L’architecture SD-WAN : choix stratégique pour l’optimisation des réseaux.

y

·

Architecture SD-WAN : choix stratégique pour l’optimisation des réseaux.

L’architecture SD-WAN : choix stratégique pour l’optimisation des réseaux.

Une époque où la connectivité est un pilier pour le fonctionnement d’une entreprise ; il faut une technologie à la fois performante, fiable, et sécurisée. Qui permet de s’adapter à l’infrastructure existante, et puisse la faire évoluer tout en ayant une maitrise des coûts.

 Dans cet article vous allez comprendre comment la technologie SD-Wan permet de transformer le paysage des réseaux d’entreprises. Le SD-WAN (Software-Defined Wide Area Network) est une technologie Wan logiciel pour fournir des services réseaux flexible et sécurisé aux entreprises. Il offre une meilleure expérience aux utilisateurs en simplifiant son déploiement

Virtualisation : le SD-WAN repose sur des concepts de virtualisation réseau, où les fonctions réseau sont déployées sous forme de logiciels sur des appareils standard plutôt que sur des équipements matériels spécialisés. Cela signifie la mise en œuvre de technologies telles que la virtualisation des fonctions réseau (NFV) et les hyperviseurs pour exécuter et gérer ces fonctions sur des serveurs.

Utilisation des protocoles de virtualisation, tels que VXLAN ou GRE, qui permettent de créer des tunnels virtuels pour transporter le trafic entre les sites distants de manière sécurisée.

Automatisation : la configuration et la gestion des politiques de routage basées sur des critères de performance et des besoins métier spécifiques en utilisant des outils d’automatisation tels que des scripts Python ou des outils d’orchestration comme Ansible. La surveillance proactive du réseau, basée sur des indicateurs de performance clés (KPI) et des alertes automatisées, est essentielle pour assurer une disponibilité et des performances optimales du SD-WAN.

Sécurité Intégrée : cette solution intègre des fonctionnalités de sécurité avancées telles que le chiffrement des données, l’utilisation de VPN (Virtual Private Network), les pares-feux de nouvelle génération et la détection des menaces pour protéger les données sensibles contre les cyberattaques. L’utilisation de solutions de sécurité avancées telles que les systèmes de détection et de prévention des intrusions (IDS/IPS) et les outils d’analyse de comportement des utilisateurs (UEBA) pour identifier et contrer les attaques potentielles.

Le SD-Wan permet d’isoler les applications des services réseau sous-jacents en utilisant une couche virtuelle qui repose sur des stratégies. Cette couche supervise en temps réel les performances des réseaux sous-jacents et choisit le réseau le plus adapté à chaque application en fonction des configurations stratégiques. Elle apporte une maitrise des flux entrants/sortants, renforce la partie sécurité.

Les différents éléments du SD-Wan

On peut décomposer le SD-Wan en 3 parties distincts :

  • Le routeur d’accès SD-WAN se présente sous la forme d’une fonction réseau matériel ou virtualisée, pouvant être déployée dans divers environnements tels que les succursales, les bureaux régionaux, le siège social de l’entreprise, les centres de données, ainsi que sur des plateformes de cloud public ou privé.
  • Le contrôleur SD-WAN joue un rôle central en matière de sécurité et de gestion. Il offre aux opérateurs la possibilité de superviser le réseau depuis une console unique, et de définir des politiques à mettre en œuvre par l’orchestrateur.
  • L’orchestrateur SD-WAN, il agit comme un gestionnaire virtualisé du réseau, responsable de la supervision du trafic et de l’application des politiques et protocoles définis par les opérateurs.

L’orchestrateur et le contrôleur SD-WAN travaillent ensemble pour gérer dynamiquement le flux de données, tout en déterminant le niveau de priorité des applications. Certaines données sont dirigées vers des sites Internet externes et peuvent contourner le réseau de l’entreprise (telles que les applications SaaS ou le trafic web général) via des connexions VPN.

En revanche, les applications essentielles et les communications prioritaires, comme les appels VoIP, peuvent demeurer sur les connexions WAN traditionnelles de l’entreprise (telles que le MPLS) pour garantir sécurité, confidentialité et performances.

Partie Architecture

Overlay (réseau superposé) : pour faire simple c’est un réseau informatique superposé à un autre réseau (réseau de couche 2 sur un réseau de couche 3). Tous les nœuds d’un réseau superposé sont interconnectés les uns aux autres par des liens logiques ou virtuels, qui correspond à un chemin dans le réseau sous-jacent. Le Trafic depuis une machine virtuelle est contrôlé sur ce réseau virtuel.

Underlay : se compose de plusieurs accès : VPN IP MPLS, Internet et 4G/LTE pour permettent de transporter les données.

On peut définir 3 grands types d’architecture :

  • SD-Wan sur site : le matériel est hébergé sur les sites des entreprises, et gérer par une équipe en interne ou managée par un prestataire (co-management).
  • SD-Wan cloud : les sites en SD-WAN, via internet, se connectent à une passerelle virtuelle. Cette typologie est optimisée pour les accès aux applications dans le cloud.
  • SD-WAN cloud avec réseau dorsal : cette configuration intègre une connexion privée au sein d’un SD-WAN cloud, permettant ainsi au trafic de s’acheminer dynamiquement entre ce réseau et l’Internet public, en fonction des politiques et des protocoles établis. L’ajout de cette connexion privée renforce la sécurité du SD-WAN, augmente la bande passante pour garantir des performances constantes même en période de pic de trafic, et offre une connexion de secours en cas de défaillance de la connexion publique.

Avantages pour l’entreprise

Simplification des configurations : le SD-Wan étant VNF (Virtual Network Function) peut être déployé de manière virtuelle, sans avoir besoin de matériel spécifique dédié à chaque succursale. La virtualisation permet également une gestion plus centralisée et simplifiée, ce qui n’est pas le cas des réseaux MPLS.

Simplification d’utilisation : le SD-Wan permet une utilisation plus efficace des ressources et une adaptation facile aux fluctuations du trafic réseau, assurant ainsi une expérience utilisateur optimale.

Solution flexible : les entreprises étaient dépendantes des opérateurs pour ce qui est du réseau MPLS, une solution peu flexible, couteuse car peu de concurrence. La technologie SD-Wan permet d’utiliser en plus du réseau MPLS (SD-Wan Hybride), des accès à large bande passante (FTTH, FTTE, FTTB).

De plus, elles peuvent choisir parmi une variété de fournisseurs de matériel/logiciels, de constructeurs OEM et de fournisseurs de solutions pour déployer leurs propres SD-WAN.

Solution redondante : le SD-Wan est indépendant des réseaux MPLS et permet de créer des tunnels VPN sur des accès hauts débits, voir 4g/5g LTE. Qui permet d’assurer une continuité de service pour les entreprises.

Répercutions sur l’écosystème applicative / réseau de l’entreprise

J’ai suivi la mise en place de cette technologie dans l’entreprise ou je travaille actuellement ; de l’étude du besoin au déploiement, ainsi que son évolution actuelle.

Tout d’abord elle nous a permis d’évoluer progressivement des réseaux MPLS vers un SD-Wan dit full internet. En effet plusieurs phases nous ont permis de migrer vers un SD-Wan Hybride (intégrant un lien internet et un lien MPLS), pour être au final basculer sur une typologie réseau full internet (sans lien MPLS).

La flexibilité de cette technologie permet aux équipes applicatives aujourd’hui de déployer des solutions vers le cloud. De fiabiliser le réseau qui est indispensable pour le bon fonctionnement de la production, et de tendre vers une disponibilité de 99,98 %.

Une solution pour les zones non-éligible à la fibre est de ce fait possible par le déploiement de réseau 4g/5g ou satellite.

Mais la flexibilité de cette solution va dépendre de certains paramètres :

  • Tous les opérateurs ne sont pas éligibles dans les zones de déploiement, ce qui implique des coûts supplémentaires par une « obligation » de passer par certains opérateurs.
  • La solution SD-Wan peut être mise en place en interne, qui induit des équipes avec des compétences réseaux développés, une responsabilité sur l’infrastructure réseau et ça stabilité, coté déploiement et sécurité. Le Co-management / managé permet à l’entreprise de se décharger de certaines responsabilités, mais peux lui faire perdre de l’autonomie sur cette solution, et des coûts supplémentaires pour son évolution.
  • Un opérateur proposant plusieurs solutions de connectivité (VDSL, FTTO /FTTH, 4g) sur un même site, ne garantit pas une redondance à 100 %, car une panne réseau dans la zone coupe intégralement la connectivité.

Evolution du SD-Wan

La mise en place du SD-WAN favorise la surface d’attaque potentielle du réseau due à l’accès direct des sites au cloud. Une solution émergente est l’architecture de sécurité avancée appelée SASE (Secure Access Servce Edge), qui intègre des services de sécurité dans le cloud et s’intègre au SD-WAN.

SASE offre plusieurs fonctionnalités :

– les passerelles Web avec accès réseau Zero Trust.

– L’isolation du navigateur à distance.

– Le chiffrement/déchiffrement et le Firewall as a Service (FWaaS).

SASE permet une gestion centralisée via un logiciel de plan de contrôle, ce qui simplifie les opérations de sécurité et garantit une cohérence dans la protection du réseau.

Au fur et à mesure que les applications migrent des datacenters vers le cloud, les entreprises ont recherché des solutions pour permettre à leurs succursales d’accéder aux services et logiciels de manière efficace. Le SD-WAN représente une avancée majeure vers un accès plus souple, et le SASE constitue la progression naturelle du SD-WAN.

En savoir plus sur OZEO Consulting | Société de conseil IT

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture