Module 13: Virtualisation

réseau
Réseau, Sécurité et Automatisation D'entreprise v7.0
(ENSA)
Objectifs de ce module
Module Titre: Virtualisation de Réseau

Objectifs de module: Expliquez l'objectif et les caractéristiques de la virtualisation du réseau.

Titre du rubrique Objectif du rubrique

Cloud computing Expliquer l'importance du cloud computing.
Virtualisation Expliquer l'importance de la virtualisation.
Infrastructure de réseau Décrire la virtualisation des services et des
virtuelle périphériques réseau.
Réseaux SDN Décrire ce qu'est le SDN.
Décrire les contrôleurs utilisés dans la
Contrôleurs
programmation du réseau.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 2
13.1 Cloud computing

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 3
Cloud computing
Présentation du cloud
Le cloud computing aborde toute une série de questions relatives à la gestion des
données :
• Il permet l'accès aux données organisationnelles en tout lieu et à tout moment
• Il rationalise l'organisation des opérations des services informatiques de l'entreprise
en leur permettant de s'abonner uniquement aux services requis
• Il réduit, voire supprime, le besoin de disposer des équipements sur site, ainsi que la
gestion et la maintenance de ceux-ci
• Il réduit le coût de possession du matériel, les dépenses énergétiques, les besoins
d'espace physique ainsi que ceux concernant la formation du personnel
• Il permet aussi une réponse rapide face au besoin croissant d'espace de stockage
des données

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 4
Cloud computing
Services cloud
Dans son rapport spécial 800-145, le NIST (l'institut américain des normes et de la
technologie) a identifié les trois principaux services de cloud computing:
• SaaS (ou Logiciel en tant que service) - le fournisseur cloud gère l'accès aux services,
tels que la messagerie, les outils de communication et Office 365, qui sont fournis via
Internet.
• PaaS (ou Plate-forme en tant que service) - le fournisseur cloud gère l'accès aux outils
et services de développement utilisés pour fournir les applications aux utilisateurs.
• IaaS (Infrastructure as a Service) - Le fournisseur de cloud computing est chargé de
donner aux responsables informatiques l'accès à l'équipement réseau, aux services
réseau virtualisés et à l'infrastructure réseau de support.
Les fournisseurs de services cloud ont développé ce modèle en y intégrant un support
informatique pour chaque service de cloud computing (ITaaS). Pour les entreprises, ITaaS
peut étendre la capacité du réseau sans nécessiter d'investissement dans de nouvelles
infrastructures, de formation de nouveau personnel ou de licence pour de nouveaux logiciels.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 5
Cloud computing
Modèles de cloud
Les quatre principaux modèles cloud sont les suivants:
• Clouds publics - Des applications et des services basés sur le cloud accessibles par le
grand public.
• Clouds privés - Des applications et des services basés sur le cloud sont destinés à une
entreprise ou à une entité spécifique, par exemple une administration.
• Clouds hybrides - Un cloud hybride est constitué de deux ou plusieurs nuages
(exemple : partie privée, partie publique), où chaque partie reste un objet distinct, mais
où les deux sont reliés par une architecture unique.
• Clouds communautaires - Un cloud communautaire est créé pour l'usage exclusif
d'une communauté spécifique. Les différences entre clouds publics et clouds
communautaires se réfèrent aux besoins fonctionnels qui ont été personnalisés pour la
communauté. Par exemple, les organisations de soins de santé doivent se conformer à
certaines stratégies et réglementations (par exemple, HIPAA) qui nécessitent une
authentification et une confidentialité particulières.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 6
Cloud computing
Cloud computing et data center
Voici leur définition exacte:
• Data center: espace de stockage ou de traitement de données géré par un
département informatique interne ou loué hors site. La construction et l'entretien des
data centers sont en général très coûteux.
• Cloud computing: service hors site qui offre un accès à la demande à un pool
partagé de ressources informatiques configurables. Ces ressources peuvent être
rapidement mises en service et distribuées avec un minimum d'efforts de gestion.

Les centres de données sont les installations physiques qui répondent aux besoins de
calcul, de réseau et de stockage des services de cloud computing. Les fournisseurs de
services cloud utilisent les data centers pour héberger leurs services et leurs ressources
basés dans le cloud.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 7
13.2 Virtualisation

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 8
Virtualisation
Cloud computing et virtualisation
• Bien qu'on les confonde souvent, les
termes « cloud computing » et
« virtualisation » font référence à des
concepts bien différents. La
virtualisation forme le socle du cloud
computing. Sans elle, le cloud
computing, tel qu'on le connaît,
n'existerait pas.
• La virtualisation sépare le système
d'exploitation (OS) du matériel.
Plusieurs fournisseurs proposent des
services cloud virtuels capables de
provisionner les serveurs de manière
dynamique en fonction des besoins.
Ces instances virtualisées de
serveurs sont créées à la demande. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 9
Virtualisation
Serveurs dédiés
Historiquement, les serveurs d'entreprise consistaient
en un système d'exploitation de serveur, tel que
Windows Server ou Linux Server, installé sur un
matériel spécifique. La mémoire vive (RAM), la
puissance de traitement et l'espace disque d'un serveur
étaient consacrés au service fourni (par ex. Internet,
services de messagerie électronique, etc.).
• Lorsqu'un composant tombe en panne, le service fourni par
ce serveur devient indisponible. C'est ce qu'on appelle un
« point de défaillance unique ».
• Les serveurs dédiés étaient généralement sous-utilisés. Ils
restaient souvent inactifs pendant de longues périodes
jusqu'à ce que le service spécifique fourni soit sollicité. Ces
serveurs ont gaspillé de l'énergie et pris plus d'espace que
ne le justifiait la quantité de services fournis. C'est ce qu'on
appelle la prolifération des serveurs.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 10
Virtualisation
Virtualisation des serveurs
• La virtualisation des serveurs tire parti des
ressources inactives pour consolider le nombre de
serveurs nécessaires. Ainsi, plusieurs systèmes
d'exploitation peuvent coexister sur une plate-forme
matérielle unique.
• Pour résoudre le problème de point de défaillance
unique, la virtualisation implique généralement une
fonction de redondance
• L'hyperviseur est un programme, un firmware ou un
équipement matériel qui ajoute une couche
d'abstraction au-dessus du matériel physique. La
couche d'abstraction permet de créer des machines
virtuelles qui ont accès à tous les composants
matériels de la machine physique, notamment les
processeurs, la mémoire, les contrôleurs de disque
et les cartes réseau. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 11
Virtualisation
Avantages de la Virtualisation
L'un des principaux avantages de la virtualisation est qu'elle permet de réduire le coût
global :
• Moins de matériel requis
• Moins d'énergie consommée
• Moins d'espace occupé

La virtualisation présente également d'autres avantages :

• Prototypage plus facile
• Provisionnement plus rapide des serveurs
• augmentation de la durée de fonctionnement des serveurs
• Meilleure reprise après sinistre
• Prise en charge de l'existant

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 12
Virtualisation
Couches d'abstraction
Un système informatique se compose des couches d'abstraction suivantes : services,
système d'exploitation, micrologiciels et matériel.
• À chaque couche d'abstraction, un code de programmation sert d'interface entre les
couches inférieures et supérieures.
• Un hyperviseur est installé entre le firmware et le système d'exploitation.
L'hyperviseur peut prendre en charge plusieurs instances de système d'exploitation.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 13
Virtualisation
Hyperviseurs de type 2
• Un hyperviseur de type 2 est un logiciel qui crée et exécute des instances de VM.
L'ordinateur sur lequel un hyperviseur prend en charge une ou plusieurs machines
virtuelles est appelé « machine hôte ». Les hyperviseurs de type 2 sont également
appelés « hyperviseurs hébergés ».
• Un avantage considérable des hyperviseurs de type 2 est qu'ils ne requièrent aucune
console de gestion logicielle.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 14
13.3 Infrastructure de réseau
virtuel

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 15
Infrastructure de réseau virtuel
Hyperviseurs de type 1
• Les hyperviseurs de type 1 sont également dits « sans système d'exploitation », car
ils sont installés directement sur le matériel. Généralement, ils sont utilisés sur des
serveurs d'entreprise et des périphériques de mise en réseau de centres de données.
• Un hyperviseur de type 1 est installé directement sur le serveur ou le matériel de mise
en réseau, Plusieurs instances d'un système d'exploitation sont ensuite installées au-
dessus de l'hyperviseur, comme le montre la figure. Les hyperviseurs de type 1
bénéficient d'un accès direct aux ressources matérielles. Par conséquent, ils sont plus
efficaces que les architectures hébergées. Ils améliorent l'évolutivité, les
performances et la robustesse.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 16
Infrastructure de réseau virtuel
Installation d'une machine virtuelle sur un hyperviseur
• La gestion des hyperviseurs de type 1 nécessite en effet une « console de gestion ».
Le logiciel de gestion permet de gérer plusieurs serveurs utilisant le même
hyperviseur. La console de gestion peut automatiquement consolider les serveurs et
les mettre hors/sous tension, le cas échéant.
• La console de gestion permet une reprise en cas de panne matérielle. Si un
composant de serveur dysfonctionne, la console de gestion transfère
automatiquement et en toute transparence la machine virtuelle sur un autre serveur.
Cisco UCS Manager contrôle de multiples serveurs et gère les ressources pour des
milliers de machines virtuelles.
• Certaines consoles de gestion permettent également la surallocation du serveur. c.-à-
d. l'installation de plusieurs instances de système d'exploitation dont l'allocation de
mémoire dépasse la quantité totale de mémoire disponible sur un serveur. La
surallocation est une pratique courante car les quatre instances du SE ont rarement
besoin de toutes les ressources qui leur sont allouées à un moment donné.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 17
Infrastructure de réseau virtuel
La complexité de virtualisation du réseau
• Lorsqu'un serveur est virtualisé, ses ressources ne sont pas
visibles. Cela peut créer des problèmes lors de l'utilisation
d'architectures de réseau traditionnelles.
• Les machines virtuelles peuvent être déplacées, et
l'administrateur réseau doit être en mesure d'ajouter, supprimer
et modifier des ressources et des profils réseau pour faciliter leur
mobilité. Ce processus serait manuel et prendrait beaucoup de
temps avec les commutateurs de réseau traditionnels.
• Les flux de trafic diffèrent sensiblement du modèle client-serveur
traditionnel. Généralement, il y a un volume considérable de
trafic échangé entre des serveurs virtuels (trafic Est-Ouest) qui
change de localisation et d'intensité au fil du temps. Le trafic
nord-sud est généralement destiné à des emplacements hors
site tels qu'un autre centre de données, d'autres fournisseurs de
services de cloud ou l'internet.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 18
Infrastructure de réseau virtuel
La complexité de virtualisation du réseau (Suite)
• Le trafic dynamique en constante évolution nécessite une approche flexible de la
gestion des ressources réseau. Pour faire face à ces fluctuations, les infrastructures
réseau existantes peuvent s'appuyer sur des configurations de QoS et de niveau de
sécurité propres à chaque flux. Néanmoins, dans les grandes entreprises qui utilisent
des équipements multifournisseurs, la reconfiguration nécessaire après l'activation
d'une nouvelle machine virtuelle risque de prendre beaucoup de temps.
• L'infrastructure de réseau peut également tirer parti de la virtualisation. Les fonctions
de réseau peuvent être virtualisées. Chaque périphérique réseau peut être segmenté
en plusieurs périphériques virtuels fonctionnant en tant que périphériques
indépendants. Les exemples incluent les sous-interfaces, les interfaces virtuelles, les
VLAN et les tables de routage. Le routage virtualisé est appelé routage et transfert
virtuels (VRF).

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 19
13.4 Réseau SDN

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 20
Réseau SDN
Plans de contrôle et de données
Un appareil réseau contient les plans suivants :
• Plan de contrôle - Il est généralement considéré comme le cerveau d'un appareil. le
plan de contrôle permet de prendre les décisions de transmission. Il comprend des
mécanismes de transmission d'itinéraire de couche 2 et 3, notamment la table de
voisinage et la table topologique (protocole de routage), la table de routage pour IPv4
et IPv6, le protocole STP et la table ARP. Les informations envoyées au plan de
contrôle sont traitées par le processeur.
• Plans de données - Également appelé plan d'acheminement, ce plan est
généralement la matrice de commutation qui relie les différents ports du réseau sur un
appareil. Le plan de données de chaque périphérique permet de transmettre les flux
de trafic. Les routeurs et les commutateurs utilisent les informations du plan de
contrôle pour transmettre le trafic entrant vers l'interface de sortie appropriée. Les
informations dans le plan de données sont généralement traitées par un processeur
spécial du plan de données sans que l'unité centrale n'intervienne.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 21
Réseaux SDN
Plans de contrôle et de données (Suite)
• Cisco Express Forwarding est une technologie
avancée de commutation IP au niveau de la
couche 3 qui permet de transmettre des paquets à
partir du plan de données sans consulter le plan
de contrôle.
• SDN est essentiellement la séparation du plan de
contrôle et du plan de données. Pour virtualiser le
réseau, la fonction de plan de contrôle est
supprimée sur chaque périphérique et centralisée
sur un contrôleur unique. Le contrôleur centralisé
communique les fonctions de plan de contrôle à
chaque périphérique. Ainsi le contrôleur centralisé
gère le flux des données, renforce la sécurité et
fournit d'autres services, et chaque périphérique
peut se concentrer sur la transmission des
données. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 22
Réseaux SDN
Plans de contrôle et de données (Suite)
• Le plan de gestion est responsable de la gestion d'un périphérique via sa connexion
au réseau.
• Les administrateurs réseau utilisent des applications telles que Secure Shell (SSH),
Trivial File Transfer Protocol (TFTP), Secure FTP et Secure Hypertext Transfer
Protocol (HTTPS) pour accéder au plan de gestion et configurer un périphérique.
• Le plan de gestion correspond à la façon dont vous avez accédé aux périphériques et
configuré dans vos études de mise en réseau. En outre, des protocoles comme le
protocole SNMP (Simple Network Management Protocol) utilisent le plan de gestion.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 23
Réseau SDN
Technologies de virtualisation de réseau
Deux architectures réseau majeures ont été développées pour prendre en charge la
virtualisation:
• SDN (Software-Defined Networking)- Une architecture de réseau qui virtualise le
réseau, offrant une nouvelle approche de l'administration et de la gestion du réseau
qui vise à simplifier et à rationaliser le processus d'administration.
• ACI (Cisco Application Centric Infrastructure) - Une solution matérielle
spécialement conçue pour intégrer le cloud computing et la gestion des centres de
données.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 24
Réseau SDN
Technologies de virtualisation de réseau (Suite)
Les composantes du SDN peuvent comprendre les éléments suivants :
• OpenFlow - Cette approche a été développée à l'université de Stanford pour gérer le
trafic entre les routeurs, les commutateurs, les points d'accès sans fil et un contrôleur.
Le protocole OpenFlow constitue un élément fondamental dans la mise en œuvre des
solutions SDN.
• OpenStack - cette approche repose sur une plate-forme d'orchestration et de
virtualisation pour créer des environnements cloud évolutifs et mettre en œuvre une
solution IaaS (infrastructure en tant que service). L'approche OpenStack va souvent
de pair avec l'infrastructure Cisco ACI. Dans le domaine des réseaux, l'orchestration
correspond à l'automatisation du provisionnement de composants réseau tels que les
serveurs, le stockage, les commutateurs, les routeurs et les applications.
• Autres composants - Parmi les autres composants figurent l'interface avec le
système de routage (I2RS), l'interconnexion transparente de lots de liens (TRILL), le
Cisco FabricPath (FP) et le Shortest Path Bridging (SPB) de la norme IEEE 802.1aq.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 25
Réseaux SDN
Architectures traditionnelles et SDN
Dans une architecture traditionnelle de routeurs ou de commutateurs, les fonctions de plans
de contrôle et de données sont assurées sur un même périphérique, et le système
d'exploitation du périphérique prend en charge les décisions de routage et le transfert de
paquets. Dans SDN, la gestion du plan de contrôle est déplacée vers un contrôleur SDN
centralisé. La figure compare les architectures traditionnelles et SDN.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 26
Réseaux SDN
Architectures traditionnelles et SDN (Suite)
• Le contrôleur SDN est une entité logique qui permet aux
administrateurs réseau de gérer et de définir la manière
dont le plan de données des routeurs et des commutateurs
virtuels doit gérer le trafic réseau. En d'autres termes, il
orchestre, arbitre et simplifie la communication entre les
applications et les composants réseau.
• Le cadre complet du SDN est illustré dans la figure. Notez
que l'infrastructure SDN fait appel à des interfaces de
programmation (API). Une API est un ensemble de
requêtes normalisées qui définissent la façon dont une
application soumet une requête de services à une autre
application.
• Le contrôleur SDN utilise des API en direction du nord pour
communiquer avec les applications en amont, ce qui aide
les administrateurs de réseau à modeler le trafic et à
déployer les services. Le contrôleur SDN utilise des APIs
en direction du sud pour définir le comportement des plans
de données sur les commutateurs et routeurs en aval.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
OpenFlow est l'API largement mise en œuvre vers le sud. confidentielles de Cisco 27
13.5 Contrôleurs

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 28
Contrôleurs
Fonctionnement du contrôleur SDN
• Le contrôleur SDN définit les flux de
données entre le plan de contrôle
centralisé et les plans de données sur les
routeurs et les commutateurs individuels.
• Pour pouvoir traverser le réseau, chaque
flux doit être approuvé par le contrôleur
SDN qui vérifie que la communication est
autorisée dans le cadre de la politique
réseau de l'entreprise.
• Toutes les fonctions complexes sont
prises en charge par le contrôleur. Le
contrôleur alimente les tables de flux. Les
commutateurs gèrent les tables de flux.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 29
Contrôleurs
Fonctionnement du contrôleur SDN (Suite)
Sur chaque commutateur, la gestion des flux de paquets est assurée par une série de
tables mises en œuvre au niveau du matériel ou du firmware. À l'échelle du commutateur,
un flux est une séquence de paquets qui correspond à une entrée spécifique dans une
table de flux.
Les trois types de tableaux présentés dans la figure précédente sont les suivants:
• Tableau des flux - Ce tableau fait correspondre les paquets entrants à un flux particulier et
spécifie les fonctions qui doivent être exécutées sur les paquets. Il peut y avoir plusieurs tables de
flux qui fonctionnent à la manière d'un pipeline.
• Tableau de groupe - Un tableau de flux peut diriger un flux vers un tableau de groupe, ce qui peut
déclencher diverses actions qui affectent un ou plusieurs flux.
• Table de comptage - Cette table déclenche une série d'actions liées aux performances sur un
débit, y compris la capacité de limiter le trafic.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 30
Contrôleurs
vidéo - Cisco ACI
• Rares sont les entreprises qui ont le désir ou la vocation de programmer le réseau à
l'aide d'outils SDN. Pourtant, la majorité d'entre elles souhaitent automatiser les
activités réseau, accélérer le déploiement des applications et aligner leurs
infrastructures informatiques pour mieux répondre aux objectifs métiers. Cisco a
développé l'infrastructure axée sur les applications (ACI) pour leur permettre
d'atteindre ces objectifs à l'aide d'une méthode plus avancée et innovante que les
approches SDN antérieures.
• Cisco ACI est une solution matérielle spécialisée offrant une gestion intégrée du cloud
computing et du data center. Au niveau global, tout élément relatif à la politique du
réseau est retiré du plan de données. Cela permet de créer beaucoup plus facilement
les réseaux de data center.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 31
Contrôleurs
Principaux composants ACI
Les trois principaux composants de l'architecture ACI:
• Profil de réseau d'application (ANP) - Un ANP est un ensemble de groupes de points terminaux
(EPG), leurs connexions et les politiques qui définissent ces connexions.
• Contrôleur de l'infrastructure des règles régissant les applications (APIC) - l'APIC est un
contrôleur logiciel centralisé qui contrôle et gère un fabric en cluster ACI évolutif. Il est conçu pour
être programmable et assurer une gestion centralisée. Il traduit les politiques applicatives en
codes de programmation réseau.
• Commutateurs Cisco Nexus série 9000 - Ces commutateurs fournissent une structure de
commutation adaptée aux applications et fonctionnent avec un APIC pour gérer l'infrastructure
réseau virtuelle et physique.
L'APIC est positionné entre l'APN et l'infrastructure de réseau activée par l'ACI. Le
contrôleur APIC traduit les besoins applicatifs en une configuration réseau capable de
répondre à ces besoins.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 32
Contrôleurs
Principaux composants ACI (Suite)

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 33
 Contrôleurs
Topologie Spine-Leaf
• Comme le montre la figure, le fabric Cisco ACI se
compose du contrôleur APIC et des commutateurs Cisco
Nexus 9000 dans une topologie Spine-Leaf à deux
niveaux. Les commutateurs Leaf sont associés à des
commutateurs Spine, mais ne le sont jamais entre eux.
De même, les commutateurs Spine sont uniquement
associés à des commutateurs Leaf et centraux (non
représentés). Dans cette topologie à deux niveaux, tous
les éléments ne sont qu'à un « saut » les uns des autres.
• Contrairement à ce qui se passe dans une infrastructure
SDN, le contrôleur APIC ne manipule pas directement le
chemin des données. Au lieu de cela, il centralise la
définition des stratégies et programme les commutateurs
Leaf de manière à ce qu'ils transfèrent le trafic en
fonction des politiques définies.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 34
Contrôleurs
Types d'architecture SDN
Le module Cisco APIC-EM (Application Policy Infrastructure Controller - Enterprise
Module) permet d'étendre l'infrastructure ACI aux campus et réseaux d'entreprise. Pour
mieux comprendre comment il fonctionne, intéressons-nous aux trois types de réseaux
SDN :
• SDN basé sur les appareils: Les appareils peuvent être programmés par les
applications qui s'exécutent sur les appareils eux-mêmes ou sur un serveur du
réseau, comme illustré dans la figure.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 35
Contrôleurs
Types d'architecture SDN (Suite)
SDN basé sur un contrôleur: Utilise un contrôleur centralisé qui reconnaît tous les
périphériques présents sur le réseau, comme illustré dans la figure. Les applications
peuvent interagir avec le contrôleur, chargé de gérer les périphériques et de manipuler les
flux de trafic sur le réseau. Le contrôleur Cisco Open SDN est une distribution
commerciale d'OpenDaylight.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 36
Contrôleurs
Types d'architecture SDN (Suite)
SDN basé sur des politiques: type de SDN
similaire à un SDN basé sur un contrôleur
dans lequel un contrôleur central reconnaît
tous les périphériques présents sur le réseau,
comme illustré dans la figure. Le SDN basé
sur des politiques comprend une couche
stratégique supplémentaire qui fonctionne à un
niveau d'abstraction supérieur. Il utilise des
applications intégrées qui automatisent les
tâches de configuration avancée grâce à un
workflow guidé et à une interface graphique
utilisateur conviviale. Aucune compétence de
programmation n'est nécessaire. Le contrôleur
Cisco APIC-EM est un exemple de ce type de
SDN.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 37
Contrôleurs
Caractéristiques d'APIC-EM
Cisco APIC-EM fournit une interface
unique pour la gestion du réseau,
notamment:
• Découverte et accès aux
inventaires des périphériques et
des hôtes.
• affichage de la topologie (comme
illustré sur la figure),
• Traçage d'un tracé entre les points
d'extrémité.
• Définition de stratégies.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations

confidentielles de Cisco 38
Contrôleurs
APIC-EM Path Trace
L'outil APIC-EM Path Trace permet à
l'administrateur de visualiser facilement les
flux de trafic et de découvrir toute entrée
de ACL conflictuelle, dupliquée ou
occultée. Cet outil examine des ACL
spécifiques sur le chemin entre
deux nœuds finaux et répertorie les
problèmes éventuels. Vous pouvez voir où
toutes les ACL le long du chemin d'accès
autorisaient ou refusaient votre trafic,
comme indiqué sur la figure. Notez
comment Branch-Router2 est permis tout
le trafic. L'administrateur réseau peut
désormais effectuer des ajustements, si
nécessaire, pour mieux filtrer le trafic.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations
confidentielles de Cisco 39