AccueilCCNARéseau basé sur l'intention

Réseau basé sur l’intention

0
165256

Introduction aux nouveaux paradigmes réseau

La ver­sion CCNA 1.1 intro­duit ces concepts qui révo­lu­tionnent le domaine des réseaux. L’ap­proche réseau moderne repose sur une abs­trac­tion plus pous­sée, une cen­tra­li­sa­tion du contrôle et une auto­ma­ti­sa­tion accrue.

Intent-Based Networking (IBN) : Fondements et principes

Le réseau basé sur l’in­ten­tion (Intent-Based Net­wor­king) repré­sente un chan­ge­ment radi­cal dans la façon dont nous conce­vons et gérons les réseaux. Contrai­re­ment aux approches tra­di­tion­nelles où l’ad­mi­nis­tra­teur réseau doit tra­duire manuel­le­ment des besoins métiers en confi­gu­ra­tions tech­niques spé­ci­fiques, l’IBN pro­pose un modèle où l’ad­mi­nis­tra­teur exprime sim­ple­ment l’in­ten­tion ou le résul­tat sou­hai­té, et le sys­tème se charge d’im­plé­men­ter auto­ma­ti­que­ment les confi­gu­ra­tions nécessaires.

Définition et concept fondamental

L’IBN peut être défi­ni comme une approche de ges­tion réseau dans laquelle l’ad­mi­nis­tra­teur spé­ci­fie ce que le réseau doit accom­plir (l’in­ten­tion), plu­tôt que com­ment il doit être confi­gu­ré. Le sys­tème tra­duit ensuite cette inten­tion en confi­gu­ra­tions spé­ci­fiques, les déploie, puis véri­fie conti­nuel­le­ment que le résul­tat obte­nu cor­res­pond bien à l’in­ten­tion exprimée.

Par exemple, au lieu de confi­gu­rer manuel­le­ment des VLANs, des ACLs et des stra­té­gies QoS pour iso­ler le tra­fic d’un dépar­te­ment spé­ci­fique, l’ad­mi­nis­tra­teur pour­rait sim­ple­ment décla­rer : « Le dépar­te­ment finan­cier doit avoir un accès sécu­ri­sé aux ser­veurs de comp­ta­bi­li­té avec une prio­ri­té éle­vée pour les appli­ca­tions ERP. »

Le cycle de vie IBN

L’IBN fonc­tionne selon un cycle conti­nu com­po­sé de quatre phases principales :

  1. Tra­duc­tion de l’in­ten­tion : Conver­sion des exi­gences métiers expri­mées en lan­gage natu­rel en poli­tiques et modèles réseau exploi­tables par le système.
  2. Acti­va­tion : Déploie­ment auto­ma­ti­sé des confi­gu­ra­tions sur l’en­semble des équi­pe­ments concer­nés pour mettre en œuvre les poli­tiques déri­vées de l’intention.
  3. Assu­rance : Sur­veillance conti­nue du réseau pour véri­fier que son com­por­te­ment cor­res­pond bien à l’in­ten­tion ini­tiale, avec détec­tion des écarts éventuels.
  4. Cor­rec­tion auto­ma­tique : Ajus­te­ment auto­ma­tique des confi­gu­ra­tions en cas d’é­cart détec­té entre l’é­tat réel du réseau et l’in­ten­tion déclarée.

Ce cycle conti­nu per­met de main­te­nir le réseau ali­gné avec les besoins métiers même lorsque la topo­lo­gie ou les condi­tions changent.

Avantages par rapport aux approches traditionnelles

L’IBN pré­sente plu­sieurs avan­tages déci­sifs par rap­port aux méthodes de ges­tion réseau conventionnelles :

  • Réduc­tion de la com­plexi­té opé­ra­tion­nelle : Les admi­nis­tra­teurs n’ont plus besoin de maî­tri­ser les détails tech­niques de chaque pro­to­cole ou équi­pe­ment pour implé­men­ter une poli­tique réseau.
  • Agi­li­té accrue : Les modi­fi­ca­tions réseau peuvent être mises en œuvre beau­coup plus rapi­de­ment, per­met­tant une meilleure réac­ti­vi­té aux besoins métiers.
  • Cohé­rence des poli­tiques : L’in­ten­tion est appli­quée de manière uni­forme sur l’en­semble du réseau, rédui­sant les risques d’er­reurs de configuration.
  • Confor­mi­té conti­nue : La boucle de rétro­ac­tion assure que le réseau reste conforme aux inten­tions spé­ci­fiées, même face aux chan­ge­ments environnementaux.
  • Réduc­tion des erreurs humaines : L’au­to­ma­ti­sa­tion de la tra­duc­tion et du déploie­ment des confi­gu­ra­tions réduit signi­fi­ca­ti­ve­ment le risque d’er­reurs manuelles.

Cisco DNA Center comme implémentation d’IBN

Cis­co DNA Cen­ter est un exemple concret de pla­te­forme IBN. Cette solu­tion offre une inter­face per­met­tant aux admi­nis­tra­teurs d’ex­pri­mer leurs inten­tions à tra­vers une console cen­tra­li­sée. Par exemple :

Dans Cis­co DNA Cen­ter, un admi­nis­tra­teur peut défi­nir une poli­tique de « contrôle d’ac­cès basé sur les rôles » indi­quant sim­ple­ment que « les employés du ser­vice mar­ke­ting peuvent accé­der aux ser­veurs web et aux outils d’a­na­lyse de don­nées, mais pas aux ser­veurs finan­ciers ». Le sys­tème se charge ensuite de tra­duire cette poli­tique en confi­gu­ra­tions tech­niques spé­ci­fiques (VLANs, ACLs, etc.) et de les déployer sur tous les équi­pe­ments concer­nés. C’est beau quand même !

La pla­te­forme assure éga­le­ment le sui­vi en conti­nu de l’é­tat du réseau, véri­fiant que les poli­tiques défi­nies sont cor­rec­te­ment appli­quées et res­pec­tées. En cas d’é­cart, elle peut aler­ter l’ad­mi­nis­tra­teur ou même prendre des mesures cor­rec­tives automatiques.

Software-Defined Networking (SDN) : Architecture et fonctionnement

Le SDN (Soft­ware-Defi­ned Net­wor­king) consti­tue l’un des fon­de­ments tech­no­lo­giques qui ont per­mis l’é­mer­gence de l’IBN. Cette archi­tec­ture sépare le plan de contrôle (les déci­sions sur le rou­tage du tra­fic) du plan de don­nées (le trans­fert effec­tif des paquets), créant ain­si une infra­struc­ture réseau plus pro­gram­mable et flexible.

Architecture à trois couches

L’ar­chi­tec­ture SDN s’ar­ti­cule autour de trois couches distinctes :

  1. Couche d’ap­pli­ca­tion : Elle com­prend les appli­ca­tions réseau et les ser­vices qui expriment les com­por­te­ments réseau sou­hai­tés via des API.
  2. Couche de contrôle : C’est le cœur du SDN, consti­tué par le contrô­leur qui main­tient une vue glo­bale du réseau et tra­duit les demandes des appli­ca­tions en ins­truc­tions pour les équipements.
  3. Couche d’in­fra­struc­ture : Elle est com­po­sée des équi­pe­ments phy­siques ou vir­tuels qui effec­tuent le trans­fert des paquets selon les ins­truc­tions reçues du contrôleur.

Interfaces northbound et southbound

La com­mu­ni­ca­tion entre ces dif­fé­rentes couches s’ef­fec­tue via deux types d’interfaces :

  • Inter­faces nor­th­bound : APIs per­met­tant aux appli­ca­tions de com­mu­ni­quer avec le contrô­leur SDN pour expri­mer leurs besoins en termes de ser­vices réseau. Ces inter­faces sont géné­ra­le­ment RES­T­ful et uti­lisent des for­mats comme JSON ou XML.
  • Inter­faces sou­th­bound : Pro­to­coles per­met­tant au contrô­leur de com­mu­ni­quer avec les équi­pe­ments de la couche infra­struc­ture pour confi­gu­rer leur com­por­te­ment. Open­Flow est l’exemple le plus connu, mais d’autres pro­to­coles comme NETCONF ou OVSDB sont éga­le­ment utilisés.

Comparaison avec les réseaux traditionnels

Dans un réseau tra­di­tion­nel, chaque équi­pe­ment (rou­teur, com­mu­ta­teur) pos­sède son propre plan de contrôle et prend des déci­sions de rou­tage de manière auto­nome sur la base d’in­for­ma­tions locales. Cette approche dis­tri­buée pré­sente plu­sieurs limitations :

  • Com­plexi­té de confi­gu­ra­tion, chaque équi­pe­ment devant être confi­gu­ré individuellement
  • Manque de visi­bi­li­té glo­bale sur l’é­tat du réseau
  • Dif­fi­cul­té à mettre en œuvre des poli­tiques cohé­rentes à l’é­chelle du réseau
  • Adap­ta­bi­li­té limi­tée aux chan­ge­ments rapides des besoins applicatifs

Le SDN résout ces pro­blèmes en cen­tra­li­sant l’in­tel­li­gence de contrôle et en ren­dant le réseau pro­gram­mable via des inter­faces stan­dar­di­sées, faci­li­tant ain­si l’au­to­ma­ti­sa­tion et per­met­tant une adap­ta­tion plus rapide aux besoins métiers.

Impact sur les opérations réseau

L’a­dop­tion du SDN trans­forme les opé­ra­tions réseau quo­ti­diennes de plu­sieurs façons :

  • Auto­ma­ti­sa­tion accrue : Les modi­fi­ca­tions réseau peuvent être déployées par pro­gram­ma­tion plu­tôt que manuellement.
  • Pro­vi­sion­ne­ment à la demande : Les ser­vices réseau peuvent être créés, modi­fiés ou sup­pri­més en fonc­tion des besoins, sans inter­ven­tion manuelle sur les équipements.
  • Ges­tion cen­tra­li­sée : L’en­semble du réseau peut être visua­li­sé et géré depuis une console unique.
  • Tests sim­pli­fiés : Les chan­ge­ments peuvent être simu­lés et vali­dés avant déploiement.
  • Évo­lu­tion des com­pé­tences : Les équipes réseau doivent désor­mais maî­tri­ser la pro­gram­ma­tion et les API en plus des pro­to­coles réseau traditionnels.

Architectures Overlay-Underlay : Concepts et avantages

L’ar­chi­tec­ture over­lay-under­lay est une approche qui sim­pli­fie la ges­tion des réseaux com­plexes en créant une sépa­ra­tion entre les ser­vices réseau logiques (over­lay) et l’infra­struc­ture phy­sique sous-jacente (under­lay).

Concepts de base

Dans ce modèle architectural :

  • Réseau under­lay : C’est l’in­fra­struc­ture phy­sique qui assure la connec­ti­vi­té de base. Il s’a­git géné­ra­le­ment d’un réseau opti­mi­sé pour les per­for­mances et la fia­bi­li­té, uti­li­sant des pro­to­coles comme IS-IS, OSPF ou BGP.
  • Réseau over­lay : C’est un réseau logique construit par-des­sus l’un­der­lay, qui four­nit les ser­vices réseau aux appli­ca­tions et uti­li­sa­teurs finaux. Ce réseau vir­tuel est créé par encap­su­la­tion des paquets ori­gi­naux dans des tun­nels tra­ver­sant le réseau underlay.

Cette sépa­ra­tion per­met d’é­vo­luer indé­pen­dam­ment sur chaque couche : on peut modi­fier les ser­vices dans l’o­ver­lay sans tou­cher à l’in­fra­struc­ture phy­sique, et inver­se­ment, on peut faire évo­luer l’in­fra­struc­ture sans per­tur­ber les services.

VXLAN (Virtual Extensible LAN)

VXLAN est l’une des tech­no­lo­gies d’en­cap­su­la­tion les plus uti­li­sées pour créer des réseaux over­lay. Elle a été conçue pour résoudre les limi­ta­tions des VLANs traditionnels :

  • Elle étend l’es­pace d’a­dres­sage de 4096 VLANs (limi­ta­tion du stan­dard 802.1Q) à plus de 16 mil­lions de réseaux logiques grâce à un iden­ti­fiant VXLAN (VNI) de 24 bits.
  • Elle per­met d’é­tendre les seg­ments de Layer 2 à tra­vers des réseaux Layer 3, faci­li­tant ain­si la mobi­li­té des machines vir­tuelles entre dif­fé­rents datacenters.

Fonctionnement de l’encapsulation VXLAN

Le pro­ces­sus d’en­cap­su­la­tion VXLAN consiste à prendre la trame Ether­net ori­gi­nale et à l’en­cap­su­ler dans un paquet UDP :

  1. La trame Ether­net Layer 2 est encap­su­lée avec un en-tête VXLAN qui inclut le VNI.
  2. Cet ensemble est ensuite encap­su­lé dans un paquet UDP avec le port de des­ti­na­tion 4789.
  3. Le paquet UDP est lui-même encap­su­lé dans un paquet IP qui peut être rou­té à tra­vers l’in­fra­struc­ture underlay.
  4. À l’ar­ri­vée, le pro­ces­sus inverse (décap­su­la­tion) est effec­tué pour récu­pé­rer la trame Ether­net originale.

Cette approche per­met de trans­por­ter des seg­ments Layer 2 sur des réseaux Layer 3, offrant ain­si la flexi­bi­li­té du rou­tage IP tout en pré­ser­vant les avan­tages de la com­mu­ta­tion Ethernet.

Avantages des architectures overlay-underlay

Cette approche archi­tec­tu­rale pré­sente plu­sieurs avan­tages majeurs :

  • Évo­lu­ti­vi­té supé­rieure : L’o­ver­lay n’est pas limi­té par les contraintes phy­siques de l’un­der­lay, per­met­tant de créer un nombre beau­coup plus impor­tant de seg­ments réseau.
  • Flexi­bi­li­té accrue : Les topo­lo­gies logiques peuvent être créées indé­pen­dam­ment de la topo­lo­gie phy­sique, offrant une grande liber­té de conception.
  • Iso­la­tion des défaillances : Les pro­blèmes dans l’un­der­lay n’af­fectent pas néces­sai­re­ment l’o­ver­lay si des che­mins alter­na­tifs existent.
  • Sim­pli­fi­ca­tion de la ges­tion : L’un­der­lay peut res­ter rela­ti­ve­ment stable et simple, tan­dis que la com­plexi­té des ser­vices est gérée au niveau de l’overlay.
  • Migra­tion faci­li­tée : Les chan­ge­ments d’in­fra­struc­ture peuvent être réa­li­sés sans impact sur les ser­vices, faci­li­tant les évo­lu­tions technologiques.
  • Mul­ti-loca­taire : Plu­sieurs réseaux clients tota­le­ment iso­lés peuvent coexis­ter sur la même infra­struc­ture physique.

Mise en œuvre pratique et tendances futures

Implémentations courantes

Plu­sieurs solu­tions com­mer­ciales et open source implé­mentent ces concepts d’ar­chi­tec­ture moderne :

  • Cis­co ACI (Appli­ca­tion Cen­tric Infra­struc­ture) : Solu­tion com­plète com­bi­nant SDN, IBN et archi­tec­ture over­lay-under­lay, cen­trée sur les besoins applicatifs.
  • VMware NSX : Pla­te­forme de vir­tua­li­sa­tion réseau qui crée un over­lay com­plet sur une infra­struc­ture phy­sique existante.
  • OpenS­tack Neu­tron : Com­po­sant réseau du pro­jet OpenS­tack qui uti­lise les prin­cipes SDN pour four­nir des ser­vices réseau aux envi­ron­ne­ments cloud.
  • Open Net­wor­king Foun­da­tion (ONF) : Orga­ni­sa­tion qui déve­loppe et pro­meut des stan­dards ouverts pour le SDN, comme OpenFlow.

Stratégies d’adoption et transition

La tran­si­tion vers ces archi­tec­tures modernes néces­site une approche progressive :

  1. Éva­lua­tion et pla­ni­fi­ca­tion : Iden­ti­fi­ca­tion des cas d’u­sage prio­ri­taires et défi­ni­tion d’une archi­tec­ture cible.
  2. Déploie­ment par îlots : Mise en œuvre ini­tiale dans des seg­ments iso­lés du réseau pour acqué­rir de l’expérience.
  3. Déve­lop­pe­ment des com­pé­tences : For­ma­tion des équipes aux nou­velles tech­no­lo­gies et métho­do­lo­gies (pro­gram­ma­tion, API, automatisation).
  4. Inté­gra­tion avec l’exis­tant : Éta­blis­se­ment de pas­se­relles entre les nou­veaux envi­ron­ne­ments et l’in­fra­struc­ture traditionnelle.
  5. Exten­sion pro­gres­sive : Élar­gis­se­ment du péri­mètre cou­vert par les nou­velles archi­tec­tures en fonc­tion des retours d’expérience.

Tendances et évolutions futures

Les archi­tec­tures réseau conti­nuent d’é­vo­luer, avec plu­sieurs ten­dances émergentes :

  • Inté­gra­tion de l’in­tel­li­gence arti­fi­cielle : Uti­li­sa­tion du machine lear­ning pour opti­mi­ser auto­ma­ti­que­ment les confi­gu­ra­tions réseau et pré­dire les pro­blèmes potentiels.
  • Edge Com­pu­ting : Exten­sion des concepts SDN et IBN vers la péri­phé­rie du réseau pour sup­por­ter les appli­ca­tions à faible latence.
  • Net­work as Code : Approche où l’in­fra­struc­ture réseau est entiè­re­ment défi­nie et gérée comme du code source, per­met­tant l’ap­pli­ca­tion des prin­cipes DevOps aux réseaux.
  • Réseaux auto­nomes : Évo­lu­tion vers des réseaux capables de s’au­to-confi­gu­rer, s’au­to-opti­mi­ser et s’au­to-répa­rer avec une inter­ven­tion humaine minimale.

Conclusion

Les archi­tec­tures réseau modernes comme l’Intent-Based Net­wor­king, le Soft­ware-Defi­ned Net­wor­king et les modèles over­lay-under­lay trans­forment pro­fon­dé­ment notre approche des réseaux. En sépa­rant l’in­ten­tion des détails tech­niques, en cen­tra­li­sant le contrôle et en vir­tua­li­sant les ser­vices, ces archi­tec­tures offrent une flexi­bi­li­té, une agi­li­té et une évo­lu­ti­vi­té sans précédent.

C’est cela qu’il faut savoir pour la cer­ti­fi­ca­tion CCNA !

Article précédent
Programmation réseau
Article suivant
Évolution de la sécurité des réseaux

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Les plus populaires

Voir plus

©2024 Réussir son CCNA — reussirsonccna.fr. Tous droits réservés.
Mentions légales