En choisissant un opérateur VPN-IP pour notre réseau de communication, nous nous déchargions des tuyaux“, explique Gérard Druet, directeur des systèmes d’information de GFI Informatique. Ces réseaux VPN-IP constituent la troisième vague de services de transport de données qui succède à la commutation de paquets X.25, puis aux services Frame Relay.Leur principal atout réside dans le raccordement de tous les sites d’une entreprise éclatée jusqu’au point de présence de l’opérateur, tout en respectant le protocole IP employé en interne. L’utilisateur a alors l’impression de posséder son propre réseau, alors qu’il se sert d’une infrastructure IP mutualisée. Des techniques de sécurisation comme les tunnels IP assurent l’étanchéité avec les autres ” clients ” du réseau, tandis que l’entreprise conserve, en général, son plan d’adressage IP privé. Certains opérateurs traditionnels préfèrent réutiliser leur infrastructure Frame Relay pour assurer, via des lignes louées, des tunnels sécurisés entre les sites de leurs clients et leur réseau IP. Dans ce cas, la sécurisation s’appuie sur la base de circuits virtuels permanents (CVP), point à point. La technique des tunnels IP, utilisée par tous les opérateurs y compris sur des CVP, est, plus généralement, nécessaire lorsque les raccordements de sites sont effectués via les réseaux commutés.
Les coûts de communication fondent à vue d’?”il
Parmi les raisons qui conduisent une entreprise à opter pour cette solution figure, en premier lieu, l’argument d’ordre économique. Les facilités de déploiement offertes par les opérateurs sont également avancées. Dans la majorité des contrats signés, l’opérateur ou l’ISP installe le routeur et la liaison télécoms qui relie le(s) site(s) du client à sa propre infrastructure IP. Le service est géré de bout en bout, l’opérateur prenant en charge la maintenance et l’administration du routeur. Il suffit, pour la société cliente, de se connecter au point d´accès (POP) le plus proche de l’opérateur ou de l’ISP, qui acheminera les requêtes par Internet jusqu’au réseau de ses filiales. Cette configuration est source d’économie puisque l’entreprise ne paie, en général, que le coût de raccordement local que lui refacture l’opérateur.”Notre objectif était de nous connecter davantage, tout en baissant la facture télécoms, en prévision de l’arrivée de nouvelles applications, plus gourmandes en débits“, souligne Pascal Schirrmann, administrateur de réseau à la Sacem (Société des auteurs, compositeurs et éditeurs de musique). L’opérateur choisi, isdnet, raccorde les quatre-vingt-dix-sept agences départementales de l’organisme, au tarif local de Numéris, y compris celles (au nombre de vingt-cinq) où il ne dispose pas de POP. “Nous payons un forfait mensuel de 600 F ht par site, poursuit-il. Le point d’équilibre financier se situe à partir d’une heure et quinze minutes de communication par jour ouvrable. Aujourd’hui, notre consommation dépasse ce seuil de peu, mais l’intégralité de nos applicatifs n’est pas encore déployée. Prochainement, nous pourrons vraiment tirer un intérêt financier de notre réseau. “Pour d’autres, le prix n’est qu’un élément de la décision. “Le VPN, d’Oléane, permet à nos concessionnaires d’accéder à notre serveur de manière sécurisée et pour un coût raisonnable. Pour eux, la facture mensuelle s’élève à 925 F, auxquels s’ajoute le prix d’achat du routeur, environ de 15 000 F“, détaille Philippe Duval, responsable informatique au sein de la filiale française du constructeur automobile Saab.GFI Informatique, en revanche, a plutôt été convaincu par l’argument de la rapidité de déploiement d’un réseau. “En 1996, notre société a fait l’objet d’une refondation complète. Il n’était pas question de bâtir nous-mêmes notre réseau de communication informatique interne“, insiste Gérard Druet, qui a fait appel à l’offre de services de réseau privé virtuel d’isdnet pour interconnecter ses vingt et une agences françaises.
Un déploiement rapide et une administration souple
La SSII ne s’en remet pas pour autant les yeux fermés à la filiale de Cable & Wireless…”Si notre but était bien de déléguer la mission de déployer les tuyaux, nous souhaitions garder les compétences en interne pour conserver la maîtrise technique de notre réseau“.GFI a ainsi fait héberger physiquement chez isdnet son propre coupe-feu Internet et continue à définir, à partir de cet équipement, ses propres règles de sécurité, mises à jour chaque mois. De même, il a installé chez son opérateur une passerelle de messagerie électronique adaptant le protocole de messagerie propre à Lotus/Notes au protocole SMTP, qu’il administre aussi à distance.Les applications justifiant le recours à un service de réseau privé virtuel sont de deux types. Les premières consistent à interconnecter des réseaux locaux TCP-IP d’agences à une infrastructure d’opérateur, pour les relier au site central de l’entreprise. “ La problématique de la Sacem était complexe. Avec des communications entre le siège et les délégations locales, entre les directions régionales et les délégations, entre le siège et les directions, nous avions besoin d’un réseau maillé sachant établir une connexion de n’importe quel point vers n’importe quel autre“, explique Pascal Schirrmann. L’informatique de la Sacem est depuis longtemps décentralisée.Des serveurs sous UnixWare version 7.1.1. ont été déployés dans les quatre-vingt-dix-sept délégations. En outre, l’organisme souhaitait anticiper la montée en charge des applications de messagerie et d’Intranet. Autant de nouvelles communications, essentiellement passées durant les heures ouvrables, qui viendraient accroître le volume des connexions et, par conséquent, les coûts déjà jugés trop importants. Les agences de la Sacem sont désormais raccordées en Numéris, déjà utilisé de longue date, aux points de présence d’isdnet, qui a installé des routeurs RNIS Pipeline 50 sur tous les sites. Pour vingt-six délégations départementales, à proximité desquelles isdnet ne possédait pas de points de présence, des techniques de rappel (callback) ont été mises en place à partir de leurs sites centraux pour assurer une connexion RNIS longue distance au tarif local.
L’entreprise peut conserver son plan d’adressage IP
Une ligne spécialisée relie le siège social de la Sacem, à Neuilly, au centre technique de l’opérateur, situé à Paris-Montparnasse, par le biais d’une liaison à 2 Mbit/s. Depuis juin 1999, la Sacem utilise l’infrastructure IP nationale d’isdnet en bénéficiant de son propre plan d’adressage privé. L’ensemble du réseau constitué par les sites français s’est vu attribuer une classe d’adresses de type 171.18.XXX.XXX.Chaque site utilisant un sous-réseau décliné à partir de cette classe d’adresses, l’infrastructure IP de l’opérateur transporte et achemine ses adresses au sein de son réseau sans les retoucher. “Nous ne voyons pas leur réseau “, explique Pascal Schirrmann. isdnet emploie une technique de tunnel IP de niveau 2 propriétaire, d’origine Lucent Technologies, établie entre les Pipeline 50 installés en agence et les plates-formes de concentration Max implantées au c?”ur du réseau de l’opérateur.
Au-delà de la sécurité, la qualité de service
Pour sa part, GFI Informatique est en train de relier progressivement ses agences aux points de présence d’isdnet par des liaisons louées de 128 kbit/s ou 256 kbit/s. L’opérateur utilise des raccordements de type VPN en Frame Relay. Des tunnels IP de niveau 2 sont activés entre le routeur d’extrémité et le routeur de concentration installé au c?”ur du réseau de l’opérateur, tous deux d’origine Lucent.L’infrastructure IP de Saab, qui a opté pour l’offre d’Oléane, sert de support à un véritable réseau Extranet. Les cinquante-cinq concessionnaires ainsi reliés sont, en effet, des entités juridiques indépendantes de la filiale française du constructeur suédois. Chacun d’entre eux a été doté d’un routeur Cisco, installé par la filiale de France Télécom. Ils sont reliés aux POP d’Oléane les plus proches, via le réseau public RNIS, puis à un serveur AS/400 installé en Suède, via le siège de Saab France situé à Nanterre. “ Les concessionnaires accèdent en mode émulation de terminal AS/400 aux applicatifs centraux de suivi de commande de voitures ou de pièces détachées. A court terme, ils auront accès à un véritable portail Internet“, explique Philippe Duval. Les routeurs installés par Oléane dans le cadre de l’abonnement Call ont une adresse IP spécifique fixe, attribuée par l’opérateur. Le trafic IP provenant des concessionnaires transite dans le réseau Oléane jusqu’au siège de la filiale française par des voies plus étanches que celles qu’empruntent les utilisateurs de connexions Internet classiques. Des techniques de tunnel IP de niveau 2 sont employées par Oléane pour sécuriser ces communications commutées. “Nous avons constaté des problèmes de démarrage lors du raccordement du routeur et de la mise en service du tunnel, que nous avons mis sur le compte de la configuration de pare-feu du côté d’Oléane“, se souvient le responsable informatique.L’utilisation des VPN soulève les questions du niveau de la sécurisation des échanges et de la qualité de service. Exploités pour le transfert de données stratégiques, ces services doivent répondre aux exigences des entreprises, en termes de disponibilité et de sécurité du système d´information. “ Si l’équipement central de concentration des tunnels IP, situé chez l’opérateur, était gravement défaillant, notre réseau pourrait être bloqué“, remarque Pascal Schirrmann. Le niveau de sécurisation le plus élevé consiste, pour l’opérateur, à ajouter à la technique de tunnel des fonctions additionnelles d’authentification et de chiffrement. Cela peut se révéler impératif lorsque les données circulent sur le réseau Internet public. Le raccordement de postes de travail nomades sur le VNP-IP peut également justifier le recours à des techniques cryptographiques. Standardisé par l’IETF, le protocole IPSec est le nec plus ultra dans ce domaine. Ce n’est que récemment que plusieurs opérateurs ont annoncé l’ouverture commerciale de services de VPN-IP assurant des fonctions de chiffrement ” au fil de l’eau ” destinées à leurs abonnés les plus exigeants.”L’utilisation du chiffrement, ou de classes de service différenciées n’était pas requise dans le cadre de notre réseau “, affirme Pascal Schirrmann, qui avoue pourtant n’être pas tout à fait satisfait de la qualité de service du réseau.
Le chiffrement n’est pas encore entré dans les m?”urs
“Si, comparativement à la situation antérieure, nous constatons peu de pertes de performances pour la transmission de fichiers, celles-ci se sont sensiblement dégradées pour les applications transactionnelles. Nous attribuons cela aux mécanismes de tunnel et au mode de callback. Les deux se conjuguent pour pénaliser l’établissement au niveau de la communication, qui atteint parfois plus de dix secondes contre quelques secondes auparavant. Le phénomène est surtout ressenti par les utilisateurs“, regrette-t-il.Saab France, de son côté, a insisté sur les aspects de la sécurité, dans la mesure où un Extranet est en jeu. “Le siège social français sert de n?”ud intermédiaire entre les concessionnaires extérieurs à l’entreprise et le réseau interne de Saab. Pour ces communications internes, un tunnel IP avec chiffrement des données est établi par l’outil d’origine F-secure installé au siège, en Suède. Ce chiffrement devrait rapidement être effectué de bout en bout et étendu aux communications établies à partir de la concession, où un logiciel client VPN sera installé “, explique son responsable informatique. GFI envisage, quant à lui, d’utiliser des techniques de chiffrement pour relier des sites de l’entreprise implantés à l’étranger.L’extension à l’échelon international d’un VPN proposé par un opérateur sur la France soulève encore quelques questions. Lorsqu’on souhaite raccorder plusieurs sites internationaux, rares sont les ISP présents dans chacun des pays et offrant une qualité de service homogène. La mauvaise qualité de service de certains ISP locaux peut entraîner des temps de réponse trop élevés, ce qui conduit à envisager avec prudence une solution internationale multiopérateur de VPN à base de tunnel IP.Enfin, la traversée d’Internet, via plusieurs ISP, peut poser problème, notamment si le protocole IPSec est utilisé. Il gère mal les éventuelles translations d’adresses pratiquées lors de l’établissement du tunnel IP. C’est un autre aléa propre à Internet. “Nous prévoyons de raccorder d’abord, sur la base d’une solution de pare-feu central Check Point, une de nos implantations marocaines à un module client installé localement “, précise Gérard Druet. La connexion de quelques postes nomades sur le territoire français est également à l’étude. A la Sacem, le raccordement des accès nomades pourrait être envisagé. “ Mais la question de la sécurité demande à être étudiée avec l’opérateur “, souligne Pascal Schirrmann.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
