SDN  :  la  virtualisation  réseau  pour  les  datacenters  
  2013  a  été  l'année  de  l'émergence  de  stratégies  liées  à  la    virtualisation  des  réseaux  chez  les  grands  fournisseurs  d'infrastructure.  Mais  sur  un  marché  du  datacenter  
  de  plus  en  plus  sollicité,  à  quel  besoin  cela  répond-­‐il  ,  quels  sont  les  enjeux,  et  surtout  quels  mécanismes  se  cachent  derrière  ces  désormais  incontournables  réseaux  
 
programmables  (Software-­‐Defined  Networks).  
 
 
 
 
 
PRÉSENTATION   COMPRENDRE  LES  RÉSEAUX   SDN  :  PRATIQUES  ET    
 
  PROGRAMABLE   SOLUTIONS  
   

 
  

   
 
 
PRÉSENTATION  
Présentation  

S E P T E M B R E   2014 Les technologies de réseaux

programmables ou SDN (Software defined Network) ont
le vent en poupe et leur adoption s’accélère que ce soit au
sein des datacenters d’entreprises, des réseaux de
  fournisseurs de services ou des réseaux d’opérateurs.
PRÉSENTATION   Afin de vous permettre d’en savoir plus sur le sujet,
 
LeMagIT a compilé ce guide essentiel sur les SDN. Son
COMPRENDRE  LES  RÉSEAUX  
PROGRAMABLES  
objectif est de vous présenter les grands principes qui

 
sous-tendent le concept des SDN, de vous permettre de

SDN  :  PRATIQUE  ET  

mieux comprendre les composants clés des SDN, mais
SOLUTIONS  
aussi de vous éclairer sur les stratégies des principaux
 
acteurs du monde des réseaux. Enfin, ce guide servira
aussi progressivement de point de collecte pour les cas
utilisateurs sur les SDN rédigés par la redaction. ■

CYRILLE CHAUSSON

Rédacteur en chef ,
TechTarget / LeMagIT

2   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
 
COMPRENDRE  LES  
 
 
RESEAUX  
PROGRAMMABLES   Comprendre  les  réseaux  programmables  
 
1. Introduction  aux  technologies  SDN:  évolution  ou   3. S D N   :   o r c h e s t r a t i o n   e t   v i r t u a l i s a t i o n   d e  
révolution  architecturale?  
r é s e a u ,   p o u r q u o i   ?
Cet article expert tente de décrypter ce qui se L'un des principaux objectifs des SDN est de
 
cache derrière le concept de SDN, ou réseaux permettre la mise en œuvre de réseaux flexibles
PRÉSENTATION   programmables. Un concept où partisans du qui peuvent être provisionnés de manière
  contrôle centralisé et du contrôle distribué des dynamique.
COMPRENDRE  LES  RÉSEAUX   réseaux s’affrontent. 4. Comment  les  applications  SDN  vont  changer  les  
PROGRAMABLES  
services  réseau  des  couches  4  à  7
 
2. L e s   b a s e s   d u   S D N   :   c o m p r e n d r e   l e s   a t o u t s   Les SDN ont certes le vent en poupe et les
SDN  :  PRATIQUE  ET  
SOLUTIONS   d e   l a   p r o g r a m m a b i l i t é   e t   d u   c o n t r ô l e   spécialistes des équipements réseaux
  centralisé
s’engouffrent dans la tendance. Mais déployer ces
Les deux principaux piliers de l'approche SDN
technologies de réseaux programmables affectent
sont la programmabilité des équipements réseaux
les architectures. Cet article décrypte les
et la mise en œuvre d'un point de contrôle
incidences du SDN sur les services réseau des
centralisé.
couches 4 à 7.

3   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
COMPRENDRE  LES  
RESEAUX  
PROGRAMMABLES  

1. INTRODUCTION  AUX  TECHNOLOGIES  SDN:   paquets, des informations d'ordre topologique et la

ÉVOLUTION  OU  RÉVOLUTION  ARCHITECTURALE?   connectivité du réseau proprement dit. Pour un paquet
donné, les tables d'acheminement renseignent chaque
S'il n'existe pas de définition claire et unique du concept
équipement sur le port à utiliser en guise de destination.
de SDN (Software defined Networking) ou de réseaux
Dans les réseaux traditionnels, ces tables sont élaborées
programmables, il existe aujourd'hui deux camps parmi
  via l'échange d'informations de topologie et d'état à
les rangs des protagonistes des SDN,ayant chacun leur  
PRÉSENTATION  
l'échelle des différents équipements réseau. Ce sont des
point de vue : d'un côté les puristes, de l'autre les
paquets de contrôle spécifiques qui gèrent ce processus
  pragmatiques. Les "puristes" croient en une gestion et un
de découverte. La table de découverte et d'acheminement
contrôle centralisés de l'acheminement des paquets au
COMPRENDRE  LES  RÉSEAUX   est donc appelée « plan de contrôle » et se distingue du
PROGRAMABLES   sein du réseau, tandis que "les pragmatiques" s'appuient
« plan de données », plan sur lequel sont manipulés les
  sur des principes d'architecture distribuée dans laquelle la
paquets de données.
SDN  :  PRATIQUE  ET  
prise de décision quant au routage des paquets épend de
SOLUTIONS   l'ensemble des éléments du réseau. Chaque stratégie SDN
a ses points forts et sera mise en œuvre en fonction du Toutefois, un comportement de découverte et
 
scénario d'usage. d’adaptation autonome entrave l'ingénierie du trafic, la
prévision des performances ou encore la création rapide
  et ordonnée de reprises sur incident. Les problèmes de
Le  problème  des  réseaux  traditionnels   réseau engendrent un désordre temporaire lorsque les
  équipements tentent de découvrir de nouveaux chemins.
Lorsque c’est le cas, les pertes et les retards
Les commutateurs présents sur les réseaux physiques
d'acheminement de données peuvent être considérables.
acheminent les informations sous la forme de paquets en
Par ailleurs, aucun équipement n'est pleinement conscient
s'appuyant sur la connaissance combinée de différents
de la contribution que ses pairs sont susceptibles
éléments, notamment l'adresse réseau intégrée aux
d'apporter au trafic de ces données. Les calculs de charge

4   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
COMPRENDRE  LES  
RESEAUX  
PROGRAMMABLES  

et la qualité de service, ou QoS (Quality of Service) trouvent de modifier leurs tables d'acheminement, afin de
deviennent donc difficiles à sécuriser. transmettre correctement les paquets sur un chemin
spécifique. Par conception, le protocole OpenFlow
constitue le langage qu'utilise le contrôleur central pour
communiquer aux équipements du réseau les
  Les  puristes  SDN  et  le  modèle  des   modifications apportées aux tables d'acheminement. Cette
PRÉSENTATION   contrôleurs  centralisés   communication peut s'effectuer de manière proactive
selon une carte du réseau ou en réaction à une demande
 
d'instructions émanant d'un équipement sur la manière de
COMPRENDRE  LES  RÉSEAUX   gérer un paquet pour lequel il ne dispose d'aucune entrée
PROGRAMABLES  
Le modèle puriste des technologies SDN est apparu d'acheminement.
 
lorsque la recherche a eu pour objectif de remplacer la
SDN  :  PRATIQUE  ET   découverte adaptative par un contrôle centralisé de Toute la difficulté de cette approche SDN centralisée
SOLUTIONS  
l'acheminement. Dans cette architecture, un processus tient à l'absence d’un modèle de contrôle centralisé
 
logiciel central - le contrôleur SDN centralisé - éprouvé. Si Internet et son fondement IP ont fait la
administre l'intégralité de la topologie du réseau, ainsi preuve de leur capacité d'évolution à l'échelle de l'univers
que l'état de ses équipements et tronçons, et appréhende en ligne actuel, rien ne prouve en revanche qu'un contrôle
son adressage et sa connectivité du point de vue de centralisé de la mise en réseau puisse faire montre d'une
l'utilisateur. telle évolutivité. Qui plus est, aucune technologie
couramment acceptée ne permet de tester ces capacités.
Ce processus central fait alors appel à différents
algorithmes et politiques pour définir, au sein du réseau, La technologie SDN centralisée va donc tout d'abord
les chemins destinés à chaque flux autorisé. Ces chemins avoir faire ses preuves dans des déploiements internes, à
sont créés en ordonnant à tous les équipements qui s'y l'échelle d'un datacenter ou d'un opérateur de cloud. En

5   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
COMPRENDRE  LES  
RESEAUX  
PROGRAMMABLES  

effet, les problèmes d'évolutivité et de contrôle centralisé aussi pur que soit son fondement, comme une approche
sont plus faciles à gérer au sein d'un datacenter, d'un révolutionnaire superflue ; la voie de l'évolution étant
cloud, d'un réseau de mise à disposition de contenus ou plus prudente. En matière de génération de tables
d'un noyau WAN, qu'à l'échelle d'Internet, voire d'un d'acheminement, la découverte adaptative tire sa
WAN d'entreprise. légitimité de décennies d'utilisation, et notamment du
  succès du protocole IP en tant que fondement d'Internet.
PRÉSENTATION   Déployer une technologie SDN centralisée dans ces Aux yeux de ce groupe partisan, qui compte nombre
domaines internes permet des développements rapides et d'experts IP et de constructeurs d'équipements de routage,
 
à grande échelle. Au fil du temps, les organismes de le logiciel tenu de définir le comportement du réseau se
COMPRENDRE  LES  RÉSEAUX  
normalisation et fournisseurs sauront trouver une manière trouve à un degré d'abstraction supérieur ; il peut même
PROGRAMABLES  
optimale d'interconnecter des domaines SDN disparates s'agir d'un logiciel.
 
au sein d'un réseau complet de bout en bout. Une fois
SDN  :  PRATIQUE  ET  
SOLUTIONS  
cette interconnexion mise en œuvre - si tant est qu'elle La stratégie SDN centralisée préconise de remplacer les
soit possible - l'état des modèles SDN centralisé et processus logiciels hébergés sur différents équipements
 
distribué permettra une comparaison, et la question de la (routeurs, commutateurs..) pour les remplacer par un
technologie SDN idéale trouvera alors sa réponse. contrôleur unique pour décider des comportement
d'acheminement, là où le modèle distribué ajoute aux
réseaux IP et Ethernet traditionnels, des mécanismes de
Technologie  SDN  distribuée  ;  l'évolution   contrôle des logiciels et (de plus en plus) du cloud.
plutôt  que  la  révolution  
À l'instar de ce modèle centralisé, la technologie SDN
distribuée admet la nécessité de collecter des
Mais pour le moment, de nombreux experts et
informations sur l'état du réseau, et de les rassembler à un
fournisseurs considèrent cette stratégie SDN centralisée,
emplacement central depuis lequel les éléments du réseau

6   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
COMPRENDRE  LES  
RESEAUX  
PROGRAMMABLES  

peuvent être contrôlés en vue, par exemple, de gérer les principes de la technologie SDN distribuée. Nombre
performances. Reste que l'objectif du modèle SDN d'utilisateurs craignent que ce modèle SDN ne devienne
distribué consiste à proposer un comportement plus propriétaire, car les fournisseurs travaillent à l’intégrer à
contrôlable, et qu'il pourrait être atteint en tirant parti de leurs systèmes fermés existants.
protocoles d'extension tels que PCC/PCE/PCRF (fonction
  de règles de charge et de politique), MPLS et GRE.
2 . L e s   b a s e s   d u   S D N   :   c o m p r e n d r e   l e s   a t o u t s   d e  
PRÉSENTATION  
l a   p r o g r a m m a b i l i t é   e t   d u   c o n t r ô l e   c e n t r a l i s é  
 
Au sein de ces protocoles, l'aspect prépondérant reste une
mise en réseau contrôlée par des politiques. Des principes Deux technologies majeures adoptées au cours de la
COMPRENDRE  LES  RÉSEAUX  
PROGRAMABLES   de mise en réseau virtuelle, tels que ceux employés par dernière décennie ont eu un effet énorme sur les
Nicira (société récemment acquise par VMware), technologies de l’information : la virtualisation et le
 
pourraient rendre les technologies Ethernet et IP plus cloud computing. Ces technologies, très liées, ont permis
SDN  :  PRATIQUE  ET  
efficaces en termes d'informatique en cloud et aux ingénieurs réseau et aux architectes applicatifs de
SOLUTIONS  
d'applications en réseau virtuel, et permettraient de les bénéficier d’une grande souplesse pour tirer parti de
 
placer plus facilement sous forme de couche au-dessus du chaque mètre carré de leur datacenter et exploiter au
modèle évolutif. Ce processus s'exécuterait via une prise mieux les capacités de leurs matériels, tout en améliorant
de décision distribuée. la disponibilité de leurs applications.

Le défi auquel se heurte la technologie SDN distribuée Le réseau de données utilisé par les applications a en
tient à ce qu'elle doit encore prouver qu'elle est en mesure revanche peu évolué en comparaison des autres
de proposer un contrôle du trafic et de la connectivité la composantes du datacenter. Si la virtualisation et le cloud
hauteur de ce que les technologies SDN centralisées computing ont changé la façon dont les informaticiens
prétendent offrir. Ici encore, on retrouve le problème abordent l’IT, l’administration du réseau, en tant que
d'une infrastructure adaptée à la mise en application des discipline, a largement stagné. La plupart des évolutions

7   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
COMPRENDRE  LES  
RESEAUX  
PROGRAMMABLES  

technologiques dans le monde des réseaux ont la virtualisation. Ces innovations sont regroupées sous
essentiellement apporté des évolutions incrémentales en l’appellation commune de SDN (ou software-defined
matière de bande passante et n’ont pas affecté en networking) et visent à résoudre les problèmes que les
profondeur la façon dont les services réseaux sont entreprises rencontrent avec leurs réseaux alors que la
délivrés. De fait des ouvrages de référence sur les réseaux virtualisation et le cloud poussent ces derniers dans leurs
  écrits il y a cinq ou dix ans sont toujours considérés derniers retranchements.
PRÉSENTATION  
comme des références valables par de nombreux
professionnels des réseaux, simplement parce que de
 
façon générale, le réseau a peu évolué. Résultat, comme À  la  base  des  SDN  :  un  contrôle  centralisé  
COMPRENDRE  LES  RÉSEAUX   l’expliquait James Hamilton, un ingénieur distingué
PROGRAMABLES  
d’Amazon Web Services, dès 2010, "les réseaux de
 
datacenter sont en travers de mon chemin."
Les SDN ont pour but pratique de rendre les réseaux
SDN  :  PRATIQUE  ET  
SOLUTIONS   programmables par le biais d’un contrôleur centralisé.
Le problème est en effet que le manque d’innovation Aujourd’hui les commutateurs et les routeurs
 
dans l’univers des réseaux a fait peser des contraintes programment leurs tables de forwarding localement, ce
importantes sur le déploiement des applications. Les qui signifie que les périphériques réseau prennent leurs
constructeurs ont donc fini par se décider à tenter propres décisions en interne sur la meilleure façon de
d’apporter aux réseaux le niveau de flexibilité et de transférer le trafic. Ces décisions s’appuient sur les
simplicité dont ont besoin les entreprises et les informations distribuées collectées par des protocoles de
fournisseurs de services. routage comme OSPF et BGP ou des protocoles comme
Spanning Tree. Mais ces protocoles sont peu flexibles.
Les principaux domaines d’innovation au cours des Pour fonctionner ensemble, tous les équipements du
dernières années sont à chercher du côté du contrôle réseau doivent suivre les règles définies par les standards.
centralisé, de la programmabilité, de l’orchestration et de Cela laisse peu de place à la créativité ou à des exigences

8   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
COMPRENDRE  LES  
RESEAUX  
PROGRAMMABLES  

métiers inhabituelles. communiquer avec les équipements du réseau sont dits

« SouthBound ». Le contrôleur agit comme un arbitre, en
Avec les SDN, on établit une séparation claire entre le fournissant une couche d’abstraction du réseau physique
plan de contrôle (qui définit comment un équipement sous-jacent pour les applications qui souhaite le
forwarde le trafic) et le plan de données (l’équipement programmer.
  qui effectivement assure le mouvement des données).
PRÉSENTATION   Dans les SDN, le plan de contrôle est placé dans un Voici par exemple quelques opérations courantes qui
 
contrôleur centralisé qui a une visibilité sur l’ensemble du peuvent bénéficier d’une approche SDN :
réseau, y compris les hôtes qui s’y connectent et a une
COMPRENDRE  LES  RÉSEAUX  
PROGRAMABLES   vision complète de la topologie du réseau. • La création d’un réseau expérimental qui fonctionne
 
sur la même infrastructure physique que le réseau de
Un contrôleur central omniscient permet aux ingénieurs production, tout en étant logiquement isolé.
SDN  :  PRATIQUE  ET  
SOLUTIONS   de réseau de mettre en œuvre des politiques de transfert • La mise en œuvre de politiques de circulation où l’on
uniques et flexibles dont les seules limitations sont liées à applique dynamiquement des politiques à des flux afin
 
de maintenir une qualité de service définie (QoS).
la capacité du logiciel faisant fonctionner le contrôleur.
• Le routage en fonction de paramètres financiers, ou les
chemins de forwarding sont déterminés en fonction de
Deux termes importants qui reviennent dans les l’impact financier des flux transportés pour la société.
conversations de contrôleur sont « SouthBound » et • La mise en œuvre de politiques de sécurité réseau
« NorthBound ». En fait si l’on considère le contrôleur intelligentes, où des flux particuliers peuvent être
comme un middleware, les applications qui disent aux isolés et basculés vers un système de détection
contrôleurs comment programmer le réseau utilisent des d’intrusion pour une inspection approfondie, tandis
interfaces de programmation « NorthBound » tandis que que d’autres sont autorisés à circuler librement en
les API et protocoles utilisés par le contrôleur pour fonction des exigences opérationnelles de la société.
• La mise en œuvre de mirroring de flux (ou de

9   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
COMPRENDRE  LES  
RESEAUX  
PROGRAMMABLES  

spanning), pour dupliquer des flux à des fins de administrateurs des interfaces de programmation
logging, de reporting ou d’analyse. d’applications (API) permettant de programmer les
périphériques du réseau via de multiples langages.
L’utilisation d’API implique aussi que la programmation
Vers  un  réseau  programmable  
du réseau n’est plus forcément limitée aux seuls
  ingénieurs réseau capable d’utiliser une CLI mais
Les administrateurs réseau configurent généralement les accessible à un ensemble d’outils. Voici quelques
PRÉSENTATION  
équipements du réseau à l’aide d’une interface de ligne exemples :
 
de commande (CLI) ou via l’interface utilisateur
• Des scripts peuvent être utilisés par les ingénieurs de
COMPRENDRE  LES  RÉSEAUX   graphique (GUI) des équipements. Ce modèle n’est pas
PROGRAMABLES   réseau pour automatiser les tâches de provisioning ou
sans poser des problèmes. La mise en œuvre de recueillir des statistiques de réseau. (Les ingénieurs
  configurations de réseau complexes peut exiger d’un réseau peuvent aujourd’hui utiliser des scripts, mais ce
SDN  :  PRATIQUE  ET   ingénieur qu’il configure séparément plusieurs ne sont en général qu’une façon glorifiée d’interagir
SOLUTIONS  
périphériques réseau différents. C’est un processus avec la CLI ou SNMP). Les API promettent des
  gourmand en temps, fastidieux et source d’erreurs. fonctionnalités plus riches et la possibilité de
construire des écosystèmes où les ingénieurs
Par comparaison, les administrateurs système disposent
pourraient collaborer entre eux ou avec des ingénieurs
d’outils d’automatisation comme Puppet ou Chef pour systèmes.
soulager leur charge de travail. Malgré l’omniprésence de • Les outils d’orchestration pourraient intégrer des
Simple Network Management Protocol (SNMP), les tâches de provisioning réseau avec d’autres tâches
ingénieurs de réseau n’ont jamais eu un ensemble d’outils requises pour créer une application d’entreprise.
de gestion cohérent pour gérer des tâches de provisioning • Des applications réseau, fonctionnant en temps que
de façon simple. plugins du contrôleur centralisé, pourraient ajouter des
fonctionnalités à l’environnement réseau, un peu
En rendant les réseaux programmables, l’objectif des
comme une App vient enrichir l’OS d’un smartphone.
SDN est de changer cela en mettant à disposition des

10   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
COMPRENDRE  LES  
RESEAUX  
PROGRAMMABLES  

De nombreux équipementiers réseau se sont attelés à la Parmi les contrôleurs OpenFlow open source on peut
définition d’API pour permettre de tirer parti aux mieux citer Beacon et FloodLight (de Big Switch) ainsi que le
de leurs matériels. Parmi eux, Cisco, Brocade, Juniper ou contrôleur OpenDaylight. La liste des fournisseurs
HP. Par exemple, même s’il n’en est qu’à ses débuts, d’équipements supportant OpenFlow dans leurs
onePK de Cisco offre une bibliothèque d’API qui permet équipements comprend notamment Brocade, Cisco,
  la programmation d’une variété de matériel réseau Cisco Extreme Networks, HP, Juniper, Pica8 et bien d’autres.
PRÉSENTATION  
utilisant IOS, IOS-XR et NX-OS. Junos de Juniper a
toujours eu une API XML ; et sa CLI génère du code
  3 . S D N   :   O R C H E S T R A T I O N   E T   V I R T U A L I S A T I O N  
XML à envoyer au système d’exploitation sous-jacent.
D E   R E S E A U ,   P O U R Q U O I   ?  
COMPRENDRE  LES  RÉSEAUX  
PROGRAMABLES  
Il est difficile de ne pas mentionner OpenFlow lors de L'un des principaux objectifs des SDN est de permettre la
 
l’évocation des SDN. En développement constant au sein mise en oeuvre de réseaux flexibles qui peuvent être
SDN  :  PRATIQUE  ET  
de l’Open Networking Foundation, ce protocole est un provisionés de manière dynamique. Le contrôle centralisé
SOLUTIONS  
excellent exemple de la façon de mettre en œuvre la et la programmabilité du réseau sont deux des
 
programmation de réseau à l’aide d’un contrôleur central. fondements des SDN, mais la virtualisation du réseau et
OpenFlow est une norme agnostique qui décrit comment son orchestration sont tout aussi importantes.
programmer un commutateur de réseau. Il identifie les
flux spécifiques en utilisant une variété de critères L'orchestration  de  réseau,  pourquoi  ?  
(adresse MAC, adresse IP de destination, etc), puis
effectue des actions sur ces flux (forwarding via le port X
ou Y, abandon du trafic, etc). Un contrôleur OpenFlow Avec les SDN, le réseau peut être provisionné de manière
centralisé avec la connaissance de l’ensemble de la orchestrée, comme les autres composants de
topologie du réseau peut programmer ces politiques pour l’infrastructure informatique (serveurs, stockage,
tous les commutateurs de réseau. applications). Le concept fondamental est que les réseaux

11   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
COMPRENDRE  LES  
RESEAUX  
PROGRAMMABLES  

définis par logiciel (software-defined network ou SDN) noter que les fournisseurs de réseau qui produisent des
peuvent être automatisés. L'automatisation permet de contrôleurs SDN mettent en avant leur partenariat avec
provisioner des services réseaux rapidement et à grande d'autres fournisseurs. La tendance est à l'interopérabilité
échelle, en réduisant le risque d'erreur humaine. des contrôleurs avec une large gamme d'équipement de
Des outils d'orchestration des SDN sont apparus chez des fournisseurs de réseau divers, dont les ADC (contrôleurs
 
startup telles qu’Anuta Networks et Nuage Networks de livraison d'applications). La vision à long terme est
PRÉSENTATION   (Alcatel Lucent). Ces outils visent les fournisseurs de qu'un provisioning totalement automatisé du réseau,
cloud qui ont besoin d'automatiser la création de services capable de s'intègrer de façon plus large aux outils
 
réseau pour leurs clients, bien que chaque fournisseur d’orchestration IT déjà en place, deviendra sans doute le
COMPRENDRE  LES  RÉSEAUX  
attaque le problème de manière différente. La solution mode de fonctionnement normal pour tous les réseaux,
PROGRAMABLES  

d'Anuta travaille essentiellement avec les infrastructures quel que soit le type d'organisation auquel ils sont
 
réseau dont beaucoup de fournisseurs disposent déjà, destinés.
SDN  :  PRATIQUE  ET  
SOLUTIONS  
tandis que Nuage introduit un routeur logiciel distribué et
 
un mécanisme d’overlays réseau pour créer des La  virtualisation  de  réseau,  pourquoi  ?  
conteneurs réseau adaptés aux besoins d’un infrastructure
multi-locataires.
A ce jour, la plupart des technologies évoquées par les
Si les besoins d'un fournisseur de cloud et ceux du réseau constructeurs conduisent implicitement à la virtualisation
d'une entreprise peuvent a priori paraître différents, le fait du réseau. Lorsqu'un réseau est virtualisé, on assiste à une
est que les réseaux des entreprises sont confrontés aux abstraction de ses composants physiques, ce qui fait que
mêmes problèmes de déploiement complexe les utilisateurs n'ont plus besoin de considérer le réseau
d'applications que les fournisseurs de cloud. Si des en termes de routeurs, de commutateurs, voire de ports
solutions d'orchestration de SDN complètes pour les spécifiques. Au lieu de cela, le réseau physique est
entreprises n’existent pas encore , il est intéressant de partagé par différents réseaux virtuels. L'idée n'est guère

12   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
COMPRENDRE  LES  
RESEAUX  
PROGRAMMABLES  

nouvelle, les réseaux virtuels 802.1Q associés à des Même si une couche d’overlay est plutôt un outil de
tunnel Q-in-Q en sont un exemple. MPLS est une autre fournisseur de cloud pour le moment, le concept pourrait
technologie éprouvée qui a est fréquemment utilisée pour intéresser les entreprises qui sont lasses de développer
obtenir ce type de virtualisation de réseau. Mais s’il s’agit des environnements physiques distincts pour leurs
de technologies maîtrisées et matures, Q-in-Q et MPLS différentes activités ou environnements mais qui ne
  sont plutôt des technologies de fournisseurs de services et veulent pas avoir à gérer la complexité d'un système de
PRÉSENTATION  
d’opérateurs et elles sont rarement déployées dans des routage et de forwarding virtuel (VRF) ou d’un réseau
environnements de centre de données. MPLS. Les overlays permettent de fournir en toute
 
Dans les paradigmes SDN, la virtualisation de réseau sécurité des réseaux virtuels séparés logiquement sur une
COMPRENDRE  LES  RÉSEAUX  
s'effectue plutôt en utilisant des technologies d’overlay même infrastructure physique. Associé à un contrôleur
PROGRAMABLES  

du type Virtual Extensible LAN (VXLAN), Network SDN, ce type de réseaux virtuels est simple à déployer, à
 
Virtualization using GRE (NVGRE) et Stateless maintenir et à administrer.
SDN  :  PRATIQUE  ET  
SOLUTIONS  
Transport Tunneling (STT), éventuellement associées à Les fournisseurs qui ont virtualisé leurs équipements pour
OpenFlow. Dans un réseau d’overlays, le trafic associé à qu’ils fonctionnent au-dessus d’un hyperviseur sont
 
un réseau virtuel spécifique est encapsulé dans souvent associés aux discussions sur la virtualisation de
une enveloppe d'identification spécifique, ce qui l'isole réseau. Au sens strict, toutefois, un pare-feu virtualisé ou
des autres réseaux virtuels qui partagent le même réseau un contrôleur de livraison d'application virtualisé n’a rien
physique sous-jacent. Même si cela n’est pas forcément à voir avec le concept de SDN, bien que ces composants
obligatoire, un contrôleur SDN peut être utilisé pour de réseau virtualisé puissent parfaitement s'intégrer dans
identifier tous les points de terminaison d'un réseau un infrastructure de SDN. Méfiez-vous des fournisseurs
virtuel et pour indiquer aux commutateurs où et comment avec un équipement virtualisé (et rien d'autre) qui
encapsuler le trafic à l'intérieur d’une couche d’overlay, prétendent vendre des SDN. Tout en s'accordant très bien
afin ainsi de maximiser l'efficacité des communications avec les SDN, ce que fournissent les vendeurs
entre les différents points du réseau. d'équipements virtualisés correspond plus précisément à

13   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
COMPRENDRE  LES  
RESEAUX  
PROGRAMMABLES  

de la virtualisation de fonctions réseau (NFV) ; les 4 . C o m m e n t   l e s   a p p l i c a t i o n s   S D N   v o n t   c h a n g e r  

normes NFV sont élaborées par l'ETSI pour ceux qui l e s   s e r v i c e s   r é s e a u   d e s   c o u c h e s   4   à   7  
souhaitent suivre ce phénomène de plus près.
Alors que l’essentiel de l’attention portée à l’impact des
Toute entreprise qui évalue sérieusement les SDN ne doit réseaux programmables (sofware-defined network, SDN)
pas oublier que cette technologie est en train d’évoluer de s’est focalisée sur la banalisation de la commutation
 
façon rapide. Les SDN ne sont pas encore arrivés à Ethernet et du matériel de routage des couches 2 et 3, les
PRÉSENTATION   maturité, et il manque des normes, voire un modèle de SDN auront également un impact majeur sur les services
  référence finalisé; La signification du mot SDN est donc des couches réseau 4 à 7.
différente selon les fournisseurs. Il en résulte des
COMPRENDRE  LES  RÉSEAUX  
confusions sur le marché qui s’accroissent au même
PROGRAMABLES  
Que  recouvrent  les  services  réseau  des  
rythme que l’enthousiasme pour ces technologies se
 
couches  4  à  7  ?  
développe. C’est en partie en réaction à cela, que le projet
SDN  :  PRATIQUE  ET  
SOLUTIONS  
OpenDaylight (ODL), hébergé par la Linux Foundation, a
été constitué par un consortium de fournisseurs de SDN Les services des couches 4 à 7 optimisent et sécurisent le
 
pour tenter d’homogénéiser un peu le marché des SDN. réseau et dépendent d’un ensemble d’éléments disparates,
Je pense qu'ODL est un projet à surveiller car il couvre notamment des outils d’équilibrage de la charge réseau,
l’ensemble de la pile SDN, y compris les applications des appliances d’optimisation WAN, des pare-feu, des
réseau, l'orchestration, le contrôleur SDN, les interfaces VPN SSL et des systèmes de détection et de prévention
de programmation vers les applications (northbound d’intrusion (IDS/IPS).
API)et la couche d'abstraction de l’infrastructure De façon agrégée, le marché réseau des couches 4 à 7
(Southbound API). A mesure qu'ODL mûrit et que son représente environ 10 milliards de dollars de dépenses
code se stabilise, le projet pourrait devenir le socle des utilisateurs finaux. L’essentiel de ces dépenses
commun de la plupart des solutions de SDN. concerne des appliances réseau physiques intégrées au
logiciel et fortement liées au réseau sous-jacent pour

14   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
COMPRENDRE  LES  
RESEAUX  
PROGRAMMABLES  

réduire la latence, permettre un niveau de performance bon flux de trafic. De plus, séparer l’aspect logique de
hautement extensible et assurer la fiabilité. l’aspect physique du réseau permet aux caractéristiques
des couches 4 à 7 de suivre l’application lorsque les
Comment  les  applications  SDN  vont   machines virtuelles migrent vers de nouveaux
changer  les  services  des  couches  4  à  7   emplacements physiques.
 
Utiliser les applications SDN pour les services réseau des
PRÉSENTATION   Les SDN peuvent changer les services réseau des couches 4 à 7 peut également permettre de réaliser des
  couches 4 à 7 en permettant des applications virtuelles économies. Les éléments traditionnels à base de matériel
d’équilibrage de charge, d’accélération WAN et des couches 4 à 7 peuvent être assez coûteux, alors que
COMPRENDRE  LES  RÉSEAUX  
PROGRAMABLES   d’appliances de sécurité réseau. Ces appliances virtuelles les technologies SDN proposent souvent la même
 
utilisent les informations recueillies par les contrôleurs fonctionnalité pour un investissement inférieur. Dans le
SDN et fournissent une vision holistique du réseau même temps, les SDN peuvent améliorer l’automatisation
SDN  :  PRATIQUE  ET  
SOLUTIONS   physique et virtuel. Les appliances virtuelles des des services réseau des couches 4 à 7, diminuant ainsi les
couches 4 à 7 utilisent ensuite ces informations en coûts d’exploitation.
 
conjonction avec la capacité de programmation granulaire Un certain nombre de start-ups SDN adoptent déjà ces
des flux du réseau pour activer des services spécifiques technologies pour apporter de meilleurs services des
aux applications dans le contexte d’une architecture SDN couches 4 à 7, parmi lesquelles Embrane, ADARA, Big
globale. Switch, LineRate (maintenant intégré à F5), Anuta
Lorsqu’il s’agit de sécurité, par exemple, les SDN Networks, Pluribus Networks et V-Armour Networks.
peuvent utiliser ces informations pour que l’ingénierie de Les SDN pour les couches 4 à 7 ne sont pas encore prêts
trafic dirige les flux vers des pare-feu ou des éléments pour le devant de la scène
IDS/IPS spécifiques, aidant ainsi à mettre en
correspondance la bonne application de sécurité avec le

15   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
COMPRENDRE  LES  
RESEAUX  
PROGRAMMABLES  

La difficulté de l’application des SDN aux couches

réseau 4 à 7 est que ce segment de marché représente un
ensemble divers d’applications très spécialisées qu’il est
difficile de consolider et de centraliser. De plus, un
matériel spécialisé est souvent nécessaire pour fournir des
  services de haute performance pour les services des
PRÉSENTATION  
couches 4 à 7.

  À court terme, les possibilités des couches 4 à 7 des SDN

seront probablement utilisées par des entreprises de taille
COMPRENDRE  LES  RÉSEAUX  
PROGRAMABLES   moyenne. Mais, à long terme, les SDN ont le potentiel
 
d’impacter de façon significative les appliances
traditionnelles des couches 4 à 7 en proposant des
SDN  :  PRATIQUE  ET  
SOLUTIONS  
fonctionnalités à base de logiciel plus souples, faciles à
gérer et moins coûteuses. Les entreprises à la pointe des
 
couches 4 à 7 devront améliorer leurs solutions avec des
technologies SDN pour maintenir leur avance sur ce
marché.■  

16   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
 
 
SDN  :PRATIQUE  ET    
SOLUTIONS
SDN  :  pratique  et  solutions  
 
1. Q u e   f a u t -­‐ i l   p r e n d r e   e n   c o m p t e   l o r s q u e   3. Cisco  fait  le  pari  d'ACI  contre  les  SDN
l ’ o n   s ’ i n t é r e s s e   a u x   t e c h n o l o g i e s   d e  
Avec son architecture Application Centric
v i r t u a l i s a t i o n   d e   r é s e a u
Infrastructure, Cisco entend proposer une
Alors que les SDN sont susceptibles, à terme, de
  alternative aux SDN en embarquant l'intelligence
modifier la façon dont nous architecturons les
PRÉSENTATION   applicative dans ses commutateurs
 
réseaux, il est possible dans un premier temps de
mettre en œuvre des technologies de virtualisation
COMPRENDRE  LES  RÉSEAUX   4. H P   m i s e   s u r   u n e   a p p r o c h e   S D N   " o u v e r t e "
PROGRAMABLES  
de réseau en environnement hybride grâce
HP qui avait déjà misé sur OpenFlow pour sa
 
auxquelles les technologies traditionnelles et
stratégie SDN vient de publier un kit de
SDN  :  PRATIQUE  ET  
SOLUTIONS   virtuelles se complètent mutuellement
développement ouvert pour permettre à des tiers
 
de s'interfacer à avec son contrôleur SDN.
2. Avec   VMware   NSX,   VMware   veut   virtualiser   le  
réseau 5. Dell  concrétise  sa  stratégie  SDN  

Lors de VMworld 2013, VMware a dévoilé sa Dell vient de présenter ses offres SDN Active
plate-forme de virtualisation de réseau NSX, fruit Fabric, le premier fruit concret d’une stratégie que
de l'union entre Nicira NVP et VMware vCNS. nous détaillait, en décembre dernier, Arpit
Fera-t-elle pour le réseau ce que vSphere a fait Joshipura, responsable du marketing réseaux de
pour les serveurs? datacenter de Dell.

17   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
SDN  :PRATIQUE  ET  
SOLUTIONS

1 . Q U E   F A U T -­‐ I L   P R E N D R E   E N   C O M P T E   L O R S Q U E   datacenter  aura  fait  ses  preuves,    les  enseignements  et  

L ’ O N   S ’ I N T E R E S S E   A U X   T E C H N O L O G I E S   D E   techniques   acquis   pour   l’occasion   pourront   être  
V I R T U A L I S A T I O N   D E   R E S E A U   élargis   un   pan   plus   large   ou   à   la   totalité   de  
Alors   que   les   SDN   sont   susceptibles,   à   terme,   de   l'infrastructure  existante.  
modifier   la   façon   dont   nous   architecturons   les   Comme  indiqué  précédemment,  les  réseaux  d’overlays  
 
réseaux,   il   est   possible   dans   un   premier   temps   de   peuvent   être   déployés   au-­‐dessus   du   réseau   physique  
mettre   en   œuvre   des   technologies   de   virtualisation   de   existant,   ou   en   dessous.   Certains   voient   les   réseaux  
PRÉSENTATION   réseau   en   environnement   hybride   grâce   auxquelles   d’overlay   comme   une   étape   de   transition   vers   les   SDN  
  les   technologies   traditionnelles   et   virtuelles   se   purs.  Qu’ils  soient  là  à  titre  transitoire  ou  permanent,  
complètent  mutuellement.   le   fait   que   ces   réseaux   «  virtuels  »   soient   vus   par   le  
COMPRENDRE  LES  RÉSEAUX  
PROGRAMABLES   Dans  certains  cas,  les  entreprises  peuvent  utiliser  des   réseau   comme   un   simple   trafic   IP   signifie   que   les  
commutateurs   hybrides,   capables   d’acheminer   le   entreprises   peuvent   rapidement   introduire   des  
 
trafic  de  manière  traditionnelle  ou  d’utiliser  aussi  des   overlays   dans   leur   réseau   existant   sans   grande  
SDN  :  PRATIQUE  ET   instructions   SDN.   Il   ne   faut   surtout   pas   oublier   que   difficulté.  En  fait,  plusieurs  fournisseurs  misent  sur  la  
SOLUTIONS  
tous   les   commutateurs   compatibles   OpenFlow   facilité   relative   d'intégration   des   technologies  
  n’exploitent   pas   forcément   des   protocoles   d’overlay   pour   en   faire   un   argument   de   vente   de   leurs  
traditionnels  ;   par   conséquent,   lors   de   leur   évaluation,   produits  de  virtualisation  de  réseau.  
les   entreprises   doivent   veiller   à   se   renseigner   La   virtualisation   de   réseau   se   fait   surtout   via   une  
précisément   sur   les   capacités   hybrides   des   approche  logicielle  ;  ce  qui  rend  les  expérimentations  
commutateurs.   peu   coûteuses.   En   fait,   il   existe   un   large   choix   de  
Une   autre   approche   hybride   consiste   à   partir   d’une   logiciels   libres   qui   permettent   aux   entreprises   de  
page   blanche   pour   une   petite   partie   d’un   datacenter   tester   la   virtualisation   de   réseau   avec   un  
existant.   Dans   ce   cas,   les   utilisateurs   vont   construire   investissement   financier   minimal.   Open   vSwitch  
un   nouveau   segment   de   réseau   supportant   la   (OVS),  un  commutateur  virtuel  open  source  doté  d’un  
virtualisation   et   le   ponter   avec   l'infrastructure   ensemble   riche   de   fonctionnalités,   a   acquis   une   vraie  
existante.   Lorsque   ce   segment  «  vierge  »   du   popularité.   En   l'associant   à   OpenStack   et   au   plug-­‐

18   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
SDN  :PRATIQUE  ET  
SOLUTIONS

in    Neutron   pour   OVS,   il   est   possible   de   construire   des   2 . A V E C   V M W A R E   N S X ,   V M W A R E   V E U T  

réseaux   virtuels   qui   fonctionnent   «  comme   un   V I R T U A L I S E R   L E   R E S E A U  
service  »  dans  un  cloud  plus  large.   Un an après l’acquisition de Nicira, l’un des pionniers de
Passer   à   la   virtualisation   de   réseau   relève   plus   d'une   la virtualisation de réseau et des réseaux programmables
évolution   mentale   et   opérationnelle,   que   d'un   (SDN), VMware a profité de VMworld pour officialiser
 
changement   du   réseau   en   lui-­‐même.   Pendant   des   le lancement de VMware NSX, une plate-forme de
années,   les   mises   à   niveau   en   matière   de   réseau   ont   virtualisation de réseau dérivée de Nicira NVP, la
PRÉSENTATION  
été   incrémentales,   avec   peu   d’impact   sur   l'ensemble   technologie développée par Nicira et de VMware vCNS
  des   processus   informatiques   des   entreprises,   mais   la   (vCloud Networking and Security), la plate-forme de
virtualisation   de   réseau   constitue   un   changement   service réseau développée à l'origine par VMware sous le
COMPRENDRE  LES  RÉSEAUX  
fondamental.   L’un   des   principaux   avantages   à   long   nom vShield. L’objectif affiché par VMware est de faire
PROGRAMABLES  
terme  pour  une  entreprise  est  une  intégration  étroite   pour le réseau avec NSX ce que vSphere a réalisé pour la
 
des   opérations   informatiques,   la   consommation   des   virtualisation de serveurs au cœur des datacenters.
SDN  :  PRATIQUE  ET   ressources   réseau   étant   intégrée   dans   les   processus  
SOLUTIONS  
de   provisioning   rapide   déjà   mis   en   oeuvre   par   les  
  équipes  serveurs  et  stockage.   Objectif  :  virtualiser  le  réseau  et  les  
Clairement,   la   notion   de   virtualisation   de   réseau   est   services  réseau  
là   pour   durer  ;   c'est   un   concept   qui   a   de   nombreux  
partisans   et   le   nombre   de   produits   dans   ce   domaine  
explose.   Pour   les   équipes   informatiques,   la   difficulté   Avec vSphere, VMware a permis aux entreprises de
modifier en profondeur la façon dont elles gèrent et
réside   dans   l'évaluation   des   diverses   approches   en   opèrent leurs datacenters. La virtualisation a permis la
fonction   de   leurs   besoins   métiers   spécifiques   et   dans   création d’infrastructures plus souples et plus agiles mais
la   prise   en   compte   des   rapides   évolutions   aussi bien plus efficaces (si elles sont bien utilisées) que
technologiques.   les anciennes infrastructures purement physiques.

19   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
SDN  :PRATIQUE  ET  
SOLUTIONS

L’un des problèmes de cette transformation rapide de la d'attacher des services réseaux au VM qu'il est simple de
partie « calcul » des datacenters est que les autres créer un DataCenter Virtuel au dessus d'une infrastructure
composantes du datacenter et notamment le stockage et le physique de serveurs dans vSphere. Et il ne s'agit plus de
réseau n’ont pas évolué aussi vite que la partie système. se limiter à la simple connectivité permise par un
De telle sorte que ces deux composantes sont aujourd’hui vswitch. Si lors du lancement de sa plte-forme NVP,
devenu des freins à la virtualisation des ressources au Nicira avait surtout mis l’accent sur la capacité de sa
  sein du datacenter. plate-forme à virtualiser les services de niveau 2 et 3,
PRÉSENTATION  
VMware a un objectif plus ambitieux.
  Dans le cas précis du réseau, VMware souligne que le
provisionning de nouveaux services réseaux reste NSX a pour ambition de virtualiser l’ensemble des
COMPRENDRE  LES  RÉSEAUX  
PROGRAMABLES  
toujours largement manuel et repose sur des séries de services de réseaux de niveau 2 à 7 (Load balancing,
commandes en mode CLI (Command line interface ou ADC, Firewall, IDS/IPS…). Pour cela, l'outil reprend une
  interface en mode ligne de commande). Ces processus large partie des concepts inaugurés avec vCNS (ex-
SDN  :  PRATIQUE  ET  
manuels deviennent de plus en plus une barrière à la mise vShield), qui permettait déjà d'offrir des services de
SOLUTIONS   en œuvre des mécanismes automatisés de déplacement ou niveau 4 à 7 dans une infrastructure vSphere. En offrant
d’optimisation de placement des machines virtuelles. Ils un très large spectre fonctionnel, l’idée de VMware est de
 
ralentissent aussi le provisioning de nouvelles VM. découpler les services réseaux logiques des équipements
physiques de commutation sous-jacents et de gérer et de
provisionner les services depuis un point de contrôle
Du  niveau  2  au  niveau  7   unique selon des règles automatisées. L'objectif est au
final d’aligner la gestion des services réseaux sur celle
des machines virtuelles
Avec NSX, VMware permet de modéliser des réseaux
depuis une console centralisé et de leur attacher tous les Comme NVP, NSX permet de provisionner des tunnels
services nécessaires au fonctionnement de l'écosystème VPN entre machines virtuelles, groupes de machines
de VM qu'ils supportent. D'une certaine façon, la virtuelles ou datacenters virtuels de façon automatisée au
promesse est qu'il devient aussi simple de créer et dessus du réseau de transport du datacenter. Pour cela la

20   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
SDN  :PRATIQUE  ET  
SOLUTIONS

plate-forme s'appuie sur un protocole d’overlay. Notons centralisée et largement automatisée. Une maneuvre qui
que VMware n’a à ce propos pas précisé s’il utilisait pourrait déplacer une partie de la valeur du réseau vers
toujours le protocole d’encapsulation STT de Nicira ou les solutions de VMware.
s’il privilégiait désormait le protocole VXLAN co-
développé avec Cisco (le commutateur Open vSwitch
Cisco a bien vu le danger et à commencé à réagir avec
supporte désormais VXLAN en plus de STT pour
  l'overlay de VLAN). Pour les services de niveau 4 à 7 , sa plate-forme One-PK et en pré-annonçant une série
VMware fournit ses propres services(firewall virtuel, d’appliance en cours de développement par une start-up
PRÉSENTATION  
VPN, Load balancing, DHCP...), mais a aussi noué des interne Insieme Networks lors de CiscoLive à Orlando en
 
partenariats avec une vingtaine de fournisseurs dont par juin. Problème : NSX est désormais disponible, alors que
COMPRENDRE  LES  RÉSEAUX   exemple Citrix qui va intégrer sa technologie OnePK et les technologies d’Insieme ne le sont toujours
PROGRAMABLES   d’ADC(Application Delivery Controler) Netscaler à pas. Notons toutefois que Cisco n’est pas le seul
NSX, ou Riverbed qui va y intégrer ses appliances
  potentiellement menacé par VMware. C’est tout
d’optimisation WAN.
SDN  :  PRATIQUE  ET   l’écosystème des grands acteurs de la commutation et du
SOLUTIONS  
routage de datacenter qui a potentiellement à perdre dans
  VMware  et  Cisco  :  de  partenaires  à   la bataille qui s’engage. Tout en sachant que comme avec
concurrents  ?   la virtualisation de serveur, la virtualisation du réseau est
sans doute incontournable à terme…

Avec NSX, VMware promet de refondre le modèle

d’administration actuel des réseaux. Un défi de taille qui 3 . C I S C O   F A I T   L E   P A R I   D ' A C I   C O N T R E   L E S   S D N  
pourrait aussi mettre l’éditeur sur une trajectoire de
collision avec son partenaire Cisco. L’ambition de NSX Il y a dix jours, Cisco a levé le voile sur le premier pan de
est en effet de fournir un grand nombre de services qui sa stratégie ACI (Application Centric Infrastructure),
réside aujourd’hui dans des équipements sous la forme de dont l’objectif est de fournir une riposte au « software
services logiciels virtualisés et administrés de façon defined networking ». L’annonce est en fait la suite des

21   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
SDN  :PRATIQUE  ET  
SOLUTIONS

présentations effectuées par Insieme Networks, une start- langage permettant de traduire les besoins en
up filiale de Cisco, lors de CiscoLive et dont Cisco a infrastructure des applications », explique Christophe
récemment acquis l’intégralité du capital. Perrin. Si Cisco continue à travailler sur des modèles de
programmabilité du réseau de type SDN, dans lesquels le
Comme l’explique Christophe Perrin, le directeur des plan de contrôle est largement déporté dans un élément
 
opérations techniques de la division datacenter de Cisco, logiciel (à la Nicira), ACI propose un modèle plus intégré
« le constat de Cisco est que dans les entreprises, où l’intelligence de gestion des flux reste largement le
PRÉSENTATION  
l’élément clé qui supporte le business, ce sont les fait des commutateurs constituant la « fabric » du réseau
  applications. La capacité de déployer rapidement ces de datacenter.
COMPRENDRE  LES  RÉSEAUX   applications et de maintenir leur niveau de performance,
PROGRAMABLES  
tout en gérant les règles de sécurité, est donc Encore faut-il pour cela disposer de commutateurs
  essentielle ». Le problème est qu’il y a un fossé entre le disposant de l’intelligence adéquate. Sans surprise, c’est
SDN  :  PRATIQUE  ET  
monde des infrastructures et celui des applications : il là qu’intervient la ligne de commutateurs sur laquelle
SOLUTIONS   peut ainsi s’écouler plusieurs semaines entre l’arrivée travaillait Insieme Networks, une ligne que Cisco a pour
  d’une nouvelle application et sa mise à disposition des l’occasion rebaptisée Nexus 9000 et qui s’articule autour
utilisateurs, notamment du fait du temps requis pour le d’un châssis à haute densité, le Nexus 9500, et un
provisioning des ressources et services réseaux, serveur, commutateur de « haut de rack », le Nexus 9300. Ces
stockage, mais aussi pour la mise en place des paramètres deux équipements sont conçus pour être appairés au sein
de sécurité adéquats. d’architectures de type Leaf and Spine (colonne
vertébrale et feuille), le 9500 agissant comme le tronc et
« Tout l’enjeu d’ACI est de proposer une architecture qui le 9300 comme la feuille. Comme nous l’a expliqué
va accélérer la mise à disposition de ces applications dans Franck Bonneau, un ingénieur système du constructeur,
le datacenter. Une architecture qui se traduit par la mise à les deux commutateurs peuvent aussi être utilisés dans un
disposition de composants matériels et d’un nouveau modèle plus classique d’agrégation couplé avec les

22   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
SDN  :PRATIQUE  ET  
SOLUTIONS

fabrics Extender de la série Cisco Nexus 2000. Les deux Gbit/s ou 1 152 ports 10 Gbit/s en utilisant des splitters
nouveaux commutateurs de Cisco sont bâtis autour de (une telle configuration paraît toutefois peu réaliste tant
composants de commutation standards (en l’occurrence elle produirait un micmac insensé de câbles).
des Trident 2 de Broadcom – comme les derniers switchs
d’Arista, HP, Dell, Extreme) et y ajoute des ASIC Le Nexus 9500 (comme d’ailleurs les autres membres de
  propriétaires développés par Insieme (ceux-ci sont déjà la série Nexus 9000) accepte des interfaces optiques
disponibles sur les "line cards" 10G, mais a priori pas sur bidirectionnelles développées par Cisco qui permettent
PRÉSENTATION  
la 40G actuelle). Les nouveaux commutateurs sont ainsi aux entreprises de réutiliser le câblage fibre multimode
 
capables de fonctionner dans deux modes : un mode présent dans leurs datacenters. Ces interfaces optiques
COMPRENDRE  LES  RÉSEAUX   standard, s’appuyant sur le chipset Trident et un mode dit permettent de déployer du 40 Gbit/s sur des interfaces
PROGRAMABLES  
ACI, utilisant les capacités uniques du chipset Insieme. QSFP+ (l’astuce est que Cisco multiplexe 2 longueurs
 
Nous reviendrons plus loin sur ce dernier mode. Mais d’ondes à 20 Gbit/s en mode full duplex). Comme le
SDN  :  PRATIQUE  ET   avant cela, faisons un petit tour des caractéristiques de confirme Franck Bonneau, ces modules optiques
SOLUTIONS  
nouveaux venus. supportent les fibres OM4 sur 125m et OM3 sur 100m et
  plus.
Nexus 9500 : un châssis haut de gamme d’une incroyable
densité Un autre atout important de la famille 9500 est son
refroidissement de l’avant vers l’arrière (front to back) du
Le Nexus 9500 est un commutateur 10/40 Gbit/s qui est fait d’une architecture sans MidPlane, qui laisse de ce fait
conçu pour opérer comme le tronc d’une matrice de s’écouler l’air de l’avant vers l’arrière du switch. Les
commutation de niveau 2/3. Dans sa première mouture à caractéristiques du Nexus 9508 devraient lui permettre
8 slots (des versions à 4 et 16 slots sont attendues pour d’être un concurrent redoutable des derniers
2014), le Nexus 9500 se présente sous la forme d’un commutateurs haut de gamme d’Arista et HP, d’autant
châssis 13 U capable d’accueillir jusqu’à 288 ports 40 que le prix par port semble « raisonnable ». Il faut en

23   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
SDN  :PRATIQUE  ET  
SOLUTIONS

effet compter environ 460 000 $ (prix catalogue pour un

commutateur configuré avec 8 cartes à 36 ports 40 Gbit/s,
soit un peu moins de 400 $ par port 10Gbit/s). Un  NX-­‐OS  revu  et  modernisé  
Les Nexus 9000 sont motorisés par une nouvelle mouture
 
Nexus  9300  :  une  feuille  ou  une  –  petite  –   du système d’exploitation NX-OS s’appuyant sur le
épine  dorsale   noyau Linux v3.4.10, une version bien plus moderne que
PRÉSENTATION  
le noyau Linux v2.6 utilisé jusqu’alors par NX-OS. Cette
  nouvelle mouture permet aux Nexus 9000 de terminer des
Par défaut, le Nexus 9300 est positionné comme le tunnels VXLAN (et donc d’assumer le rôle d’un VTEP –
COMPRENDRE  LES  RÉSEAUX  
PROGRAMABLES   complément idéal du 9500 en agrégation au sommet de VXLAN Tunnel EndPoint) et d’agir comme une
rack. Cisco propose initialement deux modèles dont un passerelle VXLAN pour les serveurs physiques ou pour
 
commutateur 2U avec 48 ports 10 Gbit/s, le Nexus 9396 les hyperviseurs ne supportant pas VXLAN. Selon Cisco,
SDN  :  PRATIQUE  ET  
SOLUTIONS  
PQ et un modèle 3U à 96 ports 10 Gbit/s, le 93128TX. cette nouvelle mouture de NX-OS apporte aussi un
Les deux modèles incluent un emplacement pour un niveau élevé de programmabilité via le support de Cisco
 
module à 12 ports QSFP+ pour l’upling vers le cœur de OnePK (Open Network Environment Platform Kit), de
réseau. Seuls 8 de ces ports sont disponibles sur le 93128 JSON ou d’API de type RestFul. Elle peut aussi accueillir
(soit 96 ports 10 Gbit et 32 supplémentaires avec splitter des applications tierces via le mécanisme de conteneur de
10/40 Gbit/s). Il est à noter que le Nexus 9300 peut aussi Linux (LXC).
être utilisé comme un épine dorsale pour un petit réseau
de datacenter (et non, Cisco n'a pas appelé cette
configuration un mode spline - un hybride de Leaf and ACI  :  To  SDN  or  not  to  SDN…  telle  est  la  
spline - comme l'a fait Arista). question  

24   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
SDN  :PRATIQUE  ET  
SOLUTIONS

Dans un premier temps, les commutateurs de la série contextes, correspondant à des instances VRF (Virtual
9000 seront commercialisés dans un mode traditionnel, Routing and Forwarding) ou à des classes d’adresses
sous NX-OS, mais dans le courant du premier semestre séparées. Chaque « tenant » peut selon Cisco avoir
2014, Cisco devrait proposer un nouveau mode de plusieurs contextes selon ses besoins. Chaque contexte
fonctionnement tirant parti de l’ASIC, intégré et utilisant des instances de forwarding différentes, un
  développé par Insieme. Dans ce second mode, les même jeu d’adresses IP peut être dupliqué dans des
PRÉSENTATION  
commutateurs constituant l’épine dorsale du réseau (ou contextes séparés.
spine) hébergeront un contrôleur applicatif distribué (ou
 
APIC pour Application Policy Infrastructure controller) à Au sein de chaque contexte, le modèle objet d’ACI
COMPRENDRE  LES  RÉSEAUX   même de piloter l’ensemble des éléments de la « fabric » fournit une série d’objets permettant de définir une
PROGRAMABLES  
ainsi que d’autres éléments d’infrastructure afin de application. Ce sont des « endpoints », typiquement des
 
délivrer aux applications les ressources physiques et serveurs ou des groupes de serveurs ainsi que les règles
SDN  :  PRATIQUE  ET   réseaux dont elles ont besoin. L’architecture ACI définissant leurs relations (un endpoint est défini par sa
SOLUTIONS  
s’appuie sur un modèle objet permettant de définir les carte réseau, son adresse IP, son nom DNS…). Ces règles
  besoins d’infrastructure de chaque application. Au vont au-delà des simples listes de contrôle d’accès. Elles
sommet du modèle ACI est la notion de locataire ou peuvent inclure des règles de filtrage, des paramètres de
« tenant » qui peut correspondre à un groupe qualité de service, des règles de marquage, des règles de
d’utilisateurs, un bureau, une division, un client… La redirection de trafic entre endpoints ou groupe
notion de "tenant" peut être utilisée par une entreprise d’endpoints…
pour segmenter l’infrastructure en fonction de son
Un profil réseau applicatif décrit une collection
organisation internet ou par un opérateur cloud pour
d’enpoints et d’endpoint groups, leurs connexions ainsi
segmenter son infrastructure entre ses clients.
que les règles associées à ces connexions. Il est en
Ces « tenants » peuvent être ensuite découpés en quelque sorte une représentation logique d’une

25   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
SDN  :PRATIQUE  ET  
SOLUTIONS

application et de ses dépendances réseau et peut être au moyen d'un nouveau switch virtuel, l'Application
provisionné et déprovisionné à la volée. L’intérêt de ces Virtual Switch qui semble être une évolution du Nexus
profils est qu’une fois affecté à un type de trafic 1000V à même de s'intégrer dans un réseau ACI.
applicatif, ils sont entièrement pilotés par la fabrique
ACI. Comme l’explique Franck Bonneau, « un des Les différents éléments de l’architecture ACI devraient se
  objectifs est de donner de l’agilité aux équipes IT. On mettre en place tout au long de l’année 2014. Mais
cherche à décoréler le workload et son emplacement clairement, Cisco entend présenter ACI comme une
PRÉSENTATION  
géographique dans l’infrastructure. On ne veut plus être alternative aux SDN pour les entreprises. Le constructeur
 
contraints par des éléments d’infrastructure pour déployer fait en fait le pari que les SDN ne perceront pas dans les
COMPRENDRE  LES  RÉSEAUX   une application [la fabric ACI peut ainsi provisionner à grands comptes et resteront largement le fait des grands
PROGRAMABLES  
la volée des services de niveau 4 à 7 comme ceux services providers et grands acteurs de l’internet. Un pari
 
délivrés par des ADC de type Citrix ou F5, N.D.L.R.] ». intéressant mais dangereux, au vu de l’offensive menée
SDN  :  PRATIQUE  ET  
par certains acteurs du logiciel comme VMware mais
SOLUTIONS   Il est à noter que les ambitions de l’APIC ne se limitent aussi au vu du dynamisme de l’écosystème SDN. C’est
  pas au provisioning de ressources réseau. Le modèle ACI sans doute aussi la raison pour laquelle les Nexus 9000
permet aussi d’automatiser le provisioning de ressources sont des machines hybrides. Rien n’empêche ainsi le
serveur et stockage (via les profils UCS pour la partie constructeur de proposer ses commutateurs Nexus 9000
serveur et via une intégration avec les plates-formes de dans une configuration traditionnelle, pilotée par un
stockage de NetApp et EMC pour le stockage). L’APIC contrôleur SDN tiers ou par OpenDaylight, le contrôleur
interagit aussi avec les moniteurs de machines virtuelles SDN libre dans lequel Cisco continue à investir
comme SCVMM de Microsoft [à ce propos, Microsoft massivement. L'ironie d'ailleurs est que vu le retard pris
était présent en force lors de la présentation d’ACI, un par Insieme dans ses développements, les Cisco Nexus
pied de nez supplémentaire au partenaire traditionnel du 9000 ne sont pour l'instant utilisables qu'en mode
géant des réseaux, VMware, N.D.L.R.]. Il le fait en partie traditionnel..

26   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
   
SDN  :PRATIQUE  ET  
SOLUTIONS

4 . H P   M I S E   S U R   U N E   A P P R O C H E   S D N   " O U V E R T E "  

HP a annoncé hier la disponibilité d’un kit de L'enjeu  des  applications  

développement ouvert destiné à simplifier l’intégration de
solutions tierces avec sa solution de réseau programmable
Alors que la bataille fait rage entre éditeurs et
(SDN) Virtual Application Network (VAN). Le
constructeurs pour convaincre les entreprises de
  constructeur a également annoncé le lancement prochain
s’intéresser au modèle SDN, qui promet une bien plus
PRÉSENTATION   d’un magasin applicatif qui permettra à ses clients
grande facilité d’administration du réseau et une bien plus
d’acquérir et de déployer simplement de nouveaux
  grande agilité pour le déploiement de services applicatifs
services applicatifs sur leurs réseaux.
COMPRENDRE  LES  RÉSEAUX   (VPN, Firewall, filtrage, détection d’intrusion…), HP a
PROGRAMABLES   semble-t-il bien compris que l’enjeu essentiel n’était pas
 
Concrètement, le HP SDN Developer Kit fournit aux le contrôle des périphériques, mais bel et bien
développeurs et éditeurs tiers les outils nécessaires pour l’écosystème applicatif qui sera à même de tirer parti des
SDN  :  PRATIQUE  ET  
SOLUTIONS   tirer parti de l’infrastructure SDN d’HP et notamment des capacités de son contrôleur. La fourniture d’un kit de
 
API dites « Northbound » de son contrôleur SDN. Pour développement ouverte et d’un magasin applicatif en sont
mémoire on distingue les API Northbound (qui une preuve éclatante. HP est aussi parvenu à rallier à lui
permettent aux applications de s’interface avec le un nombre intéressant de partenaires parmi lesquels
contrôleur) des API SouthBound (qui permettent au Aastra, Blue Coat, BlueCat, Citrix, Ecode Networks, F5,
contrôleur de s’interfacer avec les équipements réseaux Infoblox, Infranics, Intel, Microsoft, MIMOS, PwC,
qu’il pilote). Les applications créées avec le kit de Qosmos, Radware, Real Status, Riverbed, RMIT
développement d’HP peuvent ensuite être mises à University, ShoreTel, SAP, Tech Mahindra, VMware,
disposition des clients via le magasin applicatif de la Versatile et Websense.
firme.

27   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
 
 
SDN  :PRATIQUE  ET  
SOLUTIONS

Nombre de ces sociétés sont par ailleurs partenaires des sera quant à lui en ligne dans le courant du premier
autres grands fournisseurs de plates-formes SDN et semestre. Le contrôleur VAN, enfin, devrait être
notamment de VMware. La raison en est simple : Tous commercialisé à partir de 495 $.
les contrôleurs SDN exposent leurs fonctions via des API
de type RESTful et ces dernières se ressemblent. Il est
5 . D E L L   C O N C R É T I S E   S A   S T R A T É G I E   S D N  
  donc, pour l’instant, relativement facile et peu coûteux
pour les différents fournisseurs "d'applications réseau" La réponse de Dell à la problématique des   SDN, les
PRÉSENTATION  
d’adapter leurs solutions aux différents contrôleurs. réseaux à définition logicielle s’appellera Active Fabric.
 
Le travail est un peu plus compliqué lorsqu'il s'agit de Cette réponse s’apparente à une plateforme logicielle
COMPRENDRE  LES  RÉSEAUX   faire interagir des plates-formes SDN comme celles de assurant une couche d’abstraction au-dessus des éléments
PROGRAMABLES  
VMware et HP. L’interfaçage entre le contrôleur SDN physiques de réseau. Comme nous l’expliquait en
 
VAN d'HP et la plate-forme de virtualisation de réseau décembre dernier Arpit Joshipura, responsable du
SDN  :  PRATIQUE  ET   VMware NSX s’opére ainsi via une API de fédération et marketing produits pour les réseaux de centres de calcul
SOLUTIONS  
requére une application HP toujours en développement, de Dell, l’approche de l’équipementier consister à miser
  HP Converged Control SDN , dont l’objectif est de sur «une interopérabilité complète avec Cisco» tout en
permettre la transparence entre les couches physiques et «exploitant une version modifiée d’OpenFlow» en
logiques d’un réseau virtualisé. Cette solution ne devrait s’appuyant sur «des améliorations logicielles» apportées
pas être opérationnelle en totalité avant le second aux commutateurs du groupe texan, et en «supportant les
semestre 2 014. HP n'a pas précisé si l'API de fédération stratégies liées aux hyperviseurs.» Sans surprise, Active
fonctionnera avec d'autres contrôleurs SDN comme le Fabric supporte ainsi les couches de virtualisation (
contrôleur libre OpenDayLight (HP est membre du projet overlay) liées aux hyperviseurs de Microsoft, VMware et
OpenDaylight) OpenStack. La plateforme prend en outre en charge «les
Selon HP, son kit de développement SDN sera disponible contrôleurs OpenFlow des plus grands fournisseurs, Big
dans le courant du mois de novembre 2013. L’App Store Switch Networks, notamment», tout en proposant des

28   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
 
 
SDN  :PRATIQUE  ET  
SOLUTIONS

API «Telnet/CLI, TCL, REST, SNMP, Perl et Python.» Sur le plan matériel, Active Fabric commence par se
Lors de notre rencontre, Arpit Joshipura avait en outre décliner avec un commutateur de haut de baie LAN/SAN
précisé que Dell travaillerait avait Nicira, analysait son 10/40 GbE supportant Fibre Channel et FCoE, le Dell
rachat par VMware comme un événement «très positif», Networking S5000.Un commutateur sans doute bâti sur
son modèle venant «compléter notre stratégie.» une puce Broadcom Trident de dernière génération au vu
 
Pour assurer le décollage de sa plateforme, Dell mise de ses spécifications. Il supporte ainsi un maximum de 64
PRÉSENTATION   notamment sur une solution d’administration, Active ports 10 GbE ou de 48 ports Ethernets/FC complétés par
Fabric Manager (AFM), qui «automatise la planification, 16 ports 10 GbE, le tout dans un encombrement 1U. Sa
 
la conception, le déploiement et la surveillance des commercialisation est prévue pour juillet.
COMPRENDRE  LES  RÉSEAUX  
PROGRAMABLES   infrastructures réseau», promettant des «gains de temps Ces annonces ne semblent être qu’un début. Selon Arpit
 
pouvant atteindre 86 % par rapport à un déploiement Joshipura, Dell travaille ainsi à l’intégration de ses
manuel.» AFM offre notamment une interface graphique solutions SDN avec celles de SonicWall afin «de faire le
SDN  :  PRATIQUE  ET  
SOLUTIONS  
pour la cartographie «en effectuant tous les calculs lien entre un traitement et un VLAN, et les règles de
nécessaire pour aboutir à l’infrastructure réseau optimale, sécurité.» Reste la question de la compatibilité ultérieure
 
sans tâtonnements ni erreurs.» AFM supporte en outre de ces équipements avec le projet OpenDaylight auquel
une gestion des accès basée sur les rôles pour partager le Dell s’est associé et dont les premiers éléments de code
travail d’administration entre plusieurs personnes tout en sont attendus pour le troisième trimestre 2013. Mais en
évitant les perturbations sur le fonctionnement de décembre dernier, Arpit Joshipura assurait miser sur des
l’infrastructure. La solution d’administration sera architectures matérielles standards «qui ont le mérite de
disponible fin mai. l’évolutivité.»

29   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS  

  
     
 
AUTEURS  

 CHRISTOPHE   BARDY   Co-fondateur  

du MagIT, Christophe y a dès le
début pris en charge les rubriques d'infrastructures (Datacenter,  
Serveurs, réseaux, Stockage, systèmes d’exploitation, virtualisation.
Aujourd'hui, il est rédacteur en chef adjoint en charge des rubriques  

d'infrastructures et notamment SearchDatacenter.fr, Le document consulté provient du site www.lemagit.fr

SearchStorage.fr, SearchNetworking.fr et Cyrille  Chausson  |  Rédacteur en Chef  
 
SearchServervirtualization.fr. Il contribue aussi au contenu éditorial
Christophe  Bardy  |  Journaliste
PRÉSENTATION   de StratégiesCloud.fr, le site d'information sur le Cloud du MagIT
Valery  Marchive  |  Journaliste
 

COMPRENDRE  LES  RÉSEAUX  

ETHAN  BANKS   est un professionnel des réseaux qui a conçu, réalisé et Mathilde  Haslund  | Assistante Marketing  
assuré la maintenance de réseaux destinés à l'enseignement [email protected]  
PROGRAMABLES  
supérieur, au gouvernement fédéral, à des institutions financières et TechTarget  
 
des entreprises du secteur technologique. E. Banks a également 22  rue    Léon  Jouhaux,  75010  Paris  
SDN  :  PRATIQUE  ET   pariticipé au Packet Pushers Podcast, un programme technique www.techtarget.com  
SOLUTIONS   consacré à la conception pratique de réseaux, ainsi qu'à des sujets ©2014 TechTarget Inc. Aucun des contenus ne peut être transmis ou reproduit quelle que soit la
pointus comme la virtualisation, OpenFlow, et les réseaux forme sans l'autorisation écrite de l'éditeur. Les réimpressions de TechTarget sont disponibles à
  travers The YGS Group.
d’overlays. Il est le rédacteur en chef d'une communauté
TechTarget édite des publications pour les professionnels de l'IT. Plus de 100 sites qui proposent
indépendante de bloggers sur PacketPushers.net un accès rapide à un stock important d'informations, de conseils, d'analyses concernant les
technologies, les produits et les process déterminants dans vos fonctions. Nos
événements réels et nos séminaires virtuels vous donnent accès à des commentaires et
recommandations neutres par des experts sur les problèmes et défis que vous rencontrez
LEE   DOYLEest analyste senior chez Doyle Research. Doyle Research quotidiennement. Notre communauté en ligne "IT Knowledge Exchange" (Echange de
fournit des analyses ciblées sur l’évolution des réseaux intelligents : connaissances IT) vous permet de partager des questionnements et informations de tous les jours
avec vos pairs et des experts du secteur.
SDN, OPEX et COTS. Lee Doyle a 28 ans d’expérience dans  
l’analyse des marchés IT, réseau et télécoms.

30   SDN  :  LA  VIRTUALISATION  RÉSEAU  POUR  LES  DATACENTERS