Technique
Le SD-WAN : fonctionnalités clé, marché et acteurs

Ce billet fait un tour d'horizon du SD-WAN et fait le point sur les fonctionnalités clé, le marché et les acteurs.

Réseaux privés virtuels : du RNIS au SD-WAN

Les technologies issues de la téléphonie

La première génération de réseaux privés virtuels d'entreprise pour le transport de données, X25 / Frame Relay, était issue des technologies téléphoniques des réseaux synchrones, en y adaptant un mode paquets (TRANSPAC...) qui constituait une architecture intermédiaire entre les liaisons dédiées de bout en bout et les sytèmes paquets de bout en bout.

Tag switching et MPLS

La deuxième génération de réseaux privés, MPLS, a repris une idée développée dans l'ATM, le tag switching, qui consiste à créer une séparation logique entre paquets en utilisant des tags. En ATM, les tags étaient rattachés à la topologie du réseau avec les notions de VP (virtual path) et VC (Virtual Circuit). En MPLS, le réseau niveau 3 est en IP et les tags sont insérés à l'entrée du WAN. La solution adoptée est proche, finalement, des solutions type VLAN et VLAN trunking que l'on trouve sur le LAN mais adapté au contexte d'un réseau WAN.

Si MPLS est basé sur IP, il offre également des fonctions d'encapsulation, qui permettent de transporter tous types de protocole (même underlay ou couche basse) en overlay (encapsulé) dans du MPLS.

MPLS a eu du succès dans le domaine des réseaux d'entreprises parce qu'il permet de construire des réseaux privés IP multi-sites sécurisés en connectant les différents sites par des liaisons DSL ou optiques au coeur du réseau d'un opérateur.

Les limites du MPLS

Le développement du MPLS a permis d'en comprendre les limites :

  • Un coût élevé des accès en fonction de la bande passante disponible
  • Une rigidité de la configuration qui est gérée par l'opérateur télécom fournisseur du service. Pour modifier le routage, la clafficiation des flux en fonction de la qualité de service, le client doit demander à son opérateur MPLS, avec les délais et les incertitudes associés
  • Des solutions de secours des liaisons soit peu efficaces, avec une bande passante trop faible sur le secours, soit trop onéreuses.
  • Des délais de raccordement des sites trop importants
  • Une architecture de raccordement Internet compliquée, avec soit des points de raccordement interne au client soit un service de raccordement fourni par l'opérateur, mais souvent avec un coût important
  • Une solution qui n'est adaptée à l'accès nomade type VPN client, qui oblige à mettre en place des passerelles VPN client soit chez le client soit chez l'opérateur.
  • Un coût très important du service pour les déploiements internationaux.

Les réseaux VPN IPSec

Le MPLS a connu un immense succès et reste une technologie performante. Du fait de la rigidité de son exploitation - ou de la rigidité des opérateurs télécom qui l'exploitent - , ses utilisateurs ont dû développer des solutions de contournement pour raccorder rapidement un site, ou raccorder un site secondaire à moindre coût, ou permet le télétravail de leurs salariés. Toutes ces solutions se sont appuyés sur des technologies de VPN Internet, dont le développement a également été accéléré par l'évolution de la boucle locale vers la fibre optique, comme nous le mentionnons dans un précédent billet.

Une boucle locale plus performante, des interconnexions Internet plus performantes et la disponibilité de l'IPSec sur tous les équipements réseau ont conduit naturellement à ce que cette solution s'installe progressivement dans le paysage des réseaux d'entreprise, avec, naturellement, des limites, notamment :

  • La gestion "à la main" de la configuration de sécurité (clés de chiffrement, secrets partagés, certificats, IPs publiques des sites) des tunnels VPN est une lourde tâche.
  • IPSec est une technologie de liaison point à point; le routage doit donc être géré par l'équipe qui déploie le réseau.
  • IPSec encapsule de l'IP dans de l'IP en le chiffrant, avec un overhead important.
  • L'aggrégration de liens est complexe à mettre en place
  • La mise en place de règles de routage intelligent (Policy Based Routing ou routage par l'amont), qui permet de choisir le lien en fonction du type de flux, est également complexe à mettre en place.

IPSec est une très bonne technologie pour un réseau avec trois, cinq ou moins d'une dizaine de sites, mais, sauf à développer des scripts d'administration et en quelque sorte un SD-WAN "maison", devient un casse-tête lorsque le nombre de sites augmente. Les solutions SD-WAN apportent les briques fonctionnelles nécessaires pour simplifier à la fois le fonctionnement temps réel du réseau (monitoring et routage dynamique des flux) et l'administration du réseau (configuration, ajout/suppression des sites, ajout/suppression de liaisons...).

Fonctionnalités clés du SD-WAN

Le SD-WAN embarque cinq fonctionnalités clés qui manquent à IPSEC dès lors qu'il s'agit de déployer un réseau d'une certaine importance :

  1. Le ZTP ou Zero Touch Provisionning qui permet d'insérer un équipement dans le réseau en descendant automatiquement sa configuration depuis une base de données centrale sur laquelle il se connecte par défaut. Ce mécanisme de ZTP intègre l'identification des équipements, leur sécurité, la sauvegarde de leur configuration, les mises à jour firmware, les mises à jour de configuration.
  2. Un contrôleur central de configuration de la topologie du réseau et notamment du routage entre les sites.
  3. Un moteur de reconnaissance applicative permettant de classer les flux en entrée du WAN en fonction de critères (métier, exigences QoS...) et de leur appliquer des règles de routage et de priorité de transmisssion.
  4. Un monitoring temps réels de l'état des liaisons permettant d'adapter automatiquement le routage aux conditions du réseau.
  5. Des additions au protocole IP / IPSec pour que les règles de traitement des flux définis aux trois points précédents (topologie / typologie des flux / état des liaisons) soient appliquées en temps réel au trafic sur le réseau.

Ces fonctionnalités sont intégrées à une interface d'administration centralisée et complétées par des outils de gestion de configuration, de supervision et de reporting intégrées à la solution. Enfin, la plupart des solutions du marché proposent des fonctions complémentaires tels que configuration rapide des interconnexions cloud, gestion des VPN clients, compression des flux...

SchemaFonctionnelSDWAN.png

Promesses client du SD-WAN

Nous en dénombrons quatre principales :

  1. Scalabilité des connexions locales : supprimer ou ajouter une liaison à un groupement sur un site de manière transparente et bénéficier des dernières offres des opérateurs
  2. Réactivité : ajouter très rapidement des sites au réseau
  3. Souplesse de configuration : modifier le routage, les règles de répartition du trafic, en agissant simplement au niveau de l'interface d'administration centralisée
  4. Connectivité mondiale : le réseau SD-WAN peut être déployée en tout point du globe où l'accès Internet est disponible, quel que soit l'opérateur fournisseur de l'accès Internet.

Marché et acteurs du SD-WAN

En 2017, le marché du SD-WAN était estimé à 400 millions de Dollars pour 500 à 2000 entreprises équipées dans le monde.

La croissance du marché était de l'ordre de x2 à x3 chaque année.

En 2019, le marché du SD-WAN est estimé entre 800 millions de Dollars et plus d'un milliard de Dollars selon divers sources (Gartner, etc...). Il est considéré que le leader du marché, Silverpeak, a une base installé d'environ 1500 clients.

Les principaux acteurs que nous connaissons sont les suivants :

Cisco Citrix Fortinet Riverbed Silverpeak VMWare
Rachat de Viptela Solution ?? Extension de leurs solutions VPN sur parefeu Rachat d'OCEDO Développement interne Rachat de Velocloud
2 offres SDWAN, Meraki plutôt orientée Small business et solution issue de l'intégration de Viptela Extension de leur solution de parefeu et proxy applicatif Netscaler Ajout de fonctionnalités et de services de management de leur offre parefeu Extension de leur solution de performance applicative et d'optimisation réseau par intégration d'OCEDO Extension de leur solution d'optimisation WAN Intégration de la solution Velocloud dans l'offre NSX de VMWare
Société généraliste réseau fondée en 1984 Société fondée en 1989, spécialiste de l'accès distant type Terminal Server Spécialisé dans les parefeux, fondé en 2000 Fondée en 2002 autour de la performance réseau Fondée en 2004 autour de l'optimisation WAN Fondée en 1999, virtualisation
48 milliards de Dollars de CA Environ 3 milliards de Dollars de CA Entre 500 millions et 1 milliard de Dollars de CA 24 000 clients de sa solution historique, 1 milliard de Dollars de CA annuel 200 clients SD-WAN dans le monde en 2016, 600 en 2017, 1500 en 2019, leader du domaine selon Gartner 7 milliards de Dollar de CA annuel