Dans le cadre d'un projet d'infrastructure réseau pour une PME casablancaise opérant dans le secteur des services, UBSM a conçu et déployé une architecture combinant l'agrégation SD-WAN de Peplink B One Plus et la sécurité UTM de WatchGuard Firebox T125. L'objectif : garantir une connectivité Internet haute disponibilité via deux lignes FTTH indépendantes, tout en assurant une protection complète du périmètre réseau contre les cybermenaces.
Contexte et problématique du client
Le client, une PME d'une trentaine de collaborateurs à Casablanca, utilisait jusqu'alors une connexion FTTH unique souscrite auprès de Maroc Telecom (IAM). Cette configuration présentait un risque majeur pour la continuité d'activité : en cas de panne de l'opérateur ou de coupure physique du lien, l'ensemble des services cloud, de la téléphonie IP et du système ERP étaient immédiatement interrompus — avec un délai de rétablissement pouvant dépasser 4 à 6 heures.
Par ailleurs, la croissance de l'entreprise avait augmenté significativement le volume de trafic : téléconférences en HD, accès simultané au CRM cloud, sauvegardes distantes et partage de fichiers volumeux saturaient régulièrement la liaison à 100 Mbps disponible. Le client cherchait simultanément à augmenter la bande passante et à éliminer ce point unique de défaillance.
La deuxième exigence était sécuritaire : après un incident de phishing ayant compromis un poste de travail six mois plus tôt, la direction souhaitait mettre en place un filtrage réseau UTM (Unified Threat Management) capable de bloquer les menaces avancées en temps réel, sans dégrader les performances.
Architecture de la solution déployée par UBSM
UBSM a proposé une architecture en deux niveaux, séparant clairement la fonction SD-WAN/agrégation de la fonction sécurité :
- Niveau 1 — Agrégation WAN : Peplink B One Plus avec 2 liens FTTH (IAM 200 Mbps + Inwi 200 Mbps) en entrée, SpeedFusion actif
- Niveau 2 — Sécurité périmétrique : WatchGuard Firebox T125 en sortie du Peplink, Total Security Suite active
- LAN interne : switch 24 ports PoE, 4 bornes WiFi, 30 postes de travail, serveur NAS et téléphones IP
Cette topologie permet d'optimiser chaque couche indépendamment : si le client souhaite ultérieurement ajouter un troisième lien WAN (par exemple une SIM 5G), seul le Peplink est concerné. Si la politique de sécurité évolue, seul le WatchGuard est reconfiguré. La gestion s'effectue depuis deux plateformes cloud distinctes : InControl 2 pour le Peplink et WatchGuard Cloud pour le firewall.
Peplink B One Plus : le cœur de l'agrégation SD-WAN
Le Peplink B One Plus est le modèle d'entrée de gamme SD-WAN de Peplink, spécialement conçu pour les PME, agences et petites entreprises. Malgré son format compact, il embarque l'ensemble des fonctionnalités avancées de la gamme Peplink.
Caractéristiques techniques du Peplink B One Plus
| Spécification | Valeur |
|---|---|
| Ports WAN | 2× Gigabit Ethernet (extensible avec module LTE optionnel) |
| Ports LAN | 4× Gigabit Ethernet |
| Wi-Fi intégré | Wi-Fi 6 (802.11ax) dual-band 2,4 GHz + 5 GHz |
| Débit WAN maximal | 600 Mbps (agrégé) |
| SpeedFusion bonding | Oui — agrégation bande passante multi-WAN |
| VPN SpeedFusion | Oui — vers FusionHub cloud ou autre Peplink |
| WAN Smoothing / FEC | Oui — correction d'erreur proactive sur liens dégradés |
| Failover automatique | Zéro interruption — switchover en <1 seconde |
| Gestion cloud | InControl 2 (multi-sites, alertes, reporting) |
| Alimentation | 12V DC — format desktop ultra-compact |
SpeedFusion : l'agrégation active des deux liens FTTH
La technologie SpeedFusion est le cœur différenciateur de Peplink. Contrairement à un simple mécanisme de failover (qui n'active le deuxième lien qu'en cas de panne du premier), SpeedFusion crée un tunnel VPN unique qui utilise simultanément les deux liens FTTH. Les paquets sont distribués au niveau réseau sur les deux liens en fonction de leur disponibilité et de leur latence.
Dans le projet du client, les deux liens contribuent en permanence à la bande passante disponible : 200 Mbps IAM + 200 Mbps Inwi = 400 Mbps effectifs en conditions normales. Si l'un des liens subit une dégradation partielle (augmentation de latence ou perte de paquets), la fonction WAN Smoothing anticipe et réduit l'impact sur les applications temps réel comme la téléphonie IP. Si un lien tombe totalement, le trafic bascule sur le lien survivant en moins d'une seconde, sans interruption visible pour les utilisateurs.
La Forward Error Correction (FEC) est également activée sur les flux téléphonie et vidéoconférence : le Peplink envoie des paquets de correction redondants qui permettent de reconstituer les données perdues sans retransmission — une innovation critique sur des liens FTTH qui peuvent présenter des microcoupures occasionnelles.
WatchGuard Firebox T125 : la couche UTM et cybersécurité
Positionné en sortie du Peplink B One Plus, le WatchGuard Firebox T125 assume l'intégralité de la fonction sécurité réseau. Il reçoit le trafic Internet agrégé par le Peplink depuis son interface WAN, inspecte l'ensemble du trafic entrant et sortant, et distribue les connexions autorisées vers le LAN interne.
Caractéristiques techniques du WatchGuard Firebox T125
| Spécification | Valeur |
|---|---|
| Débit firewall | 945 Mbps |
| Débit UTM (tous services) | 336 Mbps |
| Débit VPN IPsec | 280 Mbps |
| Connexions simultanées | 4 800 000 |
| Nouvelles connexions/s | 52 000 |
| Interfaces | 5× Gigabit Ethernet |
| Utilisateurs recommandés | Jusqu'à 125 |
| Gestion cloud | WatchGuard Cloud (multi-tenant) |
| Licences | Total Security Suite incluse |
Services de sécurité actifs sur l'installation
Dans le cadre de ce déploiement, le WatchGuard Total Security Suite a été activé dans son intégralité. Voici les services configurés :
- IPS (Intrusion Prevention System) : inspection de l'ensemble du trafic en temps réel, blocage des exploits réseau connus et des tentatives d'intrusion
- APT Blocker : analyse comportementale des fichiers suspects dans un bac à sable cloud, détection des malwares zero-day non reconnus par les signatures classiques
- IntelligentAV : antivirus nouvelle génération basé sur l'apprentissage automatique, mis à jour en continu sans signature fixe
- DNSWatch : filtrage DNS qui bloque les domaines malveillants, les serveurs de commande C&C et les sites de phishing dès la résolution DNS — avant même l'établissement de la connexion TCP
- WebBlocker : filtrage URL par catégories configuré selon la politique RH du client (réseaux sociaux limités aux pauses, streaming interdit, jeux bloqués)
- Application Control : blocage des applications P2P, Tor et des outils de tunneling non autorisés
- VPN Mobile (SSL) : accès distant sécurisé pour les collaborateurs en télétravail via le client WatchGuard SSLVPN
Segmentation réseau et VLAN
Le WatchGuard Firebox T125 permet une segmentation réseau fine via des interfaces dédiées. Dans ce projet, trois VLAN ont été configurés :
- VLAN CORP : postes de travail et téléphones IP — accès Internet + cloud ERP
- VLAN SERVEURS : NAS et serveur applicatif — accès uniquement depuis VLAN CORP via règles strictes
- VLAN INVITÉS : Wi-Fi visiteurs — accès Internet uniquement, isolé du LAN interne
Les règles inter-VLAN sont définies dans WatchGuard Cloud avec des politiques d'accès par heure (blocage des applications de streaming hors pause-déjeuner) et par profil utilisateur.
Bilan avant / après déploiement
| Critère | Avant déploiement | Après déploiement |
|---|---|---|
| Bande passante Internet | 100 Mbps (FTTH IAM seul) | 400 Mbps (2× FTTH agrégés) |
| Redondance WAN | Aucune — SPOF critique | Failover <1s, 100% automatique |
| Disponibilité estimée | ~98,5% (pannes opérateur incluses) | >99,9% (deux opérateurs indépendants) |
| Protection UTM | Aucune (routeur FAI uniquement) | IPS + APT Blocker + IntelligentAV + DNSWatch + WebBlocker |
| VPN télétravail | Non disponible | SSL VPN WatchGuard — 30 licences actives |
| Visibilité réseau | Aucune | WatchGuard Cloud + InControl 2 — dashboard temps réel |
| Gestion centralisée | Accès local uniquement | Cloud multi-sites depuis Casablanca et à distance |
| Temps d'intervention UBSM | Sur site (4-6h délai) | Télémaintenance immédiate via cloud |
Résultats obtenus après déploiement
Trois semaines après la mise en production, les résultats sont conformes aux objectifs fixés lors de l'étude de besoin :
- Bande passante doublée : les tests de débit confirment 380 à 420 Mbps effectifs en agrégation — les téléconférences simultanées ne saturent plus le lien et les sauvegardes cloud s'exécutent désormais hors des heures de bureau sans impact sur la productivité
- Zéro interruption réseau documentée : une coupure de 47 minutes sur le lien IAM a été enregistrée en semaine 2 — le trafic a basculé automatiquement sur Inwi sans qu'aucun utilisateur ne rapporte d'interruption
- Menaces bloquées : le tableau de bord WatchGuard Cloud a détecté et bloqué 143 tentatives d'intrusion, 12 résolutions DNS vers des domaines C&C et 3 fichiers suspects soumis à l'APT Blocker en 3 semaines
- Accès télétravail sécurisé : les 8 collaborateurs en télétravail utilisent désormais le VPN SSL WatchGuard depuis leurs domiciles, avec accès au NAS interne et au téléphone IP via softphone
- Maintenance proactive : UBSM assure la télésurveillance depuis Casablanca via InControl 2 et WatchGuard Cloud — les mises à jour de firmware et de signatures s'appliquent automatiquement en dehors des heures d'ouverture
Ce type de déploiement illustre l'intérêt d'une architecture SD-WAN + UTM en deux couches pour les PME marocaines : chaque fonction est assurée par l'outil le mieux adapté, la gestion est centralisée dans le cloud, et le retour sur investissement est immédiat en termes de disponibilité et de sécurité. Découvrez l'ensemble de notre gamme Peplink au Maroc et notre offre WatchGuard Maroc pour vos projets d'infrastructure réseau.
FAQ — Agrégation FTTH WatchGuard + Peplink au Maroc
Pourquoi combiner un Peplink et un WatchGuard plutôt qu'un seul équipement ?
Chaque appareil excelle dans son domaine. Le Peplink B One Plus est spécialisé dans l'agrégation multi-WAN et le SD-WAN avec la technologie brevetée SpeedFusion — il gère l'agrégation de bande passante, le failover et l'optimisation WAN. Le WatchGuard Firebox assure la sécurité périmétrique (IPS, antivirus, filtrage web, VPN). Séparer ces fonctions permet d'optimiser chaque couche indépendamment et de ne pas avoir un seul point de défaillance pour les deux fonctions critiques.
Qu'est-ce que l'agrégation SpeedFusion et comment améliore-t-elle la connectivité ?
SpeedFusion est la technologie brevetée de Peplink qui agrège plusieurs liens WAN en un seul tunnel VPN. Contrairement au simple failover, SpeedFusion utilise simultanément les deux liens FTTH pour distribuer les paquets — doublant ainsi la bande passante disponible. En cas de perte d'un lien, le trafic continue sur le lien restant sans interruption perceptible. La Forward Error Correction compense les pertes de paquets partielles sur les flux temps réel.
Le Peplink B One Plus convient-il pour une PME de 30 à 50 utilisateurs ?
Oui, parfaitement. Le Peplink B One Plus est dimensionné pour des PME et des agences de 20 à 60 utilisateurs. Son débit WAN agrégé maximal est de 600 Mbps, ce qui est largement suffisant pour deux lignes FTTH de 200 Mbps. Il intègre également un point d'accès Wi-Fi 6 dual-band et ses 4 ports LAN permettent de connecter les équipements fixes ou un switch secondaire.
Quels services de sécurité active le WatchGuard Firebox T125 ?
Le WatchGuard Firebox T125 avec la Total Security Suite active l'ensemble des services UTM : IPS, APT Blocker (sandboxing comportemental), IntelligentAV (IA antivirus), DNSWatch (filtrage DNS), WebBlocker (filtrage URL), Application Control, spam filtering et Gateway AntiVirus. Tous ces services sont gérés depuis WatchGuard Cloud avec alertes en temps réel.
UBSM peut-il déployer ce type d'infrastructure dans d'autres villes du Maroc ?
Oui. UBSM intervient dans tout le Maroc — Casablanca, Rabat, Marrakech, Tanger, Agadir et les villes régionales. Nos équipes déploient des solutions Peplink SD-WAN et WatchGuard UTM pour des PME, hôtels, cliniques et administrations. Chaque projet commence par une étude de besoin gratuite.
