Le SD-WAN, une rupture technologique dans le cadre de la digitalisation

Published by Gabrielle Guerrini on

Le SD-WAN, une rupture technologique dans le cadre de la digitalisation

Le marché du SD-WAN ne cesse d’évoluer et gagne de plus en plus de parts de marché. Les différents acteurs du marché (équipementiers, éditeurs de logiciels, opérateurs) s’y mettent de différentes manières et proposent aujourd’hui des offres/packages SD-WAN.

Un certain nombre de questions se posent dès qu’on commence à étudier le sujet :
– Quels sont les drivers ?
– Quels types d’offres ?
– Quelles solutions SD-WAN
– Quel design ?
– Quels sont les aspects sécurité à prendre en compte ?

Cet article vous permettra d’avoir une visibilité sur les différents sujets à traiter lorsque vous souhaitez transformer votre WAN vers une solution SD-WAN.

Avant d’aller plus loin, qu’est-ce-que le SD-WAN ?

Le SD-WAN (Software Defined Wide Area Network) est un overlay qui repose sur les différents supports de transport WAN, et permet un routage applicatif (application aware routing) en fonction d’un certain nombre de paramètres tels que la latence, la gigue, la perte de paquets etc… Ces paramètres constitueront des politiques de routage.

Une solution SD-WAN regroupe les 3 couches ci-dessous :

– Orchestrateur SD-WAN : interface utilisateur permettant de préparer les templates de configuration des équipements SD-WAN,
– Contrôleur SD-WAN : couche de contrôle qui reçoit les configurations envoyées par l’orchestrateur, les traduit vers le langage de l’équipement SD-WAN, et envoie les configurations à ce dernier,
– Edge SD-WAN : il s’agit ici du boitier (ou dans certains cas d’une machine virtuelle) SD-WAN connecté au lien WAN et responsable du routage des applications en fonction des politiques envoyées par le contrôleur.

Après la définition de base, les solutions SD-WAN permettent aussi les fonctionnalités suivantes :

– Zero Touch provisioning : permet le déploiement d’un site distant en quelques minutes et améliore donc le Time-To-Market.
– Le Local internet breakout pour soulager la sortie internet du datacenter et donc proposer au site distant une sortie vers internet en utilisant son lien internet local.
– Direct Cloud access afin d’optimiser l’accès aux applications hébergées dans le cloud.
– Reporting et visibilité sur les applications et le réseau.
– Automatisation via des API exposées par l’orchestrateur.

Maintenant que vous maitrisez la définition du SD-WAN 😉 Revenons donc aux questions posées au début de cet article.

Quels sont les drivers pour migrer vers une solution SD-WAN ? Ou en d’autres termes : qu’attendez-vous d’une solution SD-WAN ?

    1/ Le coût 

Le premier driver qui sort généralement du tiroir est le $. Les liens WAN (MPLS et depuis quelques années réseaux hybrides (MPLS/internet)), l’exploitation et la maintenance du réseau WAN d’une entreprise constituent un budget très conséquent.

La promesse du SD-WAN consiste à réduire le coût du réseau WAN d’une entreprise :
    – Orientation vers de la connectivité bas coût pour une certaine typologie de site (utilisation de liens internet, liens 4G).
    – Gestion centralisée et visibilité globale sur le réseau permettant de réduire le temps d’exploitation et de changements sur le réseau WAN (ex. un réseau WAN de 3000 sites).
    – Zero touch provisioning, permettant de réduire les temps de mise en production d’un site et le passage de plusieurs heures/jours à quelques minutes/heures.

Tous ces éléments cités ci-dessus permettent de réduire les coûts, cependant il faudrait passer par un business case approfondi pour pouvoir calculer le gain si migration vers une solution SD-WAN.

    2/ Réduire la complexité du réseau

Un autre driver qui ressort après le coût est la complexité du réseau. Beaucoup d’entreprises se plaignent de la complexité de leur réseau WAN, surtout après le déploiement d’un réseau hybride avec un lien MPLS et un lien internet sur chaque site.

Les mêmes entreprises ont poussé le modèle de l’hybride jusqu’au bout, pour faire du routage applicatif à l’aide de PBR (policy based routing) et d’IP SLA sans oublier la configuration des tunnels IPSEC pour le lien internet. Cependant, l’exploitation devient très complexe, le risque d’incident augmente, et le temps de résolution de ce dernier augmente à son tour.

Les solutions SD-WAN automatisent et cachent toute cette complexité : de la création des tunnels IPSEC, au routage applicatif, en passant par les SLA de liens et enfin le reporting par site (ex. dans le cas d’un réseau WAN de 3000 sites).

Cela dit, pour ce type d’entreprises, une solution SD-WAN réduira forcément la complexité du réseau.

Beaucoup d’autres drivers peuvent être cités tels que la sécurité, une sortie locale vers internet ou aussi l’accès direct au cloud. La liste est encore longue, mais ce qui est sûr, c’est que selon les drivers, une solution SD-WAN peut plus ou moins répondre aux différents besoins.

Quelles sont les offres du marché et comment s’y retrouver ?

On distingue 2 offres sur le marché SD-WAN, chaque offre a ses avantages et ses inconvénients. Le choix de l’une ou de l’autre dépend de beaucoup de paramètres qui différents d’une organisation à une autre. Nous allons donner quelques exemples mais encore une fois la liste est longue 😉

    1/ Offre managée. Et pour ajouter un peu plus de complexité, nous distinguons 2 familles d’offres managées :
        – Offre managée par un opérateur telecom: ce dernier vous propose un package accès telecom + Solution SD-WAN, 
        – Offre managée par un intégrateur : vous avez le droit de choisir l’opérateur qui vous convient pour vos liens telecoms, et votre solution sera managée par l’intégrateur de la solution SD-WAN. Attention toutefois aux périmètres de responsabilité. A noter que certains intégrateurs proposent aujourd’hui de se charger de la contractualisation des liens directement avec des opérateurs, ce qui vous permet d’avoir une interface unique qui sera votre intégrateur.

    2/ Offre opérée. Vous l’avez compris, vous intégrez et opérez votre solution SD-WAN avec toutes les briques de cette dernière (réseau et virtualisation). Une variante de cette offre consiste à souscrire à une offre de centre de service en mode ‘’Follow The Sun’’ pour exploiter et maintenir en conditions opérationnelles votre solution SD-WAN.

Le choix de l’une ou l’autre des solutions dépend de la politique de l’entreprise (s’orienter vers du managé ou de l’opéré), du coût, du niveau de sécurité de chaque offre, etc…

La liste des critères définis au préalable peut orienter vers le choix de l’une ou l’autre des solutions. Par exemple, vous voulez que la solution porte des briques de sécurités, ou des briques d’optimisation WAN, etc…

Le design à mettre en place pour une solution SD-WAN peut aussi orienter vers le choix d’une solution, ce point nous amène à la question du design.

Quel design mettre en place par rapport à votre design WAN actuel ?

Le design d’une solution SD-WAN est la partie la plus complexe de l’histoire. Tout d’abord, il faut avoir une bonne visibilité sur votre design WAN actuel :
    – Hub & spoke ou full mesh. Si full mesh, pouvez-vous orienter votre design vers du hub & spoke ?
    – Etes vous déjà sur un design de WAN hybride ?
    – Quelles sont les bandes passantes actuelles ?
    – Etc…

Ensuite, il faudrait avoir des éléments concernant le design cible :
    – Souhaitez-vous garder des sites avec la technologie MPLS ?
    – Voulez-vous installer les briques de contrôle on-premise ?
    – Avez-vous des sites en Chine ?
    – Quel niveau de redondance et de haute disponibilité souhaitez-vous avoir ?
    – Etc…

Lorsque vous avez les réponses à l’ensemble de ces questions, vous pouvez orienter votre choix et commencer par décrire le design de votre solution SD-WAN.

A noter que dans certains cas, un POC est nécessaire pour valider tel ou tel design.

Enfin, l’un des critères les plus importants pour une solution SD-WAN : la Sécurité (avec un grand ‘’S’’ !)

Avant de lister quelques points de la checklist sécurité d’une solution SD-WAN, il est à noter qu’un projet SD-WAN est généralement mené par les équipes réseau; cependant, il est nécessaire voire obligatoire de mettre les équipes sécurité dans la boucle dès le début, et notamment lorsque l’objectif est de passer des liens MPLS vers des liens internet.

Plusieurs éléments sécurité à prendre en considérations :
    – La robustesse des edge SD-WAN vis-à-vis des attaques,
    – Les algorithmes de chiffrement, d’échange de clés etc.,
    – Les durées de renouvellement des clés,
    – La robustesse de la sécurité du contrôleur,
    – La robustesse de la sécurité du ZTP (Zero Touch Provisioning),
    – La sécurité des sites avec des liens internet,
    – Les résultats des tests d’intrusion.

La liste n’est pas exhaustive et s’applique aux différentes solutions SD-WAN.

Nous avons traité plusieurs sujets lors de cet article, et vous l’avez compris, migrer vers une solution SD-WAN nécessite beaucoup de travail en amont.

Pour résumer :

Voici la checklist :
    – Définir les différents critères.
    – Identifier l’offre vers laquelle vous voulez vous orienter : managée ou opérée.
    – Avoir une visibilité sur le marché des solutions SD-WAN et identifier laquelle répond à vos critères.
    – Allouer le temps nécessaire pour la partie design.
    – Traiter le sujet de la sécurité de la solution, et inclure les équipes sécurité dès le début du projet.

Les Consultants EVA Group sont à votre disposition pour vous accompagner et faire le focus sur les points qui vous intéressent. Notre catalogue d’offres est disponible ici.

Ali ELAMRANI JOUTEI

Consultant EVA Group
Expert SD-WAN – 2xCCIE (Routing & Switching & Datacenter)

Categories: EVATECH