SD-WAN, VPN IPsec ou DMVPN : quelle connexion choisir ?
Chacune de ces trois technologies sert à relier de manière sécurisée un site vers un service extérieur. Mais on aurait tort de croire que le tout récent SD-WAN est meilleur dans tous les cas.
Le SD-WAN est certainement la technologie à la mode lorsqu’il s’agit de trouver comment interconnecter les différents sites d’une entreprise. Cependant, certains scénarios d’usage ne tirent pas profit de tous ses avantages et, dans ce cas, des alternatives comme les tunnels VPN IPsec ou les DMVPNs (Dynamic Multipoint VPN) sont préférables. Cet article donne les clés pour comparer les trois options.
Le SD-WAN pour équilibrer la charge entre les passerelles
Le SD-WAN se présente comme la solution moderne et économique pour connecter des succursales où l’on utilise des applications critiques, qui nécessitent une faible latence et une connexion excessivement fiable. Pour fonctionner, un SD-WAN a besoin d’au moins deux connexions physiques entre les sites. Il s’agit typiquement de lignes privées MPLS ou de liens Internet publics (fibre, ADSL, 4G...). Techniquement, la solution de SD-WAN va faire en sorte de maximiser l’usage des liens les moins chers en garantissant une latence et un débit optimaux.
Un tunnel VPN IPsec pour sécuriser l’échange entre deux sites
Les tunnels VPN IPsec sont la solution historique. Il s’agit d’une technologie qui permet de définir des tunnels de communication privés sur des liens Internet publics. Un tunnel VPN IPsec n’étant que logiciel - il ne nécessite qu’une configuration sur le premier firewall ou la première passerelle venue - il s’agit surtout de la solution la moins chère pour sécuriser les échanges entre deux sites de l’entreprise.
Le défaut d’un tunnel VPN IPsec est qu’il ne fonctionne qu’entre deux sites, typiquement entre une succursale et le siège de l’entreprise. Au niveau du siège, chaque connexion à un nouveau site doit se traduire par la création d’un nouveau tunnel. La communication entre deux succursales devient excessivement compliquée car tout passe par la même passerelle, qui pourrait vite devenir saturée.
Le DMVPN pour relier différents tunnels, via différentes passerelles
Pour résoudre ce problème, la technologie du DMVPN revient à un multi-tunnel VPN, défini par les administrateurs réseau en amont des passerelles du siège, sur son routeur interne. Le propos du DMVPN est d’aiguiller le trafic entre deux succursales via différentes passerelles du siège.
L’avantage du DMVPN est qu’il permet, comme le SD-WAN, de changer dynamiquement de passerelle Internet ou MPLS si celle qu’il utilisait jusqu’alors défaille. Et cela fonctionne même depuis une succursale, pour peu que l’on ait configuré un DMVPN sur son routeur interne. Le problème, en revanche, que pose un DMVPN est que si ses protocoles de routage dynamique ne sont pas correctement configurés, des failles de sécurité sérieuses peuvent apparaître. A la base, le DMVPN a été inventé pour faire le lien entre différentes passerelles MPLS, par nature privées et, donc, sécurisées. DMPVN fonctionne tout aussi bien avec des passerelles vers l’Internet public, mais celles-ci ne sont pas autant sécurisées.
Chaque technologie est la meilleure pour un usage donné
Seul le SD-WAN permet un rééquilibrage de charge dynamique entre deux passerelles. Il s’agit donc de la solution à privilégier lorsque des applications sur un site ont obligatoirement besoin d’une latence minimale : il s’agit typiquement des applications de communication, comme la voix ou la vidéo sur IP, qui ne peuvent souffrir de hachures dans les conversations. En revanche, le SD-WAN nécessite un matériel dédié, voire des licences d’un logiciel dédié à installer sur un serveur dédié. En clair, des frais supplémentaires s’appliquent par rapport à un DMVPN où il s’agit juste de configurer des routeurs.
Si la latence minimale n’est pas nécessaire et que le besoin est juste de maintenir la connexion en basculant automatiquement sur une autre passerelle en cas de problème, alors le DMVPN est bien plus économique.
Reste le cas du tunnel VPN IPsec, que l’on aurait tort d’abandonner trop vite. En effet, cette solution reste la plus simple et la moins chère pour connecter un site vers une destination temporaire ou d’appoint. Et cela concerne typiquement des ressources en cloud, comme des machines virtuelles en IaaS ou des environnements applicatifs en PaaS. L’énorme avantage d’un tunnel VPN IPsec est qu’il est universel : on peut en installer un pour tous les usages, vers toutes les destinations, avec un effort minimum et pour un coût nul. C’est impossible avec un SD-WAN ou en DMVPN.