30/01/2026 / Network /

SD-WAN: architektura sterowania ruchem w sieciach WAN

Schemat architektury SD-WAN z overlay i underlay w sieci WAN przedsiębiorstwa

Co to SD-WAN i dlaczego powstało

SD-WAN (Software-Defined WAN) to architektura, w której decyzje o trasowaniu ruchu między oddziałami podejmuje centralny kontroler, a nie pojedyncze routery brzegowe w izolacji. Powstała, bo klasyczny WAN oparty o MPLS jest drogi, sztywny i nie rozumie, czy lecą przez niego pakiety VoIP, kopia do chmury, czy ruch przeglądarkowy.

SD-WAN to overlay control plane nad warstwą transportową (underlay) – oddziela decyzje sterujące od przesyłu pakietów, analogicznie do SDN w LAN.

Architektura: underlay, overlay, control plane

Underlay

Fizyczne łącza: MPLS, FTTH, LTE/5G, Starlink, radioliniowe, plus klasyczny routing (OSPF, BGP). SD-WAN traktuje wszystkie linki jako jedną pulę transportową.

Overlay

Nad underlay budowane są tunele IPsec, opcjonalnie GRE lub VXLAN. Każda para edge’y trzyma kilka równoległych tuneli – po MPLS, FTTH, LTE. Ruch przeskakuje między nimi per-flow lub per-application class.

Control plane

Centralny orchestrator/controller trzyma polityki, dystrybuuje konfigurację do edge device’ów (CPE), zbiera telemetrię. Stąd zero-touch provisioning (ZTP) – nowy router podłączasz do prądu, resztę dociąga z chmury.

Application-aware routing

W klasycznym WAN decyzja trasowania jest topologiczna. W SD-WAN wybór ścieżki opiera się o bieżącą jakość transmisji mierzoną per link:

  • one-way latency,
  • jitter,
  • packet loss,
  • dostępność ścieżki (BFD, probes).

Jeśli MPLS gubi pakiety, VoIP automatycznie przeskakuje na FTTH zanim user’owi rwie się rozmowa. Do tego link bonding i integracja z ZTNA (Zero Trust Network Access) – coraz częściej w pakiecie SASE.

Klasyczny WAN vs SD-WAN

Klasyczny WAN: drogie MPLS jako trzon, Internet jako backup, decyzje topologiczne, failover reaktywny (link up/down), konfiguracja per urządzenie, zero widoczności aplikacji.

SD-WAN: tani Internet + LTE + ewentualnie MPLS jako równorzędne łącza, decyzje aplikacyjne, failover sub-sekundowy, konfiguracja centralna, pełna telemetria per flow.

Implementacje rynkowe

Pełne platformy enterprise: Cisco SD-WAN (Viptela), Cisco Meraki, VMware VeloCloud, Fortinet FortiSDWAN, Aruba EdgeConnect, Cato Networks. Każdy ma własny controller i filozofię licencjonowania – to wybór na lata.

Zbliżone funkcjonalnie, ale nie SD-WAN sensu stricte: Ubiquiti UniFi (policy-based routing), MikroTik z RouterOS 7 (BFD + IPsec + multiple routing tables – ręcznie da się zbudować coś podobnego). Porównanie w MikroTik vs Ubiquiti — co wybrać do firmy.

Dla kogo SD-WAN ma sens

SD-WAN ma uzasadnienie wyłącznie tam, gdzie:

  • istnieje więcej niż jedna ścieżka WAN do tego samego celu,
  • aplikacje są wrażliwe na jitter i latency (VoIP, RDP, ERP w chmurze),
  • wymagany jest kontrolowany, sub-sekundowy failover,
  • sieć ma skalę operacyjną – 5+ lokalizacji.

Jedno łącze, jeden router w jednym biurze? SD-WAN jest zbędny – wystarczy poprawny firewall i sensowna segmentacja. Zobacz Firewall w małej firmie 2026 i Segmentację VLAN — kluczową.

Czego SD-WAN nie zrobi: nie poprawi jakości złego łącza, nie zastąpi redundancji fizycznej, nie jest firewall’em. Zarządza tym, co masz.

Werdykt LM Networks

SD-WAN to narzędzie inżynierskie do racjonalnego wykorzystania WAN, nie magia. Ma sens przy 5+ lokalizacjach, kilku łączach na oddział i aplikacjach wrażliwych na jakość. Dla małych firm z jedną lokalizacją wystarczy dobrze zaprojektowana sieć – zobacz Wzorcową sieć dla małej firmy. Projektujemy i wdrażamy SD-WAN dla rozproszonych organizacji – od audytu underlay, przez wybór platformy, po ZTP i polityki aplikacyjne. Napisz, omówimy Twoją topologię.