Combien de liens WAN par site ?

Minimum 2 liens hétérogènes (fibre Internet + xDSL ou fibre + 4G/5G) pour redondance. Pour sites critiques : 3 liens (MPLS + 2 fibres Internet d'opérateurs différents). Architecture standard : dual-WAN avec failover automatique.

Quel constructeur SD-WAN choisir ?

Voir notre comparatif Cisco SD-WAN vs Fortinet SD-WAN. En résumé : Fortinet pour TCO meilleur, Cisco pour grands déploiements 500+ sites avec orchestration mature.

Concevoir une architecture SD-WAN

15 avril 2026·3 min de lecture·430 mots

Concevoir une architecture SD-WAN demande une réflexion sur les liens WAN, les sites, les applications critiques, la sécurité. SD-WAN remplace le MPLS dans 60% des cas d'ici 2027 (Gartner). Guide architectural étape par étape : planification, topologie, sizing, vendors. 2026.

Étape 1 : inventaire des sites

Nombre de sites (HQ, succursales, data centers, télétravailleurs)
Classification : hub (HQ/DC), spoke (succursales), teleworker
Bande passante par site (actuelle + prévue)
Criticité : H24, 8×5, backup only

Étape 2 : inventaire des liens WAN

MPLS actuel (contrats, coût €/Mbps, expiration)
Internet ADSL/FTTH/4G/5G par site
Contrats opérateurs (SLA, engagement)
Besoin de redondance (2 liens minimum par site critique)

Étape 3 : applications et SLA

Voix/Vidéo : latence <150ms, jitter <30ms, loss <1%
ERP/CRM (Salesforce, SAP) : latence <200ms, throughput 1-10 Mbps par user
SaaS (Office 365, Google Workspace) : cloud on-ramp preferred
Backup/replication : off-peak, low priority

Étape 4 : topologie

Hub-and-spoke (classique)

Tous les sites pointent vers le HQ. Avantage : contrôle centralisé. Inconvénient : trafic inter-spokes via HQ (inefficient pour VoIP site-à-site).

Full mesh

Tunnels IPsec entre tous les sites. Problème à l'échelle (100 sites = 4950 tunnels). Solution : ADVPN/Auto-VPN qui crée les tunnels dynamiquement.

Hybrid (recommandé)

Hub-and-spoke pour trafic central + full mesh dynamique pour inter-spoke (VoIP, vidéo). Majorité des SD-WAN modernes.

Étape 5 : choix solution

FortiGate SD-WAN : SD-WAN natif FortiOS, sans licence séparée, recommandé <500 sites
Cisco SD-WAN (Viptela) : leader grand compte, vManage cloud
VMware VeloCloud : cloud-first, simple, 100 sites+
Palo Alto Prisma SD-WAN : intégration SASE native
Versa Networks : indépendant hardware, Gartner leader

Étape 6 : sécurité intégrée

Firewall sur chaque WAN Edge (stateful minimum)
IPS/URL Filtering sur hub et sites critiques
SSL-Decryption pour inspection approfondie
Intégration SASE/SSE : Zscaler, Cisco Umbrella, Prisma Access

Étape 7 : sizing bande passante

Users × 2 Mbps + SaaS × 5 Mbps + VoIP × 100 Kbps + vidéoconf × 3 Mbps + 30% marge
Site 50 users : ~500 Mbps FTTH + 100 Mbps 4G backup
Hub 500 users : 2× 1 Gbps FTTH opérateurs différents

Étape 8 : migration phasée

Pilote 2-3 sites (1-3 mois)
Rollout par vagues (10-20 sites/mois)
Coexistence MPLS + SD-WAN durant migration (6-12 mois)
Decommission MPLS final

TCO 3 ans comparatif 50 sites

MPLS classique : 15 000€/site × 50 = 750 000€/an × 3 = 2.25M€
SD-WAN Internet pure : 3 000€/site × 50 = 150 000€/an × 3 + licences SD-WAN ~400 000€ = 850 000€
Économie 3 ans : ~1.4M€

Commander chez OPTINOC

Audit SD-WAN offert. Design + migration clé-en-main FortiGate/Cisco/Palo Alto. Devis 10-500 sites sous 48h.