SD-WAN上线那天，大多数运维团队都松了一口气——"终于不用逐台配路由器了"。但三个月后，问题开始冒出来。不是SD-WAN不行，是运维没跟上。

绝大多数SD-WAN故障，不是因为技术不成熟，而是因为三个细节被长期忽视。等出事的时候，往往已经晚了。

第一个细节：控制平面证书过期。

这是SD-WAN运维中最致命、也最容易被忘记的事。SD-WAN的控制平面依赖TLS证书做身份认证，证书一旦过期，所有分支节点与控制器的连接直接中断——不是变慢，是彻底断联。

现实中，大量企业把证书管理丢给了安全团队，而安全团队根本不知道SD-WAN也有证书要管。结果就是：某天早上，几十个分支同时掉线，业务全线停摆，排查半天才发现是证书三个月前就过期了。

建议：上线第一天就把所有证书有效期录入运维日历，设置90天、60天、30天三级预警。这不是建议，是必须。

第二个细节：只监控Underlay，不看Overlay。

传统网络运维的习惯是盯Underlay——链路通不通、带宽够不够。但SD-WAN的业务流量走的是Overlay隧道，Underlay正常不代表Overlay正常。

真实场景：某条MPLS链路显示延迟5ms、丢包0%，完全健康。但Overlay隧道因为封装开销和路径选择问题，实际业务延迟已经飙到80ms，VoIP通话卡顿、视频会议花屏。监控系统没有任何告警，因为它只看Underlay。

建议：必须同时监控Overlay隧道的延迟、丢包和抖动，把它们纳入SLA考核。只看Underlay的SD-WAN运维，等于闭着眼睛开车。

第三个细节：策略漂移。

SD-WAN的核心优势是集中管控、统一下发策略。但现实是，分支现场经常有人手动改配置——加一条静态路由、改一个ACL、调一个QoS参数。这些改动不会同步回控制器，时间一长，本地配置和控制器策略之间产生偏差，这就是"策略漂移"。

漂移的后果很隐蔽：安全策略出现黑洞，流量绕过防火墙直连内网；路由策略不一致，导致流量走了次优路径甚至形成环路。等到出安全事件或大面积延迟，回溯原因才发现——问题不在SD-WAN本身，而在没人管的那几条手动配置。

建议：每月做一次策略一致性审计，开启控制器的配置漂移检测功能。能自动发现的问题，别等人工排查。

SD-WAN不是上了就完事的系统，它是需要持续运维的活网络。 证书、隧道、策略，这三个细节管住了，80%的故障根本不会发生。