décodage du sdn (software defined networking)
Transcription
décodage du sdn (software defined networking)
Livre blanc DÉCODAGE DU SDN (SOFTWARE DEFINED NETWORKING) Copyright © 2013, Juniper Networks, Inc. Livre blanc - Décodage du SDN DÉCODAGE DU SDN Au cours des douze derniers mois, le SDN (Software Defined Networking), en d'autres termes la virtualisation des réseaux, a été l'objet de toutes les attentions dans le monde des réseaux. D'une certaine façon, les réseaux ont toujours été pilotés par les logiciels. Ces derniers sont omniprésents dans la technologie qui influe sur notre quotidien et il en va de même pour les réseaux. Toutefois, les réseaux étaient jusqu'ici limités par la façon dont les logiciels étaient configurés, mis en œuvre et gérés (littéralement dans une boîte, mis à jour de façon monolithique et gérés par le biais de lignes de commande rappelant les miniordinateurs et le système d'exploitation DOS des années 80). Les défis des logiciels réseau Qu'est-ce que le SDN ? Les logiciels réseau ont toujours été un frein pour l'innovation dans notre domaine. Chaque périphérique réseau doit être configuré individuellement, souvent à la main, à l'aide d'un clavier, et les réseaux peinent donc à rester en phase avec les modifications à la volée requises par les systèmes de cloud modernes. Dans les entreprises présentes sur Internet comme Amazon ou Google, des centaines d'ingénieurs se consacrent exclusivement à leurs systèmes de cloud. Ils ont ainsi créé leur propre solution de configuration réseau, mais cette approche ne convient pas à la majorité des entreprises désireuses d'implémenter leur propre cloud. Tandis que la virtualisation et le cloud ont peu à peu révolutionné le monde des ordinateurs et du stockage, les réseaux ont pris du retard. Les entreprises et les opérateurs recherchent des solutions permettant de relever les défis liés à leurs réseaux. Ils souhaitent que ces derniers soient évolutifs et qu'ils puissent répondre de manière dynamique, en fonction des stratégies de l'entreprise. Ils veulent également que ces stratégies soient automatisées afin de réduire les tâches manuelles et le coût du personnel affecté à la gestion des réseaux. Ils doivent pouvoir déployer et exécuter rapidement de nouvelles applications au sein de leurs réseaux et au-delà, afin de générer des résultats commerciaux. Qui plus est, cette méthodologie doit être mise en place sans perturber leurs activités courantes. Le défi est de taille mais le SDN a le potentiel nécessaire pour le relever. Comment peut-il y parvenir ? Pour décoder et comprendre le SDN, nous devons commencer par examiner les logiciels réseau de plus près. Cela fait, nous serons en mesure de définir les principes permettant de résoudre les problèmes. C'est ainsi que fonctionne le SDN. Dans le domaine des fournisseurs de services, les opérateurs ont du mal à configurer et gérer leurs réseaux. À l'instar de Google, ils ont également créé leurs propres systèmes de support opérationnel pour la configuration de leurs réseaux, mais ces systèmes ont souvent plus de 20 ans et ils ploient sous la charge des logiciels dédiés aux réseaux. Pour un opérateur, le réseau est un élément capital pour la réussite de l'entreprise. Il doit donc faire appel à des fournisseurs de logiciels réseau afin d'instaurer de nouvelles fonctionnalités ouvrant la voie à d'autres opportunités commerciales. Encore une fois, les logiciels réseau ne répondent plus aux besoins du secteur ; ils sont développés de façon monolithique, sous forme de systèmes intégrés, et il n'existe aucun concept d'application. Chaque nouvelle fonctionnalité requiert une mise à jour de l'ensemble de la pile logicielle. Imaginez que vous deviez mettre à jour le système d'exploitation de votre téléphone portable chaque fois que vous voulez charger une nouvelle application. C'est pourtant la condition qu'impose l'industrie des réseaux à ses clients. Pire encore, chaque mise à jour inclut souvent de nombreuses autres modifications, et ces dernières engendrent parfois de nouveaux problèmes. Au final, les opérateurs doivent tester avec précaution et de manière exhaustive chaque mise à jour avant de l'appliquer à leurs réseaux. Voici les six principes du SDN et les avantages correspondants pour les clients : 1. Séparer clairement les logiciels réseau en quatre couches (plans) : Gestion, Services, Contrôle et Transfert, de manière à fournir l'architecture sous-jacente permettant d'optimiser chaque plan au sein du réseau. 2. Centraliser les aspects appropriés des plans Gestion, Services et Contrôle afin de simplifier la conception du réseau et de réduire les coûts opérationnels. 3. Utiliser le cloud pour une mise à l'échelle et un déploiement souples, de manière à utiliser la facturation en fonction de l'utilisation pour réduire le temps de mise en service et rendre les coûts proportionnels à la valeur. 4. Créer une plate-forme pour les applications réseau, les services et l'intégration aux systèmes de gestion, favorisant ainsi l'accès à de nouvelles solutions commerciales. 5. Standardiser les protocoles pour une prise en charge hétérogène et interopérable entre fournisseurs, dans le but d'offrir un plus grand choix et de réduire les coûts. 6. Appliquer largement les principes du SDN à tous les logiciels et services réseau, y compris la sécurité, du centre de données et campus d'entreprise aux réseaux mobiles et câblés utilisés par les opérateurs. Copyright © 2013, Juniper Networks, Inc. 2 Livre blanc - Décodage du SDN Les quatre plans du logiciel réseau À l'intérieur de chaque périphérique réseau et de sécurité, à savoir chaque commutateur, routeur et pare-feu, vous pouvez séparer le logiciel en quatre couches ou plans. Alors que nous évoluons vers le SDN, il est important de comprendre ces plans et de bien les distinguer. Ceci est absolument essentiel pour la création de la prochaine génération de réseaux hautement évolutifs. plans réseau PLANS DE RÉSEAU Gestion Services Contrôle Transfert Transfert. Le plan inférieur, Transfert, a pour rôle d'acheminer les paquets réseau. Il est optimisé afin de déplacer les données aussi rapidement que possible. Le plan Transfert peut être implémenté dans le logiciel, mais il est généralement créé à l'aide de circuits intégrés propres aux applications (ASIC), spécialement conçus à cet effet. Divers fournisseurs tiers proposent des ASIC pour certains secteurs des marchés des commutateurs, routeurs et pare-feu. Pour garantir des performances optimales et des systèmes hautement évolutifs, les ASIC du plan Transfert sont généralement spécialisés, chaque fournisseur proposant une implémentation spécifique différente. Selon certains, le SDN risque d'entraîner la marchandisation du matériel lié aux commutateurs, routeurs et pare-feu. Toutefois, la demande quasi-insatiable de capacité réseau émanant des milliers de nouvelles applications destinées aux consommateurs et aux entreprises crée une opportunité majeure de différentiation entre le matériel de transfert et les systèmes réseau. De fait, en libérant le potentiel d'innovation, le SDN va permettre aux fournisseurs qui créent ces systèmes de se dinstinguer encore davantage. Contrôle. Si le plan Transfert représente les muscles du réseau, le plan Contrôle en est le cerveau. Le plan Contrôle comprend la topologie du réseau et décide comment diriger le flux du trafic réseau. Tel un agent chargé de la circulation, il est capable de comprendre et décoder le mélange hétéroclite de protocoles réseau et d'assurer la fluidité du trafic. Plus important encore, il connaît le moindre détail se rapportant au réseau en communiquant en permanence avec ses pairs sur d'autres périphériques. C'est cela même qui protège Internet des défaillances et permet au trafic de rester fluide, même lorsqu'un puissant ouragan tel que Sandy provoque la panne de milliers de périphériques réseau. Services. Le trafic réseau nécessite parfois un traitement plus approfondi et le plan Services est idéal pour cette opération. Tous les périphériques réseau ne disposent pas d'un plan Services ; par exemple, ce plan ne figure pas dans un simple commutateur. Toutefois, pour la majorité des routeurs et tous les pare-feu, le plan Services effectue les recherches approfondies, exécutant les opérations complexes sur les données réseau que le matériel de transfert n'est pas en mesure de mener à bien. Le plan Services est l'emplacement Copyright © 2013, Juniper Networks, Inc. où les pare-feu bloquent les intrus et où les contrôles parentaux sont mis en vigueur. Il vous permet de naviguer sur le Web ou de visionner une vidéo à l'aide de votre téléphone portable, en vérifiant que vous êtes correctement facturé pour ces opérations. Le plan Services est propice à l'innovation. Gestion. À l'instar des ordinateurs, les périphériques réseau doivent être configurés ou gérés. Le plan Gestion fournit les instructions de base indiquant comment le périphérique réseau doit interagir avec le reste du réseau. Si le plan Contrôle est capable d'obtenir toutes les informations dont il a besoin à partir du réseau proprement dit, le plan Gestion doit être informé de ce qu'il doit faire. Les périphériques réseau actuels sont souvent configurés individuellement. Leur configuration, généralement manuelle, se fait à l'aide d'une interface de ligne de commande (CLI) ésotérique, familière à seulement un petit nombre de spécialistes réseau. Cette configuration manuelle entraîne de fréquentes erreurs pouvant avoir de graves conséquences, comme par exemple l’interruption du trafic de la totalité d’un centre de données ou le blocage du trafic d’un réseau national. Les opérateurs craignent parfois que leurs câbles à fibres optiques ne soient endommagés par des pelles excavatrices, mais plus fréquemment, leurs ingénieurs coupent eux-mêmes ces câbles de manière virtuelle, en commettant une simple erreur dans l'interface de ligne de commande complexe qu'ils utilisent pour configurer leurs routeurs réseau ou leurs pare-feu. périphériques réseau PÉRIPHÉRIQUES RÉSEAUactuels ACTUELS Ge stio n Se CLI rv ice s Contrô le s Tran fer t Si le plan Transfert utilise un matériel spécifique pour effectuer les tâches qui lui incombent, les plans Contrôle, Services et Gestion s'exécutent sur un ou plusieurs ordinateurs destinés à un usage général. Ces derniers varient considérablement en niveau de sophistication et en type, allant de processeurs peu onéreux fonctionnant dans des périphériques grand public à des serveurs haut de gamme appartenant à des systèmes de classe opérateur beaucoup plus importants. Mais, dans tous les cas, ces ordinateurs d'usage général utilisent actuellement des logiciels spéciaux qui exécutent une fonction fixe et sont dédiés exclusivement à la tâche à effectuer. Cette rigidité est à l'origine même de l'intérêt suscité envers le SDN. Si vous examinez en détail les logiciels se trouvant actuellement dans un routeur ou un pare-feu, vous y trouverez les quatre plans décrits précédemment. Mais le code des logiciels actuels est créé de façon monolithique, sans interfaces clairement définies entre les plans. Il s'agit en fait de périphériques réseau individuels, dotés de logiciels monolithiques et nécessitant une configuration manuelle. La tâche est ainsi bien plus compliquée qu'il n'y paraît. 3 Livre blanc - Décodage du SDN Centralisation Par conséquent, si les logiciels réseau actuels sont à l'origine du problème, la solution se trouve dans des logiciels plus performants, et c'est là qu'intervient le SDN. Comment passer des logiciels réseau actuels à une architecture moderne ? Commençons par examiner comment les fournisseurs de cloud créent leurs logiciels. Amazon, Google et Facebook utilisent des racks de serveurs x86 standard qui exécutent des logiciels évolutifs par conception, permettant donc l'ajout de serveurs supplémentaires à mesure que la demande de capacité augmente. Le recours à un matériel d'architecture x86 standard combiné à des logiciels évolutifs représente la méthode utilisée pour créer des systèmes à haute disponibilité modernes. fonctions centralisées Gestion centralisée Gestion centralisée Services centralisés ONS ALISÉES IONS ALISÉES Services centralisés Contrôleur centralisé Contrôleur centralisé PÉRIPHÉRIQUE RÉSEAUpériphériques 1 PÉRIPHÉRIQUE RÉSEAU N PÉRIPHÉRIQUEdistribués RÉSEAU 2 PÉRIPHÉRIQUE RÉSEAU 1 Copie de configuration PÉRIPHÉRIQUE RÉSEAU 2 Copie de configuration PÉRIPHÉRIQUE RÉSEAU N Copie de configuration Copie de configuration Couche de contrôle local Copie de configuration Couche de contrôle local Couche de transfert Couche de contrôle local Couche de transfert Couche de contrôle local Couche de transfert Couche de transfert Couche de transfert Couche de transfert Copie de configuration ÉRIQUES Couche de contrôle local UÉS ÉRIQUES Couche de contrôle local BUÉS Contrairement à la plupart des applications de cloud, les réseaux sont intrinsèquement décentralisés. Cela s'explique par le fait que la fonction première des réseaux consiste à déplacer les données d'un endroit à un autre. Ainsi, si Facebook peut s'exécuter dans un petit nombre de centre de données gigantesques, les réseaux sont distribués dans un centre de données, sur un campus, dans une ville ou, comme dans le cas d'Internet, sur l'ensemble de la planète. C'est pour cette raison que les réseaux ont toujours été mis en œuvre sous forme d'une collection de périphériques séparés et autonomes, gérés individuellement. Mais la centralisation est puissante ; elle est le principe clé du SDN et il est donc particulièrement approprié de l'appliquer aux logiciels réseau. Il convient toutefois de ne pas aller trop loin. La centralisation n'a de sens que dans une zone géographique restreinte, hautement connectée, par exemple dans un centre de données, sur un campus ou, dans le cas d'un opérateur, dans une ville. Même avec cette centralisation, les périphériques réseau proprement dits restent distribués et doivent disposer d'informations locales. Copyright © 2013, Juniper Networks, Inc. Lorsque vous ajoutez le concept de centralisation aux logiciels réseau, les quatre plans s'en trouvent quelque peu modifiés. Quel que soit le nombre de périphériques distribués, vous souhaitez sûrement gérer le réseau comme s'il s'agissait d'un seul système ; la gestion centralisée vous permet de le faire. Une fois la gestion centralisée mise en œuvre, elle devient la configuration maître et les périphériques en conservent uniquement une copie. Ce fonctionnement est similaire à celui des journaux sur nos téléphones portables et tablettes. Si vous exécutez l'application du New York Times sur votre iPad, celleci récupère l'édition du jour. Au cours de la journée, elle vérifie les mises à jour et les télécharge, dès qu'elles sont disponibles. Ceci est comparable à la façon dont la gestion centralisée fonctionne ; les données réelles résident au centre et seule une copie des données de configuration est stockée sur les périphériques réseau. Traditionnellement, les services étaient implémentés au sein de chaque périphérique réseau ou de sécurité, mais avec le SDN, ils peuvent être déplacés vers le centre et exécutés pour le compte de l'ensemble des périphériques. Toutefois, cette méthode n'a de sens que dans une zone géographique restreinte hautement connectée. Si vous accédez à Internet depuis votre téléphone portable, vous voulez accéder au réseau de la ville où vous vous trouvez, et non pas à celui d'une ville située à l'autre bout du pays. Lors de l'introduction du SDN et de la centralisation de certains éléments, les modifications apportées au plan Contrôle sont les plus complexes. Ce plan est comparable à un agent de la circulation. Chaque périphérique réseau communique avec les autres périphériques réseau auxquels il se connecte directement. Ils échangent ainsi toutes les informations dont ils disposent sur le réseau. Cette méthode peut en quelque sorte être assimilée à une version électronique des signaux de fumée. Chaque périphérique transmet des informations sur le réseau au périphérique suivant. La méthode fonctionne particulièrement bien dans un environnement réseau hautement connecté. Grâce aux travaux conséquents réalisés dans l'ensemble du secteur des réseaux, ces derniers continuent à bien fonctionner, même en cas de problèmes. Lorsqu'un routeur important est déconnecté, un flot d'échanges entre les périphériques leur permet de restructurer leur perspective du réseau afin de vous maintenir connecté. Dans certains cas, il est toutefois préférable de disposer d'une vue d'ensemble du trafic du réseau, depuis un point central. C'est là que peut intervenir le contrôleur centralisé. Ce contrôleur a un aperçu général du réseau et il est en mesure de connecter les divers composants de manière à optimiser l'ensemble du trafic. Dans le monde du SDN, le plan Transfert demeure néanmoins décentralisé. Cela s'explique par le fait que son rôle consiste à déplacer les données qui sont, par définition, décentralisées. 4 Livre blanc - Décodage du SDN Comment faire la transition Étape 1 : Le plan Gestion est celui par lequel il convient de commencer, car c'est à ce niveau que l'opération peut être la plus rentable. La clé du succès consiste à centraliser la gestion réseau, ainsi que les fonctions d'analyse et de configuration, de manière à obtenir un outil de gestion maître unique, capable de configurer l'ensemble des périphériques réseau. Il devient alors possible de réduire les coûts opérationnels et de donner aux clients de nouvelles perspectives sur l'entreprise à partir de leurs réseaux. étape 1 : gestionCENTRALISÉE centralisée ÉTAPE 1 : GESTION Orchestration, systèmes opérationnels et d'entreprise Orchestration du centre de données Applications personnalisées Machines virtuelles de gestion Machines virtuelles d'analyse Co con pie de figu ratio n Contr ôle Ser v i ce Transfer s t Les périphériques réseau et de sécurité génèrent des quantités importantes de données se rapportant aux activités du réseau. L'analyse de ces données est particulièrement instructive et, comme pour les autres aspects de l'entreprise, les techniques d'analyse de grandes masses de données (« Big Data ») appliquées aux données de réseau et de sécurité peuvent transformer notre compréhension du fonctionnement de l'entreprise. Le transfert de la gestion du périphérique réseau vers un service centralisé constitue la première étape de la création d'une plate-forme d'applications. La simplification de la connexion aux systèmes opérationnels utilisés par les entreprises et les opérateurs est de la plus grande importance. Mais, au fur et à mesure de la création de cette plate-forme, de nouvelles applications vont émerger. L'analyse permet de comprendre le fonctionnement interne du réseau, favorisant la prise de décisions plus éclairées et la création d'applications capables de modifier de manière dynamique le réseau en fonction des stratégies de l'entreprise. La gestion centralisée permet d'effectuer des modifications dans des délais plus courts. Les opérateurs peuvent ainsi essayer de nouveaux packages, plans ou applications, puis implémenter rapidement ceux qui fonctionnent, en abandonnant ceux qui ne s'avèrent pas satisfaisants. En fait, comme pour les nouvelles plate-formes mises en œuvre au fil des années, il existe une multitude de possibilités, et les applications les plus intéressantes ne pourront émerger qu'une fois cette plate-forme mise en place. Étape 2 : L'extraction des services des périphériques réseau et de sécurité en faveur de la création de machines virtuelles de services est la prochaine étape importante, car les services sont particulièrement mal desservis par les logiciels réseau. Les services réseau et de sécurité peuvent ainsi être redimensionnés de manière indépendante à l'aide de matériel d'architecture x86 standard, en fonction des besoins de la solution. étape 2 : extraction des services ÉTAPE 2 : EXTRACTION DES SERVICES Protocoles publiés, format ouvert si possible La centralisation du plan Gestion a plusieurs objectifs, chacun ayant une valeur significative. Vous commencez par créer un système de gestion centralisée. À l'instar des applications de cloud, ce système de gestion centralisée est installé sur des machines virtuelles d'architecture x86 qui s'exécutent sur des serveurs standard. Ces machines virtuelles sont orchestrées à l’aide de l’un des systèmes d’orchestration courants tels que VMware vCloud Director, Microsoft System Center ou OpenStack. Dans le cas d'un opérateur, ses systèmes opérationnels et commerciaux se connectent aux machines virtuelles de gestion centralisée qui configurent le réseau. De la même façon, pour un centre de données, ce même système d'orchestration (VMware vCloud Director, OpenStack, etc.) peut désormais gérer directement le réseau. La configuration est exécutée par le biais d'API et de protocoles publiés et, chaque fois que cela est possible, il s'agit de protocoles standard. Le SDN étant encore récent, de nouveaux protocoles standard continuent à être publiés, mais il est essentiel que d'autres soient créés à l'avenir. Copyright © 2013, Juniper Networks, Inc. Machines virtuelles d'applications personnalisées Machines virtuelles de gestion et d'analyse Services attachés Machines virtuelles de services Orchestration des machines virtuelles Comment faire la transition des réseaux actuels, entièrement décentralisés, vers un nouvel environnement dans lequel plusieurs éléments sont centralisés à l'aide du SDN ? Il n'est pas possible de recommencer à zéro, car les réseaux sont déjà en cours d'exécution et doivent continuer à fonctionner pendant l'introduction du SDN. Cette opération est similaire à un projet de refonte ; vous devez procéder étape par étape. Comme dans la majorité de ces projets, il existe plusieurs façons de procéder pour obtenir le résultat escompté avec le SDN. Voici quelques étapes simples vous permettant d'atteindre ce but : C con opie de figu ratio n Contrô le Transf ert La création d'une plate-forme permettant la mise en place de services à l'aide de machines virtuelles d'architecture x86 modernes ouvre tout un nouveau monde de possibilités. Par exemple, la capacité d'un pare-feu de sécurité est actuellement totalement dépendante de la puissance générale de traitement dont dispose un périphérique réseau ; le plan Transfert est considérablement plus rapide. Par conséquent, si vous parvenez à extraire les services de sécurité du périphérique, puis à les exécuter sur un parc de serveurs x86 peu coûteux, vous augmentez sensiblement leur capacité et agilité. 5 Livre blanc - Décodage du SDN Dans un premier temps, vous pouvez attacher ou reconnecter ces services à un périphérique réseau unique. Vous pouvez placer ces serveurs x86 dans un rack à proximité du périphérique réseau, ou les implémenter en tant que serveurs à lames au sein de ce même périphérique réseau. Dans les deux cas, cette étape permet d'envisager la mise en œuvre de nombreuses nouvelles applications réseau. l'aide du chaînage de services SDN, les réseaux peuvent être reconfigurés à la volée, ce qui leur permet de répondre de manière dynamique aux besoins de l'entreprise. Le chaînage de services SDN va réduire considérablement le temps nécessaire aux clients, ainsi que les coûts et les risques qu'ils encourent, lors de la conception, du test et de la livraison de nouveaux services réseau et de sécurité. Étape 3 : La création d'un contrôleur centralisé constitue une grande avancée. Le contrôleur centralisé permet à plusieurs services réseau et de sécurité de se connecter en série sur les divers périphériques du réseau. Ce procédé, appelé « chaînage de services SDN », consiste à utiliser un logiciel pour insérer de façon virtuelle les services dans le flux du trafic réseau. Pour le moment, le chaînage de services est exécuté à l'aide de périphériques réseau et de sécurité séparés. La procédure physique utilisée actuellement est rudimentaire : des périphériques distincts sont physiquement connectés via des câbles Ethernet et chaque périphérique doit être configuré de manière individuelle pour établir la chaîne de services. À Voici quelques exemples de chaînage de services SDN. Le premier exemple (fig.1) est une connexion de centre de données cloud entre Internet et un serveur Web. Dans cet exemple, le service de pare-feu dynamique protège l'application, et le contrôleur de mise à disposition d'applications (ADC) offre des fonctionnalités de répartition de charge du trafic réseau sur plusieurs instances du serveur Web. Le chaînage de services SDN permet à chaque service de la chaîne d'être redimensionné de manière souple en fonction des besoins ; la chaîne de services SDN ajuste dynamiquement les liens de la chaîne à mesure que les instances des services apparaissent et disparaissent. étape 3 : contrôleur centralisé ÉTAPE 3 : CONTRÔLEUR CENTRALISÉ Chaînage de services Machines virtuelles de gestion et d'analyse Machines virtuelles de services Orchestration du centre de données Applications personnalisées Machines virtuelles de contrôleur central Copie de configura tion rôle Co n t l loca rt Transfe fig.1 exemple 1 de chaîne de services sdn Centre de données cloud - Connexion entre Internet et un serveur Web Pare-feu dynamique Routeur Internet Exécution en tant que machine virtuelle fig.2 Le second exemple (fig.2) illustre deux composants d'une application de cloud ; dans ce cas, il s'agit d'une connexion entre les machines virtuelles du serveur Web et de niveau intermédiaire de l'application. Le trafic entre ces composants d'application doit être isolé du trafic du centre de données cloud et la charge doit être répartie entre les instances d'application à l'aide d'un service de contrôleur de mise à disposition d'applications (ADC). Avec le chaînage de services SDN, toutes ces opérations sont effectuées dans le logiciel ; la chaîne forme un réseau virtuel dans lequel les points de terminaison sont les commutateurs virtuels des hyperviseurs des serveurs qui exécutent les machines virtuelles de l'application. La chaîne de services SDN ajuste de manière dynamique les liens de la chaîne lorsque le système d'orchestration du centre de données déplace une machine virtuelle d'un serveur physique à un autre. Bien sûr, il existe toujours un réseau physique sousjacent à la chaîne de services SDN, mais il n'est plus nécessaire de le reconfigurer en cas de modifications de la chaîne. Contrôleur de mise à disposition d'applications (ADC) Hyperviseur vSwitch Serveur Web exemple 2 de chaîne de services sdn Centre de données cloud - Connexion entre les machines virtuelles du serveur Web et de niveau intermédiaire de l'application Serveur Web Exécution en tant que machine virtuelle Hyperviseur vSwitch Contrôleur de mise à disposition d'applications (ADC) Hyperviseur vSwitch Application de niveau intermédiaire Réseau physique Copyright © 2013, Juniper Networks, Inc. 6 Livre blanc - Décodage du SDN exemple 3 de chaîne de services sdn Routeur de périphérie de fournisseur de services mobiles fig.3 Routeur de périphérie Cœur de réseau EPC (Evolved Packet Core) Pare-feu dynamique Analyse en profondeur des paquets (DPI) Fonction PCEF (Policy & Charging Enforcement Function) Traducteur d'adresses réseau (NAT) de classe opérateur Routeur de périphérie Exécution en tant que machine virtuelle Dans le troisième exemple (fig.3), les deux points de terminaison de la chaîne de services SDN sont des routeurs de périphérie. Si l'application spécifique dans le routeur de périphérie de l'opérateur mobile est très différente du centre de données, l'architecture de chaînage de services SDN demeure néanmoins exactement la même. Le chaînage de services SDN accroît de manière significative la flexibilité du déploiement des services. Plus particulièrement, il permet aux périphériques réseau et de sécurité d'être gérés et mis à niveau indépendamment des services figurant dans la chaîne de services SDN. Le chaînage de services SDN permet de traiter les services comme les applications de votre téléphone portable ; le réseau peut ainsi continuer à fonctionner lors de l'installation de nouveaux services. Cela représente une avancée considérable par rapport à la situation actuelle, car ces mises à niveau ont un effet très perturbateur, ce qui requiert la planification et l'exécution de l'opération avec beaucoup de soin. Le chaînage de services SDN étant une innovation récente, les extensions aux protocoles existants ou nouveaux restent à définir. À mesure qu'elles sont disponibles, il est important qu'elles soient définies en tant que normes, afin de favoriser une plus grande interopérabilité entre les fournisseurs. Étape 4 : La dernière étape de l'optimisation du matériel réseau et de sécurité peut être effectuée parallèlement aux trois étapes précédentes. Lorsque les services sont dissociés des périphériques et que les chaînes de services SDN sont mises en place, le matériel réseau et de sécurité peut être utilisé pour optimiser les performances en fonction des besoins de la solution. Ce matériel continuera à offrir des performances de transfert au moins dix fois supérieures à celles que le logiciel seul est en mesure de fournir. L'association d'un matériel Copyright © 2013, Juniper Networks, Inc. étape 4 : optimisation matériel ÉTAPE 4 : OPTIMISATION DUdu MATÉRIEL Applications personnalisées Chaînage de services Machines virtuelles de gestion et d'analyse Machines virtuelles de services Orchestration du centre de données Si les deux premiers exemples de chaînes de services SDN s'appliquent au centre de données cloud, le troisième se rapporte à un domaine entièrement différent, à savoir le routeur de périphérie d'un opérateur mobile. Dans ce cas, le trafic réseau provient d'une tour relais de téléphonie mobile et transite par un routeur de périphérie, puis une série d'opérations successives sont exécutées. Le cœur de réseau EPC (Evolved Packet Core) extrait les sessions IP des tunnels réseau connectés aux stations de base de la tour relais de téléphonie mobile. Ce trafic est immédiatement analysé et protégé par un pare-feu dynamique. L'analyse en profondeur des paquets (DPI) permet de déterminer les tendances du trafic et de générer des informations d'analyse. La fonction PCEF (Policy Charging and Enforcement Function) applique les stratégies spécifiques aux abonnés, par exemple l'amélioration de la qualité de service pour les abonnés Premium. Enfin, lorsque le trafic se dirige vers Internet, un traducteur d'adresses réseau (NAT) de classe opérateur lui fournit une adresse IP. Machines virtuelles de contrôleur central Copie de configuration Contrôle local Transfert optimisé optimisé et du chaînage de services SDN permet aux clients d'implémenter les meilleurs réseaux possibles. La séparation des quatre plans permet d'identifier les fonctionnalités susceptibles d'être optimisées dans le matériel de transfert. Cela représente un important potentiel d'innovation pour la conception des systèmes et circuits intégrés spécialisés (ASIC) des périphériques réseau et de sécurité. Si un serveur x86 est destiné à un usage général, les ASIC se trouvant dans les périphériques réseau sont optimisés afin d'acheminer le trafic réseau à des vitesses très élevées. Ce matériel va évoluer et devenir plus performant ; ainsi, chaque fois que vous déplacez un élément d'un logiciel vers un ASIC, vous pouvez obtenir des performances au moins dix fois supérieures. Pour ce faire, une stricte coordination est requise entre la conception de l'ASIC, les systèmes matériels et le logiciel proprement dit. À mesure que le SDN se généralise, la possibilité d'optimiser le matériel offrira de nombreuses opportunités aux fournisseurs de systèmes réseau et de sécurité. Résumé Le SDN représente un changement majeur dans les domaines des réseaux et de la sécurité. Son impact s'étendra bien au-delà du centre de données et il est donc déjà beaucoup plus important que beaucoup ne le prédisaient. Il y aura des gagnants mais aussi des perdants. De nouvelles entreprises relèveront avec succès le défi, tandis que quelques entreprises historiques peineront à franchir le cap de la transition. Mais, comme pour toutes les grandes tendances de l'industrie, les avantages pour les clients sont indéniables et nous avons atteint le point charnière où l'évolution technologique devient une évidence. 7 Livre blanc - Décodage du SDN Siège social et distribution mondiale Juniper Networks, inc. 1194 North Mathilda Avenue Sunnyvale, CA 94089 États-Unis Téléphone : 888.JUNIPER (888.586.4737) ou 408.745.2000 Fax : 408.745.2100 www.juniper.net Sièges sociaux zone Asie/ Pacifique Juniper Networks (Hong Kong) 26/F, Cityplaza One 1111 King’s Road Taikoo Shing, Hong Kong Téléphone : 852.2332.3636 Fax : 852.2574.7803 Sièges sociaux zone EMEA Juniper Networks Ireland Airside Business Park Swords, County Dublin, Irlande Téléphone : 35.31.8903,600 Service des ventes EMEA : 00800.4586.4737 Fax : 35.31.8903,601 Pour acheter les solutions Juniper Networks, contactez votre interlocuteur commercial Juniper Networks au +33 1 47 75 61 00 ou un revendeur agréé. Copyright 2012 Juniper Networks, Inc. Tous droits réservés. Juniper Networks, le logo Juniper Networks logo, Junos, NetScreen et ScreenOS sont des marques déposées de Juniper Networks, Inc. aux États-Unis et dans d'autres pays. Toutes les autres marques commerciales, marques de service, marques déposées ou marques de service déposées sont la propriété de leurs détenteurs respectifs. Juniper Networks décline toute responsabilité quant aux éventuelles inexactitudes présentes dans ce document. Juniper Networks se réserve le droit de modifier, transférer ou réviser de toute autre manière la présente publication sans avertissement préalable. Copyright © 2013, Juniper Networks, Inc. 8