Qu'est-ce que le SD-WAN ?

Software-defined WAN (SD-WAN) technology applies software-defined networking (SDN) concepts for the purpose of distributing network traffic throughout a wide area network (WAN).

SD-WANs work automatically, using predefined policies to identify the most effective route for application traffic passing from branch offices to headquarters, the cloud, and the Internet. There is rarely any need to configure your routers manually in branch locations.

A centralized controller manages the SD-WAN, sending policy information to all connected devices. Information technology (IT) teams can program network edge devices remotely, using low-touch or zero-touch provisioning.

Quantum SD-WAN SD-WAN demo

Qu'est-ce que le SD-WAN ?

Cas d'utilisation SD-WAN

La technologie SD-WAN crée généralement une couche virtuelle agnostique en matière de transport. Pour ce faire, on fait abstraction des connexions WAN publiques ou privées sous-jacentes, telles que l'internet à large bande, la fibre optique, la technologie d'évolution à long terme (LTE), le sans-fil ou la commutation multiprotocole par étiquette(MPLS). Un SD-WAN overlay permet aux organisations de continuer à utiliser leurs propres liaisons WAN existantes. La technologie SD-WAN centralise le contrôle du réseau, ce qui permet de réduire les coûts et de gérer le trafic en temps réel sur les liens existants ( application ).

Les cas d'utilisation SD-WAN les plus courants se répartissent dans les catégories suivantes :

  • Expansion géographique : lorsqu'une entreprise s'étend à une nouvelle région géographique ou procède à une fusion ou à une acquisition, elle peut utiliser les services réseau existants sur le nouveau site, en tirant parti du SD-WAN pour gérer les nouveaux et les anciens sites à l'aide d'une politique unifiée et d'une interface de contrôle.
  • Une meilleure utilisation de la capacité du réseau étendu (WAN) - en utilisantune stratégie de double connectivité combinant des services de réseaux publics et privés. Le SD-WAN peut utiliser les services Internet publics pour décharger une partie du trafic du réseau privé, réservant ainsi la capacité du réseau privé à application qui est essentiel pour l'entreprise ou qui nécessite une faible latence.
  • Amélioration de la résilience du réseau étendu : création d'un environnement de réseau hybride avec plusieurs connexions réseau vers le même site, fonctionnant dans une configuration active/active. Dans des circonstances normales, le trafic peut être équilibré entre les services, mais si une connexion est perdue, le trafic peut basculer vers un autre service.
  • cloud migration - permettre latransformation numérique, en migrant les différents sites application vers le site cloud. Le SD-WAN prend en charge le routage basé sur les applications, de sorte que chaque application peut utiliser le service étendu qui répond le mieux à ses besoins, qu'il soit déployé sur le site cloud ou sur place.

SD-WAN Benefits

Uncoupling WAN architecture from high-cost, demanding MPLS setups is one of the greatest benefits that SD-WAN can offer. MPLS is notoriously expensive – far more so than typical internet connectivity – with average prices topping 4 figures per month.

The eye-watering price is a result of the very limited number of vendors that provide MPLS, and the difficulty for new competitors to break into the space.

The other reason that organizations may be looking to avoid or move away from MLPS is cloud transformation.

As organizations increasingly rely on cloud-based resources, MPLS’ hub and spoke models can begin to introduce inefficiencies. Since all MPLS traffic must be routed via the central headquarters, these hub requirements can become choke points for data otherwise flowing between a cloud-based database and the end user requesting it.

SD-WAN avoids much of this by removing the necessity of MPLS providers. 

Administration centralisée

Rather than routing all traffic to a central point, SD-WANs instead apply a centralized control system. This allows a Security Operations Center (SOC) to manage networking policies across the entirety of an organization’s networks.

  • This ensures consistent security rules, traffic prioritization, and performance optimizations, reducing the complexity of manually configuring each site individually.

Greater Cost Efficiency

Unlike traditional WANs that rely on expensive MPLS circuits, SD-WAN can utilize a far broader wealth of protocols and approaches like broadband, LTE, and other cost-effective connections.

  • This can reduce infrastructure cost while maintaining robust connectivity.

Enhanced Flexibility and Scalability

Since SD-WAN is software-driven, businesses can quickly scale their network by adding new locations without extensive hardware installations.

  • Since there’s no underlying reliance on a single MPLS provider, either, SD-WAN is essentially transport-agnostic, able to route all types of traffic that an organization may need.
  • This flexibility also refers to the cloud-based management tools that allow IT teams to configure and deploy network changes remotely.

Improved Performance

SD-WAN continuously monitors network conditions and dynamically routes traffic based on real-time performance metrics.

  • This could include switching critical applications to the best available connection, or modifying traffic routes according to their contexts like issuing greater resources for video streaming at a time when many employees are jumping on calls.

Reliability

Traditional WANs depend on a single connection, leading to failures if that link goes down. SD-WAN, however, leverages multiple connections simultaneously, automatically rerouting traffic if one link fails.

L’architecture du module SD-WAN

Le SD-WAN utilise une architecture réseau abstraite composée de deux parties distinctes :

  • Un plan de contrôle - exploitéà partir d'un emplacement central, ce qui signifie que le personnel informatique peut gérer les ressources du réseau étendu à distance sans être sur place.
  • Un plan d'acheminement gère lesflux de trafic et configure dynamiquement les ressources du réseau en fonction des politiques définies par le plan de contrôle.

Une architecture SD-WAN se compose des éléments suivants :

  • La périphérie : ils'agit de l'équipement de réseau déployé sur le site cloud, dans les centres de données sur site ou dans les succursales.
  • Contrôleur : il assure unegestion centralisée et permet aux opérateurs de visualiser et de surveiller le réseau et de définir des politiques.
  • Orchestrator :composant d'administration de réseau virtualisé, qui surveille le trafic et applique les politiques et les protocoles définis par le contrôleur.

Concepts SD-WAN

Les implémentations SD-WAN s'appuient sur un large éventail de technologies, notamment

Contrôleur

Un contrôleur centralisé qui gère le déploiement du SD-WAN. Le contrôleur applique les politiques de sécurité et de routage, surveille la superposition virtuelle et les mises à jour logicielles, et fournit des rapports et des alertes.

Réseaux définis par logiciel (SDN)

Permet d'activer les composants clés de l'architecture, notamment la superposition virtuelle, le contrôleur centralisé et l'abstraction des liens.

Réseau étendu (WAN)

Responsable de la connexion d'installations géographiquement séparées ou de plusieurs réseaux locaux, à l'aide de connexions sans fil ou câblées.

Fonctions de réseau virtuelles (VNF)

Fonctions de réseau de première ou de tierce partie, telles que les tâches de mise en cache et le pare-feu. Les VNF sont généralement utilisés pour réduire le nombre d'appareils physiques ou pour accroître la flexibilité et l'interopérabilité.

Largeur de bande des produits de base

La technologie SD-WAN peut exploiter plusieurs connexions de bande passante et affecter le trafic à une liaison spécifique. Cela permet aux utilisateurs d'avoir un meilleur contrôle et de réaliser des économies en déplaçant le trafic des lignes MPLS traditionnelles coûteuses vers des connexions à bande passante à faible coût.

Technologie du dernier kilomètre

La technologie SD-WAN peut améliorer les connexions existantes du dernier kilomètre en utilisant plus d'une liaison de transport ou en utilisant simultanément plusieurs liaisons.

Quelle est la différence entre WAN et SD-WAN ?

WAN is a staple of corporate infrastructure: to easily explain this network layout, let’s start at the bottom of the network chain.

  • Connecting local devices is a local area network (LAN), which relies on a router to link each device and ferry network packets to their intended destination.
  • LAN networks are limited to a range of up to 2 km, however — so while they’re useful for individual offices, they can’t connect one branch to another.

Enter the WAN

This is where a WAN steps in: while each office has their own LAN, these LANs are connected to one national or global WAN.

  • When first scaling this up, organizations have typically decided on a similar approach to LANs: by implementing physical router and manual port configurations.
  • Also, they generally don’t rely on the same packet forwarding process that a LAN does.

When sending data from a LAN to a public network:

  • The router first determines where the packet needs to get to according to its routing table, and the packet’s own headers
  • The device consults its internal routing table, and – should the receiving device not be found in that LAN – it forwards the packet to the next network.
  • This network’s router then essentially repeats the same process, and on and on until the packet finally arrives at its intended network, and delivered to the IP address listed in the header.

WAN Scalability and Latency Challenges

  • Office branches can be numerous and very far apart.
  • It’s easy to see how relying solely on this approach could introduce an unmanageable amount of latency.

The Role of MPLS

To beat this, Multiprotocol Label Switching (MPLS) was used:

  • MPLS directs WAN traffic along predetermined paths using specialized routers.
  • MPLS is the high-speed railway of network infrastructure: it needs specific routers and dedicated leased lines — all of which add to the cost of setting up a WAN.

However:

  • MPLS comes with drawbacks.
  • Not all WANs require its state-of-the-art setups and high costs.

SD-WAN vs MPLS

Traditionally, the control plane and data plane were closely integrated within proprietary hardware appliances. SD-WANs decouple these layers by shifting the control plane to a software-based system, allowing routing decisions to be made in software running on standard, non-proprietary hardware instead of specialized network routers.

Put concisely, SD-WAN connects LANs using software.

  • Each individual network has a SD-WAN appliance installed, which individually manages all incoming and outgoing traffic.
  • When traffic reaches an SD-WAN appliance, it identifies the type of application data and directs it to the appropriate destination based on predefined policies, as well as the performance and availability of various network connections.
  • To ensure adequate in-transit security, most SD-WAN setups also encrypt the data being transferred

Examinons les principales différences entre les solutions WAN traditionnelles et les solutions SD-WAN.

WAN SD-WAN
L'équilibrage des charges et la reprise après sinistre sont disponibles, mais leur déploiement peut s'avérer complexe. Équilibrage de la charge et reprise après sinistre intégrés avec un déploiement rapide ou sans intervention.
Les changements de configuration prennent du temps et nécessitent un travail de configuration manuel, ce qui est source d'erreurs. Changements de configuration en temps réel, automatisés pour éviter les erreurs humaines
Les appareils périphériques doivent être configurés un par un, ce qui ne permet pas d'appliquer des politiques générales. Utilisation de superpositions virtuelles : possibilité de répliquer instantanément les politiques sur un grand nombre d'appareils périphériques.
Limité à une seule option de connectivité - les lignes MPLS traditionnelles Peut utiliser de manière optimale les multiples options de connectivité (lignes à large bande gérées par MPLS et SDN).
repose sur les VPN, qui fonctionnent bien avec un réseau IP unique, mais ne peuvent pas coexister avec des charges de travail à haut débit telles que la voix et la vidéo Possibilité d'orienter le trafic vers différents types de application, en conservant la bande passante pour les application qui en ont le plus besoin.
Nécessite un réglage manuel Détecte automatiquement les conditions du réseau et peut optimiser dynamiquement le réseau étendu.

Meilleures pratiques SD-WAN

Utilisez l'internet public de manière sélective

Le SD-WAN peut utiliser des connexions Internet publiques pour toutes les transmissions intermédiaires, et bien que cela puisse être extrêmement rentable, ce n'est pas conseillé. Il n'y a aucun moyen de savoir par quels liens le trafic passera, ce qui pose des problèmes de sécurité et de performance.

Dans la mesure du possible, en particulier pour les communications sensibles ou critiques, préférez transmettre le trafic SD-WAN sur un réseau privé. Certains fournisseurs SD-WAN vous permettent d'utiliser leur propre réseau mondial sécurisé. Réservez la capacité de l'internet public aux charges de travail non critiques et non sensibles, ou aux scénarios de basculement lorsque le réseau privé est en panne.

Communiquer le processus de déploiement aux parties prenantes

Lorsque vous vous lancez dans un projet SD-WAN, informez les parties prenantes du processus de déploiement et expliquez que le SD-WAN vient s'ajouter à l'infrastructure réseau existante. Les dirigeants ne doivent pas considérer le SD-WAN comme un simple remplacement de la technologie réseau traditionnelle.

Expliquez clairement que vous devez conserver la technologie existante et l'intégrer aux nouveaux investissements SD-WAN. Une meilleure compréhension du contexte technique et des méthodes de déploiement vous permettra d'obtenir un meilleur soutien de la part des dirigeants.

Testez le service SD-WAN

Les solutions SD-WAN peuvent offrir une automatisation et un déploiement sans contact, mais vous devez vérifier qu'elles fonctionnent comme prévu. Les tests sont souvent négligés, mais ils constituent un élément essentiel d'un projet SD-WAN. Veillez à effectuer des tests approfondis avant, pendant et après la mise en œuvre. Un projet SD-WAN typique implique des tests sur une période de 3 à 6 mois, axés sur la qualité de service (QoS), l'évolutivité, la disponibilité et le basculement, ainsi que la fiabilité des outils de gestion.

Sécurité SD-WAN et SASE

Le modèle SD-WAN fonctionne à l'aide d'un réseau distribué, qui n'inclut généralement pas les contrôles de sécurité et d'accès nécessaires pour protéger les réseaux d'entreprise sur le site cloud.

Pour résoudre ce problème, Gartner a proposé un nouveau modèle de sécurité réseau appelé Secure Access Service Edge (SASE). SASE combine la fonctionnalité WAN avec des fonctions de sécurité telles que :

La combinaison de ces capacités de sécurité, conçues pour un environnement cloud, permet de garantir la sécurité du réseau SD-WAN.

Les solutions SASE offrent aux utilisateurs mobiles et aux succursales une connectivité sécurisée et une sécurité constante. Ils offrent une vue centralisée de l'ensemble du réseau, permettant aux administrateurs et aux équipes de sécurité d'identifier les utilisateurs, les appareils et les postes sur un SD-WAN distribué à l'échelle mondiale, d'appliquer des politiques d'accès et de sécurité, et de fournir des capacités de sécurité cohérentes sur plusieurs sites géographiques et plusieurs fournisseurs cloud.

SD-WAN avec Check Point

Check Point’s Quantum SD-WAN explicitly addresses the security shortcomings of WAN by integrating robust threat prevention directly into its architecture. Deployed at the branch level as a software blade within Quantum Security Gateways, it offers comprehensive protection against:

  • Zero day exploits
  • Phishing attempts
  • Ransomware attacks

This integration ensures that branch offices maintain the highest security standards, while still ensuring the highest network performance.

Beyond security, Quantum SD-WAN enhances connectivity by optimizing traffic flow for different apps: with inbuilt settings for over 10,000 enterprise applications, it’s able to quickly deliver optimized performance. The solution continuously monitors internet connectivity metrics, such as:

  • Latency
  • Jitter
  • Perte de paquets

So it can dynamically select the best path for traffic.

Sub-second failover capabilities are offered to ensure uninterrupted services, even during times of connection instability. Marry security and performance with Quantum SD-WAN and explore the comprehensive solution with a demo.

If you’re looking for a more complete overhaul toward SD-WAN, on the other hand, check out Checkpoint Harmony SASE: its full-mesh architecture offers a global private backbone that implements zero-trust security at every connection.