Comprendre les différence entre SDN, NFV et NV
Plusieurs approches émergentes promettent d'augmenter l'agilité du réseau, au premier rang desquelles la virtualisation du réseau (NV), la virtualisation des fonctions réseau (NFV) et le réseau défini par logiciel (SDN). Zoom sur leurs caractéristiques.
L'équipe réseau est souvent bombardée de demandes de configuration qui peuvent prendre des jours ou des semaines à traiter. Pour faire face, elle peut user de plusieurs approches, peut-être intimidantes au premier abord, pour apporter des solutions spécifiques à la question plus générale de la mobilité du réseau. Voici comment, à leur manière, la virtualisation du réseau (NV), la virtualisation des fonctions réseau (NFV) et le réseau défini par logiciel (SDN) permettent d'avancer sur la voie des réseaux programmables.
Virtualisation du réseau (NV)
Les administrateurs réseau ne peuvent pas répondre à toutes les demandes de modification du réseau. Seules des solutions d'automatisation du réseau permettront au département IT d'être plus réactif. En général, le problème à résoudre concerne le déplacement des machines virtuelles à travers différents domaines logiques. Littéralement, la virtualisation de réseau consiste à créer des segments logiques dans un réseau existant en divisant le réseau logiquement au niveau du flux (comme le partitionnement d'un disque dur).
La virtualisation du réseau (NV) revient à superposer une couche réseau. Au lieu de connecter physiquement deux domaines dans un réseau, la virtualisation du réseau crée un tunnel à travers le réseau existant pour connecter les deux domaines. La virtualisation du réseau est très intéressante, car elle évite aux administrateurs de câbler physiquement chaque nouvelle connexion de domaine, en particulier pour les machines virtuelles créées successivement. C'est d'autant plus utile que les administrateurs n'ont pas à modifier ce qu'ils ont déjà mis en place. La virtualisation du réseau leur permet de virtualiser autrement leur infrastructure et d'apporter des changements à une infrastructure existante.
La virtualisation du réseau est utilisable sur les plates-formes x86 hautes performances. L'objectif est de permettre le déplacement des machines virtuelles indépendamment de l'infrastructure existante, et ce, sans avoir à reconfigurer le réseau. Nicira (rachetée en 2012 par VMware) propose par exemple des équipements NV. La virtualisation de réseau peut apporter des solutions à toutes les entreprises qui utilisent la technologie des machines virtuelles.
Virtualisation des fonctions réseau (NFV)
Dans la virtualisation du réseau, il s'agit de créer des tunnels dans un réseau existant et d'utiliser un service par flux. Dans l'étape suivante de virtualisation des fonctions réseau, il s'agit de créer un service dans un tunnel. La virtualisation des fonctions réseau (NFV) consiste donc à virtualiser les fonctions des couches 4-7 comme les fonctions de pare-feu ou IDPS de détection des intrusions, ou d'équilibrage de charge (contrôleur de livraison d'applications ADC). Si les administrateurs peuvent configurer une VM par pointer-cliquer, pourquoi ne pourraient-ils pas installer un pare-feu ou un IDS/IPS de la même manière ? C'est ce que permet justement la virtualisation des fonctions réseau. La NFV utilise les meilleures pratiques pour mettre en place des politiques et des configurations de base pour les différents éléments du réseau. Si l'administrateur réseau crée un tunnel spécifique à travers l'infrastructure, il peut ajouter un pare-feu ou un IDS/IPS à ce tunnel. Des solutions comme PLUMgrid ou Embrane permettent de répondre aux besoins les plus courants, à savoir la mise en place de pare-feu et de systèmes IDS/IPS.
La virtualisation du réseau fonctionne également sur des plates-formes x86 hautes performances. Elle permet aux utilisateurs d'accéder à des fonctions sur des tunnels sélectionnés du réseau. Le but est de faciliter la création d'un profil ou flux de service pour une VM et d'exploiter la puissance de la configuration x86 pour construire une abstraction sur le réseau (le tunnel) et de construire ensuite des services virtuels dans l'environnement logique spécifique. Une fois en place, la NFV permet de gagner beaucoup de temps par rapport à un approvisionnement manuel et dans l'apprentissage.
La NFV réduit également le besoin de sur-provisionnement : au lieu d'acheter de gros pare-feu ou des boîtiers IDS/IPS pour gérer un réseau entier, le client peut acheter des fonctions pour les tunnels spécifiques qui en ont besoin. Mise à part une économie sur les investissements initiaux, le véritable avantage vient des gains opérationnels. On peut considérer la NFV comme un élément complémentaire de VMware, avec d'un côté quelques boîtes exécutant un grand nombre de serveurs virtuels, et de l'autre, un système d'approvisionnement de type pointer-cliquer. Les clients comprennent la différence entre virtualisation du réseau et virtualisation des fonctions réseau, mais ils n'ont pas forcément envie de mettre en place des solutions de fournisseurs différents. C'est pourquoi VMware propose désormais des fonctions de sécurité NV et NFV dans VMware NSX.
Réseaux définis par logiciel (SDN)
Les réseaux définis par logiciel (SDN) utilisent des processus en boîte pour approvisionner le réseau. Par exemple, au lieu de construire un TAP réseau avec une appliance, les utilisateurs devraient avoir la possibilité de programmer le réseau quand ils veulent mettre en place un dispositif Tap pour surveiller le réseau sans le perturber. Le SDN rend le réseau programmable en séparant le plan de contrôle (il indique au réseau où va le flux) du plan de données (il envoie des paquets vers des destinations spécifiques). Le SDN repose sur des commutateurs pouvant être programmés à l'aide d'un contrôleur SDN utilisant un protocole de contrôle standard de l'industrie, comme OpenFlow.
Alors que NV et NFV ajoutent des tunnels virtuels et des fonctions au réseau physique, le SDN modifie le réseau physique et constitue donc un nouveau moyen externe d'approvisionnement et de gestion du réseau. Parmi les cas d'usage possibles, on peut citer le déplacement d'un « flux de grosse taille » depuis un port 1G vers un port 10G, ou l'agrégation de lots de « flux de petite taille » vers un port 1G. Le SDN est implémenté sur les commutateurs réseau, et non sur des serveurs x86. Par exemple, des entreprises comme BigSwitch et Pica8 vendent des produits SDN.
Ces trois types de technologie permettent de répondre aux besoins de mobilité et d'agilité du réseau. Il est nécessaire de programmer le réseau et les différentes approches NV, NFV et SDN répondent à ce besoin. La virtualisation du réseau (NV) et la virtualisation des fonctions du réseau (NFV) peuvent fonctionner sur des réseaux existants parce qu'ils résident sur des serveurs et interagissent avec le « traffic grooming » qui leur est envoyé. Dans le cas du réseau défini par logiciel (SDN), il est nécessaire de mettre en place une nouvelle architecture réseau séparant les plans de données et de contrôle.