1/ Présentation de l’organisme d’accueil :

1.1/ Présentation :

INTELCOM appartient au groupe SATEC (Sistemas Avanzados de Tecnologia, SA) une société
multinationale espagnole d‘intégration de solutions technologiques, spécialisée dans les services
avancés liés aux nouvelles Technologies de l‘Information.

Elle a privilégié depuis 1987 la collaboration avec ses clients à travers l‘innovation dans les processus,
les ressources et les technologies, contribuant ainsi au changement, à la productivité et à la
compétitivité dans leur activité.

Les principes qui régissent ses actions sont les suivants : une base technologique solide et la haute
qualification de son personnel, combinées à une gestion experte des fournisseurs, en veillant
constamment à la qualité du produit ou du service, à une innovation permanente, à une longue
expérience dans la mise en place de solutions chez plus d‘un millier de clients et à une relation
privilégiée avec les partenaires technologiques, toujours tournés vers le client et avec l‘engagement
ferme d‘offrir des solutions et des services innovateurs adaptés à ses besoins spécifiques.

Société anonyme, INTELCOM est aujourd‘hui une grande entreprise activement présente dans trois
grandes villes du royaume: Rabat, Casablanca et Tanger. Elle a un capital social de 15.000.000,00 DH
avec un effectif de plus de 300 personnes dont 70% ont des compétences techniques éprouvées et
50% sont des cadres supérieurs.

1.2/ Mission, valeurs et stratégies :

Créer de la valeur et générer de la croissance au moyen de solutions et de services innovateurs dans

le domaine des technologies de l‘information et communication

, en contribuant à l‘évolution, à l‘efficacité et à la productivité de ces clients, en promouvant le talent,

l‘intégrité et le travail en équipe, pour être la référence de son secteur et de sa communauté.

La stratégie d‘INTELCOM vise à améliorer les Systèmes d‘Information et de Télécommunications

actuels de ces clients, grâce à un éventail complet de Services et de Solutions d‘Ingénierie. Elle se
différencie par l‘expertise démontrée lors de la réalisation de projets d‘une grande complexité
technique dans des secteurs à grande répercussion sociale, tels que la Santé, l‘Environnement, la e-
Éducation et la e-Administration Publique, grâce à la haute qualification et au grand
professionnalisme de ces équipes techniques.
1.3/ Les secteurs d’activité :

La société dispose d‘une grande gamme de Solutions et de Services TIC qui couvrent les besoins de
ses clients, recueillent et analysent leurs exigences pour leur développement, leur mise en place et
leur maintenance. Son expérience a également servi à offrir des solutions et des services spécifiques
à plusieurs secteurs d‘activité, tel que:

 Les administrations publiques,

 Les opérateurs de télécommunication,
 la santé,
 l‘industrie,
 les banques,
 les assurances.

1.4/ Gamme de Services d’INTELCOM

Les services d‘INTELCOM sont basés sur une architecture modulaire, extensible et ouverte qui
permet de s‘adapter aux divers besoins de ses clients. L‘éventail de services d‘INTELCOM comprend
différents modules qui permettent d‘adapter l‘offre de la société aux besoins réels de ses clients.
L‘illustration suivante résume l‘éventail de services d‘INTELCOM:

Chapitre 1 : Etude sur la technologie SD-WAN

1/ Définition SDN et SD-WAN :

SDN :

(Software-defined Network), c’est la virtualisation de la couche réseaux et la dernière marche, après

la virtualisation du serveur et du stockage, avant d’accéder à l’étape définitive de l’infrastructure et
du datacenter intégralement virtualisés. La virtualisation consiste à placer une couche logicielle,
l’hyperviseur, au-dessus de la couche matérielle, afin de créer une abstraction de cette dernière. Peu
importe la complexité de la couche matérielle et de celle inévitable de l’hyperviseur, l’administrateur
se retrouve avec une vue consolidée et unifiée de son infrastructure qu’il gère désormais très
simplement, le logiciel fait le reste.

le SDN (Software-defined Network) virtualise la couche réseau, et génère la couche logicielle de

l’hyperviseur qui vient se placer au-dessus des outils matériels (hardware) hétérogènes - switch et
commutateurs, cartes réseaux, fabric, etc. - qui composent le réseau, et offre une vision unique
indépendante des équipements et de leurs protocoles.

SD-WAN :
(Software-Defined Wide-Area Networking, ou réseau étendu à définition logicielle), est une
technique logicielle visant à rendre les réseaux étendus plus intelligents et plus flexibles. Elle
commence généralement par la connexion de bureaux directement à Internet via des liens haut débit
de commodité, plutôt que d'envoyer tout le trafic vers un bureau régional via des lignes privées (qui
sont souvent basées sur une technologie plus ancienne et plus coûteuse, appelée MPLS). Les
configurations et les stratégies d'accès sont gérées de manière centralisée et sont facilement
applicables à travers tous les sites, ce qui évite d'avoir à gérer manuellement chaque appareil WAN
individuellement.

Le SD-WAN représente la troisième génération de réseau, après IPsec (Internet Protocol Security) et
MPLS (Multi Protocol Label Switching). Cette avancée technologique permet, en toute simplicité, de
créer ou faire évoluer son réseau d’entreprise à travers le monde entier, avec ses établissements
distants, ses partenaires, des Cloud providers, en utilisant n’importe quel Fournisseur d’Accès à
Internet local et n’importe quelle technologie, filaires ou sans fil.

Un des atouts majeurs du SD-WAN est sa simplicité de déploiement. Il est généralement effectué
« on line » et dans un temps record.

Le SD-WAN constitue une méthode innovante d’orchestration de la distribution des applications,

d’accélération des performances applicatives et d’unification de la connectivité réseau, le plus
souvent sur des réseaux WAN, LAN/WLAN et cloud hybrides.

2/ Différence entre un réseau WAN et un réseau SD-WAN :

Pour obtenir un réseau WAN performant, les entreprises avaient pris l’habitude d’investir
massivement notamment dans :

 Des liens spéciaux et coûteux.

 De nombreux équipements réseau.
 Et de l’expertise technique nécessaire au paramétrage et la gestion quotidienne de
l’ensemble.

À la différence, le SD-WAN permet d’améliorer la performance globale de son réseau sur chacun de
ses sites en combinant différents types de liens internet peu onéreux (exemples  : xDSL, fibre, 3G/4G,
…).
Le gestionnaire dispose ainsi d’une vue d’ensemble et d’une gestion centralisée de son WAN.

3/ Etat du marché SD-WAN :

Les réseaux MPLS, longtemps et toujours utilisés pour interconnecter les différents sites de
l'entreprise, doivent aujourd'hui cohabiter avec la technologie SD-WAN qui agrège tout type de liens
sur un site distant ou central. Toutefois, face aux augmentations rapides de la bande passante et des
services cloud, le SD-WAN pourrait supplanter à terme les liens MPLS ; les opérateurs ne s'y
trompent d'ailleurs pas en proposant tous des offres SD-WAN, souvent via des partenariats avec des
spécialistes. En outre, les entreprises qui n'avaient aucune maîtrise de leurs liens MPLS pourraient
reprendre en partie la main sur la gestion de leur réseau WAN avec la technologie SD-WAN. Enfin, le
trafic Internet de plus en plus important oriente naturellement les entreprises à aller vers le SD-WAN.
Pour toutes ces raisons, le SD-WAN commence à décoller en France, la bataille entre les fournisseurs
(pure players, équipementiers, opérateurs, spécialistes de la sécurité) s'est d'ailleurs déjà engagée.

Cisco détient près de 47% de ce marché des infrastructures SD-WAN avec des ventes estimées 638
millions de dollars par IDC (en croissance de plus de 55% sur 12 mois). IDC intègre dans la part de
marché de Cisco les revenus de ses offres Viptela et Meraki, ainsi que ses routeurs déployés dans ses
architectures SD-WAN, y compris ceux à services d’agrégation et d’intégration (ASR et ISR). 

Son principal challenger est VMware (acquéreur de VeloCloud Networks fin 2017), avec une part de
marché de 9%. Suivent Silver Peak Systems, avec 7,4% de parts de marché, Nuage Networks 4,9%),
Riverbed (4,3%), Aryaka (4,2%) et Huawei (3,2%).

4/ Caractéristiques et avantages du SD-WAN :

 RESILIENCE : Le SD-WAN permet de multiplier les types de connections de raccordements

et de technologies, de manière à Switcher dynamiquement les paquets IP en fonction de leur
« scénario de route ».
 QUALITE DE SERVICE : La technologie SD-WAN permet de customiser la qualité de
service en fonction de l’usage de chaque réseau local. Le découpage des scénarios peut se
faire par accès IP, groupe de travail, flux IP, ou encore applications et peu importe a mixité
des opérateurs choisis.
 SECURITE : Les interconnexions se faisant au travers des réseaux Internet, la sécurité fait
partie intégrante du SD-WAN. En effet, les couches d’encapsulation et de cryptage des
données sont assurées au plus haut niveau en fonction des éditeurs.
 INTER-OPERABILITE CLOUD : Le SD-WAN a repoussé les limites des interconnexions
avec des tiers et à travers le monde, comme si le réseau local était juste étendu au monde
entier. Une interconnexion avec un CLOUD PRIVE ou PUBLIC se réalise aussi simplement que
de brancher un nouveau poste au sein de son réseau local grâce à la virtualisation des
machines.
 DEPLOIEMENT : La phase de déploiement est généralement critique et complexe lorsque
l’on (re)construit un réseau privé d’entreprise. Le SD-WAN améliore significativement cette
phase, grâce à l’indépendance vis-à-vis des opérateurs, des routes, et de l’autonomie total du
client et des acteurs du SD-WAN. Les matériels SD-WAN sont le plus souvent « dropshipés»
et préconfigurés, conçu pour être installé en « Plug&Play» directement sur les réseaux locaux
des clients.
 INTERFACE DE GESTION : L’ensemble de son WAN est affiché Online via un portail Web.
Toutes les règles de gestion, routage, sécurité et supervision sont accessibles et pilotables
directement par les clients finaux.

5/ Avantages et inconvénients des réseaux d’entreprise

traditionnelles :
La solution MPLS VPN est la solution la plus répondue sur le marché actuellement avant l’apparition
des SD WAN, cette technologie est adoptée par les grandes entreprises pendant la dernière décennie
, mais elle a des limites vu qu elle est rigide en matière d’évolutivité et d’agilité , pour l’ajout d’un lien
privé par exemple , les entreprises sont pris en otage par les FAI souvent , les délais de mise en
réseau sont important , les FAI imposent le choix de lien et de solution , ce qui ne laisse pas aux
entreprises de se focaliser sur les besoins prioritaires .

Par ailleurs, le MPLS VPN a aussi des avantages :

- La qualité de service QOS.

-         La fiabilité.

-         Canal privé pour le trafic.

-         Évolutivité.

L’avantage du MPLS le plus recherché des  entreprises est sa fiabilité. Nous avons appris qu'il utilise
un mécanisme orienté connexion qui fournit un canal privé virtuel aux VPN de chaque client. Cela
signifie que la solution VPN MPLS est extrêmement fiable et offre au client une expérience de type
ligne privée ou allouée. Ceci est particulièrement important pour les entreprises qui utilisent
constamment des applications en temps réel, telles que des services de voix sur IP ou les chaines de
télévision ou radio. Malheureusement, le SD-WAN ne peut pas fournir le même niveau de fiabilité
que MPLS, car il utilise l’infrastructure Internet publique comme réseau de transport. Ce fait nous
laisse  la possibilité de raisonner que le SD-WAN ne pourrait jamais remplacer le MPLS VPN
complètement. 

le MPLS VPN présente aussi quelques inconvénients :

-Coût élevé de la bande passante : L’augmentation de la bande passante allouée aux

succursales existantes ou nouvellement créées est un processus coûteux et chronophage.

-Gestion complexe des succursales : Le déploiement, la surveillance et le dépannage des

nombreux dispositifs à fonction unique et à gestion cloisonnée qui sont installés dans chaque
succursale exigent de fréquentes interventions sur place.

-Architecture rigide : Les problèmes de renvoi d’appel en épingle du trafic WAN via le Data
Center dégradent les performances des applications Cloud. Le provisionnement de nouvelles
applications pour la succursale nécessite une reconfiguration et mobilise fortement l’équipe
informatique.

6/ Comparaison SD WAN vs MPLS ou VPN MPLS :

Quasiment toutes les entreprises dans le monde qui ont plus de 1 établissement utilisent un WAN
classique qui implémente une forme de VPN - Virtual Private Network (VPN Ipsec, VPN SSL, MPLS, ...)
pour communiquer entre ses différents sites.

On peut dire que depuis les années 2000 et l’avènement du MPLS, le WAN ( Wide Area Network) n’a
pas fortement évolué. Les innovations majeures dans le domaine se limitaient principalement à
l’amélioration de fonctionnalités existantes ou à une baisse des coûts opérationnels facturés par les
fournisseurs d’accès à leurs clients. Concrètement, le résultat de cette approche fut assez
naturellement que les clients entreprise ont commencé à voir le WAN comme un simple produit de
base sans valeur ajoutée.

Le SD-WAN est une façon résolument moderne d’appréhender son réseau d’entreprise. La direction

informatique de l’entreprise et/ou l’opérateur SD-WAN peuvent piloter le réseau de l’entreprise au
travers d’un portail web sécurisé. C’est une façon de retrouver la liberté apportée par IPsec,
la qualité de service du MPLS, mais surtout accéder à de nouveaux services.

Une infrastructure SD WAN peut être un choix judicieux lorsque l’entreprise n’a pas d’application
temps réel, de VoIP ou de visio-conférence, qui circulent sur son réseau.
En revanche, si vous utilisez votre réseau pour des applications métiers, de la voix ou des accès à vos
bases de données, vous risquez d’être rapidement confronté aux limites des architectures SD WAN.

En effet, bien qu’ils soient sécurisés, les liens SD WAN passent par Internet et sont donc soumis aux
aléas de ce dernier. Le SD WAN peut reporter le trafic d’un lien saturé vers le meilleur lien
disponible.
Néanmoins, si tous les liens sont saturés, rien ne vous garantit la QoS (Quality of Service) nécessaire
au bon fonctionnement des applications critiques. Par construction, le SD WAN est capable de gérer
de la QoS dans le sens de la priorisation des liens, mais pas dans celui du débit garanti. Il ne sait pas
pallier les risques de congestion.

En outre, les données circulant sur des liens provenant d’opérateurs différents, cela induit des temps
de latence et une réduction de la performance des liens, y compris les liens MPLS.

En conclusion, dès que la QoS avec débit garanti est un prérequis pour votre entreprise, le SD WAN
ne répondra pas à vos besoins.

A noter également qu’avec la généralisation de la fibre grand public, à des tarifs de plus en plus
attractifs, la technologie SD WAN et sa possibilité d’agréger plusieurs liens est de moins en moins
nécessaire.

Le SD-WAN ne va pas pour autant remplacer le MPLS, les deux vont coexister. En effet, la technologie
SD-WAN même si elle peut être très pertinente n’est pas la réponse à tout ; elle ne répond pas
notamment encore aux besoins en QoS des applications les plus sensibles.

Si vous utilisez par exemple votre réseau pour des applications métiers, de la voix ou des accès à des
bases de données, vous risquez d’être rapidement confronté aux limites des architectures SD-WAN.
Dans ce cas, l’objectif n’est pas de remplacer un réseau MPLS par une infrastructure SD-WAN moins
coûteuse mais bel est bien de construire une infrastructure hybride, orientée applications.

6.1/ La notoriété sur le marché :

SD-WAN est un nouveau produit, il n’a pas encore acquis une grande réputation en france.
Contrairement au MPLS, qui a bâti son nom au fil des ans. En ce qui concerne les marques, la
situation devient un peu plus intéressante, en effet, le MPLS n’est  pas une norme propriétaire,
aucune marque ne la possède, ce sont les FAI qui ont développé leurs propres solutions. Avec SD-
WAN, tous les principaux fournisseurs de réseaux sont pris en charge, cette technologie donne de la
flexibilité et le choix aux clients finaux.  

6.2/ La complémentarité des deux technologies :

Le SD-WAN est un produit principal, tout comme le MPLS. Est-ce que le SD WAN et le MPLS
pourraient être complémentaire ? nous pouvons mettre l'accent sur la connectivité dans le cloud. SD-
WAN est principalement présenté comme un produit principal, concurrent direct de MPLS, mais il
peut également compléter MPLS avec son approche hybride., le réseau SD-WAN peut être
implémenté au-dessus du réseau MPLS existant et utilisé comme solution d'optimisation de réseau
étendu et de cloud. Cela fonctionne aussi dans l'autre sens. MPLS peut compléter le SD-WAN pour un
réseau fédérateur fiable.

6.3/ Différence de coûts :

Le SD WAN  vise à réduire les coûts de production. Que comprennent les coûts de SD-WAN?
Fabrication des appareils, logiciels, leur implémentation et support. Si nous prenons l'exemple de la
solution DIY dans laquelle l'entreprise cliente est supposée acheter les appareils directement auprès
des fournisseurs, seuls les coûts de fabrication doivent être pris en compte. Le client va mettre en
œuvre et prendre en charge les périphériques lui-même. Pour le service géré, nous pouvons voir le
même résultat. La différence est que l'acheteur est un MSP qui est ensuite responsable de la mise en
œuvre et du support. Ainsi, la fabrication d’appareils et de logiciels de pointe pour ces appareils
constitue la principale dépense pour les fournisseurs de réseaux SD-WAN. Quant au MPLS, les
dépenses sont énorme, déjà le prix des liaisons alloués sont très élevée par rapport au lien internet
classique, le déploiement de la solution pour les grandes entreprises est très coûteux, mandater des
intervenants sur tous les sites pour déployer la solution, le prix des équipements est soumis a des
contraintes douanières, des couts de logistique qui augmentera la note pour le client final.

6.4/ Agilité souhaités par les entreprises :

Les entreprises cherchent de plus en plus des technologies innovantes pour s’adapter au marché de
leur secteur , l’agilité et la capacité d’évolution est un atout important pour la technologie SD WAN ,
comme cette technologie est managé par un logiciel, il serait plus facile de créer des extensions
logicielles pour proposer un service qui dépend de la stratégie de l’entreprise et ses besoins
d’innovation.

Le MPLS VPN est tenu par les FAI , toute modification doit passer par une offre de catalogue et non
une offre que le client souhaite utiliser , ceci dit que les entreprises dépendent beaucoup d’argent en
matière d’innovation et peuvent être contraint de souscrire a des services dont ils ont pas besoin .

6.5/ Droits de propriété intellectuelle :

Tous les fournisseurs SD-WAN accordent une grande importance à leurs droits de propriété
intellectuelle. Il n’existe pas de solutions SD-WAN open source. Le MPLS, en revanche, est un
standard ouvert. Cela donne au SD-WAN l'avantage de tirer profit de l'ouverture de MPLS pour
proposer des solutions hybrides qui pourraient combiner les avantages des deux technologies.
Comme nous pouvons le constater avec les types de service SD-WAN décrits dans la section
précédente, c’est exactement ce que font les fournisseurs de SD-WAN. Chacun d'entre eux propose
la solution hybride SD-WAN capable d'exploiter l'architecture MPLS existante et de fournir des
services de cloud optimisés, ce qui aidera les entreprises à préparer l’adoption de nouvelles
technologies tels que l’IOT  et faciliter les transformations numériques par exemple.
7/ Fonctionnement du SD-WAN :

7.1/ Comment le SD-WAN optimise-t-il les performances applicatives et augmente-t-il

leur visibilité ? 

Des solutions SD-WAN complètes doivent être en mesure d’identifier, de classer et d’optimiser plus
d’un millier d’applications sur n’importe quel réseau sans que vous ayez à vous en préoccuper. Une
qualité de service (QoS) facile à mettre en œuvre garantit que le trafic entrant et sortant est
hiérarchisé de façon adéquate, en fonction de la criticité opérationnelle.

Étant donné la croissance du nombre d’applications cloud, le SD-WAN doit permettre une gestion
complète des applications SaaS, de la gestion locale à l’atténuation de la latence, sans oublier la
visibilité de l’expérience utilisateur. Afin d’accélérer le large éventail d’applications utilisées,
l’optimisation SD-WAN doit rationaliser les données, le transport et les applications. Elle doit intégrer
(et demeurer à jour) une large variété de protocoles standard en évolution constante, tels que CIFS,
HTTPS, MAPI, NFS et SQL, afin de réduire le nombre de transactions basées sur les applications et le
réseau sur le WAN, pour accélérer les temps de réponse et le débit de bout en bout.

Le contrôle de chemin doit être automatisé avec la capacité de sélectionner le chemin en fonction du
type d’application, de la priorité opérationnelle et de la qualité du chemin déterminée par la bande
passante, la latence, la gigue et la perte de paquets.

7.2/ Le SD-WAN permet-il de voir ce qu’il se passe sur le réseau ?

Le SD-WAN doit fournir une vue d’ensemble unifiée de la topologie de votre réseau, y compris les
appliances enregistrées et en ligne. Pour la visibilité, il doit permettre une surveillance automatique
continue des événements réseau, de l’état des tunnels et des sites. Il doit fournir des données sur la
disponibilité et l’utilisation basées sur des rapports pour l’ensemble du réseau, des sites spécifiques
et des serveurs, ainsi que pour les applications et utilisateurs.

Des outils véritablement intégrés, et non des logiciels complémentaires de fournisseurs tiers,
peuvent vous apporter une visibilité de bout en bout, de l’utilisateur final jusqu’au cloud, ainsi
qu’une visibilité parfaite et instantanée de la qualité de chaque chemin disponible.

7.3/ Comment le SD-WAN maintient-il la sécurité du réseau ?

La sécurité doit être intégrée à la conception du SD-WAN, et non pas ultérieurement en réponse à
des failles de sécurité. Un support centralisé pour une sécurité intégrée, des pare-feu, des points
d’accès et des switchs, doivent contribuer à la simplification et à la consolidation de la gestion
générale des équipements, en particulier sur les sites distants et distribués. Recherchez une sécurité
qui complète et s’intègre avec les CASB tiers ou les pare-feu sur site.
La sécurité doit être intégrée aux règles et facile à mettre en place, déployer, gérer et modifier de
façon universelle sur l’ensemble du système, sans configuration d’interfaces de ligne de commande
(CLI) propice aux erreurs.

Le système de gestion global, sécurisé et centralisé, basé sur une règle globale unique, doit
automatiser les services et être facilement modifiable, afin de pouvoir répondre rapidement à
l’évolution des conditions et des besoins. L’accès au réseau peut être défini de façon simple et
intuitive par un contrôle basé sur l’identité des utilisateurs. Assurez-vous de pouvoir identifier les
utilisateurs par leur nom, rôle ou poste.

8/ Etude comparative des différentes solutions SD-WAN de CISCO :

Les SD-WAN sont une transformation majeure du WAN hérité, et il existe plusieurs façons de
déployer la technologie.

Cisco nous présente plusieurs solutions pour implémenter la technologies SD-WAN.

8.1/ L'iWAN (Intelligent WAN) :

Solution est idéal pour les organisations qui souhaitent tirer parti de la gamme de routeurs Cisco ISR
4000 populaire dans les succursales, L’IWAN utilise la technologies DMVPN / IPSec en superposition
avec PfRv3 pour surveiller la qualité du chemin, gérée par un arrangement hiérarchique des routeurs
de distribution de règles et NBAR / Netflow pour une reconnaissance détaillée des applications. Les
opérateurs de réseau gèreront le système via le contrôleur APIC-EM.

8.2/ Meraki :

Il convient parfaitement aux clients qui ont installé des dispositifs de sécurité Meraki. Semblable à
d'autres technologies Meraki, la solution est gérée à partir du cloud. L’offre SD-WAN de Meraki vise
en priorité les clients LAN/wifi : la même interface, pour créer graphiquement les configurations SD
WAN et gérer l’ensemble. C’est une fonction des pare-feu MX.

8.3/ Viptela :

Différent en ce qu’il s’agit d’une solution logicielle entièrement ouverte, flexible et facile à déployer.
Les clients peuvent le déployer en tant que charge de travail sur site ou dans le cloud. À ce jour, la
plupart des clients de Viptela ont choisi de déployer la solution en tant que charge de travail Amazon
Web Services, puis d'utiliser la console Viptela pour gérer la solution. Une autre option intéressante
est que la solution Viptela pourrait être déployée et exécutée sur Cisco ISR, offrant aux clients une
solution SD-WAN gérée dans le cloud plus simple qui exploite le matériel existant.
9/ Choix de la solution adéquate :

Depuis sa création, INTELCOM a choisi le leader mondial des technologies des réseaux informatique
CISCO pour équiper son réseau WAN. Donc la solution VIPTELA de CISCO est notre premier choix
pour essayer une solution SD-WAN la plus récente et la plus facile de déploiement et de migration.

En effet, l’architecture Viptela a été conçue avec l’objectif de répondre au besoin du marché d’une
nouvelle approche WAN. Afin d’atteindre cette flexibilité, Viptela propose de créer une fabrique, une
couche d’abstraction (« un overlay ») sur les infrastructures physiques, masquant les disparités entre
ces dernières. Cette approche logicielle permet de créer l’ensemble de composants SD-WAN très
rapidement pour rendre l’architecture flexible et simple à déployer.

Figure : Fonctionnement général de la solution Viptela

10/ Etude de la solution VIPTELA de CISCO :

10.1/ Composantes essentiels de la solution :

-vManage Network Management System : Serveur de management (NMS) de la solution Cisco SD-
WAN. vManage est le point de contrôle central pour la configuration et la gestion de votre
infrastructure mais aussi pour le monitoring ce qui en fait un outil unique pour les tâches « Day 0,
Day 1 Day 2 ».

Afin de faciliter l’approche « DevOps » et l’intégration de Cisco SD-WAN à des solutions tierce, toutes
les fonctions de configuration, de gestion et de monitoring disponibles dans l’interface utilisateur de
vManage existent sous forme d’APIs.
vManage permet de limiter l’accès à certaines ressources SD-WAN via la ségrégation des profils
utilisateurs avec la configuration de RBAC (Role Based Access Control).

Il permet aussi :

 Gestion centralisée.
 Executer des API variées.
 Configuration.
 Surveillance.
 Gestion.

-vSmart Controller : Cet élément est le control plane virtualisé de Cisco SD-WAN. Les vSmarts (ils
sont, de préférence, au moins deux pour la redondance) contiennent les règles globales concernant
les applications mais aussi les règles globales de qualité de service et de contrôle de l’architecture
SD-WAN. En effet, les vSmarts contiennent les informations de routage et se comportent d’une
certaine façon comme un « route reflector » dans le monde BGP en annonçant (ou en filtrant) les
routes de l’overlay Cisco SD-WAN aux routeurs d’accès.

Les contrôleurs vSmart permettent de se passer du protocole IKE (Internet Key Exchange). Ce
protocole est utilisé pour échanger les clefs de chiffrement entre les différents routeurs d’une
infrastructure WAN nécessitant l’établissement de tunnels IPSEC. Le principe est assez simple, IKE
établit une connexion sécurisée entre deux routeurs puis établit une association de sécurité (Security
Association – SA). Une fois les deux routeurs « associés », IKE utilise l’algorithme Diffie-Hellmann
pour générer une clef partagée entre les deux routeurs qui souhaitent établir un tunnel IPSEC. Cette
clef servira à encrypter toutes les futures communications entre ces deux routeurs via un tunnel
IPSEC.

Cette approche signifie que chaque routeur WAN doit générer et conserver une clef pour chaque
routeur avec lequel il établit un tunnel IPSEC. Dans un environnement « full mesh » ça implique que
chaque routeur doit pouvoir gérer n² de clefs et conserver dans sa mémoire interne n-1 clefs de
chiffrement. Vous pouvez facilement calculer ce que ça représente pour un réseau de 100, 300
routeurs ou plus…

Pour simplifier l’échange et la maintenance des clefs de chiffrement, les routeurs utilisent la
connexion DTLS existante avec les vSmarts et envoient leurs clefs au contrôleur qui se charge de les
propager dans le réseau. Les clefs sont propagées de manière sécurisée via les connexions DTLS et le
vSmart se charge de les centraliser.

Toutes les informations décrites précédemment sont propagées entre différents éléments de la «
fabric » Cisco SD-WAN via le protocole OMP qui peut être vu comme une version modifiée de BGP.

vSmart contient :

 Les informations de routage.

 Propagation de clés de cryptage.
 Gestion centralisé de la politique VPN.
 Traffic engineering.

-vBond Orchestrateur : Il permet d’automatiser un certain nombre de tâches nécessaires au bon

fonctionnement des services Cisco SD-WAN en faisant le lien entre tous les éléments software et
hardware de l’infrastructure.
C’est le premier point de connexion et d’authentification pour les équipements SD-WAN que l’on
ajoute dans l’overlay (infrastructure logique). Il contient la liste (modèle whitelist) de tous les
équipements autorisés à intégrer l’overlay SD-WAN.
Le vBond participe aussi à un autre élément clef de l’architecture Cisco SD-WAN : le NAT traversal.
Par un système relativement simple et efficace, le vBond communique leur adresse IP publique aux
routeurs d’accès afin qu’ils puissent communiquer entre eux au travers d’équipements de NAT et
établir un tunnel IPSec.

vBond contient :

 Les adresses IP joignables.

 L’orchestration du réseau.
 Apporte de la sécurité.

-vEdge Routeurs : Physiques ou virtuels, les routeurs Cisco SD-WAN sont présents partout où vous
souhaitez étendre votre environnement SD-WAN que soit dans votre entreprise ou dans le cloud. Ils
identifient, encryptent et décryptent vos flux applicatifs entre les sites SD-WAN.

Les routeurs SD-WAN établissent une connexion DTLS sécurisée avec les contrôleurs vSmart qui leurs
envoient toutes les informations nécessaires à l’établissement de la « fabric » SD-WAN ainsi que les
règles de configuration globales à appliquer.

Pour faciliter l’intégration dans des réseaux existants ils supportent la plupart des protocoles de
routage. Les routeurs edge peuvent être automatiquement configurés sans nécessité d’intervention
humaine via « Zero Touch Provisioning ».

Les edges envoient des informations de télémétrie au collecteur central, les évènements et alertes
observées sur le réseau.
Enfin, les edges appliquent les règles de sécurité décrites dans le prochain blog (Application Firewall,
URL Filtering, DNS security, …)

Peut etre logiciel ou materiel :

vEdge1000 , vEdge2000, vEdge 100m (pour la connectivité sans-fils).

10.2/ Principaux protocoles utilisés dans la solution :

1/ TLS : Transport Layer Security :

Le protocole TLS a pour but de sécuriser les communications entre deux applications —
généralement un serveur Web et un navigateur. Ce protocole est largement répandu et compatible
avec la plupart des navigateurs Web.

Au niveau de l’architecture réseau, le protocole de sécurité s’insère entre la couche TCP/IP (bas
niveau) et le protocole de haut niveau HTTP, pour lequel il est principalement destiné.

Architecture réseau utilisant TLS :

Le protocole TLS peut également être utilisé pour sécuriser les connexions client/serveur “classiques”
de 4D Server ainsi que les connexions du serveur SQL. Pour plus d’informations, reportez-vous à la
section Crypter les connexions client/serveur dans le manuel de référence de 4D Server ainsi qu'à la
section Configuration du serveur SQL de 4D dans le manuel de référence SQL.

Le protocole TLS permet de garantir l’identité de l’émetteur et du récepteur, ainsi que la

confidentialité et l’intégrité des informations échangées :

 Identification des intervenants : l’identité de l’émetteur et du récepteur sont confirmées.

 Confidentialité des informations échangées : les données envoyées sont cryptées afin de les
rendre inintelligibles pour les tiers non autorisés.
 Intégrité des informations échangées : les données reçues n’ont pas été altérées,
frauduleusement ou accidentellement.

Les principes de sécurisation utilisés par TLS sont basés sur l’emploi d’un algorithme de cryptage
utilisant une paire de clés : une clé privée et une clé publique.
La clé privée est utilisée pour crypter les données. Elle est conservée par l’émetteur (le site Web). La
clé publique est utilisée pour décrypter les données. Elle est diffusée auprès des récepteurs (les
navigateurs Web), via le certificat. L’emploi du TLS dans le cadre d’Internet requiert en effet
l’entremise d’un opérateur de certification tel que, par exemple, Verisign®. Moyennant une
participation financière du site Web demandeur, cet organisme délivre un certificat, garantissant
l’identité du serveur et contenant la clé publique permettant la communication en mode sécurisé.

2/ DTLS ( Datagram Transport Layer Security ) :

DTLS a été conçu pour fournir TLS aux applications UDP. Il offre les mêmes services que  TLS : garantie
de l'intégrité des données et confidentialité.

La section 3 explique les principes de DTLS : protégé ou pas par DTLS, UDP a la même sémantique,
celle d'un service de datagrammes non fiable. D'autre part, DTLS est une légère modification de TLS :
il en garde les principales propriétés, bonnes ou mauvaises.

Mais pourquoi ne peut-on pas faire du TLS normal sur UDP ? Parce que TLS n'a pas été conçu pour
tourner au-dessus d'un protocole non fiable. TLS organise les données en enregistrements (records)
et il ne permet pas de déchiffrer indépendamment les enregistrements. Si l'enregistrement N est
perdu, le N+1 ne peut pas être déchiffré. De même, la procédure d'association initiale de TLS
(handshake) ne prévoit pas de perte de messages et ne se termine pas si un message est perdu.

Le premier problème fait l'objet de la section 3.1. La dépendance des enregistrements TLS vis-à-vis
de leurs prédécesseurs vient du chaînage cryptographique (le chiffrement par chaînage - stream
cipher - est donc supprimé en DTLS) et de fonctions anti-rejeu qui utilisent un numéro de séquence,
qui est implicitement le rang de l'enregistrement. DTLS résoud le problème en indiquant
explicitement le rang dans les enregistrements.

Et la question de l'association initiale est vue dans la section 3.2. Pour la perte de paquets lors de
l'association, DTLS utilise un système de retransmission (section 3.2.1) et pour l'éventuelle
réorganisation des paquets, DTLS introduit un numéro de séquence (section 3.2.2). En prime, DTLS
doit gérer la taille importante des messages TLS (souvent plusieurs kilo-octets), qui peut être
supérieure à la MTU. DTLS permet donc une fragmentation des paquets au niveau applicatif, un
message pouvant être réparti dans plusieurs enregistrements (section 3.2.3).

Enfin, l'anti-rejeu a été modifié pour tenir compte du fait que la duplication de paquets, en UDP,
n'est pas forcément malveillante.

La définition formelle du nouveau protocole est en section 4. DTLS étant une légère évolution de TLS,
la définition se fait uniquement en listant les différences avec TLS. Il faut donc garder le RFC
5246 sous la main.

3/ VPN ( Virtual Prrivate Network ) :

Un réseau privé virtuel (Virtual Private Network) est un tunnel sécurisé à l'intérieur d'un réseau
(Internet notamment). Il permet d'échanger des informations de manière sécurisée et anonyme en
utilisant une adresse IP différente de celle de votre ordinateur. Ce système est pratique pour surfer
sur Internet avec une localisation différente de la vôtre, par exemple pour contourner la censure en
vigueur dans un pays ou accéder à des sites de streaming avec des zones de diffusions restreintes. Un
autre intérêt est le faible coût de l'accès Internet, à partir de 2,75 euros par mois pour les services les
plus courants. Le VPN est parfaitement légal : de nombreuses entreprises y ont recours pour
protéger les échanges d'informations entre deux filiales à l'étranger par exemple.

Les données vont transiter via un serveur VPN (ou serveur d'accès distant) qui va interroger les pages
demandées pour vous renvoyer le résultat crypté. Le client VPN (installé sur l'ordinateur) va lui
décrypter ces informations. Plusieurs protocoles d'encapsulation (tunneling) peuvent être utilisés :
L2F, PPTP, L2TP, IPSec, SSL... Il est important de souligner que le VPN n'est pas un réseau physique en
lui-même mais passe par le réseau Internet classique en créant un « tunnel » sécurisé à l'intérieur.
4/ IPSec ( Internet Protocol security ) :

IPSec est un ensemble de protocoles (couche 3 modèle OSI) utilisant des algorithmes permettant le
transport de données sécurisées sur un réseau IP.

Réalisé dans le but de fonctionner avec le protocole IPv6, il fut adapté pour l'actuel protocole
IP : IPv4.

Son but est d'authentifier et de chiffrer les données : le flux ne pourra être compréhensible que par
le destinataire final (chiffrement) et la modification des données par des intermédiaires ne pourra
être possible (intégrité).

IPsec est souvent un composant de VPN, il est à l'origine de son aspect sécurité (canal sécurisé
ou tunneling).

Lors de l'établissement d'une connexion IPsec, plusieurs opérations sont effectuées :

 un canal d'échange de clés, sur une connexion UDP depuis et vers le port 500
(ISAKMP pour Internet Security Association and Key Management Protocol), défini dans
la RFC 2408.

Le protocole IKE est en charge de négocier la connexion. Ce protocole permet deux types

d'authentifications, PSK (Pre-Shared Key ou secret partagé) pour la génération de clefs de sessions ou
à l'aide de certificats/signatures RSA

un ou plusieurs canaux de données par lesquels le trafic du réseau privé est véhiculé, deux
protocoles sont possibles :

 le protocole n°50, ESP (Encapsulating Security Payload), défini dans la RFC 2406 qui fournit

l'intégrité et la confidentialité
 le protocole n°51, AH, (Authentication Header), défini dans la RFC 2402 et qui ne fournit que
l'intégrité.

La mise en place d'une architecture sécurisée à base d'IPsec est détaillée dans la RFC 2401.

Indépendamment des deux protocoles possibles AH/ESP, deux modes sont

possibles, tunnel ou transport. Dans le cadre du mode transport, on peut choisir le protocole AH, ESP
ou les deux. Dans le cadre du mode tunnel, on doit choisir entre le protocole AH ou ESP. Ce mode
crée un nouveau paquet IP encapsulant celui qui doit être transporté.
10.3/ Sécurité du plan de contrôle de VIPTELA :

Le plan de contrôle de tout réseau concerne la détermination de la topologie du réseau et la

définition de la façon de diriger les paquets. Dans un réseau traditionnel, les opérations du plan de
contrôle consistant à créer et à maintenir des tables de routage et du transfert et à diriger les
paquets vers leur destination sont gérées par des protocoles de routage et de commutation, qui
offrent généralement peu ou pas de mécanismes d'authentification des périphériques ou de cryptage
des mises à jour de routage et d'autres informations de contrôle. De plus, les méthodes
traditionnelles de sécurité sont très manuelles et ne sont pas évolutives. Par exemple, les certificats
sont généralement installés manuellement plutôt que de manière automatisée, et l'utilisation de clés
pré-partagées n'est pas une approche très sécurisée pour assurer la sécurité des appareils.

Le plan de contrôle Viptela a été conçu en tenant compte de la sécurité du réseau et des appareils. Le
fondement du plan de contrôle est l'un des deux protocoles de sécurité dérivés de SSL (Secure
Sockets Layer) - le protocole Datagram Transport Layer Security (DTLS) et le protocole Transport
Layer Security (TLS). Le contrôleur vSmart, qui est le cerveau centralisé de la solution Viptela, établit
et maintien des connexions DTLS ou TLS avec tous les périphériques Viptela du réseau de
superposition: vers les routeurs vEdge, les orchestrateurs vBond, vManage NMS et d'autres
contrôleurs vSmart. Ces connexions acheminent le trafic des plan de contrôle. DTLS ou TLS assure la
confidentialité des communications entre les appareils Viptela du réseau, en utilisant l'algorithme de
chiffrement Advanced Encryption Standard (AES-256) pour chiffrer tout le trafic de contrôle envoyé
via les connexions.

Figure : échange entre vSmart et vBond à l’aide de DTLS.

La confidentialité et le chiffrement dans le plan de contrôle offerts par DTLS et TLS fournissent une
base sûre et sécurisée pour les deux autres composants de sécurité, l'authentification et l'intégrité.
Pour effectuer l'authentification, les appareils Viptela échangent des certificats numériques. Ces
certificats, qui sont installés par le logiciel ou codés en dur dans le matériel, selon l'appareil,
identifient l'appareil et permettent aux appareils eux-mêmes de déterminer automatiquement ceux
qui appartiennent au réseau et ceux qui sont des imposteurs. Pour l'intégrité, les connexions DTLS ou
TLS exécutent SHA-1 ou SHA-2, un algorithme de hachage sécurisé cryptographique qui garantit que
tout le trafic de contrôle et de données envoyé via les connexions n'a pas été falsifié.
 Figure : Processus d’authentification entre les composantes de VIPTELA.

11/ Déploiement de la solution VIPTELA :

a/ Résumé des taches à faire :

Dans un sens général, ce que vous faites pour faire apparaître le réseau de superposition Cisco SD-
WAN est ce que vous feriez pour faire apparaître n'importe quel réseau: vous planifiez le réseau,
créez des configurations de périphérique, puis déployez les composants matériels et logiciels du
réseau. Ces composants incluent tous les périphériques Cisco vEdge, tous les routeurs traditionnels
qui participent au réseau de superposition et tous les périphériques réseau qui fournissent des
services partagés sur le réseau de superposition, tels que les pare-feu, les équilibreurs de charge et
les systèmes IDP.

Ce tableau présente les taches à faire :

  Planifiez votre réseau de superposition. Voir les composants de
la solution Cisco SD-WAN.

 Sur papier, créez des configurations de périphériques qui

implémentent l'architecture et les fonctionnalités souhaitées.
Consultez la documentation du logiciel pour votre version de
logiciel.

 Téléchargez les images des logiciels.

Déployez le vManage NMS dans le centre de données:

 Créez une instance de VM vManage, sur un hyperviseur ESXi ou

KVM.
 Créez une configuration minimale ou complète pour chaque
vManage NMS.
 Configurez les paramètres de certificat et générez un certificat
pour vManage NMS.
 Créez un cluster vManage.

Déployez le vBond dans la DMZ :

 Créez une instance de VM vBond, sur un hyperviseur ESXi ou

KVM.
 Créez une configuration minimale ou complète pour chaque
vBond.
 Ajoutez l'orchestrateur vBond au réseau de superposition. Au
cours de ce processus, vous générez un certificat pour
l'orchestrateur vBond.
 Créez une configuration complète pour l’orchestrateur vBond.
 Déployez le vSmart dans le centre de données:

 Créez une instance de VM vSmart, sur un hyperviseur ESXi ou

KVM.
 Créez une configuration minimale pour le controlleur vSmart.
 Ajoutez le controlleur vSmart au réseau de superposition. Au
cours de ce processus, vous générez un certificat pour le
controlleur vSmart.
 Créez une configuration complète pour le controlleur vSmart.

Déployez les routeurs vEdge dans le réseau de superposition:

 Pour les routeurs vEdge Cloud logiciels, créez une instance de

machine virtuelle, soit sur un serveur AWS, soit sur un
hyperviseur ESXi ou KVM.
 Pour les routeurs vEdge Cloud logiciels, envoyez une demande
de signature de certificat à Symantec, puis installez le certificat
signé sur le routeur.
 Depuis vManage NMS, envoyez les numéros de série de tous les
routeurs vEdge aux contrôleurs vSmart et aux orchestrateurs
vBond du réseau de superposition.
 Créez une configuration complète pour les routeurs vEdge.

abagdad@intelcom.co.ma