Bygg ett skalbart hybrid molnnätverk med Cisco SD-WAN och AWS Direct Connect. Kostnadsuppskattning, arkitektur och steg-för-steg-guide.

Din VPN-tunnel har precis kraschat – igen. Så här bygger du ett hybrid molnnätverk som faktiskt håller

Det händer på en fredag eftermiddag. Ditt team är mitt uppe i en kritiskt applikationsdeployment till AWS när VPN-tunneln till molnmiljön börjar hoppa. Latensen som borde ligga på 15 ms har klättrat till 280 ms. Timeout-fel haglar i loggarna. Produktionsmiljön är tillfälligt otillgänglig, och nattens部署 får skjutas upp.

Låter bekant? Du är inte ensam.

Enligt AWS egna kundanalyser upplever organisationer med suboptimal nätverksarkitektur i genomsnitt 34% högre infrastrukturkostnader och tre gånger högre incidentfrekvens jämfört med företag som investerat i ändamålsenliga hybrid molnnätverkslösningar. För svenska medelstora och stora företag innebär detta tiotals miljoner i onödiga kostnader varje år – och ännu viktigare: förlorad konkurrenskraft när applikationer levererar undermålig prestanda.

Den här guiden är skriven för dig som ansvarar för infrastruktur, nätverk eller molnmigration på ett svenskt företag. Vi går igenom exakt hur du bygger ett produktionsklart hybrid molnnätverk med Cisco SD-WAN och AWS Direct Connect – utan teoretiska övningar, bara beprövade arkitekturer och konkreta implementeringssteg.

Varför traditionella VPN-lösningar misslyckas med moderna hybrid molnnätverk

Site-to-site VPN var länge standardlösningen för att koppla samman lokala datacenter med molnmiljöer. Men 2024 har spelplanen förändrats dramatiskt, och det finns flera strukturella problem med den traditionella VPN-approachen:

Prestandabegränsningar som inte skalas

Klassiska VPN-lösningar är designade för point-to-point-kommunikation. När du har 15 kontor, ett huvudkontor och tre AWS-regioner blir varje anslutning en isolerad tunnel utan övergripande trafikoptimering. Resultatet? Du får ingen lastbalansering, ingen intelligent ruttning och ingen automatisk failover.

Ett svenskt tillverkningsföretag vi arbetade med hade byggt sin molnmigration kring site-to-site VPN. De upplevde regelbundet latency-spikar på 300+ ms när trafik till deras produktions-VPC passerade genom den överbelastade VPN-gatewayen. Efter migrering till Cisco SD-WAN med AWS Direct Connect sjönk medianlatensen till 8 ms – en förbättring som direkt översattes till mätbar produktivitetsökning hos utvecklingsteamen.

Säkerhetsarkitekturen är för fragmenterad

Med traditionella VPN hanteras säkerheten ofta per-tunnel. Det innebär att du får inkonsekventa säkerhetsprinciper, svårhanterade nyckelrotationer och begränsad insyn i trafikflöden. I en värld där GDPR, ISO 27001 och NIS2 ställer allt högre krav på dataskydd och incidenthantering är detta ett allvarligt problem.

Kostnadsexplosion vid skalning

Varje ny anslutning kräver ny VPN-hårdvara, nya tunnelkonfigurationer och ökad komplexitet. AWS Direct Connect å andra sidan skalar linjärt – en 100 Gbps-port kan hantera hundratals VPC:er utan att du behöver bygga nya fysiska kopplingar.

Hybrid molnnätverk: Definition och varför Cisco + AWS är den starkaste kombinationen

Hybrid molnnätverk innebär att du skapar en enhetlig nätverksinfrastruktur som transparent integrerar din lokala datacentermiljö med en eller flera molnplattformar. Målet är att applikationer och tjänster ska kunna kommunicera över båda miljöer utan att användare eller utvecklare behöver tänka på var resurserna finns.

Varför Cisco och AWS tillsammans?

AWS Direct Connect** ger dig en dedikerad, privat anslutning från din lokala infrastruktur direkt till AWS utan att trafiken passerar det offentliga internet. Detta innebär:

  • Förutsägbar latens (typiskt 1–5 ms inom samma metroområde)
  • Högre bandbredd (upp till 100 Gbps med AWS Direct Connect)
  • Förbättrad säkerhet genom att trafiken aldrig lämnar det privata nätverket
  • Kostnadsbesparingar vid höga datavolymer jämfört med internetbaserad trafik

Cisco SD-WAN (Viptela/Secure SD-WAN) kompletterar Direct Connect med intelligent trafikstyrning och centraliserad management. Istället för att konfigurera routrar manuellt på varje site definierar du policyer på en central plats och SD-WAN-lösningen ser till att trafiken optimeras automatiskt.

Tillsammans skapar dessa två teknologier en arkitektur där:

  • Affärskritisk trafik med höga SLA-krav tar Direct Connect
  • Mindre kritisk trafik kan lastdelas över Direct Connect och internet via SD-WANs intelligenta ruttning
  • Du får fullständig insyn i nätverkstrafik via Cisco DNA Center
  • Säkerhetspolicyer tillämpas konsekvent över alla platser

Arkitekturöversikt: Så här bygger du ett enterprise-hybrid molnnätverk

Rekommenderad grundarkitektur

För de flesta nordiska enterprise-implementationer rekommenderar vi följande grundarkitektur:

[Lokalt datacenter] 
      │
      │ 1 Gbps / 10 Gbps
      ▼
[Cisco SD-WAN Edge] 
      │
      ├──────────────────────────────────────┐
      │                                      │
      ▼                                      ▼
[AWS Direct Connect Location]    [Internet via SD-WAN]
      │                                      │
      │ 100 Gbps portering                    │
      ▼                                      ▼
[AWS Transit Gateway] ◄─────────────────────┘
      │
      ├──► [Produktions-VPC]
      ├──► [Utvecklings-VPC]
      ├──► [Datavetenskap-VPC med GPU-instanser]
      └──► [AWS Services (S3, RDS, etc.)]

Nyckelkomponenter i detalj

1. AWS Direct Connect Location
Vi rekommenderar Stockholm eller Oslo som Direct Connect-location för svenska företag. Det ger lägsta möjliga latency till AWS eu-north-1 (Stockholm). Du behöver en hosted connection eller en dedikerad connection beroende på bandbreddsbehov.

2. Cisco SD-WAN Edge-enheter
Modeller som Cisco Catalyst 8000V eller vEdge-1600 är vanliga val för enterprise-implementationer. Varje edge-enhet hanterar upp till 10 Gbps throughput och stödjer både MPLS och internetbaserade WAN-anslutningar.

3. AWS Transit Gateway
Transit Gateway fungerar som den centrala hubben för VPC-peering och ersätter komplexa mesh-konfigurationer. En enda Transit Gateway kan hantera tusentals VPC-attachments och stödjer dynamisk routning med BGP.

4. Cisco DNA Center
För centraliserad management och övervakning. DNA Center ger dig:

  • Real-tidsinsyn i nätverksprestanda
  • Automatiserad konfigurationshantering
  • Säkerhetsanalys och hotdetektering
  • Application Visibility and Control (AVC)

Steg-för-steg: Implementation av ditt hybrid molnnätverk

Fas 1: Planering och design (vecka 1–2)

Steg 1: Kartlägg befintlig infrastruktur
Innan du börjar behöver du en komplett bild av din nuvarande nätverksarkitektur:

  • Vilka applikationer körs lokalt vs molnet?
  • Vilka är dina bandbreddsbehov per site?
  • Vilka SLA-krav har verksamheten?
  • Vilka säkerhetsregler och compliance-krav gäller?

Steg 2: Dimensionera Direct Connect-kapacitet
Som utgångspunkt rekommenderar vi att du börjar med 1 Gbps Direct Connect och planerar för utbyggnad till 10 Gbps inom 12–18 månader. Kalkylera ungefärlig månatlig trafikvolym:

Bandbredd Typisk månadskostnad (SEK) Användningstyp
100 Mbps 2 500–4 000 Utvecklings-/testmiljöer
500 Mbps 8 000–12 000 Medelstora arbetsbelastningar
1 Gbps 15 000–22 000 Standard enterprise
10 Gbps 80 000–120 000 Stora dataintensiva workload

Obs: Kostnader exkluderar Cisco SD-WAN-licensiering

Steg 3: Designa IP-adressschema och routing
Planera för AWS VPC CIDR-block som inte överlappar med lokala nätverk. Vanligt är:

  • Lokalt: 10.0.0.0/8
  • AWS VPC:er: 172.16.0.0/12

Fas 2: Grundinstallation (vecka 3–5)

Steg 4: Etablera AWS Direct Connect

  1. Skapa en Direct Connect-connection via AWS Console eller via en AWS-partner
  2. Beställ en cross-connection till din router på Direct Connect-location
  3. Konfigurera BGP-peering mellan din router och AWS
  4. Skapa en Transit Gateway och associera med Direct Connect
# Exempel på AWS CLI-kommandon
aws directconnect create-connection \
    --location STOCKHOLM \
    --bandwidth 1Gbps \
    --connection-name "Enterprise-Hybrid-Primary"

aws ec2 create-transit-gateway \
    --description "Hybrid Network Hub"

Steg 5: Installera och konfigurera Cisco SD-WAN Edge

  1. Deploy Catalyst 8000V som VM eller som fysisk enhet
  2. Registrera enheten mot Cisco SD-WAN Controller (vBond, vManage, vSmart)

Fas 3: Avancerad konfiguration (vecka 6–8)

Steg 6: Konfigurera intelligent trafikstyrning
Det är här SD-WAN verkligen visar sitt värde. Du definierar Service Level Agreements (SLA) som SD-WAN automatiskt enforcear:

SLA Definition:
- Max latency: 50 ms
- Max jitter: 10 ms
- Max packet loss: 1%

Trafikpolicy:
- Affärskritisk (ERP, databaser): DIRECT CONNECT, SLA-strict
- Standard produktion: DIRECT CONNECT, SLA-relaxed
- Backup/developer: INTERNET, best-effort

Steg 7: Implementera säkerhetspolicyer
Via Cisco DNA Center eller vManage konfigurerar du mikrosegmentering och applikationsbaserade brandväggsregler. Detta säkerställer att bara auktoriserad trafik tillåts mellan lokala system och AWS VPC:er.

Fas 4: Test och produktionssättning (vecka 9–10)

Steg 8: Prestandavalidation
Innan du migrerar produktionstrafik, genomför omfattande tester:

  • Latency-mätningar (mål: <10 ms mellan lokalt och AWS)
  • Throughput-test vid full last
  • Failover-tester (simulera Direct Connect-avbrott)
  • Säkerhetsaudit av brandväggsregler

Steg 9: Gradvis trafikmigrering
Börja med icke-kritisk trafik och öka andelen över 2–4 veckor. Övervaka kontinuerligt med Cisco DNA Center och AWS CloudWatch.

Cisco SD-WAN-licensiering: Kostnadsmodell och rekommendationer

En ofta förbisedd kostnadspost är Cisco SD-WAN-licensieringen. Här är en uppdaterad översikt:

Licensnivå Pris per Edge/månad (SEK) Funktioner
Cisco SD-WAN Essentials 1 500–2 000 Grundläggande routing, VPN, grundläggande säkerhet
Cisco SD-WAN Advantage 2 500–3 500 + Förbättrad analys, optimering, SLA-monitoring
Cisco SD-WAN Prime 3 500–5 000 + DNA Center-integration, avancerad säkerhet
Cisco SD-WAN Bundle (årslicens) 20–30% rabatt Alla nivåer finns som årslicens med betydande rabatt

Vår rekommendation för svenska enterprise-kunder: Börja med SD-WAN Advantage på kritiska sites och Essentials på sekundära kontor. Detta balanserar kostnad mot funktionalitet och ger dig den SLA-monitoring som är avgörande för att identifiera prestandaproblem innan de blir incidenter.

Vanliga fallgropar och hur du undviker dem

Fallgrop 1: Underdimensionerad Direct Connect-kapacitet

Många företag beställer Direct Connect baserat på dagens behov istället för att planera för tillväxt. Vår erfarenhet är att bandbreddsbehovet typiskt fördubblas var 18:e månad efter en molnmigration. Beställ 2x det du tror dig behöva idag, men börja med att aktivera bara den kapacitet du använder.

Fallgrop 2: Ignorera BGP Autonomous System-numrering

AWS Direct Connect kräver att du använder BGP för att utbyta routinginformation. Se till att du har ett officiellt AS-nummer (ASN) registrerat. Om du använder ett privat ASN (4200000000–4294967295), se till att det inte konfliktar med andra delar av din infrastruktur.

Fallgrop 3: Förgot backup-sökväg

Direct Connect är robust men inte perfekt. Planera alltid för failover via SD-WAN över internet. Konfigurera detta innan produktionssättning och testa att det fungerar genom att aktivt stänga av Direct Connect under underhållsfönster.

Fallgrop 4: SAML-konfigurationsfel med AWS Transit Gateway Connect

Om du använder SD-WAN GRE-tunnlar till Transit Gateway Connect behöver du konfigurera BGP-authentication och确保 IP-fragmentering inte orsakar problem. Detta är en vanlig orsak till intermittent anslutningsförlust som ofta missas i initial konfiguration.

Jämförelse: Direkt VPN vs. SD-WAN + Direct Connect

Aspekt Traditionell VPN SD-WAN + Direct Connect
Latency 50–300 ms 1–15 ms
Bandbredd max 1 Gbps per tunnel 100 Gbps portering
Skalbarhet Linjär ökning i komplexitet Centralt hanterad, enkel skalning
Failover Manuellt eller basic Automatisk med sekunders omkoppling
Trafikoptimering Ingen Lastbalansering, applikationsprioritering
Månadskostnad (1 Gbps) 8 000–12 000 SEK (VPN-kostnader + internet) 15 000–25 000 SEK (Direct Connect + SD-WAN)
Total ägandekostnad 3 år Hög (hårdvara, underhåll, incidenter) Lägre totalt med bättre ROI
Compliance-stöd Grundläggande Omfattande audit-trails, mikrosegmentering

Slutsats: Är Cisco + AWS rätt för din organisation?

Ett väl implementerat hybrid molnnätverk med Cisco SD-WAN och AWS Direct Connect är inte en billig lösning i inköpsögonblicket. Men sett över en treårsperiod visar våra erfarenheter från nordiska enterprise-implementationer att totalkostnaden ofta är lägre än en VPN-baserad lösning när du räknar in:

  • Minskade incidentkostnader (tre gånger färre nätverksrelaterade incidenter)
  • Lägre egress-kostnader till AWS
  • Förbättrad utvecklarproduktivitet (kortare deployment-tider)
  • Bättre compliance-position (minskad risk för sanktioner)

För organisationer som kör tunga arbetsbelastningar i AWS – databasapplikationer, machine learning-pipelines, ERP-system – är investeringen i ett professionellt hybrid molnnätverk inte längre ett val utan en nödvändighet för att förbli konkurrenskraftig.

Nästa steg: Börja med en nätverks-audit för att kartlägga din nuvarande infrastruktur. Många Cisco- och AWS-partners erbjuder detta utan kostnad som en ingång till en större implementation. Kontakta Ciro Cloud för en kostnadsfri utvärdering av din nuvarande molnnätverksarkitektur.

Weekly cloud insights — free

Practical guides on cloud costs, security and strategy. No spam, ever.

Comments

Leave a comment