Punkt wyjścia: klasyczny WAN
Sieć WAN to warstwa transportowa oparta o fizyczne i logiczne łącza operatorskie:
- MPLS L2/L3,
- Internet publiczny,
- łącza zapasowe (LTE/5G),
- routing oparty o statykę, OSPF lub BGP.
W klasycznym WAN decyzje trasowania są:
- topologiczne,
- oderwane od aplikacji,
- reaktywne (link up / link down).
WAN zapewnia łączność, ale nie rozumie jakości aplikacji.
2. Czym SD-WAN jest w sensie architektonicznym
SD-WAN nie jest nowym typem sieci.
Jest to nakładkowa architektura sterowania (overlay control plane) działająca nad istniejącą warstwą transportową WAN (underlay).
SD-WAN:
- nie zastępuje routingu IP,
- nie eliminuje MPLS ani Internetu,
- nie zmienia fizyki sieci,
lecz wprowadza oddzielenie decyzji sterujących od mechanizmu przesyłu pakietów – analogicznie do SDN w LAN.
3. Kluczowa różnica: decyzje aplikacyjne
Fundamentalna zmiana w SD-WAN polega na tym, że wybór ścieżki nie jest oparty wyłącznie o metrykę routingu, lecz o bieżącą jakość transmisji z punktu widzenia aplikacji.
Typowe parametry brane pod uwagę:
- one-way latency,
- jitter,
- packet loss,
- dostępność ścieżki w czasie.
Decyzja zapada:
- per-flow lub per-application class,
- w czasie rzeczywistym,
- niezależnie od protokołu routingu w underlay.
4. Co faktycznie robi SD-WAN (mechanika)
Architektura składa się z trzech logicznych warstw:
Underlay
- fizyczne łącza WAN (MPLS, Internet, LTE),
- klasyczny routing IP.
Overlay
- tunele logiczne (najczęściej IPsec),
- abstrakcja wielu łączy jako jednej puli transportowej.
Control / Management Plane
- centralne definiowanie polityk,
- dystrybucja reguł do edge’ów,
- telemetria i korelacja jakości łączy.
Edge SD-WAN nie „routuje inaczej” – on przełącza ruch pomiędzy ścieżkami, kierując go do właściwego tunelu overlay.
5. Czego SD-WAN NIE rozwiązuje
To ważne, bo tu powstaje najwięcej mitów:
- ❌ nie poprawia jakości złego łącza,
- ❌ nie zastępuje redundancji fizycznej,
- ❌ nie jest systemem bezpieczeństwa per se,
- ❌ nie eliminuje potrzeby projektowania WAN.
SD-WAN zarządza kompromisami, nie usuwa ograniczeń transmisji.
6. Relacja SD-WAN ↔ routing
SD-WAN współistnieje z routingiem, nie konkuruje z nim.
BGP / OSPF decydują jak dotrzeć do prefiksu,
SD-WAN decyduje którą ścieżką przesłać konkretny strumień.
W praktyce:
- routing wybiera gdzie,
- SD-WAN wybiera jak.
7. Bezpieczeństwo – fakty techniczne
SD-WAN:
- zazwyczaj używa IPsec (transport lub tunnel mode),
- umożliwia segmentację logiczną ruchu,
- bywa zintegrowany z NGFW lub SASE.
Ale:
SD-WAN ≠ firewall
To element warstwy transportowo-sterującej, a nie polityki bezpieczeństwa jako takiej.
8. Gdzie SD-WAN ma sens techniczny
SD-WAN ma uzasadnienie wyłącznie tam, gdzie:
- istnieje więcej niż jedna ścieżka WAN,
- aplikacje są wrażliwe na jitter / latency,
- wymagany jest kontrolowany failover, a nie prosty backup,
- sieć ma skalę operacyjną (wiele lokalizacji).
Jedno łącze, jeden router → SD-WAN jest zbędny.
9. Implementacje rynkowe (bez mylenia pojęć)
Pełne platformy SD-WAN:
- Cisco SD-WAN
- VMware VeloCloud
- Fortinet Secure SD-WAN
Rozwiązania zbliżone funkcjonalnie:
- Ubiquiti UniFi (policy-based routing, site-to-site)
- MikroTik (routing + policy + monitoring – nie SD-WAN sensu stricte)
10. Podsumowanie – definicja, którą warto cytować
SD-WAN jest architekturą sterowania ruchem w sieciach WAN, która działa ponad istniejącą infrastrukturą transportową, wprowadzając decyzje aplikacyjne, centralne zarządzanie i dynamiczne przełączanie ścieżek na podstawie jakości transmisji.
Nie jest zamiennikiem WAN.
Jest narzędziem inżynierskim do jego racjonalnego wykorzystania.