Discussion :

[kinder540]

Bonjour tout le monde,

Dans le cadre d'un projet à l'école, je dois interconnecté un peu plus de 30 sites distants, qui se trouve un peu partout dans le monde (Afrique, Europe, Amérique Nord et Sud, Océanie, Asie).
Je cherche donc une solution pour réaliser ceci, je me suis penché en premier lieu sur VPN MPLS mais si j'ai bien compris pour que ça soit réalisable il faut que tous les sites dépendent du même opérateur car les échanges ne passeront pas sur Internet, ce qui je pense est un problème du aux nombreux sites à relier et de leurs différentes localisations.
J'ai donc trouvé une autre piste qui est le VPN IPsec qui se base sur internet apparemment pour échanger entre les sites.
Donc je désirerai déjà savoir si ce que je raconte est vrai pour simplement savoir si je fais fausse piste ou non et j'aurai voulu savoir si il n'existe que ces deux solutions pour relier plusieurs sites entre eux...

Merci d'avance...

Cordialement,
Paul.

[elssar]

Salut,

Les ISP établissent des liens de peering entre eux, donc il n'est pas nécessaire d'avoir le même ISP pour avoir un MPLS. Tu imagines bien que cette techno serait très peu utilisé dans le cas contraire (relier paris tokyo par le même ISP, un peu compliqué ). Après je ne sais pas exactement comment ça se passe côté ISP. Mais ce qui est sur c'est que la techno nécessite de bon équipements et une bonne maitrise côté ISP, ce qui dans certains pays n'est pas forcément le cas.

Concernant VPN IPsec oui c'est une autre solution. Les deux présentent des avantages comme des défauts (à toi de faire une étude comparative). Mais ce qui est sur c'est que tu ne peux pas interco 30 sites distants en VPN IPsec n'importe comment, il faut réfléchir à la manière dont tu vas implémenter ça. (la topologie).

Alors que dans le cas d'un MPLS, je pense que ta réflexion est très vite limité, car c'est une techno essentiellement basé côté opérateur, du coup côté client il y a beaucoup de moins de chose à réfléchir (enfin tout dépend du contrat effectué avec le ISP). Par contre si tu dois imaginer aussi ce qui se passe du côté opérateur (car c'est un projet scolaire), attends toi à de la difficulté. Il y a pas mal de techno relativement complexe (vrf, MP-BGP) et c'est pas de la tarte pour un étudiant.

[Miistik]

Bonjour,

De mémoire, un VPN IPsec est un tunnel point à point. Il faudra donc en créer un nombre conséquent pour interconnecter tes 30 sites.

Dans un cas comme le tien, le VPN MPLS est plus approprié.

Il est tout à fait possible de monter une maquette GNS3 ou avec du matériel de l'école pour simuler ces 30 sites au niveau routage.

La technologie MPLS étant de niveau 2.5, il faudra utiliser BGP et donc des sessions MP-iBGP pour assurer le peering des routeurs de tes sites.

Si IP_Steph passe par ici , tu auras une réponse plus experte.

[elssar]

Bonjour,

De mémoire, un VPN IPsec est un tunnel point à point. Il faudra donc en créer un nombre conséquent pour interconnecter tes 30 sites.

Dans un cas comme le tien, le VPN MPLS est plus approprié.

Il est tout à fait possible de monter une maquette GNS3 ou avec du matériel de l'école pour simuler ces 30 sites au niveau routage.

La technologie MPLS étant de niveau 2.5, il faudra utiliser BGP et donc des sessions MP-iBGP pour assurer le peering des routeurs de tes sites.

Si IP_Steph passe par ici , tu auras une réponse plus experte.

Non c'est faux concernant ta partie VPN IPsec, c'est pour ça que j'ai précisé :
"Mais ce qui est sur c'est que tu ne peux pas interco 30 sites distants en VPN IPsec n'importe comment, il faut réfléchir à la manière dont tu vas implémenter ça. (la topologie)."

Quand tu as un grand nombre de site comme ça, l'interco ne se fais (normalement) plus d'un site A à un site B, d'un site A à un site C, etc etc. C'est un effet beaucoup trop lourd à gérer.
C'est plus comme ça:

A vers X X vers B
A vers X X vers C

Je reste volontairement flou dans mon explication, pour qu'il puisse trouver de lui même la réponse.

De plus, ce n'est pas sur à 100% que MPLS>IPsec, ce n'est pas une échelle ou tu as en 1 MPLS et en 2 IPSec, ils ont chacun leurs avantages comme leurs défauts, et c'est en fonction de l'usage, prix etc etc, que tu en choisis un ou pas.

[kinder540]

Je vous remercie de vos réponses, j'avais lu que pour des connexions TOIP, IPsec n'était pas le plus adapté car son cryptage le rend plus "lent" et de plus il traverse un nombre illimité de routeur, contrairement à MPLS, dans tous les cas vous m'avez clairement éclairci à ce sujet et je vous en remercie !

[Invité]

Salut,

Je vous remercie de vos réponses, j'avais lu que pour des connexions TOIP, IPsec n'était pas le plus adapté car son cryptage le rend plus "lent" et de plus il traverse un nombre illimité de routeur, contrairement à MPLS, dans tous les cas vous m'avez clairement éclairci à ce sujet et je vous en remercie !

si tu veux transporter du traffic temps réel comme la ToIP/VoIP, tu peux tirer des VPN IPSec mais il faudra impérativement utiliser TCP (par défaut, c'est UDP). Ainsi, les datagrammes VoIP encapsulés bénéficient des propriétés de TCP. Mais 30 sites interconnectés en VPN, ça devient très vite une usine à gaz, surtout lorsqu'on rajoute un nouveau site, il faut revisiter le routage. Dans une infra basée sur du VPN, il faut aussi se poser la question de la cartographie des flux parce que c'est essentiellement basé sur du "hub-and-spoke" (1 site central, le hub, et les sites distants, les spokes, se connectent à la demande au site central). Là où les choses se corsent, c'est lorsque des sites distants doivent causer entre eux et parfois, on a intérêt à créer plusieurs hubs (je pense que c'est ce que elssar sous-entendait).

Du côté de Cisco, regardes DMVPN (Dynamic Multipoint VPN), je t'invite à faire des recherches sur ce mot-clé. L'intérêt de ce protocole, c'est que les VPN sont créés dynamiquement entre spokes.


Concernant une infra basée sur du MPLS, effectivement si les sites sont disséminés sur toute la planète, les flux traversent plusieurs ISP ce qui peut être problématique.
C'est compliqué à mettre en oeuvre puisqu'il faut créer des "MEP" (MPLS Exchange Points) : un routeur est connecté directement sur plusieurs réseaux MPLS, puis on monte des peerings BGP avec les ISP. Mais ça demande de bien connaître MPLS/BGP puisqu'il faut préserver la continuité des Class of Service MPLS. De plus, ce genre de config, ça évolue dans le temps donc pas facile de faire le RUN
En revanche, certains ISP sont capables d'offrir un "service managé". Ils vont se coordonner avec les différents opérateurs pour offrir ce qui sera vu comme un seul nuage du point de vue du client (j'ai déjà fait ça avec COLT et VERIZON). Par contre, il faut pas mal de dollars pour ça

Steph