Una WAN è l'hub centrale per l'aggregazione dei dati provenienti da più fonti, come più reti locali (LAN). Una LAN è un insieme di dispositivi collegati in un unico luogo fisico, come un ufficio, un ospedale, una fabbrica o una casa. Una singola sede può anche gestire più LAN. Quando una rete si estende su più LAN, la rete diventa una WAN. Un collegamento WAN è il circuito che unisce due o più LAN. In una WAN tradizionale, i router collegano più LAN, consentendo loro di comunicare tra loro e con l'hub centrale, solitamente la sede centrale di un'azienda o un centro dati. Una WAN tradizionale è incentrata sui router.
Le WAN tradizionali utilizzano linee pubbliche e affittate, di solito con commutazione di etichette multiprotocollo (MPLS) privata come tecnologia di connettività primaria e protocollo Internet (IPS) pubblico come metodo di connettività secondario, a seconda delle esigenze dell'azienda. Pur essendo affidabile e sicuro, l'MPLS è costoso e complesso da gestire. Pur essendo ampiamente disponibile ed economico, l'IPS può essere poco sicuro per le aziende e soggetto a problemi di latenza sulle reti Internet congestionate. Le LAN e le WAN di medie dimensioni sono solitamente di proprietà e gestite da un'organizzazione. Le WAN di grandi dimensioni sono spesso di proprietà e gestite da un fornitore di servizi; le aziende possono utilizzare i servizi di rete di un fornitore a tariffe maggiorate.
Le WAN tradizionali non sono state originariamente progettate per comunicare con i moderni servizi cloud e con una miriade di nuovi tipi di dispositivi connessi nell'Internet delle cose (IoT), come gli indossabili personali, e nell'Internet industriale delle cose (IIoT), come i sensori remoti. Le WAN tradizionali non sono in grado di supportare in modo efficiente le attuali richieste di crescenti quantità di larghezza di banda che i servizi cloud e i mondi intelligenti richiedono.
Uno dei principali svantaggi delle WAN tradizionali è che richiedono il backhaul del traffico dagli endpoint ai margini della rete a un hub centrale, con conseguenti ritardi nei tempi di risposta e scarse prestazioni della rete.
Poiché la configurazione nell'architettura WAN tradizionale è distribuita (ospitata localmente su singoli router fisici), le modifiche e le nuove implementazioni richiedono molto tempo e di solito devono essere eseguite manualmente su base individuale da ingegneri IT in loco.
SD-WAN è l'acronimo di software-defined wide area networking o, nel contesto, network. Sebbene una SD-WAN possa funzionare come una WAN indipendente, nel mondo reale opera come un quadro per l'implementazione e la gestione di diversi tipi di architetture WAN e tecnologie di rete. Lo scopo principale della SD-WAN è quello di rendere la gestione della rete più semplice ed efficiente e di migliorare l'esperienza online degli utenti.
SD-WAN è stata sviluppata per risolvere alcuni limiti delle WAN tradizionali e per aumentare la visibilità della rete, in modo da offrire agli amministratori IT un maggiore controllo sugli endpoint, ridurre i costi dei circuiti, consentire connessioni tra siti geograficamente remoti, ridurre la dipendenza dall'hardware ed eliminare il lock-in alle soluzioni dei service provider.
L'elemento principale che differenzia la SD-WAN dalle altre WAN, e che è alla base di tutte le tecnologie di software-defined networking (SDN), è un overlay di rete virtualizzato che si colloca sopra la rete fisica. L'overlay virtuale consente agli amministratori di configurare, monitorare, ottimizzare e proteggere l'intera rete da remoto tramite un controller software centralizzato, solitamente situato nella sede centrale di un'azienda. Un controller SD-WAN, come suggerisce il nome, controlla tutti i componenti della rete. Di solito, il controller SD-WAN è supportato da un livello di orchestrazione SD-WAN, che consente una gestione granulare della rete, concentrandosi in particolare sulla fornitura di servizi di applicazione per i clienti esterni.
L'overlay SD-WAN semplifica e automatizza l'implementazione di policy su dispositivi e applicazioni distribuiti geograficamente. Le policy SD-WAN specificano il comportamento degli endpoint, i requisiti di sicurezza e le priorità del traffico.
L'overlay SD-WAN separa i piani di controllo e di dati, consentendo l'agnosticismo del trasporto, che permette una prioritizzazione intelligente del traffico, un instradamento incentrato sulle applicazioni e un facile accesso ai servizi cloud a richiesta. L'overlay SD-WAN consente di utilizzare qualsiasi combinazione di metodi di connettività nuovi o esistenti, come MPLS, VPN, IPS, 4G LTE, cavi fisici e circuiti di vettori terzi. È importante notare che l'overlay SD-WAN facilita la selezione del tipo di connessione migliore per un'applicazione.
Una lista di controllo delle caratteristiche distintive della SD-WAN include le seguenti caratteristiche:
Prima della diffusione di SD-WAN nei primi anni 2000, le WAN aziendali operavano su linee affittate da fornitori di servizi indipendenti per comunicare tra le sedi centrali, i data center centralizzati e i siti remoti, genericamente chiamati filiali. Il termine filiali comprendeva uffici satellite, magazzini, fornitori, negozi al dettaglio, clienti e dipendenti che lavoravano da casa o erano in viaggio per lavoro. L'idea di SD-WAN è nata, in parte, come un modo per le aziende di rompere con i blocchi proprietari delle soluzioni WAN.
Un altro motivo per lo sviluppo della SD-WAN è stato il risultato delle nuove opportunità di business offerte dall'IoT e dall'IIoT. Con la crescente adozione della trasformazione digitale e dell'AI (intelligenza artificiale), le reti dovevano connettersi non solo con le filiali WAN tradizionali, ma anche con un numero crescente di nuovi tipi di dispositivi connessi. Per descrivere gli endpoint di rete, i termini più pertinenti di appliance e dispositivi edge hanno sostituito il termine filiali. Gli endpoint SD-WAN includono connessioni a sensori ambientali, indossabili personali e dispositivi intelligenti nell'industria, nella sanità, nella finanza, nei sistemi mission-critical, nell'IoT commerciale, nell'IoT dei consumatori, nei luoghi di lavoro e nelle città e costruzioni intelligenti.
L'uso dell'edge computing nella SD-WAN fornisce una soluzione per mitigare i colli di bottiglia che si creano quando grandi volumi di dati nelle WAN tradizionali vengono ritrasmessi tra gli endpoint e i centri dati per l'elaborazione. Gli endpoint abilitati al software nell'edge computing sono progettati per elaborare autonomamente i dati alla fonte, gestire la sicurezza dei dispositivi e dei dati e prendere decisioni su come, dove, cosa e verso dove i dati vengono instradati. L'edge computing consente agli endpoint di essere gestiti in remoto dal controller SD-WAN centralizzato quando necessario.
Le reti WAN tradizionali si basavano principalmente su connessioni fisse, che non erano in grado di soddisfare le richieste degli utenti di experience networking, una connessione persistente ed economica a una miriade di applicazioni ricche di media che utilizzavano tecnologie IPS e servizi cloud. L'SD-WAN, incentrato sulle applicazioni e indipendente dai trasporti, affronta questo problema. Per migliorare l'esperienza dell'utente, SD-WAN implementa l'instradamento intelligente del traffico, la selezione dinamica del percorso per i dati, molteplici opzioni di connettività e funzioni di rete virtuali (VNF) che riducono la dipendenza dall'hardware e consentono l'elaborazione indipendente degli endpoint.
SD-WAN offre una migliore esperienza di rete agli utenti, riduce i costi IT per gli abbonati SD-WAN, offre nuove opportunità di business per i fornitori SD-WAN, automatizza le funzioni di amministrazione dell'edge e consente alle aziende di accedere in modo sicuro ai servizi cloud e di espandere la propria offerta di servizi.
Gli avvisi personalizzati e la visualizzazione dei dati consentono di identificare e prevenire rapidamente i problemi di salute e di prestazioni della rete.
Le SD-WAN sono ideali per le organizzazioni che si connettono con più endpoint distribuiti su un'ampia area geografica, che elaborano grandi volumi di dati non strutturati e che utilizzano costantemente servizi cloud. Per un'azienda piccola e localizzata, una SD-WAN potrebbe essere inutile e costosa da mantenere.
Esempi di applicazioni in cui le SD-WAN possono essere utilizzate sono le aziende con più negozi al dettaglio remoti, i servizi metro Ethernet che forniscono connettività multipoint su una rete metropolitana (MAN), l'accesso remoto per i dipendenti che lavorano fuori sede e le implementazioni IIoT in cui il traffico di big data fluisce tra un gran numero di sensori e laghi di dati cloud, ad esempio in applicazioni per ambienti intelligenti.
I componenti principali di SD-WAN sono distribuiti su tre livelli: il livello di applicazione, il livello di trasporto e il livello di infrastruttura.
A differenza delle WAN incentrate sui router, nelle SD-WAN incentrate sulle applicazioni il piano di controllo e quello dei dati (chiamato anche forwarding) sono separati. Questa caratteristica è tipica dell'architettura di rete astratta.
I termini piano di controllo e piano dati sono utilizzati nella terminologia di rete per descrivere il modo in cui il traffico, tipicamente i pacchetti di dati, viaggia tra i dispositivi. Il piano di controllo di una rete controlla come, quando e quali dati vengono inoltrati e verso dove. La funzionalità del piano di controllo è controllata dal software. Il piano dati di una rete è responsabile dell'inoltro fisico dei dati. La funzionalità del piano dati è tradizionalmente controllata dall'hardware. In SD-WAN, il piano dati può essere controllato via software grazie alla natura software-enabled delle appliance edge e all'uso delle VNF.
In SDN, la separazione dei piani di controllo e dei dati consente agli amministratori di gestire il traffico in remoto invece di configurare fisicamente i dispositivi e gestirli in loco. La separazione dei piani di controllo e dei dati consente di automatizzare molte attività amministrative, come l'implementazione dei dispositivi con lo zero-touch provisioning (ZTP). Grazie alla separazione dei piani di controllo e dati in SDN, gli endpoint edge sono in grado di autogestire molte funzioni.
L'overlay virtualizzato SD-WAN consente di utilizzare diverse opzioni di connessione. In SD-WAN, l'hardware fisico e il livello di trasporto della rete sono trasparenti all'applicazione di controllo centralizzata che costituisce l'hub di una SD-WAN. L'agnosticismo della connettività consente alle organizzazioni di creare SD-WAN ibride compatibili con l'infrastruttura esistente, invece di dover costruire nuove reti da zero.
Uno dei principali fattori che hanno portato allo sviluppo della SD-WAN è stata la crescente necessità di poter assegnare priorità a diverse applicazioni, ad esempio la bassa latenza è fondamentale per le riunioni interattive e lo streaming video, nonché per i sensori di basso livello nei mondi intelligenti.
In SD-WAN, l'instradamento intelligente e la selezione dinamica dei percorsi consentono di instradare le applicazioni business-critical sulla connessione disponibile più adatta in base alle policy. I criteri SD-WAN consentono agli amministratori di distribuire, tramite il controller centrale SD-WAN, criteri (profili) determinati dall'azienda a qualsiasi endpoint, specificandone la priorità nella rete.
Le politiche SD-WAN consentono una gestione elastica del traffico. Questa capacità è di solito il significato della parola intelligenza nel termine SD-WAN ed è il motivo per cui le SD-WAN sono chiamate WAN incentrate sulle applicazioni. Gli endpoint di una SD-WAN restituiscono costantemente metriche di latenza e di perdita, che vengono utilizzate per riallineare automaticamente o manualmente le policy, se necessario.
In genere, i criteri di una SD-WAN si basano sugli SLA (Service Level Agreement) concordati dall'azienda e dai suoi clienti. Gli SLA sono applicabili ai dispositivi fisici e alle applicazioni software. In un ambiente commerciale, alcuni degli aspetti che possono essere coperti da uno SLA includono le modalità di monitoraggio del traffico, la gestione del failover e della sicurezza, il livello di tempo di attività previsto e la consegna tempestiva del traffico. Le policy di una SD-WAN vengono implementate anche per garantire la conformità alle varie normative di settore e di sicurezza.
Una volta definite le policy, queste vengono inviate ai singoli endpoint SD-WAN. Il controller centrale SD-WAN monitora le prestazioni dei dispositivi e delle applicazioni e migra automaticamente il traffico in base agli SLA associati. Quando una politica viene modificata, ad esempio l'implementazione di una nuova politica QoS o operativa, può essere distribuita quasi immediatamente. Gli amministratori IT possono scegliere di distribuire manualmente o automaticamente i singoli tipi di modifiche ai criteri.
La SD-WAN offre agli amministratori di rete una profonda visibilità sul comportamento delle applicazioni e dei dispositivi all'interno della rete.
Il primo utilizzo della funzionalità di visibilità SD-WAN è prima dell'implementazione di una SD-WAN, al fine di creare una linea di base per le prestazioni della rete. La visibilità fornisce metriche in tempo reale, basate sulle sessioni, in modo che gli amministratori possano stabilire i requisiti futuri di prestazioni e accesso per le applicazioni in base ai loro SLA.
Dopo l'implementazione di una SD-WAN, la visibilità fornisce informazioni sulle prestazioni in tempo reale delle applicazioni e del traffico nella rete, ad esempio la larghezza di banda e le risorse utilizzate e l'affidabilità o meno delle fonti di traffico. La visibilità è fondamentale per gli amministratori, che devono essere in grado di monitorare costantemente la rete e identificare le eccezioni alle policy o le prestazioni degradate delle applicazioni.
In SD-WAN, l'edge si riferisce a tutti i dispositivi di rete e di sicurezza che collegano sedi distribuite e alle applicazioni e ai servizi forniti dai data center e dal cloud. L'edge SD-WAN svolge funzioni di sicurezza e ottimizzazione ai margini della rete. Le attività di ottimizzazione della WAN includono la compressione dei dati, la deduplicazione dei dati, la cache dei dati, la riduzione della latenza, l'accelerazione dei protocolli e la QoS QoS in modo che le applicazioni a bassa priorità consumino meno larghezza di banda. L'edge computing consente di eseguire localmente l'elaborazione ad alta intensità di risorse, migliorando i tempi di risposta e risparmiando larghezza di banda.
In SD-WAN, le edge appliance - di solito apparecchiature specializzate fornite dai fornitori o apparecchiature esistenti presso i clienti (CPE) e CPE virtuali, basate su VNF - sono piattaforme di elaborazione con capacità incorporate di costruire overlay virtuali per la connessione ad altri componenti della rete.
Le appliance edge sono utilizzate per elaborare e analizzare i dati in tempo reale prima di intraprendere azioni appropriate. Ad esempio, in una rete CCTV in cui le telecamere di videosorveglianza monitorano il traffico dei veicoli, un'appliance edge potrebbe identificare l'avvenuto incidente e allertare i servizi di emergenza, inoltrando solo le informazioni rilevanti sull'incidente.
Le VNF sono funzioni di rete che tradizionalmente venivano eseguite su dispositivi hardware proprietari, ma che nelle SD-WAN vengono eseguite come software. Esempi di VNF sono firewall, bilanciamento del carico, servizi di traduzione degli indirizzi di rete (NATS), servizi di monitoraggio e notifica e router virtuali. Il comportamento delle VNF ai bordi della rete può essere programmato in remoto attraverso il controller centralizzato di una SD-WAN.
L'orchestratore SD-WAN si trova sopra il controller centralizzato SD-WAN. L'orchestratore SD-WAN fornisce ulteriori funzionalità di gestione per il ciclo di vita del servizio SD-WAN e per i componenti virtualizzati che utilizza.
L'orchestrazione SD-WAN aiuta le aziende a gestire un tipico ecosistema SD-WAN multi-vendor, a nascondere parte della complessità insita nelle soluzioni SD-WAN bare-bones, a supportare la concatenazione dei servizi e a integrarsi con i sistemi operativi di back-office.
Sebbene la funzionalità e l'uso della terminologia siano piuttosto confusi, un controller SD-WAN si concentra sul controllo, mentre un orchestratore SD-WAN si concentra sulla gestione. Secondo questa definizione, il controller SD-WAN è responsabile dell'avvio di azioni nei piani di controllo e dati a basso livello, mentre l'orchestratore SD-WAN è responsabile della gestione dei piani di controllo e dati a un livello superiore.
Le funzioni dell'orchestratore SD WAN comprendono l'accounting, la gestione degli errori, la gestione delle prestazioni e la configurazione. L'obiettivo principale dell'orchestrazione SD-WAN è quello di facilitare il provisioning dei servizi per i clienti, richiesti dagli utenti attraverso un portale web esterno, e di monitorare e allocare le risorse necessarie per garantire l'adempimento delle applicazioni in linea con gli SLA associati.
Notifiche in tempo reale significano una risoluzione più rapida dei problemi, in modo da poter intervenire prima che si verifichino problemi più gravi.
Esistono due tipi di SD-WAN. Le SD-WAN overlay creano reti virtuali sopra le reti fisiche. Le SD-WAN senza tunnel utilizzano un routing intelligente basato sulla sessione per il traffico di rete, eliminando la necessità di tunnel.
Le SD-WAN overlay funzionano come reti virtuali in cima alle reti fisiche esistenti. Per creare queste reti virtuali si utilizzano soluzioni di tunneling. Il tunneling supporta l'incapsulamento dei pacchetti, che è un modo per trasportare i dati attraverso una rete che utilizza protocolli non supportati dalla rete stessa. Il tunneling consente anche la segmentazione del traffico per una migliore sicurezza e un'allocazione più efficiente della larghezza di banda.
Tuttavia, il tunneling nelle SD-WAN può causare uno spreco di larghezza di banda quando un gran numero di piccoli pacchetti di dati viene inviato sulle reti, perché i tunnel non possono regolare in modo efficiente l'uso della larghezza di banda in base alle dimensioni dei pacchetti. Inoltre, i router possono supportare solo un numero finito di tunnel. Il tunnelling può causare latenza e perdita di pacchetti.
L'alternativa alle SD-WAN overlay è rappresentata dalle SD-WAN senza tunnel che, pur utilizzando un overlay virtualizzato, adottano un metodo di routing diverso.
Le SD-WAN senza tunnel utilizzano un metodo di instradamento dinamico basato sulla sessione, chiamato secure vector routing (SVR).
Le SD-WAN overlay inoltrano i dati in pacchetti, mentre le SD-WAN senza tunnel li inoltrano utilizzando sessioni. SVR crea sessioni uniche per ogni tenant della rete, ciascuna con il proprio NAT e senza l'overhead dei tunnel che trasportano i pacchetti. Una SD-WAN senza tunnel può ospitare migliaia di sessioni.
Esistono tre tipi di implementazioni SD-WAN: solo on-premise, cloud-enabled e cloud-enabled con backbone.
Le implementazioni solo on-premise sono progettate per le aziende che utilizzano principalmente applicazioni interne e hanno requisiti minimi per i servizi cloud. L'hardware SD-WAN plug-and-play - chiamato "box" SD-WAN - è gestito nelle filiali dagli operatori di rete delle filiali. Le aziende piccole e localizzate utilizzano implementazioni SD-WAN solo on-premise.
Le implementazioni abilitate al cloud utilizzano un box SD-WAN collegato tramite un gateway virtuale ai servizi cloud più diffusi, come Dropbox, Amazon Web Services (AWS), Office 365 o SalesForce. La maggior parte delle medie imprese utilizza implementazioni cloud-enabled.
Le connessioni cloud-enabled con backbone combinano la connettività Internet e le connessioni private dei punti di presenza (PoP). I PoP sono i punti di accesso fisici in cui due o più reti o componenti edge condividono una connessione. I PoP ospitano server, router e altre apparecchiature fisiche di interfaccia e di solito si trovano nei data center dei fornitori SD-WAN. Più PoP si combinano per creare punti di scambio Internet (IXP). Gli IXP sono aree geografiche fisiche che gli ISP e i CDN accettano di condividere per trasportare il traffico al di fuori delle proprie reti. Internet è un esempio di connessione cloud-enabled con backbone.
Non tutte le soluzioni SD-WAN includono uno stack di sicurezza completo. Quando l'SD-WAN viene distribuito sulla banda larga pubblica, le reti possono essere esposte a rischi di sicurezza aggiuntivi. Con le soluzioni SD-WAN di base, gli amministratori potrebbero dover integrare misure di sicurezza aggiuntive, come sistemi di rilevamento delle intrusioni (IDS), VPN basate su IPsec, firewall di nuova generazione (NGFW), software di sicurezza per gateway ed edge e applicare la segmentazione alle politiche di applicazione. Quando le soluzioni SD-WAN includono la sicurezza del fornitore, vengono commercializzate come SD-WAN sicure.
Internet Protocol Security (IPsec) è un protocollo di rete che autentica e cripta i dati su una rete IP. Gli NGFW combinano le tradizionali funzionalità di firewall con capacità di filtraggio dei dispositivi, deep packet inspection, rilevamento e prevenzione delle intrusioni e anti-malware.
I dispositivi edge SD-WAN sono collegati ad altri componenti di rete tramite tunnel crittografati. La sicurezza, come la scansione dei dati, avviene quindi ai margini della rete invece di essere instradata attraverso un data center, con un potenziale degrado delle prestazioni.
La segmentazione SD-WAN offre ulteriore sicurezza. Per garantire la sicurezza e la conformità dei dati di rete, il traffico proveniente da organizzazioni diverse deve essere isolato. Gli amministratori IT possono isolare il traffico definendo dei segmenti. I segmenti di rete possono essere visti come sottoreti logiche, tipicamente classificate per tipo di dati, organizzazione o posizione. In SD-WAN, gli amministratori possono implementare criteri di sicurezza contestuali per sottoreti specifiche. Il software centralizzato SD-WAN consente agli amministratori di consolidare i segmenti di rete e di distribuire le applicazioni dall'hub centrale SD-WAN, garantendo la continuità aziendale.
L'SDN è un'architettura di rete che permette alle reti di essere controllate centralmente da applicazioni software invece di affidarsi a controlli fisici sui dispositivi, ad esempio gli switch. Il modello SDN è stato originariamente progettato per migliorare l'efficienza operativa. come concetto definisce il modo in cui l'intera rete di un'organizzazione può essere gestita centralmente. SD-WAN è un'implementazione di SDN.
Tutti i prodotti e le tecnologie SDN forniscono un controllo software centralizzato, un inoltro dei dati distribuito, un instradamento del traffico guidato dalle applicazioni e una separazione dei piani di controllo e di dati.
La differenza principale tra SD-WAN e SDN è che i prodotti SDN di solito si concentrano sulle funzionalità di rete, per lo più a livello di LAN. Le SD-WAN si concentrano sulle funzionalità di rete a livello di WAN, soprattutto tra siti geograficamente distanti.
Le SD-WAN sono pubblicizzate come un'alternativa economica alle reti private MPLS. Poiché l'MPLS è solitamente esternalizzato a fornitori di servizi indipendenti, è affidabile ma può essere costoso.
MPLS non è un servizio. Si tratta di una tecnica di instradamento che dirige il traffico da un nodo all'altro della rete in base a brevi etichette di percorso invece che a lunghi indirizzi di rete e tabelle di instradamento. MPLS viene utilizzato per accelerare il flusso di traffico in una rete e per garantire la consegna affidabile dei pacchetti di dati.
Tuttavia, l'affidabilità di MPLS ha il costo di un elevato utilizzo della larghezza di banda rispetto a SD-WAN e le soluzioni MPLS sono geograficamente limitate alle località in cui sono disponibili circuiti MPLS dedicati.
In SD-WAN, i criteri applicati ai dispositivi WAN consentono un instradamento automatico e intelligente gestito dal controller centralizzato. Con MPLS, i percorsi di rete sono predeterminati e il traffico cloud deve passare attraverso un data center o una sede centrale.
Nel mondo reale, SD-WAN e MPLS forniscono solitamente una soluzione di rete ibrida. SD-WAN consente alle organizzazioni di continuare a utilizzare i circuiti MPLS, aggiungere connessioni alternative meno costose, come IPS, e incorporare la sicurezza VPN.
Le SD-WAN forniscono un'ampia gamma di funzionalità di rete attraverso molteplici tipi di connessione, mentre le VPN sono progettate specificamente per proteggere e crittografare le connessioni tra due endpoint.
Le VPN non includono funzioni SD-WAN come QoS, selezione dinamica del percorso e routing consapevole delle applicazioni, quindi la latenza può essere un problema tra endpoint geograficamente diversi.
Il Secure Access Service Edge (SASE) è un'architettura di rete fornita dai broker di sicurezza cloud che combina funzionalità SD-WAN e sicurezza come servizio cloud per i clienti aziendali.
Le soluzioni SASE incorporano funzionalità SD-WAN e funzionalità di sicurezza integrate, tra cui l'accesso alla rete a fiducia zero. SASE fornisce strumenti di sicurezza cloud-native come servizio direttamente all'origine della connessione, l'edge, invece che al data center aziendale.
La SD-WAN è indipendente dall'hardware e dalla connettività e consente alle aziende di utilizzare e combinare diversi tipi di opzioni e dispositivi di trasporto, migliorando l'agilità della WAN, ottenendo vantaggi in termini di costi e garantendo l'affidabilità della rete.
Le SD-WAN non sostituiscono altri tipi di tecnologie e tecniche WAN come l'MPLS. Le SD-WAN introducono una maggiore flessibilità nelle reti aziendali esistenti e fungono da struttura per la loro gestione, consentendo "il meglio di tutti i mondi"
Le politiche SD-WAN consentono di automatizzare molte attività amministrative di rete. Le SD-WAN offrono lo zero-touch provisioning (ZTP), ovvero la configurazione automatica dei dispositivi hardware quando vengono aggiunti a una rete.
L'architettura SD-WAN permette ai reparti IT di avere una visibilità completa sull'intera rete da una posizione centrale, consentendo una gestione più efficiente della sicurezza, un monitoraggio pervasivo su tutti i dispositivi e una distribuzione più rapida delle modifiche o delle nuove filiali.
Il failover delle WAN tradizionali dipende dallo stato di un collegamento, con conseguente dipendenza dai protocolli di routing. Con le SD-WAN, il monitoraggio in tempo reale dello stato assicura che tutti i servizi possano essere commutati su un altro vettore quando necessario, indipendentemente dallo stato del collegamento.
Le nuove filiali SD-WAN si configurano facilmente. L'hardware SD-WAN viene solitamente spedito al sito, collegato e quindi configurato in remoto tramite la console di gestione centralizzata del controller.
Le WAN tradizionali non sono in grado di far fronte alla crescente richiesta di accedere ai dati ovunque piuttosto che da centri dati predeterminati. Le SD-WAN supportano le moderne applicazioni aziendali ospitate ovunque, ad esempio in cloud pubblici e privati, presso le sedi delle organizzazioni e con servizi SaaS.
Oggi molte persone lavorano da remoto e alcune aziende impiegano lavoratori remoti in tutto il mondo. I lavoratori remoti hanno bisogno di connessioni veloci a banda larga per accedere alle applicazioni ospitate nei cloud e nei data center. Le SD-WAN permettono alle aziende di sfruttare la tecnologia edge per connettere uffici satellitari geograficamente dispersi e dipendenti che lavorano da casa direttamente alla sede centrale dell'azienda, agli endpoint edge e ai servizi cloud.
Poiché il controllo in una SD-WAN è centralizzato, è necessario impiegare meno professionisti di rete qualificati presso le filiali di un'organizzazione.
Il portale di gestione del controller in una SD-WAN identifica i flussi di traffico per tutte le applicazioni e fornisce le metriche delle prestazioni per l'intera rete in una posizione centralizzata per assicurare il rispetto delle garanzie SLA.
La SD-WAN supporta criteri di priorità e sicurezza guidati dall'azienda, dall'utente e dalle applicazioni.
Il tunneling nelle SD-WAN overlay può causare uno spreco di larghezza di banda quando vengono inviati piccoli pacchetti di dati sulle reti, perché i tunnel non possono regolare in modo efficiente l'uso della larghezza di banda in base alle dimensioni dei pacchetti. L'alternativa sono le SD-WAN senza tunnel.
Lo split tunneling consente agli amministratori di suddividere il traffico tra una rete pubblica che impiega un firewall e una rete locale che non lo impiega, risparmiando i costi di throughput del firewall. Tuttavia, il monitoraggio centralizzato non è sempre in grado di rilevare i problemi di prestazioni delle applicazioni nei siti remoti quando la SD-WAN ha implementato lo split tunneling.
Poiché i piani dati e di controllo nelle SD-WAN sono separati, è inevitabile un ritardo nella trasmissione dei dati da un router al controller centralizzato. In uno scenario in cui gli eventi del piano di controllo sono numerosi, questo potrebbe aumentare la latenza.
Due funzionalità che mancano alle soluzioni SD-WAN di base sono un sistema di gestione integrato e una sicurezza robusta e integrata. Ciò significa che le aziende possono dover aggiungere livelli di sicurezza e di orchestrazione alle loro SD-WAN che, pur fornendo le funzionalità aggiuntive necessarie, aggiungono complessità.
A causa della complessità delle SD-WAN e del numero di componenti interconnessi - ad esempio i numerosi dispositivi, le LAN, i circuiti WAN e i collegamenti nelle sedi remote - la risoluzione dei problemi delle connessioni lente può essere difficile.
Affidandosi alle metriche delle prestazioni senza testare concretamente le applicazioni, gli amministratori SD-WAN possono non essere consapevoli dell'esperienza reale dell'utente finale.
La SD-WAN non risolve i problemi di prestazioni del percorso intermedio di Internet. Quando i dati escono da una SD-WAN, i fornitori di dorsali Internet consentono di trasportarli su lunghe distanze, chiamate middle mile, tramite il peering con altri vettori di rete. Ad esempio, Internet si basa sull'uso di più backbone globali che trasportano i dati in tutto il mondo. Se la dorsale di un carrier non soddisfa le esigenze di larghezza di banda della sua rete, può creare un collo di bottiglia. Le prestazioni delle SD-WAN basate su dispositivi non sono solitamente supportate da SLA dei carrier, il che rende praticamente impossibile per le aziende identificare e risolvere i problemi di prestazioni quando i dati attraversano più backbone. Una soluzione è quella di pagare per la SD-WAN come servizio (SDWaaS), che fornisce alle aziende una SLA.
L'utilizzo di una SD-WAN non garantisce risparmi sui costi o sulle prestazioni della rete. Sebbene Internet a banda larga sia poco costoso, in molti Paesi non è sempre affidabile; una volta che il traffico lascia la rete SD-WAN, è nelle mani della rete Internet pubblica, spesso congestionata. La maggior parte delle aziende utilizza Internet a banda larga per ampliare la propria offerta di servizi, piuttosto che per sostituire l'MPLS. Le soluzioni SD-WAN più comuni sono quelle ibride. Inoltre, la supervisione delle reti SD-WAN richiede nuove e talvolta costose competenze.
Le soluzioni SD-WAN non sono completamente plug-and-play; esistono diversi modelli di implementazione e i fornitori offrono spesso soluzioni con funzionalità diverse. L'integrazione di una nuova SD-WAN in una rete esistente può richiedere tempo e denaro. La maggior parte delle organizzazioni deve scegliere la strada dei servizi gestiti, rinunciando al controllo che si pensava di ottenere con l'adozione della SD-WAN. Le soluzioni SD-WAN gestite sono di solito addebitate a tariffe maggiorate e possono vincolare le organizzazioni ai servizi di un unico fornitore, annullando i vantaggi del controllo centralizzato e dell'indipendenza tecnologica di SD-WAN.
Uno dei motivi per cui le aziende scelgono le SD-WAN è la riduzione dei costi operativi dell'hardware proprietario e delle CPE. Le aziende possono ridurre i costi sostituendo i router proprietari con appliance edge abilitate a VNF, che richiedono meno manutenzione da parte dei tecnici in loco.
Le implementazioni SD-WAN possono essere configurate per utilizzare le VPN, che utilizzano la crittografia end-to-end.
SD-WAN è indipendente dai trasporti. SD-WAN consente alle aziende di utilizzare qualsiasi combinazione di tecnologie di connettività.
L'MPLS è costoso. Le SD-WAN possono utilizzare IPS ottimizzato per la WAN per offrire un'esperienza utente MPLS comparabile in modo più economico.
Poiché la SD-WAN è una soluzione per reti che coprono siti geograficamente disparati, i problemi di latenza possono rappresentare una sfida. SD-WAN, insieme all'ottimizzazione WAN, può lavorare insieme per superare i problemi di latenza.
La SD-WAN incentrata sulle applicazioni consente alle organizzazioni di assegnare le priorità alle applicazioni. Ad esempio, le aziende che si rivolgono al cloud scelgono le SD-WAN per dare priorità all'accesso alle applicazioni aziendali basate sul cloud.
PRTG Network Monitor è un software di monitoraggio di rete completo e tiene traccia dell'intera infrastruttura IT.
Una SD-WAN è progettata per rispondere automaticamente e in tempo reale alle interruzioni della rete, come colli di bottiglia del traffico, blackout, blackout, modifiche alla configurazione dei dispositivi, guasti ai dispositivi, errori umani e guasti ai collegamenti. Quando una SD-WAN non è in grado di risolvere automaticamente un guasto del software, a differenza delle WAN incentrate sui router, gli amministratori possono effettuare regolazioni manuali tramite il controller centrale.
Tuttavia, l'edge nelle SD-WAN spesso si estende oltre il tipico scenario ufficio-filiale, ad esempio nelle applicazioni IIoT, i sensori aggiungono un nuovo livello di complessità alle reti. In futuro, si prevede che l'edge si espanderà fino a comprendere tipi di endpoint ancora più diversi, compresi gli esseri umani. Inoltre, mentre le soluzioni SD-WAN di base offrono un certo livello di funzionalità per le principali caratteristiche SD-WAN, non tutte le soluzioni SD-WAN sono uguali, ad esempio non tutte le soluzioni SD-WAN forniscono un'orchestrazione end-to-end delle funzioni edge WAN.
Per questi motivi, la SD-WAN può trarre vantaggio da soluzioni di monitoraggio esterne aggiuntive, come il PRTG Network Monitor di Paessler, che fornisce la scalabilità illimitata necessaria per le tecnologie SD-WAN in continua evoluzione e per il numero e i tipi crescenti di endpoint.
