Architecture du Edge d'Entreprise Résilient : Implémentation SD-WAN sur FortiGate 70F et Intégration Cisco

SDWAN


À l'ère du "cloud-first", le modèle traditionnel MPLS en "hub-and-spoke" ne suffit plus. L'infrastructure moderne exige agilité, optimisation des coûts et routage applicatif. Le Software-Defined Wide Area Networking (SD-WAN) est passé d'un luxe à une nécessité fondamentale. Pour un ingénieur réseau, le défi n'est plus seulement la connectivité, mais la garantie que les flux SaaS critiques, la VoIP et les tunnels VPN bénéficient d'un basculement en moins d'une seconde et d'une sélection de chemin optimale sans intervention manuelle.

Analyse de l'Infrastructure en Baie

Pour ce déploiement, nous utilisons une pile haute performance conçue pour une succursale d'entreprise ou un environnement Edge robuste :

  • Sécurité & Edge : FortiGate 70F. Installé en sommet de rack (Top-of-Rack), il fait office de pare-feu de nouvelle génération (NGFW) et d'orchestrateur SD-WAN. Son processeur dédié SoC4 permet une inspection profonde des paquets (DPI) sans créer de goulot d'étranglement.

  • Cœur de Réseau (Switching) : Cisco Nexus 3048TP. Ces commutateurs assurent la commutation L2/L3 à haute vitesse, offrant un backbone à faible latence pour la connectivité des serveurs et le routage inter-VLAN.

  • Accès & PoE : Cisco Catalyst 3750 PoE. Ils supportent les périphériques finaux, alimentant notamment les bornes Wi-Fi et les téléphones IP.

  • Gestion Sans Fil : Cisco Wireless LAN Controller (WLC). Il gère l'environnement radio, le trafic étant renvoyé vers le cœur Nexus puis acheminé via le FortiGate.

Rôle du FortiGate 70F dans l'Architecture

Le FortiGate 70F agit comme le "cerveau" du WAN. Contrairement aux routeurs traditionnels qui routent en fonction de l'IP de destination (Couche 3), le 70F identifie les applications (Couche 7). Positionné à la bordure, il termine plusieurs accès ISP tout en appliquant simultanément la posture de sécurité et le pilotage des flux (path steering). L'intégration native du SD-WAN dans FortiOS élimine le besoin d'un boîtier dédié, réduisant ainsi la surface d'attaque et simplifiant la gestion.

Architecture SD-WAN Proposée

Pour garantir une disponibilité de 99,99 %, nous intégrons trois supports de transport hétérogènes sur le 70F :

  1. ISP-A (Fibre) : Lien principal à large bande passante et faible latence.

  2. ISP-B (Starlink) : Lien satellite secondaire pour la diversité géographique.

  3. ISP-C (LTE/5G) : Lien de secours tertiaire pour la gestion critique hors bande (OOB).

Diagramme Réseau (Topologie Logique)

Plaintext
[ INTERNET ]
      |
      +------- (Fibre / WAN1) --------+
      +------- (Starlink / WAN2) -----+ [ FortiGate 70F ] (Edge)
      +------- (LTE / USB/Eth3) ------+
                     |
                     | [ Agrégat LACP 2x 1Gbps ]
                     |
            [ Cisco Nexus 3048TP ] (Cœur)
               /            \
    [ Cisco WLC ]      [ Cisco Catalyst 3750 ] (Accès/PoE)
                            /           \
                     [ Téléphones IP ]  [ Postes de Travail ]


schema


Configuration Pratique du SD-WAN Fortinet (CLI)

1. Création des zones SD-WAN et des membres

Nous regroupons les interfaces dans des zones logiques pour simplifier les politiques de pare-feu.

Extrait de code
config system sdwan
    set status enable
    config zone
        edit "virtual-wan-link"
        next
    end
    config member
        edit 1
            set interface "wan1"
            set zone "virtual-wan-link"
            set gateway 1.1.1.1
        next
        edit 2
            set interface "wan2"
            set zone "virtual-wan-link"
            set gateway 2.2.2.2
        next
    end
end

2. Performance SLA & Health Checks

Nous ne vérifions pas seulement si l'interface est "up" ; nous mesurons la qualité. Si la latence sur la fibre dépasse 150ms, le FortiGate bascule proactivement le trafic sensible.

Extrait de code
config system sdwan
    config health-check
        edit "DNS-Check"
            set server "8.8.8.8"
            set sla-fail-log-period 30
            set sla-pass-log-period 60
            config sla
                edit 1
                    set latency-threshold 150
                    set jitter-threshold 30
                    set packetloss-threshold 2
                next
            end
        next
    end
end

3. Règles SD-WAN (Traffic Steering)

Ici, nous définissons l'intention métier. Priorité à la VoIP sur le lien le plus stable.

Extrait de code
config system sdwan
    config service
        edit 1
            set name "Priorite_VoIP"
            set mode priority
            set dst "Corporate_VoIP_Subnets"
            set src "Internal_VLANs"
            set health-check "DNS-Check"
            set sla-compare-method latency
            set priority-members 1 2
        next
    end
end

Stratégie de Pilotage du Trafic

Une politique SD-WAN efficace n'est pas uniforme. Nous catégorisons le trafic ainsi :

  • VoIP & Collaboration : Orienté vers le lien ayant le moins de Jitter et de Latence (généralement la Fibre).

  • Applications Cloud (SaaS) : Utilisation de l'ISDB (Internet Service Database) du FortiGate pour identifier le trafic Microsoft 365 ou AWS et l'acheminer via le chemin le plus propre.

  • Internet Général : Répartition de charge (Load-balancing) entre la Fibre et Starlink pour maximiser le débit global.

  • Flux de Sauvegarde : Restreints à Starlink ou planifiés hors heures de pointe pour préserver la bande passante de production.

Considérations sur la Haute Disponibilité (HA)

Dans une baie de production, le FortiGate 70F devrait idéalement être déployé en Cluster HA (Actif-Passif). L'utilisation de deux unités 70F reliées par des liens Heartbeat garantit qu'en cas de défaillance matérielle, l'unité secondaire reprend les tables d'état SD-WAN et les sessions PPPoE/DHCP en moins d'une seconde, assurant une persistance de session totale pour les utilisateurs.

Bénéfices Réels

  1. Résilience Accrue : Basculement automatique entre liens terrestres et satellites.

  2. Optimisation des Coûts : Réduction de la dépendance aux circuits MPLS coûteux grâce à l'utilisation de liens internet grand public agrégés.

  3. Performance Applicative : Visibilité profonde sur les conditions de "brownout" (perte de paquets) plutôt que de simples "blackout" (coupure totale).

Conclusion

L'implémentation du SD-WAN sur un FortiGate 70F au sein d'un environnement Cisco représente le "gold standard" de l'ingénierie réseau moderne. Cela équilibre la puissance de commutation brute des gammes Nexus et Catalyst avec l'intelligence applicative et sécuritaire de Fortinet. En tant qu'ingénieurs, notre objectif est de bâtir des réseaux qui ne sont pas seulement rapides, mais intrinsèquement conscients des besoins métier qu'ils servent.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Qu’est-ce que le démarrage réseau (PXE) et comment l’utiliser?

Image
I. Présentation Dans cet article, nous allons parler du boot PXE ainsi que du boot iPXE , deux notions essentielles à connaître en tant qu’administrateur système et réseau. Elles sont directement liées à un processus incontournable pour les entreprises : le déploiement de postes de travail . Traditionnellement, lorsqu'on souhaite installer un système d’exploitation sur un poste de travail, on utilise une clé USB sur laquelle on a préalablement copié l’image ISO du système. Une fois cela fait, on connecte physiquement la clé à l’ordinateur, qui charge son contenu afin de lancer l’installation. De manière similaire, bien que plus rare aujourd’hui, on peut également utiliser un CD ou un DVD d’installation, mais là encore, il faut disposer d’un support physique. Grâce au boot PXE ou iPXE , il est possible de s’affranchir de l’utilisation de ces supports physiques, car le démarrage se fait à travers le réseau . Si vous débutez en informatique et que vous souhaitez comprendre le fon...
Lire la suite

RRU dans l'architecture GSM : Tout en détail

Image
Le RRU : Un composant clé de l’architecture GSM Aujourd’hui, nous abordons l’un des éléments essentiels de l’architecture GSM : le Remote Radio Unit (RRU) . Ce module joue un rôle fondamental dans la transmission radio entre les terminaux mobiles et le réseau, assurant la qualité et la fiabilité des communications mobiles. 1. Fonctionnement du RRU Le RRU agit comme une interface radio déportée du BTS (Base Transceiver Station) , située à proximité des antennes, et traite les signaux radio avec une grande précision. Son fonctionnement peut être résumé en plusieurs étapes techniques : 1.1. Réception du signal radio émis par le terminal mobile Le terminal mobile émet un signal radio modulé en fréquence ou amplitude selon la norme GSM. Ce signal est capté directement par l’antenne connectée au RRU. Le RRU amplifie le signal faible reçu via un Low Noise Amplifier (LNA) pour améliorer le rapport signal/bruit. Ensuite, le signal analogique est converti en signal numérique à l...
Lire la suite

MikroTik en production : les 10 commandes indispensables et un script d’automatisation que tout admin doit maîtriser

Image
  Dans un environnement de production critique, le temps est une ressource rare. Cliquer dans WinBox est intuitif, mais le CLI (Command Line Interface) est la clé de la rapidité, de la précision et de l'automatisation. Que vous soyez en plein dépannage d'urgence ou en audit de sécurité, ces commandes vous donneront une visibilité immédiate et une crédibilité technique indéniable. Voici la sélection stratégique des 10 commandes vitales pour tout administrateur réseau, suivie d'un guide pratique pour automatiser vos sauvegardes. 🛠 Partie 1 : L'Arsenal du SysAdmin (Top 10) 1️⃣ Le Check Vital Bash /system resource print 👉 Pourquoi ? C'est la première chose à faire quand "le réseau est lent". Analyse : Uptime, version RouterOS, Charge CPU & RAM. 💡 Pro Tip : Si le CPU est à 100%, regardez la ligne cpu-load ou passez à /tool profile pour voir quel processus sature le routeur. 2️⃣ Le Moniteur Temps Réel Bash /interface monitor-traffic <interface...
Lire la suite