SD-WAN per le PMI: cos'è, come funziona e quando conviene

L'SD-WAN (Software-Defined Wide Area Network) è uno dei termini più abusati dai vendor di networking degli ultimi anni. Tolto il rumore di fondo, il concetto è semplice: separare il piano di controllo (decisioni di routing) dal piano dati (forwarding effettivo dei pacchetti) per gestire più link WAN in modo intelligente e centralizzato. Per una PMI con più sedi o con esigenze di continuità del servizio, può fare una differenza concreta.

Il problema che SD-WAN risolve

Una PMI tradizionale con due sedi collegate tipicamente usa una delle seguenti soluzioni:

• MPLS dedicato: affidabile, con QoS garantita, ma costoso (anche 300–600 €/mese per un link da 10 Mbps) e con tempi di attivazione lunghi.
• VPN site-to-site su fibra commodity: economica, ma senza gestione intelligente del failover e della qualità.
• Doppio link attivo/passivo: il link secondario resta inutilizzato finché il primario non cade, sprecando banda e budget.

SD-WAN risolve questi problemi aggregando più link eterogenei — fibra FTTH, connessione 4G/5G, ADSL, MPLS — e distribuendo il traffico in modo dinamico in base a policy, qualità del link e tipo di applicazione.

Come funziona tecnicamente

Il componente centrale è il controller SD-WAN, che può essere on-premise o cloud (SaaS). Gli edge device (router SD-WAN) installati in ogni sede si connettono al controller e scambiano informazioni su:

• Stato dei link (latenza, jitter, packet loss, banda disponibile)
• Identità delle applicazioni (tramite DPI — Deep Packet Inspection)
• Policy configurate dall'amministratore

Il traffico viene quindi instradato in base a regole del tipo: "le chiamate VoIP usano il link con latenza < 50 ms e jitter < 10 ms; il backup notturno usa il link con più banda disponibile; il traffico Office 365 esce direttamente su internet senza passare per la sede centrale (breakout locale)".

Il failover è automatico e trasparente: se un link scende, le sessioni TCP attive vengono migliorate sull'altro link in pochi secondi — non decine di secondi come con il routing statico tradizionale.

Architetture tipiche per PMI

Hub-and-spoke: tutte le sedi remote si connettono alla sede centrale (hub). Il traffico inter-sede passa sempre dall'hub. Semplice da gestire, ma introduce latenza aggiuntiva.

Full-mesh: ogni sede ha tunnel diretti verso tutte le altre. Ottimale per latenza, più complesso da gestire su molte sedi.

Direct internet access (DIA) con breakout locale: il traffico cloud (SaaS, Office 365, Google Workspace) esce direttamente su internet dalla sede locale invece di passare dalla sede centrale. Riduce il carico sul link centrale e migliora le performance per gli utenti remoti.

Vendor e soluzioni

Il mercato SD-WAN è diviso tra soluzioni enterprise e soluzioni orientate alle PMI:

• Cisco Meraki MX: gestione cloud, zero-touch provisioning, integrato con il resto dell'ecosistema Meraki. Costo elevato (licenza annuale obbligatoria).
• Fortinet FortiGate con SD-WAN: SD-WAN integrato nel firewall, senza costi aggiuntivi di licenza specifica. Buon rapporto qualità/prezzo per chi usa già FortiGate.
• MikroTik con RouterOS: non è SD-WAN nel senso commerciale, ma con scripting, ECMP e failover su più link si può replicare gran parte della funzionalità a costo quasi zero. Richiede competenze tecniche.
• OpenWAN / VeloCloud / Aryaka: soluzioni enterprise, generalmente fuori portata per PMI sotto i 50 dipendenti.

Quando conviene davvero

SD-WAN conviene quando si verificano almeno due di queste condizioni:

• Hai 2+ sedi collegate e vuoi continuità del servizio senza pagare MPLS ridondato
• Usi VoIP o applicazioni real-time e la qualità del link unico non è sempre garantita
• Hai già un link MPLS e vuoi affiancargli un link fibra commodity per abbattere i costi
• Gestisci utenti remoti o branch office con accesso diretto a servizi cloud

Non conviene se hai una sola sede, traffico prevalentemente locale, e la tua fibra è stabile. In quel caso è over-engineering.

Costi reali

Una soluzione SD-WAN per PMI (2–5 sedi) con hardware mid-range e controller cloud si attesta tipicamente su:

• Hardware edge: 300–600 € per sede (one-time)
• Licenza controller cloud: 200–500 €/anno per sede (Meraki, Fortinet)
• Alternativa self-hosted: server Linux con VyOS o pfSense + plugin SD-WAN open source (costo quasi zero, ma richiede gestione interna)

Il risparmio reale arriva dalla sostituzione del link MPLS dedicato con un link fibra commodity + 4G LTE come backup, mantenendo la stessa affidabilità operativa.

Conclusione

Per una PMI con esigenze di connettività multi-sede o con traffico VoIP critico, SD-WAN è una tecnologia matura e accessibile. La chiave è scegliere la soluzione giusta per le proprie competenze interne: Fortinet o MikroTik per chi ha un IT interno con esperienza di rete, Meraki per chi preferisce una gestione semplificata con supporto vendor.