Les services de VPN-IP, des solutions réelles sur réseaux virtuels

Solutions économiques pour des réseaux étendus, les services de réseau privé virtuel ont remporté un grand succès avec la mise en ?"uvre du protocole de Frame Relay. Aujourd'hui, de nouvelles offres attrayantes mettent en évidence les limites de ces réseaux existants. Le Frame Relay impose la création d'un circuit virtuel avant tout échange de données entre deux sites. La capacité du Frame Relay à différencier des flux applicatifs est limitée, ce qui conduit à une réservation statique des ressources réseaux et à une allocation de bande passante avec une élasticité restreinte, autorisée par les pointes de trafic propres à chaque circuit virtuel. Enfin, la technologie ne propose pas un acheminement des flux IP en mode natif. En comparaison, les solutions de réseau privé virtuel IP apportent une souplesse et une capacité d'évolution nouvelles, qui permettent de répondre de manière optimale aux besoins des entreprises, avec deux stratégies d'opérateur possibles : MPLS ou IPSec.

Naissance des VPN-IP MPLS

Les opérateurs s'appuient sur les bénéfices de la norme MPLS en matière de différenciation des flux pour proposer plusieurs classes de services (3 ou 4). En pratique, les mécanismes d'affectation de priorité mis en ?"uvre au niveau des routeurs d'extrémité sont comparables à ceux communément utilisés. Néanmoins, les opérateurs présentent différents niveaux de service avec des engagements spécifiques associés à chacune des classes.Outre leur capacité à gérer les flux de manière différenciée, les offres de services MPLS apportent une amélioration supplémentaire par rapport aux relais de trames en proposant une gestion simplifiée de l'acheminement des flux de site à site. Dans ce contexte de routage, la création d'un circuit virtuel ne constitue plus un prérequis à l'échange de données entre deux sites (routage dynamique), et à l'étanchéité des flux requise. Enfin, la norme MPLS permet de transporter en natif les flux IP. Toutefois, les offres VPN-IP MPLS des opérateurs sont récentes. Elles traduisent la jeunesse de la technologie et de son déploiement dans les réseaux des opérateurs. Certains opérateurs ne disposent que d'une couverture MPLS partielle du territoire, qui n'égale pas encore les réseaux Frame Relay en termes de capillarité. En attendant, les opérateurs ont recours au réseau Frame Relay : les paquets IP continuent à être encapsulés dans les trames Frame Relay jusqu'au point d'entrée du réseau MPLS.

IPSec, une solution de remplacement adaptée

En parallèle ou en complément des offres MPLS, les opérateurs ont développé des solutions basées sur la création de tunnels via l'utilisation du protocole IPSec. Dans ce cas, l'opérateur s'appuie sur un réseau dorsal IP maîtrisé et largement dimensionné. Cela l'autorise à prendre des engagements en termes de qualité de service. Le protocole IPSec est implanté sur les routeurs d'extrémité et permet d'assurer une étanchéité des flux. Il est très souvent associé à un algorithme de chiffrement tel que le DES ou le triple DES. L'intelligence est donc gérée au niveau des routeurs d'extrémité et non plus au c?"ur du réseau. La complexité de la gestion d'un réseau VPN-IP IPSec étant liée au nombre de sites à gérer, ce type d'offre s'adapte mal à un nombre de sites important. De surcroît, ces offres ne permettent pas la gestion des classes de services de bout en bout, même si l'utilisation de mécanismes comme DiffServ est envisageable sur certaines parties du backbone. Enfin, elles sont peu adaptées à la mise en ?"uvre de classes de services temps réel en raison du manque d'engagements en termes de temps de transit et surtout de gigue.Aujourd'hui, seules les offres de VPN-IP MPLS autorisent donc les opérateurs à proposer aux entreprises un contrat de services satisfaisant l'ensemble des exigences des entreprises. En revanche, le protocole IPSec pourrait être utilisé partiellement en complément pour les besoins de communications d'utilisateurs nomades ou " exotiques ".

Sous quelles conditions évoluer vers un VPN-IP ?

Face à ces offres, le recensement des différents besoins en réseau des entreprises aide à cerner la technologie de VPN-IP susceptible de répondre à leurs attentes. Le réseau cible doit être capable de transporter des flux IP de façon native. La sécurité des échanges doit privilégier l'utilisation d'une infrastructure privée d'opérateur, sans que celle-ci ne soit physiquement dédiée. Les classes de services doivent autoriser un traitement différencié des flux et une optimisation de la bande passante. Enfin, malgré la forte centralisation des applications encore observable, la solution doit être flexible et évolutive ; et l'ajout de nouveaux sites ou les modifications, simplifiés, avec une banalisation du point de service d'accès IP. Les entreprises étant de plus en plus nombreuses à déléguer la gestion de tout ou partie de leur infrastructure, cette tendance joue en faveur des offres de VPN-IP qui, reposant sur cette logique d'externalisation, permettent aux entreprises de maîtriser et de réduire leur budget télécoms. Mais, avant de prendre la décision de mettre en ?"uvre une solution VPN-IP ou de s'intéresser de plus près aux offres des acteurs, l'entreprise doit d'abord effectuer une analyse de la solution de communication existante et de ses besoins actuels et futurs en termes de système d'information (SI). Elle doit également s'interroger sur ses motivations réelles d'évolution vers une solution VPN-IP intégrant la stratégie globale de l'entreprise : externalisation, développement de la communication, réduction des coûts, mise en place de nouvelles applications ou évolution des relations avec les clients. "* directeur de l'activité Consulting de Cesmo