VPN Ipsec sur ADSL une alternative au MPLS ?

VPN Ipsec sur ADSL une alternative au MPLS ? - Télécom - Systèmes & Réseaux Pro

Marsh Posté le 30-12-2010 à 11:45:22    

Bonjour à tous,
 
Je suis administrateur réseau dans un hôpital et je cherche une solution pour remplacer l’accès des sites distants au site principal.
 
Actuellement nous utilisons des lignes SDSL via le réseau MPLS Equant [le tout fournit par le service ADHERMIP], avec un débit de 512Kbits pour chaque sites distants et 2Mbits pour le site principal. Bien que le temps de réponse soit très bon que de la Qos soit en place pour la ToIP, le débit n’est clairement pas suffisant, et vu le coup mensuel il n’est pas possible d’augmenter la bande passante.
 
Dans le cadre d’un autre projet j’ai monté une maquette avec un accès ADSL2+ et une Livebox Pro v2, vu que la box intègre la possibilité de faire du VPN Ipsec site à site, je me suis dit que cela pouvait être une solution valable.
 
Lors des tests, en montant un VPN site à site entre la Livebox Pro et notre site principal (via l’accès fibre 20Mbits symétrique du site principal) les résultats sont assez décevants :
Sans VPN : 60ms de temps de réponse, environ 14Mbits descendant / 900Kbits montant.
Avec VPN : entre 60ms et 1000ms de temps de réponse, moins de 1Mbits descendant / quasi rien en montant.
 
J’ai récupérer un vieux cisco 831 pour monté le VPN site à site et désactiver celui de la livebox, il y a un peu de mieux :
Entre 60ms et 200ms de temps de réponse, environ 2Mbits en descendant / environ 520Kbits en montant.
 
A votre avis en prenant du matériel plus récent (comme un Bewan LanBooster 9000) qui permet le chiffrement matériel des tunnels IPSEC j’aurais de meilleurs résultats en terme de débits et temps de réponse ?
 
PS : il faut préciser que sur les sites distants il y a peu d'utilisateurs (moins de 10 postes) et que l'essentiel du trafic se fait du site principal vers les sites distants.
 
Merci d’avance !  :jap:


---------------
"N'oubliez jamais que Dieu a le sens de l'humour, voyez l'ornytorinque" DoGma  
Reply

Marsh Posté le 30-12-2010 à 11:45:22   

Reply

Marsh Posté le 30-12-2010 à 11:53:32    

tourne toi plutôt vers des solutions d'optimisation wan (cisco waas, riverbed, bluecoat...)
 
OBS fournit un service basé sur cisco waas maintenant dans les offres ip vpn equant.
 
IPSeC c'est un truc qui est en passe de devenir désuet et tu vas gérer tes tunnels toi même, c'est lourd.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 30-12-2010 à 12:53:53    

dreamer18 a écrit :

IPSeC c'est un truc qui est en passe de devenir désuet et tu vas gérer tes tunnels toi même, c'est lourd.


 
Quel va être le remplaçant ?

Reply

Marsh Posté le 30-12-2010 à 12:55:18    

pour du site à site L3VPN sur MPLS, pour du remote SSL ou directement appli en HTTPS (avec éventuellement authentification par certificat client en plus de l'auth de l'appli)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 30-12-2010 à 13:44:20    

Remplacer du SDSL par de l'adsl c'est tres risquer.
Si tu as un problème sur tes lignes tu n'as aucune garantie alors sur l'sdsl oui.
Un site inaccessible pendant une semaine c'est vraiment génent.
Je suppose que tu as du dossier patient administratif (pastel non ?)  
Tes utilisateurs se connecte en TSE, CITRIX ?
Essaye de renegocier tes contrat ou fait jouer la concurence. Mais bon faire un nouvel appel d'offre ça va te prendre du temps.

Message cité 2 fois
Message édité par skoizer le 30-12-2010 à 13:48:59

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 30-12-2010 à 14:05:39    

@dreamer18 : l'optimisation du wan pourquoi pas mais je voudrais surtout me débarrasser des SDSL si coûteuses.  
Pour OBS ... quand je vois la galère que c'est pour qu'ils ajoutent une simple route, si il est possible de se passer d'eux aussi ^^.  
Ipsec bah c'est pas si chiants de gérer les tunnels une fois montés il n'y a plus rien a faire.
Et les appli métier ne sont pas utilisables en SSL ou HTTP ://
 
@skoiver : oui le risque d'indispo est élevé sur une adsl mais bon ce sont de petits centre de jour de psychiatrie avec peu de poste, si il y a une coupure quelques jours c'est supportable (en mettant en avant l'économie réalisée avec la suppression des SDSL ! :D)
Oui c'est bien Pastel + Noyau Convergence, mais malheureusement encore en client lourd ! (sic !) d'ou le VPN site à site et pas un bête VPN SSL.  
Appel d'offre ... arf il y en a pour des mois ...

Message cité 1 fois
Message édité par birkov le 30-12-2010 à 14:07:03

---------------
"N'oubliez jamais que Dieu a le sens de l'humour, voyez l'ornytorinque" DoGma  
Reply

Marsh Posté le 30-12-2010 à 15:19:55    

Yop
 
Tu peux me MP je fais du conseil uniquement pour le secteur public donc je pourrai déja te dire si tu peux espérer qlq chose en faisant un AO opérateur (j'ai une bonne base de référence).
 
Pour le reste je rejoins dreamer. La vraie solution c'est l'opti WAN. Par contre la ou je suis pas OK c'est sur le fournisseur. OBS, SFR et cie proposent des tarifs démentiels pour ce genre de truc. On a un exemple bien récent pour un conseil général. En 18 mois de location on a deja dépensé bien plus qu'en achetant du matos neuf et en le faisant maintenir. Donc si opti WAN plutot penser à des integrateurs (Nexti, Spie, OBS !, Computacenter etc)
 
Enfin je déconseille fortement l'IPSEC pour une raison toute simple que tu n'as pas intégré. Si tu veux retrouver un fonctionnement any to any du vas devoir monter N-1 tunnel sur chaque site vers chaque pair. Tu fais la somme de boulot que ca représente, et la prise de tête pour ajouter un site et tu auras tout compris.
Par ailleurs si tu part sur un hubnspoke pour limiter le nombre de tunnel alors dis adieu a la VoIP puisque tu va te prendre un délai de transit moyen qui va largement dépasser les 150ms (vu les chiffres que tu donnes).
 
C'est pas pour ma paroisse que je prêche mais je pense que tu devrais te faire conseiller avant de partir dans le mur...


Message édité par jujudu44 le 30-12-2010 à 15:21:20

---------------
Jujudu44
Reply

Marsh Posté le 30-12-2010 à 20:48:49    

Les solutions d'optimisation wan sont efefctivement onéreuses.
 
Le débit annoncé avec le vpn paraît étonnant.
 
Concernant la complexité, si c'est principalement du site central vers les sites distants tu n'auras pas tant de tunnel que ça. certains boitiers proposent à partir d'une config hub and spoke de monter des tunnels spoke to spoke à la demande.

Reply

Marsh Posté le 31-12-2010 à 12:53:38    

Faut voir si l'opti WAN serait efficace dans ton cas; ca marche très bien avec des flux http, pour les autres -notamment les aplis lourdes- c'est moins systématique.

Reply

Marsh Posté le 31-12-2010 à 21:24:56    

Complètement faux. Riverbed et Cisco proposent des proxy applicatifs CIFS, SQL etc extrèmement performants.


---------------
Jujudu44
Reply

Marsh Posté le 31-12-2010 à 21:24:56   

Reply

Marsh Posté le 01-01-2011 à 14:00:46    

Constaté sur du Riverbed, les gains certains flux sont moins importants.

Reply

Marsh Posté le 01-01-2011 à 14:14:53    

skoizer a écrit :

Essaye de renegocier tes contrat ou fait jouer la concurence. Mais bon faire un nouvel appel d'offre ça va te prendre du temps.


 
Faire jouer la concurrence dans le public ? Les marchés c'est pour 3 ans ;)


---------------
Hebergement d'images | Le topic de la VR standalone
Reply

Marsh Posté le 01-01-2011 à 15:05:23    

Jab Hounet a écrit :

Constaté sur du Riverbed, les gains certains flux sont moins importants.

pour des applis génériques tu ne bénéficies que des optimisations TCP (fenêtres, acquittements proxifiés) et du cache binaire/compression delta


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 01-01-2011 à 21:55:30    

LibreArbitre a écrit :


 
Faire jouer la concurrence dans le public ? Les marchés c'est pour 3 ans ;)


Faux c'est 4 ans en marchés publics


---------------
Jujudu44
Reply

Marsh Posté le 12-01-2011 à 01:03:27    

birkov a écrit :

Pour OBS ... quand je vois la galère que c'est pour qu'ils ajoutent une simple route, si il est possible de se passer d'eux aussi ^^.


 
Ils me semblent que les clients MIPIH passent les demande de change à MIPIH qui les retransmet à OBS (je veux pas trop m'avancer sur les process, MIPIH ne faisant pas parti de mon portefeuille).
 
De notre coté la règle est simple production des change en 48h hors prestation (ca peut monter à flash 4h moyennant quelques euros), faut il qu'on ai la demande en temps et en en heure.
 
Pour le reste je ne peux que rejoindre ce qui a déjà été dit.
 


---------------
Si vis pacem, para bellum.
Reply

Marsh Posté le 13-01-2011 à 10:22:48    

dreamer18 a écrit :

tourne toi plutôt vers des solutions d'optimisation wan (cisco waas, riverbed, bluecoat...)

 

OBS fournit un service basé sur cisco waas maintenant dans les offres ip vpn equant.


De base, c'est censé être de l'IPANEMA :o
Mais effectivement, ils peuvent faire du Cisco Waas. Mais j'ai une préférence pour l'IPANEMA :o

 
skoizer a écrit :

Remplacer du SDSL par de l'adsl c'est tres risquer.


IPsec sur ADSL, pour la VoIP/ToIP, sans QoS correcte... :/

 


Salut toi :o

Message cité 1 fois
Message édité par o'gure le 13-01-2011 à 10:36:00

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 13-01-2011 à 10:24:55    

jujudu44 a écrit :

Faux c'est 4 ans en marchés publics


ça dépend du marché [:spamatounet]  
J'en ai en 2 ans + renouvelable 2x1 an, mais ils peuvent s'arrêter au bout de 2 ans s'ils le souhaitent. J'en ai aussi en trois ans sec, et 3 ans + renouvellement 2x1 an


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 13-01-2011 à 11:20:57    

Le max permit par le CMP est de 4 ans, et tu découpes comme tu veux.
 
Pour aller au delà il faut avoir un motif légitime et sérieux qu'il faut présenter avant de passer la consultation. Sinon on prend le risque de voir le marché cassé en controle de legalité (ou équivalent pour tout ce qui n'est pas territorial).

Message cité 1 fois
Message édité par jujudu44 le 13-01-2011 à 11:21:11

---------------
Jujudu44
Reply

Marsh Posté le 13-01-2011 à 13:44:52    

jujudu44 a écrit :

Le max permit par le CMP est de 4 ans, et tu découpes comme tu veux.


Je n'avais pas saisi entièrement le sens de ton post [:god]


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 13-01-2011 à 17:29:45    

o'gure a écrit :

De base, c'est censé être de l'IPANEMA :o
Mais effectivement, ils peuvent faire du Cisco Waas. Mais j'ai une préférence pour l'IPANEMA :o

Je croyais que l'offre standard avait changé :D De toute manière j'ai jamais aimé Ipanema :D Tes collègues d'equant suisse ont eu que des emmerdes avec d'ailleurs :o


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 13-01-2011 à 19:14:02    

dreamer18 a écrit :

Je croyais que l'offre standard avait changé :D De toute manière j'ai jamais aimé Ipanema :D Tes collègues d'equant suisse ont eu que des emmerdes avec d'ailleurs :o


De ce que j'ai suivi, si je ne dis pas de bêtise : avant on était sur du packeteer, puis ipanema est arrivé. Pendant un temps les deux constructeurs étaient ceux de l'offre, puis ils ont retenu que ipanema. Après Cisco est entré doucement. La dernière fois que j'ai réellement regardé (l'été dernier) C'était toujours ipanema qui était là, cisco derrière. Après ça a peut être bougé un peu, faudrait d'ailleurs que je regarde pour un de mes clients... :o


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 13-01-2011 à 21:21:26    

Concernant le WAAS Cisco ya tjs des pbs de scalabilité ? C'était un des gros pbs a priori dès qu'il y a trop de sites dans le réseau les perfs s'effondrent. Par ailleurs j'ai cru comprendre que c'était une bonne prise de tête a installer.
 
D'ailleurs Cisco est en perte de vitesse sur ce segment de marché, ils ont perdu des parts...


---------------
Jujudu44
Reply

Marsh Posté le 13-01-2011 à 21:38:47    

Non le truc s'est simplifié et pour moi ça fonctionne pas trop mal


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 15-01-2011 à 13:13:15    

Effectivement Packeteer a été sorti du catalogue OBS et c Ipanema (l'offre sapel toujours Networkboost d'ailleurs) et Cisco qui sont proposés, Ipanema en mode managé par l'opérateur...faut pas y penser...par contre en mode integré (plus couteux) est beaucoup plus efficace, la diff entre Waas et Ipanema c'est que Cisco est spécialiste des flux TCP, alors qu'Ipanema est plus generaliste (projet visio/voix par ex)
 
Mais pour revenir au sujet principal IP SEC ok quand tu as peu de sites qui ne doivent pas communiquer entre eux, mais dès que tu as besoin de any2any avec un nombre de sites >10 ca devient infernal...multiplication des points de pannes, tu parle deja de rajouter des appliance pour la Qos...est ce qu'au bout le ratio Service/prix sans compter le temps que tu vas passé la dessus au lieu de faire autre chose est ce que ca vaut le cout (coup)?

Reply

Marsh Posté le 15-01-2011 à 13:17:42    

Je pense aussi a un outil Wanscaler de Citrix!

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed