Home » SD-WAN Architecture: Overlay, Underlay และ Orchestration
SD-WAN Architecture: Overlay, Underlay และ Orchestration
SD-WAN Architecture: Overlay, Underlay และ Orchestration
SD-WAN (Software-Defined Wide Area Network) เป็น technology ที่แยก control plane ออกจาก data plane ของ WAN ทำให้สามารถบริหาร WAN จาก central controller ได้ SD-WAN ใช้ overlay tunnels ข้าม underlay transports หลายตัว (MPLS, internet, LTE) พร้อม intelligent path selection ตาม application requirements
WAN แบบเดิมใช้ MPLS เป็นหลัก ซึ่งแพงและไม่ยืดหยุ่น การเพิ่ม bandwidth ต้องรอ provisioning นานหลายสัปดาห์ SD-WAN ช่วยให้ใช้ internet links ราคาถูกร่วมกับ MPLS ลดค่าใช้จ่าย WAN 30-50% พร้อม application-aware routing และ centralized management
SD-WAN Architecture
| Component |
Role |
| vManage (Controller) |
Central management + monitoring + policy deployment |
| vSmart (Orchestrator) |
Control plane: distribute routes, policies, crypto keys |
| vBond (Orchestrator) |
Authentication + initial device onboarding |
| vEdge/cEdge (Edge) |
Branch router ที่ทำ data plane forwarding |
| Overlay |
IPsec/GRE tunnels ระหว่าง edge devices (encrypted) |
| Underlay |
Physical transports: MPLS, broadband internet, LTE/5G |
SD-WAN vs Traditional WAN
| Feature |
Traditional WAN |
SD-WAN |
| Transport |
MPLS primary (expensive) |
Any transport (MPLS + internet + LTE) |
| Management |
CLI per device |
Centralized GUI/API |
| Path Selection |
Static routing / ECMP |
Application-aware, dynamic per-packet |
| Provisioning |
Weeks (MPLS circuit) |
Minutes (ZTP over internet) |
| Cloud Access |
Backhaul to DC → cloud |
Direct internet breakout at branch |
| Encryption |
Optional (MPLS = “trusted”) |
Always encrypted (IPsec overlay) |
| Cost |
High (MPLS circuits) |
30-50% lower (internet + MPLS hybrid) |
| Visibility |
Limited (SNMP, NetFlow) |
Deep application visibility + analytics |
Overlay vs Underlay
| Layer |
คืออะไร |
ตัวอย่าง |
| Underlay |
Physical transport ที่ carry traffic จริง |
MPLS, broadband, DIA, LTE/5G |
| Overlay |
Virtual tunnels ที่วิ่งบน underlay |
IPsec tunnels ระหว่าง SD-WAN edges |
| ความสัมพันธ์ |
Overlay ใช้ underlay เป็น transport |
1 overlay tunnel อาจวิ่งบน MPLS หรือ internet |
Application-Aware Routing
| Feature |
วิธีทำงาน |
| DPI (Deep Packet Inspection) |
Identify applications (Office 365, Zoom, SAP) จาก packet content |
| SLA Monitoring |
วัด latency, jitter, packet loss ทุก path แบบ real-time |
| Policy-Based Routing |
Route applications ตาม policy (voice → low latency path) |
| Dynamic Path Switch |
เปลี่ยน path อัตโนมัติเมื่อ SLA ไม่ผ่าน |
| FEC (Forward Error Correction) |
เพิ่ม redundancy packets → recover from packet loss |
| Packet Duplication |
ส่ง packet ทั้ง 2 paths → ใช้ packet ที่มาถึงก่อน |
Application SLA Policy
| Application |
Latency |
Jitter |
Loss |
Preferred Path |
| Voice (VoIP) |
< 150ms |
< 30ms |
< 1% |
MPLS (or best path) |
| Video (Zoom/Teams) |
< 200ms |
< 30ms |
< 2% |
MPLS or broadband |
| Business Apps (SAP/ERP) |
< 250ms |
N/A |
< 0.5% |
MPLS preferred |
| Web/Email |
< 500ms |
N/A |
< 5% |
Any (internet OK) |
| Bulk/Backup |
N/A |
N/A |
N/A |
Internet (cheapest) |
SD-WAN Vendors
| Vendor |
Product |
จุดเด่น |
| Cisco |
Catalyst SD-WAN (Viptela) |
Enterprise leader, deep Cisco integration |
| VMware |
VeloCloud |
Cloud-first, multi-cloud, acquired by Broadcom |
| Fortinet |
FortiGate SD-WAN |
Built-in NGFW, best security integration |
| Palo Alto |
Prisma SD-WAN (CloudGenix) |
SASE integration, AI-driven |
| HPE Aruba |
EdgeConnect |
WAN optimization + SD-WAN, strong analytics |
| Versa |
Versa SASE |
Single software stack (SD-WAN + security) |
SD-WAN + SASE
| Component |
Function |
| SD-WAN |
WAN transport + path selection + QoS |
| ZTNA |
Zero Trust per-application access |
| SWG |
Secure Web Gateway (URL filtering, malware scan) |
| CASB |
Cloud Access Security Broker (SaaS visibility + control) |
| FWaaS |
Firewall as a Service (cloud-based NGFW) |
| SASE = SD-WAN + Security |
Converged networking + security at the edge |
Design Best Practices
| Practice |
รายละเอียด |
| Dual transport minimum |
อย่างน้อย 2 transports per site (MPLS + internet หรือ 2× internet) |
| Direct internet access |
Enable local breakout สำหรับ SaaS/cloud (ไม่ backhaul) |
| Application policies |
Define SLA policies per application class |
| Redundant controllers |
HA สำหรับ vManage/vSmart (active-standby) |
| Security integration |
NGFW/IPS ที่ branch หรือ cloud security (SASE) |
| ZTP (Zero Touch Provisioning) |
Automate branch deployment (plug-and-play) |
ทิ้งท้าย: SD-WAN = Smart, Flexible, Cost-Effective WAN
SD-WAN = centralized control + application-aware routing Overlay (IPsec) + Underlay (MPLS/internet/LTE) = hybrid WAN Application SLA policies → dynamic path selection per app ลดค่าใช้จ่าย 30-50% vs MPLS-only SASE = SD-WAN + cloud security (ZTNA + SWG + CASB + FWaaS)
อ่านเพิ่มเติมเกี่ยวกับ MPLS L3VPN และ Zero Trust ZTNA ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
