SDN (Software Defined Networking)
SDN : Le SDN (Software Defined Networking) est le dernier mot à la mode dans le domaine de l’informatique, qui devient de plus en plus populaire chaque année.
Certains administrateurs réseaux ont lu, ou entendu certaines rumeurs, comme quoi, à l’avenir, l’ensemble du réseau sera programmé, et craignent maintenant que leurs emplois soient remplacés par des programmeurs qui connaissent parfaitement les langages C, C ++, Java ou Python.
Alors qu’est-ce que le SDN, et pourquoi devient-il aussi populaire ?
Les admins réseau, ont-ils raison de s'en inquiéter ?
Pour répondre à ces questions, on va d’abord examiner, dans la 1ʳᵉ partie du cours, le réseau « traditionnel », et ces limites.
Ensuite, dans la seconde partie, on verra ce qu’est le SDN et en quoi il est censé résoudre les limites du réseau « traditionnel ».
Réseau traditionnel
Le réseau a toujours été très traditionnel.
Nous avons des périphériques réseaux spécifiques, comme :
-
Des routeurs
-
Des commutateurs
-
Ou des firewalls qui sont utilisés pour des tâches spécifiques.
Ces équipements réseau sont vendus par des fournisseurs de réseau comme Cisco et utilisent souvent du matériel propriétaire.
On les configure principalement via la CLI (Command-Line Interface), plutôt que par les interfaces graphiques (GUI : Graphical User Interface), comme « CCP » (Cisco Configuration Protocol) pour les routeurs ou ASDM (Adaptive Security Device Manager) pour les pare-feu Cisco ASA.
On va maintenant détailler les différentes fonctions qu’un routeur doit exécuter pour pouvoir transmettre un paquet IP :
-
Il doit vérifier l’adresse IP de destination, dans la table de routage, afin de savoir où transférer le paquet IP.
-
Des protocoles de routage, comme OSPF, EIGRP ou BGP, sont nécessaires pour apprendre les réseaux et les installés dans la table de routage.
-
Il doit utiliser ARP pour trouver l’adresse MAC de destination du prochain saut, ou de la prochaine destination, et la modifier dans la trame Ethernet.
-
Le TTL (Time to Live), qui est la durée de vie d’un paquet IP, doit être diminué de « 1 », et le « checksum » de l’en-tête IP doit être recalculé.
-
Le checksum de la trame Ethernet doit lui aussi être recalculé.
On peut voir le « checksum » comme l’empreinte du paquet IP, permettant de vérifier qu’il n’a pas été modifié sur la route. Ce mot se traduit littéralement par « somme de contrôle ».
Toutes ces différentes taches, que nous venons de voir, sont séparées par différents plans. En tout, il y en a 3, on a :
-
Le plan de contrôle (Control plan)
-
Le plan Data (Data plan)
-
Et le plan de gestion (Management plan)
Nous allons maintenant détailler l’ensemble de ces 3 plans
Plan de contrôle (Control plane)
Le plan de contrôle est responsable de l’échange des informations de routage, de la construction de la table ARP, etc.
Voici quelques tâches effectuées par le plan de contrôle :
-
Il va apprendre les adresses MAC pour construire une table.
-
Il va exécuter le Spanning-tree, pour créer une topologie sans boucle.
-
Il va créer la table ARP.
-
Et c’est lui qui exécutera les protocoles de routage comme OSPF, EIGRP et BGP en créant la table de routage.
Plan de données
Le plan de données est responsable de la transmission du trafic.
Il s’appuie sur les informations fournies par le plan de contrôle.
Voici quelques tâches que le plan de données prend en charge :
-
C’est lui qui encapsule et désencapsule les paquets.
-
Il ajoute ou supprime les en-têtes, comme l’en-tête 802.1Q pour les VLANs.
-
Il va matcher les Adresses MAC pour le transfert.
-
Faire correspondance les destinations IP dans la table de routage.
-
Modifier les adresses source et de destination lorsqu’il y a du NAT (network address translation)
-
Et il supprimera le trafic, en fonction des ACL’s (Access Control List)
Plan de gestion
Le plan de gestion est utilisé pour l’accès et la gestion des périphériques réseau.
Par exemple, les connexions en Telnet, SSH, ou par le port console.
Lorsque l’on parle de SDN (Software Defined Networking), il faut garder à l’esprit que le plan de contrôle et de données sont les plus importants.
Pour vous aider à visualiser les différents plans, voici une illustration du plan de contrôle et de données :
Sur le schéma, on peut voir le plan de contrôle où il y a des protocoles de routage comme OSPF, EIGRP et même certains routages statiques.
Les meilleurs itinéraires sont installés dans la table de routage.
Le routeur doit aussi construire la table ARP.
Les informations de la table de routage et de la table ARP sont ensuite utilisées pour créer la table de transfert.
De cette façon, lorsque le routeur reçoit un paquet IP, il pourra le transmettre rapidement, car la table de transfert a déjà été construite.
Les limites du réseau traditionnel, les raisons de la création du SDN
Tout ce que l’on vient d’aborder est la façon dont les réseaux fonctionnent depuis des dizaines d’années.
Il n’y a donc rien de « mal » avec les réseaux « traditionnel ».
Mais, de nos jours, certains business se challengent sur des solutions différentes…
Prenons comme exemple, cette topologie :
Sur ce schéma, nous voyons une infrastructure réseau d’un Data center d’une entreprise.
Tout en bas de la topologie, on trouve un serveur ESXi VMware avec un certain nombre de machines virtuelles.
Ce serveur est connecté à certains commutateurs dans les couches d’accès et d’agrégation.
On voit également deux firewalls ASA pour la protection du serveur et deux routeurs pour l’accès au monde extérieur.
Et tout en haut, nous avons un routeur avec un utilisateur : Le PC A
Maintenant, supposons que cette entreprise souhaite acquérir une nouvelle application qui demanderait l’installation de quatre nouvelles machines virtuelles sur le serveur VMware.
Alors, pour des raisons de sécurité, chaque machine virtuelle devra se trouver dans un VLAN différent.
Le PC A, qui se trouve derrière le routeur1, doit pouvoir accéder à l’application qui se trouvera sur ces machines virtuelles.
On va voir certaines étapes, que l’admin réseau devra configurer pour ce besoin.
-
Il devra créer l’ensemble des VLAN’s sur tous les commutateurs.
-
Il faudra aussi configurer le pont racine (root bridge) pour les nouveaux VLAN’s.
-
Il devra attribuer quatre nouveaux sous-réseaux : un pour chaque VLAN.
-
Il faudra créer de nouvelles sous-interfaces avec des adresses IP sur les commutateurs.
-
Configurer de la redondance pour les nouveaux VLAN, soit avec le protocole VRRP ou HSRP.
-
Configurer les firewalls pour qu’on puisse accéder à l’application et aux différents sous-réseaux.
-
Et il faudra aussi annoncer les nouveaux sous-réseaux dans un protocole de routage sur les commutateurs, routeurs et pare-feu.
Alors bien qu’il existe des outils d’automatisation du réseau pour nous faciliter la tâche, en général, l’admin réseau utilisera plutôt la CLI pour configurer tous ces périphériques, un par un.
C’est donc un processus très lent et manuel qu’une personne physique doit faire.
Alors qu’il ne faut que quelques minutes, à l’équipe système pour faire tourner une nouvelle machine virtuelle, cela peut prendre quelques heures à l’équipe réseau pour préparer les équipements de la topologie.
De plus, ces types de modifications sont généralement réalisés hors production.
C’est-à-dire, en dehors des heures ouvrables de l’entreprise.
La virtualisation des serveurs est l’une des raisons pour lesquelles les entreprises recherchent quelque chose qui accélère le processus de toutes les taches que l’on vient de voir.
Avant la virtualisation, nous avions un serveur physique avec un seul système d’exploitation.
Aujourd’hui, nous avons plusieurs serveurs physiques avec des centaines de machines virtuelles.
Et ces machines virtuelles peuvent se déplacer automatiquement d’un serveur physique à un autre.
Lorsqu’ils franchissent la limite de la couche 3, l’idéal serait de ne pas avoir à attendre que l’équipe réseau apporte les modifications nécessaires au routage ou aux ACL’s.
Cela devrait être automatique.
Et comme la « tendance » de nos jours est que tout doit être virtuel, il n’est pas étonnant de voir que ça se produit aussi dans les réseaux.
N’oubliez pas de vous abonner à la chaîne YouTube Formip