business vpn pour les profils à disponibilité accrue définition · annexe au descriptif de...

Annexe au descriptif de service Business VPN

Convention de Services Data - STAS Business VPN Applicable depuis décembre 2018

1/11 Edition du 28 février 2019

Business VPN pour les Profils à disponibilité accrue

1 Définition

Un mécanisme de secours inclus dans le Profil de site et se présentant sous la forme d’un doublement de l’interconnexion du Site à son VPN, confère audit Site une disponibilité supérieure à celle qu’il aurait avec un Profil à disponibilité dite « standard ».

Le Profil de site à disponibilité accrue se compose de deux Profils simples (dits « liens ») fonctionnant selon deux modes possibles :

nominal/secours : un Profil nominal (dit « lien nominal ») est sécurisé par un Profil de secours (dit « lien secours »). En cas de défaillance du lien nominal, les flux sont routés sur le lien secours

partage de charge (uniquement sur Corporate Dual) : les deux Profils (dits « liens ») fonctionnent simultanément, avec un repli sur un seul lien en cas de panne de l’autre lien. dans les deux modes, en cas de défaillance du lien nominal la bascule vers lien secours se fait

automatiquement. Le retour à la situation normale suit le même principe.

Orange Business Services ne garantit pas le maintien des sessions applicatives lors du basculement en mode secours.

La « disponibilité accrue » se décline en 2 gammes : Always-on : le principe est de maintenir l’activité du site mais en « minorant » le service rendu

- support utilisé pour le lien secours basé sur une technologie n’offrant pas les mêmes avantages que celui mis en place pour le lien nominal,

- débit du Service Intranet inférieur en situation de secours, - « couverture » géographique, …

disponible sur Profils Small et Corporate Dual : le principe est de maintenir l’activité du site en « préservant » le service rendu

- support identique pour le lien nominal et le lien secours - débit du Service Intranet en situation de secours miroir du lien nominal - Qualité de Service (QoS) et Garantie de Temps de Rétablissement (GTR), …

disponible sur Profil Corporate Non compatible pour les sites construits sur des supports physiques en réseau de collecte

de Tiers (Réseau d’Initiative Publique)

Les Profils à disponibilité accrue n’intègrent pas d’engagement sur le taux de disponibilité mensuel du site. Pour bénéficier de ces engagements, le Client doit avoir souscrit auprès d’Orange Business Services le Service Client Conseil Réseau - « Disponibilité du site ». Ce dernier est décrit dans le Descriptif de service correspondant.

De plus, sur les Profils Corporate Dual, si le Client a souscrit, auprès d’Orange Business Services, à une offre de sécurisation de type « Raccordement Sécurisé de niveau 2 ou 3 » ou « Accès Fiabilisé de niveau 2 ou 3 » (voir Descriptifs de Service correspondant), l’option « Très sécurisé » permet de bénéficier d’engagements supplémentaires en termes de GTR et d’engagements de qualité de services.

Dans le cas d’une souscription à Application Visibility de Business VPN et conformément à ce qui est décrit dans l’annexe Annexe « Application Visibility du Descriptif de Service Business VPN », le service est disponible selon les conditions suivantes :

uniquement sur le routeur du lien nominal pour les Profils fonctionnant en mode (actif/passif) Small Always-on 3G/4G, Small Always-on, Corporate Always-on et Corporate Dual Backup sur les routeurs des deux liens pour les Profils fonctionnant en mode (actif/actif), Corporate Always-on Offload, Corporate Always-on Hybrid et Corporate Dual Load-Balancing La mise en place d’Application Visibility sur ces Profils est soumise à des conditions d’éligibilité. A cette

fin Orange Business Services réalise une étude technique préalable qui, au regard des résultats de celle-ci, informe le Client de la faisabilité ou non de la mise à disposition du Service et des conditions financières applicables.



2 Précisions sur l’architecture des Profils Small à disponibilité accrue

Il s’agit d’un 1er niveau de sécurisation où seuls les flux data sont secourus. Le choix se fonde sur deux critères : la couverture géographique et la performance en situation de secours. Ainsi, trois options de fiabilisation sont possibles : Small Always-on 3G, Small Always-on 4G et Small Always-on. Conformément à l’article 3.1.2.1.1 de l’Annexe « Profil Mobile, Small et Corporate et service Intranet du Descriptif de Service Business VPN », à compter du 15 novembre 2018, qui marque la fin de la commercialisation du RTC, en l’absence de ligne téléphonique RTC disponible sur le Site Client donné, seuls les Profils de type « All Inclusive » pourront être commandés. La ligne téléphonique RTC ou, depuis le 15 novembre 2018, le support cuivre, seront fournis par Orange Business Services qu’ils soient proposés en nominal (pour les Profils Small Always-on 3 et 4G) ou en mode secours (pour le Profil Small Always-on) étant précisé que dans tous les cas ils ne permettront pas d’établir des communications téléphoniques ou des fax.

Orange Business Services fournit la ligne téléphonique RTC ou le support cuivre jusqu’à la tête de câble Orange Business Services.

Profil Small Always-on 3G et Always-on 4G : - lien nominal = un Profil Small (IP/ADSL)

débit du service intranet du lien nominal de 1 à 18MMax - lien secours = le haut débit Mobile (4G/3G/3G+/EDGE/GPRS)

mode nominal/secours deux liens, deux routeurs, deux supports différents débit du service intranet du lien secours variable selon la réception du signal radio conditionné par l’éligibilité au réseau mobile du site backup uniquement les flux data le débit de la bande passante du lien secours dépendant de la réception du signal radio, attention

à la compatibilité des caractéristiques débit/applications à secourir Profil Small Always-on :

- lien nominal = un Profil Small (FTTH) débit du service intranet du lien nominal = FibreMax (500MMax)

- lien secours = un Profil Small (IP/ADSL) mode « nominal/secours » deux liens, deux routeurs, deux supports différents débit intranet « lien secours » 18MMax avec possibilité de repli sur le 8MMax, conditionné

par l’éligibilité au débit requis/repli nécessaire pour le secours backup uniquement les flux data

Dans le cadre de ces Profils, Orange Business Services ne fournit pas les engagements de qualité de service suivants : engagement de rétablissement et de Garantie de temps de rétablissement Les Profils Small All Inclusive proposent en option un Engagement de Temps de rétablissement J+1

2.1 Small Always-on 3G et Small Always-on 4G

Rappel 2.1.1

Les Profils Small Always-on 3G et 4G se composent d’un Profil Small (dit lien nominal) secouru via le Réseau mobile (dit lien secours) d’Orange fonctionnant en mode nominal/secours. Cette fonctionnalité est également disponible avec la formule « All Inclusive » (ligne RTC incluse).

Schéma technique / fonctionnement 2.1.2

En fonctionnement nominal, le LAN « site A » est connecté au VPN Client en utilisant le lien ADSL et le routeur principal « CE1 » (lien nominal). Le routeur 3G/4G « CE2 » du lien secours n’est pas connecté au réseau mobile.

En cas de défaillance du lien nominal (au niveau de la ligne ADSL ou du routeur CE1), le routeur 3G/4G devient automatiquement maître grâce au mécanisme VRRP. Il se connecte donc automatiquement au réseau haut débit mobile Partenaire. Le routeur 3G/4G « CE2 » du lien secours aspire le trafic LAN-VPN pour ainsi le faire transiter sur le réseau haut débit mobile Partenaire.



Dès que le lien nominal (ADSL/routeur CE1) est rétabli, le routeur 3G/4G du lien secours se déconnecte automatiquement du réseau mobile Partenaire. Le trafic VPN-LAN transite alors à nouveau via le lien nominal. La rocade entre le routeur du lien nominal et le routeur 3G/4G du lien secours est nécessaire pour la communication inter Routeur permettant l’automatisme des basculements décrits ci-dessus.

Dans le cas où le Client souscrirait à l’option « gestion des sites » du Service Client Conseil Réseau auprès d’Orange Business services, l’état du routeur 3G/4G du lien secours est vérifié mensuellement.

Avec la formule All Inclusive, ce Profil propose en option un Engagement de Temps de rétablissement J+1.

2.2 Small Always-on

Rappel 2.2.1

Le Profil Small Always-on se compose d’un Profil Small FibreMax sur support fibre FTTH secouru par un Small (IP ADSL) fonctionnant en mode nominal/secours.


Le secours porte sur les éléments suivants : OLT Collecte FTTH Routeur

La solution étudiée consiste en la mise en œuvre d’un secours par Profil Small (IP ADSL)

Secours des flux seul les flux data sont secourus.

Pour le lien de secours, Orange Business Services fournit la ligne téléphonique RTC ou le support cuivre jusqu’à la tête de câble Orange. En option une prolongation en partie privative (local technique) pourra être proposée via la fonction additionnelle « Installation terminale ». De plus, la ligne téléphonique RTC ou le support cuivre ne permettra pas d’établir des communications téléphoniques ni des fax. Le Client dispose ainsi de 2 types de supports (FTTH + IP/ADSL) et de 2 routeurs sur le site concerné.

En fonctionnement normal, les flux sortants du site utilisent le « lien nominal ». Les mécanismes mis en œuvre au sein du réseau Business VPN et entre les routeurs CE1 et CE2 permettent aux PEs distants de connaître le site uniquement par sa route nominale, annoncée par PE1. Ainsi, les flux entrants sur le site utilisent le « lien nominal ».

En cas de chute du « lien nominal » (ou du routeur CE1 ou de l’OLT), le routeur CE2 devient automatiquement maître grâce au mécanisme VRRP. Les flux sortants du site utilisent alors le « lien secours ». Parallèlement, les mécanismes mis en œuvre au sein du réseau Business VPN et entre les routeurs CE1 et CE2 permettent aux PEs distants de connaître le site par sa seule route de secours, annoncée par le PE LNS. Ainsi les flux entrants sur le site utilisent le « lien secours ».

Dès que le « lien nominal» redevient actif, le routeur CE1 redevient maître et le fonctionnement initial se remet en place automatiquement.

3 Précisions sur l’architecture des Profils Corporate à disponibilité accrue

Il s’agit d’un haut niveau de sécurisation, avec un engagement de disponibilité de site via la souscription au Service Client Conseil Réseau - option gestion des sites de Orange Business services.

Le choix se fonde sur deux critères : le niveau de disponibilité et le niveau de service en situation de secours.

Il existe huit types de Profils Corporate à disponibilité accrue : Always-on, Always-on Offload, Always-on Hybrid/offfnet, Dual (Backup et Load-Balancing) et Integrated Access Dual (Backup et Load-Balancing).



Les Profils Always-on et Always-on Offload se composant d’un Profil Small All Inclusive en secours, Orange Business Services fournit systématiquement la ligne téléphonique RTC / ou support cuivre (voir dispositions prévues aux articles 3.1.2.1.1 et 3.1.2.1.2 de l’Annexe Profils et Intranet du Descriptif de Service Business VPN). Orange Business Services fournit la ligne téléphonique RTC ou le support cuivre jusqu’à la tête de câble Orange. En option une prolongation en partie privative (local technique) pourra être proposée via la fonction additionnelle « Installation terminale ». De plus, la ligne téléphonique RTC ou le support cuivre ne permettra pas d’établir des communications téléphoniques ni des fax mis en place sur le lien de secours, ne permettra ni d’établir des communications téléphoniques ni des fax.

Profil Corporate Always-on :

- lien nominal = un Profil Corporate (SDSL ou C2E (ou CN2 C2E si inéligible SDSL >2M) ou fibre) débit intranet du lien principal de 500K à 80M

- lien secours = un Profil Small All Inclusive (IP/ADSL ou VDSL)) mode nominal/secours deux liens, deux routeurs, deux supports différents débit intranet du lien secours de 1 à 50MMax conditionné par l’éligibilité au débit requis/repli nécessaire pour le secours backup uniquement les flux data GTR sur le lien nominal mais pas sur le lien secours parfaitement conçu pour les sites distants « simples »

Profil Corporate Always-on Offload : - lien principal = un Profil Corporate (SDSL ou C2E (ou CN2 C2E si inéligible SDSL <2M) ou fibre)

débit intranet du lien principal de 500K à 80M - lien secondaire = un Profil Small All Inclusive (IP/ADSL ou VDSL))

mode nominal/secours en mode actif deux liens, deux routeurs, deux supports différents débit intranet du lien secondaire au meilleur du débit éligible de 50MMax à 512k conditionné par l’éligibilité ADSL ou VDSL pour le lien secondaire « secours actif » en situation normale pour véhiculer les flux internet des ports destination TCP

8080 et 3128 le lien secondaire backup uniquement les flux data et le lien principal backup tous les flux GTR sur le lien principal mais pas sur le lien secondaire parfaitement conçu pour les sites distants « simples » Profils Corporate Hybrid et Corporate Hybrid Offnet : se composent d’un Profil Corporate (dit lien

nominal) et d’un Profil Small Hybrid ou Small Hybrid Offnet (dit « lien secondaire ») fonctionnant en mode nominal/secours.

tous les flux depuis le LAN Client sont orientés sur le routeur Business VPN du Profil Corporate - si les flux sont à destination du VPN, ils sont orientés sur le lien nominal - si les flux sont à destination d’internet, ils sont envoyés vers le routeur Hybrid qui les

envoie vers le routeur d’accès internet en situation de défaillance du lien nominal, les flux du VPN sont dirigés vers le routeur Hybrid pour

être redirigés dans le VPN via le tunnel IPsec - lien nominal = un Profil Corporate (SDSL ou C2E (ou CN2 C2E si inéligible SDSL >2M) ou fibre)

débit intranet du lien principal de 500K à 800M - lien secours = un Profil Small Hybrid ou Small Hybrid Offnet (type de support dépendant de l’offre internet

détenue par le Client) mode nominal/secours deux liens, trois routeurs (Corporate, Hybrid et Internet), deux supports identiques ou

différents selon l’offre internet du Client débit intranet du lien secours dépend de l’offre internet du Client et est limité à 80Mbit/s

(limitation des performances IPSec des routeurs) backup uniquement les flux data, possibilité de backup des flux Internet en fonction de la configuration du firewall et de l’éventuel proxy mis en place en place dans le VPN client. GTR sur le lien nominal uniquement parfaitement conçu pour les sites distants « simples »

Profil Corporate Dual Backup : - lien nominal = un Profil Corporate (SDSL ou C2E ou fibre) - lien secours = un Profil Corporate (selon le lien nominal)

mode « nominal/secours » deux liens, deux routeurs, un support identique aux deux liens conditionné par le support mis en place sur le lien nominal débit intranet des deux « liens » identiques de 500K à 800M backup de tous les flux du site (data, voix et vidéo) niveau de service = en nominal et en secours GTR sur les deux liens



Profil Corporate Dual Load-Balancing : - lien nominal = un Profil Corporate (SDSL ou C2E ou fibre) - lien secours = un Profil Corporate (selon le lien nominal)

mode « partage de charge » deux liens, deux routeurs, un support identique aux deux liens conditionné par le support mis en place sur le lien nominal débit intranet des deux « liens » identiques de 500K à 800M backup tous les flux (data, voix et vidéo) attention : en secours le débit intranet est inférieur à celui en situation « normale » car le site ne

fonctionne plus que sur 1 seul lien réservé aux sites type « central » ou « serveur » ayant des échanges avec de nombreux sites distants car la répartition de charge sur les 2 liens se fait en fonction des adresses des sites distants.

Profil Corporate Integrated Access Dual Backup : - lien nominal = un Profil Corporate Integrated Access (accès fibre via l’offre Business Ethernet Série 2) - lien secours = un Profil Corporate Integrated Access (identique au lien nominal)

mode « nominal/secours » deux liens, deux routeurs conditionné par la souscription à l’offre Business Ethernet Série 2 en mode Dual débit intranet identiques pour les deux « liens » de 500K à 800M backup de tous les flux du site (data, voix et vidéo) niveau de service = en nominal et en secours GTR sur les deux liens

Profil Corporate Integrated Access Dual Load-Balancing : - lien nominal = un Profil Corporate Integrated Access (accès fibre via l’offre Business Ethernet Série 2) - lien secours = un Profil Corporate Integrated Access (identique au lien nominal)

mode « partage de charge » deux liens, deux routeurs, un support identique aux deux liens conditionné par la souscription à l’offre Business Ethernet Série 2 en mode Dual débit intranet identiques pour les deux « liens », de 500K à 800M backup tous les flux (data, voix et vidéo) attention : en secours le débit intranet est inférieur à celui en situation « normale » car le site ne

fonctionne plus que sur 1 seul lien réservé aux sites type « centraux » ou « serveurs » ayant des échanges avec de nombreux sites distants car la répartition de charge sur les 2 liens se fait en fonction des adresses des sites distants.

Dans le cas des dossiers XoIP, il est fortement préconisé de proposer les Profils de types Dual, seuls Profils à assurer la sécurisation de ces applications, et d’y associer Service Client Conseil Réseau.

Les Profils Corporate à « disponibilité accrue » intègrent des engagements de qualité de service suivants : Interruption Maximale de Service (IMS) : dépendant du type de « dispo accrue » souscrite Garantie de Temps de Rétablissement 4h S2 (GTR) : uniquement sur les liens sur support symétrique

La Garantie de Temps de Rétablissement 4H S2 est incluse dans les Profils Corporate. Remarque :

sur les Profils Corporate Hybrid, Hybrid Offnet, Always-on et Always-on Offload : l’engagement de « Garantie de Temps de Rétablissement » s’applique à tout incident entraînant une Indisponibilité du lien nominal.

sur les Profils Corporate Dual et Corporate Integrated Access Dual : l’engagement de « Garantie de Temps de Rétablissement » s’applique à tout incident entraînant une Indisponibilité d’un des deux liens composant le Corporate Dual et ce même si l’autre lien est toujours actif

3.1 Option « Très sécurisé »

Cette option permet de bénéficier d’engagements supplémentaires en termes de GTR et d’engagements de qualité de services. Pour accéder à cette option, le Client doit avoir préalablement souscrit auprès d’Orange Business Services pour les Sites concernés à un des Profils Corporate Dual (Backup ou Dual Load-Balancing) ou Corporate Integrated Access Dual (Backup ou Dual Load-Balancing). Le Profil choisi devra également être associé :

pour les Profils Corporate Dual : o au service Intranet de 20M à 800M en standard ou dès 4M avec l’Option fibre (ou si inéligibilité

SDSL (voir Descriptif de Service Business VPN) o à l’offre « Raccordement Sécurisé de niveau 2 ou 3 » ou « Accès Fiabilisé de niveau 2 ou 3 »

(voir Descriptif de Service correspondant) pour les Profils Corporate Integrated Access Dual :

o au service Intranet de de 2M à 800M o à un accès de type accès Très Sécurisé niveau 2 ou niveau 3 via l’offre Business Ethernet Série 2

(voir descriptif de service correspondant) dans tous les cas :

o à la fonction additionnelle « GTR 4H S1 » o au « Service Client Conseil Réseau » (voir Descriptif de Service correspondant)



Par définition, du fait de la configuration en « Raccordement Sécurisé de niveau 2 ou 3 » ou « Accès Fiabilisé de niveau 2 ou 3 », une redondance des infrastructures physiques sur la liaison d’accès est m ise en place. Par conséquent, Orange installe deux Liaisons d’accès et deux routeurs devant être installés dans des locaux distincts. Une rocade devra donc être mise en place soit directement par le Client soit, dans certains cas particuliers, décrits dans l’offre de service Raccordement Sécurisé de niveau 3, par Orange Business Services.

3.2 Corporate Hybrid et Corporate Hybrid Offnet

Rappel 3.2.1

Les Profils Corporate Hybrid et Corporate Hybrid Offnet se composent d’un Profil Corporate (dit lien nominal) et d’un Profil Small Hybrid ou Small Hybrid Offnet (dit « lien secondaire ») fonctionnant en mode nominal/secours.

Lorsque le lien nominal est défaillant, la bascule vers le lien de secours se fait automatiquement pour les flux VPN, sans avoir besoin de contacter le SAV au préalable. Les flux du VPN sont alors dirigés vers le routeur Hybrid pour être redirigés dans le VPN via le tunnel IPsec.

Les Profils de site Corporate Hybrid et Corporate Hybrid Offnet ne sont pas recommandés quand la Classe voix est activée, car les flux voix ne sont pas secourus. En effet, en cas de panne du lien nominal, une dégradation très forte des garanties de services pour l'ensemble des communications sera constatée, voire le routage des flux voix ne sera pas fonctionnel.


Le mécanisme VRRP est activé sur les 2 routeurs CE (CE Corporate et CE Hybrid), le routeur CE Corporate du lien nominal étant maître. Le protocole de routage BGP (anciennement RIP) est mis en œuvre sur la rocade afin de sécuriser la liaison LAN ou le port Ethernet de chaque routeur.

Sur le lien nominal, le routeur CE Corporate utilise le protocole de routage dynamique eBGP avec son PE de rattachement.

Sur le lien secours, le routeur CE Hybrid utilise également le protocole de routage dynamique eBGP pour apprendre la topologie du réseau à partir du tunnel IPSec

En fonctionnement nominal les flux sortants du Site destinés à une adresse IP du réseau interne, apprise par le protocole de routage

dynamique, utilisent le lien nominal, les flux sortants du Site destinés à une adresse IP Internet, sont envoyés sur le CE Hybrid au travers du

lien de rocade afin d’être acheminés sur le réseau Internet, le flux de retour est directement envoyé par le CE Hybrid sur le réseau local du client, sans transiter par la rocade.

les mécanismes de routage mis en œuvre au sein du réseau Business VPN et entre les routeurs CE Corporate et CE Hybrid permettent aux PEs distants de connaître le Site uniquement par sa route nominale. Ainsi, les flux entrants sur le Site utilisent le lien nominal.

En cas de défaillance du lien nominal, du routeur CE Corporate ou de l’interface LAN du routeur CE Corporate, le routeur CE Hybrid devient automatiquement maître grâce au mécanisme VRRP.

les flux sortants du Site destinés à une adresse IP du réseau interne, apprise par le protocole de routage, utilisent le tunnel IPsec, ou le lien Corporate si la panne ne concerne que l’interface LAN du routeur CE Corporate,

les flux sortants du Site destinés à une adresse IP Internet sont acheminés sur le réseau Internet, les mécanismes de routage mis en œuvre au sein du réseau Business VPN - et entre les routeurs CE

Corporate et Hybrid - permettent aux PEs distants de connaître le Site par sa route nominale, si la panne ne concerne que l’interface LAN du routeur CE Corporate, ou par sa route de secours, si la panne concerne le lien nominal ou le routeur CE Corporate.

Dès que le lien nominal redevient actif, le routeur CE Corporate redevient maître et le fonctionnement initial se remet en place automatiquement.

En cas de défaillance de l’accès Internet, seuls les flux sortants du Site destinés à une adresse IP Internet sont affectés. Avec un « routeur standard » CE Hybrid, ces flux sont routés vers le routeur internet qui les rejette faute d’accès internet fonctionnel. Avec un « Routeur à la Carte » CE Hybrid, ces flux sont dirigés vers le routeur CE Corporate. Celui-ci dirige ces flux vers la destination de la route par défaut diffusée sur le réseau Business VPN, si elle existe, ou rejette ces flux dans le cas contraire.



En cas de défaillance du routeur CE Hybrid, ou de l’interface de rocade entre le CE Hybrid et le CE Corporate, seuls les flux sortants du Site destinés à une adresse IP Internet sont affectés. Ces flux sont redirigés par le routeur CE Corporate vers la destination de la route par défaut diffusée sur le réseau Business VPN, si elle existe, ou rejetés par le routeur CE Corporate dans le cas contraire.

Les cas de défaillance sont résumés dans le tableau ci-dessous :

Cas de défaillance Flux Intranet Flux Internet

Lien nominal Pris en charge par le CE Hybrid. Basculement automatique sur le tunnel IPsec

CE Corporate

Interface LAN du CE Corporate Pris en charge par le CE Hybrid. Puis routage par le lien nominal via la rocade

Accès Internet

Avec un CE Hybrid de type « routeur standard » : rejetés Avec un routeur CE Hybrid de type« Routeur à la Carte » : redirection automatique vers la destination de la route par défaut diffusée sur le réseau Business VPN, si elle existe, ou rejetés dans le cas contraire

CE Hybrid Pris en charge par le CE Corporate. Redirection automatique vers la destination de la route par défaut diffusée sur le réseau Business VPN, si elle existe, ou rejetés dans le cas contraire

Rocade entre CE Corporate et CE Hybrid

Interface WAN du CE Hybrid

Cas de défaillance Flux Intranet Flux Internet

Interface LAN du CE Hybrid Les flux internet retour sont routés vers

le routeur CE Corporate via la rocade, puis vers le LAN client.

Note : les cas de panne des flux internet décrits ci-dessous concernent les principes de routage mis en jeu, sans garantie que les flux internet puissent être secourus. En effet, le secours des flux internet dépend aussi de la configuration du firewall et de l’éventuel proxy mis en place en place dans le VPN client.

3.3 Corporate Always-on

Rappel 3.3.1

Le Profil Corporate Always-on se compose d’un Profil Corporate (dit lien nominal) et d’un Profil Small All Inclusive (dit lien secours) fonctionnant en mode nominal/secours. La ligne téléphonique RTC ou le support cuivre est systématiquement fourni dans le cadre du service « Business VPN » par Orange Business Services sur chaque Site concerné et fait l’objet d’une intervention spécifique. étant précisé que dans tous les cas ni l’un ni l’autre de ces supports ne permettra pas d’établir de communications téléphoniques ou d’envoyer/recevoir des fax. Le Profil de site Corporate Always-on n’est pas recommandé quand la Classe voix est activée, car les flux voix ne sont pas secourus. En effet, la voix est complètement filtrée car elle impliquerait une dégradation très forte des garanties de services pour l'ensemble des communications.

Par ailleurs, le Profil Small utilisé pour le lien secours n’inclut ni Garantie de temps de rétablissement ni mécanisme de Classes de Service.

Sur Profil Corporate Always-on, afin d’améliorer la fiabilité de la solution, le lien secours supporte une session PPP établie en permanence.


Le secours Corporate Always-on est conçu pour les sites distants « simples », il n’est pas adapté pour les Sites centraux ou pour les Sites possédant plus de 5 subnets ou interconnectant d’autres VPN.



Le mécanisme VRRP est activé sur les 2 routeurs CE, le routeur CE1 du lien nominal étant maître. Le protocole de routage RIP est mis en œuvre sur la rocade afin de sécuriser la liaison LAN ou le port Ethernet de chaque routeur.

Sur le lien nominal, en fonction du réseau support, le routeur CE1 utilise : une route par défaut ou 5 routes statiques maximum (SDSL ou CN2 C2E), le protocole de routage dynamique eBGP (FO ou CN2 ou plus de 5 routes).

Sur le lien secours VDSL ou ADSL, le routeur CE2 utilise une route par défaut ou 5 routes statiques maximum et établit de manière permanente une session PPP avec le PE LNS :

En fonctionnement nominal, les flux sortants du Site utilisent ainsi le lien nominal,. Les mécanismes mis en œuvre au sein du réseau Business VPN et entre les routeurs CE1 et CE2 permettent aux PEs distants de connaître le Site uniquement par sa route nominale, annoncée par PE1. Ainsi, les flux entrants sur le Site utilisent le lien nominal,

En cas de défaillance du lien nominal, ou du routeur CE1, le routeur CE2 du lien secours devient automatiquement maître grâce au mécanisme VRRP. Les flux sortants du Site utilisent alors le lien secours. Parallèlement, les mécanismes mis en œuvre au sein du réseau Business VPN et entre les routeurs CE1 et CE2 permettent aux PEs distants de connaître le Site par sa seule route de secours, annoncée par le PE LNS. Ainsi les flux entrants sur le Site utilisent le lien secours.

Dès que le lien nominal redevient actif, le routeur CE1 redevient maître et le fonctionnement initial se remet en place automatiquement.

La fourniture d’un Profil Corporate Always-on est conditionnée par l’éligibilité à la construction de la Liaison d'accès ADSL pour le lien secours du Site concerné (voir §13.2.1 du Descriptif de service « Business VPN »).

En fonction du débit Intranet souscrit par le Client sur le lien nominal ou du surdimensionnement du support dudit lien nominal déployé (voir article 5.8.5 du descriptif de service Business VPN), Orange Business Services déterminera alors celui du lien secours correspondant selon les critères suivants :

débit intranet du lien nominal souscrit

débit intranet du lien secours Si éligible repli

Intranet jusqu’à 1M 50MMax 1MMax Extended Si le Site du Client n’est pas éligible au débit lien secours requis, Orange Business Services pourra, le cas échéant et selon les règles d’éligibilités décrites à l’article 11.2.1 du Descriptif de Service Business VPN, mettre en place un lien secours au débit intranet inférieur. Si le Site du Client n’est pas éligible au débit inférieur, le Profil Corporate Always-on ne pourra être souscrit sur le Site concerné. Dans ce cas, la solution préconisée est de souscrire au Profil Corporate Dual backup.

Intranet jusqu’à 8M 50MMax 8MMax 1MMax

Intranet à partir de 10M 50MMax 18MMax 8MMax

En cas de surdimensionnement (voir article 5.8.5 du Descriptif de Service Business VPN), en fonction des usages souscrits par le Client, le débit du support du lien nominal étant supérieur à celui souscrit, celui du lien secours peut également être augmenté tout en respectant les règles d’éligibilités décrites à l’article 11.2.1 du Descriptif de Service Business VPN.

3.4 Corporate Always-on Offload

Rappel 3.4.1

Le Profil Corporate Always-on Offload est construit sur la base d’un Profil Corporate (dit lien principal) et d’un Profil Small All Inclusive (dit lien secondaire) fonctionnant simultanément, avec un repli sur un seul lien en cas de dysfonctionnement de l’autre lien. Le retour au fonctionnement normal se fait automatiquement. La ligne téléphonique RTC ou le support cuivre est systématiquement fourni dans le cadre du service « Business VPN » par Orange Business Services sur chaque Site concerné et fait l’objet d’une intervention spécifique. Etant précisé que dans tous les cas ni l’un ni l’autre de ces supports ne permettra pas d’établir de communications téléphoniques ou d’envoyer/recevoir des fax. Le Profil de site Corporate Always-on Offload n’est pas recommandé quand une Classe Voix ou Visio est activée, car les flux voix et les flux visio ne sont pas secourus en cas de défaillance du lien principal. En effet, la voix et la visio sont complètement filtrées car cela impliquerait une dégradation très forte des garanties de services pour l'ensemble des communications. Par ailleurs, le Profil Small utilisé pour le lien secondaire n’inclut ni Garantie de temps de rétablissement ni mécanisme de Classes de Service.



Sur Profil Corporate Always-on Offload, afin d’améliorer la fiabilité de la solution, le lien secondaire supporte une session PPP établie en permanence et ce lien est utilisé pour permettre le routage de flux de surf vers Internet (critère technique implémenté : flux vers les ports destination TCP 8080 et 3128).


Le Profil Corporate Always-on Offload est conçu pour les sites distants « simples », il n’est pas adapté pour les Sites centraux ou pour les Sites possédant plus de 5 subnets ou interconnectant d’autres VPN.

Le mécanisme VRRP est activé sur les 2 routeurs CE, le routeur CE1 du lien principal étant maître. Le protocole de routage BGP est mis en œuvre sur la rocade afin de sécuriser la liaison LAN ou le port Ethernet de chaque routeur. Sur le lien principal, en fonction du réseau support, le routeur CE1 utilise :

une route par défaut ou 5 routes statiques maximum (SDSL ou CN2 C2E), le protocole de routage dynamique eBGP (FO ou CN2 ou plus de 5 routes).

Sur le lien secondaire VDSL ou ADSL, le routeur CE2 utilise une route par défaut ou 5 routes statiques maximum et établit de manière permanente une session PPP avec le PE LNS.

En fonctionnement standard, les flux sortants nominaux (c’est-à-dire tous les flux à l’exception des flux vers les ports destination TCP 8080 et 3128) du Site utilisent le lien principal et les flux vers les ports destination TCP 8080 et 3128 utilisent le lien secondaire. Les mécanismes mis en œuvre au sein du réseau Business VPN et entre les routeurs CE1 et CE2 permettent aux PEs distants de connaître le Site uniquement par sa route nominale, annoncée par PE1 pour les flux principaux. Ainsi, les flux entrants sur le Site, à l’exception des flux de surf internet, utilisent le lien principal. En ce qui concerne ces flux de surf internet, c’est-à-dire les flux vers les ports destination TCP 8080 et 3128, un mécanisme de NAT/PAT dynamique sur une adresse IP unique est appliqué en sortie du CE2. La route vers cette adresse IP est annoncée uniquement par le PE-LNS : ce fonctionnement garantit que les flux en sens retour seront également routés via le PE-LNS et le lien secondaire.

En cas de défaillance du lien principal ou du routeur CE1, le routeur CE2 du lien secondaire devient automatiquement maître grâce au mécanisme VRRP. Tous les flux sortants du Site, hors voix et visio qui ne sont pas secourus, utilisent alors le lien secondaire. Le mécanisme de NAT/PAT dynamique reste appliqué uniquement aux flux vers les ports destination TCP 8080 et 3128. Parallèlement, les mécanismes mis en œuvre au sein du réseau Business VPN et entre les routeurs CE1 et CE2 permettent aux PEs distants de connaître le Site par sa seule route secondaire pour les flux nominaux et par sa route vers l’adresse IP de NAT/PAT dynamique pour les flux vers les ports destination TCP 8080 et 3128. Ces routes sont annoncées par le PE LNS. Ainsi tous les flux entrants sur le Site utilisent bien le PE LNS et le lien secondaire dans ce cas. Dès que le lien principal redevient actif, le routeur CE1 redevient maître et le fonctionnement initial se remet en place automatiquement.

En cas de défaillance du lien secondaire ou du routeur CE2, le routeur CE1 du lien principal devient le seul routeur utilisé pour sortir et rentrer du site (il est maître grâce au mécanisme VRRP pour tous les flux). Tous les flux sortants du Site utilisent alors le lien principal (y compris les flux vers les ports destination TCP 8080 et 3128 mais dans ce cas, sans mécanisme de NAT/PAT dynamique). Ce basculement a comme impact une coupure des sessions TCP sur les ports destination TCP 8080 et 3128 en cours. Parallèlement, les mécanismes mis en œuvre au sein du réseau Business VPN et entre les routeurs CE1 et CE2 permettent aux PEs distants de connaître le Site par sa seule route nominale, annoncée par le PE nominal. Ainsi tous les flux entrants sur le Site utilisent le lien principal. Dès que le lien secondaire redevient actif, le routeur CE2 redevient actif pour router les flux vers les ports destination TCP 8080 et 3128, avec une nouvelle coupure des sessions sur ports destination TCP 8080 et 3128 en cours, et le fonctionnement initial se remet en place automatiquement.

La fourniture d’un Profil Corporate Always-on Offload est conditionnée par l’éligibilité à la construction de la Liaison d'accès sur support VDSL ou IP/ADSL pour le lien secondaire du Site concerné (voir §13.2.1 du Descriptif de Service « Business VPN »).



Débit Intranet sur Profil Corporate Always-on Offload

Débits intranet souscrit du « lien nominal » par le Client

Débits intranet correspondant du « lien secours » mis en place

Si éligible Repli 1 Repli 2 Repli 3 Repli 4

Intranet jusqu’à 1M 50 MMax 18MMax 8MMax 1MMax Extended Intranet jusqu’à 8M

Intranet de 10M à 80M

Note 1 : sur les sites Corporate Always-on Offload, la solution d'Offload n'est pas compatible avec un firewall local appliquant des mécanismes d'anti-spoofing d'IP@ car les flux d'Offload (sur critère technique de flux vers les ports destination TCP 8080 et 3128) sont attirés vers le CE nominal en sens montant et sont renvoyés par le CE secours en sens descendant vers le LAN client.

Note 2 : sur les sites Corporate Always-On Offload, la solution d'Offload n’est pas compatible avec la présence de deux firewalls locaux, chacun étant en coupure de l’un des deux routeurs CE. En effet, les flux d'offload (sur critère technique de flux vers les ports destination TCP 8080 et 3128) sont attirés vers le CE nominal en sens montant et sont renvoyés par le CE secours en sens descendant vers le LAN client.

3.5 Corporate Dual Backup

Rappel 3.5.1

Le Profil Corporate Dual Backup se compose de deux Profils Corporate identiques (dits lien nominal et lien secours) fonctionnant en mode nominal/secours. Lorsque la technologie utilisée est le SDSL, la construction du Profil Corporate Dual Backup est réalisée chaque fois que cela est possible sur deux DSLAM distincts. La détermination de cette faisabilité intervient lors de la production. Pour les Sites localisés dans une ville disposant d'un seul DSLAM, et en fonction des possibilités, ils sont raccordés sur deux cartes ou à défaut sur une seule.

Lorsque le lien nominal est défaillant, la bascule vers le lien de secours se fait automatiquement, sans avoir besoin de contacter le SAV au préalable.


La Commande d’un Profil Corporate Dual Backup se fait uniquement sur une adresse commune aux deux liens (nominal et secours) qui le composent. L‘architecture technique d’un Corporate Dual est identique Backup quel que soit la localisation du Site du Client (en particulier, le tronc TDSL et le PE sont toujours doublés).

Sites localisés sur deux adresses distinctes : situation de « campus » 3.5.1

On entend par situation de « campus », un Site avec plusieurs immeubles sis à une adresse commune (hôpital, université, ...).

Les routeurs du lien nominal et du lien secours devant être installés sur deux bâtiments distincts, une rocade doit être montée. Elle peut être prise en charge directement par le Client ou gérée par Orange Business Services après qu’une étude spécifique payante ait été réalisée et pour laquelle le Client aura préalablement accepté le devis.

3.6 Corporate Dual Load-Balancing

Rappel 3.6.1

Le Profil Corporate Dual Load-Balancing se compose de deux Profils Corporate identiques (dits lien nominal et lien secours) fonctionnant simultanément, avec un repli sur un seul « lien » en cas de dysfonctionnement de l’autre « lien ». Le retour au fonctionnement normal se fait automatiquement.

Chacun des 2 « lien » supportent 50% du trafic en situation normale ; lors d’une défaillance d’un des « liens », 100% du trafic est supporté par le second. La bande passante Intranet en situation de secours est alors inférieure à celle souscrite et fournie en fonctionnement normal.

Par ex pour un service Intranet de 10 Mb/s commandé offrant au global un débit de 20 Mb/s réparti sur les deux accès en fonctionnement normal, la bande passante Intranet en situation de secours est de 10 Mb/s.




Le choix de ce Profil doit être réservé pour des sites ayant des échanges avec de nombreux sites distants (site de type site central ou site serveur). En effet, la répartition de charge sur les 2 « liens » utilisés dans le Profil Corporate Dual « Load-Balancing » se fait en fonction des adresses des sites distants.

Le principe est l’utilisation des mécanismes de répartition de charge par communauté avec la mise en œuvre des mécanismes HSRP ou VRRP, du routage dynamique eBGP entre les CE et PE.

La solution repose sur la séparation des sites distants d’un réseau en deux communautés : mécanisme s’appuyant sur l’attribut BGP « Community Tag » (CT) permettant de gérer le partage de

charge dans le sens: - montant (du site central en partage de charge vers les Sites distants). - descendant (des Sites distants vers le Site central en partage de charge).

les Sites distants sont : - soit en routage statique, soit en routage dynamique.

3.7 Corporate Integrated Access Dual Backup

Rappel 3.7.1

Le Profil Corporate Integrated Access Dual Backup : se compose de deux Profils Corporate Integrated Access identiques (dits « lien nominal » et « lien secours ») fonctionnant en mode nominal/secours. Les deux Liaisons d’accès sont fournies dans le cadre de la souscription à l’offre Business Ethernet Série 2- accès direct (hors CELAN) avec le même niveau de sécurisation que celui souhaité sur Business VPN Lorsque le lien nominal est défaillant, la bascule vers le lien de secours se fait automatiquement, sans avoir besoin de contacter le SAV au préalable.


3.8 Corporate Integrated Access Dual Load-Balancing

Rappel 3.8.1

Le Profil Corporate Integrated Access Load-Balancing : se compose de deux Profils Corporate Integrated Access identiques (dits « lien nominal » et « lien secours ») fonctionnant en mode « partage de charge », soit simultanément, avec un repli sur un seul lien en cas de dysfonctionnement de l’autre lien. Le retour au fonctionnement normal se fait automatiquement.

Chacun des 2 « lien » supportent 50% du trafic en situation normale ; lors d’une défaillance d’un des « liens », 100% du trafic est supporté par le second. La bande passante Intranet en situation de secours est alors inférieure à celle souscrite et fournie en fonctionnement normal.

Par ex : pour un service Intranet de 10 Mb/s commandé offrant au global un débit de 20 Mb/s réparti sur les deux accès en fonctionnement normal, la bande passante Intranet en situation de secours est de 10 Mb/s.


Orange, Société Anonyme au capital de 10 640 226 396 €78, rue Olivier de Serres 75015 Paris - RCS Paris 380 129 866

business vpn pour les profils à disponibilité accrue définition · annexe au descriptif de...

Documents