Réseaux Opérateurs

--- title: Réseaux Opérateurs tags: I5 author: Rémi {Hyperion} Maubanc --- Réseaux Opérateurs (SD-WAN) === Adresse e-mail : jbcaron@axians.com SD-WAN : Software Define Wide Area Network ### Support Physique : - Fibre - Noire : qui nous appartient, c'est celle qu'on éclaire nous même - Opérée : On injecte nos informations sur Ethernet et un opérateur se charge de l'envoyer sur la fibre - Cuivre - Satellite - 4G/5G ### Offre Opérateurs - MPLS (OSI lvl 2-3) - Connectivité privée pour interconnecter des sites. L'opérateur gère le routage, la sécurité... - Onéreux (8 Mbits symétrique chez Orange : 150€/mois) - Internet - Connectivité vers un réseau publique - Economique - Nécessite un VPN pour interconnecter les sites de manière sécurisée ## Rappel sur les réseaux WAN Dès que les utilisateurs d'une entreprise multisites ont besoin d'échanger des données entre peux via des applications internets autres que les mails, la mise en place d'un WAN pour interconnecter les utilisateurs à ces applications entreprise est conseillée, car cela permet une meilleure confidentialisté des données échangées, une productivité habituellement accrue des utilisateurs et une meilleure sécurité du système d'information. Pour construire un WAN, deux familles de VPN sont couramment utilisées : - Les **VPN IPSec** sont basés sur des tunnels chiffrés qui s'appuient eux-mêmes sur des accès Internet achetés localement. Ils sont peu couteux, rapide à mettre en place - Les **VPN MPLS** (Multi Protocol Label Switching) sont basés sur une infrastructure d'opérateur, étanche vis à vis d'Internet. Ils offrent habituellement un haut niveau de qualité de serrvice, avec de nombreuses garanties : sécurité, confidentialité, acheminement des données avec des taux de perte d'information faibles, priorisation des applications,... Ils coutent cependant plus cher en terme de débit, et les délais de mise en service ou de modification sont relativement long. ![](https://www.brimbelle.org/mattieu/projects/bgpmpls/schemas/vpnbase.png) ## SDN : Data Plane VS Controle Plane ### Plan de contrôle Dans le plan de controle, on retrouve toutes les fonctions et processus qui déterminent le chemin à utiliser pour envoyer le paquet ou la trame. Le plan de controle est chargé de remplir la table de routage/commutation, de dessiner la topologie du réseau, la table de transfert et donc d'activer les fonctions du plan de données. ### Plan de données Le plan de données fait référence à toutes les fonctions et processus qui transfèrent les paquets /trames d'une interface à une autre en fonction de la logique du plan de controle. La table de routage, table de commutation et la logique de routage et les trames entrantes et sortantes sont traitées en fonction de la logique du plan de controle. Cela signifie qu'il est responsable du déplacement des paquets de la source à la destination. ### Résumé ![](https://i.imgur.com/92QQtZZ.png) ## L'évolution vers le SD-WAN Deux phénomènes amènent les réseaux WAN à devoir s'adatper : Il s'agit tout d'abord de la migration des applications vers le Cloud, en mode SaaS ou bien sur les datacenters privés des entreprises. Ce processus est souvent engagé mais le nombre d'applications disponibles sous cette forme est tel que les effets de ce phénomène s'amplifient. Parmi les acteurs reconnus on trouve bien entendu Cisco Webex, Microsoft Office 365, Google Apps, Skype, Amazon,... Ces services digitalisent les sites distants et amènent de nouveaux usages comme le "guest access", c'est à dire la fourniture de connectivité WiFi aux clients, la distribution de la vidéo pour des usages variés (écrans, formation, évènements internes en direct), des applications portées sur tablettes ou smartphones... A ces deux catégories de phénomènes s'ajoute l'augmentation de la consommation des ressources Internet depuis le poste de travail pour des usages professionnels mais aussi loisir. Le réseau doit donc être redéfini pour absorber ces nouvelles tendances : - Visibilité applicative et gestion des performances par application - gestion de plusieurs accès WAN en mode actif-actif (le lien principal et de secours fonctionnent simultanément) ![](https://i.imgur.com/NhlAwEN.png) - possibilité d'accéder à l'internet directement depuis le site distant sans repasser par le datacenter Le WAN évolue donc plus que jamais pour permettre de garantir performance et sécurité des applications, bien au-delà de la simple connectivité. Le SD-WAN est la réponse affichée à ces tendances observées. Il est question de mettre le WAN au service des applications tout en simplifiant son management. ### Les 10 critères d'une solution SD-WAN 1. **Gestion de plusieurs liens actifs (publics et privés)** Contrairement à un routage traditionnel qui va gérer les liens en partage de charge simple (ECMP) ou en mode actif/passif, il doit être possible ici de répartir la charge intelligemment le trafic sur divers liens en tenant compte de leur utilisation réelle. L'objectif ici est de permettre d'utiliser le maximum de la capacité disponible. 2. **WAN construit sur des équipements physiques et virtuels** La virtualisation des fonctions réseau sur les sites distants est une nouvelle tendance qui a gagné en maturité et qui risque de s'accélérer ces prochaines années. 3. **WAN hybride sécurisé permettant d'appliquer une ingénieurue de trafic par application, prenant en compte la performance des liens** L'interconnexion des sites doit pouvoir être faire sur tout type de transport (fibre, cuivre...) et les connexions doivent être systématiquement chiffrées (même sur le MPLS). Un "overlay", réseau virtuel à base de tunnels chiffrés (aussi appelé VPN) est construit sur les infrastructures physique, masquant les disparités entre ces dernières. Des règles d'ingénieurie de trafic doivent pouvoir être mises en oeubre sur cet "overlay". ![](https://i.imgur.com/BlGal0f.png) A ce jour la plupart des organisations souhaitent continuer à router les appications critiques et temps réel sur les liaisons WAN traditionnelles (réseaux MPLS-VPN) et router le reste sur les liaisons Internet à moindre coût. En cas de problème de performance (par exemple une augmentation de la latence sur le lien MPLS-VPN) le trafic est automatiquement re-routé. 4. **Visibilité et priorisation des appications critiques et temps réel selon les règles définies** Une solution SD-WAN doit reconnaitre les applications, bien au-delà de simples ports TCP/UDP. On parle de DPI ou Deep Packet Inspection. Les règles de QoS sont appliquées sur les divers liens selon les applcations 5. Architecture hautement redondante Plusieurs équipements SD-WAN doivent pouvoir être installés sur un site afin de pouvoir applier la déficience de l'un d'entre eux. Un point clé à prendre en compte est l'architecture du datacenter qui est de loin l'élément le plus sensible. 6. Interopérabilité au niveau 2 et 3 avec le reste de l'infrastructure Les équipements SD-WAN doivent s'insérer dans tout type de réseau. A ce niveau on veillera à s'assurer que les équipements supportent l'ensemble des protocoles de routage afin de les insérer dans tout type de design (OSPF, BGP...)