Entre SD-WAN de pointe et retards d’Orange, la Vienne lutte pour connecter ses collèges
Pour pallier l’absence de haut débit en dehors de Poitiers, le département s’est doté de la solution Mandala d’e-Qual qui combine plusieurs lignes ADSL en une seule. Mais 4 mois après la date prévue, Orange n’a toujours pas livré les accès.
Côté face, le département de la Vienne (86) s’est doté d’une solution hors-pair qui cumule plusieurs accès Internet pour sortir ses 33 collèges de la misère de l’ADSL ; fluctuant entre 4 et 14 Mbits/s, ces connexions sont en effet largement insuffisantes pour alimenter en contenus pédagogiques les 200 postes de chaque établissement. Côté pile, ces efforts sont pour l’heure ruinés par l’incapacité d’Orange à installer des accès supplémentaires.
« L’absence de haut débit prive nos élèves des moyens d’enseignements modernes que sont les supports vidéo ou les applications SaaS. Nous avons installé 120 à 180 PC, plus une cinquantaine d’iPad par collège, mais il est impossible d’en faire fonctionner plus d’une dizaine ensemble quand la seule connexion vers Internet disponible n’est dimensionnée que pour un foyer », explique Luis Manuel Da Silva, le DSI du département de la Vienne.
« Le SD-WAN nous paraissait la solution la plus adaptée. Nous avons retenu l’offre Mandala du français e-Qual, qui nous est apparue bien plus aboutie que tous les autres produits que nous avons passés en revue. Le problème est que, pour fonctionner, ce SD-WAN a besoin de plusieurs accès Internet. Orange devait nous installer ces lignes en novembre. Nous avons consenti à leur laisser jusqu’en janvier. Nous sommes en mai, nous attendons toujours », ajoute-t-il, dépité.
Des dizaines de logiciels métiers en ligne, à utiliser sans haut débit
Situé dans le Centre-Ouest du pays, La Vienne fait partie de ces territoires français où les opérateurs tardent à installer le Haut débit. Pour le département, les collèges ne sont que la partie émergée de l’iceberg. Sur ses 140 sites, 94 sont loin du chef-lieu Poitiers et de sa fibre optique. Ce sont des antennes administratives, des centres techniques, des centres d’exploitation des routes et, aussi, de nombreux sites dévolus aux missions sociales. Celles-ci, comme la protection de l’enfance, mobilisent 50 % du budget et des personnels. Sur le plan informatique, ce sont en tout 80 logiciels métiers qui s’utilisent à distance. Mais encore faut-il avoir une connexion pour parcourir cette distance.
Luis Manuel Da SilvaDSI département de la Vienne
« Pour des raisons de sécurité, les sites administratifs sont reliés avec des lignes spécialisées, du SDSL, voire du VDSL. L’avantage par rapport aux collèges est que les flux y sont plus stables. En revanche, les liens n’offrent que 2 à 4 Mbits/s de bande passante. Suffisamment peu, manifestement, pour que la DSI soit régulièrement alertée sur des problèmes de lenteur », décrit Luis Manuel Da Silva.
En 2018, à l’occasion du renouvellement du contrat télécom, le département lance donc un appel d’offres. L’installation de fibres qui parcourent le territoire étant trop coûteuse, il est décidé de séparer l’appel d’offres en plusieurs lots pour favoriser des solutions technologiques qui permettraient de contourner le faible débit de chaque ligne.
Parmi ces solutions, le département a l’intuition que le SD-WAN va résoudre tous ses problèmes : il permet d’additionner les débits de plusieurs liens pour fournir à chaque site un débit global plus important ; on vise alors le 45 Mbits/s par établissement. De plus, le SD-WAN permet de configurer la qualité des services : il devient possible de prioriser les flux pour que, en cas de surcharge des liens, on sacrifie les services jugés peu importants au profit des applications SaaS et, surtout, des communications téléphoniques.
Des prestataires spécialisés devant assurer les missions de SD-WAN, de téléphonie sur IP, de sécurité des liens, il ne restait plus qu’à choisir parmi les opérateurs pour installer les lignes supplémentaires. Orange promettait d’être le mieux-disant.
Un SD-WAN basé sur Nuage et de multiples VMs fonctionnelles
C’est durant l’été 2018 que le département fait le choix du prestataire e-Qual pour prendre en charge les volets SD-WAN et sécurité de son projet. Parmi les premiers à avoir déployer des connexions hybrides MPLS-Internet en France, e-Qual présente surtout l’avantage d’avoir mis lui-même au point une solution appelée Mandala qui va au-delà des fonctions usuelles des boîtiers SD-WAN de série.
L’équipement qu’e-Qual installe sur chaque site est un serveur Linux bardé de connecteurs Ethernet qui exécute sous forme de machine virtuelle le SDN de Nuage Networks, filiale de Nokia.
« L’intérêt de Nuage est qu’il apporte un routage au niveau des services, ce qui permet de véritablement écrire des règles selon les applications. Il comprend par ailleurs une couche firewall/IPsec pour une sécurité minimale. Nous le déployons en machine virtuelle afin de pouvoir ajouter à côté d’autres VMs fonctionnelles, typiquement des routeurs additionnels pour cumuler les bandes passantes de plus de deux connexions Internet simultanées », explique au MagIT Philippe de Lussy, le PDG d’e-Qual.
« Nous pouvons aussi agrémenter notre solution de serveurs de fichiers, de cache, d’un PBX, etc. pour réduire le nombre de boîtiers serveur sur le site. Et à tout cela nous ajoutons encore des fonctions cloud : un agent qui communique avec le service anti-malware et anti-déni de service de Zscaler pour scanner tout le trafic, mais aussi un lien vers Intercloud pour utiliser les applications SaaS publiques via un accès privé et sécurisé », argumente-t-il.
« La qualité technique de l’offre d’e-Qual dépassait toutes les offres que nous avons étudiées », commente le DSI du département, en expliquant avoir procédé avec son équipe à une évaluation méticuleuse de chaque aspect de la solution, y compris son rapport coût/bénéfice.
La difficulté du SD-WAN : attendre les retours utilisateurs pour affiner les réglages
La mise en place des boîtiers Mandala d’e-Qual prend plusieurs semaines. « Nous avons dû surmonter des difficultés liées au fait que la DSI du département n’a pas nécessairement de correspondant informatique sur chaque site. De fait, il est compliqué de savoir si les règles de qualité de service définies arbitrairement dans les SD-WAN sont celles qui correspondent le mieux aux usages », explique Luis Manuel Da Silva.
En l’occurrence, l’accès Internet des collèges présente la particularité de devoir être séparé de manière logicielle entre les flux pédagogiques qui dépendent du département et les flux administratifs qui dépendent du rectorat. Par ailleurs, les agents de service qui y travaillent (restauration, ménage, maintenance...) ont besoin d’accéder en VPN à leurs propres applications métier. « Nous avons donc passé du temps à attendre que chacun remonte les problèmes qu’il rencontre pour trouver le bon équilibre dans les réglages. »
La saisie de ces réglages, et même toute l’administration des SD-WAN, est effectuée à distance par e-Qual. Le prestataire a aussi un rôle de conseil et, pour ce faire, analyse les flux réseau afin de recommander des optimisations dans les réglages. Rapidement, il découvre un phénomène tout à fait inattendu sur le réseau du département. « 50 % de notre bande passante sur le territoire est consommée par les services d’impression ! Lorsqu’un utilisateur veut imprimer, des PDFs très lourds sont acheminés par les liens de son établissement jusqu’au site où se trouve le serveur d’impression, lequel renvoie les données vers l’imprimante située à côté de l’utilisateur », s’exclame Luis Manuel Da Silva.
À sa grande surprise, les usages non prioritaires (consultation de sites web) consomment autant que les flux des applications, soit 25 % de la bande passante chacun.
Une collaboration compliquée avec Orange
Luis Manuel Da SilvaDSI département de la Vienne
Le problème des flux d’impression est soluble : il suffit là aussi de faire des règles et d’imaginer un fonctionnement plus optimal de ce service entre les sites. Sauf que le département ne le peut pas. « Pour savoir quelle bande passante attribuer aux impressions, encore faut-il savoir de quelle bande passante nous disposons entre nos sites. Or, tant qu’Orange n’a pas installé les nouvelles lignes, nous ne le savons pas. En définitive, nous avons déployé un équipement SD-WAN hors-pair à la rentrée, mais nos élèves ont tout de même été obligés de fonctionner en mode dégradé pendant toute l’année scolaire. »
Luis Manuel Da Silva ne cache pas sa colère envers l’opérateur historique. « Tout est compliqué avec eux. La personne qui livre, n’est pas la personne qui branche. Et c’est encore quelqu’un d’autre qui doit configurer l’accès. Un responsable est censé nous accompagner. De temps en temps, il accepte de nous parler, en visioconférence. Il n’est jamais venu nous voir... »
A date, Orange a tout de même réussi à installer des nouvelles lignes sur une soixantaine de sites. « Là où ces lignes existent, le SD-WAN fait des miracles. Les utilisateurs ont vu leur débit multiplié par trois et, même en cas de trafic soutenu, les applications prioritaires ne sont plus ralenties », dit Manuel Da Silva.
Pour les autres sites, le département a opté pour des connexions alternatives aux endroits qui présentaient un caractère d’urgence. « Nous avons momentanément relié des centres techniques en 4G, ce qui leur apporte un débit de 50 Mbits/s. Cette solution était néanmoins inapplicable pour les collèges, car ces abonnements sont limités à 50 Go de consommation mensuelle. »
Ces connexions 4G sont fournies par e-Qual, qui revend ici en marque blanche la couverture d’un opérateur. Lequel ? Luis Manuel Da Silva ne veut même pas le savoir.