Wechseln zu

SD-WAN
Was ist SD-WAN?

Ein Software-defined Wide Area Network (SD-WAN) ist eine grundlegende Komponente von SASE. Es verwendet eine virtuelle WAN-Architektur, um mit einer beliebigen Kombination von Transportservices – einschließlich MPLS, LTE und Breitband-Internetservices – Zweigstellenbenutzer sicher mit in der Cloud gehosteten oder über hybide IT-Umgebungen verteilte Anwendungen zu verbinden.

HPE Aruba Networking EdgeConnect SD-WAN kennenlernen
Konzept eines Blockchain-Netzwerks.

SD-WAN erklärt

Herkömmliche Architekturen verwenden häufig MPLS-Verbindungen, um den Datenverkehr von Filialen zum Rechenzentrum zu leiten. Diese Architektur ist kostspielig, unflexibel und nicht für die dynamischen Verkehrsmuster und Anwendungsleistungsanforderungen Cloud-orientierter Unternehmen optimiert. Das herkömmliche Modell, bei dem der Datenverkehr von den Filialen zur Sicherheitsprüfung in das Rechenzentrum zurückgeleitet wird, ist nicht mehr optimal, da es Latenzen verursacht und letztendlich die Anwendungsleistung beeinträchtigt.  

Durch den Einsatz verschiedener Techniken wie Tunnel-Bonding, die Auswahl des besten Pfads, Vorwärtsfehlerkorrektur und WAN-Optimierung gewährleistet ein SD-WAN eine konsistente Anwendungsleistung und Ausfallsicherheit. Es automatisiert die Verkehrssteuerung anwendungsorientiert und auf der Geschäftsabsicht basierend, verbessert die Netzwerksicherheit mit integrierten Sicherheitsfunktionen und vereinfacht die WAN-Architektur.

SD-WAN-Architektur erklärt.

SD-WAN-Architektur

Eine typische SD-WAN-Architektur umfasst drei Hauptkomponenten: 

  • Edge-Geräte: Dabei handelt es sich um physische oder virtuelle Geräte, die an Zweigstellen, in Rechenzentren und an Cloud-Standorten eingesetzt werden. Sie sind für die richtlinienbasierte Weiterleitung des Datenverkehrs und die Messung der Verbindungsintegrität in Echtzeit verantwortlich. 
  • SD-WAN-Orchestrator: Diese in der Cloud gehostete oder lokale Plattform verwaltet die Konfiguration, Richtlinien und Überwachung über alle SD-WAN-Knoten hinweg. Der Orchestrator vereinfacht den Betrieb, indem er eine zentrale Verwaltungsschnittstelle bereitstellt. 
  • Transport Layer: SD-WAN funktioniert mit jedem IP-basierten Transportmittel wie Breitband-Internet, LTE, 5G oder MPLS. Dieser Layer bildet das Underlay-Netzwerk, während SD-WAN ein intelligentes Overlay-Netzwerk mit dynamischer Pfadauswahl und Failover erstellt. 
  • Erweiterte SD-WAN-Architekturen können auch WAN-Optimierungsfunktionen (z. B. TCP-Beschleunigung, Datendeduplizierung), direkte Konnektivität mit der Cloud, integrierte Sicherheitskontrollen und Integration mit SSE-Plattformen (Security Service Edge) umfassen.

Wie funktioniert SD-WAN?

Im Gegensatz zu SD-WAN verteilt das herkömmliche Router-zentrierte Modell die Kontrollfunktion auf alle Geräte im Netzwerk und leitet den Verkehr einfach auf der Grundlage von TCP/IP-Adressen und ACLs weiter. Dieses traditionelle Modell ist starr, komplex, ineffizient, nicht Cloud-freundlich und führt zu einer schlechten Benutzererfahrung. 

SD-WAN funktioniert, indem die Leistung aller verfügbaren Netzwerkverbindungen kontinuierlich ausgewertet und der Datenverkehr basierend auf Echtzeit-Bedingungen und Geschäftsrichtlinien intelligent weitergeleitet wird. Beispielsweise kann es einem VoIP-Anruf Vorrang vor einem Software-Update mit geringerer Priorität einräumen oder vertrauliche Daten über eine sichere MPLS-Verbindung leiten, während der Massenverkehr über Breitband geleitet wird. 

Zu den wichtigsten Mechanismen gehören: 

  • Anwendungskonsistentes Routing: Identifiziert Anwendungen im ersten Paket und wendet QoS-Regeln (Quality of Service) an, um Leistung und Zuverlässigkeit sicherzustellen. 
  • Dynamische Pfadauswahl: Wählt den optimalen Pfad für jeden Anwendungsfluss basierend auf Metriken wie Latenz, Jitter und Paketverlust. 
  • Vorwärtsfehlerkorrektur: Verbessert die Verbindungsqualität durch die Korrektur von Paketverlusten und Behebung von Leistungsproblemen bei unzuverlässigen Verbindungen. 
  • Tunnel-Bonding: Kombiniert mehrere WAN-Links zu einer einzigen logischen Verbindung, um den Durchsatz und die Ausfallsicherheit zu verbessern. 

Der Datenverkehr wird in sicheren Tunneln (normalerweise IPsec) gekapselt, um Vertraulichkeit und Integrität auch über öffentliche Netzwerke zu gewährleisten. Erweitertes sicheres SD-WAN unterstützt auch die Segmentierung des Datenverkehrs basierend auf Benutzer-, Anwendungs- oder Geräterollen, um seitliche Bewegungen zu verhindern und Sicherheitsgrenzen einzuhalten.

Warum SD-WAN?

Die Zeiten haben sich geändert. Die Unternehmen nutzen die Cloud und abonnieren Software-as-a-Service (SaaS). Während die Benutzer früher eine Verbindung zum Rechenzentrum des Unternehmens herstellten, um auf Geschäftsanwendungen zuzugreifen, können sie jetzt über die Cloud einfacher auf viele dieser Anwendungen zugreifen. 

Infolgedessen ist das herkömmliche WAN nicht mehr geeignet, vor allem weil das Backhauling des gesamten Datenverkehrs – einschließlich des für die Cloud bestimmten – von den Zweigstellen zur Zentrale zu Latenz führt und die Anwendungsleistung beeinträchtigt. SD-WAN bietet WAN-Vereinfachung, niedrigere Kosten, Bandbreiteneffizienz und eine nahtlose Anbindung an die Cloud mit signifikanter Anwendungsleistung, insbesondere für unternehmenskritische Anwendungen, ohne Abstriche bei Sicherheit und Datenschutz. Eine bessere Anwendungsleistung steigert die Unternehmensproduktivität, die Kundenzufriedenheit und letztlich die Rentabilität. Konsistente Sicherheit verringert geschäftliche Risiken.

Vorteile von SD-WAN

  • Verbesserte Leistung: Leitet Anwendungen über optimale Pfade weiter und macht Backhauling zum Rechenzentrum überflüssig 
  • Verbesserte Sicherheit: Viele SD-WAN-Lösungen umfassen Verschlüsselung, Firewalls und erweiterte Sicherheitsfunktionen. Sie sind eng mit SSE integriert und bilden eine SASE-Architektur  
  • Cloud-zentriert: optimiert und sichert den Cloud-Zugriff von Zweigstellen 
  • Kosteneinsparungen: Reduziert die Abhängigkeit von teuren MPLS-Schaltungen durch die Nutzung günstigerer Internetverbindungen. 
  • Vereinfachtes Management: Die zentrale Steuerung erleichtert die Konfiguration und Überwachung des Netzwerks.

Einfaches SD-WAN und unternehmensorientiertes sicheres SD-WAN

  • Nicht alle SD-WANs sind gleich: Viele SD-WAN-Lösungen sind Basis-Lösungen oder Lösungen, die „gerade gut genug“ sind. Diese Lösungen verfügen nicht über die Intelligenz, Sicherheit, Leistung und Skalierbarkeit, die für ein sicheres Netzwerkerlebnis und den Aufbau einer zuverlässigen SASE-Architektur erforderlich sind. Und denken Sie daran: Ohne ein schnelles, sicheres und leistungsstarkes Netzwerk können die Initiativen zur digitalen Transformation und Cybersicherheit von Unternehmen ins Stocken geraten. Was ist also ein sicheres, unternehmensorientiertes sicheres SD-WAN und warum ist einfaches SD-WAN nicht gut genug? 
  • Consistent Quality of Experience (QoEx). Ein wesentlicher Vorteil einer fortschrittlichen SD-WAN-Lösung ist die Fähigkeit, mehrere WAN-Transportarten gleichzeitig aktiv zu nutzen. Eine einfache Lösung kann den Datenverkehr auf Anwendungsbasis über einen einzigen Pfad leiten, und wenn dieser Pfad ausfällt oder eine zu geringe Leistung aufweist, kann sie dynamisch auf eine Verbindung mit besserer Leistung umleiten. Bei vielen Basislösungen liegt die Failover-Dauer bei Ausfällen jedoch im zweistelligen Sekundenbereich oder noch länger, was oft zu lästigen Anwendungsunterbrechungen führt. Ein unternehmensorientiertes SD-WAN überwacht und verwaltet intelligent alle zugrundeliegenden Transportservices. Es kann die Herausforderungen von Paketverlusten, Latenz und Jitter überwinden, um den Benutzern ein Höchstmaß an Anwendungsleistung und Erlebnisqualität zu bieten, selbst wenn die WAN‑Transportdienste beeinträchtigt sind. Im Gegensatz zu einem einfachen SD-WAN bewältigt ein unternehmensorientiertes SD-WAN einen totalen Transportausfall nahtlos und bietet ein Failover im Sekundenbereich, das eine Unterbrechung geschäftskritischer Anwendungen wie Sprach- und Videokommunikation verhindert. Es passt sich kontinuierlich an Veränderungen im Netzwerk an sowie automatisch und in Echtzeit an alle Veränderungen, die sich auf die Anwendungsleistung auswirken könnten, wie beispielsweise Netzwerküberlastung, Stromausfälle und Transportausfälle.  
  • Integrierte Sicherheit Ein sicheres unternehmensorientiertes SD-WAN enthält eine Firewall der nächsten Generation, um Zweigstellen effizient zu schützen. Zu den wichtigsten Funktionen gehören Angriffserkennung and -verhinderung (IDS/IPS) sowie End-to-End-Segmentierung. Andere fortschrittliche SD-WANs können Unternehmen vor DDoS-Angriffen schützen. Die Integration einer Firewall der nächsten Generation ermöglicht es Unternehmen, ältere Firewalls in Zweigstellen problemlos zu ersetzen und den Hardwarebedarf zu reduzieren. Außerdem werden die Sicherheitsrichtlinien zentral verwaltet, so dass der Bedarf an IT-geschultem Personal vor Ort entfällt und Fehlkonfigurationen vermieden werden.  
  • Rollenbasierte Segmentierung. Während einfache SD-WANs das Äquivalent eines VPN-Service bieten, schafft ein sicheres unternehmensorientiertes SD-WAN eine umfassendere, rollenbasierte End-to-End-Segmentierung. Durch Hinzufügen der Benutzer- und Geräteidentität sowie rollenbasierten Richtlinien können fortschrittliche sichere SD-WANs eine feinkörnige Segmentierung bieten und Zero Trust durchsetzen. Ein sicheres SD-WAN schafft dann End-to-End-Zonen, vom LAN bis zum WAN, über eine beliebige Kombination von Benutzern, Geräten, Anwendungsgruppen und virtuellen Overlays und überträgt Sicherheitsrichtlinien auf alle entfernten Standorte. Basierend auf dem Prinzip des geringstmöglichen Zugriffs wird sichergestellt, dass Benutzer und IoT-Geräte nur mit Zielen kommunizieren, die ihrer Rolle im Unternehmen entsprechen, während gleichzeitig der unbefugte Zugriff reduziert und das Ausmaß von Vorfällen begrenzt wird. 
  • Multi-Cloud-Networking. Erweiterte SD-WANs können in einer Public Cloud wie AWS, Azure und Google Cloud bereitgestellt werden, um die Verbindungen zwischen Zweigstellen und der Cloud zu optimieren und dabei alle SD-WAN-Vorteile zu nutzen. Bei einem Stromausfall wird der Datenverkehr über den/die verbleibenden Link(s) weitergeführt, sodass die Benutzer keine Unterbrechung von Sprachanrufen, Audio- und Videokonferenzen oder anderen Anwendungen bemerken. Das robuste erste Stück zwischen der Zweigstelle und der Public Cloud bietet eine bessere Netzwerkleistung, Zuverlässigkeit und Qualität. 
  • Idealerweise sollten Unternehmenskunden auf eine sichere unternehmensorientierte sichere SD-WAN-Plattform umsteigen, die SD-WAN-, Firewall-, Segmentierungs-, Routing-, WAN-Optimierungs- sowie Sichtbarkeits- und Kontrollfunktionen in einer einzigen, zentral verwalteten Plattform vereint.

Erweiterte SD-WAN-Funktionalität für SASE

SASE kombiniert SD-WAN mit dem Security Service Edge (SSE). Zu den wichtigsten SSE-Funktionen gehören ZTNA (Zero Trust Network Access), SWG (Secure Web Gateway) und CASB (Cloud Access Security Broker). 

Letztendlich ist das Ziel von SASE, Sicherheit und Leistung für Cloud-zentrierte Unternehmen und hybride Arbeitsumgebungen zu bieten, da Benutzer von überall aus auf vertrauliche Daten zugreifen und unsichere Websites besuchen. Durch die Zusammenarbeit mit vielen Unternehmen, die ihre SASE-Architekturen entwickelt und implementiert haben, haben wir festgestellt, dass die grundlegende SD-WAN-Funktionalität nicht ausreicht. Ein SD-WAN mit fortschrittlichen Netzwerk- und Sicherheitsfunktionen ist erforderlich, um SASE umfassend zu unterstützen: 

  • Nahtlose Integration in eine SSE-Lösung, um eine einheitliche, konsistente SASE-Architektur oder eine Single-Vendor SASE-Lösung zu bilden. 
  • Automatisieren Sie die Orchestrierung zwischen SD-WAN und SSE von einer einzigen Konsole aus 
  • Identifizieren Sie den Anwendungsverkehr beim ersten Paket und leiten Sie ihn auf der Grundlage vordefinierter Sicherheitsrichtlinien granular an eine SSE-Lösung weiter 
  • Automatisches Failover zu einem sekundären Cloud Security Enforcement Point, um eine Unterbrechung der Anwendung zu vermeiden 
  • Automatische Neukonfiguration sicherer Verbindungen zu Cloud Security Enforcement Points, wenn ein neuer, näher an der Zweigstelle gelegener Standort verfügbar wird 

HPE und SD-WAN

HPE Aruba Networking EdgeConnect SD-WAN ist ein umfassendes Portfolio von Zugriffsoptionen, mit denen Unternehmen vom Edge bis zur Cloud mit einer einzigen SD-WAN-Fabric über Standorte, Rechenzentren, Cloud und SaaS verbunden werden können. Die Lösung umfasst drei Arten von richtig dimensionierten Bereitstellungsmodellen oder „Onramps“ für die SD-WAN-Fabric, die eine nahtlose, sichere und hochleistungsfähige Netzwerkkonnektivität von der Zentrale, dem Rechenzentrum, dem Campus, der Zweigstelle, dem kleinen Büro, dem Homeoffice und den mobilen Nutzern bieten, um Anwendungen, Daten und Services überall zu erreichen. 

  • EdgeConnect SD-WAN ermöglicht es IT-Administratoren, einen fortschrittlichen SD-WAN-Edge zu entwickeln, der kontinuierlich lernt, sich an veränderte Geschäftsanforderungen anpasst und flexibel maximale Netzwerk- und Anwendungsleistung vom Edge bis zur Cloud liefert. 
  • EdgeConnect SD-Branch ermöglicht IT-Administratoren die Konsolidierung von Netzwerkkomponenten für Zweigstellen für eine maximale Integration über WLAN, LAN und SD-WAN mit integrierter Sicherheit und integrierter LTE-Unterstützung mit zentralisiertem Cloud-Management. 
  • EdgeConnect Microbranch eignet sich ideal für kleine Büros oder Homeoffice-Standorte. Diese Option mit minimalem Platzbedarf, bei der eine Reihe von Remote Access Points (RAPs) von HPE Aruba Networking zum Einsatz kommen, ermöglicht eine sichere WAN-Konnektivität mit dem Unternehmensnetzwerk und eine automatische Integration mit Cloud-basierten Sicherheitsdiensten.  

HPE Aruba Networking EdgeConnect SD-WAN bietet eine umfassende Lösung, die moderne Konnektivitäts- und Sicherheitsherausforderungen in verteilten Unternehmen bewältigt. Es verbessert die Leistung und senkt die Kosten durch Tunnel-Bonding, Business Intent Overlays, Pfadkonditionierung und WAN-Optimierungstechniken. Diese Funktionen gewährleisten eine zuverlässige, hochwertige Anwendungsleistung über hybride WAN-Verbindungen wie MPLS, Breitband und 5G.  

In Cloud-basierten Umgebungen leitet es den Anwendungsverkehr intelligent direkt an Cloud-Anbieter wie AWS, Azure, Oracle Cloud und Google Cloud weiter und verbessert so die Effizienz und das Benutzererlebnis.  

Die Sicherheit ist integriert, mit Firewall-Funktionen der nächsten Generation, IDS/IPS, adaptivem DDoS-Schutz und rollenbasierter Segmentierung – alles zentral verwaltet. Die Integration von Secure Web Gateway (SWG) erweitert den Schutz vor webbasierten Bedrohungen auf nicht verwaltete Geräte, ohne dass Agenten erforderlich sind. Die IoT-Sicherheit wird außerdem durch die Integration von HPE Aruba Networking ClearPass gestärkt. Dadurch wird eine dynamische Segmentierung basierend auf Identität und Rolle ermöglicht.  

Als Grundlage für SASE lässt sich die Lösung eng in HPE Aruba Networking SSE – eine Cloud-native SSE-Lösung, die ZTNA, SWG, CASB und weitere Sicherheitsfunktionen unterstützt – oder in mehrere SSE von Drittanbietern und damit in bestehende Sicherheitsökosysteme integrieren.

Zugehörige Lösungen, Produkte oder Services

HPE Aruba Networking EdgeConnect SSE

Weitere Informationen

Unified SASE

Weitere Informationen

Zugehörige Themen

Sicheres SD-WAN

Weitere Informationen

SASE

Weitere Informationen

SSE (Security Service Edge)

Weitere Informationen

SD-Branch

Weitere Informationen

Zero Trust

Weitere Informationen

Multi-Cloud-Networking

Weitere Informationen