Salut Thierry,
Petit REX sur un déploiement SD-WAN avec Fort$ et Silv* pour environ 150
sites répartis en France et en Europe.
Matériel principalement composé de petits boîtiers 60F / 100F, avec des
liens ISP en 100 Mbit/s à 1 Gbit/s, plus quelques backups 4G (quand ça
fonctionne…), et des appliances déployées dans Azure sur deux régions.
Les éditeurs de solutions SDWAN te vendent que grâce au SDWAN, tu peux
prendre un lien fibre 10 Meg. Ça marche bien avec le management/direction
mais souvent un peu moins avec la tech/sites distant..
Déploiement en production depuis 2 ans, avec automatisation via Jinja, en
s’appuyant sur FortiManager et FortiToken centralisés.
On a la chance d’être en France/Europe, donc pas de souci de latence/fibre,
ce qui nous permet d’avoir deux HUBs sur de gros DCs en région parisienne
et d'avoir un AS.
Je ferai plus de breakout local si
Je suis seul à gérer le LAN + WAN, donc il fallait une solution simple,
stable, et automatisable.
Une fois que tu as bien compris la distinction entre l’underlay (le lien)
et l’overlay (le tunnel), tu fais ce que tu veux des paquets.
2 Hub dans deux DC câblé en 10G histoire de pouvoir absorber un pic si
besoin.
Les points qui m'intéressent en retour :
Solutions testées et vos retours (Silve& For)
Silv : utilisé pendant 3 ans (en 2022) Licensing au Mbit/s consommé : 10 /
20 / 50 / 100 etc. avec différentes tailles de boîtiers.
→ Gros point négatif : devoir brider un lien fibre 100 Mbit/s à 50 pour
respecter la licence... frustrant et un prix délirant pour une pseudo
techno de caching/optimisation... (je te laisse expliquer au site distant
pourquoi ça télécharge moins vite qu' à la maison car ils ont fibre
10Meg...)
Fortinet : en prod depuis 3 ans.
→ Globalement très satisfait, surtout côté automatisation. Tu poses un 60F
et il te sort un petit 1G. Bien vérifier les spec des boitiers
UTM/Boost...etc si tu en as besoin de plus.
Stabilité, perf réseau, gestion centralisée
RAS niveau stabilité. Quelque bug de tunnel IPSEC selon la version de
firmware mais ca patch pas trop mal. Et puis par habitude, on oublie pas de
patcher les boitiers forti car ca se fait trouer tout les trimestres :)
Gestion centralisée efficace avec FortiManager. Tout est automatisé, c’est
industrialisé proprement.
Intégration WAN hybride (MPLS / Internet / Cloud)
Tu mets ce que tu veux en underlay : MPLS, DIA, 4G, etc. Ça monte un tunnel
IPSEC et tu le gères.
Mes opérateurs me livrent un lien basique avec du DHCP. Comme à la maison.
Quand le boitier récupère de l'internet (sans ip
public/nat/bidouille...etc), le boitier monte son tun IPSEC. fin du sujet.
On a ajouté quelques routes en dur dans l'underlay SDWAN des spokes pour
que notre HUB (FortiToken) soit toujours accessible.
On annonce le routage du site distant de l'overlay via BGP sans oublier
d'ajouter un prefixlist.
Le SD-WAN va gérer le breakout ou faire remonter les flux IPsec vers le DC.
Pas de mesh inter-sites, ça n’a aucun intérêt dans notre cas (1 ou 3 ms
gagnée au mieux...). Je préfère donner un 100 Meg à deux site plutôt qu'un
10 Meg entre Bordeaux et Toulon car gain de 1 ms en latence...
Et de toute façon, la majorité des intercos opérateurs remontent à Paris...
Fonctions de sécurité (firewall, segmentation...)
Utilisation de la stack Fortinet avec des firewall policies sans filtrage
sur les sites. Tu fais du vlan, de l'IPS et tout ce que tu veux sur le
firewall. La brique SDWAN est gérée après dans un menu autre.
Tout le trafic remonte vers le DC où il est filtré.
Seul Teams est breakouté localement via la stratégie Internet Services
(nécessite la lience UTM basique).
Choix d’architecture
Hub & Spoke, sans full mesh (inutile dans notre contexte). Toute remonte
sur deux hub indépendants. Je casse mon premier Hub, le deuxième
reprend sans coupure des tunnel.
Après test de toutes les features SD-WAN marketing (boost, agrégation,
etc.), je suis revenu à du lien principal en FTTH 1G, avec backup FTTO ou
4G.
→ Les vendeurs te vendent du rêve avec le load balancing, mais testez par
vous-mêmes du LB sur une fibre 5Meg et une fibre 1G…
Automatisation
Déploiement automatisé avec Jinja et les templates FortiManager.
Résultat : zéro friction, tout tourne bien, même en étant seul sur le
réseau pour le client.
Bref, je suis pas badgé forti mais c'était le moins cher et de loin et ca
just work.
Si besoin, petite démo possible :)
La prochaine mode, c'est de te vendre du routage/ipsec/agent sur ton pc et
te faire des sites basiques sans dépendance à un HUB. C'est ton poste qui
monte le tunnel via son agent via la stratégie de routage.
Un bout de Jinja pour les techs :
-> Routing en primary/secondary. Sélection faite en dur selon le cost du
routage.
-> On l'indique primary/secondary dans l'alias de l'interface réseaux -> Ca
remonte dans la sup, la prod n'est plus perdu...
-> {{VARIABLE}}
[image: image.png]
config system interface
{% if 'static' in ISP1_Mode %}
edit {{ISP1_Interface}}
set vdom "root"
set mode static
set ip {{ISP1_IP}} {{ISP1_Mask}}
set allowaccess ping fgfm
set type physical
{% if ISP1_Cost < ISP2_Cost %}
set alias PRIMARY-{{ ISP1_Operateur }}-{{ ISP1_Techno }}-{{
((ISP1_Downstream | float) / 1000) | int }}Mb
{% else %}
set alias BACKUP-{{ ISP1_Operateur }}-{{ ISP1_Techno }}-{{
((ISP1_Downstream | float) / 1000) | int }}MB
{% endif %}
set role wan
set estimated-upstream-bandwidth {{ISP1_Upstream}}
set estimated-downstream-bandwidth {{ISP1_Downstream}}
next
{% else %}
edit {{ISP1_Interface}}
set vdom "root"
set mode dhcp
set allowaccess ping fgfm
set type physical
{% if ISP1_Cost < ISP2_Cost %}
set alias PRIMARY-{{ ISP1_Operateur }}-{{ ISP1_Techno }}-{{
((ISP1_Downstream | float) / 1000) | int }}MB
{% else %}
set alias BACKUP-{{ ISP1_Operateur }}-{{ ISP1_Techno }}-{{
((ISP1_Downstream | float) / 1000) | int }}MB
{% endif %}
set role wan
set estimated-upstream-bandwidth {{ISP1_Upstream}}
set estimated-downstream-bandwidth {{ISP1_Downstream}}
next
{% endif %}
Baptiste,
Le mer. 16 juil. 2025 à 16:15, Thierry DELABUS <[email protected]> a
écrit :
> Salut à tous,
>
> Je suis en train d'étudier sérieusement les solutions SD-WAN du marché pour
> un projet de déploiement sur 400 à 500 sites, avec des liens assez costauds
> (entre 1 et 10 Gbps par site).
>
> Avant de m'engager trop loin avec un éditeur/intégrateur, je voulais avoir
> vos retours d’expérience si vous avez déjà bossé sur des projets de cette
> taille (ou proches).
> Je suis preneur de tout : ce qui a bien marché, ce qui vous a déçu, les
> pièges à éviter, les trucs qui ont fait gagner du temps ou au contraire
> fait galérer en prod ou au déploiement.
>
> Quelques points qui m'intéressent en particulier :
>
> -
>
> Les solutions que vous avez testées ou déployées, et ce que vous en
> pensez vraiment
> -
>
> Ce que ça donne en termes de stabilité, perf réseau, gestion
> centralisée, etc.
> -
>
> Intégration avec des WAN hybrides (MPLS/Internet), cloud gateways, etc.
> -
>
> Si vous avez utilisé les fonctions de sécurité embarquées (firewall,
> segmentation...), c’est fiable ou mieux vaut les désactiver ?
> -
>
> Vos choix d’archi (full mesh, hub & spoke, autre...)
> -
>
> Et globalement tout retour terrain ou conseil que vous auriez pour
> éviter de se rater
>
> L’idée c’est de ne pas partir tête baissée sur une solution "à la mode"
> sans avoir bien mesuré les implications techniques et opérationnelles.
>
> Merci d’avance à ceux qui prendront le temps de partager leur expérience !
>
> À+
> Thierry D.
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
