Combien de sites avant SD-WAN ?

À partir de 5-10 sites, le SD-WAN devient avantageux (centralisation gestion, économies WAN). Sous 5 sites, VPN IPsec classique avec firewalls peut suffire.

Hub-and-spoke ou full-mesh ?

Hub-and-spoke : trafic transite par le siège (centralise sécurité mais ajoute latence). Full-mesh : tunnels directs site-à-site (latence optimale mais N(N-1)/2 tunnels). En SD-WAN moderne : dynamic mesh on-demand.

Network multi-sites : conception WAN and centralisation

April 15, 2026·3 min read·407 words

Concevoir un network multi-sites (sièges, succursales, entrepôts) demande une architecture SD-WAN robuste, une security homogène and une gestion centralisée. Remplacement progressif of MPLS historique. Guide complet conception multi-sites 2026 : topologies, WAN, security, sizing, TCO.

Types de sites

HQ (Siège) : 100-500 users, data center local, Internet haut throughput
Branch office (Succursales) : 5-100 users, peu/pas de IT local
Data center secondaire (DR)
Télétravailleurs : endpoints individuels via ZTNA
Sites mobiles : vans, food trucks (4G/5G)

Topologies

Hub-and-spoke

Tous les spokes → HQ. Simple, inspection centralisée, mais latence inter-spoke.

Full mesh ADVPN

Tunnels inter-spoke dynamiques to la demande (FortiGate ADVPN, Cisco DMVPN). Latence optimale.

Hybrid (standard 2026)

Hub-and-spoke for internet sortant + full mesh dynamique for VoIP/vidéo inter-sites.

SD-WAN multi-sites

FortiGate SD-WAN : 60F/80F/100F sur spokes, 200F/400F en hub. SD-WAN natif without surcoût
Cisco SD-WAN (Viptela) : Catalyst 8200 spoke, 8500 hub, vManage cloud
Meraki MX : cloud-first, simple to déployer, licenthese obligatoires
Palo Alto Prisma SD-WAN : intégration SASE native

Connectivité WAN

Lien primaire : FTTH 300 Mbps-1 Gbps (opérateur A)
Lien secondaire : FTTH 100-500 Mbps (opérateur B différent)
Backup 4G/5G : router Teltonika RUTX11 or FortiExtender
Sites critiques : 3 liens (2 fixes + 4G/5G)

Security multi-sites

Firewall homogène tous les sites (même marque recommandé)
Inspection NGFW active partout (IPS, AV, Web Filter)
Segmentation VLAN identique (VLAN 10=data, 20=voice, etc.)
Policies centralisées (FortiManager, Panorama, Meraki Dashboard)
Authentification AD/Azure AD centralisée (RADIUS)
SASE for teleworkers + cloud access

Gestion centralisée

FortiManager : 10-10 000 FortiGate, ADOMs par site
Cisco DNA Center : templates, intent-based
Panorama : Palo Alto templates + device groups
Meraki Dashboard : simple, cloud-only

Voice multi-sites

SIP trunking centralisé au HQ (Teams, 3CX, Asterisk)
Téléphones IP sur VLAN VOICE + PoE+
QoS DSCP EF bout-en-bout
Backup : DISA break-glass, téléphones SIP mobile

Sizing type 20 succursales

HQ : 2× FortiGate 200F HA + FortiManager + FortiAnalyzer
20× FortiGate 60F or 80F spokes
Switchs and AP par site selon taille (5-50 users)
WAN : FTTH + 4G par site
Budget : ~180 000€ HT hardware + 80 000€ licenthese + 3 ans

Migration MPLS → SD-WAN

Phase 1 : pilote 2-3 sites en coexistence with MPLS (1-3 mois)
Phase 2 : rollout par vagues (5-10 sites/mois)
Phase 3 : coexistence MPLS+SDWAN (6-12 mois)
Phase 4 : decommission MPLS
Économies : 40-70% TCO 3 ans

Commander chez OPTINOC

Conception + migration multi-sites clé-en-main. Audit MPLS → SD-WAN. FortiGate/Cisco/Palo Alto/Meraki. Devis 10-500 sites sous 48h.