Technique
FTTH, haut débit pour les TPE, PME et le SD-WAN, partie 3

Retour d'expérience d'un accès FTTH OVH

Pour prolonger les deux premiers billets un peu théoriques sur l'accès au débit, le premier (FTTH, haut débit pour les TPE, PME et le SD-WAN, partie 1) présentant les grands enjeux et le deuxième (FTTH, haut débit pour les TPE, PME et le SD-WAN, partie 2) la question de la net neutralité, nous vous proposons, dans ce billet, un retour d'expérience d'un accès FTTH OVH.

Voilà les points étudiés :

  • la performance mesurée en réel
  • les conséquences sur l'architecture et la configuration du réseau local
  • les usages que permet cet accès très haut débit.

Couverture FTTH du territoire

La carte des raccordements est publiée régulièrement par l'ARCEP. Un rapide coup d'oeil montre que les zones non couvertes sont encore très nombreuses, notamment en dehors des agglomérations. L'ADSL et les offres entreprises ont encore de beaux jours devant eux.

Les opérateurs qui fournissent des services d'accès Internet en fibre optique vous permettent de tester votre éligibilité, sur la base de votre adresse ou de votre numéro de téléphone fixe.

L'offre Fibre Optique (FO) OVH

OVH, comme la plupart des opérateurs, commercialise une offre FTTH. Nous ne sommes pas en mesure si cette offre est plus ou moins compétitive que celle de ses concurrents. Il est probable qu'elle soit dans le marché. Pour information, Le pack connect 1G, qui permet des débits théoriques descendants jusqu'à 1Gbps et des débits montants jusqu'à 500Mbps, est à 53 € TTC par mois. L'offre inclut la fournit des IP publiques V4 et V6, le monitoring de la ligne, la fourniture du modem et le support.

La configuration testée

Il s'agit d'un raccordement fibre optique qui permet des débits théoriques jusqu'à 1Gbps descendant et 250Mbps montant. La configuration est de type SOHO, comme on peut en trouver dans des TPE ou sur des petits sites de grandes entreprises travaillant en réseau :

  • un ONT (optical network terminal) Huawei assure l'interface optique/electrique et la liaison optique
  • un modem Zyxel raccordé sur son port ethernet WAN à l'ONT
  • un parefeu Cisco ASA 5506
  • un switch SMB Giga Allied Telesys

Dans une configuration TPE, le 5506 pourrait être remplacé par un parefeu plus récent de Cisco, le 1110 par exemple, ou d'un autre constructeur.

Dans une configuration retail, on lui préférerait un équipement SDN, Meraki ou équivalent, manageable via le cloud, et embarquant une borne Wifi.

Dans une configuration agence/bureau d'une grande entreprise, un boîtier SD-WAN, Silverpeak, Riverbed, ou autre, viendrait probablement à la place du parefeu.

Tests de vitesse

Nous avons testé la vitesse de connexion à trois niveaux :

  1. sur un port du modem
  2. sur un port du parefeu
  3. sur un port du switch

Nous avons réalisé les tests avec le service de test d'OVH.

Au niveau du switch

Vers le datacenter de Roubaix, le débit plafonne à 95Mbps en montant et en descendant, avec une latence de 15ms, et une gigue à 1% (0,15ms). Vers le datacenter de Singapour, le débit descendant est de 95Mbps, le débit montant de 29Mbps et la latence de 156ms.

Derrière le switch vers Roubaix :

speedtestswitchroubaix.png

Derrière le switch vers Singapour :

speedtestswitchsingapour.png

Au niveau du parefeu

Vers Roubaix, le débit descendant est de 920Mbps. Le débit montant est de 380Mbps. La latence est de 15ms.

speedtestparefeuroubaix.png

Vers Singapour, le débit descendant est de 337Mbps. Le débit montant est toujours de 29Mbps.

speedtestparefeusingapour.png 
Au niveau du modem

La performance est identique à la performance au niveau du parefeu pour Roubaix :

speedtestboxroubaix.png

Pour Singapour, le débit descendant varie entre 100Mbps et 300Mbps. Le débit montant est stable, autour de 30Mbps.

speedtestboxsingapour.png
Bande passante réellement consommée par l'utilisation courant de la liaison

Les tableaux de bord fournis par OVH permettent de monitorer la bande passante consommée sur la liaison. Avec deux à trois personnes travaillant sur site, la consommation se situe autour de 3Mbps descendant et 1Mbps montant. Trois millièmes de la bande passante disponible sont donc utilisés.

usageliaisonftth.png
Analyse des résultats

Les liaisons haut débit fibre permettent d'atteindre des débits de l'ordre de 1Gbps sur le lien descendant et de 500Mbps sur le montant. Pour tirer parti de cette capacité, le réseau local doit également être capable de servir du Gigabit.

Nous passons en revue les éléments de la chaîne de connexion qui impactent la performance du réseau :

  • le câblage
  • la configuration physique des ports
  • le débit de commutation des switches
  • le débit de filtrage du parefeu
  • le débit sur la boucle locale
  • le débit en transit, sur le backbone
  • les usages

Le câblage

Depuis le point de mutualisation jusqu'à la baie technique du site et l'ONT, le câblage est réalisé par l'intégrateur réseau de l'opérateur. La fibre est tirée après commande de l'abonnement, par soufflage ou tirage dans un fourreau existant. Le type de fibre, le mode de raccordement, les épissurages sont définis par l'opérateur. Si vous souhaitez en savoir plus sur le sujet qui ne vous concerne pas en tant que client, l'ensemble des opérations est présenté de manière didactique à la Cité des Télécommunications.

Le choix de l'emplacement du boîtier ONT peut avoir son importance, pour qu'il soit dans un environnement protégé, avec du courant ondulé, et des rocades pour raccorder la FO opérateur au LAN. Selon la configuration de l'immeuble, vous avez un Local Technique Opérateur (LTO) ou des arrivées fibre dans une baie proche des arrivées électriques ou une arrivée pas forcément bien placée pour protéger l'accès et desservir.

Entre l'ONT et le modem, comme pour tout le réseau LAN, le câblage est en ethernet. Pour atteindre le débit à 1Gbps, il est nécessaire que le câblage soit compatible 1Gbps. Le choix des types de câble va dépendre de l'environnement physique et électromagnétique et des longueurs de câble à installer. Si vous avez des doutes sur les choix à réaliser, le livre "Cabling : the complete guide" est un bon point de départ.

Les principales difficultés constatées sur le terrain sont :

  1. UTP versus STP : la plupart du temps, pour jouer la sécurité, le choix s'oriente vers du câble STP (blindé) dans la catégorie la plus élevée quand un câble UTP suffirait. Pour que le STP soit réellement utile, il est nécessaire que l'ensemble de la chaîne de connexion, câble, paneau de brassage, équipement soit raccordé à la terre (grounded) pour pouvoir évacuer les courants induits par des champs électromagnétiques parasites. En très résumé, on choisit souvent du trop bon câble que l'on associe ensuite à une connectique et un environnement pauvre.
  2. Fibre optique et ports optiques : pour simplifier et fiabiliser le raccordement entre les équipements réseau, on crée des rocades optiques sans anticiper les besoins en ports optiques et en GBIC et le type de GBIC (multimode ou monomode). En pratique, la densité en port optique des équipements réseau est généralement faible. Un nombre important de ports optiques n'est disponible que sur les équipements "high end". L'ethernet cuivre est donc une solution plus économique. Il peut faire peur lorsque la distance augmente mais fonctionne correctement s'il est installé avec soin.
  3. Evolution des fourreaux : on pose souvent du câble à l'avance sans anticiper l'obsolescence des technologies et des fourreaux mal conçus ou endommagés empêchent d'ajouter des câbles supplémentaires. Il vaut donc mieux des fourreaux de bonne qualité, permettant de souffler ou de passer de nouveaux câbles en fonction des besoins, équipés du nombre de câbles correspondant au besoin, sans nécessairement trop anticiper les besoins futurs.

Pour le test nous avions la configuration de câblage suivante :

  • OTP situé dans un boîtier technique au niveau de l'arrivée électrique
  • Modem situé dans une baie au niveau de l'armoire informatique
  • Pas de panneaux de brassage au niveau de l'armoire (branchement direct des équipements)
  • Câble plat cat 5e/6 UTP compatible 1Gbps entre l'OTP et le modem (15m)
  • Câbles cat 6 S-FTP entre les équipements réseau (1 à 3m)

En pratique, des câbles UTP 5e/6 suffiraient pour raccorder les équipements réseau entre eux.

La configuration physique des ports

Jusqu'à l'arrivée du très haut débit Internet, l'accès Internet constituait, dans beaucoup d'organisation, notamment les TPE où le trafic est très orienté vers Internet, le facteur limitant. Avec un ADSL plafonnant à 10Mbps ou même 20Mbps, un LAN avec des ports 100Mbps est largement suffisant. Le passage au très haut débit est plus bénéfique si l'on passe les ports d'accès LAN à 1Gbps. Dans certaines configurations, l'upgrade des ports LAN vers 1Gbps va obliger à upgrader les ports des serveurs vers du 10Gbps. Le très haut débit implique un upgrade du LAN.

Dans notre test, le débit au niveau du switch plafonne à 100Mbps du fait de la limitation du port switch à 100Mbps. Il s'agit d'un switch Allied Telesys X230-10GT. Les ports sont compatible Giga. Il s'agit donc simplement de revoir leur configuration physique pour permettre du Gigabitethernet. Pour des switches anciens, limités à 100Mbps, un remplacement du switch peut être nécessaire.

Le débit de commutation des switches

Une fois réglés les problèmes de câblage et de configuration physique des ports, la capacité de commutation des switches peut constituer un facteur limitant. Pour notre exemple d'un switch AT X230-10GT, la capacité de commutation de 20Gbps est largement dimensionnée par rapport au nombre de ports du switch et à leur débit. La capacité de transmission (forwarding rate) de 14,9Mpps pourrait être théoriquement atteinte si la MTU était trop petite. En pratique, il est peu probable d'atteindre les limites du commutateur dans l'architecture présentée ici. Il reste donc à revoir la configuration physique des ports pour permettre le Gigabitethernet.

Le débit du parefeu

Dans notre exemple, le switch ethernet se trouve derrière un parefeu Cisco ASA 5506X avec service Firepower.

Les caractéristiques techniques de ce parefeu sont données ici.

Plusieurs paramètres influent la capacité de traitement (ou throughput) d'un parefeu

  • le débit physique des ports
  • le débit brut, c'est à dire le débit pour du trafic estampillé "trust" pour lequel aucune vérification n'est réalisé
  • le débit SPI (statefull inspection) lorsque le parefeu réalise une inspection du paquet au niveau TCP/IP (L3 et L4)
  • le débit AVC (application visibility control) pour lequel le parefeu réalise une inspection au niveau applicatif (L7)
  • le débit AVC+IPS pour lequel le parefeu réalise une inspection L7 et transmet ensuite le paquet à l'IPS (Snort pour l'ASA)
  • le débit VPN, pour le trafic transmis via tunnel IPSec

Les chiffres annoncés par Cisco sont les suivants :

Domaine Débit
Physique Ports Gigabitethernet
Brut Pas d'information
SPI 750Mbps
AVC 250Mbps
AVC+IPS 125Mbps
VPN IPsec 100Mbps

Nous sommes en dessous des valeurs nécessaires pour exploiter pleinement la liaison 1Gbps. Il faudra donc paramétrer le parefeu de manière adaptée si l'on souhaite avoir de la performance. En pratique, il faudrait distinguer deux configurations, la configuration ASA+Firepower service (utilisé pour cet exemple) et la configuration ASA FTD. Il est probable que la version FTD soit en retrait, en terme de performance, par rapport à la version ASA+Firepower service dans la mesure où la version ASA+Firepower service permet de bypasser complétement l'analyse AVC et IPS, ce que ne permet pas la version FTD, en particulier sur le 5506 où les prefilter policies ne sont pas disponibles.

A terme, il sera probablement intéressant d'upgrader le parefeu. Le remplaçant du 5506, le 1110, a des niveaux de performance plus élevés, en particulier si la configuration choisie est Firepower 1000 appliance.

Dans une perspective cloud privé, avec liaison VPN, le throughput VPN à 100Mbps est un facteur très handicapant sur le 5506. Sur le 1010, les valeurs indiquées sont de 300 à 500Mbps. Si les besoins en performance vont au delà de 500Mbps, une passerelle VPN dédiée sera probablement nécessaire.

Débit boucle locale et débit backbone

Le débit de la boucle locale n'est pas un facteur limitant. Les différences de performance entre Roubaix et Singapour, pour OVH, montre que l'architecture du backbone, les accords de peering, sont des facteurs importants, quant à eux.

Dans la mesure du possible, les serveurs et services cloud devront être positionnées dans des datacenters proches de la boucle locale, si l'on souhaite bénéficier des débits maximum, notamment pour réaliser des sauvegardes.

Les usages

A usage constant, l'apport du très haut débit est limitée pour les PME et TPE. Nous le constatons dans l'exemple présenté ci-dessus où l'utilisation du réseau est inférieur à 1% de sa capacité.

Plusieurs gains sont prévisibles, après quelques mois d'usage d'une connexion haut-débit :

  • une liaison offrant 1Gbps descendant peut desservir correctement l'usage d'Internet bureautique pour un site d'environ 1000 personnes avec une qualité acceptable
  • lorsque les salles machines sont sur site, une liaison haut débit permet de synchroniser les données et l'infrastructure des sites de manière efficace
  • dans le développement des services cloud, une liaison haut débit offre également de nouvelles possibilités, y compris pour des sociétés de petite taille ou de taille moyenne. Par exemple, une société stockant entre 1 et 10To de données sur site peut envisager de migrer ses sauvegardes vers le cloud avec une fenêtre de migration et des temps de sauvegarde acceptables, sans avoir recours à un mécanisme complexe de synchronisation initiale par des disques durs. Les systèmes d'initialisation de backup, qui obligent à envoyer des disques au fournisseur de backup, comme AWS Snowball, sont relativement complexes en comparaison. Il serait d'ailleurs possible, en s'appuyant sur la couverture FTTH, de proposer un service de "relais locaux", raccordés au réseau très haut débit, qui permettrait de réaliser l'initialisation de backup, en venant sur place avec ses disques de sauvegarde.

En conclusion

Les accès très haut débit offrent de nombreuses opportunités de développement. Ils nécessitent également de revoir l'architecture et la configuration du réseau local :

  • Câblage
  • Performance de commutation
  • Performance des parefeux
  • Performance des accès VPN

Enfin, sujet que nous n'avons pas évoqué ici, une mise à jour du réseau Wifi peut également s'avérer nécessaire.