Les boîtiers spécialisés se démarquent des offres d'opérateurs

Les boîtiers dédiés à la gestion des flux opèrent plus finement que les mécanismes de priorisation proposés par les opérateurs. Ces produits accentuent leur avance, notamment en s'adaptant au mode "any to any" et en compressant les données.

Lorsque le réseau d'une entreprise multisites commence à s'engorger, le premier réflexe est d'élargir les tuyaux. Mais cette méthode se révèle bien souvent insuffisante voire inutile, en particulier lorsque des flux applicatifs secondaires ou indésirables tendent à occuper toute la bande passante disponible. Sans aller jusque-là, chaque application évolue spécifiquement tout en étant plus ou moins critique pour l'entreprise. La solution consiste donc à accorder une priorité aux flux selon plusieurs niveaux.

Cette possibilité est offerte aussi bien par la plupart des routeurs que par les opérateurs de VPN/IP. Mais il existe une approche beaucoup plus fine, offerte par des constructeurs de boîtiers comme Allot, Streamcore System, Ipanema ou Packeteer. Ils sont eux-mêmes concurrencés par Check Point, qui intègre des fonctionnalités comparables dans sa passerelle IP-Sec.

Le recours à ces produits coûteux et complexes intervient une fois que les autres solutions ont révélé leurs limites. La principale de ces solutions est donc celle des VPN/IP sous MPLS. Leurs opérateurs proposent de donner une priorité aux flux selon quatre à six classes de services.

La première sera dédiée aux flux temps réels - essentiellement la voix sur IP. Puis viendront généralement les applications métier critiques, la messagerie et la navigation sur le web. Si cette segmentation n'a pas besoin d'être affinée ou régulièrement modifiée, il n'est pas nécessaire de chercher une autre solution. Concrètement, les paquets de données seront marqués en fonction de leur degré de priorité via une écriture dans un champ baptisé DiffServ, nom du mécanisme le plus couramment utilisé. Selon ce degré, le routeur d'accès au réseau et les équipements du backbone de l'opérateur laisseront passer les paquets ou les bloqueront. Ce même mécanisme DiffServ peut être mis en oeuvre par l'entreprise sur les routeurs d'un réseau qu'elle a déployé elle-même, par exemple sur la base de liaisons louées. Mais ce type de démarche est de plus en plus rare.

Une approche plus fine que les classes de services

Si le nombre de niveaux de priorité doit être supérieur à cinq et si l'entreprise veut les modifier fréquemment, les offres des opérateurs se révèlent insuffisantes. Il faut alors recourir à des boîtiers comme ceux de la gamme PacketShaper de Packeteer, leader de ce marché. Pour se démarquer des opérateurs, ces spécialistes ont plusieurs arguments. Tout d'abord, ils permettent de mettre en oeuvre autant de niveaux de priorité que d'applications. D'autre part, parce qu'ils travaillent au-delà de la couche quatre (à laquelle se limitent les routeurs), ils sont en mesure d'identifier des centaines de flux applicatifs standards comme Citrix, Oracle, SAP, Peoplesoft et, bien sûr, web, messagerie, transfert de fichiers ou voix sur IP.

Puisque l'entreprise a la main sur l'équipement, elle peut en outre à tout moment modifier les règles de priorité. Elles concerneront non seulement les types de flux mais aussi leur sens, les serveurs et les utilisateurs, ainsi que les plages horaires (ce qui permet par exemple de donner des priorités aux sauvegardes nocturnes).

D'autre part, ces boîtiers se montrent plus intelligents que les routeurs. «Par exemple, plutôt que de bloquer les paquets non prioritaires, ce qui provoquerait leur réémission, ceux-ci sont retardés dans une mémoire tampon», détaille Eugène K'Dual, responsable commercial chez Packeteer.

Autre avantage de ces équipements, les constructeurs leur ont récemment conféré la capacité à compresser les données en temps réel. Ce que les opérateurs ne sont pas pressés de proposer, leur logique commerciale étant plutôt de vendre davantage de bande passante.

Architecture en étoile ou "any to any"

La mise en oeuvre de ces produits est réalisée selon deux architectures. La première, adaptée aux entreprises dont les sites ont une structure en étoile, sous-tend le déploiement d'un seul boîtier placé entre le LAN du siège et le routeur sortant sur le WAN. Mais si les sites sont amenés à dialoguer directement entre eux (on parle de mode "any to any") ou si la fonction de compression est activée, il est nécessaire d'installer un boîtier sur chacun d'entre eux. Pour accompagner cette tendance, les constructeurs lancent des produits d'entrée de gamme dont le coût démarre à 2.000 euros, contre 10.000 à 50.000 euros pour le haut de gamme.

Si Packeteer doit se démarquer des offres des opérateurs, la problématique de ses concurrents est de se démarquer de lui. Par exemple, Ipanema y parvient en ciblant d'emblée les entreprises dont les sites sont nombreux et dialoguent tous les uns avec les autres. «Il est alors très difficile de définir de façon cohérente des règles pour chacun des sites. Nos équipements déduisent et appliquent dynamiquement ces règles en analysant en permanence le trafic et en collaborant entre eux», explique Thierry Genot, directeur technique chez Ipanema. Dès lors, plutôt que de spécifier des règles, l'administrateur fixe des objectifs, par exemple sous la forme de temps de réponse d'une application qui seront mesurés au niveau des boîtiers. L'absence de visibilité sur les règles sous-jacentes est compensée par un effort sur la fonction de reporting.

Une alternative à ces boîtiers est proposée par Check Point dont la passerelle de VPN (VPN-1) intègre un mécanisme de gestion des flux, autrefois proposé en option sous le nom de Floodgate. «Capable d'identifier et prioriser quelque cent cinquante flux applicatifs différents, il est fonctionnellement comparable aux boîtiers spécialisés», affirme Thierry Karsenti, directeur technique Europe du Sud chez Check Point. Cette approche n'est toutefois pertinente que si l'entreprise déploie un VPN basé sur IP-Sec.
 

Posté le 18 décembre 2004 par boiboisse - Source ZDNet