République du Cameroun Republic of Cameroon

******** *********
;<E ! Peace-work-fatherland
Paix-Travail-Patrie
*******
******* African institute of computer
Institut africain du Cameroun sciences
********* ********
Représentation du Cameroun Representation of Cameroon
********* **********

Rapport de CCN4

Thème : SD-WAN

CLASSE : SR3B

GROUPE :9

Noms des exposants :

 MEBADA Michel
 NGATCHA Placide
 SAME Enone
 SIMO FOTSO Harold
 SUFFO Jordan Stael
 TABI NTSAMA Mireille Estelle
 TATOU Idriss Guylou
 TCHIMI Borel Junior Sous la supervision de :
 TCHINDA Yves Alain
Mr WAMBO

Année académique 2022/2023

 SD-WAN

SOMMAIRE

INTRODUCTION ............................................................................................................................................. 3
I. GENERALITES ......................................................................................................................................... 4
II. CONCEPTS DU SD-WAN ......................................................................................................................... 7
III. [Link] ET INCONVENIANTS DU SD-WAN ........................................................................... 16
IV. CAS PRATIQUE ................................................................................................................................. 18
CONCLUSION ............................................................................................................................................... 19

2
Rédigé par le groupe9 SR3B
 SD-WAN

INTRODUCTION

Le WAN, Wide Area Network, désigne le réseau informatique connectant les sites d’une
entreprise entre eux et à Internet. Ce réseau utilise une technologie spécifique, conçu pour
acheminer le trafic des sites distants vers les centres de données de l’entreprise. Cependant, les
tendances commerciales ont déplacé les applications du centre de données vers les clouds publics
tels que Microsoft Azure et Amazon Web Services (AWS). De nos jours, déplacer le trafic des
utilisateurs des succursales vers le DC de l'entreprise, puis vers le cloud ou Internet et inversement
est inefficace, coûteux et non évolutif. En outre, la transformation numérique rapide des entreprises
crée de nouvelles exigences en matière de sécurité, de connectivité cloud et Internet, de gestion
WAN et de performances des applications.

3
Rédigé par le groupe9 SR3B
 SD-WAN

GENERALITES

1. Présentation générale sur les sd-wan

SD-WAN soit réseau étendu à définition logicielle, est présenté dans les années 2020
comme la nouvelle évolution majeure des télécommunications. Un SD-WAN facilite la
gestion du réseau en séparant la partie matérielle du réseau de ses mécanismes de contrôle
et de gestion. Ce concept est similaire à la manière dont le réseau à définition logicielle
met en œuvre la virtualisation pour améliorer la gestion et l'exploitation des centres de
données. L’instar de la technologie MPLS. L'entreprise américaine de recherche en
marketing Gartner a annoncé en 2018 que d'ici 2023, plus de 90 % des initiatives de
renouvellement des infrastructures WAN de pointe seront fondées sur des logiciels ou
appareils SD-WAN. Le réseau étendu défini par logiciel (SD-WAN) est un modèle WAN
global qui inclut la connectivité, l'orchestration et la gestion et peut prendre en charge
plusieurs approches de sécurité. Grâce à la connectivité « définie par logiciel », les
entreprises ont un contrôle flexible sur les chemins empruntés par les applications, qu'il
s'agisse d'Internet haut débit, de 5G/LTE, de MPLS ou d'un réseau privé, grâce à une
gestion centralisée des politiques.

Cisco SD-WAN est une architecture de superposition de réseau étendu (WAN) qui applique les
principes du Software-Defined Networking (SDN) dans le WAN traditionnel. Il est conçu pour
répondre aux besoins des applications d'entreprise modernes et aux exigences de sécurité en
croissance rapide.

1.2 PRESENTATION DE CISCO SD-WAN

1.2.1 LE SD-WAN PRESENTATION GENERALE

4
Rédigé par le groupe9 SR3B
 SD-WAN

Cette technologie innovante de connectivité Internet professionnelle qu’est le SD-WAN permet de

construire un réseau virtuel prenant appui sur un réseau physique et de le piloter depuis un point
central.

1.3 PRESENTATION TECHNIQUE DU SD-

WAN
Un réseau étendu défini par logiciel (SD-WAN) est un réseau qui est abstrait de son matériel, créant
une superposition de réseau virtualisée. Les opérateurs peuvent ainsi gérer à distance et faire
évoluer rapidement cette superposition, qui peut s'étendre sur de grandes distances
géographiques. Il s'agit d'une application de réseau défini par logiciel (SDN) .

Un SD-WAN peut connecter plusieurs succursales à un bureau central ou couvrir plusieurs

emplacements dans un grand campus tel qu'un campus universitaire. Parce qu'il est abstrait du
matériel, il est plus flexible et disponible qu'un WAN standard. Il repose sur quatre composants
centraux :

 Abstraction de la connectivité Edge

 Virtualisation WAN
 Gestion centralisée
 Gestion élastique du trafic

5
Rédigé par le groupe9 SR3B
 SD-WAN

L’on dénombre à ce jour plusieurs solution d’implémentation des SD-WAN dont Cisco, Fortinet,
Meraki, Gatner, VMware, Versa et Fortigate.

Dans le contexte qui est le nôtre à savoir l’unité d’enseignement CISCO CCNA4, nous parlerons
ici de la solution CISCO.

2- Historique

L'histoire des SD-WAN remonte aux premières années de la décennie 2010, et depuis lors,
cette technologie a connu une évolution significative. Voici un aperçu de l'historique des SD-WAN
:Débuts des SD-WAN : Les premières solutions SD-WAN ont commencé à émerger vers 2010-
2012. À cette époque, les entreprises cherchaient des alternatives aux réseaux WAN traditionnels
coûteux et complexes pour connecter leurs sites [Link] des prototypes et des startups
: Des startups et des entreprises innovantes ont commencé à proposer des prototypes de SD-WAN
basés sur des technologies telles que le tunneling, le multipathing et la gestion dynamique du trafic.
Ces solutions ont attiré l'attention du marché, mais elles étaient encore en phase de
dé[Link] croissante : Au cours des années suivantes, la demande pour des solutions
SD-WAN plus matures et fiables a augmenté. Les entreprises ont commencé à adopter les
premières générations de solutions SD-WAN pour bénéficier des avantages tels que l'optimisation
du trafic, la réduction des coûts de connectivité et une gestion centralisée améliorée.
Développement de standards : Les efforts visant à définir des normes pour les SD-WAN ont
également été entrepris. Des organisations telles que l'IETF (Internet Engineering Task Force) ont
commencé à travailler sur des protocoles et des spécifications pour standardiser les fonctionnalités
et les interactions entre les composants SD-WAN. Adoption par les grands fournisseurs : Vers
2015-2016, les grands fournisseurs de réseaux ont commencé à investir dans les SD-WAN en

6
Rédigé par le groupe9 SR3B
 SD-WAN

acquérant des startups ou en développant leurs propres solutions. Cela a permis une plus grande
visibilité et adoption des SD-WAN sur le marché. Maturation de la technologie : Au cours des
dernières années, les SD-WAN ont continué de mûrir. Les fonctionnalités ont été améliorées, les
performances ont été optimisées et les capacités de gestion et de sécurité se sont renforcées. De
plus, la flexibilité et l'intégration avec d'autres technologies, telles que le cloud et la sécurité, ont
été renforcées. Adoption généralisée : Les SD-WAN sont maintenant devenus une technologie
établie et sont largement adoptés par les entreprises du monde entier. Les avantages qu'ils offrent
en termes de réduction des coûts, d'agilité du réseau et d'amélioration des performances ont conduit
à une adoption généralisée dans de nombreux secteurs

II. CONCEPTS DU SD-WAN

1. LES PARTIES DE CISCO SD-WAN

Cisco sd-wan ce compose de 4 parties constituées en plan :

7
Rédigé par le groupe9 SR3B
 SD-WAN

Ces 4 plans de Cisco SD-WAN repose sur les 4 principaux éléments

suivants :

8
Rédigé par le groupe9 SR3B
 SD-WAN

1.1. Manager plan (CISCO VMANAGE)

Cisco vMange est le plan de gestion du système SD-WAN. Il exécute l'interface utilisateur du
système et constitue le tableau de bord avec lequel les administrateurs réseau interagissent
quotidiennement. Il est chargé de collecter les données de télémétrie du réseau, d'exécuter des
analyses et d'alerter sur les événements dans la structure SD-WAN. C'est également l'outil que les
administrateurs utilisent pour créer des modèles d'appareils, pousser des configurations et effectuer
une ingénierie du trafic superposé.

Cisco vManage peut être déployé sur site, dans le cloud public ou dans l'environnement hébergé
sur le cloud de Cisco. Il est très gourmand en ressources et la plupart des clients optent pour les
options cloud.

1.2. Orchestration plan (CISCO VBOND)

Cisco vBond est le plan d'orchestration du système SD-WAN. Son travail consiste à orchestrer

le processus d'intégration de nouveaux appareils non configurés dans la structure SD-WAN. Il est

responsable de l'authentification et de la liste blanche des routeurs vEdge et de la distribution des

informations de contrôle/gestion.

9
Rédigé par le groupe9 SR3B
 SD-WAN

1.3. Control plan (CISCO VSMART)

Cisco vSmart est le plan de contrôle du système SD-WAN. Les contrôleurs vSmart sont le cerveau
de la structure de superposition. Ils annoncent le routage, les politiques et la sécurité. Ils sont
positionnés en tant que routeurs concentrateurs dans la topologie du plan de contrôle et tous les
routeurs vEdge sont appairés avec tous les contrôleurs vSmart. Pour les ingénieurs réseau
expérimentés, les contrôleurs vSmart sont comme des réflecteurs de route BGP ou des routeurs
DMVPN NHRP. Cependant, il est important de comprendre que ces appliances ne font pas partie
du plan de données et ne participent pas au transfert de paquets.

1.4. Data plan (CISCO VEDGE)

Les appareils Cisco vEdge représentent le plan de données du système SD-WAN. Ils se situent
à la périphérie du WAN, établissent la structure du réseau et rejoignent la superposition SD-WAN.
Si vous regardez l'architecture illustrée à la figure 1, tout ce qui se trouve en direction sud des
routeurs vEdge est généralement un réseau traditionnel - bureaux, centres de données et
succursales. Tout ce qui se dirige vers le nord des routeurs vEdge est le système SD-WAN lui-
même. Les routeurs vEdge échangent des informations de routage avec les contrôleurs vSmart via
le protocole OMP (Overlay Management Protocol). Si, par exemple, nous avons un réseau de
campus exécutant OSPF. Au niveau des périphériques vEdge, les routes OSPF sont redistribuées
dans la structure SD-WAN vers les contrôleurs vSmart via OMP, puis les contrôleurs vSmart
remplissent ces informations de routage vers d'autres périphériques vEdge si cela est requis par la
topologie WAN.

10
Rédigé par le groupe9 SR3B
 SD-WAN

Les routeurs WAN Edge peuvent être des plates-formes Viptela ou des appareils Cisco IOS-XE. Il
peut s'agir d'appliances virtuelles ou physiques.

Les vEdges sont configurés automatiquement par le système. À l'époque de Viptela, ce processus
s'appelait Zero-Touch Provisioning (ZTP) et aujourd'hui, avec les appareils Cisco, il
s'appelle Cisco Plug-and-Play (PnP). Les deux termes signifient en fait la même chose et sont
interchangeables.

[Link] DU SD-WAN

L’architecture SD-WAN Cisco repose sur la séparation du plan de contrôle « control plane »
(chemins pour aller du point A au point B) et du plan de commutation « data plane » (sur quelle
interface du routeur envoyer un paquet qui vient du point A et va au point B). Le control plane est
donc « l’intelligence » centrale de l’architecture [Link] data plane est constitué de
l’ensemble des routeurs physiques ou virtuels gérés par l’intelligence centrale.

L’idée est de créer une couche d’abstraction (un overlay) sur les infrastructures physiques
(Underlay).

11
Rédigé par le groupe9 SR3B
 SD-WAN

2.

3. ROUTAGE EN CISCO SD-WAN ET GESTION DE SUPERPOSITION (OMP)

Les contrôleurs Cisco vSmart utilisent le protocole OMP (Overlay Management Protocol) pour
gérer la structure réseau superposée. En rejoignant la structure SD-WAN, chaque routeur vEdge
établit une connexion sécurisée permanente au contrôleur vSmart via chaque transport disponible,
comme illustré à la figure 4. Ces connexions, généralement DTLS, sont ensuite utilisées par les
vEdges pour échanger des informations sur le plan de contrôle avec le contrôleur. tels que les
préfixes, les clés de chiffrement et les informations de politique.

Il est important de noter que le peering OMP n'est jamais effectué entre les routeurs vEdge sur
site. Cela est dû à la séparation du contrôle et du plan de données dans l'architecture SD-WAN.

12
Rédigé par le groupe9 SR3B
 SD-WAN

Trois types d'itinéraires sont annoncés avec OMP :

 Les routes OMP (vRouter) sont des préfixes sur le site local qui sont redistribués dans
OMP et annoncés aux contrôleurs. Il peut s'agir de routes OSPF ou BGP, ou de toute autre
information de routage présente sur le site.
 Les routes TLOC (emplacements de transport) sont les points de terminaison du tunnel
sur les routeurs WAN Edge qui se connectent aux réseaux de transport. Ces routes sont
représentées par trois composants : l'adresse IP du système, la couleur du lien et le type
d'encapsulation.
 Les routes de service sont utilisées pour échanger des services tels que le pare-feu, l'IPS,
les optimisations spécifiques à l'application et les équilibreurs de charge.

4. Authentification

Souvent dans une architecture avec plusieurs Spokes, le même PSK (le même mot de passe) est
utilisé dans tous les routeurs, pire encore, la clé n’est jamais modifié[Link] méthode la plus sécurisée
est d’utiliser les certificats au détriment du PSK qui est la plus utilisée. Ce qui implique que
l’entreprise doit posséder sa propre infrastructure PKI. Cetteméthode est plus sécurisé[Link] Cisco
SD-WAN, tous les routeurs vEdges sont déja authentifiés pour joindre l’Overlay du SD-WAN.
Pratiquement parlant, lors du déploiement initial, pour que les routeurs Edges puissent joindre
l’Overlay et s’enregistrent dans vManage, il faut qu’ils s’authentifient avec des certificats avec le
vBond (l’Orchestrateur), le vSmart (le Contrôleur) et vManage (la console de management). Le
vSmart le contrôleur possède une White List contenant les numéros de séries de ses vEdges (les
Hubs et les Spokes). Par conséquent chaque vEdge souhaitant joindre l’Overlay, il doit présenter
un certificat valide et un numéro de série présent dans la White [Link] l’équipement est volé pour
une raison ou une autre, il suffit juste d’invalider le certificat ou tout simplement le supprimer de
la White List. C’est plus sécurisé que le PSK dans le DMVPN traditionnel et une gestion simplifiée
des certificats Le deuxième point important est que les routeurs vEdges (Data Plane) une fois
authentifiés, établiront automatiquement des tunnels DTLS avec le vSmart le contrôleur.

Dans la solution Cisco SD-WAN, nous avons des routeurs dont l’identité est vérifiée
et des tunnels DTLS établis avec le vSmart, ce qui permet de générer les clés de
cryptage à l’aide de OMP.

13
Rédigé par le groupe9 SR3B
 SD-WAN

[Link]

La solution SD-WAN permet évidemment de conserver une flexibilité maximale avec des
comportements distincts par site, par VPN, [Link] exemple : Hub and spoke régional pour un

VPN “confidentiel, full-mesh pour VPNcorporate etc…

[Link] DE DEPLOIEMENT

14
Rédigé par le groupe9 SR3B
 SD-WAN

III. LES MODELES DE DEPLOIMENT

La SD-WAN peut être déployée de différentes manières, en fonction des besoins spécifiques de
l'entreprise et de son infrastructure réseau existante. Voici quelques-uns des modes de déploiement
les plus courants :

1-Mode autonome

Ce mode de déploiement implique l'utilisation d'une solution SD-WAN autonome, c'est-à-dire que
tous les composants de la SD-WAN (VManage, vSmart, vEdge, et VBond) sont déployés sur site
ou dans un cloud privé. Cela permet aux entreprises de disposer d'un contrôle total sur leur réseau
SD-WAN et de gérer la solution en interne.

2-Mode hybride

Dans ce mode de déploiement, la SD-WAN est intégrée à une infrastructure réseau existante,
généralement une architecture MPLS traditionnelle. La SD-WAN est déployée sur les sites où la
bande passante Internet est disponible, tandis que les sites où la bande passante Internet est limitée
continuent d'utiliser l'architecture MPLS. Cette approche permet aux entreprises de profiter des
avantages de la SD-WAN tout en préservant les investissements existants dans l'infrastructure
réseau.

3-Mode cloud

Dans ce mode de déploiement, les composants de la SD-WAN sont déployés dans un cloud public,
comme AWS ou Azure. Les sites distants se connectent au cloud pour accéder à la SD-WAN. Cette
approche est idéale pour les entreprises qui souhaitent déployer rapidement une SD-WAN sans
investir dans l'infrastructure interne.

4-Mode managé

Dans ce mode de déploiement, une entreprise engage un fournisseur de services pour gérer la SD-
WAN à sa place. Le fournisseur de services gère tous les aspects de la solution SD-WAN, depuis
la planification et le déploiement jusqu'à la surveillance et la maintenance continue. Cette approche
permet aux entreprises de se concentrer sur leur activité principale, sans avoir à se préoccuper de
la gestion de la SD-WAN

15
Rédigé par le groupe9 SR3B
 SD-WAN

[Link] ET INCONVENIANTS DU SD-WAN

1. AVANTAGES DU SD-WAN

La beauté du WAN défini par logiciel réside dans le fait qu'il est exploité en tant que système plutôt
que dans l'approche traditionnelle de boîte à boîte. Cela ouvre un tout nouveau monde de
possibilités en matière d'exploitation, d'administration et de gestion (OAM) de la solution. Certains
des principaux avantages sont :

 Gestion centralisée - et simplicité opérationnelle, résultant en des temps de changement

et de déploiement réduits.
 Superposition indépendante du transport - Étant donné que le transport sous-jacent est
abstrait du tissu de superposition, toute combinaison de transports peut être utilisée de
manière active/active. Cela réduit considérablement les coûts de bande passante de
l'entreprise.
 Sécurité sophistiquée - Si vous comparez la sécurité traditionnelle du plan de contrôle
d'OSPF et de BGP au cryptage du plan de contrôle du SD-WAN, ce dernier est évidemment
plus complet en utilisant l'identité du certificat avec un modèle de sécurité zéro confiance.
 Visibilité des applications - L'analyse en temps réel et la visibilité des applications sont au
cœur de la solution. Cela permet l'application d'accords de niveau de service (SLA) et le
suivi de mesures de performance spécifiques

Avec le SD-WAN, le service informatique peut assurer le routage, la protection contre les menaces,
le déchargement efficace des circuits coûteux et la simplification de la gestion du réseau WAN. Les
avantages commerciaux peuvent inclure les éléments suivants :

 Plus de sécurité : Politiques sensibles aux applications avec segmentation de bout en bout
et contrôle d'accès en temps réel

Protection intégrée contre les menaces appliquées au bon endroit

Sécurisez le trafic sur Internet haut débit et dans le cloud

16
Rédigé par le groupe9 SR3B
 SD-WAN

Distribuez la sécurité à la succursale et aux points de terminaison distants avec NGFW, la sécurité
DNS et NGAV

 Gestion simplifiée
Un tableau de bord de gestion unique, centralisé et fourni par le cloud pour la configuration et la
gestion du WAN, du cloud et de la sécurité.

Provisionnement sans intervention basé sur des modèles pour tous les emplacements : succursale,
campus et cloud

Rapports détaillés sur les performances des applications et du WAN pour l'analyse commerciale et
la prévision de la bande passante

2. INCONVENIANTS DU SD-WAN

 Erreurs : Les réseaux SD-WAN peuvent subir de la gigue et des pertes de paquets.

17
Rédigé par le groupe9 SR3B
 SD-WAN

 Indisponibilité possible du réseau.

CAS PRATIQUE

I. EQUIPEMENTS D’IMPLEMENTATION

Comme énonce à plusieurs reprises plus haut, le SD-WAN est une solution très
économique. LesAppliances SD-WAN sont des appareils dit <<plusieurs en un>> qui intègrent en
même temps matériels et logiciels. C’est ainsi que nous avons dans une seule Appliance une suite
complète de périphériques réseau intégrés, ce qui élimine la nécessite d’acquérir et de gérer
plusieurs appareils.

Avec les Appliances SD-WAN, associées aux licences appropries, des tunnels sécurises VPN
peuvent être établies facilement entre les différents sites. Les performances de tous ces tunnels
sont surveillées environ toute les secondes pour la perte de paquets, la latence et la QOS.

Pour notre implémentation, nous aurons donc besoin de :

 Une Appliance CISCO MERAKI MX 450 sur le site.

18
Rédigé par le groupe9 SR3B
 SD-WAN

CONCLUSION

Parvenue au terme de notre exposé il était question de présenté le SD-WAN donner ces
concepts quelle renfermes ainsi que ses avantages et inconvé[Link] en ressort que le sd-wan Dans
l'ensemble, la SD-WAN a révolutionné la connectivité des réseaux d'entreprise en offrant une
approche plus intelligente, souple et économique pour la gestion des réseaux étendus. Elle répond
aux besoins croissants des entreprises en matière de performance, de sécurité et de flexibilité, ce
qui en fait une solution incontournable pour les entreprises cherchant à moderniser leurs
infrastructures réseau

19
Rédigé par le groupe9 SR3B