🏢 Architecture Multi-Sites
| Formation | BTS SIO option SISR — IRIS Mediaschool |
|---|---|
| Bloc | B2 — Administration Systèmes & Réseaux |
| Module | M2.3 — Infrastructure Réseau Avancée |
| Prérequis | Routage, VPN, adressage IP avancé, notions DNS et Active Directory |
🎯 Objectifs
- Connaître les topologies réseau multi-sites : étoile, maillée, hybride
- Comprendre les technologies WAN : MPLS et SD-WAN
- Maîtriser les concepts de QoS (Quality of Service)
- Concevoir un plan d'adressage multi-sites avec VLSM et résumé de routes
- Comprendre les bases de BGP pour l'interconnexion
- Configurer DNS et Active Directory en environnement multi-sites
📖 Topologies réseau multi-sites
Topologie en étoile (hub-and-spoke)
Un site central (hub) est relié à tous les sites distants (spokes). Toutes les communications inter-sites transitent par le hub. C'est la topologie la plus simple et la moins coûteuse, mais le site central constitue un point de défaillance unique (SPOF).
Topologie maillée (full mesh)
Chaque site est directement connecté à tous les autres. Cette topologie offre la meilleure résilience et les chemins les plus courts, mais le coût augmente exponentiellement avec le nombre de sites. Le nombre de liens nécessaires est n × (n-1) / 2.
Topologie maillée partielle (partial mesh)
Compromis entre l'étoile et le maillage complet. Les sites critiques sont interconnectés directement tandis que les sites secondaires passent par un hub. C'est la topologie la plus courante en entreprise.
| Topologie | Coût | Résilience | Complexité | Cas d'usage |
|---|---|---|---|---|
| Étoile | Faible | Faible (SPOF central) | Simple | PME, sites distants peu critiques |
| Maillée complète | Élevé | Excellente | Complexe | Datacenters, sites critiques |
| Maillée partielle | Moyen | Bonne | Moyenne | Entreprises multi-sites typiques |
📖 Liens WAN
MPLS (Multi-Protocol Label Switching)
MPLS est une technologie de transport WAN fournie par les opérateurs télécoms. Au lieu de router chaque paquet en fonction de l'adresse IP de destination, MPLS utilise des labels (étiquettes) pour commuter les paquets rapidement à travers le réseau de l'opérateur.
- Qualité de service garantie par contrat (SLA opérateur)
- Any-to-any : communication directe entre tous les sites sans passer par un hub
- Classes de service : priorisation du trafic voix, vidéo, données
- Coût plus élevé que les VPN Internet
SD-WAN (Software-Defined WAN)
Le SD-WAN est une approche logicielle qui permet d'agréger plusieurs liens WAN (MPLS, Internet, 4G/5G) et de les piloter de manière centralisée. Le contrôleur SD-WAN décide dynamiquement du meilleur chemin pour chaque flux en fonction de critères de performance.
- Agrégation de liens : utilise plusieurs connexions simultanément
- Routage applicatif : le trafic critique passe par MPLS, le trafic web par Internet
- Gestion centralisée : configuration et supervision depuis une console unique
- Réduction des coûts : remplacement partiel du MPLS par des liens Internet
VPN site-to-site sur Internet
Solution la plus économique : les tunnels VPN (IPsec, WireGuard) sont établis sur des liens Internet classiques. La qualité de service n'est pas garantie, mais le coût est minimal. Convient aux sites non critiques ou en complément du MPLS.
📖 QoS — Quality of Service
Pourquoi la QoS ?
Sur un réseau multi-sites, différents types de trafic coexistent : voix (VoIP), vidéo, applications métier, navigation web, sauvegardes. Sans QoS, tous les flux sont traités de manière égale, ce qui peut provoquer de la latence, de la gigue (jitter) et des pertes de paquets sur les flux sensibles.
Marquage DSCP
Le champ DSCP (Differentiated Services Code Point) dans l'en-tête IP permet de classer les paquets. Les équipements réseau lisent ce marquage pour appliquer le traitement approprié :
| Classe DSCP | Valeur | Type de trafic | Priorité |
|---|---|---|---|
| EF (Expedited Forwarding) | 46 | VoIP, visioconférence | Haute |
| AF41 | 34 | Vidéo streaming | Moyenne-haute |
| AF21 | 18 | Applications métier | Moyenne |
| CS1 | 8 | Sauvegardes, bulk data | Basse |
| BE (Best Effort) | 0 | Navigation web, email | Par défaut |
Files d'attente et traffic shaping
- Priority queuing : les paquets prioritaires sont toujours envoyés en premier (risque de famine pour les autres flux)
- Weighted Fair Queuing (WFQ) : chaque flux reçoit une part proportionnelle de la bande passante
- CBWFQ (Class-Based WFQ) : les classes de trafic sont définies manuellement avec un pourcentage de bande passante garanti
- LLQ (Low Latency Queuing) : combinaison de CBWFQ avec une file stricte pour le trafic temps réel
- Traffic shaping : lisse le débit de sortie pour respecter les limites contractuelles (CIR — Committed Information Rate)
Bonne pratique de dimensionnement QoS : réserver environ 33% de la bande passante pour le trafic prioritaire (voix/vidéo), 33% pour les applications métier et 33% pour le trafic best-effort. Ne jamais dépasser 33% pour la file stricte priority queue.
📖 Plan d'adressage multi-sites
VLSM (Variable Length Subnet Mask)
Le VLSM permet d'utiliser des masques de sous-réseaux de longueurs différentes au sein d'un même réseau, optimisant ainsi l'utilisation de l'espace d'adressage. Chaque site ou segment reçoit un sous-réseau dimensionné en fonction de ses besoins réels.
Exemple d'adressage multi-sites avec 10.0.0.0/8 :
Siège Paris : 10.1.0.0/16 (65 534 hôtes)
Agence Lyon : 10.2.0.0/16 (65 534 hôtes)
Agence Marseille : 10.3.0.0/16 (65 534 hôtes)
Liens WAN : 10.255.0.0/16 (sous-réseaux /30 pour les liens point-à-point)
Sous-découpage du siège Paris :
Serveurs : 10.1.1.0/24
Postes de travail : 10.1.10.0/23 (510 hôtes)
VoIP : 10.1.20.0/24
Wi-Fi invités : 10.1.100.0/24
Management : 10.1.254.0/24Résumé de routes (summarization)
Le résumé de routes permet de réduire la taille des tables de routage en annonçant une seule route agrégée au lieu de multiples routes spécifiques. C'est essentiel pour la scalabilité d'un réseau multi-sites.
Exemple : les réseaux 10.1.0.0/24, 10.1.1.0/24, 10.1.2.0/24, 10.1.3.0/24
peuvent être résumés en une seule route : 10.1.0.0/22📖 BGP — Border Gateway Protocol
Concepts fondamentaux
BGP est le protocole de routage d'Internet. Il permet l'échange de routes entre systèmes autonomes (AS — Autonomous System). Chaque AS est identifié par un numéro unique (ASN).
- eBGP (external BGP) : échange de routes entre deux AS différents (ex : entreprise ↔ opérateur)
- iBGP (internal BGP) : échange de routes au sein d'un même AS
- BGP utilise le port TCP 179
- C'est un protocole à vecteur de chemin (path vector) : les décisions de routage se font sur la base de politiques et du chemin d'AS
En environnement BTS SIO, la maîtrise complète de BGP n'est pas exigée. Il est cependant important de comprendre son rôle dans l'interconnexion avec les opérateurs (multi-homing, annonce de préfixes publics) et de savoir que MPLS et SD-WAN l'utilisent en arrière-plan.
📖 DNS multi-sites
DNS à vues (views / split DNS)
Un serveur DNS multi-sites peut présenter des réponses différentes selon l'origine de la requête. Un utilisateur à Paris est dirigé vers le serveur local parisien, tandis qu'un utilisateur à Lyon est dirigé vers le serveur lyonnais. Cela améliore les performances et la résilience.
Réplication DNS
- DNS primaire : détient la zone maître (lecture/écriture)
- DNS secondaire : copie en lecture seule, mise à jour par transfert de zone (AXFR/IXFR)
- Chaque site dispose idéalement d'un serveur DNS secondaire local pour assurer la résolution même en cas de panne du lien WAN
📖 Active Directory multi-sites
Sites et liens de sites
Dans Active Directory, un site représente un emplacement physique avec une bonne connectivité réseau (LAN). Les liens de sites (site links) définissent la topologie de réplication entre les sites :
- Coût du lien : détermine le chemin de réplication préféré (coût bas = préféré)
- Fréquence de réplication : intervalle entre les cycles de réplication (15 minutes minimum par défaut)
- Planification : plages horaires pendant lesquelles la réplication est autorisée
Réplication inter-sites
La réplication AD entre sites est compressée et planifiée pour économiser la bande passante WAN, contrairement à la réplication intra-site qui est immédiate. Le KCC (Knowledge Consistency Checker) construit automatiquement la topologie de réplication et l'ISTG (Intersite Topology Generator) gère les connexions inter-sites.
Placez un contrôleur de domaine sur chaque site distant pour assurer l'authentification locale des utilisateurs en cas de coupure du lien WAN. Configurez les sous-réseaux IP dans Active Directory Sites and Services pour que les clients s'authentifient toujours auprès du DC le plus proche.
📖 Bonnes pratiques de design multi-sites
- Plan d'adressage hiérarchique : attribuer des blocs IP résumables par site
- Redondance des liens WAN : deux liens de technologies différentes (MPLS + Internet VPN)
- QoS de bout en bout : marquer le trafic au plus près de la source
- Services locaux : DNS, DHCP, DC Active Directory sur chaque site
- Centralisation de la supervision : un outil unique pour tous les sites
- Documentation : schémas réseau à jour, plan d'adressage, contacts opérateurs
- Tests de basculement : simuler régulièrement les pannes de liens WAN
- Standardisation : même architecture, mêmes équipements, mêmes configurations sur tous les sites
📝 QCM — Testez vos connaissances
- Quelle technologie relie les sites distants d'une entreprise ?
- Qu'est-ce que le SD-WAN ?
- Quel protocole de redondance permet le basculement automatique de passerelle ?
- Qu'est-ce qu'un MPLS ?
- Comment assurer la redondance d'une liaison WAN ?
- Qu'est-ce que le BGP ?
📝 Afficher les corrections
- Le WAN (Wide Area Network) — Le WAN interconnecte les sites géographiquement distants via des liaisons dédiées ou Internet.
- Un WAN piloté par logiciel — Le SD-WAN virtualise la gestion du WAN pour optimiser automatiquement le routage entre les sites.
- VRRP ou HSRP — VRRP (standard) et HSRP (Cisco) créent une passerelle virtuelle partagée entre plusieurs routeurs.
- Un protocole de commutation par étiquettes — MPLS (MultiProtocol Label Switching) achemine les paquets via des labels pour des performances prévisibles.
- Utiliser deux FAI (dual-homing) ou un lien de secours — Le dual-homing avec deux connexions Internet différentes garantit la continuité en cas de panne.
- Le protocole de routage inter-domaines d'Internet — BGP (Border Gateway Protocol) est le protocole qui route le trafic entre les systèmes autonomes sur Internet.
L'architecture multi-sites repose sur un plan d'adressage hiérarchique (VLSM), des liens WAN redondants (MPLS + VPN Internet ou SD-WAN), une QoS rigoureuse et des services locaux (DNS, AD) sur chaque site. Le SD-WAN modernise l'approche en centralisant le pilotage des liens.