Le SD-WAN expliqué

Une brève histoire des WAN

Initialement, les WAN (réseaux étendus) ont été conçus et implémentés pour faciliter l'accès des terminaux à distance aux ordinateurs centraux et mini-ordinateurs. Pouvant être considérés comme les premiers clouds, certains réseaux des années 70 et 80 utilisaient X.25, puis Frame Relay au début des années 90. Cependant, il a fallu attendre les VPN IPsec et les VPN MPLS pour que les réseaux WAN se démocratisent.

Avec l'essor d'Internet, les innovations ont été nombreuses et ont poussé à réduire le coût par bit de bande passante, en particulier sur les WAN coûteux. À mesure que les connexions haut débit se sont répandues, les entreprises ont commencé à les privilégier pour acheminer de multiples types de trafics à moindre coût.

Au début des années 2010, le réseau défini par logiciel SDN (software-defined networking) a commencé à être reconnu comme une approche potentiellement innovante des réseaux de données. Son but était d'abstraire encore plus les réseaux pour obtenir des avantages fonctionnels, opérationnels et de performances. Il s'agissait d'abord de désagréger le matériel et les logiciels réseau, de normaliser le plan de contrôle et d'offrir plus d'ouverture. Il fallait également accélérer les cycles d'innovation. À l'instar du calcul et du stockage, qui avaient grandement évolué pour se simplifier, le SDN a commencé à redéfinir le « comment » en plus du « quoi ».

S'inscrivant dans cette lignée, le SD-WAN (réseau étendu défini par logiciel) est né. La technologie SD-WAN n'est pas une architecture WAN spécifique, mais plutôt un concept et une abstraction visant à éliminer les contraintes et les lacunes des WAN traditionnels.

Défis du WAN

Même avec des protocoles de routage dynamiques, les chemins WAN ne sont généralement optimisés que pour une accessibilité élémentaire. Les fournisseurs de services de communications (CSP) peuvent utiliser au mieux les métriques de routage (telles que la latence, la gigue et la perte de paquets) et les stratégies pour appliquer leurs pratiques commerciales, optimiser les coûts avec des liens de basculement et améliorer l'expérience client à l'échelle du WAN. Cependant, pour de nombreuses entreprises, ces tâches sont complexes, longues et trop coûteuses.

D'autre part, les entreprises utilisant un WAN peu lucratif sont souvent confrontées à des problèmes de productivité qui démotivent les utilisateurs. Les problèmes peuvent être nombreux : performances WAN insuffisantes, pannes ou tâches de maintenance qui affectent les flux de travail et les communications critiques de l'entreprise.

Malgré le routage dynamique du WAN, son orchestration et son exploitation manquent d'informations sur les sessions individuelles des utilisateurs et leur portée. Les applications multimédias modernes (par exemple la voix, la vidéoconférence, les jeux et nombre d'autres applications sensibles à la latence) ont continuellement besoin de performances optimales, et sont particulièrement sensibles aux congestions ou pertes de paquets.

Quels problèmes ou défis les SD-WAN peuvent-ils donc résoudre ?

  • Connectivité WAN coûteuse
  • Complexité opérationnelle
  • Capacité de contrôle limitée et métriques peu précises
  • Fragilité des services
  • Manque de connaissances sur les applications et les sessions
  • Performances insuffisantes, congestions et files d'attente complexes
  • Évolutivité et élasticité limitées
  • Aucune stratégie de sécurité efficace par défaut
  • Application ou intégration des stratégies commerciales

 

Les promesses du SD-WAN

Comme mentionné plus haut, le SD-WAN est un concept et une couche d'abstraction. Cette approche de mise en réseau peut comprendre des architectures, des implémentations et des objectifs divers, mais elle cherche à améliorer tous les aspects de la prestation de services WAN. Descendant direct du SDN, le SD-WAN permet au WAN d'être plus malléable, programmable et intelligent. Cette approche facilite l'ajout de nouvelles fonctionnalités, améliore la prestation des services et réduit les coûts. De plus, le SD-WAN permet de faire évoluer les modèles de gestion, de surveillance et de sécurité des infrastructures.

Définition d'un réseau SD-WAN : que signifie « défini par logiciel » exactement ?

Que ce soit pour simplifier l'orchestration, rendre le WAN plus programmable ou ajouter un nouveau réseau virtuel superposé, le SD-WAN peut être défini de différentes manières (d'où la nature assez ambiguë du terme). Que signifie WAN « défini par logiciel » ?

Plutôt que de laisser les systèmes d'exploitation réseau traditionnels et leurs configurations statiques définir la totalité d'un WAN et son fonctionnement, le SD-WAN intègre une nouvelle interface ou plateforme qui influence ou fournit des fonctionnalités et fonctions WAN. Cette nouvelle plateforme logicielle (souvent centralisée) peut piloter, entre autres, l'orchestration, les opérations et le contrôle de paquets de bas niveau.

Un SD-WAN n'est pas qu'un système de gestion de réseau (NMS) réinterprété. C'est une nouvelle façon de repenser et de contrôler les fonctions WAN de bas et haut niveau. En adoptant l'approche et les avantages du SDN (courant dans les centres de données modernes), les services WAN peuvent évoluer et s'adapter plus rapidement aux besoins et aux exigences changeants d'une entreprise.

 

Solutions SD-WAN : définir et redéfinir le WAN

Même si les réseaux dotés de protocoles de routage dynamiques sont eux-mêmes un type de système distribué, un SD-WAN intègre une logique intelligente qui fournit un nouvel overlay (ou superposition) de services ou des interfaces pour piloter, accélérer et optimiser le WAN en temps réel. Cette plateforme permet d'orchestrer la logique améliorée, les automatisations supplémentaires et les nouvelles fonctionnalités. Certains SD-WAN peuvent également directement interagir avec les underlays (ou sous-couches) existants via des protocoles de routage traditionnels et offrir un nouveau plan d'overlay virtuel pour contrôler, orienter et transmettre les paquets.

Le SD-WAN se compose d'architectures variées. Il nécessite souvent un contrôleur centralisé physique, virtuel ou cloud. Certaines solutions étendent le WAN sous-jacent avec de nouveaux nœuds physiques ou virtuels. La plupart des entreprises utilisent des solutions SD-WAN commerciales, mais d'autres choisissent de déployer leur propre plateforme lorsqu'ils ont l'expertise et les moyens appropriés.

En apportant de nouvelles interfaces système et overlays, le SD-WAN peut redéfinir et transformer les services et les opérations traditionnelles d'un WAN. Alors que, traditionnellement, l'accessibilité et la fiabilité étaient les éléments de base des underlays existants, le SD-WAN permet d'obtenir un réseau plus informé, plus intelligent et plus résilient.

SD-WAN : Une nouvelle approche

Objectifs d'un SD-WAN

Les entreprises déploient des SD-WAN pour différentes raisons, mais s'accordent généralement sur un ensemble commun d'exigences commerciales et techniques :

  • Simplification des opérations et plus de résilience réseau
  • Plus d'intelligence pour la sélection des chemins, l'orchestration et l'agilité
  • Capacité d'intégrer la logique et la politique de l'entreprise au cœur du réseau
  • Réduction des frais de transport et utilisation optimale des ressources
  • Meilleures analyses applicatives et plus d'observabilité
  • Accélération des applications (de plus en plus pour les applications SaaS sensibles à la latence, à la perte et à la gigue)
  • Renforcement de la sécurité grâce à un contrôle plus précis des stratégies
  • Amélioration de l'expérience utilisateur et meilleure qualité de service
  • Programmabilité, automatisation plus poussée et API plus modernes

 

Avantages et facteurs d'adoption du SD-WAN

Tout comme la technologie, les modèles de trafic réseau changent et évoluent. Les entreprises cherchent constamment à mieux gérer la complexité du réseau, tout en contrôlant les coûts et en offrant les meilleurs services possibles à leurs clients et employés. Les services cloud exerçant plus de pression sur la connectivité WAN, l'accès aux services peut générer des flux sur des chemins qui ne sont pas forcément approuvés. En fonction des chemins empruntés, les liens peuvent être partagés plutôt que dédiés, et ne pas offrir de classes de service.

Pour simplifier, unifier et sécuriser les types d'accès multiples, que ce soit pour un site distant, un campus, un datacenter ou autre, les solutions SD-WAN garantissent plus d'élasticité, d'agilité et de sécurité dans des formats et selon des modèles économiques variés. Pour évaluer des solutions SD-WAN, les entreprises doivent impérativement avoir une idée claire de leurs motivations, de leurs besoins et des résultats souhaités, pas seulement pour la conception (Jour 0), mais jusqu'au déploiement (Jour 1), à l'exploitation (Jour 2) et au-delà.
 

À qui s'adresse le SD-WAN ?

Les SD-WAN sont avantageux pour tous les acteurs : grands opérateurs réseau comme petites organisations. Ils permettent non seulement d'améliorer l'orchestration, les opérations et la sécurité, mais également d'optimiser la prestation de services et la qualité de l'expérience utilisateur. Les avantages sont nombreux, que ce soit au niveau des coûts, des opérateurs ou des utilisateurs WAN (humains ou agents logiciels).

Avec un SD-WAN, les fournisseurs de services réseau peuvent proposer des services WAN supérieurs et plus robustes. Le SD-WAN tend à se rapprocher de l'IaaS (infrastructure en tant que service), qui peut être appliqué en interne ou en tant que service réseau géré (MNS) à la périphérie du réseau. Les services WAN gérés offerts par le SD-WAN gagnent en popularité auprès des entreprises, des grands campus et des marchands, ce qui pousse les fournisseurs de services SD-WAN à innover constamment. Beaucoup proposent déjà des fonctionnalités comme le ZTP (provisionnement sans intervention) et la ZTC (configuration sans intervention) afin de minimiser les problèmes, d'étendre les opérations et d'améliorer les délais de livraison et de rentabilisation.

Dans toutes les entreprises, les équipes de réseau et de sécurité qui adoptent le SD-WAN peuvent améliorer les services, réduire les temps de réponse et, surtout, supprimer les tâches complexes quotidiennes. Moins les équipes informatiques auront à s'occuper de la maintenance, plus elles pourront se consacrer à des projets qui font avancer l'entreprise. Pour une entreprise, tout flux de travail, flux de réseau ou charge de travail qui utilise le WAN peut tirer profit des capacités et fonctionnalités du SD-WAN, pour plus de performances, de résilience et de sécurité.
 

Architecture SD-WAN

Initialement, le SD-WAN visait à séparer le plan de données du plan de contrôle pour faciliter une logique et une intelligence d'ordre supérieur. Pourtant, il n'existe toujours pas d'architecture SD-WAN unifiée. Il existe de nombreuses approches et variantes, et certains affirment que l'orchestration et les opérations automatisées constituent également un SD-WAN.

Cependant, il existe des blocs et des limites communs qui font du SD-WAN un modèle conceptuel de prestation de services. Le SD-WAN peut être vu comme une plateforme pouvant interagir, améliorer ou déplacer des éléments du WAN et de son fonctionnement, en s'intégrant avec les fonctions réseau dans les plans de données et de contrôle ou en les remplaçant.

Les conceptions et solutions SD-WAN jouent un rôle décisif dans la manière de provisionner, d'orchestrer, de gérer et de surveiller le réseau. Certaines solutions sont dotées de capacités bien plus dynamiques et précises pour répondre aux exigences de performance, de stratégie et de sécurité.

Malgré la multitude de modèles économiques et de cas d'utilisation, les SD-WAN intègrent généralement un contrôleur centralisé et un maillage complet ou partiel (plutôt qu'une topologie traditionnelle en étoile). Même si les SD-WAN peuvent tirer parti des WAN traditionnels ou hybrides sous-jacents pour fonder leur propre couche de transmission, ils n'en restent pas moins des modèles OTT (over-the-top) qui offrent une rapidité exceptionnelle de déploiement et de gestion du cycle de vie et évitent ainsi les mises à niveau onéreuses.
 

Conceptions avec ou sans tunnels

Les tunnels créent des surcharges de paquets et augmentent la fragmentation. Les données supplémentaires et les surcharges de traitement affectent négativement le débit et les performances. Les approches basées sur des tunnels compliquent et entravent aussi l'évolutivité, et ralentissent le basculement des sessions sur des chemins alternatifs. De plus, avec les tunnels, il est impossible d'appliquer des stratégies de sécurité pendant l'acheminement. Il faut attendre la décapsulation pour effectuer toute inspection, identification et profilage depuis le point de terminaison du tunnel.

Les nouvelles approches sans tunnel permettent de réduire les surcharges de paquets SD-WAN et de maintenir un débit optimal sans encapsulation coûteuse. Cette approche permet également un redimensionnement rapide qui, sans être infini, requiert bien moins de ressources et une configuration plus simple pour offrir une topologie any-to-any croissante. L'approche sans tunnel apporte plus de renseignements contextuels et sur les sessions, ce qui permet d'orienter les flux et d'appliquer les stratégies de sécurité plus tôt.
 

Déploiement d'un SD-WAN

Comme nous l'avons précédemment mentionné, les SD-WAN peuvent se présenter sous de nombreuses formes (et formats). Cependant, les plus populaires sont les plus pratiques. Dans certains cas, le SD-WAN se base sur une appliance ou une boîte blanche sur site. Cependant, la plupart des architectures et solutions SD-WAN intègrent des machines virtuelles et des fonctions réseau virtualisées qui peuvent être entièrement provisionnées par logiciel sur les serveurs et les routeurs existants.

Tout comme un WAN traditionnel assure la connectivité et la transmission entre les sites, les ressources et les services, un SD-WAN étend également une périphérie ou un maillage intelligent là où il existe des entités ou des agents gérés (même lorsque les underlays ne sont pas gérés) :

  • Des sites distants au siège
  • Campus distribués
  • D'un datacenter à un autre
  • Accès à distance
  • Du siège à un cloud public ou privé
  • Cœur/Périphérie d'un CSP ou FAI

Étant donné que le SD-WAN n'est pas un protocole ou une technologie explicite, de nombreuses implémentations des overlays SD-WAN utilisent une variété de transmissions ou technologies filaires et sans fil sous-jacentes, y compris, sans s'y limiter : SD-WAN sur VPN MPLS, DSL et 5G/LTE (ou d'autres backhauls sans fil).
 

SD-WAN ou MPLS

Le SD-WAN ne remplace pas directement les VPN MPLS, mais offre une alternative lorsqu'il est combiné à d'autres modes de transmission. Il s'intègre à une multitude de technologies WAN sur différentes architectures. Les différents types de SD-WAN exploiteront facilement les services MPLS existants et construiront leur nouvelle topologie ou overlay, dont certains seront sans tunnel. En réduisant considérablement les frais d'encapsulation des données, ces solutions SD-WAN sans tunnel permettent d'optimiser immédiatement les coûts sur une large gamme de liaisons, tout en préservant la sécurité et la confidentialité associées.

Dans certains scénarios, les implémentations SD-WAN peuvent réduire le besoin de VPN MPLS en utilisant des options de connectivité plus économiques tout en gardant beaucoup d'avantages associés aux options de transmission plus coûteuses.

 

Les clés d'un SD-WAN

La priorité : l'expérience utilisateur

On s'imagine souvent qu'une entreprise sait précisément qui et quoi utilise son WAN. Cependant, ce n'est pas qu'à partir du moment où elle analyse les flux et les sessions qu'elle sera réellement en capacité de comprendre qui sont les utilisateurs réels et en quoi consistent vraiment leurs cas d'usage.

Avec le temps, l'utilisation du réseau oscille et alterne entre agents basés sur des machines et trafic initié par les utilisateurs. À mesure que les modèles de trafic se transforment, certains flux et sessions se retrouvent donc congestionnés. Ces sessions peuvent et devraient être hiérarchisées ou acheminées via des chemins alternatifs, mais ce n'est pas toujours le cas.

Les chemins congestionnés ne peuvent pas répondre aux demandes de communication en temps réel, ce qui a toujours été le problème des WAN. Les précédentes générations de solutions SD-WAN ont donné lieu à des implémentations essentiellement statiques qui utilisent des marquages de QoS (qualité de service) et des stratégies de file d'attente. Cependant, elles peuvent rarement influencer et orienter dynamiquement les sessions individuelles pour améliorer l'expérience d'un utilisateur en temps réel. Certaines solutions SD-WAN peuvent même établir des chemins de session symétriques pour optimiser les performances et mieux appliquer les stratégies.

Pour être efficaces, les solutions SD-WAN modernes doivent bien comprendre les sessions, afin d'offrir une représentation plus fidèle de l'état du réseau du point de vue de l'utilisateur. Les sessions sont temporelles et impliquent des flux d'applications spécifiques dont la qualité peut considérablement varier (en fonction de la capacité, des délais, des congestions et des pannes intermittentes, entre autres). Pour comprendre les sessions, il ne faut pas seulement identifier les applications : une structure intelligente doit pouvoir diriger les sessions individuelles de chaque utilisateur ou agent, session par session. En adoptant une vue plus globale et unifiée, associée à une capacité de routage précis des flux de trafic, certaines solutions SD-WAN peuvent automatiquement élever, rétrograder ou orienter ces sessions en fonction de critères tels que les objectifs de niveau de service. Les sessions individuelles sont devenues la monnaie ultime pour les opérateurs réseau qui souhaitent offrir des expériences utilisateur supérieures.
 

Assurance WAN

L'assurance est un moyen d'établir la confiance. Le WAN est essentiel non seulement pour connecter des sites, mais aussi pour accéder aux services et aux ressources et accélérer les flux de travail. Avec la confiance vient la tranquillité d'esprit. Qu'il s'agisse de provisionner de nouveaux sites, de faire évoluer la capacité ou d'offrir les outils adaptés aux équipes de sécurité et opérationnelles, les opérateurs réseau doivent bénéficier des fonctionnalités adaptées. Les opérations doivent non seulement être performantes, mais surtout échouer de la meilleure façon et minimiser les dommages. Les pannes et les congestions sont souvent inévitables. Cependant, avec un overlay intelligent, il n'y a plus besoin de se focaliser sur le MTBF (temps moyen entre pannes) et le MTTR (temps moyen de réparation).

Alors qu'historiquement, les équipes informatiques étaient limitées par les métriques ou les compromis des protocoles de routage traditionnels, elles peuvent désormais virtualiser le WAN et y ajouter de nouvelles couches d'intelligence tout en déployant plus rapidement des fonctionnalités. Le SD-WAN, qui garantit un contrôle plus précis des paquets et de leurs flux, peut être implémenté d'innombrables façons, que ce soit pour appliquer la meilleure stratégie de sécurité ou mieux contrôler les coûts. Dans tous les cas, il améliore l'expérience utilisateur.
 

Sécurité connectée et SASE

La sécurité est une question de risques. Dans un monde où les menaces numériques n'ont plus de frontières et s'accélèrent, les entreprises redoublent d'efforts pour protéger leurs actifs, leurs services et leurs employés. La sécurité numérique a un impact croissant sur la sécurité. Les risques liés aux attaques intentionnelles ont également commencé à affecter d'autres éléments des opérations. Plus la connectivité et le contrôle numériques sont élevés, plus la surface d'attaque numérique à protéger est grande.

Les architectures de sécurité ont longtemps cherché à limiter et à partitionner les domaines d'échec pour éviter qu'ils ne s'étendent, mais il est compliqué d'y arriver sans affecter le bon fonctionnement des flux de travail et des processus. Le SASE (Secure Access Service Edge) applique des fonctions de sécurité assurées au niveau des frontières de confiance afin de limiter les surcharges traditionnellement associées aux solutions d'accès distant.

Il faut voir le SD-WAN comme un modèle conceptuel de prestation de services pour comprendre comment il permet d'appliquer les meilleures pratiques de sécurité. Il ne s'agit pas d'opposer le SD-WAN et le SASE, mais de savoir qu'un SD-WAN fournit les éléments de base du SASE. Le réseau reste l'un des endroits les plus adaptés pour contrôler la sécurité. La périphérie WAN crée un point d'application des politiques efficient et efficace et permet d'observer et de contrôler les frontières des zones et les exigences de sécurité associées. L'accès réseau ZTNA (Zero Trust Network Access) permet d'adopter la posture de « refus par défaut », qui est plus avantageuse et plus robuste que « l'autorisation par défaut », moins sécurisée.

Reste encore à contrôler et gérer la complexité. Lorsque la microsegmentation et les micropermissions sont gérées de manière précise via IAM (Identity Access Management, ou gestion des identités et des accès), il devient trop difficile d'attribuer manuellement les permissions, accès et rôles. Les entreprises se tournent de plus en plus vers l'automatisation et les solutions logicielles pour la gestion IAM.

Le SD-WAN permet de garantir une meilleure sécurité, une plus grande confiance et une plus grande tranquillité d'esprit en renforçant les plus grands points d'application des stratégies : le réseau.
 

Expérience de l'opérateur

En cherchant à réduire le coût total de possession, les OpEx (dépenses d'exploitation) dépassent souvent les CapEx (dépenses d'investissement) sur une période ou une durée de vie donnée. Les systèmes complexes vont souvent de pair avec une exploitation complexe, mais pas toujours. Tout comme les abstractions permettent aux opérateurs de réseau de faire plus avec moins, le SD-WAN simplifie également la gestion et les opérations et permet ainsi aux équipes informatiques de dépasser les attentes.

Les équipes qui adoptent des outils et des approches qui suppriment ou réduisent intelligemment les tâches complexes atteignent un niveau plus élevé de satisfaction, ce qui réduit la perte d'employés et améliore la productivité (Rapport SoNAR 2020 sur l'état de l'automatisation des réseaux).

En fin de compte, ce sont les équipes d'exploitation qui gèrent la santé technique d'une entreprise. Les équipes informatiques ont donc un impact démesuré sur la réussite ou l'échec de l'entreprise. Lorsqu'elles sont généralisées, les pannes sont visibles non seulement par les utilisateurs, mais également par les clients et le marché dans son ensemble. Le SD-WAN cible les économies et la sécurité, mais ce ne sont pas les seuls éléments de retour sur investissement qu'il offre.
 

Les avantages de l'AIOps

L'IA (intelligence artificielle), et l'un de ses sous-ensembles, le ML (machine learning), peuvent apporter une valeur ajoutée considérable dans le domaine des réseaux. Les zones à problèmes qui intègrent des fonctionnalités et des protocoles bien connus (comme les réseaux de données) se prêtent à l'utilisation du ML dans une multitude de scénarios. Dans ces espaces de problèmes bien définis, il est facile de supprimer les biais de l'IA et d'obtenir ainsi des résultats concrets, sans parler de l'amélioration de la connectivité et de la sécurité du réseau. Lorsque le ML est entraîné avec une combinaison d'apprentissage mixte et accéléré (l'Apprentissage par transfert, par exemple), puis que l'IA ingère des données de production, la confiance est rapidement établie. Des informations précises et des recommandations correctives sont générées et peuvent être rapidement validées.

Dans les réseaux de données, les méthodes traditionnelles ne permettent pas de suivre le volume et la vitesse des données opérationnelles et de la télémétrie. Les réseaux sont des graphiques. L'IA et le ML peuvent fournir des informations rapides et exploitables sur les graphiques et leurs dépendances, et permettent par exemple d'identifier les causes racines complexes ou de fournir de meilleures interfaces pour comprendre et gérer les réseaux de plus en plus complexes.

L'AIOps (intelligence artificielle pour les opérations informatiques) est une pratique qui cherche à alléger le travail des opérateurs en automatisant les nombreuses tâches répétitives et de routine, qui sont fastidieuses. Pour innover, il faut permettre à chacun de se consacrer aux défis les plus stratégiques, et également simplifier les interactions avec les réseaux et la complexité croissante qui nous entoure.

FAQ sur le SD-WAN

Définition d'un réseau SD-WAN : que signifie « défini par logiciel » exactement ?

Que ce soit pour simplifier l'orchestration, rendre le WAN plus programmable ou ajouter un nouveau réseau virtuel superposé, le SD-WAN peut être défini de différentes manières (d'où la nature assez ambiguë du terme).

À qui s'adresse le SD-WAN ?

Les SD-WAN sont avantageux pour tous les acteurs : grands opérateurs réseau comme petites organisations. Ils permettent non seulement d'améliorer l'orchestration, les opérations et la sécurité, mais également d'optimiser la prestation de services et la qualité de l'expérience utilisateur.