Retour d'expérience d'un déploiement SD-WAN
18 novembre 2020
4 minutes
Fin 2019, Interdata a réalisé un pilote SD-WAN pour l’un de ses clients spécialisé, dans le secteur de l’agroalimentaire. La mission principale était de démontrer que la technologie SD-WAN était techniquement adaptée pour répondre à ses problématiques, et économique au regard de l'augmentation de la bande passante du réseau MPLS existant. Interdata, spécialiste des solutions et des services autour du SD-WAN, devait accompagner le client dans :
- Le choix de la solution technique SD-WAN pour pallier l’utilisation de son réseau MPLS ;
- L’intégration de la solution ;
- La formation adaptée pour exploiter efficacement son overlay.
Les problématiques de notre client
Le client - présent dans de nombreux pays (France, Espagne, Angleterre, États-Unis) - possède plus d’une vingtaine de sites (principalement des sites de production agroalimentaire). Jusqu’à présent, tous les flux des sites distants du client remontaient vers un site central (le siège), via un réseau MPLS traditionnel. Ces flux étaient de différentes natures : téléphonie, authentification, transactions bancaires, applications métiers et, de plus en plus, applications de type SaaS hébergées dans le cloud public (Office 365 entre autres). En outre, afin de rationaliser son architecture, le client souhaitait décommissionner les serveurs locaux présents sur quelques sites distants pour les déplacer au siège, augmentant, à terme, le nombre de flux remontant vers ce dernier. L’accès MPLS du siège, commençant déjà à saturer en bande passante, ne pouvait pas accueillir les futurs besoins. Fort de toutes ces problématiques, le besoin s’est rapidement fait sentir de déployer un overlay SD-WAN. Objectif ? Bénéficier d’un réseau plus économique permettant la liaison entre les différents sites du client, tout en optimisant l’accès aux applications SaaS.
L’architecture proposée par Interdata
Sites principaux
Interdata a donc proposé de mettre en place une architecture avec 2 sites centraux (Hub) :
- Le siège (où se trouve les applicatifs métiers),
- Le site de secours.
Sur le siège, une liaison internet de 500 Mbps a été ajoutée aux liens MPLS et internet existants. Le site de secours, déjà équipé de liens internet haut débit, en plus de son rôle de site de secours, permet désormais de gérer les communications entre les sites distants, désengorgeant ainsi le siège. Cette architecture, à 2 sites centraux, simplifie la configuration ainsi que le diagnostic en cas d’incident.
Sites distants
Sur les sites distants, un lien fibre FFTO à 100 Mbps, avec backup 4G, est en cours de déploiement en complément du lien MPLS existant. Sur un site distant - où la liaison 4G était déjà déployée, mais pas encore la ligne Internet FFTO - des tests ont été réalisés. Les équipes Interdata ont constaté que les liaisons 4G n’étaient pas suffisamment stables pour certaines applications à cause d’une gigue importante, d’une latence élevée et d’un nombre non négligeable de paquets perdus. Aussi, la liaison 4G reste donc aujourd’hui un lien de secours dégradé. La solution SD-WAN, en cluster actif/passif sur presque tous les sites, route chaque application selon sa nature :
- soit vers le lien MPLS tels que les flux d'authentification,
- soit vers le lien Internet tels que les flux métiers issus des AS400.
En cas de congestion du réseau, un mécanisme de QoS se met en place afin de donner la priorité aux applications les plus critiques. La performance de chaque lien est mesurée en permanence, mais étant trop fluctuante, elle ne sert pas de critère de sélection dans le routage des applications. La sélection est principalement basée sur la bande passante de chaque lien.
Local Internet Breakout et sécurité
Afin d’optimiser le trafic à destination des applications SaaS, chaque site distant possède une sortie directe vers Internet (Local Internet Breakout).
Enfin, la sécurité est gérée directement au niveau du proxy local. Le client n’a pas souhaité acquérir le SD-WAN pour l’aspect sécurité. Il n’a donc pas pris la licence adaptée. Ainsi les flux qui sortent directement sur Internet sont filtrés par le proxy local.
La mission d'intégration d'Interdata
À la suite du pilote, Interdata a conçu l’architecture de routage, ainsi que sa configuration. Pour ce faire, Interdata a d’abord préparé une maquette virtuelle durant le premier confinement. Ensuite, l’architecture a été validée avec une maquette physique, toujours chez Interdata (en effet, il y a toujours des petites différences entre les solutions virtuelles et physiques) avant d’être enfin déployée chez le client. La prestation comprend :
- La préparation de l’architecture et le routage associé ;
- La configuration des flux réseaux et des tunnels ;
- L'homogénéisation des configurations des sites distants (quel que soit le nombre de liens) ;
- La préparation du plan de migration ;
- La préparation des équipements des sites centraux, afin qu’ils puissent accueillir automatiquement les équipements des sites distants ;
- Le déploiement et la configuration de la console de management afin de centraliser et d’harmoniser les configurations ;
- Le déploiement des 2 sites centraux et de 2 sites distants. Sur le site central, la migration se fait en plusieurs étapes : d’abord en parallèle de l’existant, puis en coupure ;
- La rédaction de la documentation : dossier des spécifications techniques (architecture des sites centraux et des sites distants), description des configurations, plan de migration (branchement, modification sur les cœurs …) et cahier de recette ;
- La réalisation d’une formation technique de 5 jours en présentiel dédiée à l’architecture client afin d'exploiter en toute autonomie la solution SD-WAN ;
- Une assistance à la demande pour le déploiement des autres sites distants au fur et à mesure des besoins.
En vue des futurs déploiements des sites distants, tous les boîtiers ont été livrés avec les paramètres d’usine sur les 2 sites centraux. Les boîtiers sont mis à jour, activés et déployés au fur et à mesure des livraisons des liaisons FTTO Internet sur les sites distants.
Les économies réalisées grâce au SD-WAN
Avec l’installation du SD-WAN, et l’ajout de liens Internet FTTO, le client a pu résoudre sa problématique de bande passante et réaliser des économies par rapport à une augmentation des débits sur les liens MPLS. Ce dernier possède en effet des sites de production dans des lieux reculés où augmenter la bande passante aurait coûté très cher.
Ce qu'il faut retenir
Le déploiement d’une solution SD-WAN nécessite de nombreuses compétences (routage opérateur, sécurité, …). Une phase préparatoire et un pilote sont indispensables pour valider les points d’architectures spécifiques. L’expérience des équipes Interdata permet une migration sans embûche d’un réseau MPLS vers un réseau SD-WAN plus économique.