Avec le SD-WAN, FM Logistic réduit ses coûts réseaux et améliore sa disponibilité
Logisticien présent dans 15 pays dans le monde, la disponibilité WAN est essentielle pour l'activité de FM Logistic. Son réseau a peu a peu évolué vers le SD-WAN sur les équipements Riverbed.
Présent au Vietnam depuis cet été et dans 14 autres pays dans le monde, FM Logistic est un acteur de la supply-chain qui gère les transports et les entrepôts pour les géants mondiaux de la grande distribution, de l'industrie, de la santé et du luxe. Le groupe compte 23 300 personnes et gère près de 3,5 millions de m2 de stockage pour un chiffre d'affaires de l'ordre du milliard d'euros. L'entreprise présente une originalité. Pour son informatique, elle privilégie le "Do It Yourself" : « Notre spécificité est d'avoir des compétences fortes en informatique en interne car c'est un vrai différenciant dans nos métiers. Notre DSI compte 330 personnes et nous développons notre propre logiciel de gestion d'entrepôt, notre propre logiciel de gestion de supply-chain et nous avons une équipe infrastructure avec des experts. Cela nous permet de ne pas avoir recours à l'outsourcing », explique Michel Boulay, expert technique et architecte réseau chez FM Logistic.
La réactivité est en effet la règle dans le secteur et si un grand donneur d'ordre comme Johnson&Johnson, Leclerc ou Sanofi apporte une modification à son serveur SAP, l'équipe de Michel Boulay doit être capable de modifier les règles de sécurité des firewalls, les règles de routage pour que le service soit à nouveau disponible sur l'ensemble des plateformes. « Nous ne pouvons nous permettre de nous appuyer sur un contrat auprès d'un opérateur qui impliquerait plusieurs semaines d'attente pour apporter une modification à nos configurations », résume le responsable.
Riverbed déployé pour l'optimisation réseau dans un premier temps
Michel Boulay s'est intéressé aux appliances Riverbed afin de diminuer les coûts liés au réseau. La compression de données et surtout la déduplication a permis à FM Logistic de réduire les volumes échangés sur le WAN de l'entreprise. Ce réseau est déployé sur 3 continents avec des liens MPLS du réseau international Verizon, secourus par des liens Internet loués auprès de multiples opérateurs. Outre le lien MPLS pour les flux de production, chaque site dispose d'une liaison Internet avec 3 VPN. Le premier pointe vers le datacenter principal de l'entreprise, le second vers un deuxième datacenter à Phalsbourg et le troisième vers le siège de chaque pays.
De l'aveu de l'expert, la mise en œuvre de Riverbed a permis de réduire les flux de certaines applications de 99,99%. Cela a permis à la DSI de centraliser beaucoup d'applications tout en réduisant la latence. « Sur du CIFS et du SMB, l'optimisation protocolaire et de la latence est extrêmement sensible ainsi que sur les flux Web et de base de données. » Une centaine d'appliances Riverbed SteelHead ont été déployées dans le but de réaliser une optimisation WAN sur les différents sites géographiques de l'entreprise. Une centaine de clients SteelHead Mobile ont été déployés en parallèle ainsi que des sondes SteelCentral NetProfiler pour avoir la visibilité et enfin un contrôleur SteelCentral.
L'IT de FM Logistic est très décentralisé, avec des serveurs en production sur la plupart des sites de production. Le principe qui a dicté l'élaboration du WAN est que tous les sites doivent pouvoir accéder à tous les sites, quelle que soit leur localisation. L'interconnexion des sites purement MPLS et VPN était réalisée au travers du datacenter principal qui jouait le rôle de gateway avec un système de routing dynamique. La chute d’un lien MPLS entrainait alors la bascule du trafic sur le lien Internet sans aucune garantie de service, ni monitoring. « C'est une approche qui fonctionnait il y a 10 ans, mais qui signifiait que nous payions des liens Internet exploités quelques minutes par an. Il y a 8 ans de cela, nous sommes passés au load balancing statique. C'est un peu la préhistoire du SD-WAN. Tout le trafic passe par le MPLS hormis les flux internet et de messagerie, des flux sans criticité en termes de latence et paquets perdus. » Cette approche avait toutefois quelques inconvénients puisque le routage MPLS statique impliquait une intervention manuelle à chaque rupture de lien ; ce qui générait une forte charge d'exploitation pour les équipes IT.
Des flux applicatifs répartis entre MPLS et les VPN
En 2014, Michel Boulay se rend à San Francisco pour travailler avec Riverbed afin de travailler sur la la capacité à ségréguer les données critiques des autres flux. « L’important, c'est que l'on ne route plus des paquets, mais des applications. Si demain mon équipe système ajoute un serveur Citrix, je n'ai rien à faire, cela reste un flux Citrix. Si j'installe un nouveau serveur de gestion d'entrepôt, celui-ci aura la même qualité de service, la même priorité, les mêmes règles que les autres services du même type. » Plus de 1600 applications sont pré-provisionnées par groupe et il est possible de configurer une application quelconque manuellement. « Cette approche nous a permis de réduire nos coûts car 90% de notre trafic a pu être délesté vers nos liens VPN, beaucoup moins onéreux que les liens MPLS. Nous pouvons faire du load balancing intelligent par applicatif et nous avons gagné en flexibilité par la standardisation de nos règles. Une règle mise en place pour la Russie pourra être réutilisée par l'Espagne ou l'Italie par la suite si le besoin apparaît. »
Les VPN assurent désormais un backup transparent des liens MPLS sans reset des sessions. Inversement, les VPN sont secourus par liens MPLS de façon automatique sans déconnexion des utilisateurs. Autre avantage, il est aussi possible de choisir les flux que l'on veut secourir et ne pas basculer les flux de vidéoconférence et le contenu sur le lien MPLS pour ne pas écrouler les liens. Désormais, les liens MPLS et VPN sont utilisés en mode actif/actif.
Le Full-Mesh VPN, un moyen de gommer les problèmes de peering internationaux
Outre cette évolution, Michel Boulay a fait évoluer l’architecture réseau pour aller vers un VPN full mesh. « Sur nos anciens équipements, nous avions 3 VPN, ce qui signifiait que 2 sites russes qui devaient échanger des données ensemble devaient transiter par la France. Cela pose des problèmes de latence difficilement supportables pour la voix. » En outre, même s’il bénéficie d’un plan de continuité d’activité, le datacenter constitue le point unique de défaillance (spof) de l’architecture, ce qui a poussé l’architecte à opter pour une topologie Full-Mesh entre tous ses sites. « On n'établit non pas un VPN entre chaque site, mais tous les VPN possibles entre tous les opérateurs disponibles sur chaque site. Cela représente un nombre exponentiel de VPN, mais si j'ai un VPN avec un opérateur qui vient à tomber, j'en ai encore 3 qui fonctionnent ; ce qui représente 100% de ma bande passante. La bascule est totalement transparente pour le business et cette approche permet de résoudre tous les problèmes de peering entre opérateurs internationaux. »
En outre, la solution Forcepoint Secure SD-WAN (héritière de Stonesoft Multi-Link) qui gère ces centaines de VPN permet d’agréger des liens de technologies différentes, qu’il s’agisse de la fibre, du DSL, de la 4G ou de liens satellite. « L'algorithme de l'équipement sait calculer à l'instant t le tunnel qui offre la meilleure latence, le moins de pertes de paquets, etc. Je peux ainsi qualifier mes applications en fonction de ces métriques et l'équipement décide si l'application doit passer par le MPLS ou le VPN et taggue ce flux. Ensuite, lorsque ce flux arrive sur le firewall, celui-ci lit ce tag et positionne sur la bonne règle de service. »
Le responsable estime que cette approche lui permet de répondre aux besoins métiers qui sont parfois très hétérogènes. En outre, cette approche a permis une diminution des coûts notamment via la suppression de certains liens MPLS tout en permettant une augmentation de la sécurité, de l'agilité, de la disponibilité, de l'efficacité et de la productivité des utilisateurs. « Je n'ai plus d'appels de permanence la nuit pour un lien MPLS qui tombe. Les utilisateurs ne s'en rendent plus compte et c’est maintenant aux opérateurs de gérer les pannes », conclut Michel Boulay.