Objectifs de certification

CCNA R&S 200-125

  • 1.4 Décrire les effets des ressources de l’informatique en nuage dans les architecture des réseaux d’entreprise Traffic path to internal and external cloud services, Virtual services, Basic virtual network infrastructure

  • 6.4 Vérifier les ACLs en utilisant l’outil d’analyse APIC-EM Path Trace

  • 7.7 Décrire la programmabilité du réseau dans les architectures d’entreprise (Fonction d’un contrôlleur, Séparation du plan de contrôle control plane et du plan data, APIs northbound et southbound)

CCNA 200-301

  • 1.2 Décrire les caractéristiques des architectures et topologies réseau

    • 1.2.a 2 tier
    • 1.2.b 3 tier
    • 1.2.c Spine-leaf
    • 1.2.d WAN
    • 1.2.e Small office/home office (SOHO)
    • 1.2.f On-premises and cloud

Concepts Cisco SDN

1. Impact de l’informatique en nuage

Un nuage : Un nuage représente une infrastructure dont on ne connaît pas vraiment la nature ou la topologie exacte et qui permet d’accéder à un réseau distant. Il s’agit typiquement d’un nuage Internet (au sens propre comme représentant un accès au réseau public) ou d’une simplification dans un diagramme.

Symbole réseau du Nuage

Avec l’informatique en nuage, du trafic d’entreprise pourrait arriver dans des centres de données externes à celle-ci.

Dans le cadre de ce modèle, certains services d’infrastructure se virtualisent jusqu’à être disponibles et utilisés en tant que services. On pensera aux plateformes virtuelles Cisco CSR1000v ou ASAv, ou encore la programmabilité des plateformes IOS XE, notamment en Python. Le modèle de déploiement des infrastructures Wi-fi Cisco Meraki à travers une interface Web sur un serveur chez Cisco est encore un autre exemple. Si on est curieux et informaticien chevronné, on peut déjà prendre un compte sur Cisco Devnet où le “réseau est code”.

1.1. Définition du Cloud Computing

Le NIST donne sa définition du Cloud Computing. Le Cloud Computing se définit selon le NIST en 5 caractéristiques essentielles, 3 niveaux de service et 4 modèles de déploiement.

  • Cinq Caractéristiques Essentielles :
    1. Un service en libre-service à la demande ;
    2. accessible sur l’ensemble du réseau;
    3. avec une mutualisation des ressources;
    4. rapidement élastique (adaptation rapide à une variation à la hausse ou à la baisse du besoin);
    5. mesurable (mesure et affichage des paramètres de consommation).
  • Trois niveaux de service :
    1. SaaS : software as a Service : commander et utiliser un logiciel en ligne (logiciel de facturation, un CRM, une suite bureautique, …);
    2. PaaS : Plateform as a Service; un stack LAMP par exemple
    3. IaaS : Infrastructure as a Service; calcul (proc/ram), stockage, réseau
  • Quatre modèles hiérarchiques de déploiement :
    1. le nuage privé (pour une même organisation);
    2. le nuage communautaire (pour une communauté d’utilisateurs ou d’organisations);
    3. le nuage public (ouvert au public);
    4. le nuage hybride (plusieurs types de nuages).
Cloud Computing : les différents modèles de services

Source de l’image : https://commons.wikimedia.org/wiki/File:Cloud_Computing_-_les_diff%C3%A9rents_mod%C3%A8les_de_service.svg

1.2. Ressources nécesaires en connectivité

Quatre services techniques1 sont essentiels pour supporter un haut niveau de flexibilité, de disponibilité des ressources et en transparence des ressources en connectivité indispensables au cloud computing :

  • Le réseau L3 offre des interconnexions habituelles entre sites distants et fournit un accès au cloud au utilisateurs finaux.
  • Le “LAN étendu” entre deux ou plusieurs sites offre un transport transparentet supporte la mobilité des applications et des systèmes d’exploitation.
  • Un service “SAN étendu” assure l’accès aux données et la réplication de données.
  • La localisation IP améliore le trafic “northbound” et “southbound” autant que les flux serveur-à-serveur.

1.3. Impact sur les opérations réseau

On notera au moins deux impacts pour ceux qui s’occupent des infrastructures réseaux.

D’une part, les architectures de conception seront modifiées au profit d’une séparation stricte entre le plan des données et le plan de gestion.

D’autre part, le plan de gestion sera notamment accessible non plus via des consoles physiques ou virtuelles dédiées à chaque périphérique mais via une couche supplémentaire supportée par un “contrôleur”. Ce dernier dispose d’une interface API REST qui facilite la mise en forme de code (le codage) des infrastructures notamment grâce à l’usage du protocole HTTP et d’un langage de programmation comme Python.

1.4. Infrastructure as a Code (IAC)

“L’infrastructure en tant que code (IAC) est un type d’infrastructure informatique que les équipes d’exploitation peuvent automatiquement gérer et provisionner via du code, plutôt que d’utiliser un processus manuel. L’infrastructure en tant que code est parfois appelée infrastructure programmable.”2

1.5. SDN et NFV

On distinguera les deux concepts d’architecture SDN et NFV.

  • SDN (Software Defined Network) : architecture qui sépare physiquement le plan de contrôle du plan de transfert de données et dans laquelle le plan de contrôle dirige plusieurs périphériques. ONF, SDN Definition.
  • NFV (Network Functions Virtualization) : est une architecture qui utilise des technologies de virtualisation pour gérer des fonctions essentielles du réseau grâce à des logiciels plutôt qu’avec du matériel. Le concept NFV se fonde sur des blocs de fonctions vitualisées du réseau qui peuvent être combinées pour fournir un service réseau sur mesure et évolutif. Concrètement, ces fonctions sont exécutées par des machines virtuelles au dessus du matériel ; ce sont des routeurs, des switches, des serveurs ou des systèmes de cloud computing. Les fonctions proposées sont la sécurité et le pare-feu, le NAT, le DNS, les caches , des services de détection d’intrusion (IDS), etc. NFV – Network Functions Virtualization

NFV et SDN utilisent tous les deux une couche d’abstraction. Alors que SDN cherche à séparer le contrôle et le transfert, NFV met une couche d’abstraction dans les fonctions de transfert du réseau (et autres) assurés par du matériel. Les deux concepts s’implémentent de manière complémentaires mais existent aussi indépendamment l’un de l’autre.

1.6. Architecture Network Virtualization

Une architecture “Network virtualization” est composée de trois éléments :

  • Network access control and segmentation of classes of users: Users are authenticated and either allowed or denied into a logical partition. Users are segmented into employees, contractors and consultants, and guests, with respective access to IT assets. This component identifies users who are authorized to access the network and then places them into the appropriate logical partition.
  • Path isolation: Network isolation is preserved across the entire enterprise: from the edge to the campus to the WAN and back again. This component maintains traffic partitioned over a routed infrastructure and transports traffic over and between isolated partitions. The function of mapping isolated paths to VLANs and to virtual services is also performed in component.
  • Network Services virtualization: This component provides access to shared or dedicated network services such as security, quality of service (QoS), and address management (Dynamic Host Configuration Protocol [DHCP] and Domain Name System [DNS]). It also applies policy per partition and isolates application environments, if required.

Références :

http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-series-switches/white_paper_c11-531522.pdf

https://www.cisco.com/c/en/us/products/collateral/switches/catalyst-6500-series-switches/white_paper_c11-531522.html

1.7. APIs

Un API, interface de programmation applicative (application programming interface), est une méthode d’échange de données d’une application avec une autre. Bien que l’on réfère au terme interface, il s’agit d’interfaces logicielles et non matérielles.

  • API HTTP REST
  • SSH
  • SNMP, CDP
  • Openflow

2. Marché Data Center Networking

2.1. Magic Quadrant for Data Center Networking 2017

The data center networking solutions covered in this research are hardware and/or software solutions to deliver connectivity within enterprise data centers. Network technology solutions include data center core/spine switches, server access switches (top of rack [ToR], leaf), virtual switching, programmable Ethernet fabrics, network automation, network overlays and emerging approaches, based on disaggregation of hardware from software and open-source components.

Leaders :

  • Cisco : “Cisco should be considered for all data center networking opportunities globally, particularly by those clients that prefer to have few strategic suppliers.”
  • Arista Networks : “ All enterprises should consider Arista, particularly large organizations with advanced requirements that need flexible and programmable solutions. The resale partnership with HPE will help Arista increase global market coverage.”

Challengers :

  • Juniper Networks : “All large organizations should consider Juniper on their shortlists for data center networking, in particular those environments that want to have multiple suppliers and solutions that can interoperate in multivendor environments.”
  • Huawei :”Huawei made substantial progress in marketing awareness, as well as the quality of its product literature and websites for global markets. Enterprises, especially those outside of North America, should consider Huawei for data center networking solutions.”
  • HPE

Visionaries :

  • VMware : “NSX should be considered by all organizations evaluating network overlay solutions, especially existing VMware virtualization customers that are looking to build a software-defined data center (SDDC) or a private/hybrid cloud.”
  • Dell EMC : “All organizations globally should consider Dell EMC, provided there is appropriate channel and sales coverage with networking skills in the region.”
  • Big Switch Networks : “Big Switch should be considered by organizations interested in an off-the-shelf, commercial fabric solution that leverages white/brite-box hardware platforms and can scale to very large environments.”
  • Cumulus Networks : “Cumulus Networks is a fit for technologically advanced organizations that desire a Linux-based NOS that can be run on multiple industry-standard hardware platforms.”

Niche Players :

  • Extreme Networks : “Existing Extreme customers, as well as those looking for an end-to-end pure-play network solution in North America, Latin America and Europe, should consider Extreme.”
  • New H3C Group
  • NEC
  • Lenovo : “Lenovo can be considered for networking by organizations deploying Lenovo servers.”

Citation sur la tendance du marché :

The CLI Is Dead; the API Is Cool : “There is an ongoing move away from using device-by-device command line interface (CLI)-driven configurations toward a centralized and more policy-based mode of operations. We expect that, by 2020, only 30% of network operations teams will use the CLI as their primary interface, down from 85% at YE16 (see “Predicts 2017: Enterprise Networks and Network Services” ).”

Source : https://www.gartner.com/doc/3754363/magic-quadrant-data-center-networking

2.2. Magic Quadrant for Data Center Networking 2018

Au fur et à mesure que les entreprises mettent en œuvre des initiatives commerciales numériques, elles doivent faire la balance entre le rafraîchissement des équipements et leur croissance en capacité, tout en améliorant la souplesse et en maintenant la disponibilité des réseaux dans les centres de données.

Le pourcentage des activités opérationnelles manuelles en data center va tomber en-dessous des 50% d’ici 2021, contre 80% seulement aujourd’hui.

La vitesse des ports de commutateurs qui connectent les serveurs va passer de 10 Gbps aujourd’hui à 25 Gbps durant le premier trimestre 2020.

D’ici 2023, 90% des applications courantes resteront d’usage.

2.3. Arista Networks

Arista is Santa Clara-based networking company focused on data center networking. It delivers Universal Cloud Network (UCN) solution to cloud providers, large enterprises and financial services sector. The UCN includes Extensible Operating System (EOS) software, CloudVision management software and 7000 series of switches/routers.

Arista’s data center networking solution is an ideal fit for enterprises which require programmable infrastructure integrated with third-party software orchestration like VMware, Puppet, and Ansible.

Gartner said that Arista delivers increasing levels of automation and uniform policy across multi-cloud environments.

  • Number of DC networking customers— 5,000
  • Relevant geographies— Solid base in North America and Western Europe, with less coverage in rest of the world.

2.4. Cisco

Cisco has the broadest portfolio of hardware switches, which includes several form factors, interfaces and performance characteristics. Cisco ACI, the flagship data center networking offering of Cisco, includes Nexus 9000 hardware switches and the APIC controller.

It delivers increasing levels of automation, management and uniform policy across multi-cloud environments.

  • Number of DC networking customers— 100,000
  • Relevant geographies— All over the world.

2.5. Juniper Networks

Juniper is leading networking and security vendor based in Sunnyvale, California. It delivers a full portfolio of hardware switches, network operating system (NOS) and network overlay to enterprises.

The flagship data center networking solution of Juniper includes QFX switches running Junos software. Juniper’s portfolio of hardware and software services can help enterprises meet all the data center demands.

Based on open standards, the Juniper’s solution is ideal for large-scale environments for service providers and large enterprises.

  • Number of DC networking customers— 3,000
  • Relevant geographies— All over the world.

3. SDN

Le “Software-defined networking (SDN)” est une approche de l’informatique des réseaux qui permet aux administrateurs réseaux d’initialiser, contrôler, changer et gérer les ressources du réseau de manière programmatique dynamiquement via des interfaces ouvertes et l’abstraction des fonctionnalités de plus bas niveau.

SDN répond aux besoins d’évolutivité des architectures statiques des réseaux traditionnels qui ne peuvent pas supporter les besoins élastiques en calcul (computing) et en stockage (storage) comme dans les centres de données (data centers). Cela est possible en découplant et en dissociant les systèmes qui élaborent les décisions de transfert du trafic (le SDN controller au niveau du control plane) des systèmes sous-jacents qui prennent en charge effectivement le transfert du trafic (data plane, forwarding plane).

3.1. Définition

On peut aussi plus simplement définir SDN comme la séparation physique du control plane du forwarding plane.

Briques SDN

SDN est communément associé au protocole OpenFlow (pour la communication avec les éléments du control plane afin de déterminer le chemin des paquets réseau à travers les commutateurs). Mais Cisco a pris d’autres voies comme Cisco Systems’ Open Network Environment.

SD-WAN correspond aux mêmes principes mais dans le Wide Area Network (WAN).

3.2. Caractéristiques d’une architecture SDN

Un architecture SDN dispose des caractéristiques suivantes :

  • Directement programmable : Le contrôle du réseau est directement programmable grâce à la séparation des fonctions de transfert.
  • Agile : Cette séparation permet d’adapter dynamiquement les flux de trafic pour rencontrer besoins en changement
  • Gestion centralisée : L’intelligence du réseau est (logiquement) centralisée dans les SDN Controllers qui maintiennent une vue globale du réseau qui apparait auprès des applications comme un seul switch logique.
  • Configuration programmatique : SDN permet de configurer, gérer, sécuriser et optimiser les ressources du réseau très rapidement via des programmes SDN dynamiques basé sur des langages ouverts.
  • Standard ouvert et neutre

3.3. Architecture SDN

Une architecture SDN est constituée de différents composants.

Architecture SDN
  • SDN Application
  • SDN Controller
  • Centralized - Hierarchical - Distributed
  • Controller Placement
  • SDN Datapath
  • SDN Control to Data-Plane Interface (CDPI)
  • SDN Northbound Interfaces (NBI)

Applications SDN

Les Applications SDN sont les programmes qui communiquent au “SDN Controller” explicitement, directement et “programmatiquement” leurs besoins en ressources du réseau via une northbound interface (NBI). Une Application SDN comprend une logique et un ou plusieurs pilotes “NBI Drivers”. Les Applications SDN peuvent elles-mêmes exposer une autre couche d’abstraction de contrôle du réseau et offrant de la sorte des NBI de plus haut niveau.

Controller SDN

Le “SDN Controller” est une entité logique centralisée en charge :

  • (i) de traduire les besoins d’une SDN Application en descendant vers les “SDN Datapaths”
  • (ii) et en fournissant aux Applications une vue abstraite du réseau (dont des statistiques et des événements).

Un “SDN Controller” comporte :

  • un ou plusieurs “NBI Agents”,
  • le “SDN Control Logic”,
  • et le “Control to Data-Plane Interface (CDPI) driver”.

Rien ne présume quant au détail d’implémentation de cette entité logique centralisée :

  • Fédération de “controllers”
  • La connexion hiérarchique de “controllers”
  • Les interfaces de communication entre les “controllers”
  • La virtualisation ou le découpage des ressources du réseau

Datapath SDN

Le “SDN Datapath” est un périphérique réseau logique qui expose le contrôle sur ses capacités en transfert de trafic. Il comprend un agent CDPI et un ensemble de “traffic forwarding engines” et plusieurs fonctions de “traffic processing”. Il s’agit des chemins de données qui peuvent courir sur toute l’infrastructure à travers plusieurs périphériques.

SDN Control to Data-Plane Interface (CDPI)

Le “SDN CDPI” est l’interface définie entre un “SDN Controller” et un “SDN Datapath” qui fournit :

  • (i) un contrôle programmatique de toutes les opérations de transfert,
  • (ii) des capacités d’annonce,
  • (iii) du reporting d’événement et (iv) de la notification d’événement.

Une des plus-values de SDN est l’espoir que le CDPI soit implémenté de manière ouverte, indépendante des constructeurs et inter-opérable.

SDN Northbound Interfaces (NBI)

Les “SDN NBIs” sont des interfaces entre les “SDN Applications” et les “SDN Controllers”. Ils fournissent une vue abstraite du réseau et permettent l’expression directe des besoins formulés en ressources réseau.

Cela comprend n’importe quel niveau d’abstraction d’un point de vue vertical et à travers différents ensembles de fonctionnalités d’un point de vue horizontal.

Une interface “northbound” est un élément du réseau qui communique avec un élément de plus haut niveau contrairement aux interfaces “southbound” qui discutent avec des composants de plus bas niveau tels que des périphériques du réseau.

Concrètement les APIs “northbound” active les applications et l’orchestration des systèmes afin de programmer un service réseau et le demander.

Southbound Interfaces

Les interfaces “Southbound” sont implémentées avec un Service Abstraction Layer (SAL) qui discute avec les périphériques réseau en utilisant par exemple SNMP ou la ligne de commande (Command Line Interface) pour commander le réseau.

Les principales fonctions du Service Abstraction Layer (SAL) sont :

  • Exposer les services des périphériques et les capacités des applications
  • Déterminer comment remplir la demande de service sans tenir compte des protocoles sous-jacents.

SDN Control Plane

L’implémentation du “control plane” peut suivre un des trois types de conception (design) :

  • Centralized : une seule entité dispose d’une vue globale du réseau (limité en évolutivité).
  • Hierarchical : des “controllers” distribués opèrent sur une vue partielle du réseau alors qu’un “controller” logique centralisé agit sur l’ensemble du réseau.
  • Distributed : les “controllers” agissent sur leur propre vue du réseau mais peuvent échanger des messages de synchronisation pour étendre leur connaissance. Celles-ci sont mieux adaptées pour des applications SDN évolutives.

Emplacement du Controller

Dans les déploiements distribués, on peut se poser des questions quant au nombre et au placement d’entités “controllers”. Un paramètre important à considérer est le délai de propagation entre les “controllers” et leurs périphériques réseau, plus spécialement dans le contexte de réseau très grands. D’autres objectifs peuvent être pris en compte tels que la fiabilité du chemin dans le control plane, tels que la tolérance aux pannes ou les besoins des applications.

3.4. Modèles SDN

Modèles SDN théoriques
Modèles SDN en regard des offres Cisco

3.5. Sources

4. Cisco Data Center Strategy

Référence

4.1. Cisco Application Centric Infrastructure

Référence

Cisco ACI est un solution complète de centre de donnée SDN. La solution est composée de trois éléments :

  • Une fabric 40GB avec du matériel Nexus 9000
  • “Application Policy Infrastructure Controller” (APIC) qui fournit la fabrique automatisée et une gestion holistique des policies
  • Un “network policy model” qui configure dynamiquement la fabrique basée sur une application.
Blocs APIC
Rôles APIC

4.2. APIC Enterprise Module (APIC-EM)

APIC Enterprise Module (APIC-EM)

APIC-EM est un “network controller” qui a la capacité de fonctionner sur n’importe quel ordinateur Intel x86 en machine virtuelle ou en “standalone appliance”. Le logiciel APIC-EM est une plate-forme qui automatise les configurations avancées de tâches en utilisant des workflows guidés et des interfaces graphiques “user-friendly”.

Fonctionnalités et avantages :

  • integrated analytics
  • centralized policy management
  • superior network abstraction
  • simplified configuration and provisioning
  • overall investment protection
  • open, programmable, and customizable
  • business policies and requirements are translated into network configurations.
  • highly programmable through open APIs and representational state transfer (REST)

Dit autrement :

  • Creates an intelligent, open, programmable network with open APIs
  • Can help customers save time, resources, and costs through advanced automation services
  • Can transform business-intent policies into dynamic network configuration
  • Provides a single point for network-wide automation and control

Reference

Liens pour aller plus loin :

Controller APIC-EM

4.3. Cisco Path Trace Application on APIC-EM

Avec cet outil Path Trace, le contrôleur révise et collecte la topologie du réseau et du routage des données venant des périphériques. Ensuite, il utilise ces données pour calculer le chemin entre deux hôtes ou des interfaces L3.

Accessoirement, on peut choisir de récupérer des statistiques dans le chemin sur les interfaces, sur le périphérique, sur la supervision des performances ou sur le QoS afin de de surveiller et déboguer les chemins entre divers périphériques distribués à travers le réseau.

On ne peut réaliser cette tâche entre deux noeuds du réseau. Ces deux noeuds peuvent être une combinaison d’hôtes filaires ou sans fil et/ou des interfaces L3. En plus, on peut préciser le protocole que le contrôleur va utiliser pour établir la connexion qui tracera le chemin, soit TCP ou UDP.

“Access Control List (ACL) Trace” analyse comment le flux est influencé par des ACLs programmées sur le chemin. Après que le chemin soit calculé entre la source est la destination, “ACL Trace” analyse à la fois les interfaces entrantes et sortantes de tous les périphériques sur le chemin.

Référence

Application Path Trace

Il y a cinq champs qui peuvent être remplis dans “Path Trace application”, deux sont obligatoires, trois sont optionnels.

ChampMadantory/OptionalDescription
Source IPMadantorySender’s IP formwarding interface IP address
Destination IPMadantoryReceiver’s IP formwarding interface IP address
Source PortOptional-
Destination PortOptional-
ProtocolOptional-

En démarrant avec une source est une destination IP valide, en cliquant sur le bouton “Trace” on peut voir le chemin entre deux hôtes.

Dès que le traçage terminé on peut avoir une vue très détaillée qui inclut chaque saut dans le chemin à travers lequel les paquets sont passés.

Path Trace détaillé

Ici on aura une vue avec le bouton “Show Reverse” pour voir le flux du trafic dans la direction opposée de la destination à la source. Ceci est particulièrement pratique pour identifier des flux de trafic asymétrique dans le réseau.

Show Reverse Path Trace

Plus de détails dans ces liens :

4.4. Cisco UCS : Unified Computing

Cisco UCS : Unified Computing

4.5. Cisco Meraki

Cisco Meraki

Cisco Meraki

4.6. Cisco DevNet

Cisco DevNet est le programme de développement de Cisco pour aider les développeurs et les professionnels de l’informatique qui veulent écrire des applications et développer des intégrations avec les produits, plateformes et API Cisco. Cisco DevNet inclut les produits Cisco dans les domaines suivants : réseaux software-defined (SDN), sécurité, cloud, centre de données, Internet des objets, collaboration et développement de logiciels libres. Le site developer.cisco.com propose également des environnements d’apprentissage et des bac à sable (sandboxes) ainsi qu’une série de vidéos pour apprendre à coder et à tester les applications.

Voyez vous-même les labs d’apprentissage Devnet.

5. Chez d’autres

5.1. Facebook Switch

Facebook Switch

http://www.businessinsider.com/facebook-releases-6-pack-switch-in-shot-at-cisco-2015-2

Facebook network switch 6 pack line card

5.2. Switches X86_64 avec ports Ethernet 10G et puces ASIC

https://cumulusnetworks.com/products/hardware-compatibility-list/

5.3. DNA learning program

6. VMware NSX

6.1. VMware NSX

  • VMware NSX
  • Overlay VxLAN
  • VMware NSX for Multi-Hypervisor (NSX-MH) et NSX vSphere (NSXv)
  • NSX-T
NSX-T Platform Capabilities
NSX-T Platform Feature

Source

6.2. Présentation NSX par Alain Faure

La série d’articles “Virtualisation VMware, NSX présentation” par l’excellent Alain Faure :

6.3. Lab VMware

Sources du document

  1. https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/ios-xr-software/white_paper_c11-694882.html 

  2. Paradigme Infrastructure as a Code : “Infrastructure as Code (IAC) is a type of IT infrastructure that operations teams can automatically manage and provision through code, rather than using a manual process. Infrastructure as Code is sometimes referred to as programmable infrastructure.” (What is Infrastructure as Code (IAC)? - Definition from WhatIs.com

Laisser un commentaire