VPN, VLL et VPLS: les solutions pour les entreprises qui souhaitent mettre en réseau plusieurs sites
Pour les entreprises disposant de plusieurs succursales, une collaboration efficace entre les différents sites est essentielle. Afin de garantir celle-ci, les sites doivent être mis en réseau. Les solutions les plus courantes sont la mise en réseau via Virtual Private Network (VPN), Virtual Leased Line (VLL) ou Virtual Private LAN Service (VPLS). Pour choisir la méthode appropriée, il faut tenir compte des avantages et des inconvénients respectifs ainsi que des exigences en matière de sécurité, de qualité et de coûts.
Les entreprises ayant plus d’un site doivent assurer un transfert des données et des communications sans heurts entre les différents sites. Afin que le personnel du site A ait accès aux mêmes documents que le personnel du site B, les deux sites doivent être mis en réseau. Cette mise en réseau peut être réalisée de différentes manières. Chaque méthode présente des avantages et des inconvénients différents.
Mise en réseau de sites au moyen d’un Virtual Private Network (VPN)
La mise en réseau au moyen d’un Virtual Private Network (VPN) est une méthode courante de mise en réseau de sites. Un VPN établit une connexion sécurisée entre l’émetteur et le récepteur en cryptant les paquets de données à l’aide d’un protocole de tunneling avant de les regrouper dans un autre paquet de données et de les transmettre via Internet. Il construit en quelque sorte un tunnel à travers l’Internet public, qui n’est pas visible de l’extérieur.
Avantages et inconvénients d’une mise en réseau de sites par VPN
Le cryptage VPN empêche tout accès public à la connexion, ce qui nécessite toutefois une grande puissance du processeur et consomme de l’électricité en conséquence. Les passerelles VPN bon marché ont en outre un débit de données limité. Malgré les connexions Internet courantes de 10 gigabits, le débit tombe souvent dans la plage des mégabits dès que le VPN est activé. Les passerelles VPN plus performantes, dont la configuration peut être très complexe, sont logiquement plus chères.
Le VPN fonctionne pour tous les fournisseurs, mais la performance dépend de la qualité de l’interconnexion entre les fournisseurs impliqués. Si les paquets de données ne sont pas transportés de manière optimale d’un point A à un point B (routage sous-optimal), cela peut avoir des conséquences négatives sur l’expérience utilisateur du VPN.
Mise en réseau de sites au moyen d’une Virtual Leased Line (VLL)
Une Virtual Leased Line est une connexion point à point dédiée entre deux sites, fournie par un seul fournisseur. Les deux sites peuvent communiquer entre eux comme s’ils étaient reliés par une ligne directe.
On peut se représenter une connexion VLL comme un très long câble Ethernet direct. Si plusieurs sites sont reliés, plusieurs VLL sont utilisées, un site principal étant généralement défini.
Pour la connexion VLL, une partie de la connexion est établie via une ligne physique et une autre partie via une ligne virtuelle. Entre les sites et le Point of Presence (PoP) le plus proche du fournisseur, une ligne physique est louée, généralement une fibre optique de l’infrastructure FTTH locale.
La partie entre les PoP, c’est-à-dire la majeure partie du trajet, est assurée par une ligne virtuelle sur le réseau (plus précisément sur le backbone) du fournisseur. «Virtuelle» parce qu’une partie de la capacité du réseau du fournisseur est virtuellement attribuée à la VLL.
Supposons qu’une entreprise dispose d’un site à Zurich et d’un site à Genève et qu’elle souhaite mettre en réseau ces deux sites avec une solution VLL d’Init7. Dans un tel cas, Init7 fournit à l’entreprise une ligne physique du site de Zurich jusqu’au PoP (Point of Presence) Init7 le plus proche à Zurich et du site de Genève jusqu’au PoP Init7 le plus proche à Genève. La connexion entre les deux PoP (c’est-à-dire entre Zurich et Genève) est établie via une ligne virtuelle. Du point de vue des sites en revanche, c’est comme s’ils étaient connectés directement via LAN.
Le routage n’est pas toujours optimal
Habituellement, le transfert de données fonctionne de la manière suivante: les données (p. ex. un e-mail) que quelqu’un envoie sont divisées en petits paquets de données. Chaque paquet de données est doté d’un en-tête. L’en-tête contient des informations pertinentes pour le traitement du paquet. Par exemple, l’adresse de l’émetteur et l’adresse du récepteur y sont définies.
Les paquets de données passent par de nombreux routeurs jusqu’à ce qu’ils atteignent leur destination. Chaque routeur lit l’en-tête des paquets et les transmet ensuite au routeur suivant à l’aide d’un tableau de routage.
Ce routage est «destination based» (basé sur la destination), l’émetteur des données ne peut pas déterminer le chemin que prennent ses paquets. C’est pourquoi il arrive souvent que des paquets de données ne soient pas acheminés par le chemin optimal (routage sous-optimal). Par exemple, les paquets de données entre Winterthour et Zurich peuvent faire un détour par Londres – dans le jargon technique, on parle alors avec humour de «Routage touristique». Cela peut affecter les connexions VPN.
VLL basée sur MPLS (Multiprotocol Label Switching)
Il en va autrement avec le Multi Protocol Label Switching (MPLS): le chemin emprunté par les paquets de données est défini à l’avance par le fournisseur.
Pour ce faire, les paquets de données se voient attribuer des étiquettes (Labels) qui définissent un chemin spécifique (appelé Label Switched Path [LSP]). Ces informations sont regroupées dans un en-tête placé au-dessus de l’en-tête «normal». Les routeurs dans le backbone du fournisseur lisent uniquement cet en-tête MPLS et transmettent les paquets au routeur suivant prédéfini en conséquence.
Comme le MPLS n’est exploité qu’au sein du réseau du fournisseur, ce dernier a le contrôle sur la qualité de la connexion. On peut donc s’attendre à un très bon débit de données.
Pour les besoins «normaux», aucun cryptage n’est nécessaire avec une VLL
Contrairement aux VPN, les VLL ne sont pas cryptées. Comme les données ne circulent que sur l’infrastructure du fournisseur et non sur l’Internet public, il suffit de faire appel à un fournisseur VLL de confiance.
Comme mentionné, les données transmises via MPLS sont marquées avec une étiquette et parviennent exclusivement à l’adresse de destination. On peut se représenter la situation comme celle des bagages lors d’un voyage en avion: l’étiquette de la valise définit la destination, mais la compagnie aérienne (le fournisseur) peut (en théorie, cela n’arrive pas dans la pratique) examiner le contenu de la valise à l’aide d’un appareil à rayons X.
Dans le pire des cas, il peut arriver que les étiquettes soient confondues en raison d’une erreur de configuration et que le paquet de données arrive à la mauvaise destination. Toutefois, le dysfonctionnement qui en résulterait permettrait de le remarquer immédiatement. Le risque pour la sécurité est donc faible.
Un cryptage haute sécurité est possible via VLL
Pour les raccordements de sites nécessitant une sécurité accrue, par exemple dans le secteur bancaire, un cryptage à l’aide d’appareils supplémentaires est possible. Pour cela, des boîtiers de cryptage spéciaux sont raccordés aux connexions VLL et codent entièrement le trafic de données. Un tel cryptage est aussi sûr que si le code PIN de la carte bancaire était modifié chaque minute. Dans un tel cas, l’entreprise n’a même plus à s’en remettre à son fournisseur VLL.
Les boîtiers de cryptage performants avec un débit de données sans pertes sont toutefois coûteux et le prix d’une paire atteint des montants à cinq chiffres. D’un autre côté, ils peuvent être utilisés pendant plusieurs années, pour ainsi dire sans entretien. Une vue d’ensemble du marché des boîtiers de cryptage a été publiée il y a quelque temps par inside-it.ch.
Une combinaison judicieuse avec l’accès Internet
Outre la mise en réseau de sites, il est possible de combiner la connexion Internet avec la solution VLL. Dans le graphique ci-dessus, cela pourrait se présenter ainsi: le site de Zurich est relié à Internet, le site de Genève ne l’est pas.
Si un collaborateur de Genève consulte un site Internet, le trafic passe d’abord par la VLL vers Zurich, puis sur l’Internet public et de nouveau par la VLL de Zurich vers Genève.
Cela augmente certes la latence (délai de réponse) de quelques millisecondes, mais permet d’économiser des coûts, car il ne faut investir dans l’infrastructure du pare-feu qu’à un seul endroit. De plus, la sécurité est renforcée, la surface d’attaque étant réduite au minimum.
Avantages et inconvénients d’une mise en réseau de sites par VLL
Les VLL offrent une grande flexibilité et une grande évolutivité de par leur facilité de mise en œuvre. Du point de vue de l’utilisateur, il s’agit d’une solution «plug and play» sans configuration compliquée. Les VLL sont très souvent moins coûteuses que les Leased Lines dédiées traditionnelles, car il y a moins d’infrastructures à acquérir. Les possibilités d’application de l’infrastructure FTTH locale sont élargies.
La mise en réseau de sites par VLL présente également l’avantage de relier les différents sites entre eux comme s’ils étaient directement câblés avec 1 ou 10 gigabits. Contrairement aux VPN, le débit de données n’est pas affecté.
Il existe toutefois un risque de saturation du backbone du fournisseur VLL et de congestion des données. Chez les fournisseurs sérieux, ce n’est toutefois pas le cas en fonctionnement normal. Par rapport à une solution VPN traditionnelle, une VLL est dans tous les cas beaucoup plus performante. La VLL exige toutefois un fournisseur de confiance, car la VLL n’est pas cryptée, à moins d’un investissement supplémentaire.
Mise en réseau de sites au moyen d’un Virtual Private LAN Service (VPLS)
Lors de la mise en réseau par VPLS, tous les différents sites d’une entreprise sont mis en réseau. Chaque site est relié à tous les autres sites. Comme pour la solution VLL, les sites ont l’impression d’être raccordés directement par LAN.
Contrairement à la mise en réseau par VLL, les solutions VPLS ne sont pas gérées. Cela signifie que le fournisseur fournit uniquement la connexion, l’entreprise se charge elle-même du routage du trafic de données.
On peut se représenter le VPLS comme un câble Ethernet doté de plusieurs extrémités. L’entreprise doit veiller elle-même à ce que les données arrivent à la bonne extrémité.
Avantages et inconvénients d’une mise en réseau de sites par VPLS
Par rapport à une VLL, la configuration du VPLS est plus complexe, tant pour l’entreprise que pour le fournisseur. Le VPLS est généralement indiqué lorsqu’il s’agit de mettre en réseau un petit nombre de sites. Dèslors qu’un grand nombre de sites différents doivent être reliés, le VPLS est moins adapté. L’entreprise doit fournir elle-même la logique de routage, ce qui rend la mise en réseau beaucoup plus complexe.
Mise en réseau de sites avec Init7
Nous mettons en réseau les sites de nos clients avec des VLL flexibles, évolutives et d’un prix défiant toute concurrence, qui conviennent aussi bien aux petites qu’aux grandes entreprises. Nous ne proposons pas de VPLS en raison des inconvénients cités.
Si plusieurs sites doivent être mis en réseau, nous mettons en place plusieurs VLL. Cette solution est plus sûre, mais pas plus coûteuse, car notre modèle de facturation est calculé par site et non par connexion. Nous proposons des VLL de 1 gigabit et 10 gigabits au même prix, conformément à notre garantie MaxFix. La largeur de bande passante sélectionnée dépend donc uniquement de l’équipement LAN existant du client. Plus d’informations sur notre site Internet