Oui très intéressant! Après, je suis très Fortinet, mais attention au coup de massue potentiel sur le licensing. Ils ont fait le coup pendant le COVID (+40% sur les licences de certains chassis), et ils pourraient très bien le refaire tant qu’is se prendront pour les rois du monde dans le classement Gartner (en SDWAN, ils sont Number 1). D’ailleurs, leur politique tarifaire est tellement débile (ou intelligente, ça dépend où on se place), qu’il est moins coûteux de renouveler un vieux chassis (vieux=5 ans) avec leur offre d’upgrade (ils ne récupèrent même pas l’ancien chassis, la planète est heureuse), que de renouveler les licences du vieux chassis.
David > Le 17 juil. 2025 à 11:21, Thierry DELABUS <[email protected]> a écrit : > > Salut, > > Merci beaucoup pour ce retour super complet et franchement instructif — le > combo Jinja + FortiManager me parle bien, surtout avec un passé de dev et une > volonté d’industrialiser à fond. > > Côté perf et simplicité, ton setup semble solide. Le côté “just works” dans > un contexte avec peu de ressources humaines, c’est un argument de poids. > > Pour affiner un peu ma réflexion, j’aurais une question sur les coûts globaux > de la solution Fortinet dans votre contexte : > > Vous êtes sur quels ordres de grandeur de coût par site (licence + matériel + > support), pour des sites avec un lien <1G ? > > Et pour les quelques sites avec des besoins plus costauds (jusqu’à 10G), tu > sais à peu près ce que ça représente en budget par site ? > > Est-ce que la partie FortiManager/FortiToken a un impact significatif sur le > coût global, ou c’est marginal une fois mutualisé ? > > Je me doute que ça dépend pas mal du sizing et des options activées, mais > même une fourchette approximative serait top pour m’aider à comparer > objectivement. > > Merci encore pour ton retour d’expérience très précieux ! > > À+ > Thierry > > > On Thu, Jul 17, 2025 at 10:55 AM Baptiste Chappe <[email protected] > <mailto:[email protected]>> wrote: > Salut Thierry, > > Petit REX sur un déploiement SD-WAN avec Fort$ et Silv* pour environ 150 > sites répartis en France et en Europe. > Matériel principalement composé de petits boîtiers 60F / 100F, avec des liens > ISP en 100 Mbit/s à 1 Gbit/s, plus quelques backups 4G (quand ça > fonctionne…), et des appliances déployées dans Azure sur deux régions. > Les éditeurs de solutions SDWAN te vendent que grâce au SDWAN, tu peux > prendre un lien fibre 10 Meg. Ça marche bien avec le management/direction > mais souvent un peu moins avec la tech/sites distant.. > > Déploiement en production depuis 2 ans, avec automatisation via Jinja, en > s’appuyant sur FortiManager et FortiToken centralisés. > > On a la chance d’être en France/Europe, donc pas de souci de latence/fibre, > ce qui nous permet d’avoir deux HUBs sur de gros DCs en région parisienne et > d'avoir un AS. > Je ferai plus de breakout local si > > Je suis seul à gérer le LAN + WAN, donc il fallait une solution simple, > stable, et automatisable. > Une fois que tu as bien compris la distinction entre l’underlay (le lien) et > l’overlay (le tunnel), tu fais ce que tu veux des paquets. > 2 Hub dans deux DC câblé en 10G histoire de pouvoir absorber un pic si besoin. > > Les points qui m'intéressent en retour : > Solutions testées et vos retours (Silve& For) > Silv : utilisé pendant 3 ans (en 2022) Licensing au Mbit/s consommé : 10 / 20 > / 50 / 100 etc. avec différentes tailles de boîtiers. > → Gros point négatif : devoir brider un lien fibre 100 Mbit/s à 50 pour > respecter la licence... frustrant et un prix délirant pour une pseudo techno > de caching/optimisation... (je te laisse expliquer au site distant > pourquoi ça télécharge moins vite qu' à la maison car ils ont fibre 10Meg...) > > Fortinet : en prod depuis 3 ans. > → Globalement très satisfait, surtout côté automatisation. Tu poses un 60F et > il te sort un petit 1G. Bien vérifier les spec des boitiers UTM/Boost...etc > si tu en as besoin de plus. > > Stabilité, perf réseau, gestion centralisée > RAS niveau stabilité. Quelque bug de tunnel IPSEC selon la version de > firmware mais ca patch pas trop mal. Et puis par habitude, on oublie pas de > patcher les boitiers forti car ca se fait trouer tout les trimestres :) > > Gestion centralisée efficace avec FortiManager. Tout est automatisé, c’est > industrialisé proprement. > Intégration WAN hybride (MPLS / Internet / Cloud) > Tu mets ce que tu veux en underlay : MPLS, DIA, 4G, etc. Ça monte un tunnel > IPSEC et tu le gères. > Mes opérateurs me livrent un lien basique avec du DHCP. Comme à la maison. > Quand le boitier récupère de l'internet (sans ip public/nat/bidouille...etc), > le boitier monte son tun IPSEC. fin du sujet. > On a ajouté quelques routes en dur dans l'underlay SDWAN des spokes pour que > notre HUB (FortiToken) soit toujours accessible. > On annonce le routage du site distant de l'overlay via BGP sans oublier > d'ajouter un prefixlist. > Le SD-WAN va gérer le breakout ou faire remonter les flux IPsec vers le DC. > > Pas de mesh inter-sites, ça n’a aucun intérêt dans notre cas (1 ou 3 ms > gagnée au mieux...). Je préfère donner un 100 Meg à deux site plutôt qu'un 10 > Meg entre Bordeaux et Toulon car gain de 1 ms en latence... > Et de toute façon, la majorité des intercos opérateurs remontent à Paris... > > Fonctions de sécurité (firewall, segmentation...) > Utilisation de la stack Fortinet avec des firewall policies sans filtrage sur > les sites. Tu fais du vlan, de l'IPS et tout ce que tu veux sur le firewall. > La brique SDWAN est gérée après dans un menu autre. > Tout le trafic remonte vers le DC où il est filtré. > Seul Teams est breakouté localement via la stratégie Internet Services > (nécessite la lience UTM basique). > > Choix d’architecture > Hub & Spoke, sans full mesh (inutile dans notre contexte). Toute remonte sur > deux hub indépendants. Je casse mon premier Hub, le deuxième reprend sans > coupure des tunnel. > > Après test de toutes les features SD-WAN marketing (boost, agrégation, etc.), > je suis revenu à du lien principal en FTTH 1G, avec backup FTTO ou 4G. > → Les vendeurs te vendent du rêve avec le load balancing, mais testez par > vous-mêmes du LB sur une fibre 5Meg et une fibre 1G… > > Automatisation > Déploiement automatisé avec Jinja et les templates FortiManager. > Résultat : zéro friction, tout tourne bien, même en étant seul sur le réseau > pour le client. > > Bref, je suis pas badgé forti mais c'était le moins cher et de loin et ca > just work. > Si besoin, petite démo possible :) > > La prochaine mode, c'est de te vendre du routage/ipsec/agent sur ton pc et te > faire des sites basiques sans dépendance à un HUB. C'est ton poste qui monte > le tunnel via son agent via la stratégie de routage. > > Un bout de Jinja pour les techs : > -> Routing en primary/secondary. Sélection faite en dur selon le cost du > routage. > -> On l'indique primary/secondary dans l'alias de l'interface réseaux -> Ca > remonte dans la sup, la prod n'est plus perdu... > -> {{VARIABLE}} > > <image.png> > > config system interface > {% if 'static' in ISP1_Mode %} > edit {{ISP1_Interface}} > set vdom "root" > set mode static > set ip {{ISP1_IP}} {{ISP1_Mask}} > set allowaccess ping fgfm > set type physical > {% if ISP1_Cost < ISP2_Cost %} > set alias PRIMARY-{{ ISP1_Operateur }}-{{ ISP1_Techno }}-{{ ((ISP1_Downstream > | float) / 1000) | int }}Mb > {% else %} > set alias BACKUP-{{ ISP1_Operateur }}-{{ ISP1_Techno }}-{{ ((ISP1_Downstream > | float) / 1000) | int }}MB > {% endif %} > set role wan > set estimated-upstream-bandwidth {{ISP1_Upstream}} > set estimated-downstream-bandwidth {{ISP1_Downstream}} > next > {% else %} > edit {{ISP1_Interface}} > set vdom "root" > set mode dhcp > set allowaccess ping fgfm > set type physical > {% if ISP1_Cost < ISP2_Cost %} > set alias PRIMARY-{{ ISP1_Operateur }}-{{ ISP1_Techno }}-{{ ((ISP1_Downstream > | float) / 1000) | int }}MB > {% else %} > set alias BACKUP-{{ ISP1_Operateur }}-{{ ISP1_Techno }}-{{ ((ISP1_Downstream > | float) / 1000) | int }}MB > {% endif %} > set role wan > set estimated-upstream-bandwidth {{ISP1_Upstream}} > set estimated-downstream-bandwidth {{ISP1_Downstream}} > next > {% endif %} > > > > Baptiste, > > > > Le mer. 16 juil. 2025 à 16:15, Thierry DELABUS <[email protected] > <mailto:[email protected]>> a écrit : > Salut à tous, > > Je suis en train d'étudier sérieusement les solutions SD-WAN du marché pour > un projet de déploiement sur 400 à 500 sites, avec des liens assez costauds > (entre 1 et 10 Gbps par site). > > Avant de m'engager trop loin avec un éditeur/intégrateur, je voulais avoir > vos retours d’expérience si vous avez déjà bossé sur des projets de cette > taille (ou proches). > Je suis preneur de tout : ce qui a bien marché, ce qui vous a déçu, les > pièges à éviter, les trucs qui ont fait gagner du temps ou au contraire > fait galérer en prod ou au déploiement. > > Quelques points qui m'intéressent en particulier : > > - > > Les solutions que vous avez testées ou déployées, et ce que vous en > pensez vraiment > - > > Ce que ça donne en termes de stabilité, perf réseau, gestion > centralisée, etc. > - > > Intégration avec des WAN hybrides (MPLS/Internet), cloud gateways, etc. > - > > Si vous avez utilisé les fonctions de sécurité embarquées (firewall, > segmentation...), c’est fiable ou mieux vaut les désactiver ? > - > > Vos choix d’archi (full mesh, hub & spoke, autre...) > - > > Et globalement tout retour terrain ou conseil que vous auriez pour > éviter de se rater > > L’idée c’est de ne pas partir tête baissée sur une solution "à la mode" > sans avoir bien mesuré les implications techniques et opérationnelles. > > Merci d’avance à ceux qui prendront le temps de partager leur expérience ! > > À+ > Thierry D. > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ <http://www.frnog.org/> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
