Intégrer la Chine à son réseau SASE, pas si simple !

Un savoir-faire que peu d’opérateurs maîtrisent.

Pour les DSI des pays occidentaux, la Chine est unanimement vue comme un sujet particulièrement complexe. Le pays interdit l’exportation de données personnelles hors de ses frontières et le recours à des prestataires Cloud locaux est obligatoire. De plus, les problématiques réseau sont très spécifiques à ce pays. Tout le monde connaît le fameux « Great Firewall », ce filtre mis en place par le gouvernement chinois pour filtrer les contenus interdits d’accès aux internautes chinois. Il impacte tout autant les communications des entreprises, avec des performances très amoindries et des difficultés d’accès à certains services occidentaux. « Il faut intégrer ces contraintes tant au niveau underlay, c’est-à-dire au niveau des liens réseaux physiques, mais aussi sur le plan overlay, les fameux réseaux SD-WAN. » estime Hakim Belhouchi, Solution Technical Specialist for SASE chez Tata Communications. Offrir un réseau moderne « sans couture » à l’échelle mondiale demande à la fois des infrastructures, des partenaires en Chine, mais surtout une expertise très spécifique de ce marché chinois. « De plus en plus, les entreprises que nous rencontrons ne sont pas satisfaites des architectures réseaux qui ont été déployées en Chine ces dernières années. Elles ont besoin de moderniser ces infrastructures  et ont besoin de cette expérience sur le terrain. »

Les réseaux déployés il y a quelques années ne donnent pas satisfaction

Cette problématique se pose avec d’autant plus d’acuité que les grandes entreprises qui ont déployé leurs SD-WAN il y a quelques années ne sont pas satisfaites des architectures mises en place pour connecter le territoire chinois. De même, les entreprises et industriels du midmarket qui entreprennent aujourd’hui ces migrations se heurtent à la complexité des infrastructures Internet chinoises. D’un côté, des fournisseurs d’accès Premium sont capables de garantir des SLA sur leurs infrastructures, mais les opérateurs de second rang offrent des performances extrêmement variables… Non seulement les débits et la latence varient fortement d’un fournisseur à l’autre, mais ces KPI  dépendent aussi de la région considérée. Constituer un SD-WAN demande une réelle expertise du marché local. « Nous avons noué des partenariats avec des acteurs locaux et nous disposons de points de présence sur le territoire chinois pour porter les réseaux SD-WAN de nos clients » explique Alexandre Chichkovsky, Sales Specialist Network Services & SASE chez Tata Communications. Au-dessus du réseau physique, sur les couches overlay, la Chine définit des contraintes fortes auxquelles il faut absolument se conformer. L’expert souligne : « La mise en œuvre d’un SD-WAN implique un chiffrement du trafic, or la Chine impose des versions du protocole TLS et une longueur de clé d’encryption maximale qu’il convient de respecter. De même, traverser le « Great Firewall » sans que la qualité de service ne soit dégradée demande une expertise extrêmement pointue. » De nombreux opérateurs proposent une architecture WAN où la Chine est considérée comme un réseau à part, interconnecté au réseau interne via un lien unique. Cette approche semble la plus évidente, mais elle présente de sérieux inconvénients en termes d’expérience utilisateur. Un utilisateur localisé en Chine et qui veut accéder à un partage SharePoint au siège en Europe ou aux États-Unis va devoir sortir de son réseau SD-WAN pour accéder au réseau SD-WAN du siège et se connecter enfin au SharePoint. Une telle approche génère beaucoup de complexité pour les administrateurs qui doivent prévoir à l’avance toutes les routes réseaux possibles afin de les paramétrer. Pour l’utilisateur final, les temps d’accès et les débits sont fortement dégradés. Alexandre Chichkovsky résume cette problématique récurrente avec la Chine : « Ce que nos clients souhaitent, c’est disposer d’un seul réseau global et offrir une bonne expérience à l’ensemble des utilisateurs, où qu’ils se trouvent. Forts de notre expérience en Chine, nous avons élaboré une architecture qui assure une bonne qualité de service, avec un réseau unique et un sous-réseau pour la Chine qui est lié au niveau Overlay. Les utilisateurs bénéficient d’une expérience optimale et les administrateurs ont un contrôle de bout en bout sur le réseau et n’ont plus à paramétrer l’ensemble des chemins réseau possibles. »

Des architectures différentes peuvent être envisagées, certaines privilégiant un underlay premium permettant de traverser le « Great Firewall », et d’autres basées sur des accès internet simples mais utilisant un réseau privé pour sortir de Chine. Le SD-WAN permet d’unifier l’ensemble. C’est la densité du nombre de sites en Chine, l’étude des coûts et des performances souhaitées qui déterminera l’architecture optimale pour une entreprise.

Alors que la Chine s’est imposée comme la deuxième économie au monde, il n’est plus possible de négliger la connectivité des sites localisés dans le pays. Ce besoin d’améliorer l’expérience utilisateur pousse de nombreuses entreprises qui disposent déjà de réseaux à l’échelle mondiale à reconsidérer leurs choix d’architecture et d’opérateurs.