agsandrew - Fotolia
Tout pour bien comprendre les bases du VPN hybride
Voici quelques-unes des technologies les plus utilisées dans les déploiements VPN hybrides. Et un point sur l'impact du passage de services privés à l'Internet public sur ces VPN hybrides.
Alors que les entreprises font face à un trafic qui se densifie et dont les sources se multiplient, les équipes IT se tournent de plus en plus vers les architectures WAN hybrides, qui reposent à la fois sur des services privés et sur l'Internet public. Quel est l'impact de ce changement sur le VPN hybride ?
Commençons par examiner les services qu'intègre un réseau privé virtuel (VPN) hybride.
IPSec : la norme IPSec a le vent en poupe en raison de la très forte croissance du trafic mobile. Vers la fin des années 1990, alors qu'une majorité de réseaux WAN d'entreprise reposaient sur des périphériques gérés, les tunnels IPSec servaient uniquement entre les succursales d'un pays et celles d'un autre.
Avec l'arrivée des VPN MPLS (MultiProtocol Label Switching), les équipes IT, séduites par les fonctions de qualité de service (QoS), ont cessé d'utiliser les réseaux dorsaux IP publics au profit de leurs WAN.
Mais, depuis peu, la norme IPSec est considérée comme suffisamment sûre pour la plupart des applications et des entreprises, à l'exception des organisations gouvernementales et des établissements financiers. La montée des communications unifiées et l'exigence d'un accès aux applications en tous lieux ont conduit à intégrer la norme IPSec au réseau VPN hybride.
Inconvénient, le codage du trafic induit une perte de contrôle du point de vue de la qualité de service (QoS) et une surcharge. Dans un VPN Internet, les performances sont plutôt prévisibles si votre flux de trafic est distribué sur une seule dorsale. Ce n'est plus le cas lorsque le trafic traverse les multiples dorsales IP de plusieurs opérateurs.
En outre, les applications évoluent et certaines peuvent interdire ou restreindre l'accès jusqu'à ce que la connectivité et le débit soient jugés suffisants.
VPN MPLS de couche 3 : le VPN MPLS de couche 3 constitue l'élément de base des communications WAN d'entreprise depuis déjà un certain nombre d'années, et ce en raison de sa topologie point à point (« any-to-any ») sécurisée et de sa capacité à hiérarchiser les applications via la qualité de service (QoS).
Le succès des VPN MPLS s'explique par la prise en charge de plusieurs protocoles de routage conjuguée à des accords de niveau de service qui garantissent, à l'échelon mondial, le débit du trafic, les temps de disponibilité, la gigue et la latence.
VPN VPLS (Virtual private LAN service) de couche 2 : la suppression de la couche 3 permet aux entreprises d'étendre géographiquement leur LAN dans une topologie de point à point (« any-to-any »).
L'utilisation des VPN de couche 2 repose sur la nécessité d'étendre la couche de liaison de données, ou d'offrir la possibilité d'une couche 3 autogérée.
Imaginons le déploiement d'un datacenter mondial en Cloud. Dans ce cas, le VPLS fournit une connectivité LAN-à-LAN, et permet l'ajout de ressources, notamment de serveurs supplémentaires, à tout emplacement desservi par le VPLS.
Pour les clients qui exécutent des configurations routées complexes, ou qui présentent des exigences non-standard, le VPLS permet d'organiser son propre routage.
Les produits Carrier Ethernet : les produits Carrier Ethernet sont une pièce maîtresse de la conception d'un WAN hybride.
Les options sont :
- SDH/SONET : l'optimisation des fonctions SDH et SONET d'un opérateur a débouché sur la mise à disposition d'une grande part de technologie Ethernet à l'échelle des réseaux existants. Les normes SDH et SONET se traduisent par des services qui offrent des temps de disponibilité corrects en raison d'une haute disponibilité.
- Ethernet sur MPLS/VLL (Virtual Leased Lines, les lignes spécialisées virtuelles) : cette technologie émule les circuits Ethernet point à point et multipoint à l'échelle du réseau MPLS d'un fournisseur. Communément appelés « pseudo-wire », ces circuits proposent les mêmes fonctions que les VPLS, moins les propriétés de point à point (« any-to-any »).
- Transport Carrier Ethernet : forme la plus pure d'Ethernet, car le trafic démarre et se termine en Ethernet, ce qui est idéal en milieu urbain.
Gardez bien à l'esprit que pour comprendre votre architecture réseau, il est indispensable d'adopter une approche par diagnostic qui permet de respecter les spécificités de la stratégie, des ressources techniques et du budget de votre entreprise.
Sans flux de tâches de diagnostic, l'entreprise risque de mettre en œuvre une technologie qui, en fait d'avantage, ou qui peut devenir source de goulet d’étranglement, et ce pendant toute la durée du contrat de service.