Bonjour à tous,
 
Je suis administrateur réseau dans un hôpital et je cherche une solution pour remplacer l’accès des sites distants au site principal.
 
Actuellement nous utilisons des lignes SDSL via le réseau MPLS Equant [le tout fournit par le service ADHERMIP], avec un débit de 512Kbits pour chaque sites distants et 2Mbits pour le site principal. Bien que le temps de réponse soit très bon que de la Qos soit en place pour la ToIP, le débit n’est clairement pas suffisant, et vu le coup mensuel il n’est pas possible d’augmenter la bande passante.
 
Dans le cadre d’un autre projet j’ai monté une maquette avec un accès ADSL2+ et une Livebox Pro v2, vu que la box intègre la possibilité de faire du VPN Ipsec site à site, je me suis dit que cela pouvait être une solution valable.
 
Lors des tests, en montant un VPN site à site entre la Livebox Pro et notre site principal (via l’accès fibre 20Mbits symétrique du site principal) les résultats sont assez décevants :
Sans VPN : 60ms de temps de réponse, environ 14Mbits descendant / 900Kbits montant.
Avec VPN : entre 60ms et 1000ms de temps de réponse, moins de 1Mbits descendant / quasi rien en montant.
 
J’ai récupérer un vieux cisco 831 pour monté le VPN site à site et désactiver celui de la livebox, il y a un peu de mieux :
Entre 60ms et 200ms de temps de réponse, environ 2Mbits en descendant / environ 520Kbits en montant.
 
A votre avis en prenant du matériel plus récent (comme un Bewan LanBooster 9000) qui permet le chiffrement matériel des tunnels IPSEC j’aurais de meilleurs résultats en terme de débits et temps de réponse ?
 
PS : il faut préciser que sur les sites distants il y a peu d'utilisateurs (moins de 10 postes) et que l'essentiel du trafic se fait du site principal vers les sites distants.
 
Merci d’avance !  

tourne toi plutôt vers des solutions d'optimisation wan (cisco waas, riverbed, bluecoat...)
 
OBS fournit un service basé sur cisco waas maintenant dans les offres ip vpn equant.
 
IPSeC c'est un truc qui est en passe de devenir désuet et tu vas gérer tes tunnels toi même, c'est lourd.

 
Quel va être le remplaçant ?

pour du site à site L3VPN sur MPLS, pour du remote SSL ou directement appli en HTTPS (avec éventuellement authentification par certificat client en plus de l'auth de l'appli)

Remplacer du SDSL par de l'adsl c'est tres risquer.
Si tu as un problème sur tes lignes tu n'as aucune garantie alors sur l'sdsl oui.
Un site inaccessible pendant une semaine c'est vraiment génent.
Je suppose que tu as du dossier patient administratif (pastel non ?)  
Tes utilisateurs se connecte en TSE, CITRIX ?
Essaye de renegocier tes contrat ou fait jouer la concurence. Mais bon faire un nouvel appel d'offre ça va te prendre du temps.

@dreamer18 : l'optimisation du wan pourquoi pas mais je voudrais surtout me débarrasser des SDSL si coûteuses.  
Pour OBS ... quand je vois la galère que c'est pour qu'ils ajoutent une simple route, si il est possible de se passer d'eux aussi ^^.  
Ipsec bah c'est pas si chiants de gérer les tunnels une fois montés il n'y a plus rien a faire.
Et les appli métier ne sont pas utilisables en SSL ou HTTP ://
 
@skoiver : oui le risque d'indispo est élevé sur une adsl mais bon ce sont de petits centre de jour de psychiatrie avec peu de poste, si il y a une coupure quelques jours c'est supportable (en mettant en avant l'économie réalisée avec la suppression des SDSL ! )
Oui c'est bien Pastel + Noyau Convergence, mais malheureusement encore en client lourd ! (sic !) d'ou le VPN site à site et pas un bête VPN SSL.  
Appel d'offre ... arf il y en a pour des mois ...

Yop
 
Tu peux me MP je fais du conseil uniquement pour le secteur public donc je pourrai déja te dire si tu peux espérer qlq chose en faisant un AO opérateur (j'ai une bonne base de référence).
 
Pour le reste je rejoins dreamer. La vraie solution c'est l'opti WAN. Par contre la ou je suis pas OK c'est sur le fournisseur. OBS, SFR et cie proposent des tarifs démentiels pour ce genre de truc. On a un exemple bien récent pour un conseil général. En 18 mois de location on a deja dépensé bien plus qu'en achetant du matos neuf et en le faisant maintenir. Donc si opti WAN plutot penser à des integrateurs (Nexti, Spie, OBS !, Computacenter etc)
 
Enfin je déconseille fortement l'IPSEC pour une raison toute simple que tu n'as pas intégré. Si tu veux retrouver un fonctionnement any to any du vas devoir monter N-1 tunnel sur chaque site vers chaque pair. Tu fais la somme de boulot que ca représente, et la prise de tête pour ajouter un site et tu auras tout compris.
Par ailleurs si tu part sur un hubnspoke pour limiter le nombre de tunnel alors dis adieu a la VoIP puisque tu va te prendre un délai de transit moyen qui va largement dépasser les 150ms (vu les chiffres que tu donnes).
 
C'est pas pour ma paroisse que je prêche mais je pense que tu devrais te faire conseiller avant de partir dans le mur...

Les solutions d'optimisation wan sont efefctivement onéreuses.
 
Le débit annoncé avec le vpn paraît étonnant.
 
Concernant la complexité, si c'est principalement du site central vers les sites distants tu n'auras pas tant de tunnel que ça. certains boitiers proposent à partir d'une config hub and spoke de monter des tunnels spoke to spoke à la demande.

Faut voir si l'opti WAN serait efficace dans ton cas; ca marche très bien avec des flux http, pour les autres -notamment les aplis lourdes- c'est moins systématique.

Complètement faux. Riverbed et Cisco proposent des proxy applicatifs CIFS, SQL etc extrèmement performants.

Constaté sur du Riverbed, les gains certains flux sont moins importants.

 
Faire jouer la concurrence dans le public ? Les marchés c'est pour 3 ans

pour des applis génériques tu ne bénéficies que des optimisations TCP (fenêtres, acquittements proxifiés) et du cache binaire/compression delta

Faux c'est 4 ans en marchés publics

 
Ils me semblent que les clients MIPIH passent les demande de change à MIPIH qui les retransmet à OBS (je veux pas trop m'avancer sur les process, MIPIH ne faisant pas parti de mon portefeuille).
 
De notre coté la règle est simple production des change en 48h hors prestation (ca peut monter à flash 4h moyennant quelques euros), faut il qu'on ai la demande en temps et en en heure.
 
Pour le reste je ne peux que rejoindre ce qui a déjà été dit.
 

De base, c'est censé être de l'IPANEMA
Mais effectivement, ils peuvent faire du Cisco Waas. Mais j'ai une préférence pour l'IPANEMA

IPsec sur ADSL, pour la VoIP/ToIP, sans QoS correcte...

Salut toi

ça dépend du marché  
J'en ai en 2 ans + renouvelable 2x1 an, mais ils peuvent s'arrêter au bout de 2 ans s'ils le souhaitent. J'en ai aussi en trois ans sec, et 3 ans + renouvellement 2x1 an

Le max permit par le CMP est de 4 ans, et tu découpes comme tu veux.
 
Pour aller au delà il faut avoir un motif légitime et sérieux qu'il faut présenter avant de passer la consultation. Sinon on prend le risque de voir le marché cassé en controle de legalité (ou équivalent pour tout ce qui n'est pas territorial).

Je n'avais pas saisi entièrement le sens de ton post

Je croyais que l'offre standard avait changé De toute manière j'ai jamais aimé Ipanema Tes collègues d'equant suisse ont eu que des emmerdes avec d'ailleurs

De ce que j'ai suivi, si je ne dis pas de bêtise : avant on était sur du packeteer, puis ipanema est arrivé. Pendant un temps les deux constructeurs étaient ceux de l'offre, puis ils ont retenu que ipanema. Après Cisco est entré doucement. La dernière fois que j'ai réellement regardé (l'été dernier) C'était toujours ipanema qui était là, cisco derrière. Après ça a peut être bougé un peu, faudrait d'ailleurs que je regarde pour un de mes clients...

Concernant le WAAS Cisco ya tjs des pbs de scalabilité ? C'était un des gros pbs a priori dès qu'il y a trop de sites dans le réseau les perfs s'effondrent. Par ailleurs j'ai cru comprendre que c'était une bonne prise de tête a installer.
 
D'ailleurs Cisco est en perte de vitesse sur ce segment de marché, ils ont perdu des parts...

Non le truc s'est simplifié et pour moi ça fonctionne pas trop mal

Effectivement Packeteer a été sorti du catalogue OBS et c Ipanema (l'offre sapel toujours Networkboost d'ailleurs) et Cisco qui sont proposés, Ipanema en mode managé par l'opérateur...faut pas y penser...par contre en mode integré (plus couteux) est beaucoup plus efficace, la diff entre Waas et Ipanema c'est que Cisco est spécialiste des flux TCP, alors qu'Ipanema est plus generaliste (projet visio/voix par ex)
 
Mais pour revenir au sujet principal IP SEC ok quand tu as peu de sites qui ne doivent pas communiquer entre eux, mais dès que tu as besoin de any2any avec un nombre de sites >10 ca devient infernal...multiplication des points de pannes, tu parle deja de rajouter des appliance pour la Qos...est ce qu'au bout le ratio Service/prix sans compter le temps que tu vas passé la dessus au lieu de faire autre chose est ce que ca vaut le cout (coup)?

Je pense aussi a un outil Wanscaler de Citrix!