Volkswagen GRF sauve ses concessionnaires des ralentissements grâce au SD-WAN
Face aux applications SaaS qui étouffent son réseau MPLS, Volkswagen Group Retail France équipe ses 77 sites de boîtiers qui virtualisent des connexions standard, facilement et de manière sécurisée.
Deux phénomènes simultanés ont poussé les 77 concessionnaires du groupe Volkswagen Retail France à virtualiser le réseau qui les interconnecte : la croissance des applications SaaS, d’une part, et celle des risques de cybersécurité, de l’autre.
« Jusqu’en 2015, tous les concessionnaires du groupe étaient reliés via des lignes privées MPLS à un datacenter central, lequel servait de relai pour que tout le monde accède à Internet », raconte Alexandre Sacher, le DSI de Volkswagen Group Retail France.
« Puis, nos applications métiers, mais aussi celles de nos partenaires, ont commencé à basculer en SaaS, si bien que l’accès central n’avait plus assez de bande passante pour que tout le monde puisse travailler sans ralentissement. Pour contourner cette limite, certains sites ont pris des initiatives locales, comme se doter de leur propre accès. Sauf que ce déploiement anarchique rendait nos bonnes pratiques de sécurité intenables. »
Le problème qui se pose alors est celui de rationaliser le WAN, ou dit autrement, la connexion de chaque site vers l’extérieur. A l’époque, on ne parle pas encore de SD-WAN et la solution qui se présente consiste à faire du WAN hybride, c’est-à-dire cumuler différents accès sur chaque site et répartir manuellement le trafic entre chacun d’eux depuis une console administrée par la DSI.
L’enjeu de trouver des boîtiers simples pour piloter les accès sur chaque site
« Nous cherchions donc un système qui nous permette de définir en central des règles de routage et de sécurité qui s’appliquent automatiquement sur des boîtiers réseau installés en concessions, en amont de leurs connexions physiques vers l’extérieur. »
Alexandre Sacher évalue plusieurs solutions avec l’idée d’équiper ses 77 sites d’équipements d’appoints. Ceux-ci devaient être suffisamment simples pour que ses correspondants locaux, qui ne sont pas tous des informaticiens chevronnés, puissent déterminer le cas échéant pourquoi une application est lente et comment lui attribuer plus de bande passante.
En 2016, il retient finalement les boîtiers de FortiGate de Fortinet, des modèles 60D, 90D ou 100D selon le nombre de connecteurs Ethernet Gigabits à l’arrière et la vitesse de traitement du firewall interne pour relier plus ou moins de machines du réseau local à plus ou moins de connexions WAN.
« Nous avons choisi ces boîtiers car ils nous permettaient de très grandes facilités en matière de règles centralisées pour le routage et le firewall sans pour autant investir dans des solutions trop lourdes. La solution s’administre en central depuis un serveur FortiManager qui télécharge automatiquement nos configurations sur les boîtiers des concessionnaires. Elle nous sert aussi à mettre à jour les firmwares à distance, à configurer des VPN IPsec pour faire passer les flux de nos applications métiers sur des connexions Internet publiques de manière aussi sécurisée que s’ils transitaient sur nos lignes MPLS, ou encore à prédéfinir des templates pour les nouvelles installations comme l’ajout d’une borne Wifi. Et tout cela sans que nous ayons besoin d’intervenir localement », indique Alexandre Sacher.
Il précise avoir également souscrit à des licences pour FortiGuard, le service de Fortinet qui tient à jour une catégorisation des sites dangereux, ainsi que pour FortyAnalyzer, qui génère des rapports en corrélant les logs. « Ce dernier nous permet d’analyser la bande passante, de voir les applications qui en consomment le plus et, ce, afin d’optimiser nos réglages », dit-il.
Quelques 77 topologies WAN différentes : les configurations déraillent
Initialement, FortyAnalyzer permet à Volkswagen Group Retail France de savoir comment répartir des pourcentages de bande passante entre les applications sur la connexion MPLS originale et une ligne ADSL supplémentaire. Mais le nombre d’applications Web augmentant rapidement, le groupe se voit rapidement contraint d’attribuer de plus en plus de bande passante extérieure à ses concessions : les lignes ADSL sont doublées avec des connexions Internet en fibre, voire avec des passerelles vers la 4G publique.
« Les topologies d’accès devenaient de plus en plus hétérogènes d’un concessionnaire à l’autre. Et il commençait à être très compliqué de savoir exactement quel pourcentage de quelle application router sur quelle ligne WAN. »
En 2017, le dispositif déraille : de plus en plus, les applications redeviennent lentes et ajouter de nouvelles lignes ne règle les problèmes que de manière éphémère. Alexandre Sacher comprend alors qu'il faudrait trouver une solution qui répartisse dynamiquement les flux, selon les usages à un instant T.
« J’aurais très bien pu me mettre en quête d’une solution alternative à Fortinet, mais j’ai plutôt parié sur leur capacité à résoudre rapidement notre problème. Tout simplement parce que lorsqu’une application est lente chez un concessionnaire, c’est l’un de mes correspondants locaux qui se charge de comprendre pourquoi et qui opère un nouveau réglage pour dépanner ses collaborateurs. Or, à ce stade, il me paraissait dangereux de leur mettre dans les mains un nouveau produit qu’ils ne connaissaient pas », assure Alexandre Sacher, en expliquant que la console FortyView locale est si simple à utiliser qu’il n’avait fallu qu’une heure à ses collaborateurs pour être formés dessus.
Le SD-WAN résout les ralentissements des applications... et des hommes
Le vœu d’Alexandre Sacher sera exaucé à l’arrivée de la version 6.0 du système de Fortinet en 2018, qui implémente enfin un SD-WAN, avec routage dynamique.
« Depuis cette version 6, nous ne gérons plus plusieurs mais une seule box d’accès WAN, virtuelle. Nous nous occupons juste de définir la qualité de service attendue par application et le système de Fortinet s’occupe tout seul de les maintenir en jonglant avec les accès. »
A date, il a paramétré une cinquantaine d’applications métier, de la téléphonie sur IP jugée la plus importante, à Facebook, la moins prioritaire, mais nécessaire puisque les concessionnaires s’en servent pour communiquer avec leurs communautés. Entre les deux, le gros chantier de 2019 sera l’intégration d’Office 365. « Nous pouvons faire des réglages très poussés, qui prendront en compte chacun des services de Microsoft. »
Au fur et à mesure que de nouvelles applications apparaissent, FortyAnalyzer permet à Alexandre Sacher de qualifier leur ping, leur latence idéale. Ensuite, il lui suffit d’implémenter ces paramètres dans un schéma global, qu’il teste pendant une quinzaine de jours sur un site pilote. Au terme de ces essais, la configuration qui prend en compte la nouvelle application est poussée chez tous les concessionnaires par FortyManager.
« Le premier bénéfice de ce SD-WAN est le temps gagné par les équipes techniques. Elles ne sont plus mobilisées à tout bout de champ pour refaire des réglages. Même au niveau central, nous n’avons plus qu’une seule configuration à faire pour tout le monde. Alors qu’avant nous devions administrer le WAN concession par concession du fait des différentes topologies », se félicite Alexandre Sacher. Selon lui, l’intérêt de gagner du temps et de permettre aux équipes de se concentrer sur des problématiques plus critiques. Il évoque en l’occurrence la croissance des cyberattaques, que les informaticiens peuvent désormais plus sereinement contrer.
Le second avantage concerne la vitesse des applications. Le SD-WAN a permis d’éliminer tous les goulets d’étranglement liés au réseau. Alexandre Sacher note toutefois qu’il subsiste des ralentissements : « ils sont du fait des prestataires de nos applications ! Et nous pouvons enfin le leur prouver grâce aux rapports très détaillés de FortyAnalyzer. Si bien que le SD-WAN nous permet aussi de résoudre des problèmes qui sortent de son champ technique », conclut-il.