VPN : gérer les besoins en bande passante
De nombreuses entreprises s’appuient sur des VPN IPSec pour leurs télétravailleurs. Mais déterminer la bande passante VPN nécessaire n’est que l’un des éléments à considérer.
Les VPN sont un outil essentiel pour permettre à des collaborateurs distants d’accéder aux ressources et applications de l’entreprise. Mais, avant de déployer ces VPN, il convient de répondre à deux questions importantes : quelle bande passante globale peut offrir votre VPN ? Et, pour les sites distants, quelle bande passante spécifier ? Pour répondre à ces questions, examinons les facteurs déterminants.
Pour cet article, nous ne considérons que les VPN IPsec, d’authentiques VPN configurés pour connecter des hôtes ou des réseaux à un réseau privé. Les connexions VPN utilisant TLS ne sont pas ici prises en compte, car TLS est généralement utilisé pour ne sécuriser que certaines sessions applicatives précises.
Du trafic réseau additionnel
Le trafic réseau additionnel lié à un VPN IPsec varie, selon que le mode tunnel ou le mode transport est choisi. Le mode tunnel offre une meilleure sécurité pour une surcharge – un overhead – légèrement supérieure, induite par l’encapsulation de l’en-tête IP d’origine. C’est la méthode couramment utilisée pour les VPN de site à site.
Mais il faut aussi tenir compte de la qualité de la connexion Internet. Le débit des connexions des FAI continue de croître dans le monde entier. Bien entendu, le débit réel dépend de la connectivité locale et des éventuels encombrements, quelle que soit la capacité de la liaison physique. Les régions du monde bien connectées profitent de débits de plusieurs dizaines de mégabits. La connectivité cellulaire, en revanche, ne donne souvent que de faibles débits en mégabits, selon la qualité du signal et le niveau de congestion sur les stations de base.
Examinons l’overhead du VPN pour plusieurs tailles de paquets différentes et son effet sur une connexion Ethernet de 10 Mbps à un FAI. Il est facile d’augmenter ou de diminuer les chiffres ce dernier chiffre pour ajuster la simulation à sa situation propre.
1 octet de données applicatives. Le pire des cas est le transport d’un octet de données applicatives, comme avec Telnet ou SSH. Le paquet TCP/IP qui en résulte pèse 41 octets. L’overhead du VPN IPsec sur ce paquet est de 84 octets supplémentaires, pour au final une taille totale de 128 octets ; une inflation spectaculaire. Une liaison Ethernet de 10 Mbps peut traiter environ 8 845 paquets par seconde à cette taille de paquets. Heureusement, les applications qui transfèrent un seul octet à la fois sont peu utilisées et fonctionnent à faible vitesse.
160 octets de données applicatives. Un cas plus réaliste est celui d’un codec VoIP 711 à large bande, qui fonctionne à 50 paquets par seconde avec une charge utile de 160 octets par paquet. L’en-tête UDP est de 28 octets, ce qui donne un paquet de 188 octets avant d’entrer dans le VPN. La taille du paquet IPsec chiffré est de 272 octets, soit une inflation de l’ordre de 50 %. Une liaison Ethernet à 10 Mbps peut traiter environ 4 032 de ces paquets par seconde, soit 80 appels téléphoniques simultanés.
1 328 octets de données applicatives. La taille maximale des paquets sécurisés sur un VPN IPsec est de 1 328 octets. La plupart des liaisons Internet sont limitées à des paquets ne dépassant pas 1 500 octets. La différence permet d’utiliser IPsec et d’autres en-têtes de protocole fréquemment utilisés. Ajoutons l’en-tête TCP/IP de 40 octets pour une taille de paquet non chiffré de 1 368. La taille du paquet IPsec est alors de 1 456 octets, soit une augmentation de 6 %. Une liaison Ethernet de 10 Mbps peut traiter environ 836 de ces paquets par seconde. Une compréhension des applications est alors nécessaire pour déterminer la bande passante requise.
Utiliser des données de la bande passante du VPN
Il est désormais possible d’appliquer la compréhension de l’overhead du VPN IPsec au dimensionnement des liens Internet. Il faut là tenir compte des caractéristiques des applications qui seront utilisées sur le VPN IPsec pour estimer la bande passante nécessaire pour répondre aux attentes en matière de qualité de service. La taille des paquets d’une application et leur fréquence sont des facteurs clés.
Il est courant de trouver plusieurs tailles de paquets communes utilisées sur une liaison. La voix utilise des paquets de 250 octets, tandis que le transfert de fichiers ou les systèmes de rendu graphiques exploitent les paquets de plus grande taille. Les applications web ont tendance à utiliser différentes tailles de paquets, certaines petites et d’autres grandes, en fonction de l’opération effectuée.
En pratique, les éditeurs d’applications sont rarement en mesure de fournir les données nécessaires. Des captures de paquets applicatifs en cours d’utilisation peuvent être nécessaires pour bien prendre la mesure de l’éventail de tailles de paquets que le lien doit supporter. Ces informations sont combinées avec le nombre d’utilisateurs sur un site et les applications qu’ils sont censés utiliser pour déterminer la bande passante locale appropriée.
Bien sûr, il est utile de surdimensionner quelque peu la bande passante du lien pour supporter d’éventuelles pointes de trafic qui n’ont pas été observées lors des captures de paquets ou en prévision d’évolutions des usages.
Même lorsque l’on dispose d’un lien Internet correctement dimensionné, il peut y avoir congestion chez le FAI. Un phénomène susceptible de limiter le débit effectif. Il faudra peut-être alors déployer des outils de surveillance des performances applicatives et de test actif du chemin d’accès. Des accords de niveau de service avec les opérateurs peuvent également aider à éviter les déceptions lors de l’évaluation de la bande passante VPN nécessaire.