Re: [FRnOG] [TECH] Buzz autour du SD-WAN

[Philippe Bourcier]

Hello,
Je suis totalement d'accord avec le mail d'Olivier, il n'y a vraiment 
rien à jeter :
Faire une solution réseau basée sur un mélange de technos à la mode et 
de trucs moisis, sans regarder ce qui fonctionne déjà dans le domaine en 
question et en s'affranchissant des règles élémentaire de sécurité et 
d'archi logicielle (le coup de la db qui sert à la conf et à la data, 
c'est juste ENORME... je croyais que seuls les stagiaires mal aiguillés 
pouvaient encore faire ça). XMPP, XML... j'ai bien ri et ça laisse 
rêveur (ça me fait penser à pas mal de startups que je rencontre qui ont 
oubliées que les RDBMS existent et scalent aussi très bien).
T'as intérêt à avoir quelques ingés un peu pointu en système et en Java 
le jour où le cluster Cassandra part dans les choux et que tu ne peux pu 
admin ton réseau. Après, l'avantage quand on part de tout en bas, c'est 
qu'on ne peut que remonter :)

Et en grande partie avec Jérôme, mais je rajouterais bien mes 0.2c plus 
sur l'aspect "opportunité marché" :

Aujourd'hui le Mb/s reste plus cher à produire en WAN MPLS qu'en 
Internet... ne serait-ce que parce qu’il y en a moins (volume), que le 
transit ne coûte plus rien, qu'il y a plus de conf et que les GTR ne 
sont généralement pas les mêmes.
Ensuite, on sait bien que le VPN sur Internet, ça fonctionne bien... 
jusqu'au jour où tu remplies le lien ADSL/SDSL... donc sur sites isolés 
le lien dédié à encore de beaux jours devant lui car, comme le dit la 
légende : la meilleure QoS, c'est celle que tu n'as pas à appliquer.

Cela étant dit, deux choses viendront briser (chatouiller plutôt pour 
l'instant) cet état de fait :
1) le déploiement généralisé et global de la fibre optique (et l'offre 
bitstream qui va avec, pour se faire plus de marge...)
2) les technos d'aggreg de liens qui fonctionnent enfin vraiment : OVH 
OTB

Je vois donc un use-case qui peut vraiment booster le SD-WAN non pas 
chez les gros fournisseurs de WAN MPLS existants, mais plutôt pour des 
nouveaux entrants petits et moyens SP :
Combien d'opérateurs FR ont une offre MPLS sur toute l'Europe et toute 
la planète ?
Assez peu, finalement...

Avec le SD-WAN, un hébergeur, qui n'a que peu ou même pas du tout 
d'infra de collecte, genre OVH, Amazon, MS Azure, ou même n'importe quel 
SP FR un peu sérieux, peut lancer une offre WAN international pour 
entreprise, sans avoir à se taper la partie collecte et pour 
l'international les kilomètres de config de VPNs et avec un prix très 
attractif.
Le résultat c'est que pour s'aligner, notamment sur les prix, tout le 
monde va se mettre au SD-WAN et au final tout finira en VPN sur 
Internet. La loi du clodo computing dit que c'est toujours le truc 
facialement le moins cher et le plus simple pour le client qui s'impose.

Donc en dehors du bullshit marketing et des solutions moisis (il y en 
aura toujours), je vois cela comme :
 - une belle opportunité pour une startup de sortir un produit 
open-source qui ne ferait QUE CELA, MAIS BIEN
    ==> donc modèle freemium avec support pour gagner des $$$
 - une belle opportunité pour tous les hébergeurs et petit/moyens 
acteurs d'enfin pouvoir facilement et rapidement proposer une nouvelle 
couche de service à leurs clients : une offre WAN internationale, 
multi-technos (ie: 4G au Kenya, fibre à Seoul et N x SDSL dans la 
Creuse)
 - une opportunité de fournir rapidement et simplement du cloud privé 
en mode "coop", par exemple pour monter un serveur de fichier partagé 
entre N entreprises, pour un projet donné et un temps donné par ex... 
tout en gardant un niveau de sécurité bien plus élevé qu'en cloud pub ou 
SaaS... et puis les users préfèrent un partage à du web... surtout si 
c'est pour bosser sur des gros fichiers (genre projets archi/CAD).
 - une opportunité pour les opérateurs WAN régionaux, nationaux, 
d'étendre leur offre au-delà de leurs frontières actuelles
 - une chance pour les netops de se taper moins de conf

A terme on pourrait même imaginer une solution totalement "infraless", 
côté client, où chaque end-user dans l'entreprise run un client VPN en 
autorun sur sa machine. Client dont la config est automatiquement 
déployée en fonction d'une SSO Web-based. Le end-user se log sur son PC, 
le client VPN va chercher sa config chez l'opérateur et se retrouve 
connecté uniquement avec le ou les sites et services avec lesquels il 
doit être connecté, avec le firewalling éventuel fait directement sur le 
client (tant qu'à faire). Le client final n'a plus qu'à définir une 
policy par groupe de users (et non plus par sites) dans une jolie 
interface et la magie opère... c'est beaucoup plus proche du vrai besoin 
client (les RH avec les RH, etc), il me semble.

Bref, c'est que du bon en fait.


Cordialement,
Philippe Bourcier


On 2017-08-17 23:09, Jérôme Nicolle wrote:
Bonsoir Jérémy,

Un grand merci pour ce thread. C'est l'occasion de remettre 2-3 trucs
d'équerre.

Le 14/08/2017 à 09:48, Jérémy RIZZOLI a écrit :
SD-WAN et toutes les technos afférentes.

#define SD-WAN, pour commencer, maybe ?

Le principe de base dans les bullshito-slidewares qui tournent, c'est
qu'utiliser des liens Internet pour monter des tunnels est moins cher
que d'utiliser des liens "privés" type MPLS-L3VPN.

En clair : parce que les GrozOpérateurs ont réussi à faire croire 
qu'un
Mbps ne vaut pas le même prix qu'un autre Mbps, on a besoin d'une
surcouche logicielle pour réduire les coûts.

Ces mêmes GroZopérateurs essayent encore de nous faire croire que le
Mbps a la moindre valeur d'ailleurs, et donc que le prix est
proportionnel au débit, ce qui ne correspond plus à aucune réalité
technologique sur les boucles locales en fibre optique.

Ces mêmes GroZopérateurs doivent donc suivre la hype pour garder un 
peu
plus de valeur ajoutée, et vont parfois aller jusqu'à des mensonges
éhontés pour dire que c'est encore mieux parce qu''il y a "le réseau
privé qui marche toujours" plus "l'internet qu'on maîtrise, parce 
qu'on
est gros".

Ces mêmes GroZopérateur ayant beaucoup de clients, ils ont été les
premiers à industrialiser (automatiser) tout ou partie de leur réseau
(on le leur souhaite en tout cas, mais ce n'est pas réellement le cas 
-
où ça a mal vieilli), car la clef du business d'un Network Service
Provider est bien là :

*** l'excellence opérationnelle repose sur un SI en béton qui intègre 
à
la perfection des process pragmatiques. ***

TL;DR : t'as pas de SI, t'es déjà mort. Et non, Excel n'est pas un 
IPAM.

avec un risque non négligeable de voir apparaitre de
plus en plus un conglomérat à la "Oracle bis" avec Amazon et les 
GAFA de
façon générale.

Le trafic L3VPN interne des grosses boites est déjà tenu à 80% par la
somme des "incumbents", pour deux raisons :

- leur taille qui leur permet d'avoir la surface financière pour
encaisser les risques des contrats (Un WAN national d'un gros 
retailler
c'est en dizaines de M€/an, la PME de 10-100M€ de CA ne peut pas se
placer sur des marchés classiques)

- L'héritage de boucle locales plus capillaires que les concurrents, 
qui
permettent sur des marchés mal régulés comme en France (il y a pire
ailleurs, mais de nos jours l'ARCEP est un vrai boulet pour 
l'économie
et l'aménagement du territoire) d'avoir de meilleures marges sur les
couvertures à fournir.

DM-VPN et SD-WAN pourraient en réalité affaiblir sensiblement les 
vieux
GrozOpérateurs, eussent-ils un intérêt réel.

N'empile t-on pas les couches de façon grotesque au final, au risque
d'en perdre totalement la maitrise ? (l'abstraction totale du lien
physique me choque) Est-ce que ces technos, finalement, ne 
contribuent
pas au renforcement de la concentration du traffic chez les GAFA et 
donc
au détriment de la neutralité du net ?

On  ne parle pas de neutralité du net ici : ils s'agit de réseaux
privés. SD-WAN n'a rien à foutre d'Internet, il ne peut
qu'éventuellement s'en servir comme support, peu importe qui opère 
les
concentrateurs éventuels.

Empiler les couches de façon grotesque, on fait ça depuis 20 ans avec
MPLS et ses héritiers.

Non pas que ça n'aie eu aucun sens à l'époque où les routeurs étaient
tous CPU based et qu'on avait besoin d'ASIC simples gravables en 
350nm
pour commuter sur les labels plutôt que de faire du LPM.

Maintenant, en dehors des cas de "virtualisation" de réseau (pour
fournir des VPNs donc), ces over/under/whateverlay n'ont qu'un sens
qu'en terme d'efficacité énergétique et économique, fussent-ils
correctement implémentés et orchestrés.

Le reste, c'est juste parce qu'on est qu'une bande de vieux cons qui
tapent encore des commandes à la main sur des routeurs.

***

Pour en revenir à des fondamentaux, j'aurais quelques points à lister 
:

- Du trafic IP n'a pas un coût de production différent du fait qu'il
soit public ou privé. C'est le taux de mutualisation des ressources
sous-jacentes qui peut éventuellement avoir un impact, mais pas de
l'ordre de grandeur de ce que le marché essaye encore de faire 
passer.

- Un réseau efficace (i.e. survivable) passé une certaine échelle ne
peut être que complètement automatisé. La règle en vigueur sur mes
nouveaux designs est que si un ingénieur est tenté de shunter le SI 
pour
taper en CLI directement sur un routeur pour de la production (pas du
débug, et encore), c'est que le design est mauvais ou l'ingé mal 
formé.

(corollaire : ça exclue de-facto quasiment tous les vendors 
habituels,
donc c'est moins cher)

- RFC1925 doit être le document fondateur de toute spécification d'un
réseau. Donc une nouvelle couche d'abstraction auto-magique avec un 
joli
clicodrome ne peut être qu'une mauvaise chose.

Avec tout ça en tête, j'arrive à la conclusion que SD-WAN (dans les
formes que j'ai vues présentées) c'est de la merde en barre 
fraîchement
déféquée par des parasites marketeux, et qu'on a plus intérêt à 
remettre
en question nos 10-20-(peu importe) années d'expérience pour 
retrouver
des designs plus sains et des relations commerciales moins 
déséquilibrées.

En espérant que ça aide un peu à recentrer le débat... Un très bon
trolldi à vous tous !

@+

--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/