O problema que todo gestor de rede com filiais conhece bem. Quem gerencia uma rede WAN corporativa com cinco, dez ou cinquenta filiais sabe a dor. O link MPLS do escritório de Manaus cai numa sexta à tarde. O fornecedor abre chamado com SLA de 8 horas úteis. O ERP fica inacessível. O gerente regional liga furioso. E você, lá em São Paulo, tenta explicar que não tem redundância porque o segundo link MPLS naquela localidade custaria mais do que o aluguel do escritório.
Esse cenário não é exceção. É a regra em boa parte das empresas brasileiras de médio e grande porte que ainda operam com WAN tradicional baseada exclusivamente em circuitos MPLS. A SD-WAN Cisco surgiu exatamente para resolver esse tipo de situação, e não apenas com promessa de economia, mas com uma mudança real na forma como o tráfego é tratado entre matriz e filiais.
Este artigo explica a arquitetura, os modelos de implantação e os benefícios concretos de migrar para SD-WAN empresarial com tecnologia Cisco. Sem idealização, com trade-offs reais e exemplos práticos.
WAN tradicional versus SD-WAN: o que muda na prática
A WAN tradicional é simples de entender: você contrata circuitos dedicados (geralmente MPLS) entre os pontos da sua rede, configura roteamento estático ou dinâmico e reza para que o provedor cumpra o SLA. O tráfego de todas as aplicações percorre o mesmo caminho, com a mesma prioridade, independentemente de ser um backup de banco de dados ou uma videochamada do CEO com o conselho.
O MPLS tem qualidades. Oferece latência previsível, isolamento de tráfego e entrega garantida. Mas custa caro, especialmente no Brasil, onde a capilaridade das operadoras varia muito entre capitais e interior. Contratos costumam ser longos e reajustados acima da inflação. E provisionar um novo link leva semanas, às vezes meses.
A SD-WAN (Software-Defined Wide Area Network) adiciona uma camada de software sobre os links físicos. Em vez de depender de um único tipo de circuito, você pode combinar MPLS, banda larga, 4G/5G e até links de internet dedicada. O software decide, em tempo real, qual caminho cada pacote deve seguir com base na aplicação, na qualidade do link naquele instante e nas políticas que você definiu.
Parece simples quando descrito assim. Na prática, a diferença é que você sai de uma rede rígida para uma rede que toma decisões. E isso muda tudo: custo, disponibilidade, tempo de implantação de novas filiais e até a relação com os provedores de telecom.
MPLS vs SD-WAN: não é só sobre dinheiro
A discussão MPLS vs SD-WAN costuma começar pelo custo, e com razão. Um circuito MPLS de 20 Mbps em uma cidade do interior pode custar o mesmo que um link de banda larga de 500 Mbps no mesmo endereço. A conta é desproporcional.
Mas reduzir tudo a custo é um erro. O que a SD-WAN entrega de mais valioso é a capacidade de usar múltiplos links simultaneamente (multi-link), com failover automático e roteamento baseado em aplicação. Se o link principal degrada, mas não cai completamente (aquele cenário em que o ping responde mas o Teams trava), a SD-WAN detecta a degradação e redireciona o tráfego sensível para o link saudável. A WAN tradicional, nesse mesmo cenário, não faz nada. O link está “up”, então o tráfego continua passando por ele.
Outro ponto que pesa: segurança. Na WAN tradicional, o tráfego que sai da filial para a internet geralmente precisa passar pela matriz primeiro (backhauling), porque é lá que está o firewall. Com SD-WAN, você pode fazer breakout local de internet na própria filial, com políticas de segurança aplicadas no equipamento de borda. Isso reduz a latência para SaaS como Microsoft 365 e melhora a experiência do usuário sem comprometer a proteção.
Arquitetura Cisco SD-WAN: os componentes que você precisa conhecer
A Cisco construiu sua plataforma de SD-WAN empresarial a partir da aquisição da Viptela em 2017. A arquitetura tem quatro componentes principais, e entender o papel de cada um ajuda a dimensionar o projeto e evitar surpresas.
vManage: o painel de controle centralizado
O vManage é a interface de gerenciamento. É onde você cria templates de configuração, define políticas de tráfego, monitora a saúde dos links e visualiza a topologia da rede. Tudo centralizado, via browser. Para quem já gerenciou 30 roteadores por CLI, um a um, via SSH, a diferença é absurda. Uma mudança de política de QoS que levava uma tarde inteira para aplicar em todas as filiais pode ser feita em minutos e propagada automaticamente.
vSmart: a inteligência de roteamento
O vSmart Controller é o cérebro da rede. Ele distribui as políticas de roteamento para os equipamentos de borda e determina como os dados devem fluir entre os sites. Ele não encaminha tráfego de dados (o data plane não passa por ele), mas controla as decisões de encaminhamento. Pense nele como o controlador de tráfego aéreo: não pilota os aviões, mas diz para cada um qual rota seguir.
vBond: a autenticação e orquestração inicial
O vBond é o componente de orquestração. Quando um roteador novo é conectado na filial, ele faz contato primeiro com o vBond, que autentica o dispositivo e o direciona para o vManage e o vSmart corretos. É o passo zero do zero-touch provisioning. Você liga o equipamento na filial, ele busca o vBond pela internet, se autentica, recebe a configuração e entra na malha SD-WAN. Sem precisar de um engenheiro de rede no local.
Isso é especialmente relevante no Brasil, onde enviar um técnico especializado para uma filial em Marabá ou Dourados custa tempo e dinheiro. Com zero-touch, o próprio pessoal local conecta cabos e liga o equipamento.
vEdge e cEdge: o hardware nas pontas
Os roteadores de borda são os equipamentos físicos instalados em cada filial e na matriz. Originalmente, a plataforma Viptela Cisco usava roteadores dedicados chamados vEdge. Com a evolução do portfólio, a Cisco passou a suportar o software SD-WAN também nos roteadores da linha Catalyst (série 8000), chamados de cEdge. Isso deu mais flexibilidade, porque muitas empresas já tinham equipamentos Cisco ISR ou ASR em campo e puderam migrar via atualização de software em vez de trocar hardware.
Application-aware routing e visibilidade: onde a SD-WAN Cisco se diferencia
O application-aware routing é, na minha avaliação, o recurso mais subestimado da SD-WAN Cisco. A rede não trata todos os pacotes da mesma forma. Ela identifica a aplicação (por DPI, Deep Packet Inspection, ou por políticas configuradas) e aplica critérios de qualidade específicos para cada uma.
Você define, por exemplo, que o tráfego de voz precisa de latência abaixo de 150ms e jitter abaixo de 30ms. Se o link MPLS começa a apresentar jitter acima desse limite, o sistema move o tráfego de voz para o link de banda larga que naquele momento está com melhor performance. Tudo automático, sem intervenção humana, sem chamado.
A visibilidade que o vManage oferece é outro diferencial que só se valoriza quando se usa no dia a dia. Dashboards mostram, em tempo real, quais aplicações estão consumindo banda em cada filial, a qualidade dos links (latência, perda, jitter) e alertas de anomalias. Para quem já precisou explicar para o CFO por que a empresa paga R$ 180 mil por mês em links WAN, ter dados concretos de utilização faz toda a diferença na hora de renegociar contratos.
Se a sua empresa já está avaliando modernizar a rede entre filiais, vale conversar com quem tem experiência prática nesse tipo de projeto. A Omega Brasil é parceira Cisco e atua com projetos de SD-WAN Cisco para empresas de médio e grande porte, do desenho da arquitetura até a migração dos links.
Segurança integrada: Cisco Umbrella e a convergência com SASE
Um dos argumentos mais fortes contra o breakout local de internet nas filiais sempre foi a segurança. “Se o tráfego não passar pelo firewall da matriz, quem protege a filial?” A resposta da Cisco é a integração nativa da SD-WAN com o Cisco Umbrella.
O Umbrella é a plataforma de segurança em nuvem da Cisco que faz DNS security, Secure Web Gateway, firewall em nuvem e CASB (Cloud Access Security Broker). Quando integrado à SD-WAN, o tráfego da filial que vai para a internet pode ser direcionado automaticamente para o Umbrella, onde passa por inspeção de ameaças antes de seguir para o destino. Sem backhauling para a matriz, sem latência adicional, com proteção aplicada.
Essa integração é parte da estratégia da Cisco para o modelo SASE (Secure Access Service Edge), que combina funções de rede e segurança em uma plataforma unificada. Na prática, significa menos appliances na filial, menos complexidade operacional e uma política de segurança consistente em todos os sites.
ThousandEyes: visibilidade além da sua rede
Outro recurso que a Cisco adicionou ao portfólio de SD-WAN é a integração com o ThousandEyes. O ThousandEyes monitora o caminho do tráfego não só dentro da sua rede, mas também através da internet, até o destino final. Isso é extremamente útil quando um usuário reclama que o Salesforce está lento e você precisa identificar se o problema está no seu link, no provedor de trânsito ou na própria aplicação SaaS.
Com agentes ThousandEyes embarcados nos roteadores cEdge, você tem diagnóstico de ponta a ponta sem instalar nada adicional. Para equipes de suporte que perdem horas fazendo traceroute e abrindo chamados com operadoras, isso reduz drasticamente o tempo de troubleshooting.
Catalyst SD-WAN versus Meraki SD-WAN: qual modelo serve para sua empresa
A Cisco tem dois portfólios de SD-WAN, e a confusão entre eles é mais comum do que deveria. Entender a diferença evita escolher a plataforma errada e descobrir a limitação tarde demais.
Catalyst SD-WAN (ex-Viptela)
É a plataforma de alto nível, voltada para redes complexas com muitas filiais, políticas granulares de tráfego e integração avançada com segurança. Roda nos roteadores Catalyst 8200, 8300, 8500 e nas VMs para nuvem pública. Oferece controle detalhado sobre topologia, segmentação VPN, service chaining (encadear serviços como firewall e IPS no caminho do tráfego) e políticas baseadas em SLA por aplicação.
É a escolha certa para empresas com mais de 20 sites, ambientes híbridos complexos, requisitos regulatórios rígidos ou que precisam de integração profunda com data centers.
Meraki SD-WAN
O Meraki SD-WAN é gerenciado pelo dashboard Meraki, famoso pela simplicidade. É mais indicado para empresas que valorizam facilidade operacional acima de granularidade técnica. A configuração é mais abstrata, com menos opções de customização, mas o tempo para colocar uma filial no ar é significativamente menor.
Funciona bem para redes de varejo, escritórios de pequeno porte e cenários onde a equipe de TI é enxuta e não tem especialistas em roteamento avançado. Mas tem limitações: menos controle sobre políticas de roteamento, menos opções de integração com serviços de segurança de terceiros e um modelo de licenciamento que, dependendo do tamanho da rede, pode sair mais caro por site do que o Catalyst SD-WAN.
| Critério | Catalyst SD-WAN (Viptela) | Meraki SD-WAN |
|---|---|---|
| Complexidade da rede | Alta (muitos sites, políticas granulares) | Baixa a média |
| Gerenciamento | vManage (on-prem ou cloud) | Dashboard Meraki (cloud only) |
| Customização de políticas | Avançada | Simplificada |
| Integração com segurança | Umbrella, Firepower, ThousandEyes | Umbrella, AMP nativo |
| Zero-touch provisioning | Sim | Sim |
| Perfil ideal | Empresas 20+ sites, TI especializada | Varejo, escritórios distribuídos, TI enxuta |
A escolha entre os dois não é sobre qual é melhor. É sobre qual se encaixa na sua realidade operacional e no perfil da sua equipe.
Quanto custa migrar de MPLS para SD-WAN Cisco?
Essa é a pergunta que o CFO faz na segunda reunião (na primeira ele só quer saber se “dá pra cortar custo de telecom”). A resposta honesta: depende muito da sua base instalada, dos contratos vigentes de MPLS e da estratégia de migração.
O caso mais comum no Brasil é a migração gradual. Você mantém o link MPLS em sites críticos (matriz, data center, filiais com maior volume de transações) e substitui links MPLS em filiais menores por banda larga ou internet dedicada, usando a SD-WAN para garantir qualidade. Algumas empresas conseguem eliminar 60% a 70% dos circuitos MPLS ao longo de 12 a 18 meses.
Uma rede varejista com 80 lojas no Sudeste, por exemplo, pode gastar entre R$ 3.000 e R$ 8.000 por mês por loja em MPLS, dependendo da velocidade e localidade. Substituindo por dois links de banda larga (um principal e um de backup) com equipamento Catalyst 8200 na ponta e SD-WAN gerenciando o failover, o custo mensal por loja pode cair para R$ 1.500 a R$ 3.000, incluindo o licenciamento do software. A economia acumulada em 12 meses paga o projeto de migração com sobra.
Mas tem um detalhe que muita gente ignora: a economia com MPLS geralmente vem acompanhada de um aumento no custo de licenciamento de software Cisco (as licenças DNA da SD-WAN são por dispositivo, com subscription anual ou plurianual) e no custo do projeto de implantação. É preciso fazer a conta completa, CAPEX do hardware, OPEX do licenciamento, custo de migração e saving mensal em telecom, para apresentar um business case que sobreviva ao escrutínio financeiro.
Montar esse business case com números realistas é parte do trabalho de uma integradora que conhece o mercado. A Omega Brasil ajuda empresas nessa análise e na implantação de SD-WAN Cisco com suporte completo, desde o dimensionamento até o go-live.
Cases reais: o que empresas brasileiras ganharam migrando para SD-WAN
Sem citar nomes específicos (NDA é NDA), posso descrever cenários que se repetem no mercado brasileiro e que ilustram bem os resultados.
Distribuidor farmacêutico com 45 CDs: operava com MPLS puro, links de 10 a 50 Mbps. O ERP rodava no data center central, e qualquer degradação no link paralisava a operação de separação de pedidos. Após migrar para Cisco SD-WAN com links duplos (MPLS + banda larga) nos 15 maiores CDs e apenas banda larga nos demais, o tempo de indisponibilidade do ERP caiu de cerca de 14 horas mensais para menos de 2. A economia mensal em telecom ficou em torno de 40%, mas o ganho operacional (menos parada, menos hora extra, menos pedido atrasado) foi o que realmente convenceu a diretoria.
Rede de ensino com 22 unidades: precisava de qualidade para videoaula ao vivo e acesso a plataformas em nuvem. O backhauling pela matriz criava gargalo. Com SD-WAN e breakout local para Microsoft 365 e plataformas de streaming educacional, a latência percebida pelos professores caiu pela metade. O custo mensal de WAN reduziu cerca de 35%.
Esses números não são promessas genéricas. São faixas que aparecem consistentemente em projetos bem dimensionados no mercado brasileiro. Projetos mal planejados, por outro lado, podem gerar frustração: se você coloca banda larga residencial como link principal em uma localidade com infraestrutura precária e espera performance de MPLS, vai se decepcionar. A SD-WAN é inteligente, mas não faz milagre com um link que mal funciona.
Quais são os principais benefícios da SD-WAN Cisco para empresas?
Resumindo os pontos que discutimos, os benefícios concretos para quem adota Cisco SD-WAN são:
- Redução de custo de WAN: possibilidade de substituir parte dos links MPLS por circuitos mais baratos, mantendo qualidade de serviço via application-aware routing.
- Alta disponibilidade com multi-link: uso simultâneo de dois ou mais links com failover automático e balanceamento de carga por aplicação.
- Implantação rápida de novas filiais: zero-touch provisioning permite colocar um site novo no ar em horas, não semanas.
- Segurança integrada: integração nativa com Cisco Umbrella e políticas de segmentação que isolam o tráfego entre departamentos ou tipos de acesso.
- Visibilidade e controle centralizado: dashboards no vManage mostram o que está acontecendo na rede inteira, com drill-down por site, link e aplicação.
- Melhor experiência para aplicações em nuvem: breakout local de internet elimina o backhauling e reduz a latência para SaaS.
SD-WAN Cisco é indicada para qual perfil de empresa?
Nem toda empresa precisa de SD-WAN. Se você tem uma matriz e duas filiais com links MPLS estáveis e baratos, o custo e a complexidade do projeto provavelmente não se justificam.
A SD-WAN empresarial faz mais sentido quando:
- A empresa tem 10 ou mais sites distribuídos geograficamente.
- O custo mensal de MPLS é uma linha relevante no orçamento de TI.
- Há planos de expansão para novas localidades nos próximos 12-24 meses.
- Aplicações críticas migraram para nuvem (SaaS, IaaS) e o backhauling está causando problemas de performance.
- A equipe de rede é pequena e precisa gerenciar muitos sites sem enlouquecer.
Empresas de varejo, distribuição, logística, saúde e educação com unidades espalhadas pelo Brasil são os candidatos mais óbvios. Mas bancos regionais, cooperativas e indústrias com fábricas em localidades remotas também têm colhido bons resultados.
Pontos de atenção antes de começar o projeto
Nenhum artigo sério sobre SD-WAN deveria terminar sem falar dos riscos e cuidados. Aqui vão alguns que aprendi a valorizar ao longo dos anos:
Qualidade dos links locais importa. SD-WAN gerencia o tráfego de forma inteligente, mas se os dois links disponíveis na filial de Sinop têm 50% de perda de pacote, não há software que resolva. Faça um levantamento real da oferta de conectividade em cada localidade antes de desenhar a solução.
Licenciamento tem custo recorrente. As licenças Cisco DNA para SD-WAN são subscription. Isso significa um custo anual que precisa entrar no OPEX. Se o CFO só olhou para o CAPEX do hardware e esqueceu do licenciamento, a surpresa vem na renovação.
Migração exige planejamento de convivência. Você não desliga todos os links MPLS de uma vez. O período de convivência entre a rede antiga e a nova é onde mora o risco operacional. Tenha um plano de rollback para cada site.
Equipe precisa de capacitação. O vManage simplifica a operação, mas o time de rede precisa entender a lógica da plataforma. Investir em treinamento (mesmo que interno, com apoio da integradora) evita erros de configuração que podem derrubar a rede.
Próximo passo: sair do MPLS puro sem pular no escuro
A migração para SD-WAN Cisco não precisa ser um salto radical. Os projetos mais bem-sucedidos que acompanhei começaram com um piloto em 3 a 5 filiais, com links MPLS mantidos em paralelo, para validar a performance e ajustar políticas antes do rollout geral. Essa abordagem reduz risco e gera dados reais para o business case.
O importante é não deixar o projeto parado na fase de “estamos avaliando” por dois anos enquanto a conta de telecom continua subindo. Se a sua empresa paga mais de R$ 50 mil por mês em links WAN e tem mais de 10 sites, a probabilidade de que SD-WAN gere economia e melhore a operação é alta. A questão é dimensionar corretamente e escolher o modelo certo (Catalyst ou Meraki) para o seu perfil.
A Omega Brasil é parceira Cisco e projeta e implanta SD-WAN Cisco em empresas que precisam modernizar sua conectividade entre filiais. Do levantamento de links ao go-live, com suporte técnico e acompanhamento pós-implantação. Fale com o time de redes da Omega Brasil e comece a desenhar o seu projeto.
