Software-Defined Wide Area Network – kurz SD-WAN – bezeichnet eine Technologie zur Verwaltung und Steuerung
von Weitverkehrsnetzen auf Basis von Software-Abstraktionsschichten. Der Kerngedanke stammt aus dem
SDN-Paradigma (Software-Defined Networking): Die Trennung von Steuerungslogik (Control Plane) und eigentlicher
Datenweiterleitung (Data Plane) erlaubt es, Netzwerkverhalten zentral zu definieren, ohne auf proprietäre
Hardware angewiesen zu sein.
Klassische WAN-Architekturen basieren häufig auf MPLS (Multiprotocol Label Switching). MPLS-Leitungen bieten
definierte Latenz, hohe Zuverlässigkeit und Dienstgüte-Garantien (QoS), sind jedoch teuer, wenig flexibel und
erfordern lange Vorlaufzeiten bei der Provisionierung. Änderungen an Routing-Policies erfordern oft manuelle
Eingriffe auf einzelnen Routern oder die direkte Koordination mit dem Carrier – beides bremst die operative
Agilität eines Unternehmens erheblich.
SD-WAN löst diese Starrheit auf, indem es beliebige Transportmedien – DSL, LTE, 5G, MPLS, Glasfaser oder
öffentliches Internet – in ein logisches Overlay-Netzwerk überführt. Die Steuerungslogik liegt dabei in einem
zentralen Orchestrator oder Controller, der Richtlinien definiert und diese automatisch auf alle angeschlossenen
Edge-Geräte verteilt. Der Betreiber beschreibt, welche Anwendungen welche Leitungsqualität benötigen – der
Controller übernimmt die Umsetzung.
Der Trend zur Softwaresteuerung im WAN ist maßgeblich durch drei Entwicklungen getrieben: die zunehmende
Cloud-Nutzung (SaaS, IaaS), das Wachstum von Home-Office- und Filialanbindungen sowie der Kostendruck auf
teure MPLS-Verbindungen. Unternehmen jeder Größe – vom KMU mit wenigen Standorten bis zum multinationalen
Konzern – profitieren von der erhöhten Agilität und den reduzierten Betriebskosten, die SD-WAN mit sich bringt.
2. Architektur – Underlay, Overlay und Control Plane
Das Verständnis einer SD-WAN-Architektur setzt die Unterscheidung von drei konzeptionellen Ebenen voraus:
Underlay, Overlay und die Steuerungsschicht.
Underlay bezeichnet das physische oder logische Transportnetzwerk. Es umfasst alle
tatsächlichen Verbindungen zu ISPs, MPLS-Carriern oder Mobilfunkanbietern. Das Underlay bleibt dem
SD-WAN-System weitgehend transparent – es wird lediglich als Trägermedium genutzt, ohne dass
Routing-Entscheidungen auf dieser Ebene getroffen werden. Die Qualität des Underlays beeinflusst jedoch die
erreichbare Performance des Overlays direkt.
Overlay ist das logische Netzwerk, das über das Underlay gespannt wird. SD-WAN-Edge-Geräte
bauen untereinander verschlüsselte Tunnel – typischerweise auf Basis von IPSec oder proprietären Protokollen –
auf und bilden so ein virtuelles Netz, das unabhängig vom jeweiligen Transportweg funktioniert. Pakete werden
im Overlay weitergeleitet, basierend auf Anwendungstyp, Leitungsqualität und definierten Policies. Das Overlay
abstrahiert den Datenverkehr vollständig vom physischen Träger.
Die Control Plane ist das Herzstück des SD-WAN. Ein zentraler Controller oder Orchestrator
verwaltet die Topologie, verteilt Routing-Informationen und setzt Policies durch. Im Gegensatz zu klassischen
Netzwerken, bei denen jeder Router eigenständig Routing-Entscheidungen trifft, werden im SD-WAN alle
Entscheidungsgrundlagen zentral definiert und an die Edge-Geräte propagiert. Dies ermöglicht eine konsistente
Konfiguration über alle Standorte hinweg und vereinfacht Auditing und Fehlersuche erheblich.
Die Data Plane wird durch die Edge-Geräte an den Standorten repräsentiert. Diese
CPE-Geräte (Customer Premises Equipment) empfangen ihre Konfiguration vom Controller, bauen Overlay-Tunnel
auf und leiten Datenverkehr gemäß den empfangenen Policies weiter. Moderne Edge-Geräte können als dedizierte
Hardware oder als virtuelle Appliance (vCPE) in einer VM oder einem Container betrieben werden, was
Investitionskosten senkt und die Flexibilität erhöht.
Der Orchestrator – teils mit dem Controller in einer Instanz zusammengeführt, teils getrennt –
übernimmt das Lifecycle-Management: Onboarding neuer Geräte, Software-Updates, Reporting und
Policy-Verwaltung über ein zentrales Web-Dashboard. Er ist die primäre Schnittstelle für Netzwerkadministratoren
und abstrahiert die Komplexität des darunter liegenden Systems vollständig.
3. Kernfunktionen im Überblick
SD-WAN-Lösungen vereinen mehrere Kernfunktionen, die im klassischen WAN entweder nicht vorhanden oder nur
mit erheblichem Aufwand realisierbar waren.
Application-aware Routing ist eines der wichtigsten Differenzierungsmerkmale. Das System
identifiziert Anwendungen anhand von DPI (Deep Packet Inspection) oder bekannten Metadaten (Ports, Protokolle,
Zertifikate) und leitet Datenverkehr gezielt über die jeweils geeignete Leitung. Videokonferenzen werden
beispielsweise über eine latenzarme Glasfaserverbindung geroutet, während Backup-Transfers einen
preiswerteren LTE-Link nutzen können. Die Klassifizierung kann auf Anwendungsebene (Layer 7) erfolgen und
umfasst oft hunderte vordefinierter Anwendungssignaturen.
Dynamic Path Selection ergänzt das Application-aware Routing durch kontinuierliches
Monitoring der verfügbaren Pfade. Latenz, Jitter und Paketverlust werden laufend gemessen. Überschreitet
eine Metrik einen definierten Schwellenwert, wechselt das System automatisch auf einen alternativen Pfad –
ohne manuellen Eingriff und ohne sichtbare Verbindungsunterbrechung bei entsprechender Konfiguration. Einige
Implementierungen können Pakete sogar über mehrere Pfade gleichzeitig senden (Forward Error Correction),
um Paketverluste auf schlechten Leitungen zu kompensieren.
Zero-Touch Provisioning (ZTP) vereinfacht das Ausrollen neuer Standorte erheblich. Ein
Edge-Gerät wird unvorkonfiguriert an einen Standort geliefert, stellt nach dem Einschalten eine initiale
Verbindung zum Orchestrator her und lädt seine vollständige Konfiguration herunter. Technisches Personal vor
Ort ist dafür nicht erforderlich – ein wesentlicher Vorteil bei räumlich verteilten Filialen, insbesondere
wenn kein IT-Fachpersonal lokal verfügbar ist.
Link-Aggregation und Last-Balancing über mehrere ISP-Verbindungen ermöglichen es, die
Gesamtbandbreite mehrerer Leitungen zu nutzen und gleichzeitig Redundanz sicherzustellen. Im Gegensatz zu
klassischem Bonding arbeitet SD-WAN hier auf Flow- oder Paket-Ebene mit intelligenter Verteilung, gesteuert
durch aktuelle Qualitätsmetriken jedes verfügbaren Pfades.
Centralized Policy Management erlaubt es, Sicherheits- und Routing-Richtlinien einmalig zu
definieren und automatisch auf alle Standorte auszurollen. Änderungen – etwa ein neuer Zugriffspfad für eine
Cloud-Applikation – sind innerhalb von Minuten global wirksam, ohne dass Router an jedem Standort manuell
konfiguriert werden müssen.
4. Typische Einsatzszenarien
SD-WAN adressiert eine breite Palette von Anwendungsfällen, die weit über den klassischen Unternehmenseinsatz
hinausgehen.
Filialanbindung ist das klassische Szenario. Filialstandorte erhalten günstige
Internetleitungen (z. B. DSL + LTE als Backup) anstelle teurer MPLS-Verbindungen. Der SD-WAN-Controller
stellt sicher, dass kritischer Datenverkehr (ERP, VoIP) priorisiert und über die qualitativ bessere
Verbindung transportiert wird. Fällt eine Leitung aus, übernimmt die andere nahtlos, ohne dass Anwender
eine Unterbrechung bemerken. Die Kosteneinsparungen gegenüber reinen MPLS-Architekturen können dabei erheblich
sein, insbesondere bei einer größeren Anzahl von Standorten.
Home-Office-Anbindung gewann insbesondere in den letzten Jahren erheblich an Bedeutung.
Klassische VPN-Lösungen leiten allen Datenverkehr durch das Unternehmensrechenzentrum (sogenanntes
Backhauling), was zu unnötigen Latenzen führt, wenn Mitarbeiter primär Cloud-Dienste nutzen. SD-WAN
erlaubt es, SaaS-Verkehr (Microsoft 365, Zoom, Salesforce) direkt ins Internet zu breakouten, während
interner Unternehmensverkehr weiterhin verschlüsselt über das SD-WAN-Overlay läuft. Dies reduziert die
Last auf zentralen Gateways und verbessert die Nutzererfahrung spürbar.
Multi-Cloud-Zugriff ist ein weiterer zentraler Treiber. Unternehmen, die Workloads in
mehreren Cloud-Regionen betreiben, profitieren von direktem Internet-Breakout an jedem Standort kombiniert
mit Cloud-On-Ramp-Funktionen, die SD-WAN-Verbindungen direkt in Cloud-Provider-Netzwerke (AWS Global
Accelerator, Azure Virtual WAN, GCP Network Connectivity Center) führen. Das eliminiert unnötige Umwege
über zentrale Rechenzentren und verringert die Latenz für Endnutzer.
Homelab und Kleinunternehmen können SD-WAN-Konzepte in vereinfachter Form nutzen. Wer zu
Hause oder in einem kleinen Büro mit zwei Internetleitungen (z. B. Glasfaser + LTE) arbeitet, kann mit einer
entsprechend konfigurierten Open-Source-Firewall die Grundprinzipien von SD-WAN umsetzen: automatisches
Failover, verbindungsbasiertes Routing nach definierten Policies und verschlüsselte Tunnel zu entfernten
Standorten – alles ohne die Lizenzkosten kommerzieller Plattformen.
5. Bekannte SD-WAN-Lösungen
Der Markt für SD-WAN-Plattformen ist breit aufgestellt. Die wichtigsten kommerziellen Lösungen und relevante
Open-Source-Alternativen im Überblick:
Cisco SD-WAN (ehemals Viptela) ist eine der etabliertesten Enterprise-Lösungen. Nach der
Übernahme von Viptela durch Cisco im Jahr 2017 wurde die Plattform tief in das Cisco-Portfolio integriert
und trägt heute den Namen Cisco Catalyst SD-WAN. Sie setzt auf die Komponenten vSmart (Controller), vBond
(Orchestrator) und vEdge/cEdge (Edge-Geräte) und bietet tiefe Integration in Cisco-Sicherheitsprodukte
wie Umbrella und Duo. Die Lösung richtet sich vorwiegend an mittlere und große Unternehmen.
VMware SD-WAN (ehemals VeloCloud), nach der Broadcom-Übernahme von VMware weitergeführt,
zeichnet sich durch ein umfangreiches globales Gateway-Netzwerk aus, das optimierte Cloud-Pfade zu den
wichtigsten SaaS-Anbietern ermöglicht. Die Plattform verwendet proprietäre Protokolle zur
Pfadoptimierung und eignet sich besonders für Unternehmen mit starker Cloud-Abhängigkeit und einem
verteilten Filialnetz.
Fortinet SD-WAN differenziert sich durch die enge Integration von SD-WAN-Funktionalität
in die FortiGate-Firewall-Plattform. Sicherheit und WAN-Optimierung kommen aus einer einzigen Appliance,
was die Infrastruktur vereinfacht und den operativen Overhead reduziert. Für KMUs, die ohnehin FortiGate
als Next-Generation-Firewall einsetzen, ist dies eine naheliegende und kosteneffiziente Erweiterung.
Open-Source-Optionen adressieren den Heimlabor- und KMU-Bereich ohne Lizenzkosten.
VyOS ist ein auf Debian basierendes Netzwerk-Betriebssystem, das Routing, Firewalling,
VPN und grundlegende WAN-Funktionen vereint und sich vollständig per CLI oder API konfigurieren lässt.
Es eignet sich gut für automatisierte Deployments via Ansible oder Terraform.
OPNsense, basierend auf FreeBSD und HardenedBSD, bietet über Plugins und integrierte
Funktionen Multi-WAN-Unterstützung, Policy-based Routing, IPSec-VPN und ein vollwertiges Web-Interface.
Damit lassen sich wesentliche SD-WAN-Konzepte im Homelab oder im kleinen Büro praktisch und kostenlos
abbilden.
6. Sicherheit in SD-WAN-Umgebungen
Die Verlagerung von Datenverkehr auf öffentliche Internetleitungen stellt SD-WAN-Lösungen vor hohe
Sicherheitsanforderungen. Entsprechend sind Sicherheitsfunktionen ein integraler Bestandteil jeder
produktionsreifen Implementierung.
IPSec-Overlay bildet die Basis. Alle Kommunikationspfade zwischen SD-WAN-Edge-Geräten
werden über verschlüsselte IPSec-Tunnel abgesichert. Authentizität und Integrität jedes Pakets werden
durch kryptografische Verfahren sichergestellt, auch wenn der Transport über ein unsicheres öffentliches
Netz erfolgt. Zertifikatsbasierte Authentifizierung (PKI) verhindert, dass unberechtigte Geräte dem
SD-WAN-Fabric beitreten, was besonders bei automatisch provisionierten Edge-Geräten wichtig ist.
Zero Trust Integration gewinnt in modernen SD-WAN-Deployments zunehmend an Bedeutung.
Das klassische Perimeter-Sicherheitsmodell – „alles im internen Netz ist vertrauenswürdig" – wird durch
einen identitätsbasierten Ansatz ersetzt: Jeder Zugriff wird unabhängig von der Netzwerkposition
authentifiziert und autorisiert. SD-WAN kann als Enforcement-Punkt für Zero-Trust-Policies dienen,
indem es Mikrosegmentierung zwischen Standorten und Zugriffskontrollen auf Anwendungsebene durchsetzt.
Cloud-Security-Stacks (SSE/SASE) stellen die konsequente Weiterentwicklung dar. Secure
Service Edge (SSE) fasst Cloud-Sicherheitsdienste wie CASB (Cloud Access Security Broker), SWG (Secure
Web Gateway) und ZTNA (Zero Trust Network Access) zusammen. In Kombination mit SD-WAN ergibt sich das
SASE-Modell (Secure Access Service Edge), bei dem Netzwerk- und Sicherheitsfunktionen gemeinsam aus der
Cloud bereitgestellt werden. Anbieter wie Zscaler, Cloudflare Zero Trust oder Palo Alto Prisma Access
bieten solche Dienste an und lassen sich mit führenden SD-WAN-Plattformen integrieren.
Für kleinere Umgebungen ohne dedizierte Cloud-Security-Plattform empfiehlt sich mindestens die Kombination
aus IPSec-verschlüsseltem Overlay, restriktiven Firewall-Regeln am Internet-Breakout-Punkt,
DNS-basierter Filterung (z. B. über Pi-hole oder NextDNS) sowie regelmäßigen Firmware-Updates der
Edge-Geräte. Diese Maßnahmen schließen die gröbsten Angriffsvektoren und decken die grundlegenden
Sicherheitsanforderungen eines kleineren Deployments ab.
7. Praxisbeispiel: Multi-WAN-Failover und Policy-based Routing auf OPNsense
Wer SD-WAN-Konzepte im Homelab oder kleinen Büro erproben möchte, findet in OPNsense eine leistungsfähige
und kostenfreie Plattform. Das folgende Szenario zeigt, wie sich Multi-WAN-Failover und
anwendungsbasiertes Routing ohne kommerzielle Lizenz realisieren lassen.
Voraussetzungen: Eine OPNsense-Installation (auf physischer Hardware, als VM unter
Proxmox oder als Bare-Metal-Appliance), zwei WAN-Schnittstellen – zum Beispiel Glasfaser als primärer
Link und ein LTE-Router im Ethernet-Modus als Backup – sowie eine oder mehrere LAN-Schnittstellen für
interne Netzsegmente.
Gateway-Gruppen konfigurieren: In OPNsense werden unter
System > Gateways > Gateway Groups mehrere WAN-Gateways zu einer Gruppe zusammengefasst.
Dabei wird jedem Gateway eine Priorität (Tier) zugewiesen: Tier 1 ist der bevorzugte Pfad, Tier 2 das
Fallback. OPNsense überwacht die Verfügbarkeit der Gateways kontinuierlich über ICMP-Probes zu definierten
Zielen (z. B. 8.8.8.8 oder 1.1.1.1). Fällt der primäre Gateway aus oder überschreitet dessen
Paketverlust oder Latenz einen konfigurierten Schwellenwert, aktiviert das System automatisch den
Backup-Pfad – ohne manuellen Eingriff.
Policy-based Routing einrichten: Über Firewall > Rules lässt sich für jede
Quell-IP-Adresse oder jedes Quell-Netz ein spezifisches Gateway oder eine Gateway-Gruppe als Ziel
definieren. Workstations, die primär für Videokonferenzen genutzt werden, können so statisch auf den
latenzarmen Glasfaser-Link gelegt werden, während IoT-Geräte oder Backup-Clients den LTE-Link nutzen.
Diese Trennung entspricht dem Grundprinzip von Application-aware Routing, auch wenn OPNsense keine
vollständige DPI-basierte Klassifizierung auf Layer-7-Ebene vornimmt.
Monitoring und Logging: OPNsense stellt unter Interfaces > Overview
Live-Statistiken zu Bandbreite und Gateway-Zustand bereit. Das Plugin os-telegraf in
Verbindung mit einem InfluxDB- und Grafana-Stack ermöglicht historisches Monitoring der WAN-Performance –
ein wichtiges Werkzeug, um die Qualität beider Leitungen langfristig zu beurteilen und Failover-Ereignisse
nachzuvollziehen.
IPSec-VPN als einfaches Overlay: Sollen mehrere OPNsense-Instanzen miteinander verbunden
werden – etwa das Homelab mit einem entfernten VPS oder einer zweiten Niederlassung – lässt sich ein
IPSec-Tunnel zwischen beiden Standorten aufbauen. Damit entsteht ein rudimentäres SD-WAN-Overlay: Beide
Standorte teilen ein verschlüsseltes virtuelles Netz, und Policy-Routing entscheidet, welcher
Datenverkehr durch den Tunnel läuft und was direkt ins Internet ausgebrochen wird.
Dieses Setup bildet die wesentlichen Prinzipien von SD-WAN ab: automatisches Failover, link-basiertes
Routing nach definierten Policies, verschlüsseltes Overlay und zentrale (wenn auch manuelle)
Konfiguration über ein Web-Interface. Es ist ein idealer Einstiegspunkt, um SD-WAN-Konzepte praktisch
zu erlernen, bevor der Schritt zu einer vollwertigen kommerziellen Plattform in Betracht gezogen wird.