Description du service

Le service de solution intelligente définie par logiciel (SIDL) raccorde des sites entre eux par la mise en place de réseaux privés virtuels, en utilisant différentes infrastructures d’accès dont l’Internet à faible coût. Bien qu’il soit autonome, ce service peut être exécuté en complémentarité avec les accès IP/MPLS1 en place chez le client afin d’accéder à certains sites à faible coût lorsque leur mission et leur nature s’y prêtent.

SIDL est un nouveau service qui utilise une architecture de type SDN (Software Define Network pour réseau défini par logiciel) et des technologies NFV (Network Function Virtualization pour virtualisation des fonctions réseau). Ces éléments sont combinés avec des systèmes d’automatisation, d’orchestration et de gestion afin de transformer la manière dont les services sont offerts. Cela permet de développer des services évolutifs composés de connectivités réseau, de capacité sur site et de fonctions infonuagiques à valeur ajoutée.

Consulter la tarification de ce service.

Principales caractéristiques du service

  • Au préalable, un service de connectivité de niveau 3 – Réseau intégré de télécommunication multimédia (RITM) ou autres – avec adresse IP publique fixe est requis.
    • Dans le cas d’un service d’accès Internet, celui-ci sera dédié au service SIDL et à ses options.
    • Dans le cas d’un service IP/MPLS, un nouveau routeur virtuel commun à toute la clientèle sera ajouté afin de permettre à l’équipement de démarcation SIDL (vCPE : virtual customer premises equipment pour équipement virtuel des locaux des clients) d’accéder à l’environnement de gestion du service.
    • Le service doit offrir minimalement une bande passante de 1Mb/s en téléversement. Une bande passante plus petite doit être évaluée au cas par cas.
  • Un équipement de démarcation est installé sur le site du client (vCPE).
    • Cet équipement est géré et orchestré à partir d’un environnement du fournisseur.
    • Il est muni d’un coupe-feu de base à inspection dynamique de paquets selon le protocole de contrôle de transmission (TCP pour Transmission Control Protocol). Ce coupe-feu limite les communications entrantes aux réponses aux flux lancés de l’intérieur.
  • Le service de base inclut une ligne de gestion utilisant la technologie LTE (Long-Term Evolution pour technologie d’évolution à long terme) lorsque la couverture l’autorise2, ce qui permet la surveillance du service de connectivité RITM. La ligne de gestion est utilisée en tant que connexion alternative3 au service de connectivité RITM en cas de défaillance. Il est possible de remplacer la ligne de gestion utilisant la technologie LTE par un autre lien filaire (Internet) moyennant des frais supplémentaires.
  • Ce service permet la création de réseaux privés virtuels (RPV ou VPN pour Virtual Private Network) qui transportent des paquets IP en mode tunnel. Il est donc possible d’interconnecter différents sites pour former un réseau unique tout en isolant et en protégeant les communications de ce réseau.
  • Une passerelle IP/MPLS peut être configurée dans ce service afin de raccorder un réseau privé virtuel client à un VPN IP/MPLS, si le client possède au moins un lien IP/MPLS.
  • Le client qui commande un accès filaire secondaire peut établir des règles d’acheminement des flux à partir des adresses IP source et destination et des ports source et destination ainsi qu’à partir d’un marquage DSCP (differentiated services code point pour code d'accès aux services différenciés). Ceci permet d’acheminer les flux sensibles via un lien plus robuste (ex. : IP/MPLS) et les flux moins sensibles via un lien moins performant (ex. : Internet).
  • Il est possible de configurer le service afin que le trafic destiné à l’Internet soit acheminé directement sur Internet sans passer par le réseau privé virtuel. Ceci permet de décharger le réseau privé virtuel ainsi que le réseau corporatif de l’organisme. Le client peut donc opter pour l’option de transfert Internet local afin d’avoir accès à l’Internet directement via la fonction de translation PAT (peripheral allocation table pour table d’affectation des périphériques). Pour accéder à cette option, il faut que l’ensemble des sites d’un même réseau privé virtuel s’y abonne. Aucune route par défaut ne peut être propagée à l’intérieur du réseau privé virtuel.
  • Une interface LAN (local area network pour réseau local) du vCPE est utilisée pour le raccordement au réseau du client. Elle peut être configurée selon les deux modes ci-dessous.
    • Mode hôte : utilisé lorsque le client dispose d’un aiguilleur sur place et que le vCPE se raccorde à cet aiguilleur. Il est alors possible de propager les routes de ce site par les routes statiques. Le mode hôte sert à relier le service avec un composant du client (une adresse IP, une adresse MAC [medium access control pour contrôle d’accès au médium])
    • Mode pont : utilisé pour raccorder un réseau sans aiguilleur mais avec plusieurs équipements. Dans cette configuration, il est possible que le vCPE alloue des adresses aux stations en fournissant un service de serveur DHCP (Dynamic Host Configuration Protocol pour protocole de configuration dynamique de l'hôte) à tous les sites d’un réseau privé virtuel et que, par conséquent, ces adresses soient communes à l’ensemble. Aucune journalisation n’est possible.
  • Outre le lien LTE, qui fait partie du service de base, d’autres cas de figure peuvent être envisagés en cas de bris du lien primaire :
    • Option redondance logique (actif/passif) : Comme mentionné, le service comprend un lien LTE, lorsqu’il est disponible, afin de basculer du lien filaire primaire vers le lien LTE secondaire en cas de panne du premier. Il est également possible, selon les besoins d’affaires, de raccorder un lien filaire secondaire afin qu’il exerce la même fonction que le lien LTE. À noter  : les liens filaires sont exclus de cette offre; leur coût s’ajoute donc à celui de la solution technique.
    • Option redondance logique (actif/actif) : Lorsque le lien LTE est remplacé par un deuxième lien filaire, il est possible d’acheminer le trafic selon une règle de classification de cinq uplets (tuples) afin de transmettre simultanément des données sur le lien primaire et sur le lien secondaire. Selon cette configuration, la capacité totale du service demandé demeure, c’est-à-dire que, pour un service SIDL 500 Mbps, la somme des données transmises sur les liens primaires et secondaires ne pourra pas dépasser 500 Mbps. Dans l’éventualité où l’un ou l’autre des liens tombe en panne, la totalité du trafic serait basculée sur l’accès en fonction.
    • Option redondance physique complète (équipements seulement) : Afin d’augmenter le niveau de disponibilité, il est possible d’ajouter un deuxième équipement vCPE actif dans un site donné, sur un service de connectivité secondaire. Selon cette configuration, les communications transitent uniquement sur un vCPE, un service de connectivité à la fois. Ces communications ont lieu sur le lien vCPE primaire tant qu’il n’y a pas de défaillance du vCPE ou du WAN (wide area network pour réseau étendu) primaire. Si le vCPE ou le lien primaire tombe en panne, le deuxième vCPE prend la relève à l’aide du service de connectivité secondaire. Lorsque le service primaire redevient disponible, les communications sont rétablies sur le service primaire. Cette option rehausse la cible de disponibilité à 99,99 %. Le lien LTE ne sera utilisé que pour la gestion des vCPE.
    • Deuxième équipement vCPE en relève au site du client : Le service prévoit la possibilité de conserver un vCPE sur site afin d’accélérer son remplacement en cas de panne du matériel. Ce vCPE n’est pas raccordé au réseau et il n’est pris en charge qu’au remplacement complet de l’équipement défectueux. Le client peut remplacer l’équipement défectueux en consultant le guide fourni à cet effet ou en profitant du soutien du centre de services RITM.

Option : QoE basée sur les flux

Si le client le désire, il est possible de définir la priorité du trafic selon la criticité des flux déterminée à l’aide de critères prédéfinis. Cette méthode d’optimisation, que l’on nomme QoE (quality of expérience pour qualité de l’expérience), permet d’augmenter la performance des applications lorsqu’elle est prédéfinie convenablement. Ses caractéristiques de classification sont les suivantes :

  • flux basés sur des groupes prédéfinis;
  • cinq uplets (tuples) : IP source et destination, ports source et destination, protocoles TCP ou UDP (User Datagram Protocol pour protocole de datagramme utilisateur) et marquage DSCP;
  • type d’application (ex. : YouTube vs Webex).

L’option « Analyse – Priorité et routage d’applications » doit être commandée. Après la classification, les groupes définis sont répartis en quatre classes : EF (execution fonction pour fonction d’exécution), AF1, AF2 (AF : assured forwarding pour acheminement assuré) et BE (best effort pour service au mieux).

Option : AAR (Application awareness routing) – AAP (Application awareness prioritization)

La découverte des applications, basée sur leur signature numérique de septième niveau, permet un routage et/ou une priorisation des flux.

  • Il est possible de grouper des applications pour effectuer un traitement préférentiel des paquets selon la priorité établie.
  • On peut également établir les décisions de routage selon les accords sur les niveaux de service (SLA pour service level agreement) de latence, de gigue et de perte minimale de paquets. Par exemple, un groupe d’applications qui requiert une latence basse pourra être dirigé vers le lien WAN présentant la latence minimale requise. Dans l’éventualité où le SLA n’est plus respecté, le flux peut être redirigé vers l’autre lien WAN disposant du minimum requis;
  • La solution mesure en temps réel la performance des liens entre les différents vCPE afin de sélectionner la meilleure option possible selon le flux. Les paramètres mesurés en sens unique sont les suivants :
    • perte de paquets;
    • latence;
    • gigue.

Le lien de relève LTE inclus à la solution ne peut être utilisé avec cette option. Un deuxième lien filaire doit être commandé aux frais du client.

Spécifications techniques

AttributValeur cible
Type d’accès sous-jacent requisService de base : transport à niveau 3
  • Accès primaire filaire
  • Adresse IP publique fixe requise
Topologie de réseauMaillage complet, réseau en étoile (Hub
and Spoke)
Capacité d’acheminement maximale (vCPE basse vitesse)4100 Mb/s (Internet MIX [IMIX] et Internet
Protocol Security [IPSEC])
Capacité d’acheminement maximale (vCPE haute vitesse)3500 Mb/s (IMIX IPSEC)
Transfert Internet localDisponible sur demande
Interface LAN et WAN (vCPE basse vitesse)Éthernet rapide (1000BaseT),
2 interfaces WAN
4 interfaces LAN
Interface LAN et WAN (vCPE haute vitesse)2 interfaces WAN 1000BaseT cuivre (RJ45)
2 interfaces LAN 1000BaseT cuivre (RJ45)
2 interfaces LAN 10GBase Ethernet (SFP+)
Redondance avec un autre service intelligent défini par logicielNon disponible
Agencement de deux liens WANDisponible avec une combinaison
Internet-Internet, Internet-MPLS
Support IP version 4Disponible
Support IP version 6Non disponible actuellement – Offert
lorsque la technologie le permettra
Support multidiffusionNon disponible
Fonctions LAN prises en chargeRoutes statiques en mode hôte
Serveur DHCP en mode pont
Flux non pris en charge en LTETéléphonie IP (latence et gigue)
Vidéo (latence et gigue)
Délai moyen de réparation (MTTR pour mean time to repair)Cible 24 heures non mesurée – sans
rapport
Disponibilité
  • 99,9 % avec ligne de gestion LTE active
    (cible non mesurée)
  • 99,99 % avec l’option de redondance
    physique (cible non mesurée)
  • Meilleur effort sans lien alternatif
  • Excluant les flux non pris en charge
Point de contact pour les incidentsCentre de services RITM

Clientèle visée

Tous les ministères et organismes (MO) peuvent obtenir des services du gouvernement.

Niveaux de service

Type de serviceCatégorieDescriptionÉlément mesuré (indicateur)Niveau de service (cible)
SIDLDisponibilitéDisponibilité du service SIDL avec ligne de gestion LTE activeCible non mesurée99,9 %
Disponibilité du service SIDL avec l’option de redondance
physique		Cible non mesurée99,99 %
InstallationDélai d’installationInstaller un nouveau service SIDLDélai maximal requis pour installer un service SIDL10  jours ouvrables
AjoutDélai d’ajoutAjouter un site à un réseau SIDL existantDélai maximal requis pour ajouter un site à un service SIDL24  jours ouvrables
DéplacementDélai de déplacementDéplacer un service SIDLDélai maximal requis pour déplacer un service SIDL20  jours ouvrables
Débranchement du service pour un siteDélai de débranchementDébrancher un service pour un siteDélai maximal requis pour débrancher un site15  jours ouvrables
Changements logiquesDélai de réalisationRéaliser des changements logiques sans coupure de service sur le plan des options ou des fonctionnalités du serviceDélai maximal requis pour réaliser une modification logique15  jours ouvrables
Réaliser des changements logiques avec coupure de service, avec
ou sans dépêche		Délai maximal requis pour réaliser une modification logique24  jours ouvrables
Conditions d'atteinte des niveaux de service
S.O.

Le service ne prévoit aucune entente ou aucun objectif de disponibilité. Une cible non mesurée de 99,9 % est visée lorsque la ligne de gestion utilisant la technologie LTE est disponible. Une cible non mesurée de 99,99 % est visée avec l’option de redondance physique. S’il n’y a pas de lien alternatif, la disponibilité est au meilleur effort. Le service repose alors sur une connectivité de niveau 3 et la disponibilité du service d’accès est distincte de celle du service SIDL.

Délai moyen de réparation (MTTR) : cible non mesurée de 24 heures

Responsabilité de la clientèle

Le client est responsable des mécanismes de sécurité liés au service, notamment des :

  • Mécanismes de protection et de contrôle physique du point de démarcation du client;
  • Mécanismes de protection et de contrôle logique de son réseau local;
  • Éléments relatifs à l’aménagement du site et à l’accès au site.

Service de base

Éléments inclus :

  • Le vCPE sur le site du client avec une ligne de gestion utilisant la technologie LTE lorsqu’elle est disponible
  • Un VPN
  • Un coupe-feu à inspection dynamique de paquets TCP
  • La surveillance du service
  • Le centre de services RITM comme point de contact unique

Éléments exclus :

  • Le service de connectivité RITM5 (niveau 3) sur lequel repose le transport des paquets
  • Les rapports statistiques
  • L’accès SNMP (Simple Network Management Protocol)
  • L’interconnexion des équipements de gestion et de démarcation
  • Les rapports sur la performance

Processus d'approvisionnement

  • L’approvisionnement du service repose sur trois démarches opérationnelles :
  • L’analyse préliminaire des nouvelles installations et des ajouts de sites;
  • L’approvisionnement (commande) du service;
  • Les modifications au service à la suite de l’installation initiale.

Analyse préliminaire

L’analyse préliminaire est requise dans tous les cas où le service SIDL est ajouté à une adresse pour laquelle le service de connectivité RITM n’est pas confirmé. Cette analyse précise les activités requises pour la demande, le traitement et le partage de l’analyse du besoin entourant les sites à interconnecter. Une demande d’analyse préliminaire doit donc être faite dans P@RC pour toutes les demandes d’installation d’un nouveau service ou d’ajout de sites. Pour cette étape, une seule requête P@RC est requise pour l’ensemble des sites à couvrir.

Approvisionnement du service

Une fois l’analyse préliminaire complétée, une commande P@RC par site est requise afin de configurer et d’installer le service SIDL.

Modifications de service

Une requête via le P@RC est requise afin de procéder à une modification au niveau de la configuration du service. Se référer à la section « Changements » du tableau 2 « Grille tarifaire » pour connaître le coût de ces modifications.

Note :

Des pénalités s’appliquent si une situation exige que le lien sous-jacent soit retiré par le client, alors qu’un service SIDL est en processus d’activation, et que le SIDL soit mis hors service.

Sécurité

Voici les caractéristiques du coupe-feu à inspection dynamique TCP inclus au service :

  • Protection du réseau contre le trafic non autorisé;
  • Surveillance du trafic en vue de limiter la réponse aux flux lancés de l’intérieur;
  • Fermeture des ports tant qu’une session lancée de l’intérieur ne requièrent pas l’ouverture d’un d’entre eux.

Le service SIDL segmente sa clientèle par domaine de confiance. Les échanges entre les différents clients (OP pour Organisme Public) se font via la couche d’interfonctionnement (CIF), donc dans le respect des éléments de sécurité du RITM. La passerelle IP/MPLS doit être configurée.