La mise en réseau logicielle, qu'est-ce que c'est ?

La mise en réseau logicielle (ou SDN, Software-Defined Networking) est une approche de l'infrastructure informatique qui transfère les ressources de mise en réseau vers un système virtualisé. C'est ce que l'on appelle la virtualisation des réseaux. La SDN sépare les fonctions de mise en réseau des fonctions de contrôle du réseau, dans le but de centraliser la gestion et la programmation du réseau. Cette action est également connue comme la séparation entre le plan de contrôle et le plan de données. Elle permet à l'équipe d'exploitation de contrôler le trafic réseau dans des topologies complexes, via un panneau de contrôle centralisé, au lieu de gérer manuellement chaque périphérique réseau.

Les entreprises adoptent les réseaux logiciels pour faire face aux contraintes inhérentes aux infrastructures traditionnelles. Voici quelques avantages de la mise en réseau logicielle.

• Séparation du plan de contrôle et du plan de données : le plan de contrôle décide de la manière dont les paquets de données doivent être transférés. Il est centralisé et réside dans des contrôleurs basés sur des logiciels. Le plan de données se charge de transférer les paquets de données via le réseau. Intégré aux périphériques réseau basés sur le matériel, il est simplifié et spécialisé pour se concentrer exclusivement sur le transfert de paquets. Dans le cadre d'une mise en réseau traditionnelle, les plans de contrôle et de données sont généralement intégrés au sein d'équipements réseau tels que les commutateurs, les routeurs et les points d'accès, ce qui empêche le contrôle centralisé.
• Contrôle centralisé : la mise en réseau logicielle offre un contrôle centralisé dans le cadre duquel les politiques et les configurations réseau sont gérées et appliquées à partir d'un contrôleur central, contrairement à la mise en réseau traditionnelle qui distribue les politiques et les configurations réseau sur plusieurs périphériques réseau.
• Coûts réduits : les infrastructures SDN sont souvent moins onéreuses que leur équivalent physique, car elles sont exécutées sur des serveurs grand public prêts à l'emploi plutôt que sur des équipements dédiés très coûteux. Elles occupent également moins d'espace puisqu'un même serveur peut exécuter plusieurs fonctions. Vous avez donc besoin de moins de matériel physique, ce qui permet de consolider les ressources et ainsi de réduire l'encombrement, la consommation d'électricité et les coûts totaux. 
• Meilleures évolutivité et flexibilité : la virtualisation de votre infrastructure réseau vous permet d'étendre ou de restreindre vos ressources réseau comme bon vous semble, à tout moment, au lieu d'ajouter un nouvel élément matériel propriétaire. Avec un réseau logiciel, vous disposez d'une immense souplesse et pouvez provisionner en libre-service les ressources réseau.
• Programmabilité et automatisation : avec la mise en réseau logicielle, les administrateurs définissent les politiques et les configurations réseau à l'aide de logiques et d'API logicielles. Cette méthode permet le provisionnement dynamique et la gestion basée sur des politiques des ressources réseau, ce qui accélère le déploiement et l'adaptation aux besoins métier évolutifs. La mise en réseau traditionnelle implique souvent la configuration et la gestion manuelles de périphériques réseau à l'aide d'interfaces en ligne de commande (CLI) ou d'outils de configuration propres aux équipements. 
• Gestion simplifiée : de manière générale, un réseau logiciel facilite l'exploitation de l'infrastructure, car sa gestion ne nécessite pas l'intervention d'experts réseau hautement spécialisés. 

La mise en réseau logicielle, lorsqu'elle est associée au stockage logiciel et à d'autres technologies, offre une approche logicielle pour l'infrastructure informatique complète. C'est ce que l'on appelle l'hyperconvergence.

Pour les opérateurs de télécommunications, il existe une autre approche d'abstraction du réseau : la virtualisation des fonctions réseau (NFV). Comme la mise en réseau logicielle, la NFV permet de dissocier les fonctions réseau du matériel. Elle fournit l'infrastructure sur laquelle le réseau logiciel s'exécute. Avec la NFV, les opérateurs peuvent exécuter des fonctions sur différents serveurs ou les déplacer selon les besoins, en fonction de l'évolution de la demande. Cette flexibilité leur permet d'accélérer la distribution des services et applications. Par exemple, si un client demande une nouvelle fonction réseau, l'opérateur peut mettre en route une nouvelle machine virtuelle. Ensuite, lorsque la fonction n'est plus nécessaire, il peut la désactiver. Il s'agit d'une manière peu risquée de tester la valeur d'un nouveau service potentiel.

En fonction de vos objectifs, vous pouvez associer NFV et SDN sur du matériel standard. Avec ces deux approches, il est possible de créer une architecture réseau plus flexible et programmable, qui utilise les ressources plus efficacement.

L'architecture de la mise en réseau logicielle reflète la manière dont cette approche modifie le contrôle et la responsabilité par rapport à la mise en réseau traditionnelle.

Le plan de contrôle décide de la manière dont les paquets de données sont transférés via le réseau. Dans le cadre de la mise en réseau logicielle, le plan de contrôle est centralisé et mis en œuvre dans le logiciel. Il s'exécute généralement sur un contrôleur centralisé ou un système d'exploitation réseau. Le contrôleur communique avec les périphériques réseau à l'aide d'un protocole standardisé, tel qu'OpenFlow, NETCONF ou gRPC, et assure une vue globale de la topologie et de l'état du réseau.

Le plan de données, également appelé plan de transfert ou élément de transfert, est chargé du transfert des paquets de données via le réseau en fonction des instructions envoyées par le plan de contrôle. Avec la mise en réseau logicielle, le plan de données se trouve dans des périphériques réseau tels que les commutateurs, les routeurs et les points d'accès, également appelés éléments de transfert. Ces équipements s'appuient sur les instructions du plan de contrôle pour transférer les paquets et peuvent être simplifiés et spécialisés pour se consacrer exclusivement au transfert de paquets.

Composants de la mise en réseau logicielle

Plusieurs composants définissent le traitement des processus au sein d'une architecture SDN.

Deux types d'API (interfaces de programmation d'application) assurent la communication entre les plans et avec le réseau dans son ensemble :

• API descendante. Ce type d'API sert à la communication entre le plan de contrôle et le plan de données dans les architectures SDN. Il permet au contrôleur de programmer et configurer des périphériques réseau, collecter des informations sur la topologie et l'état du réseau et recevoir des notifications relatives aux événements réseau tels que les problèmes de liaison ou la congestion. Parmi les API descendantes courantes figure OpenFlow, très utilisée pour la communication entre le contrôleur et les commutateurs réseau.
• API ascendante. Ce type d'API sert à exposer la fonctionnalité du contrôleur de mise en réseau logicielle aux applications et aux services de gestion réseau de niveau supérieur. Il permet aux applications externes d'interagir avec le contrôleur de mise en réseau logicielle, d'effectuer des requêtes auprès des services réseau et de collecter des informations sur la topologie, les flux de trafic et les indicateurs de performance du réseau. Avec ces API, il est possible de programmer et d'automatiser les tâches de gestion du réseau ainsi que de faciliter l'intégration avec les systèmes d'orchestration, les plateformes cloud et d'autres outils de gestion.

Par ailleurs, le contrôleur SDN représente le composant central de l'architecture SDN. Il est responsable de la mise en œuvre des fonctionnalités de contrôle du réseau et de la coordination de la communication entre le plan de contrôle et le plan de données. Il offre également une vue centralisée du réseau, assure la maintenance des informations sur son état et prend des décisions sur la manière de configurer et gérer les périphériques réseau à partir de politiques et d'exigences réseau. Parmi les contrôleurs de mise en réseau logicielle figurent OpenDaylight, ONOS et Ryu.

Les périphériques réseau tels que les commutateurs, les routeurs et les points d'accès constituent le plan de données de l'architecture SDN. Ces équipements transfèrent les paquets de données conformément aux instructions envoyées par le contrôleur et sont susceptibles de prendre en charge des fonctions telles que le transfert basé sur le flux, la qualité de service (QoS) et l'ingénierie du trafic. Dans le cadre d'une mise en réseau logicielle, les périphériques réseau sont souvent simplifiés et standardisés afin d'être programmables et interopérables avec le contrôleur.

Gestion et orchestration (MANO) : les architectures SDN peuvent également inclure des systèmes de gestion et d'orchestration chargés de provisionner, configurer et surveiller les ressources réseau. Les systèmes MANO interagissent avec le contrôleur SDN par le biais des API ascendantes pour automatiser les tâches de gestion du réseau, optimiser l'utilisation des ressources et garantir la disponibilité ainsi que les performances du service.

Plus globalement, l'architecture SDN sépare les fonctionnalités de contrôle du réseau de celles de transfert des données, centralise la gestion du réseau et les informations le concernant dans des contrôleurs basés sur des logiciels et permet une gestion programmable, flexible et évolutive des ressources réseau via des API et des interfaces standardisées.

La mise en réseau logicielle implique plusieurs facteurs en matière de sécurité.

• Puisque la mise en réseau logicielle utilise un plan de contrôle centralisé, la mise en œuvre de politiques de sécurité est simplifiée par rapport au modèle de mise en réseau traditionnel. La SDN permet une mise en œuvre cohérente et simplifiée des politiques de sécurité dans l'ensemble du réseau, ce qui réduit le risque d'erreur de configuration.
• Un contrôleur centralisé fournit une vue globale et complète du trafic réseau et permet ainsi d'améliorer la surveillance et d'accélérer l'identification des menaces potentielles.
• Il est donc possible de procéder à une détection des menaces et à l'atténuation des risques associés en temps réel, car la SDN peut ajuster les configurations réseau, isoler les segments affectés ou réacheminer le trafic de manière dynamique afin d'éviter les nœuds compromis.
• Le plan de contrôle centralisé facilite également la mise à jour automatique des politiques de sécurité et des configurations dans l'ensemble du réseau pour garantir l'application immédiate des correctifs sur les appareils ainsi que la conformité de leur configuration avec les dernières normes de sécurité.
• Il est possible d'appliquer la micro-segmentation sur une architecture SDN, ce qui permet d'isoler de façon granulaire différents segments de réseau et de réduire la surface d'attaque en contenant les menaces potentielles dans des segments spécifiques.
• La journalisation et l'analyse centralisées du trafic réseau offrent de nombreuses informations sur le comportement du réseau et aident à identifier les activités anormales ainsi que les failles de sécurité potentielles.
• La SDN s'intègre facilement à divers outils de sécurité, tels que les systèmes de détection (IDS) et de prévention (IPS) des intrusions, les pare-feu et les systèmes de gestion des événements et des informations de sécurité (SIEM).

La mise en réseau logicielle présente naturellement ses propres défis en matière de sécurité, notamment en ce qui concerne son autorité centralisée. En voici quelques exemples :

1. En tant que composant essentiel, le contrôleur SDN représente un potentiel point de défaillance unique. Sa compromission risque d'entraîner une perte de contrôle de l'ensemble du réseau.
2. Le contrôleur SDN est une cible de choix pour les attaquants. Il est donc primordial de garantir sa sécurité pour préserver celle du réseau.
3. Il est nécessaire d'utiliser un chiffrement et une authentification poussés pour sécuriser la communication entre le contrôleur et les périphériques réseau, et ainsi empêcher l'interception, la modification ou la falsification des messages de contrôle.
4. De même, les API utilisées pour la communication entre le contrôleur et les applications (de type ascendant), et entre le contrôleur et les équipements réseau (de type descendant) doivent être sécurisées afin d'empêcher tout accès ou toute exploitation non autorisés.

À mesure que les réseaux évoluent, ils se complexifient et entraînent avec eux les politiques qu'ils mettent si facilement en œuvre. En effet, le maintien de politiques de sécurité cohérentes dans un environnement de SDN dynamique et potentiellement à grande échelle se révèle parfois difficile et source d'erreurs. Autres défis : éviter les conflits entre les différentes politiques de sécurité et assurer une application cohérente.

Dans toute architecture réseau, les solutions de sécurité doivent évoluer avec le réseau afin de gérer les volumes croissants de trafic et d'appareils sans introduire de latence considérable ni freiner les performances. Souvent, les avantages de la mise en réseau logicielle compensent largement les défis qu'elle pose, car un plan de contrôle centralisé favorise la cohérence et facilite l'application des mesures de sécurité.

La mise en réseau logicielle fournit une approche flexible, programmable et centralisée de la gestion réseau, applicable à divers cas d'utilisation dans différents secteurs et applications.

• Dans le cadre de l'optimisation des datacenters, la virtualisation réseau et la gestion réseau automatisée de l'architecture SDN ajoutent de la flexibilité et réduisent le risque d'erreurs.
• Pour la virtualisation des fonctions réseau (NFV), la SDN peut remplacer les équipements réseau traditionnels, tels que les pare-feu et les équilibreurs de charge, par des logiciels exécutés sur du matériel standard, ce qui réduit les coûts et renforce la flexibilité. Elle permet également la création de chaînes de services au sein desquelles les données passent par une série de fonctions réseau virtualisées, offrant ainsi un chemin personnalisable pour les paquets de données.
• Dans les réseaux de campus et d'entreprise, la gestion centralisée des politiques de la SDN contribue à la cohérence des politiques de sécurité dans tout le réseau. La SDN peut également ajuster dynamiquement les contrôles d'accès en fonction de l'identité des utilisateurs, de l'appareil et du contexte, ce qui améliore la sécurité et l'expérience utilisateur.
• La technologie de mise en réseau logicielle sert également à optimiser et gérer des connexions de réseau étendu (WAN) et ainsi améliorer les performances ainsi que la fiabilité des connexions réseau longue distance. Cet avantage s'avère particulièrement utile pour les entreprises qui disposent de nombreuses succursales.
• Dans le contexte des intégrations de cloud computing et multicloud, la SDN facilite l'intégration et la gestion d'environnements multicloud, ce qui permet aux entreprises d'utiliser efficacement les ressources de plusieurs fournisseurs de cloud et de proposer des solutions réseau évolutives capables de se développer au fil des besoins des applications cloud.
• Dans les réseaux IoT (Internet des objets), la SDN gère les exigences considérables en matière d'évolutivité et fournit des configurations réseau dynamiques à mesure que de nouveaux appareils sont ajoutés. De plus, son contrôle centralisé garantit la cohérence des politiques de sécurité sur tous les appareils IoT, ce qui limite les risques associés aux points de terminaison non sécurisés.
• Dans les réseaux 5G, la SDN permet la création de compartiments réseau virtuels, chacun étant optimisé pour différents types de services (p. ex. faible latence pour les véhicules autonomes, débit élevé pour le streaming vidéo).
• Pour les cas de récupération après sinistre et de continuité des activités, la SDN automatise les processus de basculement pour garantir la restauration rapide des services réseau après une panne et permettre l'utilisation de solutions de sauvegarde réseau plus flexibles et efficaces afin de préserver l'intégrité et la disponibilité des données en cas de sinistre.

Chez Red Hat, nous accordons une importance particulière au cloud hybride ouvert, une vue holistique du cloud hybride qui intègre également des pratiques ouvertes. La stratégie de cloud hybride ouvert que nous proposons repose sur trois solutions : Red Hat Enterprise Linux, Red Hat OpenShift et Red Hat Ansible Automation Platform. Grâce à nos plateformes, créez une expérience cloud cohérente dans tous les environnements et mettez en place une infrastructure informatique automatisée dont vous pourrez tirer pleinement parti. Pionniers en matière de cloud hybride, nous aidons des milliers d'entreprises à se moderniser.