SD-WAN

Un article de Wikipédia, l'encyclopédie libre.

SD-WAN est un acronyme pour « Software-Defined Wide Area Network », soit réseau étendu à définition logicielle, et est présenté dans les années 2020[1] comme la nouvelle évolution majeure des télécommunications.

Un SD-WAN facilite la gestion du réseau en séparant la partie matérielle du réseau de ses mécanismes de contrôle et de gestion. Ce concept est similaire à la manière dont le réseau à définition logicielle met en œuvre la virtualisation pour améliorer la gestion et l'exploitation des centres de données[2].

Une application majeure du SD-WAN consiste à permettre aux entreprises de construire des WANs de meilleure performance en utilisant un accès internet moins coûteux et disponible dans le commerce, permettant aux entreprises de remplacer, partiellement ou totalement, les technologies en connectivité WAN privées plus chères, à l'instar de la technologie MPLS[2].

L'entreprise américaine de recherche en marketing Gartner a annoncé en 2018 que d'ici 2023, plus de 90 % des initiatives de renouvellement des infrastructures WAN de pointe seront fondées sur des plateformes Customer Premises Equipment virtualisé ou des logiciels ou appareils SD-WAN[3].

Intérêt[modifier | modifier le code]

Le SD-WAN est une technologie de transport de paquets IP conçue pour :

  • utiliser un ensemble de liens hétérogènes ;
  • disposer d’une classification de flux applicative ;
  • router les flux par application ;
  • intégrer l’interconnexion avec les environnements Cloud ;
  • permettre un contrôle et un déploiement centralisés ;
  • gérer de manière intelligente les flux à destination d'internet ou des réseaux privés distants.

Le principal critère d'adoption du SD-WAN dans les réseaux d'entreprise est le gain économique résultant du remplacement d'un lien MPLS par un lien Internet.

Différents types d'architecture[4][modifier | modifier le code]

Architecture Physique[modifier | modifier le code]

Le SD-WAN est un routeur qui se placerait directement sur le(s) site(s) d'une entreprise et qui prendra en charge le lissage en temps réel du trafic réseau et donc cela implique de meilleures performances.

Architecture Cloud[modifier | modifier le code]

L'architecture Cloud SD-WAN est une solution sur site comme la précédente, cependant la différence principale est que chacune des surcouches logicielles présente sur les différents routeurs SD-WAN va avoir comme intermédiaire une passerelle Cloud mise à disposition par le fournisseur de la solution SD-WAN.

Cette architecture a de nombreux avantages qui sont les suivants :

  • Une meilleure capacité de reprise sur incident assurée par des sauvegardes fréquentes de l'état du réseau assurée par les contrôleurs SD-WAN.
  • Une surcouche de sécurité est apportée directement par le Cloud privé qui dispose de ses propres couches de pare-feu et de protocoles de sécurité.

En point positif pour l'architecture Cloud, il est également intéressant de noter que les fournisseurs SD-WAN disposent de passerelles vers les principaux fournisseurs d'application Cloud comme Google ou Microsoft.

Ces passerelles apportent une réelle plus-value en termes de performances.

L'architecture Cloud offre également la possibilité de mettre en place des passerelles Cloud afin d'augmenter les performances des applications mises à disposition sur le Cloud de l'entreprise.

Utiliser un ensemble de liens hétérogènes[modifier | modifier le code]

SD-WAN gère des liens virtuels (overlays) créés au-dessus de réseaux IP existants[5]. De cette manière, les réseaux SD-WAN sont indépendants du réseau physique, qui peuvent mêler plusieurs technologies, en général L3VPN (MPLS) et Internet. Cette combinaison permet de disposer d'une grande fiabilité, d'un bon niveau de gestion de la bande passante (QoS) grâce au lien L3VPN et d'un débit important pour un coût modéré grâce au lien Internet.

Disposer d’une classification de flux applicative[modifier | modifier le code]

Les flux peuvent être classés par application grâce à un moteur DPI (deep packet inspection), plus évolué qu'un classement effectué sur les critères standardisés par l'ISO (ports UDP et TCP de la couche 4 du modèle OSI). Par exemple, un flux peer to peer pourra être séparé d'une consultation du site web comme Wikipedia, même si les deux flux utilisent le même canal de communication de la couche 7 (HTTP).

Router les flux par application[modifier | modifier le code]

Une fois cette classification effectuée, chaque flux applicatif va être routé dans un lien virtuel en fonction de critères soit statiques (par exemple : utilisation du lien MPLS pour la voix et du lien Internet pour les données), soit dynamiques (bande passante disponible, latence maximale[6], taux de pertes de paquets…). Le SD-WAN permet d'attribuer la bande passante aux applications en ayant le plus besoin, selon des critères choisis en amont[7].

A cause de l'absence de normalisation sur la classification applicative et le routage applicatif, cette phase est propriétaire, d'où l'absence d'interopérabilité entre les solutions des constructeurs[8]. De plus, pour assurer la continuité et la symétrie de ce routage sur l'ensemble du réseau, les implémentations utilisent un système d'overlay pour limiter la dépendance avec l'infrastructure physique du réseau[9].

Intégrer l’interconnexion avec les environnements Cloud[modifier | modifier le code]

Les sites possédant un accès Internet peuvent accéder par un tunnel sécurisé directement à des environnements Cloud (AWS, Azure...), de plus en plus présents dans les réseaux d’entreprise, sans passer par un site passerelle.

Permettre un contrôle et un déploiement centralisés[modifier | modifier le code]

La supervision du réseau et le management des tunnels et du routage sont centralisés sur un orchestrateur. L’administrateur réseau y accède depuis une interface sans avoir à configurer les équipements réseau un par un. En outre l'interface peut proposer des services additionnels (service chaining, sécurité...).

Critères importants d'une solution SD-WAN[10][modifier | modifier le code]

Sécurité[modifier | modifier le code]

Les solutions SD-WAN doivent inclure une protection des données sur le réseau suffisamment performantes pour garantir l’étanchéité des liaisons entre les utilisateurs et le service des applications Cloud qu’ils seront amenés à utiliser.

Des services de sécurité basique comme des pare-feux, de la segmentation de réseau, des VPN et des ACLs sont disponibles dans la plupart des offres de SD-WAN. Puis via des services de NVF, des applications de sécurité plus importantes sont mises à disposition, comme par exemple, des antivirus et antimalware, des services de Data Loss Prevention ( DLP ), de Secure Web Gateway ( SWG ), un service de Cloud Access Security Broker ( CASB ) qui lui-même contient des pare-feux d’application Web ( WAF ) et des services d’authentification.

Les services de sécurité SD-WAN suivent majoritairement le modèle de sécurité dit Zero Trust, qui vise à ne faire confiance à personne par défaut. Ce mécanisme permet une étanchéité et un cloisonnement des données en se focalisant directement sur les accès aux applications plutôt qu’au niveau du réseau. Ceci est mis en place avec une nouvelle approche des restrictions d'accès vers les applications.

Optimisation et performance d'application[modifier | modifier le code]

L’utilisation d’un réseau SD-WAN ne doit pas impacter les performances des applications cloud mises à disposition sur celui-ci. Les différentes solutions proposées par les entreprises sur le marché mettent en avant les optimisations qui découlent du SaaS qui permettent une réduction des pertes de paquets, de la latence et de fluctuation du signal.

Les entreprises font également l'éloge des optimisations des protocoles TCP, HTTP et SSL, ainsi que des technologies de compression et déduplication visant à réduire le trafic réseau et les envois de données inutiles. Ceci étant couplé avec un système de mise en cache et d’optimisation de la latence afin de garantir une qualité de service et une expérience utilisateur optimale.

Fonctionnalités opérationnelles[modifier | modifier le code]

Les différentes solutions SD-WAN devraient toutes pouvoir garantir une gestion simple et efficace des utilisateurs et appareils connectés sur le réseau entreprise.

Pour ce faire, une centralisation des paramètres utilisateurs et appareils sur un contrôleur unique dans le réseau est nécessaire. Ce contrôleur pourra facilement ajouter ou supprimer des données de configurations pour un utilisateur/appareil. Il est également nécessaire qu’il dispose d’une liste des applications visibles sur le cloud ainsi qu’un état du réseau.

La solution devrait également permettre l’ajout d’une branche avec une politique de zero-touch administrator, c’est-à-dire, aucune action de l’administrateur sur les fichiers de configurations ne devrait être nécessaire lors de l’ajout ou du retrait d’une branche de réseau dans l’entreprise.

Facilité de déploiement[modifier | modifier le code]

La simplicité et la rapidité du déploiement d’un SD-WAN sont des facteurs extrêmement importants dans l’étude des solutions de cette technologie.

De par la nature hétérogène des réseaux d’entreprise et des réseaux WAN, les solutions SD-WAN se doivent de pouvoir être mises en place avec une variété d'options pour la compatibilité entre hardware et software afin de permettre une transition vers le cloud sans problème. Les différents liens de connectique étant également hétérogènes (Ethernet, LTE et autres), il est important que ceux-ci soient intégrés dans le déploiement de manière fluide et efficace.

Scalabilité[modifier | modifier le code]

Le SD-WAN, doit être capable de pouvoir être déployé sur des réseaux à grande et petite échelle sans problème. Ceci ayant pour but d’adapter la solution au cas où utilisateur du demandeur du SD-WAN, il se doit d’être simple d’utilisation et automatisé peu importe l’échelle du réseau, tout en pouvant gérer des réseaux plus complexes et en étant rapide à déployer et à manager.

Acteurs[modifier | modifier le code]

Les éditeurs

Ils s’adressent aux grossistes et distributeurs dans chaque pays afin de livrer en masse leurs logiciels. À l’exception de clients grands-comptes, les clients finaux achètent leurs solutions par l’intermédiaire de revendeurs ou d’intégrateurs.

Il existe de nombreux éditeurs aujourd'hui proposant une solution de Sd-Wan (ex : NacXwan, Riverbed, Sophos, Cisco Meraki, VeloCloud...)[11]

Les éditeurs infogéreurs

Ils s’adressent directement aux entreprises ou à des intégrateurs en proposant un service « clef en main » SD-WAN grâce à un support client sur leurs solutions.

Les intégrateurs

Ils s’adressent à des clients finaux en intégrant des solutions d’un ou plusieurs éditeurs dont ils assurent la commercialisation et la maintenance. Les opérateurs télécoms traditionnels ou alternatifs sont des intégrateurs de solutions tierces.

Les opérateurs SD-WAN

Ils s’adressent à des clients finaux ou partenaires en assurant l’infogérance des solutions SD-WAN ainsi que la gestion de toutes les liaisons de télécommunications filaires et sans fils. Ils ont la particularité d’être des acteurs exclusifs (« Pure Players ») SD-WAN (ex : Sayse ...)

Notes et références[modifier | modifier le code]

  1. Yves Pellemans, « SD-WAN : évolution, révolution, disruption ? », sur globalsecuritymag.fr, (consulté le )
  2. a et b (en) Michael Cooney, « SD-WAN - What it means for enterprise networking, security, cloud computing », sur Network World, (consulté le )
  3. (en) Michael Vizard, « Gartner Report Highlights Different Vendor SD-WAN Strategies », sur sdxcentral, (consulté le )
  4. « Qu'est-ce qu'un SD-WAN ? | WAN défini par le logiciel (SD-WAN) », sur www.ibm.com (consulté le )
  5. (en) « SD-WAN: The Killer App For Enterprise SDN? », networkcomputing.com, (consulté le )
  6. (en) « How to address WAN jitter issues for real-time applications », networkworld.com, (consulté le )
  7. Thomas Desrues, « Réseau MPLS-VPN : il est temps de passer au SD-WAN », sur Informatique magazine, (consulté le )
  8. (en) « Adopting a Multi-Vendor SD-WAN Strategy | No Jitter », sur www.nojitter.com (consulté le )
  9. Juniper, Présentation du SD-WAN pour l'entreprise (lire en ligne), p. 7
  10. (en) FOREST Jonathan, SINGH Naresh, LERNER Andrew and ZENG Evan, « Critical Capabilities for WAN Edge Infrastructure » Accès libre, (consulté le )
  11. (en) « SD-Wan Providers » (consulté en )