Qu’est-ce que le MPLS ?
Le MPLS (Multiprotocol Label Switching, commutation multiprotocole par étiquette) est un type de technologie réseau couramment utilisé dans les télécommunications modernes. Il a pour principe d’acheminer le trafic réseau sur les réseaux de télécommunications en utilisant des étiquettes (labels) plutôt que des adresses IP. Cette technologie est compatible avec n’importe quel protocole réseau (Ethernet, ATM, relais de trame ou autre).
Présentation du MPLS
Comment fonctionne le MPLS ?
Traditionnellement, les paquets sont acheminés en fonction de leur source et de leur destination. Pour ce faire, les routeurs doivent rechercher l’adresse IP de destination d’un paquet et consulter leur table de routage pour l’expédier vers le tronçon suivant. Afin d’éliminer ce processus chronophage, le MPLS crée des circuits virtuels appelés LSP (label-switched paths, chemins commutés par étiquette) entre deux extrémités du réseau. Ces chemins sont définis selon des critères de classe d’équivalence FEC (Forwarding Equivalent Class), qui décrivent un ensemble de paquets partageant des caractéristiques similaires et pouvant donc être acheminés suivant le même itinéraire.
Les LSP sont identifiés au moyen d’une étiquette rattachée à chaque paquet MPLS. Les paquets sont alors commutés en fonction de leur étiquette, utilisée par le réseau comme un point de référence pour déterminer comment acheminer le paquet jusqu’à sa destination.
Un circuit MPLS comprend deux types de routeurs : un routeur à commutation par étiquette (LSR) ou routeur de transit, situé à un point central du réseau, et un routeur d’extrémité (LER) à l’edge, c’est-à-dire en périphérie de réseau, qui fait office de point d’entrée (routeur d’accès) ou de sortie.
Le routeur MPLS effectue trois types d’opérations :
- Push (ajout) : une nouvelle étiquette est apposée sur le paquet.
- Swap (changement) : l’étiquette est remplacée par une nouvelle.
- Pop (retrait) : l’étiquette est retirée du paquet.
Quand un paquet entre sur un réseau MPLS, il passe par les étapes suivantes :
- Le routeur d’accès détermine la classe d’équivalence (FEC) à laquelle appartient ce paquet et appose une étiquette au niveau de son en-tête.
- Les différents routeurs de transit sur le réseau remplacent cette étiquette afin que le paquet poursuive son chemin jusqu’au prochain routeur présent sur le LSP.
- Pour finir, le routeur de sortie retire l’étiquette et livre le paquet à destination.
Les paquets MPLS sont acheminés jusqu’à leur destination grâce à l’étiquette qu’ils portent
Les routeurs de transit s’appuyant uniquement sur les informations contenues dans les étiquettes des paquets à acheminer, le MPLS est une technologie indépendante du protocole. Cela signifie qu’elle est compatible avec n’importe quel protocole, notamment l’Ethernet, le transport via IP, l’ATM ou le relais de trame.
Même si les liaisons MPLS ne sont pas chiffrées, le MPLS offre davantage de sécurité que les technologies réseau traditionnelles, avec une protection similaire à celle du VPN. Les circuits virtuels créés par le MPLS sont isolés du reste du trafic réseau, ce qui en rend l’accès plus difficile aux utilisateurs non autorisés.
Le MPLS : avantages et inconvénients
Le MPLS présente plusieurs avantages par rapport aux technologies réseau traditionnelles :
- Indépendance vis-à-vis du protocole : Le MPLS n’est pas lié à un protocole en particulier. Il peut être utilisé avec divers protocoles (Ethernet, ATM, relais de trame, etc.).
- Technologie axée sur l’activité : Le MPLS permet aux administrateurs réseau de déterminer des LSP en fonction des besoins de l’entreprise et des accords de niveau de services, et de donner ainsi la priorité à certains types de trafic, comme la voix et la vidéo, par rapport à d’autres, tels que les e-mails ou les transferts de fichiers.
- Évolutivité :Le MPLS est très évolutif et permet de construire de grands réseaux complexes regroupant des milliers de terminaux.
Si le MPLS présente de nombreux avantages, il a aussi quelques inconvénients, que les administrateurs réseau doivent prendre en compte :
- Rigidité : La mise à disposition d’une nouvelle ligne MPLS peut prendre entre 60 et 120 jours dans le cas du déploiement d’un service MPLS sur un nouveau site de l’entreprise – alors que quelques jours suffisent pour le provisionnement de services internet haut débit. De plus, les grandes entreprises sont de plus en plus distribuées, et il s’avère compliqué d’installer une ligne MPLS sur chaque site.
- Coût élevé :Le MPLS peut être coûteux, notamment pour les petites entreprises qui n’ont pas besoin d’un réseau haute performance. Du fait de la demande croissante de bande passante haut débit et de connectivité à grande vitesse, liée notamment à la généralisation des applications voix et vidéo, il devient souvent trop onéreux pour l’entreprise de faire évoluer les circuits MPLS.
- Performances des applications cloud : Dans les architectures réseau traditionnelles utilisant le MPLS, les administrateurs informatiques doivent rediriger le trafic des applications SaaS vers le datacenter, où ont lieu les inspections de sécurité. Cela limite considérablement les performances de ces applications, alors qu’il serait plus efficace d’acheminer le trafic SaaS directement des bureaux locaux vers le cloud.
MPLS contre SD-WAN
À sa création, le MPLS présentait de nombreux avantages sur les réseaux traditionnels. Mais à l’ère du numérique, il ne fournit plus la flexibilité et la sécurité indispensables aux architectures cloud et aux équipes hybrides modernes. En raison de la demande croissante de bande passante et du coût élevé de cette dernière, nombre d’organisations ayant opté pour le MPLS peinent à préserver un niveau de service élevé dans leurs succursales. Par ailleurs, la migration vers le cloud d’applications stratégiques pour l’entreprise engendre des goulets d’étranglement du fait de la nécessité de rediriger le trafic internet vers le datacenter pour les inspections de sécurité.
En virtualisant les connexions réseau, un SD-WAN peut combiner plusieurs liaisons (MPLS, internet haut débit, 5G ou autres), augmentant ainsi la bande passante sur le réseau. Le SD-WAN emploie des tunnels IPsec chiffrés sur l’ensemble du fabric réseau, assurant ainsi la sécurité des données en transit. Cette solution contrôle également les conditions réseau en temps réel et s’adapte rapidement. En cas de coupure de courant ou de panne réseau, il bascule automatiquement sur les liaisons qui subsistent, d’où une plus grande fiabilité.
Un SD-WAN avancé peut même remplacer les lignes MPLS existantes par des liaisons internet haut débit plus économiques, tout en contrant les effets des pertes de stabilité et de la perte de paquets propres aux liaisons haut débit. En effet, il est capable de reconstituer automatiquement les paquets perdus grâce à la correction d’erreur sans voie de retour (FEC). Cette solution résout également les problèmes de latence liés à la distance géographique en optimisant le WAN grâce à des techniques d’accélération TCP et de réduction des données.
Le SD-WAN convient aux architectures cloud, car il divise automatiquement le trafic internet par identification de l’application au premier paquet. Ainsi, il n’est plus nécessaire de rediriger le trafic internet vers le datacenter de l’entreprise. Le trafic SaaS approuvé est transféré directement dans le cloud, et le trafic restant vers les services de sécurité cloud (SSE, Security Service Edge) dans le cadre d’une architecture SASE. Il est également possible de déployer des instances SD-WAN virtuelles directement dans des clouds de fournisseurs comme AWS, Microsoft Azure et Google cloud, de façon à créer une solution Edge to Cloud de bout en bout offrant une grande prévisibilité des performances applicatives. Enfin, un SD-WAN avancé propose diverses fonctionnalités complémentaires : routeur intégré, pare-feu nouvelle génération et optimisation WAN, qui permettent à l’entreprise de débarrasser leurs succursales de certains équipements obsolètes. Un SD-WAN avancé bénéficie d’une orchestration centralisée qui permet de configurer et mettre à jour automatiquement les règles réseau et de sécurité en quelques minutes seulement grâce au provisionnement sans intervention, d’où une simplification considérable des opérations.