WAN und SDN?

SD-WANs folgen bei der Verbindung von Standorten den Prinzipien von Software-Defined Networking (SDN). Anfangs dienten SDNs im Rechenzentrum dazu, die Netzwerkleistung durch die Trennung der Daten- von der Steuerungsebene zu verbessern. Die Richtlinien und die Routinginformationen befanden sich auf einem oder mehreren Servern („Controllern“), die den Netzwerkkomponenten, die die Pakete weiterleiten (Switches und Router), Anweisungen erteilten.

Bei einem SDN wird ein Overlay-Netzwerk über das lokale Netzwerk gelegt, das so neue Möglichkeiten zur Steigerung der Effizienz und Flexibilität bietet. Bei einem SD-WAN wird ein Overlay-Netzwerk über das WAN gelegt, wodurch ebenfalls bemerkenswerte Effizienz- und Flexibilitätsgewinne erzielt werden.

Wofür benötigen Unternehmen ein SD-WAN?

In Anbetracht der Vielzahl von Cloud- und Mobilitätslösungen wird ersichtlich, wie Benutzer Netzwerke heutzutage nutzen. WANs wurden jedoch in einer Zeit konzipiert, in der der Schwerpunkt auf der Vernetzung physischer Standorte lag. Der alte Ansatz passt nicht mehr zu den neuen Anforderungen: Die Folge sind teure globale Konnektivitätslösungen, komplexe Technologien und Einzellösungen an unterschiedlichen Standorten, für die sich Wartungs- und Sicherheitsmaßnahmen nur schwer umsetzen lassen.

Der nicht enden wollende und zeitraubende Kreislauf von Patches, Updates und Upgrades erfordert den Einsatz qualifizierter Fachkräfte – die immer schwerer zu finden sind. Diese Komplexität ist besonders beunruhigend, da sie Hacker geradezu einlädt, Konfigurationsfehler, Softwareschwachstellen und andere Angriffsflächen auszunutzen.

Es gibt mehrere Gründe, warum frühere WAN-Modelle nicht mehr dem aktuellen Stand der Technik entsprechen. MPLS, das Kernstück des bisherigen Konzepts, ist kostspielig und hat lange Vorlaufzeiten für die Bereitstellung an neuen Standorten. Bisherige WANs verbinden sich nur über sichere Webportale mit dem Internet, in der Regel im Rechenzentrum. Dies führt zu einem „Posauneneffekt“ beim Hin- und Hersenden von Webdaten über die Netzwerke. Das Resultat sind längere Latenzzeiten und eine Überlastung der MPLS-Verbindungen bei zunehmendem Internetdatenverkehr. Ein direkter Internetzugang, der die Niederlassungen mit dem Internet verbinden könnte, ist teuer und von der rudimentären Hardware der Niederlassungen möglicherweise auch nicht zu bewältigen. Schließlich wurde das WAN entwickelt, als es um die Verbindung von physischen Standorten wie Niederlassungen und Rechenzentren ging. Dieser Ansatz wird der neuen und vielfältigen digitalen Welt nicht mehr gerecht.

Wo liegen die Grenzen von SD-WANs?

Obwohl SD-WANs viele Vorteile bringen, gibt es auch einige Einschränkungen. Die Erweiterung des SD-WAN auf die Cloud setzt die Installation eines SD-WAN im oder in der Nähe des Rechenzentrums des Cloudproviders voraus – eine schwierige, wenn nicht sogar unmögliche Aufgabe. Mobile Benutzer werden in einem SD-WAN nicht berücksichtigt.

Und auch wenn der Datenverkehr verschlüsselt ist, erhöht die Verbindung der Niederlassungen mit dem Internet das Risiko von Malware, Phishing-E-Mails und anderen Angriffen. Die Bereitstellung von Sicherheitsappliances in den Niederlassungen führt dazu, dass auch weiterhin die damit einhergehenden Kosten für die Anschaffung, Dimensionierung und Wartung anfallen. Unternehmen sind daher immer noch gezwungen, ihre Appliances nachzurüsten, und die IT-Abteilung muss bei steigenden Datenverkehrsvolumen sämtliche Sicherheitsfunktionen anwenden. Letztendlich wird auch die Fehlerbehebung erschwert, da die Mitarbeiter zwischen Netzwerk- und Sicherheitskonsolen wechseln müssen, um die Ursache zu finden. Dies ist ineffizient und kann dazu führen, dass Fehler passieren oder Details zum vorliegenden Problem übersehen werden.

Wie gehen cloudbasierte SD-WAN-Services mit diesen Herausforderungen um?

Die immer häufiger gewählte Option ist die Zusammenführung von Sicherheits- und Netzwerkfunktionen in einer cloudbasierten Software. Sämtlicher Internet- und WAN-Datenverkehr wird an den PoP (Point of Presence) des Softwareproviders gesendet und von diesem empfangen. Die PoPs wiederum kommunizieren über ihr eigenes Backbone-Netzwerk, wodurch die mit der Internetverbindung einhergehenden Leistungsengpässe vermieden werden. Dieses Konzept wird als SD-WAN-as-a-Service oder SD-WAN 3.0 bezeichnet.

Entscheidend ist, dass die Herausforderungen, die mit der Ausführung von Netzwerk- und Security-Stacks in einer Niederlassung einhergehen, wegfallen. Die SD-WAN-Geräte bilden in diesem Fall einen „schmalen Randbereich“ mit geringem Arbeitsaufwand. Die Hauptaufgabe dieser Geräte ist die Bewertung von Paketen, um festzustellen, ob sie an das Internet, an die MPLS-Verbindungen oder an andere Empfänger gesendet werden sollen. Da die wichtigsten Sicherheits- und Netzwerkfunktionen in der Cloud ausgeführt werden, kann SD-WAN-as-a-Service den Datenverkehr unabhängig von dem Volumen oder den aktivierten Funktionen weiterhin bei hoher Leitungsgeschwindigkeit prüfen.

Was sind SD-WAN-Services?

Ein Managed SD-WAN-Service ist eine SD-WAN-Lösung, die auf einem Carrier oder Serviceprovider basiert. Er sorgt für ein bestimmtes Leistungsniveau im Netzwerk des Unternehmens. Der Carrier übernimmt die Datenübertragung und verbindet das Unternehmen mit physischer und virtueller Technologie im Rechenzentrum des Carriers und ggf. auch in Drittanbieter-Clouds.

Managed SD-WAN-Services sind keine Lösung zur Sicherung des Internetzugangs von Niederlassungen. Sie sind lediglich ein anderer Geschäfts- und Verwaltungsansatz für die gleiche technologische Infrastruktur.

Wie funktioniert ein SD-WAN?

Ein Software-Defined WAN (SD-WAN) meistert viele der Herausforderungen, vor denen Unternehmen mit einer traditionellen WAN-Lösung stehen. Ein SD-WAN ist unabhängig von den Gegebenheiten der Netzwerkschicht, sodass das WAN verschiedene Verbindungstypen wie LTE, MPLS und Breitband-Internet beliebig nutzen kann. Durch diese Trennung lassen sich Bandbreite, Leistung und Redundanz des Netzwerks verbessern sowie eine zentrale Verwaltung und Orchestrierung ermöglichen.

Bei einer SD-WAN-Lösung werden mehrere SD-WAN-Appliances über verschlüsselte Tunnel miteinander zu einem Netzwerk verbunden. Jeder Standort im WAN verfügt über eine eigene SD-WAN-Appliance, durch die der gesamte Datenverkehr fließt. Da alle Appliances zentral verwaltet werden, können Netzwerkrichtlinien konsistent im gesamten Unternehmen durchgesetzt werden. Wenn der Datenverkehr in einer SD-WAN-Appliance ankommt, bestimmt die Appliance die Art des Anwendungsdatenverkehrs und leitet ihn an sein Ziel. Dabei werden die vorhandenen Richtlinien sowie die Verfügbarkeit und Leistung der verschiedenen Netzwerkverbindungen berücksichtigt.

Das klassische SD-WAN ist nicht gerade perfekt. Viele SD-WANs enthalten keine integrierten Sicherheitsfunktionen, sodass jede Niederlassung ihre eigenen, isolierten Sicherheitsprodukte einsetzen muss. Eine SD-WAN-Lösung beinhaltet auch die Bereitstellung einer SD-WAN-Appliance an jedem Endpunkt, was die Nutzung für Cloud- und Mobildatenverkehr erschwert oder unmöglich macht. Schließlich ist ein SD-WAN oft auf das öffentliche Internet angewiesen, was die Zuverlässigkeit beeinträchtigen kann. Viele dieser Probleme lassen sich jedoch mit SASE-Plattformen (Secure Access Service Edge) lösen.

Die 5 entscheidenden Vorteile von SD-WAN kurz erklärt

Software-Defined WAN (SD-WAN) wurde als Alternative zum herkömmlichen MPLS-basierten WAN entwickelt und bietet Unternehmen fünf wesentliche Vorteile gegenüber MPLS.

1. Geringere WAN-Kosten

MPLS-Bandbreite ist teuer, und die Bereitstellung einer neuen MPLS-Verbindung kann Wochen oder Monate dauern – beim SD-WAN hingegen nur Tage. Sowohl bei den Betriebskosten als auch bei den entgangenen Geschäftsmöglichkeiten ist MPLS einem SD-WAN unterlegen.

2. Höhere WAN-Leistung

MPLS leitet den Datenverkehr zwischen zwei statischen Standorten sehr effektiv weiter, aber durch die zunehmende Nutzung von Cloudservices ist dies für Unternehmen nicht mehr so wichtig. Dank des richtlinienbasierten Routings im SD-WAN kann der Datenverkehr optimal durch das Netzwerk geleitet werden, wobei die Anforderungen der zugrunde liegenden Anwendung berücksichtigt werden.

3. Höhere WAN-Flexibilität

SD-WAN sorgt zudem für ein wesentlich agileres Netzwerk als MPLS. Beim SD-WAN wird die Netzwerkschicht entkoppelt, sodass im gesamten WAN eine Vielzahl unterschiedlicher Übertragungsverfahren verwendet werden können.

4. Einfachere WAN-Verwaltung

Bei MPLS benötigt ein Unternehmen unter Umständen verschiedene eigenständige Appliances, um das WAN zu optimieren und zu sichern. Mit einem SD-WAN lassen sich diese Vorgänge zentralisieren, wodurch Unternehmen selbst wachsende Netzwerke entsprechend verwalten können.

5. Höhere WAN-Verfügbarkeit

Nicht zuletzt kann die Redundanz und Verfügbarkeit mit einem SD-WAN gegenüber MPLS erheblich verbessert werden. Bei MPLS kann das Hinzufügen redundanter Verbindungen teuer werden. Im Gegensatz dazu kann ein SD-WAN den Datenverkehr bei einem Ausfall über einen anderen Übertragungsweg weiterleiten.

SD-WAN im Vergleich zu MPLS: Vor- und Nachteile

Da es immer mehr globale Unternehmen gibt, steigt auch der Bedarf, geografisch verteilte LANs über ein WAN zu verbinden. Um wettbewerbsfähig zu bleiben, brauchen Unternehmen Zugang zu einem stabilen, leistungsstarken WAN, das zudem kostengünstig ist. Dabei gibt es drei Möglichkeiten: das öffentliche Internet, MPLS und Software-Defined WAN (SD-WAN).

Die erste Lösung für ein Unternehmen ist, den internen Datenverkehr über das öffentliche Internet zu leiten. Die beiden größten Vorteile dieses Ansatzes sind die schnelle Einrichtung und die verhältnismäßig geringen Kosten, da das Breitband-Internet in vielen Regionen zugänglich und in der Regel erschwinglich ist. Allerdings gehen diese Vorteile zu Lasten einer unzuverlässigen Leistung, schwankender Latenzzeiten und einer fehlenden ganzheitlichen Verwaltung.

MPLS wurde entwickelt, um hochleistungsfähige und zuverlässige Netzwerkverbindungen bereitzustellen, die durch SLAs abgedeckt werden, die bestimmte Latenzzeiten, zuverlässige Paketzustellungen und Verfügbarkeit garantieren. Diese Hochleistungsverbindungen sind jedoch teuer und ihre Einrichtung dauert äußerst lange (Wochen oder Monate). Darüber hinaus eignen sich MPLS-Verbindungen schlecht für Cloud Computing, da der Datenverkehr zu einem zentralen Zugangspunkt zurückgeleitet werden muss, bevor er an sein Ziel weitergeleitet wird.

Ein SD-WAN bietet das Beste aus beiden Bereichen, da es unabhängig von den Gegebenheiten der Netzwerkinfrastruktur arbeitet. Durch die Auswahl der optimalen Route aus verschiedenen öffentlichen Internetverbindungen und MPLS-Leitungen kann das SD-WAN für Ausgewogenheit zwischen Leistung und Kosten auf Anwendungsebene sorgen. Ein cloudbasiertes SD-WAN bietet weitere Vorteile, wie integrierte Sicherheitsfunktionen, Unterstützung für Benutzer von Mobil- und Cloudlösungen sowie kalkulierbare Latenzzeiten und Paketverluste.

SD-WAN im Vergleich zu VPN: Wie unterscheiden sie sich?

Für das WAN eines Unternehmens ist die Redundanz ein entscheidender Faktor. Netzwerkausfälle sind eine der Hauptursachen für Ausfallzeiten, weshalb redundante Netzwerkverbindungen benötigt werden, um diese zu minimieren. Ein Software-Defined WAN (SD-WAN) ist eine sinnvolle Alternative zu MPLS für das unternehmensweite WAN, doch Zuverlässigkeit und Redundanz können ein Problem darstellen. Bei sachgemäßer Implementierung kann eine SD-WAN-Lösung jedoch eine bessere Redundanz als MPLS bieten.

MPLS ist bekannt für seine Zuverlässigkeit auf der mittleren Meile. Dennoch ist eine vergleichbare Zuverlässigkeit bei Verbindungen auf der letzten Meile oft nicht zu erreichen. MPLS-Bandbreite ist teuer, sodass der Preis zum Sicherstellen von Redundanz auf der letzten Meile unverhältnismäßig hoch sein kann. Infolgedessen treten Ausfallzeiten häufig durch Ereignisse auf, die die Verbindung auf dieser letzten Meile unterbrechen. Für Redundanz auf der letzten Meile werden Dual-Homed-Verbindungen benötigt, die auf unterschiedliche Weise an verschiedene Provider weitergeleitet werden. MPLS bietet üblicherweise Aktiv-Passiv-Redundanz mit Failover basierend auf Routen- oder DNS-Konvergenz.

Durch die Abstraktion (Trennung) der Netzwerkschicht beim SD-WAN kann der Datenverkehr über unterschiedliche Verbindungen geleitet werden. Dadurch sind alle SD-WAN-Verbindungen jederzeit betriebsbereit und werden in Echtzeit auf Verfügbarkeit und Leistung überwacht. Dies verbessert nicht nur die Bandbreite und Zuverlässigkeit der WAN-Verbindungen, sondern erlaubt auch eine Aktiv-Aktiv-Redundanz. Bei dem Ausfall einer Übertragungsmethode können die Daten nahtlos über eine alternative Verbindung weitergeleitet werden. SD-WAN bietet daher nicht nur eine hohe Redundanz auf der mittleren Meile, sondern auch eine bessere Redundanz auf der letzten Meile als MPLS.

FAQ zu SD-WAN

  • Was ist ein SD-WAN?

    SD-WAN-Geräte (Software-Defined Wide Area Network) befinden sich an Unternehmensstandorten und bilden ein verschlüsseltes Overlay untereinander, wobei die zugrundeliegenden Übertragungsdienste über MPLS-, LTE- und Breitbandverbindungen genutzt werden.

  • Welche Vorteile bietet die SD-WAN-Technologie?

    Geringere Kosten für die Bandbreite: MPLS-Bandbreite ist teuer. Gemessen in Euro pro Bit ist MPLS deutlich teurer als die Nutzung der öffentlichen Internetbandbreite. Die genaue Höhe der Mehrkosten hängt von verschiedenen Faktoren ab, nicht zuletzt vom Standort. Die Kosten für MPLS entstehen jedoch nicht nur durch wesentlich höhere Bandbreitengebühren. Die Bereitstellung einer MPLS-Verbindung dauert oft Wochen oder Monate, während eine vergleichbare SD-WAN-Einrichtung oft innerhalb von Tagen abgeschlossen ist. In Unternehmen ist Zeit Geld, weshalb die Beseitigung des WAN als Engpass einen entscheidenden Wettbewerbsvorteil darstellen kann.
    Ein zuverlässiges Verbindungsnetz im unzuverlässigen Internet: Es besteht die Möglichkeit, Standorte mit mehreren Datendiensten zu verbinden, die in Aktiv-Aktiv-Konfigurationen betrieben werden. Sekundenschnelle Netzwerk-Failover sorgen dafür, dass Sitzungen bei Ausfällen ohne Unterbrechung der Anwendung auf neue Übertragungswege verlagert werden.
    Sichere Kommunikation: Verschlüsselte Verbindungen schützen den Datenverkehr während des Routings auf allen Übertragungswegen.
    Bedarfsorientierte Bandbreitennutzung: Die Bandbreite lässt sich jederzeit nach oben oder unten zu skalieren, um sicherzustellen, dass kritische Anwendungen die benötigte Bandbreite dann erhalten, wenn sie sie benötigen.
    Sofortige Standortaktivierung: Die Einrichtung einer neuen Niederlassung dauert nur wenige Minuten, statt Wochen und Monate wie bei MPLS. SD-WAN-Knoten werden automatisch konfiguriert und können 4G/LTE für eine sofortige Bereitstellung nutzen.

  • Welche wichtigen Trends sprechen für die Einführung einer SD-WAN-Lösung?

    Die meisten Netzwerke in Unternehmen basieren auf veralteten Carrierservices, wie einem verwalteten MPLS-Service. Diese Services sind sehr kostenintensiv, es dauert Wochen oder sogar Monate bis zur Inbetriebnahme und auf einfache Änderungen durch den Serviceprovider muss lange gewartet werden.
    Die SD-WAN-Technologie schafft hier Abhilfe, indem sie Flexibilität und Kosteneffizienz für IT-Netzwerke bietet. Das SD-WAN verbindet Standorte über mehrere Internetverbindungen und bündelt diese durch ein verschlüsseltes Overlay. Richtlinien, anwendungsorientiertes Routing und eine dynamische Bewertung der Verbindungen im Overlay erlauben die bestmögliche Nutzung der vorhandenen Internetverbindungen.
    Letztendlich liefert ein SD-WAN die erforderlichen Leistungs- und Verfügbarkeitseigenschaften, indem es das kostengünstige öffentliche Internet mit der vom Unternehmen geforderten Sicherheit und Zuverlässigkeit nutzt.

  • Wo liegen die Grenzen eines SD-WAN?

    Fehlendes globales Backbone-Netzwerk: SD-WAN-Appliances setzen auf der zugrundeliegenden Netzwerkinfrastruktur auf. Somit kann der Bedarf an einem leistungsfähigen und zuverlässigen Backbone-Netzwerk durch SD-WAN-Appliances allein nicht gedeckt werden.
    Fehlende erweiterte Sicherheitsfunktionen: SD-WAN-Appliances helfen bei der Bewältigung vieler gängiger Netzwerkaufgaben, erfüllen jedoch nicht die Sicherheitsanforderungen. Daher müssen Unternehmen oft einen Flickenteppich von Sicherheits- und Netzwerkappliances verschiedener Anbieter (wie CASBs) verwalten, um ihre Anforderungen zu erfüllen. Dies wiederum führt zu höheren Netzwerkkosten und mehr Komplexität, da jede Appliance von der internen IT-Abteilung oder einem MSP beschafft, bereitgestellt und verwaltet werden muss.
    Keine Unterstützung für mobile Mitarbeiter: SD-WAN-Appliances wurden ursprünglich für die Verbindung verschiedener Standorte konzipiert. Die sichere Einbindung mobiler Benutzer wird von SD-WAN-Appliances nicht unterstützt.