Académique Documents
Professionnel Documents
Culture Documents
MEMOIRE
En vue de l’obtention du diplôme de Master
Filière : Informatique
Spécialité : Ingénierie des Systèmes Informatiques (ISI)
Thème
Présenté par :
• MEFTAH Salima
• BESSAAD Razika
Soutenu le : 28/09/2020 Devant le jury composé de :
• M. AZZA Mohamed Maitre de conférence Président
• M. BELFEDHAL Alaa Eddine Docteur Encadreur
• M. Zouaoui Chakib Mustapha Anouar Maitre de conférence Co-Encadreur
• M. Ahmed Djebar Professeur Examinateur
À ma mère,
Razika
1
Dédicaces
À ma mère,
Salima
2
Remerciements
3
Résumé
Interconnecter les sites distants et des data centers (DC) dune manière efficace et utiliser la totalité
des ressources disponibles dans le réseau étendu (WAN) et l’utilisation d’applications et de techno-
logies modernes basées sur le cloud présentent les challenges les plus difficiles pour les entreprises
et les fournisseurs de services (SP).Le SD-WAN est la solution pour loptimisation de lingénierie
de trafic dans le réseau WAN, Le SD-WAN représente la troisième génération de réseau, après
IPsec (Internet Protocol Security) et MPLS (Multi Protocol Label Switching).Dans ce mémoire
nous présenterons lapproche et les solutions des systèmes à définition logiciel (Software defined
Systems), Dautre part, nous aborderons le WAN et enfin la dernière partie sera dédié aux détails
de la technologie SD-WAN ainsi les solution SD-WAN proposées par les constructeurs du matériel.
الملخص
يمثل ربط الشركة الاساسية مع الفروع الخاصة بها ومراكز البيانات باستخدام جميع الموارد المتاحة في شبكة الواسعة واستخدام التطبيقات
الشبكة الواسعة المعرفة بواسطة.والتقنيات السحابية الحديثة من أصعب التحديات التي تواجهها الشركات ومزودي خدمة الاترنت
بحيث تمثل الشبكة الواسعة المعرفة بواسطة البرنامج الجيل الثالث من الشبكة.البرنامج هو الحل الامثل لتحسين هندسة الشبكة الواسعة
سوف نتطرق, من خلال هذه الاطروحة. بعد أمان بروتوكول الإنترنت والتبديل متعدد الاتفاقيات باستخدام المؤشرات التعر يفية
وفي الاخيرسوف نعرض تفاصيل تقنية الشبكة الواسعة المعرفة.الى نهج وحلول الأنظمة المعرفة بالبرمجيات ثم سنناقش الشبكة الواسعة
.بواسطة البرنامج والحلول التي تقدمها الشركة المصنعة للمعدات
, لتبديل متعدد الاتفاقيات باستخدام المؤشرات التعر يفية, الشبكة الواسعة, الشبكة الواسعة المعرفة بواسطة البرنامج: الكلمات المفتاحية
. الأنظمة المعرفة بالبرمجيات,أمان بروتوكول الإنترنت
Table des matières
Introduction 8
1
ESI-SBA TABLE DES MATIÈRES
2
ESI-SBA TABLE DES MATIÈRES
Conclusion 84
3
Table des figures
4
ESI-SBA TABLE DES FIGURES
5
Liste des tableaux
6
Liste des Acronymes
Le monde numérique s’oriente de plus en plus vers le cloud et évolue progressivement vers un avenir
défini par logiciel. Software Defined System (SDs) est le terme le plus brûlant ses dernières années
pour tous les fournisseurs d’infrastructure informatiques qui souhaitent passer de la dépendance
matérielle à une plateforme logiciel plus dynamique. SDs applique la virtualisation, l’abstraction
et l’automatisation de de tous les éléments de l’infrastructure tels que le calcul, le stockage, la mise
en réseau et la sécurité. En effet, il est un terme générique qui comprend Software Defined Infra-
structure, Software Defined Data Center, Software Defined Cloud Computing, Software Defined
Storage, Software Defined Security, Software Defined Network, Software Defined WAN...etc.
La communication de l’entreprise entre le siège principale, régionale et les sites distants doit être
performante en termes de sécurité, de fiabilité et de la qualité de mise en œuvre, donc les entreprises
comptent plus que jamais sur leurs réseaux WAN. Plusieurs techniques ont été mises en œuvre pour
répondre aux besoins des applications et pour transmettre tous types de données tels que MPLS,
Frame Relay, X.25 et ATM, l’établissement de la connexion VPN lors de l’utilisation de Internet
comme un support de transmission. L’évolutions des entreprises et la migration des services du
Cloud impose de nouvelles exigences au WAN donc L’utilisation de Software Defined WAN (SD-
WAN) devient une nécessité. Le SD-WAN est l’un des sujets les plus brûlants de la mise en réseau
aujourd’hui et il existe plusieurs entreprises qui ont implémenté cette solution comme Cisco, VM-
ware, Huawei, Juniper, Citrix et Silver Peak. Au cours de ce mémoire, on va aborder au premier lieu
l’approche des systèmes à définitions logiciel qui inclue ,Software Defined Infrastructure, software
defined Data Center, software defined Cloud Computing, software defined Storage, software defined
Security,software defined access,software defined Network, software defined WAN. puis nous pré-
sentons les technologie du communication Wan (X.25 ,Fram relay,ATM,MPLS),les réseaux et les
protocoles de routage , les technologies Wan d’entreprises et les réseaux SD-Wan. la dernière partie
est dédiée à les solutions SD-Wan proposées par les constructeurs du matériel(Cisco,VMware et
VeloCloud,Huawei,Citrix Net Scaler,Juniper,Flexiwan) et une étude comparatif entre ces solutions
SD-WAN.
8
Chapitre 1
1.1 Introduction
Le concept des systémes à définition logicielle, ou SDs (Software-Defined System), désigne un
ensemble des tecnologies innovantes qui résume les différentes couches du matériel réel avec des
composants logiciels.Dans ce chapitre on va aborder la tchnologie du software defined system . puis
nous allons présenter le concept principale des technologies existante pour le SD qui sont (15) :
9
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
Caractéristique Description
programmable Les fonctions de contrôle du réseau
sont plus faciles à programmer grâce
à la centralisation et la séparation
du plan de contrôle et du
traitement.
Gérable l’intelligence centralisée facilite la
gestion du réseau.
Configurable les administrateurs de réseau
peuvent configurer et gérer plus
facilement et plus dynamiquement
les ressources du réseau.
Interopérable Le réseau est géré par un contrôleur
SD qui utilise des normes
ouvertes,au lieu de plusieurs
périphériques et protocoles
spécifiques au fournisseur. Cela
simplifie la conception et le
fonctionnement du réseau.
Sécurité des politiques et des contrôles de
sécurité et de confidentialité
robustes peuvent être appliqués aux
éléments du réseau SD de manière
automatisée et cohérente à l’échelle
du réseau.
10
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
1.3.2 Architecture :
La figure ci-dessus illustre l’architecture du SDI qui se compose de quatre couches principales :
• La couche infrastructure physique : Cette couche contient toutes les ressources maté-
rielles de l’infrastructure dont les périphériques réseaux, stockages et hyperviseurs, etc.
11
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
• Adaptabilité.
• Autonome.
• Indépendant.
12
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
« SDDC est une abstraction programmatique de calcul logique, réseau, stockage, et d’autres res-
sources, représentées sous forme de logiciels. Ces ressources sont découvertes dynamiquement,
provisionnées, et configuré en fonction des exigences de la charge de travail. Ainsi, le SDDC per-
met une orchestration basée sur des règles de charges de travail, ainsi que la mesure et la gestion
des ressources consommées. »(18)
• Orchestration des ressources basée sur des règles pour répondre aux exigences de service des
charges de travail.
• Automatisation de la topologie.
1.4.4 Architecture :
La figure ci-dessus illustre l’architecture du Software Defined Data Center qui se compose de trois
couches principales :
• La couche d’infrastructure physique : Cette couche contient les ressources (des serveurs,
stockage, network) du centre de donnée.
• La couche de virtualisation : Abstraction de toutes les ressources et les fournir en tant que
service, cette couche inclue le superviseur qui manage la machine virtuelle et les composants
de sécurités de la virtualisation. La couche virtuelle se compose de trois éléments principaux :
13
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
• Agilité.
14
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
• Prise en charge d’une description de haut niveau des besoins des utilisateurs et des SLA en
termes de performances et de besoin de l’application mobile, de la plate-forme informatique
et du réseau.
• Évolutivité pour prendre en charge plusieurs utilisateurs simultanés avec des exigences contra-
dictoires et un grand nombre de ressources physiques.
• Utilisation efficace des ressources du centre de données cloud, atteignant les SLA requis avec
une utilisation minimale des ressources possible.
• Utilisation efficace de l’électricité pour faire fonctionner l’infrastructure, afin que toutes les
exigences susmentionnées soient satisfaites avec la plus haute efficacité énergétique. L’effica-
cité énergétique la plus élevée nécessite une forte consolidation des ressources informatiques
et réseau.
• Prise en charge efficace des applications cloud mobiles. Cela signifie qu’un équilibre doit être
atteint entre les dépenses énergétiques de l’appareil et du centre de données, sous certaines
contraintes de ressources. La tâche d’équilibrage est difficile car de nombreux facteurs doivent
être pris en compte, tels que la quantité de transfert de données, l’énergie du mobile et
l’utilisation des ressources encourues par chaque décision possible.
• La couche utilisateur : Cette couche est exécutée à l’utilisateur que ça soit par son
téléphone, navigateur ou son poste de travail par une interface centrale Où cet utilisateur
peut exécuter ses taches sur les ressources cloud. Avec mobile Scheduler (MS) qui fonctionne
sur l’appareille mobile pour décider quelle tâche sera exécuter sur l’appareille ou sur le cloud.
• La couche Application : Dans cette couche se fait le contrôle des demandes de taches de
l’utilisateur par le contrôle d’admission qui prend la décision sur ce qu’il peut être exécuter
ou non sur le cloud.
15
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
• La centralisation et la consolidation.
• Réseaux adaptatifs.
16
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
Storage (SDS) constitue une solution à ce problème ou le software est concentré et utilisé pour
fournir la solution plutôt que le matériel.
Software Defined Storage est un type de système de stockage dissociant la partie matérielle de la
partie logicielle et qui se base sur des serveurs physiques équipé de processeur x86. Cette solution
est basée sur le concept de virtualisation puisque tous les ressources système sont collectées et
abstrait sur un emplacement logique et regroupé en des pools contrôlées par une interface centrale.
SDS prend la responsabilité de gérer d’énormes données dans le stockage systèmes d’une façon
automatisé, orchestré et programmable via des API en isolant la couche de contrôle des données
de la couche de stockage des données tel que les composant logiciel dans la couche de contrôle
gère et contrôle les ressources de stockage, tandis que le la couche de données est l’infrastructure
sous-jacente du stockage. (22)
• Service de stockage basé sur des règles : Le stockage est basé sur les règles dont les
utilisateurs peuvent les spécifier en termes de disponibilité, de fiabilité, de latence, etc.
• Abstraction : Les différentes ressources de stockage sont abstraites dans des pools logiques
où elles sont consommées et gérées.
• Automatisation.
• Programmable : Des API sont disponibles pour fournir un contrôle visible pour les
ressources, qui intègrent plusieurs composants du système.
• Fonctionne sur du matériel standard de l’industrie et ne repose pas sur des adaptateurs
propriétaires, ASIC, FPGA ou autres co-processeurs. Dans ce cas, le matériel standard inclut
également x86.
• Offre une suite complète de services de stockage, Ces services incluent la réduction de l’em-
preinte des données technologies (telles que la compression, la déduplication des données et
l’allocation dynamique) et la copie services (tels que les copies ponctuelles ou la mise en
17
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
miroir à distance). Un logiciel qui réachemine le trafic d’E / S vers différents appareils n’est
pas SDS.
• Flexible.
• Simple.
• Agilité.
18
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
19
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
découper le plan de donné du plan de control où les calcul sont effectué dans un autre équipement
appelé le contrôleur. Cette nouvelle architecture permet au réseau d’être contrôlé de manière
intelligente et centralisée, ou « programmé » ,à l’aide d’applications logicielles. Cela aide à gérer
l’ensemble du réseau de manière cohérente et globale .
Le SDN peut se résumer à trois principes de base comme illustré dans la figure ci dessous .
Le premier est le découplage des niveaux physique et virtuel. Cela permet de positionner tous
les équipements virtuels Sur toutes les machines matérielles. Le réseau devient indépendant du
matériel.
Le deuxième principe concerne les terminaux connectés au réseau qui ne doivent voir aucune
différence entre un équipement de rattachement physique et logique. le troisieme principe est I
‘automatisation, des opérations conduites sur le réseau (la gestion ou le contrôle).
20
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
couche ou une interface. La couche virtualisation qui se compose des machines virtuelles sont en
cours de normalisation par un groupe de travail dénommé NFV (Network Function Virtualisation)
. Le plan de contrôle fournit une fonction programmable distincte pour le contrôle et la gestion de
l’infrastructure réseau. L’un des plus connus est OpenDaylight,OpenContrail, FloodLight, etc. La
couche application représente les systémes de gestion des Clouds elle fournit aux applications uti-
lisateur des interfaces de programmation avec les services réseau, quelles que soient les ressources
sous-jacentes. C’est un peu équivalent du systeme d ’exploitation des ordinateurs. On y trouve
des protocoles comme OpenStack et d’autre qui sont propriétaire comme cisco ACI , vmware NSX
etc .. L’interface sud (Southbound interface) est souvent connue au travers du terme OpenFlow.
OpenFlow est une signalisation entre l’infrastructure et le contrôleur. Ce protocole transporte des
informations, détermine les actions exécuter dans un sens ou dans l’autre de l’interface. ,permet
de remontée d’informations au contrôleur pour qu’il puisse avoir une vue très précise du réseau.
• Flexibilité du réseau
21
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
• Niveau de mise en application : Ce niveau repose sur des points d’exécution physiques et
virtuelles, ces points d’exécution peuvent être implémentés sous forme de passerelles de sécu-
rité réseau, de logiciel sur hôte, d’applications sur appareils mobiles ou de machines virtuelles
dans le cloud, dans ce niveau se fait la segmentation du réseau pour empêcher les menaces
de proliférer dans le réseau et exécute la logique de protection dans des environnements
exigeants.
22
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
• Les politiques de sécurités dans SDSec sont abstraits de la couche physique, exécuté dans
le software et sont appliqué à toutes les niveaux quel que soit l’emplacement des systèmes
réseau.
• Le placement des périphériques dans les zones de confiances et le déploiement sont automa-
tisés.
• La portabilité du SDSec.
23
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
24
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
• Défis de sécurité du réseau : Il est devenu difficile dans réseaux modernes de suivre les VLAN,
les listes de contrôle d’accès (ACL) et les adresses IP pour garantir une conformité optimale
aux politiques et à la sécurité.
• Défis des réseaux câblés et sans fil : Une incohérence dans les pratiques de gestion de réseau
et une Duplication de l’approvisionnement en matériel réseau et à cause de séparation des
systèmes de gestion, des systèmes de sécurité et d’autres systèmes de production.
1.9.3 Architecture :
Les quatre couches de base de l’architecture SD-Access présenté dans la figure 1.6:
• Couche physique : contient les éléments matériels(les routeurs, les commutateurs, plates-
formes sans fil, etc..).
• Couche réseau : cette couche comprend le plan de contrôle, le plan de données et le plan de
gestion.
• Couche contrôleur : La couche où on trouve la gestion du système avec des logiciel et les
éléments d’orchestration et les sous-systèmes associés, tels que l’automatisation, identité et
analyse.
• Couche de gestion : Cette couche comprend les éléments avec lesquels les utilisateurs in-
teragissent, en particulier l’interface utilisateur graphique (GUI), ainsi que les API et les
interfaces Command Line (CLI).
25
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
• Assurance : informations contextuelles pour une résolution rapide des problèmes et une
planification des capacités
1.10.1 Définition :
La technologie des réseaux à définition logicielle ou les réseaux étendus programmables (SD-WAN,
« Software-Defined Wide Area Network ») constitue une méthode innovante d’orchestration de la
distribution des applications sur des réseaux WAN, le SD-WAN permet aux entreprises de limiter
l’augmentation du nombre d’applications utilisées, il centralise le contrôle du réseau et gère le
trafic sur ces liaisons en temps réel et de façon flexible ,il sert à répartir le trafic sur des réseaux
26
ESI-SBA CHAPITRE 1. SOFTWARE DEFINED SYSTEM
étendus (WAN).avec le SD-WAN la gestion des réseaux devient simple, économique et fiable. Dans
le chapitre 3 on va aborder le SDWAN en détail.
• Le trafic de données pour toutes les applications est sécurisé, en particulier les applications
hébergées dans le cloud.(28)
• Plus d’options sont fourni aux entreprises pour le type de connexion et la sélection des
fournisseurs lors de la construction de leurs réseaux.(29)
1.11 Conclusion
Au cours de ce chapitre nous avons présenté le paradigme du Software defined System et les
différentes technologies existantes. Dans le chapitre suivant, nous allons parler sur les technologies
WAN.
27
Chapitre 2
2.1 Introduction
La communication de l’entreprise entre le siège principale, régionale et les sites distants doit être
performante en termes de sécurité, de fiabilité et de la qualité de mise en œuvre, donc les entreprises
comptent plus que jamais sur leurs réseaux étendus. Plusieurs techniques WAN, déployées sur des
réseaux privés ou publics, ont été mises en œuvre pour répondre aux besoins des applications et
pour transmettre tous types de données. Parmi les premières technologies WAN sont les lignes
dédiées qui offrent une meilleure gestion des réseaux, mais ils sont très chers. Les services de la
commutation de paquet Frame Relay ont remplacé par la suite les lignes louées pour réduire les
couts. Frame Relay est une amélioration de la commutation X.25. Ensuite, une autre alternative
aux lignes dédiées est la technologie ATM (Asynchronous Transfer Mode) qui est utilisée pour
transporter de la voix et la vidéo. La plus importante technologie WAN est MPLS (MultiProto-
col Label Switching) qui offre aux entreprises une connexion fiable. Le routage joue un rôle très
important, non seulement dans les réseaux étendus mais dans le réseau en général, d’une manière
plus précise s’il n’y a pas de routage le WAN n’existe pas. Le Protocole BGP est utilisé par tous
les fournisseurs de services Internet dans le monde. Il existe deux types ou catégories générales
de protocoles de routage qui fournissent des informations de routage à l’intérieur et entre des sys-
tèmes autonomes qui sont IGP et EGP. Lors de l’utilisation de Internet comme un support de
transmission, le WAN établit une connexion VPN qui rend le réseau publique Internet aussi sûr
qu’une ligne privée, VPN est une connexion cryptée qui assure la transmission sûre et sécurisée des
données sensibles. Dans ce chapitre, nous allons présenter dans la première partie les technologies
de commutation WAN et leurs principes de fonctionnement. Dans la deuxième partie, on va abor-
der en détails le processus et les différents protocoles de routage. Ensuite, les technologies WAN
d’entreprise sont présentées en parlant des réseaux WAN sur les lignes louées, les lignes commutés
et sur des liens VPN. Dans la dernière partie, nous allons discuter sur les réseaux SD-WAN.
2.2 Définition :
Wide area network est un réseau de communication de donnée qui couvre une zone géographique
étendu à l’échelle de villes, d’un pays ou de la planète entière, utilisé pour la transmission des
données entre les équipements de traitement de données et pour interconnecter les LAN (Local
Area Networks). En outre, une entreprise doit souscrire à un fournisseur de services WAN pour
utiliser les services réseau de l’opérateur WAN. Les entreprises de télécommunications fournissent
28
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
des liaisons de transmissions à longue distance aux autres entreprises. Les réseaux WAN peuvent
transporter plusieurs types de trafics comme la voie, vidéo et donnée. La technologie WAN est
localisée dans la couche de liaisons de données et la couche physiques du modèle OSI. ( ? ). Les
réseaux étendus WAN sont principalement composés de support de transmissions (par exemple
le câble) et d’élément de commutation (par exemple les routeurs, les systèmes intermédiaires de
commutation par paquets), qui gèrent les taches de connexions des sous réseaux locaux uniques
les uns aux autres et assurer un transport de données fluide entre eux.(30)
29
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
• X.25 niveau 2 : Le protocole LAPB (Link Access Procedure Balanced) dérivé de HDLC
est établie pour contrôler la transmission de blocs de données entre DCE et DTE, LAPB
assure l’arrivé dans l’ordre et sans erreur des paquets à la réception(30) .
• X.25 niveau 3 : Le protocole de la couche paquet du X.25 est appelé PLP (PacketLayer
Protocol). PLP contrôle le flux et les interruptions lors de la transmission des paquets.
L’établissement et de la terminaison de la connexion est faite par ce protocole. Une ligne
physique peut supporter une ou plusieurs connexions virtuelles. (30)
• SVC (Switched Virtual Circuit) : les circuits virtuels commutés sont utilisés pour com-
muter une connexion vers un partenaire de communication distant si et seulement si le paquet
contient une requête pour basculer la connexion. Dès que la connexion est commutée, les pa-
quets de données transmis envoyés le long de cette connexion atteignent toujours le récepteur
dans la séquence de transmission d’origine.
Les circuits virtuels permanents sont utilisés de la même façon que SVC mai ils sont établis d’une
façon permanente. PVC est configuré en fonction des préférences des clients du fournisseur de
réseau. PVC est la contrepartie d’une ligne louée.
• La norme X.25 est internationale donc la possibilité de connecter aux réseaux des autres
pays.
30
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
Frame Relay dans le niveau de la couche physique n’a pas un protocole spécifique, il support tous
les protocoles de cette couche.
Le protocole LAPF (Link Access Protocol for Frame Mode) qui est basé sur LAPD implémenté
dans ISDN et sur HDLC prend en charge la coordination et la signalisation du transfert de données
sans le contrôle de flux et la correction d’erreur il détecte seulement les erreurs. La structure du
trame Frame Relay est comme suit :
.
Fig. 2.2 : La structure du trame Frame Relay
(33)
Fanion : est utilisé pour délimiter la trame au début et à la fin avec la série unique 01111110.
DLCI (Data Link Connection Identifier) : C’est la partie d’adressage dont le circuit virtuel
est identifié avec quelle trame il appartient. Il est modifié de nœud en nœud par les commutateurs.
C/R (Command /Respond) :Un bit indique la nature de la trame si elle est une commande
ou une réponse.
EA (Extension Address) :un bit qui limite la taille de l’entête au début EA=0 un autre au fin
octet suit, EA=1 dernier octet.
FECN :(Forward Explicit CongestionNotification) L’émetteur initier les procédures d’évitement
de congestion.
BECN :(Backward Explicit Congestion Notification)Le récepteur initier les procédures d’évite-
ment de congestion.
DE (DiscardEligibility) :lors de la congestion sur le réseau, la trame peut être rejetée en faveur
d’une autre trame à l’aide de ce bit.
FCS (Frame Check Sequence) :aide à la détection des erreurs dans la trame basée sur le
mécanisme d’erreur utilisé est le CRC (CyclicRedundancy Check) tel que le réseau vérifie la taille
de la trame el la validité des adresses, les trames non valides seront rejetées.
31
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
32
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
• La couche physique :
Le transport des cellules ATM entre deux couches ATM adjacentes est réaliser par de différents
types de liaisons de la couche physique qui se compose de la sous couche TC et la sous couche
PMD. La sous couche PMD (Physical Medium Dependent)assure l’adaptation du signal au support
du transmission utilisé, PMD génère une synchronisation entre l’émetteur et le récepteur, protège
l’entête avec HEC et applique un codage /décodage à un groupe de bits pour détecter des limites
de bits. L’interaction entre la couche ATM et PMD se fait par la sous couche TC (Transmission
Convergence) qui délimite les cellules ATM, génère et vérifie le champ HEC. L’extraction ou
l’insertion des cellules vides est effectuée pour bien adapter le débit entre le système de transmission
et la source.(35)
• La couche ATM :
La connexion entre les périphériques d’extrémités ATM est établie avec le circuit virtuel commu-
té SVC ou permanent PVC pour transmettre les cellules dans l’ordre dans lequel elles ont été
transmises, Cette connexion qui est identifiée par des étiquettes PVC/SVC peut être point à point
bidirectionnelle ou point à multipoint unidirectionnelle. La configuration du SVC se fait à la de-
mande avec le protocole de signalisation ATM tandis que la configuration du PVC se fait par les
procédures de la gestion du réseau. Dans la couche ATM se fait le multiplexage, le démultiplexage
et la commutation des cellules et il n’y a pas un contrôle d’erreur dans la transmission de ses
33
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
cellules. Un contrôle de congestion est effectué pour transporter le trafic sans affecter la qualité de
service. Il existe six catégories de QoS :(35) CBR (constant bit rate) : pour les applications en
temps réel avec un débit constant.
RT-VBR (real-time variable bit rate) : pour les applications en temps réel avec un débit
variable.
NRT-VBR (non-real-time variable bit rate) : pour les applications sensibles au retard avec
un débit variable.
ABR (available bit rate) : pour les applications avec une vitesse de transmission variable selon
la capacité de relâchement du réseau.
UBR (unspecified bit rate) : pour les applications tolérantes aux retards.
GFR (guaranteed frame rate) :taux de trame garanti.
La couche d’adaptation ATM (AAL) est chargée de la segmentation du flux qui est généré par une
couche de niveau supérieur en cellules ATM et de réassembler les cellules arrivant en flux. Différents
types de services ont été utiliser pour le transport les différents types de flux (la voix, la vidéo et les
données). Pour faire face à ces divers besoins des applications, la couche adaptation ATM est divisé
en cinq sous couches chacune est divisé en deux sous couches CS (Convergence Sublayer) et SAR
(Segmentation and Reassembly sublayer). CS est générer pour assurer la synchronisation entre
l’application et le système de transmission tandis que SAR segmente et rassemble les cellules pour
les couches supérieurs. Les cinq types d’adaptation d’application ATM sont expliquer brièvement
dans le tableau 2.1:
Mode de Type de
Type Classe Débit Exemple
connexion trafic
Voix et ému-
Supporte les lation de
voix et vidéo à
AAL 1 applications Constant Connecté circuit Emu-
débit constant
de classe A lation de
circuit
Supporte les
Vidéo à débit va-
AAL 2 applications Variable Connecté Voix et vidéo
riable (MPEG)
de classe B
Supporte les Connecté/
AAL Transfer de fi-
applications Variable Non- Donnée
3/4 chier
de classe C Connecté
Supporte les Interconnexion
AAL 5 applications Variable Connecté Donnée de réseaux
de classe D locaux
34
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
même des trames ATM ou Ethernet. Le rôle de cette technologie est de combiner les mécanismes
de commutation de niveau 2 et les concepts de routage de niveau 3 du modèle OSI .Pour cela
MPLS est qualifié de protocole de couche 2,5.
MPLS fonctionne en mode connecté et se base sur la commutation des labels qui sont insérés à
l’entrée du réseau MPLS et retirés à sa sortie sans modification sur le cœur du réseau. De plus,
le transport des données au sein de cette architecture peut être par exemple effectué à l’aide de
cellules ou de paquets à travers des réseaux ATM ou des réseaux Frame Relay.(38)
Un réseau MPLS se compose de routeurs de commutation de label (LSR) et de nœuds MPLS.
Un LSR est un routeur IP qui exécute le protocole MPLS et il peut lier des labels aux FEC,
transmettre des paquets IP en fonction de leurs labels et effectuer la décision de transfert IP
habituelle en effectuant une recherche de table dans le FIB (forwarding information base). FIB est
une base de données utilisée pour acheminer les paquets non labelisé, en utilisant un préfixe. Un
nœud MPLS est un LSR, sauf qu’il n’a pas nécessairement la capacité de transmettre des paquets
IP en fonction de préfixes.(35) La commutation MPLS qui comprend des fonctionnalités du « Traffic
engineering » et de réseau privé virtuel (VPN) est indépendante aux technologies utilisée grâce à
l’insertion d’un label dans les unités de données (paquets ou cellules) qui indique à chaque nœud
MPLS la manière dont ils doivent transmettre et traiter les données et de rediriger un paquet vers
un autre chemin lorsqu’une liaison est défaillante.
Pour prendre des décisions MPLS repose sur un plan de contrôle et un plan des données. Le plan
de contrôle est utilisé pour le pilotage et le contrôle du chemin des paquets en référençant les labels
entrants aux tables de la base d’informations des labels. Avant la transmission du premier paquet
de données l’échange d’informations de contrôle doit être en place. Ainsi, le plan de données permet
de transmettre des paquets de données en fonction des labels.(38)
La commutation de labels :
Dans les réseaux IP/MPLS, La commutation de paquets circule sur un chemin établi entre deux
machines en se basant sur Label Switched Path (LSP). Les routeurs Ingress LER (Ingress Label
Edge Routeur), qui se situant à la périphérie du réseau de l’opérateur,détermine le prochain label
à appliquer au paquet arrivé dans la base de données des labels LIB (Label Base Information)
qui contient pour chaque sous-réseau IP la liste des labels affectés par les LSR voisins donc elle
contient tous les chemins possibles pour atteindre la destination. Ensuite, LER effectue une mise à
jour de l’entête MPLS (swapping du label et mise à jour du champ TTL, du bit S)(39). Et après,
les paquets labelisés sont commutés vers le cœur du réseau selon leurs numéros de label, les LSR
(Label Switching Router) commute les labels jusqu’au LER de sortie. Dans l’entêtes MPLS, il
existe un champs S qui indique s’il y a empilement de labels. Ce principe nommé ”Label Stacking”
est utilisé pour agréger plusieurs LSPs dans un seul, ceci est appelé LSP.(40)
35
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
Le fonctionnement du MPLS :
Le principe du MPLS est basé sur la permutation d’étiquettes au niveau du LSR. Avant l’envoie au
saut suivant, une analyse est établie sur le label entrant, qui est ensuite permutée avec l’étiquette
sortant. E-LSR (Edge Label Switch Router) impose les labels sur les paquets et calcule un data-
gramme une seule fois afin de lui affecter un label spécifique et transmis les paquets labelisés vers
le cœur du réseau MPLS selon son numéro de label. Et après, les LSR du nuage MPLS commutent
les paquets labellisés jusqu’à l’E-LSR qui supprime les labels et remet les paquets à leur destination
finale.(39)
« L’affectation des étiquettes aux paquets dépend des groupes ou des classes de flux FEC (For-
warding équivalence classes). Les paquets appartenant à une même classe FEC sont traités de la
même manière. Le chemin établi par MPLS appelé LSP (Label Switched Path) est emprunté par
tous les datagrammes de ce flux. L’étiquette est ajoutée entre la couche 2 et l’entête de la couche
3 (dans un environnement de paquets) ou dans le champ VPI/VCI (identificateur de chemin vir-
tuel/identificateur de canal virtuel dans les réseaux ATM). Le switch LSR du nuage MPLS lit
simplement les étiquettes, applique les services appropriés et redirige les paquets en fonction des
étiquettes. Ce schéma de consultation et de transfert MPLS offre la possibilité de contrôler expli-
citement le routage en fonction des adresses source et destination, facilitant ainsi l’introduction de
nouveaux services IP. Un flux MPLS est vu comme un flux de niveau 2.5 appartenant niveau 2 et
niveau 3 du modèle de l’OSI. »(39)
36
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
la table de routage du routeur. Chaque FEC est attribué avec un label tel que chaque groupe de
paquets est associé à un label.(40)
Les labels peuvent être intégrer dans différents protocoles de communication (ATM, Ethernet,
HDLC et Frame Relay), ces labels sont de taille de 32 bits. (40) :
Il existe deux modes de distribution des labels :
• Unsolicited DownStream : Dans ce mode, dès qu’une FEC est associé à un label, le
routeur informe tous ses voisins par cette association automatiquement.
• ModeConservative : LSR ne conserve que les labels envoyés par le routeur ”next-hop”
pour la FEC associé à ce label.
Constrained-BasedRoutingLDP (CR-LDP) :
CR-LDP est un protocole de distribution de label basé sur LDP. Comme ce dernier est utilisé
pour établir un LSP associé à une FEC particulière. Le CR-LDP est utilisé pour établir un LSP
unidirectionnel point à point routé explicitement, appelé chemin de commutation d’étiquette routé
basé sur contrainte (CR-LSP).
37
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
message ”PATH” est envoyé vers E-LER pour demander l’établissement d’un LSP. A la réception
du premier message, E-LER répond par un message ”RESV” qui va se propager de proche en
proche jusqu’au I-LER. Quand le message ”RESV” est reçu par I-LER, le LSP est établi et les
ressources sont nécessaires sont alloués dans chaque nœud MPLS qui compose le LSP.(40)
38
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
construire leurs tables VRF, les PE doivent s’échanger les routes correspondant aux différents VPN
avec le protocole MP-BGP. Les configurations des VRF ne comportant que des paramètres relatifs
à MP-BGP.(43)
Traffic engineering :
La commutation MPLS comprend des fonctionnalités du « Traffic engineering » pour utiliser les
ressources réseaux de manière optimisée, d’éviter les congestions de trafic sur certains liens et
de définir le chemin de la source à la destination par lequel va emprunter le flux de données en
fonction de l’état du réseau, sa topologie, la bande passante et les protocoles utilisés. Contrairement
à LDP qui cherche juste un LSR adjacent pour connecter au chemin. Il est possible d’appliquer
deux méthodes, la première est ER-LSP (Explicitly Routed Path) où la source connaît le chemin
complet avec les LSR jusqu’à destination. (Définit les extensions à LDP), la deuxième est CR-
LDP (Constraint based Routing LDP) et RSVP sont des méthodes similaires à ER-LSP pour la
découverte des chemins. (38)
• Des informations concernant les réseaux auxquels il est possible d’accéder par quelles routes.
39
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
• Des informations sur le délai de transit associé aux différentes routes (latence).
Ces échanges permettent aux routeurs de créer en interne une carte, c’est comme une carte géo-
graphique. Ces cartes font partie de chaque table de routage des routeurs. En effet il existe deux
grandes familles des protocoles de routage ceux qui sont connu sous le nom protocoles de routage
interne (interior gateway protocol (IGP)). Et d’autre les protocoles de routage externe (external
gateway protocol (EGP).
• Calculer puis stocker dynamiquement dans la table de routage le meilleur chemin possible
ver tous les sous-réseaux du réseau.
• Eliminer tout itinéraire non valide ou perdu dans la table de routage et le remplacer si c’est
possible par un autre itinéraire (le meilleur).
40
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
41
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
42
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
Cette carte est utilisée pour déterminer le meilleur chemin vers une destination. C’est à dire il
calcul le meilleur chemin vers toute destination dans le réseau au lieu d’utilisé que le meilleur
chemin annoncé par son voisin. Les protocoles OSPF est un des exemples de protocoles de routage
à état de lien :
Notion de Zones :
Pour lutter contre le problème d’explosion des mises à jour qui consomme trop de mémoire et
CPU, l’OSPF devise son domaine de routage en zones tel que les routeurs d’une zone ne sont pas
affectés (en calcul) par les changements intervenus dans une autre zone.comme le montre la figure
ci dessous. D’autre part ,OSPF a des restrictions spéciales lorsque plusieurs zones sont impliquées,
la zone zéro est exigé, c’est le backbone .Il doit être au centre de toutes les autres zones , c’est-à-
dire que toutes les zones doivent être physiquement connectées à la zone 0 ,si le trafic doit voyager
entre deux zone il doit passer par le backbone ,de plus toutes les zones injectent des informations
de routage dans le backbone et à son tour le backbone diffusera ces informations dans d’autres
domaines. Un routeur qui appartient à une zone et connecte cette zone à la zone O est appelé qui
est connecté directement à la zone 0 est appelé routeur de bordure de zone (ABR) Le diagramme
suivant illustre le flux d’informations dans un réseau OSPF :
43
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
(45)
Avantages du OSPF
• C’est un standard IETF qui fait l’objet du RFC 2328, il fait donc l’objet d’implémentations
par de nombreux vendeurs et ne pose pas de problème d’interopérabilité, il est de ce fait
particulièrement populaire.
Inconvénients du OSPF
• Comme chaque routeur dispose de la totalité de la base de données de liens, tous doivent
disposer de la capacité mémoire suffisante pour la stocker.
• La capacité CPU joue un rôle dans le calcul SPF et donc la vitesse de convergence, en
particulier pour les topologies complexes et instables.
• On estime en général qu’OSPF convient pour des topologies comprenant jusqu’à 1 000 rou-
teurs.
• La configuration d’OSPF est plus complexe, principalement si le réseau est segmenté en aires.
44
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
d’une EGP (Exterior Gateway Protocol) est de transférer les informations de routage entre les rou-
teurs qui connectent un tel système à un autre .En utilisant un protocole de routage nommé BGP
(Border Gateway Protocol).
45
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
route doit emprunter pour atteindre le réseau de destination. Cette liste est contenue dans l’attribut
AS-path. BGP empêche les boucles de routage en rejetant le numéro du système autonome local
dans les mises à jour de routage, cela indique si une route est reçue d’un voisin BGP avec son propre
AS dans l’AS Path, alors la route est rejetée. Les homologues BGP échangeront initialement leurs
tables de routage BGP complètes, puis des mises à jour incrémentielles sont envoyées lorsque la
table de routage change, BGP conserve un numéro de version de la table BGP et il devrait être
le même pour tous ses voisins. Le numéro de version changera à chaque fois que BGP mettra à
jour la table en raison de certaines modifications dans les informations de routage. Des paquets
Keep-alive sont envoyés pour assurer que la connexion entre les homologues BGP est active. Des
paquets de notification sont envoyés en réponse à des erreurs ou aux erreurs ou aux conditions
spéciales.
eBGP et iBGP :
(46) Quand BGP s’exécute entre des routeurs qui appartiennent à deux AS différents, on parle de
BGP extérieur (eBGP) et quand BGP s’exécute entre des routeurs du même AS, on parle d’iBGP.
• ORIGIN :(47) L’attribut ORIGIN est obligatoire et il identifie la source d’une donnée. Il
existe trois valeurs possibles pour cet attribut : 0 pour IGP, 1 pour EGP (BGP) et 3 pour
INCOMPLETE. La valeur la plus basse est préférée. INCOMPLETE est utilisé lorsque les
routes sont redistribuées c’est-à-dire elles sont ajoutées dans la table de routage BGP par un
autre protocole
• AS PATH :(46) Ceci est un autre attribut obligatoire qui montre les AS traversé pour at-
teindre un réseau de destination. AS PATH est conçu pour la prévention des boucles lors de
l’exécution du routage dans les AS. La liste la plus courte pour AS PATH est préférée dans
la sélection de chemin
• NEXT HOP :(48) Il s’agit d’un attribut obligatoire il permet de déterminer l’adresse IP du
saut suivant et l’interface de sortie à utiliser pour atteindre un réseau de destination. Une
adresse IP de prochain saut doit être accessible pour que le périphérique utilise une route
BGP.Cet attribut peut être défini manuellement via l’utilisation des informations fournies
par IGP ou d’une configuration supplémentaire
(47)LOCAL PREF : Cet attribut est utilisé uniquement dans la communication iBGP afin
de calculer le niveau de préférence pour chaque route externe. Ce niveau de préférence est
utilisé plus tard pour déterminer le point de sortie de l’AS actuel. La valeur LOCAL PREF
la plus élevée est préférée dans le processus de sélection
(47)MULTI EXIT DISC : L’attribut BGP MULTI EXIT DISC (MED) fournit un mécanisme
permettant de séparer plusieurs points d’entrée ou de sortie vers le même AS voisin. Cet
attribut utilise une valeur nommée métrique et le point de sortie avec la métrique la plus
basse est préféré pour la sélection de chemin.
46
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
47
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
maintenant elles sont devenu complètement numériques. L’équipement Channel Service Unit/Data
Service Unit (CSU/DSU) est utilisé à chaque extrémité de la liaison par les lignes loués numériques.
Le CSU / DSU est l’appareil DCE qui se connecte à la ligne numérique. Il effectue la conversion
entre le type de trames de données utilisées sur le LAN et celles utilisées sur la liaison WAN. ( ? )
Les lignes loués ont les caractéristiques suivantes :
• Disponibilité.
• Liaison couteuse.
La commutation de circuit :
La commutation de circuit est une méthode orienté connexion utilisé généralement pour la com-
munication vocale. Cette commutation est implémentée dans la couche physique et dont lequel un
circuit temporaire (physique ou virtuel) est construit initialement entre l’émetteur et le récepteur
pour toute la durée de la session de communication. Après l’établissement totale du circuit, les
données peuvent être transmis et enfin la commutation va libérer ce chemin. Une fois que la liaison
entre l’émetteur et le récepteur est défini, toute la transmission suive le même chemin donc la
commutation de circuit n’est pas flexible. Il existe deux types de connexion à commutation de
circuit : ISDN (Integrated Services Digital Network) et les réseaux téléphoniques RTC. (50) Les
phases de la communication dans les réseaux à commutation de circuit sont :
• La phase de connexion :
Initialement, un circuit temporaire est construit entre l’émetteur et le récepteur pour toute la durée
de la session de communication. L’émetteur envoie une demande de connexion au nœud le plus
proche. À la réception de cette demande, le récepteur analyse cette demande suivant les règles de
routage choisit un canal et le réserve vers le nœud voisin le plus adéquat vers lequel la demande
de connexion est transmise et ainsi de suite jusqu’au récepteur
• La phase de déconnexion :
Enfin, la commutation du circuit libère le circuit après le transfert de données où un nœud peut
prendre l’initiative de libérer le circuit et le message de déconnexion est transmis de nœud en nœud
et la connexion est libéré.(50)
48
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
La commutation de paquet :
La commutation de paquets est la méthode la plus utilisé maintenant par les entreprises, elle est
implémentée dans la couche réseau du modèle OSI où les données sont fractionnées en des paquets,
des cellules ou dans les trames tel que chacune comporte un champ de donnée et un champ de
contrôle placé dans l’entête.Un groupe de paquets contenant des messages différents peuvent être
multiplexés sur une seule liaison. Encore, le rôle des nœuds de commutation est de choisir pour
chaque paquet une liaison de sortie en fonction des informations d’adressage de chaque paquet,
recevoir et envoyer les paquets et analyser les entêtes. Les commutation Frame Relay, ATM et
X.25 sont des commutations de paquet(50). Il existe deux modes de transmission de paquet :
• Le mode circuit virtuel : C’est un acheminement séquentiel des paquets du même message
sur un chemin virtuel établies entre les nœuds. Les paquets arrivent en même ordre.
• Le mode datagramme : Dans ce mode, l’ordre des paquets à la réception n’est pas garanti et
chaque paquet est traité indépendamment.(50)
Le circuit virtuel : Un circuit virtuel est une liaison qui peut multiplexer plusieurs connexions
virtuelles sur un seul chemin physique pour assurer une connexion fiable entre deux équipements,
alors que les circuits virtuels sont démultiplexé à l’extrémité distance, il existe deux types de circuit
virtuel sont :(30)
les circuits virtuels commutés sont utilisés pour commuter une connexion vers un partenaire de
communication distant si et seulement si le paquet contient une requête pour basculer la connexion.
Dès que la connexion est commutée, les paquets de données transmis envoyés le long de cette
connexion atteignent toujours le récepteur dans la séquence de transmission d’origine.
Les circuits virtuels permanents sont utilisés de la même façon que SVC mai ils sont établis d’une
façon permanente. PVC est configuré en fonction des préférences des clients du fournisseur de
réseau. PVC est la contrepartie d’une ligne louée.
49
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
Fonctionnement :
Il y a deux modes de fonctionnement ,le mode transport qui chiffre seulement la partie payload
du paquet IP ,et le mode Tunnel qui chiffre la totalité du paquet IP. Lors de l’établissement d’une
connexion IPsec, plusieurs opérations sont effectuées :
50
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
• Échange des clés : Le protocole initial et principal est le protocole IKE (Internet Key Ex-
change) qui est chargé de négocier la connexion. Avant qu’une transmission IPsec puisse être
possible,Le protocole IKE est capable de fournir des capacités de confidentialité et d’intégri-
té complètes. Pour des raisons de confidentialité, des algorithmes cryptographiques tels que
Data Encryption Standard (DES) et Advanced Encryption Standard (AES) peuvent être
utilisés. Son processus est divisé en deux phases, La première phase consiste à authentifier
les deux extrémités et établir un tunnel sécurisé en échangeant des clés partagées. La phase
2 consiste à établir des tunnels pour la transmission des données entre les deux extrémités.
• Transfert des données : Les tunnels destinés aux échanges de données vont s’appuyer sur 2
protocoles différents suivant les besoins en sécurité des utilisateurs.
51
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
52
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
53
ESI-SBA CHAPITRE 2. ARCHITECTURES ET RÉSEAU WAN
2.6 Conclusion :
Nous pouvons voir dans ce chapitre que les technologies WAN ont parcouru un long chemin depuis
leur invention. La croissance rapide du monde numérique et l’augmentation des demandes sur une
bande passante élevée ont transformé les réseaux étendus de bout en bout. Et on a trouvé que les
réseaux SD-WAN sont la solution qui répond à ses besoins.
54
Chapitre 3
3.1 Introduction
Au cours de ce dernier chapitre nous allons en premier lieu présenter la technologie SD-WAN
Ensuite nous allons aborder Les implémentations SD WAN suivantes :
– Implémentation de Cisco
– Implémentation de VMware VeloCloud
– Implémentation de Huawei
– Implémentation de Citrix NetScaler
– Implémentation de Juniper
– Implémentation de Silver Peak
– Implémentation de FlexiWan
3.1.1 Le SD-WAN
Le SD-WAN constitue une approche automatisée et programmatique de la gestion de la connec-
tivité et des coûts de circuit des réseaux d’entreprise, il permet aux entreprises de limiter l’aug-
mentation du nombre d’applications utilisées. Le trafic est transféré automatiquement et de façon
dynamique vers le chemin WAN le plus adapté en fonction des conditions du réseau (des exigences
de sécurité et de qualité du service (QoS)..etc) .La solution SD-WAN se résume en trois types de
services dont chacun profite à certains types d’entreprises :
• ON-PREM-ONLY : Ce service est déployé sur site uniquement (dans des routeur conven-
tionnelle) donc c’est une connectivité à maillage complet entre les bureaux distants. Cette
solution est utilisée avec les entreprises qui n’ont pas des applications Cloud hébergées sur
leurs réseaux et ne peuvent pas supporter les coûts supplémentaires liés au service SD-WAN
basé sur le cloud donc il n’est pas possible de se connecter à des passerelles cloud.
• Cloud-Enabled : Le service basé sur le cloud est destiné aux entreprises ayant une infra-
structure informatique en Cloud et qui souhaitent optimiser leur accès aux applications cloud
privé ou public. A l’aide d’une passerelle cloud, qui est considérée comme une passerelle pour
55
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
toutes les principales applications cloud (par exemple : Office 365, Azure, Salesforce, etc.),
la session cloud reste active en cas de défaillance du circuit Internet de l’entreprise lors de
l’utilisation d’une application cloud.
• Solution Hybride : Une solution hybride intègre les services du On-Prem-Only et les
services du Cloud-Enabled dans un seul service.(10)
• Les SD-WAN fonctionnent sur tout type de réseau filaire ou d’accès sans fil. Chaque WAN
peut utiliser un service / technologie de sous-couche différent, par exemple, un accès Internet
dédié, un accès Internet haut débit (câble ou DSL), Internet via LTE, MPLS via T1 ou MPLS
via fibre. Cette indépendance vis-à-vis du réseau sous-jacent permet une grande agilité et
simplicité dans la création et le déploiement de la connectivité réseau virtuelle.
• L’assurance des services est un élément essentiel dans SD-WAN. Les performances de QoS,
par exemple, la perte de paquets et la latence des paquets, sont mesurées sur chaque tunnel
SD-WAN en temps réel.
• Les SD-WAN prennent en charge le transfert de paquets sur un ou plusieurs WAN sur chaque
site. Ceci est souvent appelé WAN hybride lorsqu’un site dispose de deux connexions WAN
ou plus et que chaque WAN utilise une technologie WAN différente, par exemple, Internet
et VPN MPLS.
56
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
• Les SD-WAN utilisent des politiques pour prendre des décisions de transfert (ou de blocage)
d’applications pour les tunnels SD-WAN sur chaque WAN. Les politiques peuvent être basées
sur chaque application ou groupe d’applications, par exemple, les médias en temps réel ou
les applications de conférence. L’application des politiques prend en compte les exigences de
performances QoS d’une application ou les exigences de politique de sécurité ou de priorité
commerciale.
• L’automatisation des services est réalisée via une gestion, un contrôle et une orchestration
centralisés des tunnels SD-WAN avec une configuration automatique des équipements. (52)
57
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
De manière générale, la solution Cisco SD-WAN fonctionne par défaut en établissant des tunnels
GRE/IPSEC entre tous les éléments constituants le plan de donnée du domaine (les Edges) et sur
n’importe quel type de réseau qu’il s’agisse de MPLS, Internet, LTE, etc.
58
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
de routage via le protocole Overlay Management Protocol (OMP), il contient les règles
globales concernant les applications et les règles globales de qualité de service et de contrôle
de l’architecture SD-WAN. Il orchestre également des connexions sécurisées entre les routeurs
vEdge.
• vEdge : Des routeurs Physiques ou virtuels, ils se trouvent soit sur un site ou dans le cloud,
ils fournissent des connexion entres les sites et ils sont responsables de la transmission du
trafic, de la sécurité, du chiffrement, de la qualité de service (QoS).
• Les routes OMP qui sont appris à partir du site local ou du côté service d’un routeur vEdge.
C’est des routes qui sont statiques, directement connectées ou redistribués dans OMP par le
protocole OSPF ou BGP.
• Les routes TLOC (Transport Location) : Les routes TLOC identifient un emplacement de
transport. Ce sont les points auxquels l’interface WAN se connecte à un opérateur/fournisseur.
Il identifie le prochain saut pour les routes OMP. Il est similaire à l’attribut BGP Next Hop.
Chaque TLOC est une valeur de 3 tuples composées d’une IP système, d’une couleur (repré-
sente le type d’interface WAN sur le routeur) et d’une encapsulation (IPSec ou GRE).
• Itinéraires de service : les itinéraires de service représentent des services (pare-feu, IPS, etc.)
qui sont connectés à un routeur vEdge ou au réseau du site local dans lequel réside le routeur
vEdge.
59
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
• Solution transport “agnostique” : Cisco SD-WAN permet d’assurer une continuité de service
grâce à l’activation de plusieurs liens provenant de différents fournisseurs d’accès internet et
d’autre technologies.
• Routage intelligent du trafic utilisateur : Les routeurs Cisco SD-WAN contiennent une fonc-
tion nommée “Deep Packet Inspection” (DPI) qui permet d’analyser jusqu’à 2300 applica-
tions, Le routage du trafic est basé sur les applications c’est-à-dire le lien est sélectionné
selon l’importance de l’application par exemple les applications cloud Office 365, SalesForce,
Google Apps, etc.
• Sécurité intégrée : Chaque routeur veut participer à un réseau Cisco SD-WAN, il doit s’au-
thentifier via un certificat avec vSmart. Un Pare-feu stateful capable d’analyser plus de 1400
applications. Une analyse du trafic en temps réel par un système de prévention des intrusions.
Filtrage d’URL capable d’identifier plus de 82 catégories web et de bloquer les pages sur la
base de réputation. Protection DNS avec Cisco Umbrella qui observe plus de 175 milliards
de requêtes DNS par jour. Détection du malware encrypté.
• Forward Error Correction : La correction d’erreur directe (FEC) est un mécanisme pour
récupérer les paquets perdus sur une liaison en envoyant des paquets de « parité » supplé-
mentaires pour chaque groupe (N) de paquets. Tant que le récepteur reçoit un sous-ensemble
de paquets dans le groupe (au moins N-1) et le paquet de parité, jusqu’à un seul paquet
perdu dans le groupe peut être récupéré. FEC n’est pris en charge que sur les routeurs Cisco
SD-WAN 1000, 2000 et 5000.
60
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
• Cisco mesure les performances des chemins d’accès à l’application à l’aide du délai de trans-
fert bidirectionnel pour déterminer la latence, la perte et la gigue des chemins d’accès aux
applications.
3.4.2 Caractéristiques :
La plateforme VMware SD-WAN de VeloCloud applique des technologies de réseau basées sur des
logiciels aux connexions WAN, dont lequel SD-WAN :
• Fournit un accès direct et optimal aux applications cloud avec exploitation des avantages
de ce dernier, de l’infrastructure réseau existante et de la bande passante du haut débit
à l’échelle de l’entreprise pour transmettre à moindre coût et plus efficacement les médias
(vidéos, données, voix).
• Envoie le trafic via des voies de distribution optimales sur l’ensemble du réseau en utilisant
plusieurs connexions comme MPLS, large bande et LTE dynamiquement.
• Offre une bande passante à la demande et simplifie le déploiement des services avec l’amé-
lioration et l’automatisation opérationnelle et des performances des applications.
• Répondre facilement à l’évolution des modèles d’engagement client et des activités pour
fournir un réseau agile.
• Les couts sont considérablement réduits à l’aide d’une gestion et un contrôle centralisés des
déploiements SD-WAN.
• Sécurise le transport des données entre les sites via des chemins optimisés.
61
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
• Sélection du chemin dynamique : Le protocole NSX SD-WAN Dynamic Multi Path Op-
timization (DMPO) surveille la gigue, la latence et la perte de paquets, en plus DMPO
automatiquement détecte le fournisseur et configure les caractéristiques des liaisons, le rou-
tage et la qualité de service. Une multitude de connexions sont utilisés avec un équilibrage de
charge par paquet entre eux et selon le type de paquet le meilleur chemin est sélectionné, si ce
chemin est échoué le trafic se redirigera vers l’autre lien disponible de manière transparente.
• VPN cloud : VMWare SD-WAN utilise Site to Site Cloud VPN pour connecter les sites NSX
SD-WAN et non SD-WAN.
• Il offre une connectivité sécurisée dans toutes les succursales avec une gestion des clés évo-
lutive PKI, New Branches rejoint automatiquement le réseau VPN et accède à toutes les
autres ressources de la succursale, au centre de données d’entreprise et au centre de données
tiers comme Amazon et AWS.
• Locations multiples : Tous les composants SD-WAN comme Orchestrateur et les passerelles
sont de nature multi-locataire.
62
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
• Passerelles NSX SD-WAN : Les passerelles SD-WAN sont géré et exploité par VMware
et le Service Provider et elles sont utilisées comme une tête de réseau lord de l’accès au Cloud
via Edge, des tunnels sont créés sur n’importe quel chemin disponible vers la passerelle la
plus proche et l’envoie du trafic SaaS à cette passerelle. Les Edges peuvent actuellement
identifier plus de 2500 applications et sites Web. Une fonction de contrôle est intégrée pour
effectuer la distribution des itinéraires et la résolution des adresses IP du point d’extrémité
du tunnel.(54)
3.4.5 Architecture :
L’architecture VMware VeloCloud SD-WAN se compose de trois couches (53) :
• Passerelles cloud : Cette couche comprend le réseau mondial de passerelles cloud de Ve-
loCloud qui se trouvent au-dessus du transport sous-jacent. En effet, Le cloud peut être un
cloud privé ou un cloud de VeloCloud tel que les Cloud privés peuvent être gérés par une
entreprise ou par le fournisseur de services.
• Couche de prestation de services : Cette couche comprend les services réseau de Ve-
loCloud comme DMPO. Les fournisseurs de services seront en mesure de fournir à leurs
clients le tableau de bord VeloCloud et la possibilité de voir qui utilise leur réseau. En plus,
SD-WAN VeloCloud fournit également des VPN qui peuvent être effectués côte à côte
63
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
• SD-WAN hybride dans le cloud (Cloud Hybrid) : Branch utilise SD-WAN Edge
et plusieurs connexions Internet et MPLS peuvent y être connectées et le cloud SaaS est
connecté par des passerelles.
• SD-WAN sur site (On-Premise) : Branch utilise SD-WAN Edge et plusieurs connexions
Internet et MPLS peuvent y être connectées et le cloud SaaS est connecté par des passerelles.
L’Orchestrateur est hébergé sur le centre de donnée de l’entreprise. (56)
64
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
La solution Huawei SD-WAN comprend trois couches comme le montre la figure ci-dessus :
vCPE/uCPE : Est une solution de communication logicielle qui peut exécuter des fonc-
tions de réseau virtualisé (VNF) tels que des routeurs, pare-feu, équilibreurs de charge..etc.
L’uCPE est une version amélioré du vCPE. En effet, Au niveau de cette couche, l’entreprise
peut utiliser des CPE ou uCPE comme passerelles pour connecter les succursales entre eux.
Chaque CPE ou uCPE est connecté à un ou plusieurs WAN. Pour connecter au cloud pri-
vé ou public le vCPE est utilisé comme passerelle. Sur les passerelles de succursale, il est
65
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
possible de combiner les liaisons MPLS, les liaisons Internet et les liaisons LTE de manière
flexible pour établir des connexions aux centres de données, cloud publics ou cloud privés.
Dans ce scénario, les opérateurs peuvent fournir des réseaux SD-WAN à plusieurs entreprises. Les
différents réseaux SD-WAN loué sont isolés et invisibles les uns aux autres. Chaque entreprise gère
indépendamment son réseau SD-WAN. De plus, l’entreprise peut utiliser de manière flexible les
divers types de liens, lier les succursales et le centre de donnée et accéder au Cloud public et privé.
Le SD-WAN @ AC-Campus fournit un système visualisé pour les opérateurs afin de maintenir les
réseaux SD-WAN, déployer et gérer de manière centralisée les services cloud et fournir des VAS
(un magasin d’application) pour les entreprises.
3.5.4 SME
Les SMEs se composent généralement d’un centre de donnée et de plusieurs succursales, comme le
montre la figure ci-dessous :
66
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
• Les SMEs louent des réseaux SD-WAN auprès des fournisseurs de service qui déploient le
SD-WAN @ AC-Campus sur HUAWEI CLOUD pour fournir des services SD-WAN aux
SMES.
• Une gestion intelligente du trafic, les politiques d’accès à Internet et au cloud public sont
basées sur les applications.
• Deux CPE sont déployés au data center en tant que passerelles. Les succursales utilisent des
liens Internet pour communiquer avec le centre de données et le cloud public. Les tunnels
sont établis dynamiquement entre les succursales selon les besoins. Des liens MPLS peuvent
être utilisés pour améliorer la fiabilité du réseau.
67
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
• Le SD-WAN @ AC-Campus est déployé dans le centre de donnée. La redondance est recom-
mandée pour assurer un système de contrôle fiable.
• Deux CPE sont déployés en tant que passerelles. Pour équilibrer le trafic et améliorer l’uti-
lisation de la bande passante le centre de donnée et les succursales utilisent à la fois des
liaisons MPLS et Internet pour accéder au réseau.
• Pour interconnecter les succursales dans une région spécifique et le centre de donnée mondiale,
les nœuds d’agrégation sont déployés sur le site central national ou régional.
• Le trafic entre le centre de donnée mondiale et le centre de donnée national est transmis via
une ligne privée internationale.
• Le SD-WAN @ AC-Campus peut être déployé dans le centre de données. La redondance est
recommandée pour assurer un système de contrôle fiable.
• L’uCPE est déployé en tant que passerelle, la gestion intelligente du trafic est configurée
pour les services qui doivent être transmis sur des réseaux internationaux cela permet l’amé-
lioration de l’expérience de service et l’optimisation de la bande passante.
68
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
• Cette solution prend également en charge plusieurs politiques de pilotage intelligent du tra-
fic, y compris le pilotage du trafic basé sur la qualité de l’application, l’équilibrage de charge,
l’utilisation de la bande passante et la priorité de l’application. La technologie de planifi-
cation du trafic de qualité de service hiérarchique (HQoS) garantit la bande passante des
applications clés.
• Des fonctions de réseau virtualisé (VNF) sont déployées sur l’uCPE pour implémenter les
technologies d’optimisation WAN
• Les CPE sont plug-and-play et prennent en charge le déploiement via USB et par courrier
électronique, ce qui réduit les compétences requises du personnel de déploiement.
• La solution SD-WAN de Huawei fournit une gestion intelligente du trafic basée sur la priorité
de l’application, la qualité de la liaison, l’équilibrage de charge et l’utilisation de la bande
passante.
• Zéro Touch Provisioning : La solution Huawei SD-WAN prend en charge le déploiement par
courrier électronique et USB. Les passerelles sont automatiquement enregistrées auprès du
SDWAN @ AC-Campus pour obtenir des configurations hors ligne et un déploiement réseau
complet.
69
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
logiquement plusieurs connexions y compris Internet, MPLS, 3G/4G/LTE et satellite. Citrix NetS-
caler SD-WAN vous permet de maintenir la continuité d’activité en redirigeant automatiquement
le trafic vers la meilleure liaison disponible, et de fournir ainsi une expérience d’espace de travail
intégrée et Always-on. Un contrôle centralisé séparé du matériel sous-jacent est effectué sur les
mécanismes de sécurités, des connexions réseau et sur les flux d’application. Citrix propose deux
solutions On-premise et Cloud-Based.
• L’agrégation simultanée du plusieurs liens WAN permet aux utilisateurs et aux applications
de bénéficier de la totalité de la bande passante proposée par les différents liens réseaux.
• Améliore l’expérience des utilisateurs avec les mécanismes de vérification de perte de paquets.
• Un équilibrage de charges de liens transparent pour les utilisateurs et sans perte de paquets.
• Séparation des fonctions de contrôle et les centralises dans un service Cloud ou application
sur site.
• Le Zero-Touch Provisioning est accessible depuis n’importe quel réseau Internet public et via
le protocole SSL (Secure Socket Layer).
• L’analyse approfondi pour surveiller les liens garantie la performance du réseau SD-WAN.
70
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
• Citrix SD-WAN Center : Citrix SD-WAN Center est un système de gestion centralisé
utilisé dans la solution SD-WAN On-Premise et il est conçu pour réduire les erreurs de
configuration et de minimiser le temps de déploiement des Appliances. En plus, il effectue
une surveillance, une configuration et une analyse de toutes les composants et le flux SD-
WAN. L’interface Web de Citrix SD-WAN Center donne une visibilité sur le réseau SD-WAN
et elle vous permet d’afficher et de générer des rapports, des graphiques et des statistiques
les Appliances SD-WAN et le flux.(59)
• Citrix SD-WAN Orchestrateur : Citrix SD-WAN Orchestrateur est une offre SaaS de
gestion multilocataires hébergée dans le cloud, il est utilisé dans la solution SD-WAN Cloud-
Based. Les Appliances se connecte au l’orchestrateur qui est hébergé dans le Cloud via
Internet à l’aide des interfaces de gestion des périphériques. En effet, l’interface de l’orches-
trateur permet aux administrateurs de surveiller le trafic et les applications, d’afficher et de
générer des rapports, des graphiques et des statistiques les Appliances SD-WAN et le flux.
Les règles de Pare-feu sont appliquées pour assurer la communication entre les Appliances et
Citrix Cloud SD-WAN Orchestrateur. Cette dernière permet de gérer plusieurs clients avec
des contrôles d’accès basé sur les rôles et de partager une licence centralisée pour tous les
périphériques SD-WAN connectés. Le provisionnement sans contact effectue une intégration
transparente des Appliances physiques et virtuelles. (60)
• Les Appliances Citrix SD-WAN : Les Appliances de la solution SD-WAN du Citrix sont
des Appliances physiques ou virtuel déployé sur chaque site de l’infrastructure SD-WAN.
(59)
71
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
liaison WAN. Le regroupement de différents liaisons WAN permet de fournir des niveaux de services
élevés et une communication fiable. Citrix SD-WAN mesure constamment les conditions du chemin
WAN de sous-couche et le chemin de manière unidirectionnelle et il effectue une sélection de chemin
par paquet pour une adaptation rapide à toute modification du réseau. Les Appliances Citrix SD-
WAN ajoutent un entête à chaque paquet avant l’envoie, l’entête contient des informations sur la
liaison actuelle tel que le temps de transit, la gigue, la congestion et la perte de paquets, le chemin
virtuel est un tunnel basé sur UDP utilisant le port UDP 4980. (61) Les fonctionnalités clés du
Citrix NetScaler SD-WAN sont (62) :
• Sélection du chemin en fonction de la latence : Pour les applications en temps réelle (prio-
ritaires) comme la VoIP, Skype et la vidéoconférence, SD-WAN sélectionne un chemin avec
la latence la plus faible du moment.
• Changement de chemin dynamique : le chemin change si qualité du réseau change par exemple
si le chemin MPLS subit une dégradation de la qualité pendant un appel VoIP, par exemple
en raison d’une gigue excessive ou d’une perte de paquets, SD-WAN envoie les paquets vers
un autre chemin avec la meilleure qualité disponible du moment.
• Liaison de plusieurs liens : Pour maximiser des vitesses de transfert de données par exemple
dans le téléchargement, Citrix propose une fonction de liaison qui permet de délivrer des
paquets en un seul flux via plusieurs chemins.
• Duplication de paquets pour les applications en temps réel : faire des copies de paquets et
d’envoyer chaque copie via deux chemins WAN.
3.6.6 Sécurité :
SD-WAN est sécurisé grâce à la segmentation du réseau et la protection des plans de gestions, de
contrôles, et de données avec des fonctionnalités de sécurité standard intégré dans les Appliances
physiques et virtuelles. Citrix SD-WAN assure la sécurité des Appliances en hébergent au système
d’exploitation du serveur standard une Appliance virtuelle NetScaler SD-WAN VPX et effectuer
des mises à jour périodiques avec les derniers correctifs de sécurité pour le système d’exploitation
et un logiciel antivirus à jour sur le serveur. Le chemin virtuel est sécurisé avec un chiffrement
AES-128 et AES-256 et l’option « activer la rotation des clés de chiffrement » qui est activée pour
assurer la régénération des clés pour chaque chemin virtuel avec le chiffrement activé à l’aide d’une
fonction elliptique Courbe Diffie-Hellman. Des clé secrète est spécifier pour chaque site qui sont
combiné ensuite à chaque extrémité du chemin virtuel. En plus, le chemin virtuel prend en charge
IPSec.(61)
72
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
73
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
74
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
permet aux entreprises d’exploiter et associer en souplesse les divers services de transport. SD-
WAN surveille en permanence les applications et les ressources du réseau pour orienter le trafic
automatiquement et intelligemment selon ces exigences.(63)
• Utilisation de l’investissement MPLS existant avec des transitions vers la connexion Internet
pour réduire le coût mensuel de la bande passante.
• Pour créer un environnement plus sécurisé les hubs régionaux sont utilisés comme points de
consolidation pour le trafic Internet avec des pare-feu centralisés.
• Une surveillance détaillée du WAN avec des rapports d’utilisation pour chaque site distant
et sur tout le trafic Internet.
• Priorité et contrôle dynamiques du trafic à l’aide de la qualité de service (QoS) Silver Peak
– Zero-Touch Provisioning : Silver Peak Unity fournit un Zéro Touch Provisioning pour
les Appliance virtuelles et physiques pour réduire les erreurs de configuration et simplifie
le déploiement. Cela est réaliser avec un téléchargement automatique des paramètres de
configuration clés (tels que les politiques de QoS, les adresses IP, les modèles de confi-
guration prédéfinis et les instructions d’optimisation) une fois l’Appliance est connecté
au réseau. Elle recherche automatiquement une adresse DHCP et se connecte ensuite
via TLS à l’adresse cloudportal.silver-peak.com. Quand l’Appliance est connectée et
authentifiée avec le Silver Cloud Cloud-Portal, elle partagera son numéro de série qui
est déjà associé au compte client ou compte du fournisseur de services dans le système
de Silver Peak. Le Silver Cloud-Portal avisera l’Orchestrateur que la nouvelle Appliance
est en ligne et envoie un e-mail de notification à toute personne répertoriée qu’une nou-
velle Appliance est disponible. Et les administrateurs peuvent d’authentifier la nouvelle
Appliance via une ’interface graphique ou via l’API REST. Enfin, l’Appliance est prête
pour le service et le trafic peut circuler.
75
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
– Dynamic Path Control (DPC) : C’est un protocole qui contrôle le trafic en temps réel sur
toute liaison en fonction des politiques d’intention commerciale définies par l’entreprise.
DPC est utilisé pour équilibrer la charge du trafic en assurant la redondance en cas de
panne ou de panne de courant il bascule automatiquement sur la connexion secondaire
en environ une seconde.
– Cloud Intelligent : Pour assurer que les utilisateurs peuvent connecter à leur applications
SaaS de la manière la plus rapide et intelligente des mises à jour sont fournis en temps
réel sur le chemin le plus performant.(66)
– Routage : EdgeConnect prend en charge OSPF pour le routage côté LAN et BGP pour
annoncer tous les sous-réseaux à tous les homologues de la structure sd-wan. eBGP du
côté WAN permet l’accessibilité entre les sites sd-wan et les sites non sd-wan.
– Stateful Firewall Silver Peak SD-WAN prend en charge le pare-feu dynamique pour la
prise en charge locale des interruptions Internet (stateful firewall) et le « Renforcement
WAN » pour sécuriser les données bord à bord via des tunnels cryptés AES-256 bits
et pour bloquer les trafics extérieurs non autorisé à entrer dans les succursales avec
la possibilité de déployer EdgeConnect directement sur Internet. IPSec AES : Silver
Peak Unity EdgeConnect utilise l’encapsulation de tunnel de chiffrement IPSec AES
256 bits pour interconnecter les nœuds Edge Connect afin de créer automatiquement
des réseaux virtuels privés sécurisés qui virtualisent les réseaux physiques sous-jacents.
GRE et UDP sont utilisées pour se connecter à des appareils tiers tels que des pares-feux
basés sur le cloud.
– Conditionnement du chemin : Pour augmenter la performance et mieux utiliser les
connexions internet à bande passante élevé qui souffre souvent de la perte de paquet,
la correction d’erreur de Silver Peak reconstruit les paquets perdus, ce qui évite les
retransmissions TCP. Deux algorithmes sont utilisés FEC (Forward Error Control) et
POC (Paquet Ordre Correction) tel que POC réordonnent les paquets qui arrivent en
panne à leur destination.
– FEC (Forward Error Control) :
La retransmission TCP est déclenché lord de la perte de paquet en cours de route, ce qui
réduit considérablement le débit TCP. Silver Peak SD-WAN a résolu ce problème par
l’insertion des paquets FEC quelque part parmi les paquets en cours de transmission.
Comme le montre la figure ci-dessous, le paquet FEC peut être envoyé via MPLS
séparément ou via Internet avec d’autres paquets.
et contrôle des applications avec le premier paquet iQ : Silver Peak Unity offre des capa-
cités robustes pour la visibilité et le contrôle des applications qui permettent d’établir
facilement des politiques de route en fonction des applications ou des domaines. Une
classification est appliquée au premier paquet pour prendre des décisions de transfert
de trafic. La visibilité et le contrôle avec premier paquet iQ du Silver Peak couvre un
large trafic classification :
∗ Groupe d’application avec +200 applications catégories.
∗ Une approximation de 300 millions de domaine Internet.
∗ SaaS applications dynamiquement sont mise à jour avec Cloud Portal.
– QoS : Silver Peak SD-WAN Unity permet de définir une superposition WAN qui reflète
les exigences de QoS des différentes applications. EdgeConnect mappe les applications à
76
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
• Unity Boost : Unity Boost est composant de performance facultative dans Silver Peak
Unity qui accélère les applications selon les besoins, ce composant est ajouté pour optimiser le
WAN qui a un volume plus élevé ou des segments plus encombrés du réseau et pour réduire
les effets de la latence et appliquer une technologie de déduplication et de compression à
toutes les données envoyées sur le WAN.
• Unity Orchestrateur : Orchestrateur est un générateur de règles qui donne une visibilité
sur le trafic traversant le WAN et appliquera des politiques d’intentions commerciale pour
sécuriser et contrôle tout le trafic de la superposition WAN en détectant les applications
malveillantes et de contrôler l’utilisation d’Internet des applications non stratégiques, telles
que Facebook. Cela est appliqué à l’aide d’une interface d’administration unique pour fa-
cilite la mise en œuvre des stratégies d’intentions de l’entreprise à l’échelle du réseau. Une
surveillance continue en temps réelle avec un rapport historique qui fournit des détails sur
les statistiques d’application, de réseau et de localisation et sur la latence, la perte et sur
l’ordre de paquets pour tous les chemins, aussi le rapport inclus les économies de la bande
passante.
77
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
partagé ainsi que des réseaux privés avec accès dédié. En plus, FlexiWAN fournit une sécurité de
bout en bout sur de nombreux réseaux disparates et offre des organisations, des services cloud
spécifiques et une connaissance des applications avec un traitement du trafic Taylor.(67)
– Infrastructure de routeur est une version modifiée de FD.io Vector Packet Processor
(VPP)
– Plan de contrôle de routage basé sur Free Range Routing (FRR)
– FlexiWAN Agent qui connecte FlexiEdge au FlexiManage via des API sécurisées en
ligne.
78
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
• Déploiement Zero-Touch.
79
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
80
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
On-
On- On- On-
Type de On- Premise
Premise Premise Premise
la solution Premise Cloud- Cloud Cloud
Cloud- Cloud- Cloud-
sd-wan et Cloud Based
Based Based Based
Applications
auto dé- +4 000 +10 000 +2 500 +3 000 + 3 000 + 3 000 0
tectée
Type de Physique Physique Physique Physique Physique
Physique Physique
déploie- ou vir- ou vir- ou vir- ou vir- ou vir-
ou virtuelle ou virtuelle
ment tuelle tuelle tuelle tuelle tuelle
optimisation
Oui Non Oui Oui Oui Oui Non
du WAN
Détection
du mal-
Non Non Non Oui Non Non Non
ware cryp-
té
• Internet • Internet • Internet • Internet
• Internet • Internet • Internet
• MPLS • MPLS • MPLS • MPLS
Option • MPLS • MPLS • MPLS
• 3G/4G/LTE • 3G/4G/LTE • 3G/4G/LTE • 3G/4G/LTE
d’accès • 3G/4G/LTE• 3G/4G/LTE • 3G/4G/LTE
• Satellite • Satellite • Satellite
Équilibrage
Oui Oui Oui Oui Oui Oui Oui
de charge
Duplication
Oui Non Oui Oui Non Non Non
de paquet
81
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
Forward
Error Oui Non Oui Oui Oui Oui Non
Control
mesure
unidirec-
Oui Non Oui Non Non Oui Oui
tionnel du
chemin
mesure
bidirec-
Non Non Non Oui Non Non Non
tionnel du
chemin
Dynamic
path Swit- Oui Oui Oui Oui Oui Oui Non
ching
IPSec
IPSec IPSec IPSec IPSec IPSec IPSec
Tunnel GRE
GRE GRE GRE GRE GRE GRE
Zero-
Touch
Oui Oui Oui Oui Oui Oui Oui
Déploie-
ment
Inspection
approfon-
Oui Oui Oui Oui Oui Oui Non
die des
données
Sélection
du che-
Oui Oui Oui Oui Oui Oui Oui
min par
application
De base
sur le
De base, De base,
matériel
Avancé Avancé
Pare-feu Avancé Viptela Avancé Avancé De base
via des via des
Avancé sur
partenaires partenaires
le matériel
Cisco
D’après ce tableau ,on constate que la solution cisco est complète pour un bon SDwan, mais
l’inconvénient principale est que la solution est propriétaire, d’autre part la solution flexiwan est
open source ,malgré qu’elle présente moins de fonctionnalités par rapport aux d’autre solutions
,mais c’est pas un problème ,elle reste favorisée ,on peut l’améliorer ,telle que on ajoutant des
services importants comme la compression , et le deep packet insepction pour couvrir le manque
et avoir une solution forte.
82
ESI-SBA CHAPITRE 3. LES RÉSEAUX SD-WAN
3.11 Conclusion :
Tout au long de ce chapitre nous nous sommes concentrés sur Paradigme du SDWAN, on a essaie
d’expliquer de manière claire et simple les implémentations SDwan .Finalement, on conclu que la
meilleure solution est celle qui propose plus de fonctionnalités.
83
Conclusion
Ce mémoire de fin d’étude vise à contribuer à une meilleure compréhension sur les différents
systèmes définis par logiciels, expliqué dans le premier chapitre et de présenter ensuite le réseau
WAN avec un aperçu sur ses technologies existantes dans le marché. On a abordé la transition
pilotée par logiciel dans le segment WAN. La technologie SD-WAN s’est révélé être un standard
à haut potentiel en raison de ses avantages critiques. Le but de cette recherche était d’évaluer les
solutions SD-WAN à travers une comparaison entre les différentes implémentations existantes dans
le marché actuelles, réalisée dans le dernier chapitre. Cette approche cible un public plus large,
même si des connaissances techniques dans le domaine des réseaux informatiques sont nécessaires à
la compréhension des technologies étudiées. Le rapport se concentre sur la fourniture d’informations
pratiques sur le sujet, qui peuvent être utilisées par les professionnels du réseau comme point de
référence dans leur exploration du SD-WAN. Il peut également aider les responsables informatiques
dans leur choix concernant la meilleurs solutions SD-WAN à déployer pour leur entreprise.
84
Bibliographie
[1] D. Zeng, L. Gu, S. Pan, and S. Guo, Software Defined Systems : Sensing, Communication and
Computation. Springer Nature, google-Books-ID : UT_ADwAAQBAJ.
[3] Cisco Software-Defined Access Enabling intent-based networking, 2nd ed. [On-
line]. Available : https://www.cisco.com/c/dam/en/us/products/se/2018/1/Collateral/
nb-06-software-defined-access-ebook-en.pdf
[9] Contrail service orchestration (CSO) deployment guide - TechLibrary - juniper networks.
Available : https://www.juniper.net/documentation/en_US/cso4.0/information-products/
pathway-pages/deployment-guide.html [Visited on : 2020-08-20].
[10] (1) software defined wide area network : définition , historique , déploiement
et types de services proposés ? | LinkedIn. Available : https://www.linkedin.com/
pulse/software-defined-wide-area-network-d%C3%A9finition-et-types-mehdi-soufiane/ [Visi-
ted on : 2020-05-11].
[11] “Point-to-point GRE over IPsec design guide.” [Online]. Available : https://www.cisco.com/c/
en/us/td/docs/solutions/Enterprise/WAN_and_MAN/P2P_GRE_IPSec/P2P_GRE.pdf
85
ESI-SBA BIBLIOGRAPHIE
[12] Cisco dynamic multipoint VPN : Simple and secure branch-to-branch communica-
tions data sheet. Available : https://www.cisco.com/c/en/us/products/collateral/security/
dynamic-multipoint-vpn-dmvpn/data_sheet_c78-468520.html [Visited on : 2020-08-20].
[16] What is software-defined infrastructure ? SDI explained – BMC blogs. Available : https://
www.bmc.com/blogs/software-defined-infrastructure/ [Visited on : 2020-02-05].
[21] P. Raj and A. Raman, Software-Defined Cloud Centers : Operational and Management Tech-
nologies and Tools, ser. Computer Communications and Networks. Springer International
Publishing, available : https://www.springer.com/gp/book/9783319786360 [Visited on : 2020-
02-08].
[22] (1) (PDF) SDStorage : A software defined storage experimental framework. Available :
https://www.researchgate.net/publication/273319668_SDStorage_A_Software_Defined_
Storage_Experimental_Framework [Visited on : 2020-02-04].
[24] Software-defined storage : les 7 réalités d’une technologie convoitée. Available : https://
les-experts.tech/software-defined-storage-les-7-realites-dune-technologie-convoitee/[]Visited
on : 2020-02-04].
[26] Software defined protection (SDP) | check point software. Available : https://www.
checkpointfrance.fr/uploads/white-papers/SDP-fr.pdf [Visited on : 2020-02-05].
86
ESI-SBA BIBLIOGRAPHIE
[28] R. Ghai and N. Greene, “SD-WAN : Enhancing the traditional WAN for the future,” p. 11.
[31] Isrd, Data Commn And Networks(Isrd). Tata McGraw-Hill Education, google-Books-ID :
6rRVfHq3hXoC.
[32] X.25 network model and protocol layers - AR100, AR120, AR160, AR1200, AR2200,
AR3200, and AR3600 v300r003 CLI-based configuration guide - WAN - hua-
wei. Available : https://support.huawei.com/enterprise/kr/doc/EDOC1100069343/71c5776f/
x25-network-model-and-protocol-layers [Visited on : 2020-08-22].
[35] H. G. Perros, Connection–Oriented Networks : SONET/SDH, ATM, MPLS and Optical Net-
works. Wiley-Blackwell.
[37] Les réseaux télécom : ATM et MPLS - ppt video online télécharger. Available : https://
slideplayer.fr/slide/2824074/ [Visited on : 2020-08-22].
[38] Memoire online - mise en place d’une architecture VPN MPLS avec gestion du temps de
connexion et de la bande passante utilisateur - william landry SIME SIME. Library Cata-
log : www.memoireonline.com . Available : https://www.memoireonline.com/12/10/4148/m_
Mise-en-place-dune-architecture-VPN-MPLS-avec-gestion-du-temps-de-connexion-et-de-la-bande-passa
html [Visited on : 2020-05-06].
87
ESI-SBA BIBLIOGRAPHIE
[42] MPLS VPN - CloudEngine 8800, 7800, 6800, and 5800 v200r002c50 configuration
guide - MPLS - huawei. Available : https://support.huawei.com/enterprise/en/doc/
EDOC1000166638/2edd846/mpls-vpn [Visited on : 2020-08-22].
[43] Memoire online - mise en oeuvre d’un coeur de réseau IP/MPLS - amine amine. Library Ca-
talog : www.memoireonline.com . Available : https://www.memoireonline.com/03/11/4293/
m_Mise-en-oeuvre-dun-coeur-de-reseau-IPMPLS13.html [Visited on : 2020-05-08].
[46] S. Hares, Y. Rekhter, and T. Li. A border gateway protocol 4 (BGP-4). Available : https:
//tools.ietf.org/html/rfc4271 [Visited on : 2020-08-20].
[52] MEF, “Ralph santitoro. understanding SD-WAN managed services. MEF forum, 2017.”
[53] VMware SD-WAN architecture and VeloCloud components - DCLessons. Available : https:
//www.dclessons.com/vmware-sd-wan-architecture-and-velocloud-components [Visited on :
2020-03-25].
88
ESI-SBA BIBLIOGRAPHIE
[57] What is SD-WAN ? - software-defined WAN definition - citrix france. Library Catalog :
www.citrix.com . Available : https://www.citrix.com/fr-fr/glossary/sd-wan.html [Visited on :
2020-05-26 ].
[58] MIEL. Citrix SD-WAN optimisation et virtualisation du WAN à l’ère du cloud. Library Ca-
talog : www.miel.fr . Available : https://www.miel.fr/citrix-sdwan [Visited on : 2020-05-26]
.
[62] SD-WAN traffic path control and WAN quality enhancement solutions by vendor : (2) ci-
trix. Library Catalog : www.netmanias.com . Available : https://www.netmanias.com/en/
?m=view&id=blog&no=12541 [Visited on : 2020-05-29].
[63] Solution SD-WAN — réseau étendu défini par le logiciel | silver peak. Available : https:
//fr.silver-peak.com/sd-wan [Visited on : 2020-03-04].
[64] D. J. Metzler and A. Metzler, “Guide to WAN architecture & design,” p. 22.
[66] admin. Unity architecture : Building an SD-WAN fabric. Library Catalog : www.silver-
peak.com . Available : https://www.silver-peak.com/products/unity-architecture [Visited on :
2020-03-05].
89