Bonsoir à tous,
Côté boulot, nous avons en place :
- Fortinet en cours de déploiement 50->1400 sites
- CATO Networks en cours de déploiement 200->400 sites
- Extreme Networks 30 sites
Chaque solution déployée dépend des besoins/contextes et des coûts.
Dans le désordre, CATO Networks simple voir simpliste, très limitée voir
trop limitée.
Pour des sites très simple avec 1 ou 2 sous-réseau, paiement fixe + à la
bande-passante (par pas de 10Mbps), limité à 2 WAN actifs. Certains sont
frustrés avec leur FTTH à 1Gb/s.
Extreme Networks besoin de gestion de QoS très fine entre le HUB et
SPOKE lié à des contraintes métiers très forte. Fonctionne très, très
bien par rapport à nos contraintes. Limité à 3 WAN actifs.
Fortinet, notre contexte le plus complexe :
- un nombre WAN jusqu'à 6 minimum 3 WAN et 5 tunnels IPSEC
- des flux en interne via un tunnel et d'autre via un autre tunnel
- des flux Internet sur tunnel GRE et d'autres en direct
- politique différent de SLA selon les groupes de flux
De mon côté, j'ai bien les choses standardisées qui respectent les
protocoles réseaux et non les boites noires.
Bon courage à toi,
---
Cordialement,
Antoine Nivard
Président & fondateur de https://Ouest.Network - Vous rapprocher !
https://www.linkedin.com/company/ouestnetwork/
Tél: 06 52 57 79 69 - [email protected]
Le 2025-07-17 22:12, Raphaël Géhin via frnog a écrit :
Pour répondre à tes interrogation complémentaire:
- on a pu tout automatiser sauf la génération de la clé permettant à
l'Appliance de join le WAN à l'initialisation
- Quand je suis arrivé sur le projet la phase commerciale été terminée
donc je n'ai malheureusement pas eu accès à ces éléments
- De mémoire seule la partie firewall à un niveau basique L4 avait été
activé. pas de problème de perf remontée. On avait pu interdire des
sites de communiquer entre elle (par exemple la région chinoise azure
ne devait communiquer qu'avec son pendant chez AWS).
- Le client avait fait le choix d'un "full managé" ce qui fait qu'il
n'avait pas accès aux interfaces d'admin
Désolé si le retour n'est pas très avancé.
Le jeudi 17 juillet 2025 à 09:50, Thierry DELABUS
<[email protected]> a écrit :
Hello Raphaël,
Merci pour ton retour, c’est super utile d’avoir ce genre d’expérience
concrète, surtout sur la partie IaC et automatisation — c’est
justement un point critique vu le volume de sites concernés.
Je retiens notamment la galère sur l’automatisation du déploiement et
les limitations liées à la plateforme sous-jacente pour la haute
dispo. C’est clair que plusieurs minutes de coupure en cas de bascule,
ça peut vite devenir bloquant selon les usages.
Quelques questions complémentaires si tu as le temps :
-
Vous aviez pu aller jusqu’à un déploiement 100% automatisé via IaC au
final ? Ou il restait une partie manuelle ?
-
Est-ce que vous aviez comparé le coût de Cato vs d'autres solutions du
marché ? Je serais preneur d’un ordre de grandeur en termes de
licences, appliances, support, etc. (même à la louche).
-
Côté fonctionnalités, vous aviez activé certaines briques de sécurité
intégrées (firewalling, segmentation, inspection TLS, etc.) ? Si oui,
comment ça s’est passé en termes de perfs et de paramétrage ?
-
Et enfin, vous aviez réussi à donner un peu d’autonomie au client pour
la gestion quotidienne (ajout de VLAN, politiques, monitoring), ou ça
restait assez opaque côté admin ?
Merci encore pour ton retour, c’est vraiment le genre de retours
terrain qu’on ne trouve pas dans les plaquettes commerciales :)
À+
Thierry
On Wed, Jul 16, 2025 at 8:07 PM Raphaël Géhin <[email protected]>
wrote:
Hello,
Il y a deux ans j'ai contribué au déploiement d'une solution basé sur
CATO network avec une topologie full mesh. Une partie des équipements
étaient des Appliances virtualisées déployées sur des hyperscalers
(Azure, AWS) et du VMWARE on premise. Je peux te faire un retour sur
la partie automatisation du déploiement et de la première
configuration (utile si tu as 400 à 500 sites). Je n'ai pas trouvé la
chose très aisé et la documentation était clairement orienté manuel.
Il y a fallu faire un peu de reverse ingeniering pour trouver une
solution pour déployer en IAC. Coté haute dispo le mécanisme de
bascule dépendait énormément de la plateforme sous jacente. Sur Azure
par exemple, cela se faisait par rattachement automatique d'une
interface d'une Appliance à une autre. Résultat, il fallait parfois
attendre plusieurs minutes pour que le lien soit de nouveau UP (le
temps que l'opération de rattachement se fasse). Cela avait
particulièrement déçu notre client.
Bien sur en deux ans ils ont probablement gagné en maturité mais ça
peut être des points à vérifier si tu t'intéresse à leur solution.
mon retour ne réponds pas à touteq tes questions (je n'ai
malheureusement contribué que sur la partie déploiement en iac du
produit) mais tu arriveras peu être à tirer quelques choses de tout
cela quand même :)
Raphaël
Les mails reçus en dehors de vos heures et jours de travail
n'attendent pas de réponse en dehors de vos heures et jours de
travail.
Le mercredi 16 juillet 2025 à 16:14, Thierry DELABUS
<[email protected]> a écrit :
Salut à tous,
Je suis en train d'étudier sérieusement les solutions SD-WAN du
marché pour
un projet de déploiement sur 400 à 500 sites, avec des liens assez
costauds
(entre 1 et 10 Gbps par site).
Avant de m'engager trop loin avec un éditeur/intégrateur, je voulais
avoir
vos retours d’expérience si vous avez déjà bossé sur des projets de
cette
taille (ou proches).
Je suis preneur de tout : ce qui a bien marché, ce qui vous a déçu,
les
pièges à éviter, les trucs qui ont fait gagner du temps ou au
contraire
fait galérer en prod ou au déploiement.
Quelques points qui m'intéressent en particulier :
-
Les solutions que vous avez testées ou déployées, et ce que vous en
pensez vraiment
-
Ce que ça donne en termes de stabilité, perf réseau, gestion
centralisée, etc.
-
Intégration avec des WAN hybrides (MPLS/Internet), cloud gateways,
etc.
-
Si vous avez utilisé les fonctions de sécurité embarquées (firewall,
segmentation...), c’est fiable ou mieux vaut les désactiver ?
-
Vos choix d’archi (full mesh, hub & spoke, autre...)
-
Et globalement tout retour terrain ou conseil que vous auriez pour
éviter de se rater
L’idée c’est de ne pas partir tête baissée sur une solution "à la
mode"
sans avoir bien mesuré les implications techniques et
opérationnelles.
Merci d’avance à ceux qui prendront le temps de partager leur
expérience !
À+
Thierry D.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
