Je n’ai aucune expérience sur le déploiement d’une « solution » SDWAN sur 500 sites mais par contre, je t’invite à te poser une question:
Est-ce que dans les besoins exprimés par le client, il y a vraiment quelque chose qui justifie de filer 500k€-1M€ à un constructeur ? Quelle est la problématique sur les sites distants qui nécessitent du SDWAN (2 liens, chacun sous-dimensionnée, par exemple) ? Est-ce qu’il n’y a pas aussi efficace et moins cher en partant sur une architecture hup&spoke avec des équipements plus communs et scriptables, et en séparant la partie sécurité (qui peut être alors centralisée) ? David > Le 17 juil. 2025 à 09:50, Thierry DELABUS <[email protected]> a écrit : > > Hello Raphaël, > > Merci pour ton retour, c’est super utile d’avoir ce genre d’expérience > concrète, surtout sur la partie IaC et automatisation — c’est justement un > point critique vu le volume de sites concernés. > > Je retiens notamment la galère sur l’automatisation du déploiement et les > limitations liées à la plateforme sous-jacente pour la haute dispo. C’est > clair que plusieurs minutes de coupure en cas de bascule, ça peut vite > devenir bloquant selon les usages. > > Quelques questions complémentaires si tu as le temps : > > - > > Vous aviez pu aller jusqu’à un déploiement 100% automatisé via IaC au > final ? Ou il restait une partie manuelle ? > - > > Est-ce que vous aviez comparé le coût de Cato vs d'autres solutions du > marché ? Je serais preneur d’un ordre de grandeur en termes de licences, > appliances, support, etc. (même à la louche). > - > > Côté fonctionnalités, vous aviez activé certaines briques de sécurité > intégrées (firewalling, segmentation, inspection TLS, etc.) ? Si oui, > comment ça s’est passé en termes de perfs et de paramétrage ? > - > > Et enfin, vous aviez réussi à donner un peu d’autonomie au client pour > la gestion quotidienne (ajout de VLAN, politiques, monitoring), ou ça > restait assez opaque côté admin ? > > Merci encore pour ton retour, c’est vraiment le genre de retours terrain > qu’on ne trouve pas dans les plaquettes commerciales :) > > À+ > Thierry > > On Wed, Jul 16, 2025 at 8:07 PM Raphaël Géhin <[email protected]> wrote: > >> Hello, >> >> Il y a deux ans j'ai contribué au déploiement d'une solution basé sur CATO >> network avec une topologie full mesh. Une partie des équipements étaient >> des Appliances virtualisées déployées sur des hyperscalers (Azure, AWS) et >> du VMWARE on premise. Je peux te faire un retour sur la partie >> automatisation du déploiement et de la première configuration (utile si tu >> as 400 à 500 sites). Je n'ai pas trouvé la chose très aisé et la >> documentation était clairement orienté manuel. Il y a fallu faire un peu >> de reverse ingeniering pour trouver une solution pour déployer en IAC. >> Coté haute dispo le mécanisme de bascule dépendait énormément de la >> plateforme sous jacente. Sur Azure par exemple, cela se faisait par >> rattachement automatique d'une interface d'une Appliance à une autre. >> Résultat, il fallait parfois attendre plusieurs minutes pour que le lien >> soit de nouveau UP (le temps que l'opération de rattachement se fasse). >> Cela avait particulièrement déçu notre client. >> >> Bien sur en deux ans ils ont probablement gagné en maturité mais ça peut >> être des points à vérifier si tu t'intéresse à leur solution. >> >> mon retour ne réponds pas à touteq tes questions (je n'ai malheureusement >> contribué que sur la partie déploiement en iac du produit) mais tu >> arriveras peu être à tirer quelques choses de tout cela quand même :) >> >> >> Raphaël >> Les mails reçus en dehors de vos heures et jours de travail n'attendent >> pas de réponse en dehors de vos heures et jours de travail. >> >> >> Le mercredi 16 juillet 2025 à 16:14, Thierry DELABUS < >> [email protected]> a écrit : >> >>> Salut à tous, >>> >>> Je suis en train d'étudier sérieusement les solutions SD-WAN du marché >> pour >>> un projet de déploiement sur 400 à 500 sites, avec des liens assez >> costauds >>> (entre 1 et 10 Gbps par site). >>> >>> Avant de m'engager trop loin avec un éditeur/intégrateur, je voulais >> avoir >>> vos retours d’expérience si vous avez déjà bossé sur des projets de cette >>> taille (ou proches). >>> Je suis preneur de tout : ce qui a bien marché, ce qui vous a déçu, les >>> pièges à éviter, les trucs qui ont fait gagner du temps ou au contraire >>> fait galérer en prod ou au déploiement. >>> >>> Quelques points qui m'intéressent en particulier : >>> >>> - >>> >>> Les solutions que vous avez testées ou déployées, et ce que vous en >>> pensez vraiment >>> - >>> >>> Ce que ça donne en termes de stabilité, perf réseau, gestion >>> centralisée, etc. >>> - >>> >>> Intégration avec des WAN hybrides (MPLS/Internet), cloud gateways, etc. >>> - >>> >>> Si vous avez utilisé les fonctions de sécurité embarquées (firewall, >>> segmentation...), c’est fiable ou mieux vaut les désactiver ? >>> - >>> >>> Vos choix d’archi (full mesh, hub & spoke, autre...) >>> - >>> >>> Et globalement tout retour terrain ou conseil que vous auriez pour >>> éviter de se rater >>> >>> L’idée c’est de ne pas partir tête baissée sur une solution "à la mode" >>> sans avoir bien mesuré les implications techniques et opérationnelles. >>> >>> Merci d’avance à ceux qui prendront le temps de partager leur expérience >> ! >>> >>> À+ >>> Thierry D. >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
