SD-WAN : ce qu'il faut savoir avant de se lancer

Les avantages du SD-WAN sont nombreux, notamment l'agilité qu'il procure, mais en tant que technologie "overlay", il a ses contraintes et son déploiement doit faire l'objet en amont d'une réflexion sur la performance et la sécurité.

L'intérêt des entreprises, fournisseurs de services et opérateurs pour le SD-WAN est réel. En proposant le moyen de s’extraire de la rigidité du MPLS,  le SD-WAN attire les regards.

Tandis que le SD-WAN arrive à maturité, la mise en œuvre d’Universal CPEs promet d’améliorer non seulement la flexibilité pour choisir entre hardware et software, en associant aisément VPN et SD-WAN, mais aussi entre sécurité et capacité d’hébergement d’applications tierces propres aux métiers des entreprises.  

Mais cela ne s’arrête pas là, car il est désormais possible de prendre également le LAN en considération, en introduisant la notion de SD-LAN avec de nouveaux attributs tels que : le remplacement et la configuration automatisés des switchs, CPEs et Access Points, la prise en charge des règles de sécurité, mais aussi le wifi intelligent avec des services de localisation avancés, gestion IoT et multiples sensors, aide automatisée au troubleshooting, et bien plus...  

Avant de se lancer, deux contraintes à envisager  

L’extension vers le LAN étant un phénomène prometteur, mais plus récent, si l’on désire tirer parti du SD-WAN, il est impératif de garder à l’esprit certaines contraintes, parmi lesquelles le retour des tunnels overlay et le risque de "lock-in", sachant qu’elles vont se gommer avec le temps selon la volonté et les choix stratégiques des acteurs concernés :

Après avoir dû composer avec une logique de tunnels overlay au début du MPLS VPN, pour ensuite bénéficier de technologies totalement intégrées et fluides avec un stack MPLS natif, il peut sembler contre-intuitif de revenir à un empilement de tunnels overlay pour constituer des VPNs clients SD-WAN. D’autant que ce choix rime presque inévitablement avec un overhead,  même avec la meilleure des interfaces utilisateur.  

Aujourd’hui, il est difficile d’y échapper, car les multiples accès clients reposent dans la majorité des cas sur de l’Internet et donc de l’IP. Il faut construire "on top" pour créer sa topologie et sa logique de services SD-WAN. C’est pour cette raison que la stratégie actuelle la plus courante consiste à faire en sorte que les applications les plus critiques transitent toujours sur un accès MPLS classique tandis que l’Internet sera plutôt utilisé comme média d’accès "best effort".  

Dans d’autres cas plus extrêmes, plusieurs connexions Internet de différents opérateurs sont utilisées dans des logiques de partage ou répartition de charge par application en fonction des conditions du moment. Cette approche réplique l’interconnexion (et donc l'interdépendance) existant à différents niveaux  entre les opérateurs dans certains pays.  

Toujours est-il que le fait d’utiliser plusieurs accès pour un même site client nécessite une connectivité “over the top” qu’il faut éclater au départ du site et recentrer vers un autre point de destination qui peut être un site distant ou un hub de concentration. En effet, il faut pouvoir garantir une forme de symétrie dans la logique de routage de flux au travers des différents liens.  

Tout part du principe que l’Internet en tant que média d’accès est la clé de voûte, car moins cher et largement disponible partout dans le monde. Pourtant c’est un raccourci que les opérateurs et les fournisseurs de services pourraient être à même d’infléchir et c’est ce à quoi nous assistons aujourd’hui.  

Le SD-WAN en mode "pur internet et do it yourself "est en train de laisser place à un SD-WAN plus intégré et disponible dans les offres opérateurs avec des offres tarifaires différenciées, quel que soit le média sous-jacent utilisé. Ces derniers ont bien compris que dans ce domaine, la meilleure stratégie de défense est l’attaque. Concernant les offres actuelles, la principale inconnue aujourd’hui reste le passage à l’échelle chez les clients comme chez les opérateurs, car là où de grandes entreprises ont déjà franchi le pas au travers de premiers déploiements SD-WAN, le réel retour d’expérience viendra quand des centaines, voire des milliers de sites seront en opérations, suivant chacun leur propre cycle de vie et sur une période suffisamment longue. En effet, la promesse de la justesse et de l’agilité ne doivent pas se faire aux dépens d’autres critères tels que la sécurité et la disponibilité globale du service.

Il est également important de prendre en considération le degré d’ouverture des solutions SD-WAN et de mesurer le risque de "lock-in" qu’elles sont susceptibles d’induire. En effet, même si certaines solutions reposent sur des standards, les différentes briques constituant une solution SD-WAN (CPEs, concentrateurs overlay, interface utilisateur, plan de contrôle et logique de KPIs, etc…) ne sont pas à ce jour  interopérables entre vendeurs. De ce point de vue, on pourrait considérer qu’elles constituent une régression par rapport au degré d’interopérabilité atteint jusqu’alors sur les réseaux WAN.

Cet aspect est donc à envisager impérativement lors du choix technologique d’une solution SD-WAN.