Réseau

Télétravail oblige : accélération des transformations grâce au SDN !

Les Entreprises se transforment. Les besoins évoluent. La situation sanitaire que nous vivons tous impose une accélération de cette transformation, notamment par la mise en place du télétravail.

Les infrastructures IT doivent donc s’adapter afin que l’Entreprise conserve toute son efficacité opérationnelle. Cela est particulièrement critique pour le réseau car en quelques mois, une majorité significative des collaborateurs a changé de lieu de travail du fait de la situation actuelle.

Notre propos est d’expliquer ici pourquoi le réseau d’entreprise doit évoluer afin de s’assurer que la mobilité soudaine d’un grand nombre de collaborateurs n’impacte pas les activités Métier de l’entreprise.

Nous pouvons ici souligner l’intérêt d’une approche de type Software Defined Networking (SDN). Cette approche est un premier pas mais doit être complétée par une évolution plus complète vers ce que Cisco nomme « l’Intent-Based Networking » (IBN) ou « Réseau piloté par l’Intention ».

Faisons référence à la situation sanitaire actuelle pour partager un cas d’usage de SDN particulièrement intéressant.

I) Quid d’un réseau piloté par logiciel ?
Exemple de gestion du télétravail réussie grâce au SDN : une téléconférence à échelle internationale

A) Les challenges de la mise en place de la téléconférence
Je vous avais présenté, dans un article sur ce même blog (lien), l’offre ACI de Cisco disposant de toutes les caractéristiques attendues d’une solution de type SDN pour des besoins des datacenters. Etudions maintenant les bénéfices pour l’entreprise de cette approche SDN de façon plus large, avec un exemple concret : une entreprise décide un changement radical dans la façon dont les employés travaillent en basculant massivement vers le télétravail.

Une communication via visio-conférence doit se faire le jour même. Elle a pour objectif de discuter des nouvelles réglementations imposées par les différents gouvernements locaux dans les pays où est implantée l’entreprise. L’équipe IT doit donc s’assurer que le flux de cette visio-conférence à destination de l’ensemble des collaborateurs sera prioritaire. Cela pendant la plage horaire prévue, au détriment de tout autre trafic réseau. La bande passante devra toutefois être garantie pour les flux de production les plus critiques. Le réseau de l’entreprise en question comprend :

  • De grands campus, dont certains sites industriels ne supportant que des flux critiques
  • Des sites distants dans divers pays avec des bandes passantes limitées

B) La solution SDN apportée
La totalité du réseau doit donc être reconfigurée pour les grands Campus et les sites déportés, durant les deux heures de la réunion virtuelle. Puis, il faudra revenir en fonctionnement nominal immédiatement après la fin de cette conférence.

Seule une infrastructure de type SDN est capable d’adresser une telle demande. Cette dernière se caractérise par :

  • la mise en place de la Qualité de Service de façon instantanée afin de prioritiser une application donnée à un instant t
  • la capacité à revenir ensuite à un état standard

II) Définition d’une infrastructure SDN Software Defined Networking

A ) Composition d’une architecture SDN
L’infrastructure Réseau d’un environnement informatique est généralement répartie sur un ou plusieurs campus, un ou plusieurs Data Centers (privés ou en Cloud) et doit connecter des sites distants. Le tout s’appuie sur des routeurs et des commutateurs dont les mécanismes de Qualité de Service peuvent être de nature très différente, hiérarchique ou modulaire. Il est donc impossible d’intervenir sur chacun des composants.

Une infrastructure de type Software Defined Networking est composée des trois éléments suivants :

  • L’Orchestrateur (ou contrôleur) : le « cerveau » qui va recevoir une demande (prioritisation du flux Visio) et la transformer pour qu’elle soit comprise par le reste de l’infrastructure,
  • Le Control Plane : le « système nerveux » qui va recevoir les ordres du cerveau et assurer la transmission vers les éléments actifs,
  • Le Data Plane : les « muscles », soit les routeurs, commutateurs, points d’accès WiFi qui vont se configurer selon les ordres reçus via le Control Plane et commuter / router les données.

B) Exemple de mise en place via un cas d’usage

  • L’administrateur va définir dans le contrôleur SDN que l’application de visioconférence est critique.
  • Le contrôleur va pousser les ordres de configuration à la totalité des éléments actifs du réseau afin de traiter ces flux de visioconférence avec la Qualité de Service voulue.

L’administrateur réseau ne se connectera jamais directement sur aucun des commutateurs du Réseau pour le configurer. Il y a donc bien décorrélation entre la demande et l’action.
Cette approche est illustrée dans le schéma ci-après :

III) Comment fonctionne le SDN  ?

L’efficacité de cette approche est rendue possible grâce à 3 principes fondamentaux :

A) L’automatisation :
Tous les composants d’infrastructure sont programmables, soit en mode « do-it-yourself » via des frameworks IaC (Infra-as-Code) comme Ansible ou Terraform, soit via le Contrôleur SDN.
Cette automatisation apporte à l’infrastructure réseau l’agilité qui lui permet d’assurer une réactivité immédiate.

B) La visibilité et la télémétrie :
Ces mêmes composants vont remonter toutes les données nécessaires à la prise de décision dans le cadre de l’automatisation ci-dessus. Tout cela se base sur des mécanismes dIA embarqués dans les fonctions de prise de décision.

C) La sécurité :
Tout composant du Système d’Information doit disposer aujourd’hui de réflexes de Sécurité dans le cadre d’une approche Zero-Trust.
Cette évolution pourra se faire de façon douce selon le cheminement suivant :
A minima, les éléments d’infrastructure mettent en œuvre de la micro-segmentation afin d’isoler les divers environnements, jusqu’à l’entité unitaire qu’est le collaborateur. Mais ils sont également à même d’implémenter des règles de sécurité selon des directives reçues directement des outils dédiés sécurité.

Sur ce dernier point, nous rentrons directement dans l’approche SASE (Secure Access Service Edge) selon la terminologie du Gartner avec un couplage « connectique-sécurité » sur lequel nous reviendrons prochainement.

IV ) Comment m’assurer que tout cela est distribué par rapport à la mobilité des collaborateurs ?

Grâce au SDN « augmenté » : le réseau basé sur l’intention !

L’utilisateur sur le site distant, ou même en « home office », cas de plus en plus fréquent, va transiter via son branch office local, ou directement depuis chez lui. Dans les deux cas ce sera via la WAN, pour arriver à l’application hébergée dans le datacenter.

Si cette application est localisée dans un Cloud Public soit en mode IaaS ou SaaS, cas également de plus en plus fréquent, l’accès de l’utilisateur transitera à minima par le WAN.

Le collaborateur va donc accéder à son application potentiellement via :

  • un réseau LAN sur le Campus
  • un réseau WAN
  • un réseau du Data Center

Soit 3 réseaux distincts avec chacun son orchestrateur.

Il n’existe pas, à ce jour, de contrôleur unique. Cela du fait de la multiplicité des cas d’usages qui peuvent être très différents pour chacun des réseaux.

Cette approche de Réseau basée sur l’intention n’est possible que par une abstraction totale entre :

  • le collaborateur
  • sa localisation géographique
  • le terminal utilisé (smartphone, tablette, ordinateur de bureau)
  • l’application accédée et sa localisation (dans le Data Center privé ou dans un Cloud)
  • les composants réseau pour le transit des flux

Ce schéma résume cette évolution de l’infrastructure réseau :

Le lien entre un utilisateur et son couple VLAN / @IP, gravé historiquement dans le marbre au sein du Réseau, n’a plus cours. Seule l’identité de l’utilisateur fait foi dans une approche basée sur l’Intention.

L’abstraction entre les différents composants ci-dessus permet d’attacher des règles de sécurité et d’Expérience Utilisateur (QoS) au collaborateur indépendamment de toute localisation géographique et d’assurer de ce fait une mobilité totale.

Ainsi, l’abstraction entre le couple Utilisateur / Application et le Réseau de transport, couplée aux 3 piliers fondamentaux que sont Automatisation / Visibilité / Sécurité permettent de franchir ce pas d’un simple Réseau de type SDN vers un Réseau basé sur l’Intention.

C’est ce qui permet de passer des règles entre les différents réseaux afin d’identifier le flux d’un collaborateur vers son application.

La gestion des règles est dévolue à l’ISE, pour Identity Service Engine. ISE est le serveur RADIUS historique de Cisco. C’est également un remarquable repository de Policies.

Ainsi, où que se trouve le collaborateur, quel que soit le terminal qu’il utilise et l’application à laquelle il accède, il sera reconnu et traité par le Réseau selon ses droits.

 

A suivre :

Le prochain article présentera les différents mécanismes qui assurent la cohérence de l’abstraction en garantissant le passage des règles de façon transparente entre les différents Réseaux.

Nous verrons ensuite comment étendre les Réseaux de type WAN et Data Center jusque dans les grands Clouds Publics.

Un autre article de cette série concernera la supervision des composants d’infrastructure (WAN / LAN et DC) par le triptyque Open Source TIG (Telegraf, InfluxDB et Grafana).

Je vous invite à lire ou à relire mon article sur le SDN Cisco ACI (lien).




Une question ? Un projet ?
Hervé CASTAN
Business Development Manager Grand Sud chez SCASICOMP
hcastan@scasicomp.com

Laisser un commentaire