SD-WAN 是什麼？

軟體定義廣域網路（SD-WAN）是一種虛擬的 WAN 架構，使企業能夠安全且高效地將用戶連接到應用程式。這項技術解決方案為網路帶來無與倫比的靈活性與成本節省。透過 SD-WAN，企業能夠以更低成本、更短時間，提供反應更快速、表現更穩定的應用程式，相較於傳統所採用的託管式 MPLS 服務。IT 團隊能更加靈活，不但能在數分鐘內部署網點，還能運用各種可用的數據服務，如 MPLS、專線上網（DIA）、寬頻或無線，立即重新配置網點，並更輕鬆支援遷移至混合雲端環境。
SD-WAN 是透過以政策為基礎的虛擬覆蓋網路，將應用程式與底層網路服務分離來達成上述目標。該覆蓋網路會監控底層網路的即時效能，並根據設定的政策，為每個應用程式選擇最佳化的網路。

軟體定義 WAN（SD-WAN）旨在解決傳統 WAN 架構所面臨的多項挑戰。SD-WAN 將網路層的細節抽象化，使 WAN 能靈活交替使用各種連線類型，例如 LTE、MPLS 與寬頻網際網路。  這種抽象化可提升網路冗餘性、頻寬與效能，同時實現集中式管理與調度。

SD-WAN 的運作方式是建立一個由加密通道相互連接的 SD-WAN 裝置網路。WAN 上的每個網點都配有一個 SD-WAN 裝置，所有流量皆會通過該裝置。由於所有裝置都由中央統一管理，因此整個組織能一致地套用網路政策。當流量進入 SD-WAN 裝置時，該裝置會判斷應用程式流量的類型，並根據現有政策、各種網路連線的可用性與效能，將流量導向正確目的地。

傳統 SD-WAN 並非萬無一失。許多 SD-WAN 解決方案並未整合安全功能，因此每個分支機構都必須部署各自獨立的安全產品。SD-WAN 還需要在每個終端裝置部署 SD-WAN 裝置，這讓它難以甚至無法支援雲端與行動流量。此外，SD-WAN 通常仰賴公共網際網路，這可能導致可靠性問題。  然而，許多這些問題可透過安全存取服務邊緣（SASE）平台來解決。

現今人們的網路使用方式，以雲端應用與高度行動性為主。然而，WAN 設計於以連結實體地點為主的年代。以舊有方式支援新需求，會導致昂貴的全球連接成本、複雜的網路拓撲，及分散各地、難以維護與保護的「單點解決方案」。

不斷重複的修補、更新與升級流程既繁瑣又耗時，且需要具備專業技能的人才，而這類人才正日益稀缺。這尤其令人擔憂，因為這些複雜性正好成為駭客的攻擊目標，他們會利用設定錯誤、軟體漏洞與其他攻擊面發動攻擊。

傳統 WAN 無法勝任現今需求的原因有好幾項。MPLS，舊有方法的核心，不僅價格高昂，還需長時間才能部署至新地點。傳統 WAN 僅在安全網頁入口網站與網際網路連接，通常集中於資料中心。這導致了所謂的「長號效應」，也就是網頁資料在網路間來回傳輸的情況。結果是延遲增加，隨著網際網路流量成長，MPLS 連線資源也被迅速耗盡。將分公司直接連接到網際網路的方式，直接上網，不僅成本高昂，還可能讓基礎設備落後的分公司硬體超出負荷。WAN 的設計初衷是為了連結像辦公室與資料中心這類實體資產。 這種設計已不適用於如今多元且快速變化的世界。

SD-WAN 1.0：對頻寬的渴求

SD-WAN 發展的第一階段著重於解決可用性與最後一哩頻寬的問題。新增 MPLS 連線既昂貴又部署緩慢，而使用網際網路作為備援的方式，代表該備援僅在主連線中斷時才會啟用。透過連線綁定，SD-WAN 的前身技術能在連線層整合多種不同類型的連線，藉此提升最後一哩的頻寬表現。

SD-WAN 2.0：SD-WAN 新創公司的崛起

連線綁定的限制在於它僅能改善最後一哩的效能。若要提升整個 WAN 的效能，就必須在整條傳輸路徑上具備路由感知能力。早期的 SD-WAN 解決方案提供了虛擬化的容錯切換功能與應用程式感知路由機制。透過應用程式感知路由，SD-WAN 不再完全依賴 MPLS 連線，而是根據應用程式類型最佳化流量路由。

SD-WAN 3.0：拓展連接範圍

SD-WAN 發展的最新階段聚焦於突破僅限於分公司網路連線的限制。隨著企業將更多資源遷移至雲端，SD-WAN 提供了一種將這些雲端部署安全連接至企業 WAN 的解決方案。

軟體定義 WAN（SD-WAN）是為了取代傳統以 MPLS 為基礎的 WAN 而設計，與 MPLS 相比，它為企業帶來 5 大主要優點。

1.降低 WAN 成本

MPLS 頻寬價格高昂，且新增 MPLS 連線可能需時數週甚至數月，而使用 SD-WAN 僅需數天即可完成。無論是營運成本還是商機流失方面，MPLS 都遜於 SD-WAN。

2.WAN 效能提升

MPLS 在處理兩個固定位置間的流量傳輸時表現良好，但隨著雲端的成長，這樣的模式對企業來說越來越不適用。SD-WAN 採用政策導向的路由機制，可根據底層應用程式的需求，將流量最佳化地導引至適當路徑。

3.改善 WAN 靈活性

SD-WAN 所提供的網路靈活性遠勝於 MPLS。透過 SD-WAN，網路層被抽象化，讓企業能在整個 WAN 中使用多種不同的傳輸機制。

4.簡化的 WAN 管理

在 MPLS 環境下，企業可能需部署多種獨立裝置來處理 WAN 最佳化與安全性。而使用 SD-WAN 可將這些作業集中化，使企業能以擴充性方式管理日益成長的網路環境。

5.提升 WAN 可用性

最後，與 MPLS 相比，SD-WAN 能顯著提升備援能力與可用性。使用 MPLS 新增備援連線通常成本高昂。而 SD-WAN 則能在主連線中斷時，將流量重新導向至其他傳輸機制，確保不中斷。

隨著全球性企業日益普遍，透過 WAN 連接地理位置分散的區域網路變得極為重要。為了在競爭中取得優勢，企業需要具備穩定、高效且價格合理的 WAN 連線。目前有三種主要方案可供選擇：公共網際網路、MPLS 以及軟體定義 WAN（SD-WAN）。

企業的第一種選擇是將內部流量透過公共網際網路傳輸。此方法的兩大優勢是建置速度快與相對低廉的成本，因為寬頻網路普及且價格合理。然而，這些優勢的代價是效能不穩、延遲波動劇烈，且缺乏端對端的管理能力。

MPLS 的設計目的是提供高效能且穩定的網路連線，並透過 SLA 保障延遲、封包傳遞與可用性。然而，這些高效能連線不僅成本高，部署速度也極為緩慢（可能需時數週甚至數月）。MPLS 連線也不適合雲端運算，因為流量必須先回傳至中央節點，才能再送往目的地。

SD-WAN 透過抽象化網路基礎架構細節，兼顧效能與靈活性，提供雙重優勢。SD-WAN 可從多條公共網際網路連線與 MPLS 連線中選擇最佳化路徑，根據不同應用程式的需求，在效能與成本之間取得平衡。雲端型 SD-WAN 還具備整合式安全機制、支援行動與雲端用戶，以及可預測的延遲與封包遺失等附加優點。

MPLS 提供可靠的網路連線，其可用性、封包遺失與延遲皆有最高等級的 SLA 保證。然而，這項技術也存在重大限制。MPLS 所帶來的效益伴隨高昂費用，且新建 MPLS 線路部署時間動輒數週甚至數月，限制了企業連接分公司或因應頻寬需求成長的能力。

軟體定義 WAN（SD-WAN）是 MPLS 的替代方案，它透過多種傳輸方式連接 SD-WAN 裝置網路。藉由抽象化網路層並在可用連線上進行最佳化路由，SD-WAN 提供高效能、可靠且具彈性與經濟性的網路連接。

然而，SD-WAN 並非完美解決方案。由於它依賴不可預測的網際網路，因此仍可能需要 MPLS 連線，且 SD-WAN 本身通常缺乏內建安全功能。唯有採用基於 SASE 的 SD-WAN，才能克服上述問題，並無縫連接遠端用戶與雲端資源。

企業級 WAN 需具備冗餘機制，以降低網路中斷風險，因為這是導致停機的主要原因之一。軟體定義 WAN（SD-WAN）是首選的 MPLS 替代方案，但必須正確部署才能確保其可靠性與冗餘性。

MPLS 以高可靠性著稱，但若要實現備援，成本通常高得令人卻步。因此，MPLS 連線中斷時可能會導致系統停機。

SD-WAN 透過連線冗餘來達成服務等級協議（SLA）目標。它將網路層抽象化，並在可用的傳輸路徑中進行最佳化流量路由。透過即時可用性與效能監控，SD-WAN 可在連線故障時無縫切換至其他替代連線。因此，SD-WAN 是可行的 MPLS 替代方案。

以網際網路為基礎的 VPN 和以雲端為基礎的軟體定義 WAN（SD-WAN）是企業 WAN 的兩種選項，兩者在成本上遠低於 MPLS，且更具靈活性。在 SD-WAN vs VPN 的比較中，成本、效能、可靠性，以及設定與維護成本都是關鍵考量因素。

企業 WAN 的總成本主要來自硬體或軟體取得成本，以及部署、設定、維護與監控的相關支出。購置 SD-WAN 硬體雖需一定費用，但其後續的營運與維護成本相對較低。VPN 軟體可能便宜甚至免費，但維護一個基於 VPN 的 WAN 往往相當複雜。

VPN 的效能受限於其運作於公共網際網路上，對於長距離連線可能產生明顯延遲。相對而言，運行於私有骨幹網絡上的雲端型 SD-WAN 不受距離限制，仍能維持高效能表現。VPN 對公共網際網路的依賴也使其在可靠性上表現不佳，連線可能會無預警中斷。支援 SLA 且運作於一級私有連線上的雲端型 SD-WAN 在可靠性方面表現更出色。

最後，基於 VPN 的 WAN 需為每個點對點連線建立不同的加密通道，設定與維護成本極高。這些連線缺乏集中式可見度與監控功能，進一步加大了安全管理難度。雲端型 SD-WAN 可快速部署至任一網點，並具備集中管理能力，能大幅降低設定與維護成本。

SD-WAN 採用軟體定義網路（SDN）原則來連接各個地點。SDN 最初應用於資料中心，其目的是透過將資料層與控制層分離，提升網路效能與彈性。網路政策與路由智慧會運行於一個或多個伺服器（「控制器」）上，並負責指導網路設備進行封包轉送（交換器與路由器）。
SDN 在區域網路上建立了虛擬覆蓋層，為效率與靈活性帶來前所未有的可能性。SD-WAN 也在 WAN 上建構虛擬覆蓋層，同樣實現卓越的效率與靈活性提升。

MPLS 與以實體設備為基礎的軟體定義 WAN（SD-WAN）皆可為企業提供 WAN 所需的連線能力。然而，這些方案往往存在明顯的安全弱點。MPLS 並未加密其電路，而 MPLS 與實體設備型 SD-WAN 通常也缺乏內建安全功能。因此，許多使用這些系統的企業會在每個據點部署獨立的安全設備，以滿足資安防護需求。

但這種 WAN 安全方式十分複雜、難以擴充且成本高昂，因為每新增一個據點就需再部署一組安全設備。這些設備都需個別採購、設定、監控與管理，從而在其整個生命週期中產生成本負擔。此外，這種方式不適用於雲端與行動場景，因為安全設備無法部署在遠端位置。

雲端型 SD-WAN 為此問題提供了解決方案。透過在雲端部署服務節點（PoP），可實現全球覆蓋，讓用戶可透過 PoP 連線至 SD-WAN，並將延遲影響降至最低。這些 PoP 也能整合安全功能，無需在每個據點部署獨立設備，並可於整個企業 WAN 中實現集中式的網路與安全可見度。網路與安全的整合也能提升效能，因為網路設備與安全設備可彼此最佳化協同運作。

SD-WAN 帶來許多優勢，但同時也伴隨一些挑戰。例如，將 SD-WAN 部署至雲端需在每個雲端實例中安裝虛擬設備，而且 SD-WAN 並不支援行動用戶。

SD-WAN 在保護分公司據點方面也帶來一些挑戰。具備公共網際網路存取能力的分公司面臨各種威脅風險，為了防範這些威脅，企業需投入大量成本在購置、防火牆與 UTM 的規模規劃、維護與擴充上，並與 SD-WAN 並行部署。若安全與網路功能使用分離方案，除錯將更加困難，因為需分別操作網路與安全平台。

作為 SASE 架構的一部分，SD-WAN 藉由在 SASE 供應商的雲端原生 PoP 上整合安全與網路功能，有效解決上述問題。這些 PoP 透過專屬的全球私有骨幹網絡相互連接，相較於公共網際網路提供更優異的網路效能。

此方法透過建立「輕量邊緣」，大幅減輕分公司在同時執行網路與安全架構上的負擔。這些 SASE SD-WAN 裝置主要將流量導向 SASE 雲端，即便在高流量或啟用多項功能的情況下，也能以線速進行安全檢查。

部分 SD-WAN 供應商會為客戶提供 SD-WAN 部署的託管服務。基於 SASE 的 SD-WAN 通常提供多種管理模式：自主管理、共同管理，以及全託管服務。用戶應根據自身需求選擇最合適的方案，並保留未來在不同管理選項間彈性轉換的能力。

連接至分公司的 WAN 需具備安全、穩定、價格合理，並提供企業級網路效能。現有許多 WAN 方案皆存在一定問題。

透過公共網際網路傳輸流量的 IP-VPN 是企業常見的 WAN 解決方案。然而，此類方案設定繁瑣，對遠端用戶支援有限甚至缺乏，且無法滿足企業對網路效能與可靠性的需求。

相較於 IP-VPN，MPLS 雖具備更高可靠性與簡易性，但成本昂貴且部署時間較長。MPLS 同時缺乏雲端與遠端工作支援，且沒有內建安全性。

基於 SASE 的 SD-WAN 是更優異的分公司網路連線解決方案。以雲端為基礎的服務節點（PoP）透過專屬的一級網路連線相互連接，提供具備 SLA 保證的高效能、可靠且經濟實惠的網路連線。這些 PoP 可從任意位置存取，並整合完整的安全架構。

SD-WAN 即服務擴展了傳統 SD-WAN 的核心能力。它將 WAN 邊緣、全球骨幹網路及完整的網路安全堆疊整合為單一雲端原生平台。這被稱為 SASE（或稱安全存取服務邊緣），專為最佳化連接並保護所有企業資源而打造，涵蓋實體據點、雲端資料中心及行動工作者。透過將 SD-WAN 整合進 SASE，企業能夠逐步推動 WAN 轉型，滿足完整的 WAN 轉型需求，無需部署多個單點解決方案。

為了降低停機與中斷時間，需具備端對端的可靠性與冗餘機制。雖然 MPLS 以穩定著稱，但其連線成本高昂，導致備援機制難以負擔。

這些限制促使企業尋求替代方案，如使用網際網路備援連線與連線綁定技術。然而，主動-被動備援架構會造成故障切換速度緩慢與連線中斷問題。連線綁定透過整合多條網際網路連線，有助於解決上述問題。

剩下的關鍵挑戰是全球連線能力，單靠 SD-WAN 難以解決，因其無法掌控州際、跨國或洲際間的路由，而 MPLS 則因成本過高難以擴充。

最佳解法是採用結合全球私有骨幹網絡的 SASE 架構 SD-WAN，能透過多條在地網際網路連線，穩定連接分公司至最近的 SASE PoP，並藉由全球私有骨幹實現高速、具備冗餘且穩定的全球連線能力。