Qu’est-ce qu’un SD-WAN ?

Le réseau WAN traditionnel est composé de routeurs physiques qui assurent la transmission des données entre appareils au sein de plusieurs réseaux locaux (LAN, comme les réseaux Ethernet et Wi-Fi. Pour transmettre les données, le réseau WAN peut s’appuyer sur différents protocoles tels que la commutation d’étiquettes multiprotocole (MPLS). Le protocole MPLS achemine le trafic WAN en utilisant le chemin le plus court.

Alors qu'un seul réseau local est limité à un emplacement physique tel qu'un immeuble de bureaux, un réseau étendu peut comprendre plusieurs réseaux locaux situés dans le même bureau ou dans des immeubles différents situés à des kilomètres l'un de l'autre.

Cependant, les réseaux étendus sont limités au circuit de télécommunications de leur région et à l'accord de niveau de service (SLA) du service de transport d'un fournisseur d'accès à l'internet. Par exemple, un réseau étendu (WAN) qui achemine des informations via le câble ou l'internet à large bande fourni par le fournisseur d'accès à internet de la région ne peut pas s'étendre au-delà de cette infrastructure physique. Ainsi, le réseau WAN ne peut englober les 20 LAN des deux bureaux que parce qu'ils partagent le même service de transport. Si l'organisation possède un troisième immeuble de bureaux situé dans une région disposant d'un service de transport différent, un réseau étendu distinct est nécessaire pour gérer les connexions LAN qui s'y trouvent. En outre, les bureaux au sein du réseau étendu sont limités à la largeur de bande garantie par leur accès à l'internet. C'est là qu'un SD-WAN offre plusieurs avantages par rapport à un WAN traditionnel.

En servant de couche logicielle au-dessus d'une série de réseaux WAN basés sur des routeurs, un SD-WAN dépasse les limites physiques auxquelles ces réseaux WAN sont confrontés. Il permet de surveiller, de contrôler et d'optimiser l'ensemble du trafic réseau couvrant diverses régions, types d'infrastructures et fournisseurs de services de transport à partir d'une application unique accessible à tout utilisateur autorisé, où qu'il se trouve. À l'inverse, sans un SD-WAN au-dessus d'une série de réseaux WAN, le contrôle et la configuration de chaque WAN individuel sont limités au niveau matériel.

L'architecture SASE (Secure Access Service Edge) est une alternative au SD-WAN. Ces deux types d'architecture constituent des formes d'optimisation du réseau étendu et relèvent de la catégorie plus large des réseaux définis par logiciel (SDN). Cependant, tout comme un SD-WAN centralise la gestion d'une série de WAN dans une couche logicielle abstraite, une architecture SASE abstrait les services de gestion et de sécurité d'un réseau dans un déploiement basé sur le cloud qui réside plus près ou à la périphérie d'un réseau.

Alors que l'architecture SD-WAN met l'accent sur la connectivité entre les sites, un déploiement SASE s'intéresse aux terminaux du réseau et aux appareils qui l'utilisent.

Une architecture SD-WAN établit un contrôleur logiciel qui consolide et centralise les paramètres de configuration uniques de chaque réseau WAN sous-jacent, ce qui permet d'orchestrer l'approvisionnement en données, les protocoles de sécurité du réseau et les paramètres de politique vers plusieurs points d'extrémité du réseau WAN et dispositifs périphériques en même temps.

Cette couche logicielle centralisée est formée par l'établissement de tunnels cryptés (qu'on appelle aussi « superposition ») entre elle et les réseaux WAN qu'elle gère via un dispositif SD-WAN. Chaque emplacement WAN est équipé d'un dispositif SD-WAN qui sert de hub de communication entre ce réseau WAN physique et la couche logicielle SD-WAN. Ce dispositif reçoit et applique la configuration personnalisée et les politiques de trafic de la couche SD-WAN centralisée située au-dessus de lui. Ces dispositifs SD-WAN physiques peuvent être gérés à distance et permettent à la couche SD-WAN de fonctionner au-delà des limites physiques d'un réseau étendu.

• Modèles de cloud computing et d’edge computing : Un SD-WAN peut être configuré dans le cadre d'une architecture de maillage de données complète pour permettre un Distributed Computing Environment dans lequel de grandes quantités de données sont traitées à la périphérie. Cela réduit le transport de données créé par les réseaux WAN. En effet, tous les transferts de données au sein d'un réseau étendu sont acheminés via le centre de données de l'entreprise. Lorsqu'un réseau WAN est fortement sollicité, les données peuvent être victimes d'un engorgement dans ce centre de données. Imaginez cinq voies de circulation obligées de passer par un seul poste de péage. Un SD-WAN peut être utilisé pour allouer et gérer la puissance de traitement sur des appareils plus proches ou à la périphérie, ainsi que dans des environnements en nuage, éliminant ainsi la nécessité d'acheminer le trafic de données et d'applications à travers le centre de données

• Intégration de la sécurité de bout en bout sur le réseau : Étant donné qu'une architecture SD-WAN crée un réseau virtualisé, les solutions SD-WAN pour la sécurité peuvent être intégrées à tout moment dans une infrastructure physique ou basée sur le cloud. En outre, un SD-WAN offre un point de visibilité unique pour l'ensemble d'un réseau composé de plusieurs WAN. La surveillance et la gestion de la sécurité deviennent ainsi centralisées et évolutives. Les politiques de sécurité peuvent être définies pour l'ensemble du réseau ou personnalisées pour des sections spécifiques du réseau via des tunnels chiffrés

• Gestion centralisée : Un SD-WAN fournit un point de contrôle unique pour une série complexe de réseaux WAN et rend ce contrôle accessible partout aux utilisateurs autorisés. Par exemple, dans le cas d'une fusion entre deux sociétés financières, un SD-WAN peut élever la gestion des réseaux WAN disparates des deux organisations à une couche logicielle abstraite. Dans le cadre de cette gestion centralisée, le personnel informatique peut procéder à une segmentation du réseau afin de diviser l'ensemble du réseau en segments plus petits où des politiques localisées peuvent être définies et appliquées. Le personnel informatique dispose ainsi d'un niveau de contrôle granulaire sur le réseau tout en conservant une visibilité et une gestion totales du réseau dans son ensemble

• Garantir le respect des accords de niveau de service pour des applications spécifiques : Avec un SD-WAN, les administrateurs réseau peuvent définir et ajuster les priorités pour les applications critiques afin de s'assurer qu'elles disposent toujours des ressources réseau et des voies d'accès nécessaires pour répondre aux exigences. Imaginez une autoroute très fréquentée avec une voie de covoiturage ouverte, réservée aux données critiques qui doivent être acheminées le plus rapidement possible. Cette « voie de covoiturage » peut être la bande passante 5G du réseau, tandis que la voie à circulation plus lente peut être la bande passante 4G LTE du réseau. Par le biais de l'interface SD-WAN, un membre du personnel informatique désigne les applications qui doivent emprunter cette voie pour atteindre leur destination le plus rapidement possible
  

Un SD-WAN n'est pas un réseau privé virtuel (VPN). L'architecture SD-WAN sert de passerelle centrale pour tous les appareils sur la série sous-jacente d'un ou de plusieurs réseaux WAN. En revanche, un VPN établit une connexion privée point à point sur un réseau public comme l'internet. Dans une connexion internet VPN, le trafic réseau est acheminé par un tunnel chiffré géré par le réseau de serveurs privés du fournisseur VPN.

Comme un SD-WAN combine les services réseau sous-jacents de plusieurs WAN, il peut utiliser n'importe lequel de ces services pour optimiser les performances de chaque application. Ces services comprennent l'infrastructure physique comme le service de transport, la capacité de la bande passante et les fonctions de sécurité du type paramètres du pare-feu. Les paramètres optimisés pour chaque application sont déterminés par le contrôle des performances de l'application et configurés par le biais des paramètres de la politique.

Étant donné que le SD-WAN existe en tant que couche virtualisée, il offre plusieurs avantages par rapport à un WAN traditionnel, notamment :

• Bien adapté à la gestion d'un réseau hybride : Un SD-WAN permet au personnel informatique de gérer des connexions réseau hybrides complexes composées de centres de données privés, de clouds publics et d'appareils de périphérie. Ce contrôle centralisé des environnements hybrides est essentiel pour les initiatives de transformation numérique qui nécessitent la virtualisation et l'adoption du cloud public

• Agilité :  Un SD-WAN simplifie la gestion du réseau, permettant au personnel informatique de surveiller et d'ajuster efficacement le trafic en temps réel afin de répondre plus rapidement aux demandes de l'entreprise. En outre, cette gestion simplifiée permet également d'accélérer le provisionnement des ressources du réseau grâce à l'application des accès totalement automatisée (ZTP), une fonction SD-WAN utilisée pour la configuration automatique des dispositifs du réseau

• Efficacité et réduction des coûts :  La technologie SD-WAN supprime de nombreuses tâches physiques, du type visite ou envoi d'un membre du personnel informatique sur le site géographique d'un réseau étendu où résident les contrôles. Cela permet de réduire les coûts et d'améliorer l'efficacité de la gestion du réseau. Un SD-WAN permet également une meilleure utilisation des ressources existantes. Par exemple, un seul membre du personnel informatique peut utiliser la couche logicielle SD-WAN pour reléguer le trafic non critique à des services de transport rentables ou transmettre le trafic critique/sensible via des connexions MPLS sécurisées

• Des applications performantes et une expérience utilisateur améliorée : Grâce au contrôle des performances effectué dans la couche SD-WAN, le personnel informatique peut déterminer les paramètres optimaux du réseau pour chaque application. Le personnel informatique peut alors rediriger le trafic vers les services de transport appropriés et ajuster les paramètres du réseau afin de réduire la latence des applications et d'améliorer la disponibilité pour les utilisateurs finaux. Par exemple, les ressources réseau peuvent être configurées comme options de basculement si les ressources utilisées par une application critique deviennent soudainement indisponibles. En cas d'interruption, une application est immédiatement redirigée vers les ressources de basculement afin d'éviter ou de minimiser les interruptions de service

• Déploiement plus rapide que les réseaux étendus traditionnels basés sur la technologie MPLS : Le SD-WAN étant une abstraction virtuelle qui gère des ressources physiques, il peut être déployé plus rapidement que les réseaux WAN basés sur MPLS, qui nécessitent des configurations matérielles. Cela peut entraîner de longs délais de déploiement qui impliquent l'achat, l'installation et la mise en œuvre de composants physiques. Un SD-WAN peut être déployé sur site, dans le cloud ou de manière hybride

• Réduction de la perte de paquets et de la gigue : Lorsqu'un problème technique survient sur le circuit de télécommunications d'un réseau étendu traditionnel, il peut en résulter une perte de paquets et une gigue. La perte de paquets se produit lorsque toutes les données demandées n'arrivent pas à la destination prévue, tandis que la gigue est le résultat d'un délai prolongé entre l'envoi et l'arrivée d'un paquet de données. Par exemple, les utilisateurs ressentent une gigue lorsque l'image et le son d'une vidéoconférence sont déformés

Un SD-WAN peut résoudre un problème de circuit à partir de l'un de ses WAN sous-jacents en redirigeant le trafic. Le personnel informatique peut également automatiser le SD-WAN pour appliquer l'une des techniques de qualité de service (QoS) suivantes afin d'atténuer la perte de paquets et la gigue :

• Correction d'erreur en aval (FEC) : Cette technique permet de réduire la perte de paquets en envoyant plusieurs copies du même paquet de données
• Tampons de gigue : Cette technique consiste à retenir des paquets de données et à les libérer à intervalles réguliers pour compenser une latence élevée du réseau. Imaginez des voitures qui attendent à un feu rouge et qui sont autorisées à avancer par lots à des intervalles de 30 secondes
• Accusé de réception négatif (NACK) : En cas de perte de paquets, cette technique détecte les données spécifiques manquantes et renvoie rapidement les informations manquantes

Oui, trois architectures SD-WAN communes comprennent :

1. SD-WAN basé sur Internet
2. Service Telco ou MSP SD-WAN
3. SD-WAN géré en tant que service

Un SD-WAN basé sur l'internet est également connu sous le nom de SD-WAN « Faites-le vous-même », et se produit lorsqu'une organisation déploie un SD-WAN en utilisant des ressources internes. Le personnel informatique de l'entreprise est responsable de l'installation des dispositifs SD-WAN nécessaires, du déploiement du logiciel SD-WAN, ainsi que de la maintenance et de la gestion continues du SD-WAN.

Dans le cadre d'un SD-WAN de service telco ou MSP, une organisation paie un fournisseur de services pour installer et fournir une connectivité SD-WAN sur ses sites WAN. Le prestataire fournit l'équipement et la main-d'œuvre, et s'assure que le réseau et les services de transport nécessaires sont disponibles.

Le SD-WAN géré en tant que service permet à une organisation d'accéder à l'architecture SD-WAN existante d'un fournisseur par le biais d'une orchestration logicielle. Ce SD-WAN réside sur le réseau privé du fournisseur et est souvent proposé en tant que logiciel en tant que service (SaaS) aux clients.