Une solution SD-WAN sécurisée pour les communications par satellite et les réseaux dans des conditions défavorables et DDIL

0
105

Le réseau satellitaire est un atout majeur à de nombreux égards. Il s’agit, par exemple, d’un élément essentiel à la construction d’un réseau mondial, fiable, qui fonctionne dans des conditions défavorables et dans des conditions DDIL (Denied, Disrupted, Intermittent, and Limited). Cela s’applique particulièrement aux cas d’usage dans le domaine de la défense, où les opérations ont lieu dans des conditions difficiles, notamment en l’absence de réseaux câblés, de visibilité directe ou de brouillage.

Afin de maximiser l’efficacité des réseaux de déploiement multi-orbites des satellites, les utilisateurs finaux ont la possibilité d’intégrer divers types de connexions pour exploiter les avantages des orbites satellitaires disponibles : liens MEO, GEO ou LEO. Pour atteindre cet objectif, ils ont besoin de solutions qui les aident à mettre en place leurs réseaux multi-orbites de manière entièrement automatisée. Une solution SD-WAN sécurisée garantit une approche fiable et une expérience utilisateur de premier ordre. Cette solution crée un réseau virtuel (overlay) au-dessus de l’infrastructure physique et utilise un plan de contrôle défini par logiciel. Cette abstraction permet une plus grande flexibilité et un meilleur contrôle du trafic.

Les salariés en télétravail et les applications distribuées déployées dans des environnements hybrides multi-cloud sont des facteurs déterminants pour l’adoption d’architectures Secure Access Service Edge (SASE). Le SD-WAN est un élément fondamental du SASE. Cependant, les réseaux satellitaires présentent des caractéristiques uniques qui nécessitent des solutions spécifiques et adaptées. Les administrateurs de réseau doivent rechercher certaines capacités essentielles lors de la mise en œuvre d’un réseau SD-WAN qui utilise des liaisons par satellite.

La première capacité essentielle à prendre en compte est la qualité de service (QoS). Les administrateurs réseau mettent en place des systèmes de classification qui permettent d’identifier le trafic essentiel et de le placer dans une file d’attente prioritaire. Lorsque des problèmes de congestion se manifestent, le trafic essentiel est priorisé. Mais dans les réseaux par satellite, les conditions changent constamment, de sorte que le taux de saturation peut varier sans préavis. C’est la raison pour laquelle une solution SD-WAN spécifiquement conçue pour les réseaux satellitaires doit être étroitement liée à la qualité de service.

Les réseaux qui utilisent une bande passante satellitaire limitée gagnent à fonctionner en boucle fermée entre un système SD-WAN et les modems RF. Ainsi, le modem de la passerelle pourrait signaler au SD-WAN une dégradation de la bande passante disponible. Le SD-WAN doit alors s’adapter à la situation et ajuster les interfaces. Une solution SD-WAN spécifiquement conçue pour les connexions satellite doit fournir une capacité programmable flexible, permettant ainsi une adaptation dynamique aux conditions changeantes du réseau. Il devrait permettre l’automatisation grâce à une intégration API ouverte. Dans un déploiement multi-orbite, les utilisateurs ont besoin d’un traitement QoS différent pour chaque lien. Cette boucle fermée est un moyen efficace d’y parvenir.

L’ingénierie du trafic est une capacité indispensable pour les liaisons multi-orbites. Elle permet aux utilisateurs de relier plusieurs connexions satellitaires pour augmenter la bande passante et la redondance. Dans un scénario multi-orbite, une solution SD-WAN optimale doit être capable de basculer d’une liaison à l’autre de manière transparente. Dans la mesure où les conditions des liaisons par satellite changent en permanence, basculer plus rapidement vers une liaison alternative garantit une meilleure expérience pour l’utilisateur. La solution idéale devrait également prendre en charge les trajets asymétriques dans lesquels le trafic en liaison montante et en liaison descendante est envoyé via des liaisons satellites différentes. Cette fonction est utile lorsqu’un lien donné se limite à une seule direction. Grâce à cette capacité, les liaisons disponibles peuvent être intégralement utilisées même si elles sont altérées dans une direction. 

Pour compléter les fonctions d’ingénierie du trafic, les utilisateurs devraient également explorer les solutions SD-WAN qui offrent des capacités de surveillance avancées, y compris des informations en temps réel et historiques utilisées pour les décisions d’acheminement du trafic. En général, les liaisons par satellite font partie d’un segment d’un réseau multi-segments. Pouvoir contrôler et évaluer les performances de l’ensemble du segment de réseau grâce à des techniques avancées de mesure de l’accord de niveau de service (SLA) est une fonctionnalité précieuse qui améliore considérablement la rentabilité de l’utilisation des liaisons.

Malgré la présence de redondances multi-orbites, il est inévitable de se retrouver dans des situations où la seule option disponible pour transférer le trafic est une liaison sous-optimale. Les capacités d’optimisation TCP telles que BBR, Hybla, SACK et Recent Acknowledgement permettent d’atténuer ce problème, en particulier pour les liaisons à forte latence ou perte. Cependant, ces fonctions ne sont pas utiles pour les applications basées sur UDP. Dans ce cas, les administrateurs doivent s’appuyer sur des techniques de remédiation des paquets telles que la réplication et le FEC. Dans la mesure où ces fonctionnalités augmentent le nombre d’octets envoyés sur les liaisons, la solution SD-WAN doit prendre en charge l’activation dynamique de ces fonctionnalités en fonction des conditions du réseau, et en ne les activant qu’en cas de besoin.

Il faut donc penser à réduire la surcharge du réseau causée par le SD-WAN à cause de l’ajout d’octets supplémentaires dans les en-têtes. Ces octets supplémentaires contiennent généralement des informations sur le tunnel de recouvrement. Étant donné le coût élevé de la connectivité par satellite, chaque octet non utilisé a un impact négatif sur le budget du projet. Cette dépense peut être réduite si l’on applique une superposition sans tunnel, une option très importante lors de la sélection de la solution SD-WAN pour les liaisons par satellite. L’absence de tunnel dans une solution SD-WAN rend le réseau plus évolutif et plus efficace en termes de bande passante, élimine la fragmentation des paquets et offre une meilleure sécurité. Parmi les cas d’usage qui favorisent la superposition sans tunnel, citons les réseaux satellitaires, maritimes et fédéraux qui s’appuient sur des architectures basées sur le HAIPE (High Assurance Internet Protocol Encryption) de la NSA ou sur des solutions commerciales pour la classification (Commercial Solutions for Classified – CSFC).

Le SD-WAN peut révolutionner les communications par satellite, tout particulièrement en ce qui concerne la mobilité et les cas d’usage DDIL. Afin d’être adapté à une solution SD-WAN, le système doit offrir un routage entièrement intégré, une pile de sécurité complète et la prise en charge des fonctionnalités critiques mentionnées précédemment. Il doit offrir une visibilité totale sur les événements liés au réseau et à la sécurité, avec la capacité d’exécuter automatiquement des politiques optimales basées sur l’application et les conditions actuelles du réseau.

Tribune par Florent Embarek, Vice President South SEMEA de Versa Networks.