Invoquée principalement par les experts en droit social et les dirigeants politiques, ce terme à la mode pourrait bien incarner une nouvelle façon d’appréhender ses réseaux télécom. Explications.

Aujourd’hui la majorité des entreprises raccordent leurs sites de la même façon, au travers d’un réseau data privé, pour lequel la technologie la plus répandue est le VPN (Virtual Private Network) MPLS (Multi-Protocol Label Switching).

Les limites du VPN

Cette technologie est éprouvée, pas très chère, et permet d’assurer une étanchéité des flux (privatisation des échanges) et la capacité de prioriser les flux (ex : la visio ou la téléphonie sur IP sont traitées prioritairement aux échanges de mails).

Bien que très répandue, cette technologie n’est pas exempte de critiques :

• L’ajout d’un nouveau site peut être très long. La couche MPLS ajoute en effet un élément de complexité supplémentaire. Pour connecter un nouveau site, il faut non seulement déployer un lien (DSL ou Fibre), mais également un routeur préconfiguré selon des modèles pré-définis. Ce n’est donc pas tout à fait « plug&play » !

• L’augmentation des débits est complexe et coûteuse. Quand un site est éligible au mieux à la technologie SDSL4Mbits et que les utilisateurs se plaignent de lenteurs, les possibilités d’amélioration sont très réduites (les éligibilités SDSL au-delà de 4Mbits ne sont pas si fréquentes, et la fibre entreprise FTTO plus onéreuse)

• La technologie est peu évolutive.  Elle permet de prioriser les flux certes, mais par protocoles et pas par applications. Les flux transportés dans les réseaux VPN évoluent assez vite, et les paramétrages de priorisation ne sont pas toujours modifiés. Le cas typique est celui de l’entreprise qui a décidé de consacrer une classe de service pour les échanges de mails internes, puis a migré vers une solution de mails dans le cloud (comme Microsoft Office365), sans pour autant modifier ses classes de services MPLS. En conséquence, son flux mail a disparu (puisque Microsoft Office365 peut être assimilé à du flux Internet), mais le paramétrage de priorisations MPLS n’a pas été modifié, lui.

• Changer d’opérateur est plus difficile. Opter pour un nouvel opérateur MPLS signifie coordonner et synchroniser la migration de la totalité des sites en un minimum de temps. Du fait de l’interconnexion des sites entre eux, cette opération peut s’avérer fastidieuse, ce qui amène certaines entreprises à y renoncer, même si leur opérateur en place ne leur donne pas entière satisfaction.

La solution “flexi-sécurité”

Mais, aujourd’hui la plupart des clients recherchent précisément à améliorer la flexibilité dans la gestion de leur réseau. Cela est rendu possible notamment par le recours à des accès Internet banalisés en complément des traditionnelles solutions de VPN (MPLS) : la solution consiste à « décharger » les liens sécurisés et privés en captant le trafic à destination d’Internet et en le routant vers des solutions de type Box ADSL/4G/FTTH. On parle de « local breakout » ou « internet breakout ».

Bien souvent cette approche peut entraîner la crainte de prendre un risque en matière de sécurité. Installer aux côtés de routeurs privés, des « box internet ouvertes » inquiètent les usagers. Il faut donc trouver des solutions pour allier flexibilité et sécurité. Le « WAN hybride » ou « SD-WAN » en font partie.

Les solutions de WAN hybrides consistent à compléter les liens MPLS en place par des accès tiers avec un bon rapport qualité-prix, même si ces accès tiers n’apportent a priori ni engagement de qualité de service, ni priorisation des flux.

L’exemple typique consiste à adjoindre un simple accès ADSL (de type BOX) à une prise MPLS SDSL 2 Mbits déjà en place. Et ces 2 accès peuvent tout à fait provenir de 2 opérateurs différents. Un boitier d’hybridation est connecté simultanément aux 2 accès, et va jouer un rôle de « répartiteur dynamique des flux », prenant en compte en temps réel l’état des liaisons et les souhaits de priorité de l’entreprise.

Reprenons les critiques faites à MPLS et voyons en quoi cette solution « hybride » traite les objections :

• Ajouter un nouveau site est plus rapide. Il « suffit » de disposer d’un accès Internet pour démarrer une activité. Cet accès pouvant être un routeur 4G, on peut imaginer le scénario suivant : lundi prochain, je connecte le site avec un routeur 4G et mon boitier hybride, et je commande en parallèle un accès SDSL 2Mbits MPLS. Il sera opérationnel dans quelques semaines, et le moment venu cet accès sera ajouté à mon boitier WAN hybride. En attendant, le site est bien opérationnel dès lundi.

• L’augmentation des débits est moins coûteuse. Si les utilisateurs de mon site « bloqué » à 4Mbits SDSL se plaignent, j’y ajoute un accès Internet ADSL, 4G ou FTTH. Les utilisateurs vont alors avoir un débit démultiplié. L’accès supplétif sera peu onéreux, en revanche il faut prendre en compte dans l’adéquation financière le coût du boitier d’hybridation à proprement dit (son installation, sa maintenance, etc).

• L’adaptation aux besoins est plus facile à organiser. En pilotant moi-même mes choix de priorisation d’application sur une console extranet (“orchestrateur”), je suis certain de pouvoir être à jour des besoins réels de mes utilisateurs. Les solutions de WAN hybrides permettent en effet non seulement d’auditer les flux qui transitent par les boitiers, applications par applications, mais également de leur donner des priorités.

• La combinaison de plusieurs opérateurs est possible: je suis moins tributaire de mon opérateur MPLS en place historiquement. En effet, en complétant les accès MPLS par des accès secondaires, je peux progressivement envisager le remplacement desdits accès, sans être dans une sorte de « course contre la montre contractuelle ». 

Le SD WAN fait aujourd’hui figure de solution optimale pour les besoins des entreprises. De plus en plus répandu, il est plus performant et facile à intégrer. Nul doute que les entreprises vont prendre en masse cette direction vers plus de flexibilité et de sécurité.

Plagne Sylvain

A propos de l'auteur :

Plagne
Sylvain

a écrit 1 articles sur Bblog.

Je souhaite être recontacté à ce sujet