DEDIBOX-NEWS.COM

Faute ou lapsus

L'utilisation de MPLS se ferrait a travers un tunnel, bien que tu ne controles pas ce que tu fait, si tu bloques la BP utilisable MAX de ton tunnel, cela te permet d'avoir un lien qui n'est jamais sature et d'utiliser un VPN en MPLS dessus => tu peut donc utiliser tout tes services... Aussi la possibilite de load balancing a travers plusieurs connexion ADSL/SDSL... (pour ne faire qu'un lien virtuel de 2-10Mb en upload...

Il est possible de faire ceci avec IPSec ou tout autre VPN et tc, mais c'est vraiment VRAIMENT tres lourd...

Pour le moment, notre dedibox n'est pas livre, nous avons fait quelque tests avec OpenVPN sur serveur OVH, assez concluant (tunnel qui passe le firewall des connexion 3G orange sans probleme - le but etait de donner access au reseau via une connexion 3G). Nous attendons notre dedibox pour faire plus de tests...

MPLS etant un protocole de couche 3 (bien qu'il soit plustot a classer entre 2 et 3...), il est possible de l'utiliser sur un VPN IP. Il est meme possible de faire passer du protocle de couche 2 (Ethernet par exemple) sur le niveau 3 (IP). Bien que l'on peut s'interoger sur l'utilite d'un tel systeme, je le vois comme ceci :

- Plusieurs lien IPSec en tunneling sur differentes liaisons ADSL (genre 5 connexions a 1Mb/20Mb/Sec)
- Un protocole de routage en load balancing sur les differentes connexion (load balancing sur des IP privees)
- Un reseau MPLS sur le reseau prive virtuel

Il est possible de creer plusieurs tunnels IPSec sur lequel on a le controle de la bande passante (dans les 2 sens) : C'est simple. Il est par contre plus complique (mais possible) de gerer tout son traffic avec des utilitaires comme TC. C'est pour cette raison que je voulais utiliser MPLS : Il est tres facile a mettre en oeuvre pour ce qui est du QoS.

Je comprends bien que normalement MPLS est d'habitude plustot au niveau operateur reseau, malheureusement, nous n'avons pas les moyens (et nos clients non plus) de prendre plusieurs connexions SDSL a 1KEuro/Mois...

Pour ce qui est du QoS par dessus un VPN IPSec, cela marche tres bien a condition de ne pas saturer le lien (c.a.d limiter la BP max sur les 2 points du VPN) : Nous avons deja un VPN IPSec avec un Reseau VoIP, Reseau d'Impression, Reseau D'applications Temps reel (Citrix) et Controleur de Domaine (Samba 3) : Le fait de lancer une impression d'un gros fichier (image de plusieurs dizaines de Mega) sur un site distant ne genne pas les services temps reel (VoIP et Citrix), grace aux regles, tres lourdes, de QoS base sur tc. Ces regles doivent en plus etre modifiees et verifiees a chaque modification du reseau. Cette verification prends souvent plusieurs heures, voir plus.

Avec MPLS, une fois les VPN installe, il est tres simpe d'installer un systeme de QoS qui est suffisant pour la pluspart des personnes avec qui nous travaillons.

OpenVPN distingue deux modes de fonctionnement, bridging ou routing.

En bridging, tu travailles au niveau ethernet, en quelque sorte. Le VPN travaille comme un long cable entre les deux machines. Sur ce "cable ethernet virtuel" tu peux utiliser tous les protocoles: évidemment IP mais aussi le NetBIOS de Windows, les broadcasts (ce qui permet par exemple à un jeu de chercher les autres joueurs sans être obligé de saisir l'IP cible), ...

Le second mode, le routing, travaille niveau IP. C'est un peu comme une connexion internet/WAN: les broadcasts, Netbios... passent pas, uniquement de l'IP (il faut d'ailleurs définir la route kivabien).

Le mode routing est plus rapide et est largement suffisant pour un bon nombre de services (accès à du Web, à une base SQL, ...).

Il est possible qu'il y ait une latence un peu plus grande. Je t'avouerai humblement que j'ai pas trop fouillé côté bridging, le routing étant suffisant pour ce que je fais.
Maintenant, OpenVPN étant très facile à mettre en place, t'auras vite testé.

Pour du jeux vidéo, tu peux faire tourner OpenVPN sans chiffrement, voire lorgner sur d'autres protocoles (PPTP permet peut-être de faire du bridging, je sais plus).

Dernière modification par Calimero (2006-07-02 01:35:21)