# SD-WAN: Software Defined WAN – Flexibilität für verteilte Standorte
TL;DR / Management Summary Während klassische WAN-Verbindungen (MPLS, Artikel 765) starr und teuer sind, abstrahiert SD-WAN die Steuerung von der physischen Leitung. Wir kombinieren verschiedene Anschlüsse (Glasfaser, 5G, DSL) zu einem logischen Tunnel. Die Intelligenz des SD-WAN-Controllers entscheidet in Echtzeit, über welchen Pfad ein Paket geschickt wird – basierend auf der Applikations-Priorität und der aktuellen Leitungsqualität. Ein Senior Admin nutzt SD-WAN, um Cloud-Kosten zu senken und die Performance von SaaS-Diensten (M365, Salesforce) durch lokale Internet-Breakouts zu optimieren.
# 1. Konzepte des SD-WAN
Abstraktion und Intelligenz.
SD-WAN trennt die Control Plane (Zentrale Verwaltung) von der Data Plane (Datenübertragung).
- Overlay: Verschlüsselte Tunnel (meist IPsec) über beliebige Transportmedien.
- Underlay: Die physischen Leitungen (ISP 1, ISP 2).
- Zero-Touch Provisioning (ZTP): Ein neuer Router in einer Filiale lädt seine Konfiguration automatisch aus der Cloud, sobald er Internet hat.
# 2. Dynamic Path Selection
Das Herzstück des SD-WAN.
Der SD-WAN Controller misst permanent:
- Latenz (Ping).
- Jitter (Schwankung).
- Packet Loss.
- Aktion: Wenn Leitung A (Glasfaser) gerade Paketverluste hat, schwenkt der Controller den VoIP-Traffic innerhalb von Millisekunden auf Leitung B (5G) um – ohne dass das Gespräch abbricht.
# 3. Deep Dive: Lokale Internet-Breakouts
Cloud-Traffic beschleunigen.
In alten Architekturen floss jeder Klick erst über das WAN zur Zentrale (Backhauling).
- SD-WAN Ansatz: Die Appliance erkennt Office-365 Traffic und schickt ihn direkt über den lokalen Internetanschluss ins Web.
- Vorteil: Massive Entlastung des teuren Firmen-Backbones und schnellere Antwortzeiten für den User.
# 4. Day-2 Operations: Orchestrierung & Security
Alles aus einer Hand.
SD-WAN integriert oft Sicherheitsfunktionen (SASE - Secure Access Service Edge):
- Zentrale Firewall: Alle Regeln für alle 100 Standorte werden an einer Stelle definiert.
- Zentrales Update: Ein Klick aktualisiert die Firmware der gesamten weltweiten Flotte.
# 5. Troubleshooting & “War Stories”
Wenn die Software die Hardware überlistet.
# Top 3 Fehlerbilder
-
Symptom: “Brownout” – alles ist langsam, aber nichts ist ganz “Down”.
- Ursache: Ein ISP hat eine hohe Latenz, die gerade noch unter dem Schwellenwert für einen Failover liegt.
- Lösung: Schwellenwerte für Applikations-Klassen (SLA Profiles) verschärfen.
-
Symptom: Cloud-Dienste sind gesperrt.
- Ursache: Durch den lokalen Breakout ändert sich die öffentliche IP des Standorts. Die Cloud-Applikation erkennt den User nicht mehr als “Firmen-IP”.
- Fix: IPs aller Filialen in den Conditional Access (Entra ID) aufnehmen.
-
Symptom: MTU-Probleme bei Tunnel-in-Tunnel Szenarien.
# “War Story”: Der “Zufalls”-Failover
Ein Admin konfigurierte SD-WAN mit einer 5G-Backup Leitung. Das Ereignis: Er wunderte sich über eine Mobilfunk-Rechnung von 2.000 Euro am Monatsende. Die Ursache: Da die Glasfaserleitung sporadisch kleine Jitter-Spitzen hatte, schwenkte das SD-WAN “intelligent” auf die 5G-Leitung um, da diese in diesem Moment eine bessere Latenz bot. Der Admin hatte vergessen, ein Kosten-Limit oder eine Präferenz für die Flatrate-Leitung zu setzen. Lehre: SD-WAN ist so schlau, wie man es programmiert. Definieren Sie Kosten-Profile für Ihre Gateways!
# 6. Monitoring & Reporting
Anwendungs-Performance.
# App-Visibility Dashboard
Überwachen Sie:
Quality of Experience (QoE)Score pro Applikation.Path Usage: Welches Medium trägt gerade die Hauptlast?
# 7. Fazit & Empfehlung
SD-WAN ist die logische Weiterentwicklung des Firmennetzwerks.
- Empfehlung: Nutzen Sie SD-WAN, wenn Sie mehr als 3 Standorte haben. Die Zeitersparnis bei der Verwaltung amortisiert die Lizenzkosten schnell.
- Wichtig: Setzen Sie auf herstellerunabhängige Lösungen (z.B. OPNsense mit WireGuard Orchestrierung), um den massiven “Vendor Lock-in” großer Anbieter zu vermeiden.
# Anhang: Vergleich SD-WAN vs. MPLS
| Feature | MPLS | SD-WAN |
|---|---|---|
| Transport | Exklusiv (L2/L3) | Beliebig (Hybrid) |
| Kosten | Hoch | Gering bis Mittel |
| Flexibilität | Starr | Sehr Hoch |
| Security | Via Provider | Integriert (IPsec) |