Qu'est ce que le SD-WAN ? Définition, principes et évolutions

Pourquoi repenser le WAN et les architectures des réseaux d'entreprise alors que MPLS fait ses preuves depuis 20 ans ? Ces dernières années, les DSI et les gestionnaires des réseaux ont vu des changements dans les usages et dans la gestion des réseaux qui les poussent à la réflexion quant à l'adoption de solutions SD-WAN pour répondre aux nouveaux enjeux des entreprises 2.0 .

Tout d'abord, l’amélioration de l’Internet Public et les évolutions technologiques (4G, 5G, LTE…) font que les entreprises peuvent changer de stratégie pour réduire les coûts des connexions sans sacrifier les performances des services délivrés.

Ensuite, il y a le passage des applications vers le cloud, l'utilisation de solutions SaaS, ou la centralisation d'applications avec des accès à des datacenter privés. Office365, SalesForce, Cisco WebEx...

De plus, l'organisation des entreprises, l'adaptabilité aux besoins métiers font que la DSI doit s'adapter aux changements dans les façons de travailler: WiFi, Smartphones, Ouverture de site, Rachats et intégrations d'entreprises…

Ainsi le réseau doit absorber l'augmentation de consommation de bande passante depuis les postes de travail et les sites distants pour les nouveaux usages ainsi que pour répondre aux besoins d’adaptabilité pour les métiers.

1) Définition : Qu'est ce que le SD-WAN ?

Le SD-WAN, Software Defined - Wide Area Network, a été défini en premier lieu par l'ONUG (Open Networking User Group) en 2014. Cette organisation avait alors pour objectif d'implémenter une nouvelle architecture WAN dans laquelle la connexion WAN privée traditionnelle est complétée par une ou plusieurs autres connexions Internet sur un site distant, dans le but de réduire les coûts associées au WAN et accroître les fonctionnalités de gestion du réseau.

Ainsi, ces connexions supplémentaires permettaient de remplir deux objectifs principaux :

• Obtenir un accès direct aux applications hébergées dans le cloud, SaaS, etc.
• Avoir un pool de liens entre un site distant et le site principal / datacenter de l'entreprise.

La connexion supplémentaire est effectuée au travers d'un tunnel sécurisé permettant de router dynamiquement les applications en fonction de la performance des liaisons et de l'utilisation des liens.

Selon l'ONUG, ce réajustement des architectures réseaux peut permettre de réduire les coûts globaux de connexion, tout en restant maître des SLA.

Le rôle du routeur évolue avec le SD-WAN : d'un routage et un simple transfert de paquets, le routeur est responsable du routage dynamique des applications pour garantir la performance et la sécurité.

Un boîtier unique peut ainsi prendre en charge plusieurs fonctionnalités réseaux, gérer les bascules dans un pool de connexions y compris dans l’Internet Public et mieux maîtriser les coûts des liens / connexions.

2) Utilisation du SD-WAN : Cas d'usages

Voici les problèmes que le SD-WAN cherche à résoudre :

• CapEx et OpEx élevés des liens et des piles d'appareils

  • Coût du circuit
  • Gestion, visibilité et contrôle des équipements et de la bande passante du WAN
  • Connexion entre le Datacenter et les sites distants
  • Pas de mise en commun de la bande passante WAN accord avec x fournisseurs de services

• Composants Open Networking :

  • Programmation ouverte des routeurs des sites distants
  • Superposition centralisée des contrôleurs SDN
  • Dispositifs de boîte blanche des sites distants

• Avantages constatés lors de l'utilisation du SD-WAN :

  • Atténuer le routage asymétrique
  • Gestion des flux et de l'utilisation du WAN comme un pool de bande passante multi-fournisseur
  • CapEx & OpEx - Allègement de l'empilement des dispositifs et du coût des circuits
  • Supervision des liens et des applications dirigées sur le WAN
  • Applications liées à des SLAs sur des WAN haute performance et applications les moins critiques sur Internet (VPN)
  • Accès indépendants avec pool de liens, 3/4G, large bande, métro Ethernet, Fibre, etc.

3) Les 10 critères d'une solution SD-WAN selon l'ONUG

Selon le groupe de travail de l'ONUG portant sur le SD-WAN, 10 points sont listés quant aux "requirements" d'une solution SD-WAN :

1. Gestion de plusieurs liens actifs (publics et privés)
2. WAN construit sur des équipements physiques et virtuels
3. WAN hybride sécurisé permettant d'appliquer une ingénierie de trafic par application, prenant en compte la performance des liens
4. Visibilité et priorisation des applications critiques et temps réel selon les règles définies
5. Architecture hautement redondante
6. Interopérabilité au niveau 2 et 3 avec le reste de l'infrastructure
7. Interface de management centralisée avec tableaux de bord par application, site et VPN
8. Infrastructure Programmable avec des API sur un contrôleur qui fournit une abstraction de l’ensemble. Envoi des logs vers collecteurs tiers (SIEM...)
9. Un équipement doit pouvoir être déployé sans configuration et un minimum d'effort sur l'infrastructure actuelle
10. Certification FIPS-140-2 pour le chiffrement

4) Points de vigilance sur les déploiements SD-WAN

Au-delà des améliorations et des évolutions qu'apportent les constructeurs et acteurs du marché SD-WAN, certains points doivent continuellement requérir une vigilance particulière en fonction des particularités de chaque système d'information et aux besoins métiers propres à chaque entreprise :

• Coût (ROI variable d'une organisation à une autre)
• Sécurité (Gestion des sites distants et connexions à distance)
• Cloud (Mode de déploiement en fonction des critères de l'entreprise : Cloud / Hybride / Sur-site)
• Migration (Existant, Migration, Transition, Adaptation , Exceptions...)

5) Evolutions et virtualisation de fonctions réseau sur sites distants

Dans le but de simplifier les réseaux au maximum et d'éviter l'empilement de "boîtiers", une option de plus en plus envisagée est la virtualisation totale des fonctions réseau (NFV) sur les sites distants. Ainsi, un seul serveur x86 est installé (ou plusieurs serveurs dans le cas d'architectures à haute redondance) avec toutes les fonctions attendues virtualisées sur cette infrastructure.

Ceci peut présenter plusieurs avantages :

• Le déploiement d'une nouvelle fonction ne nécessite pas d'opération logistique, ni d'opération d'installation manuelle coûteuse. Il suffit de charger l'appliance virtuelle sur le site distant et une nouvelle fonction peut être disponible en un très court lapse de temps.
• L’architecture réseau et le design sont simplifiés puisqu'il n'y a plus de contrainte physique de connexion des équipements. S'il faut modifier ou adapter une infrastructure réseau (par exemple pour replacer l'IPS en amont de l'optimisation WAN) cela peut se faire en quelques clics sans recâblage.

6) Défis de gestion des serveurs x86 et des fonctions NFV

Il existe bien entendu des particularités à considérer que ce soit hardware, logicielles, organisationnelles ou d'orchestration en fonction des sites distants :

• Format du serveur (les sites distants ne sont pas des salles blanches de datacenter, bruit, résistance aux chocs, climatisation...)
• Connectivité WAN (Connectivité du Datacenter, réseaux LTE, Fibre, DSL...)
• Simplicité de déploiement (aucune opération manuelle autre que quelques branchements électriques et réseau)
• Performance (Analyse et optimisation des flux inter-serveur / inter VM, analyse des trafics entre les sites distants et le datacenter)
• Management (Gestion de l'hyperviseur, des latences, des architectures redondantes)
• Intégration dans l'écosystème IT et réseau existant (gestion de l'existant, intégration des protocoles de management réseau SNMP, syslog...)

Conclusion sur les fonctions de virtualisation du réseau

Ainsi, grâce aux fonctions de virtualisation du réseau (NFV), de nombreux acteurs du marché proposent désormais des solutions SD-WAN reposant sur l'usage d'un serveur / boîtier unique regroupant l'ensemble des équipements, des fonctions réseaux (sécurité, routage, bascule automatique, etc.) et la majeure partie des besoins IT métiers.

Ceux-ci permettent de simplifier les réseaux et la gestion de ces réseaux au maximum ainsi que d'accélérer l'agilité de déploiements de solutions pour répondre aux besoins métiers ou aux nouveaux usages.

D’autre part, le SD-WAN permet d’avoir une meilleure maîtrise sur les coûts des connexions (télécom notamment), ainsi qu’une meilleur gestion des pools de connexions (multi-support et WAN via Internet Public).

Il convient ainsi de réfléchir à comment le SD-WAN peut s'insérer dans les processus opérationnels actuels bien rôdés et effectuer une transition en accordance avec les besoins métiers, la stratégie de la DSI, l'existant et les spécificités de certains sites.

Sources:

• *"Le SD-WAN pour les nuls". Jérôme Durand: https://conf-ng.jres.org/2017/document_revision_2938.html?download *