Crypto, le service VPN de l’UNIL, passe à l’ère du 10 Gb/s

par Grégory Moix, groupe réseau, Ci-UNIL

Le service VPN se fait une jeunesse et se modernise. Passage au 10 Gb/s et architecture redondante sont les points forts de cette mise à jour.

© Maxim_Kazmin – Fotolia

VPN : quèsaco ?

Le VPN, abréviation provenant de l’anglais Virtual Private Network (réseau virtuel privé) est l’outil qui permet d’amener le réseau informatique de l’Université de Lausanne où que vous soyez dans le monde. À la maison, en visite dans une autre université ou si l’UNIL vous manque pendant vos vacances balnéaires, ce service fait en sorte que votre trafic réseau se comporte de la même manière que si vous vous situiez sur le campus. Petit rappel, cela ne sert à rien de passer par ce service lorsque l’on se trouve déjà sur le campus : vous avez déjà accès aux ressources et le VPN sera moins performant qu’un accès direct.

A l’UNIL, le VPN (plus connu sous le nom crypto.unil.ch) est utilisé principalement pour accéder à des ressources documentaires sous licence de site et nécessitant d’avoir une adresse IP de l’UNIL. Ce service est aussi utilisé pour atteindre depuis l’extérieur des machines qui ne sont pas accessibles depuis Internet, mais qui le sont depuis le campus. Les mêmes règles (en termes de sécurité, de respect des lois en vigueur, de l’utilisation à but académique) que lorsque l’on se trouve physiquement à l’UNIL sont à appliquer.

Pour avoir une idée du succès du VPN crypto, 1’000 personnes utilisent ce service chaque jour en période de cours, avec des pointes à plus de 320 utilisateurs simultanés. Ces chiffres sont en augmentation de rentrée en rentrée. Il s’agit de la deuxième source de trafic du réseau, soit autant qu’un gros bâtiment du campus.

Passage au 10 Gb/s pour de nouvelles performances pour vos tunnels VPN, le progrès est de l’ordre d’un facteur dix. (Gb/s = gigabits par seconde, soit 125 MB/s ; le nouveau crypto fournit une bande passante d’1.25 GB par seconde, ce qui permet de télécharger l’intégralité d’un film HD en 5 secondes…à condition de disposer d’un ordinateur de course) – © psdesign1 – Fotolia

Modernisation du service

Les équipements qui fournissaient la plateforme VPN arrivant en fin de vie et devenant limités en matière de bande passante et de CPU/mémoire, il devenait important de les renouveler afin de dimensionner ce service pour le futur. Le nombre d’utilisateurs en augmentation, ainsi que le changement des habitudes des utilisateurs (travail depuis la maison, fichiers devenant de plus en plus volumineux, …) posaient des défis supplémentaires pour garantir une qualité de service adéquate pour le futur.

La solution retenue a été de remplacer ces équipements, tout en restant chez le même constructeur (Pulse Secure). Comme n’importe quel VPN de qualité nécessite une application (aussi connue sous le nom de client VPN) installée sur chaque machine des utilisateurs, rester chez le même fabricant nous a permis de faire une migration transparente et sans impact puisque personne n’a eu à installer ou apprendre à manier un nouveau logiciel.

La caractéristique principale de ces nouveaux équipements est la bande passante à 10 Gb/s en entrée et en sortie. C’est une capacité équivalente à ce que l’on peut trouver à l’entrée du réseau d’un grand bâtiment de l’UNIL. Avec une telle capacité, c’est la vitesse de connexion réseau à la maison ou en déplacement qui devient le facteur limitant, et non plus le tunnel VPN du service crypto comme auparavant.

Redondance

Comme l’UNIL possède plusieurs data-centres, ces nouveaux équipements ont été déployés en mode cluster, dans deux bâtiments du campus. Seul un équipement reçoit du trafic à un moment donné. Le second équipement est automatiquement synchronisé avec le premier, prêt à prendre le relais en cas de panne. On parle ainsi d’un cluster en mode actif/passif.

L’UNIL vient donc de se doter d’un VPN next gen fiable et éprouvé, taillé pour accompagner l’augmentation de ses besoins d’accès au réseau académique hors campus, du colloque international au télétravail.

Une partie des équipements qui fournissent le nouveau service VPN à l’UNIL – © Grégory Moix, Ci-UNIL