Hello On a fait un gros déploiement en Meraki MX et on a géré l'automatisation via une interface que l'on a développé au-dessus grâce au API 1800 sites, un client très content, et une gestion ultra fine lors de déploiement et du run des règles de FW.
On peut même te faire une petite demo de l'appli que l'on a créé si tu veux Clement -----Message d'origine----- De : [email protected] <[email protected]> De la part de Thierry DELABUS Envoyé : jeudi 17 juillet 2025 10:34 À : David Ponzone <[email protected]> Cc : Raphaël Géhin <[email protected]>; [email protected] Objet : Re: [FRnOG] [TECH] REX solutions SD-WAN pour gros déploiement (400-500 sites) C'est vrai, tu soulèves un point légitime sur le coût, mais dans mon cas, la réflexion ne porte pas uniquement sur le transport, mais surtout sur la gouvernance réseau et sécurité à grande échelle. Ce que je cherche à mettre en place, c’est une infrastructure réseau pilotée par SDN, avec gestion des fonctions de firewalling centralisé et automatisé, intégrées à un orchestrateur. L’objectif est que chaque site bénéficie de : - Deux liens WAN (ex : FTTH + FTTO), avec une gestion dynamique du routage en fonction des flux - Breakout Internet local sur les liens "larges" (FTTH), tout en priorisant les flux critiques via FTTO - Inspection L4-L7 sur chaque site, appliquée via des politiques de sécurité définies de manière centralisée - Déploiement et modifications de règles en quelques clics sur l’ensemble des 500 sites en quelques instants L’alternative "hub & spoke + équipements scriptés" peut fonctionner, mais à cette échelle, elle demande énormément de développement, d’outillage maison, et de discipline opérationnelle — sans compter la complexité de la gestion sécurité distribuée sans orchestrateur. Mon but est donc d’industrialiser sur des solutions existantes, pas uniquement de "faire fonctionner" ou de devoir développer notre propre solution. Si tu as déjà vu une architecture plus "light" qui permet quand même ce niveau d’orchestration et de sécurité distribuée, je suis évidemment preneur ! À+ Thierry On Thu, Jul 17, 2025 at 10:11 AM David Ponzone <[email protected]> wrote: > Je n’ai aucune expérience sur le déploiement d’une « solution » SDWAN > sur > 500 sites mais par contre, je t’invite à te poser une question: > > Est-ce que dans les besoins exprimés par le client, il y a vraiment > quelque chose qui justifie de filer 500k€-1M€ à un constructeur ? > Quelle est la problématique sur les sites distants qui nécessitent du > SDWAN (2 liens, chacun sous-dimensionnée, par exemple) ? > Est-ce qu’il n’y a pas aussi efficace et moins cher en partant sur une > architecture hup&spoke avec des équipements plus communs et > scriptables, et en séparant la partie sécurité (qui peut être alors > centralisée) ? > > David > > > Le 17 juil. 2025 à 09:50, Thierry DELABUS <[email protected]> > > a > écrit : > > > > Hello Raphaël, > > > > Merci pour ton retour, c’est super utile d’avoir ce genre > > d’expérience concrète, surtout sur la partie IaC et automatisation — > > c’est justement > un > > point critique vu le volume de sites concernés. > > > > Je retiens notamment la galère sur l’automatisation du déploiement > > et les limitations liées à la plateforme sous-jacente pour la haute > > dispo. C’est clair que plusieurs minutes de coupure en cas de > > bascule, ça peut vite devenir bloquant selon les usages. > > > > Quelques questions complémentaires si tu as le temps : > > > > - > > > > Vous aviez pu aller jusqu’à un déploiement 100% automatisé via IaC au > > final ? Ou il restait une partie manuelle ? > > - > > > > Est-ce que vous aviez comparé le coût de Cato vs d'autres solutions du > > marché ? Je serais preneur d’un ordre de grandeur en termes de > licences, > > appliances, support, etc. (même à la louche). > > - > > > > Côté fonctionnalités, vous aviez activé certaines briques de sécurité > > intégrées (firewalling, segmentation, inspection TLS, etc.) ? Si oui, > > comment ça s’est passé en termes de perfs et de paramétrage ? > > - > > > > Et enfin, vous aviez réussi à donner un peu d’autonomie au client pour > > la gestion quotidienne (ajout de VLAN, politiques, monitoring), ou ça > > restait assez opaque côté admin ? > > > > Merci encore pour ton retour, c’est vraiment le genre de retours > > terrain qu’on ne trouve pas dans les plaquettes commerciales :) > > > > À+ > > Thierry > > > > On Wed, Jul 16, 2025 at 8:07 PM Raphaël Géhin <[email protected]> > wrote: > > > >> Hello, > >> > >> Il y a deux ans j'ai contribué au déploiement d'une solution basé > >> sur > CATO > >> network avec une topologie full mesh. Une partie des équipements > >> étaient des Appliances virtualisées déployées sur des hyperscalers > >> (Azure, > AWS) et > >> du VMWARE on premise. Je peux te faire un retour sur la partie > >> automatisation du déploiement et de la première configuration > >> (utile > si tu > >> as 400 à 500 sites). Je n'ai pas trouvé la chose très aisé et la > >> documentation était clairement orienté manuel. Il y a fallu faire > >> un > peu > >> de reverse ingeniering pour trouver une solution pour déployer en IAC. > >> Coté haute dispo le mécanisme de bascule dépendait énormément de > >> la plateforme sous jacente. Sur Azure par exemple, cela se faisait > >> par rattachement automatique d'une interface d'une Appliance à une autre. > >> Résultat, il fallait parfois attendre plusieurs minutes pour que le > >> lien soit de nouveau UP (le temps que l'opération de rattachement se > >> fasse). > >> Cela avait particulièrement déçu notre client. > >> > >> Bien sur en deux ans ils ont probablement gagné en maturité mais ça > >> peut être des points à vérifier si tu t'intéresse à leur solution. > >> > >> mon retour ne réponds pas à touteq tes questions (je n'ai > malheureusement > >> contribué que sur la partie déploiement en iac du produit) mais tu > >> arriveras peu être à tirer quelques choses de tout cela quand même > >> :) > >> > >> > >> Raphaël > >> Les mails reçus en dehors de vos heures et jours de travail > >> n'attendent pas de réponse en dehors de vos heures et jours de travail. > >> > >> > >> Le mercredi 16 juillet 2025 à 16:14, Thierry DELABUS < > >> [email protected]> a écrit : > >> > >>> Salut à tous, > >>> > >>> Je suis en train d'étudier sérieusement les solutions SD-WAN du > >>> marché > >> pour > >>> un projet de déploiement sur 400 à 500 sites, avec des liens assez > >> costauds > >>> (entre 1 et 10 Gbps par site). > >>> > >>> Avant de m'engager trop loin avec un éditeur/intégrateur, je > >>> voulais > >> avoir > >>> vos retours d’expérience si vous avez déjà bossé sur des projets > >>> de > cette > >>> taille (ou proches). > >>> Je suis preneur de tout : ce qui a bien marché, ce qui vous a > >>> déçu, les pièges à éviter, les trucs qui ont fait gagner du temps > >>> ou au contraire fait galérer en prod ou au déploiement. > >>> > >>> Quelques points qui m'intéressent en particulier : > >>> > >>> - > >>> > >>> Les solutions que vous avez testées ou déployées, et ce que vous > >>> en pensez vraiment > >>> - > >>> > >>> Ce que ça donne en termes de stabilité, perf réseau, gestion > >>> centralisée, etc. > >>> - > >>> > >>> Intégration avec des WAN hybrides (MPLS/Internet), cloud gateways, etc. > >>> - > >>> > >>> Si vous avez utilisé les fonctions de sécurité embarquées > >>> (firewall, segmentation...), c’est fiable ou mieux vaut les désactiver ? > >>> - > >>> > >>> Vos choix d’archi (full mesh, hub & spoke, autre...) > >>> - > >>> > >>> Et globalement tout retour terrain ou conseil que vous auriez pour > >>> éviter de se rater > >>> > >>> L’idée c’est de ne pas partir tête baissée sur une solution "à la mode" > >>> sans avoir bien mesuré les implications techniques et opérationnelles. > >>> > >>> Merci d’avance à ceux qui prendront le temps de partager leur > expérience > >> ! > >>> > >>> À+ > >>> Thierry D. > >>> > >>> --------------------------- > >>> Liste de diffusion du FRnOG > >>> http://www.frnog.org/ > >> > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
