Mamourou SIDIBE

Virtualisation du réseau

1. Virtualisation et cloud computing

a. Historique et principe de la virtualisation

Le concept de virtualisation est apparu depuis plus de 45 ans sur les systèmes Mainframe IBM. Le
principe était qu’un utilisateur puisse se connecter à un serveur qui faisait la taille d’une pièce pour y
retrouver son propre environnement de travail. La fin du 20e siècle a été marquée par une lutte entre
constructeurs d’ordinateurs et fabricants de composants dont les processeurs étaient différents et
propriétaires : un ordinateur Apple par exemple, fonctionnait sur un processeur MOS (proche du Motorola
6800), exécutant un système d’exploitation spécifique MACOS et ne pouvant s’interfacer en réseau
qu’avec d’autres ordinateurs de la marque via le protocole propriétaire AppleTalk. Dans le monde des
serveurs d’entreprises, on observait le même phénomène, à savoir des équipementiers comme IBM et
Novell qui tentaient d’imposer leur matériel et leurs protocoles.

L’évolution de l’électronique et l’émergence du besoin d’informatisation de l’entreprise et du particulier ont

amené les constructeurs à converger vers du matériel commun à base de processeurs dits X.86 conçus et
fabriqués par Intel et AMD. Ainsi, ces processeurs 32 bits puis plus tard 64 bits se sont généralisés et les
OS ont été développés pour fonctionner sur ce type de processeurs.

En 1998, la société californienne VMware dépose un brevet portant sur une technologie innovante : la
translation binaire. La technologie débouche sur la vente du produit VMware Workstation en 2001, devenu
ESX Server puis ESXi. Le principe étant de pouvoir exécuter sur le même matériel, plusieurs systèmes
d’exploitation de manière cloisonnée en interceptant le code exécuté par ces systèmes d’exploitation et en
le modifiant à la volée pour qu’il s’adapte au matériel physique partagé, tout cela sans que le système
d’exploitation virtualisé ne soit préalablement modifié. Le principe de machine virtuelle et d’hyperviseur, le
système permettant cette virtualisation, était né ou en tout cas placé à la portée réelle du marché
informatique de serveurs de la famille x86.

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE -1-
 Mamourou SIDIBE

Hyperviseur exécutant trois machines virtuelles (VM)

La virtualisation a ensuite évolué au cours des années 2000, l’intégration des fonctions virtuelles
nativement au sein des processeurs (technologies Intel VT et AMD-V) a généralisé son utilisation dans les
environnements de production. La réduction des coûts apportée par celle-ci en matériel, espace physique,
énergie consommée, couplée à une administration et une maintenance très facilitées, ainsi qu’à une
vitesse de déploiement accélérée de serveurs, ont révolutionné l’informatique d’entreprise et changé
fondamentalement les méthodes traditionnelles d’administration de serveurs. Les premiers acteurs à en
avoir bénéficié sont les sociétés d’hébergement de serveurs et de services, c’est-à-dire les opérateurs de
centre de données (« datacenter »).

b. Services de cloud computing proposés au sein des datacenters

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE -2-
 Mamourou SIDIBE

De nombreux datacenters ont été construits et se sont agrandis très rapidement pour proposer de
nombreux services supplémentaires tout en assurant une très haute disponibilité que seule la
virtualisation permet d’assurer. Le fait de mettre à disposition à la demande d’un client et de façon
automatisée un serveur, un espace de stockage, une application, une plate-forme logicielle, un
environnement de développement, accessibles de n’importe où, dont les ressources peuvent être
provisionnées et ajustées dynamiquement selon l’utilisation, où la facturation ne se fait qu’en fonction de
l’utilisation réelle de la ressource, ont posé les fondations du principe de « cloud computing ».

Ce sont les datacenters qui proposent ces solutions de cloud computing assurées par des infrastructures
virtuelles potentiellement réparties géographiquement à l’échelle mondiale. Ainsi, les machines virtuelles
d’un client donné sont hautement disponibles et peuvent être déplacées à chaud d’un hyperviseur vers un
autre sans aucune interruption de service : le datacenter est devenu dynamique et les machines virtuelles
mobiles.

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE -3-
 Mamourou SIDIBE

Principe du déplacement à chaud d’une VM

De plus en plus d’entreprises ont été séduites par cette approche du cloud computing et pour les
économies qui sont censées en découler. Les datacenters sont devenus multitenants dans le sens où ils
ont proposé des services mutualisés, notamment des applications partagées par plusieurs clients : on
parle de SaaS pour Software as a Service (logiciel en tant que service), comme la messagerie Gmail par
exemple. Mais ce concept n’est pas forcément une nouveauté, car ces types de services étaient déjà
proposés avant la virtualisation. Par contre, les sociétés d’hébergement ont été alors capables de
proposer des infrastructures complètes de serveurs (qui sont des machines virtuelles) à leurs clients
hébergées au sein des datacenters : c’est le principe de l’IaaS (Infrastructure As a Service). On utilise
actuellement le terme de virtualisation de datacenter.

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE -4-
 Mamourou SIDIBE

On entend par infrastructure, un ensemble de serveurs fonctionnant au sein d’une entité isolée propre à un
client donné. Ces infrastructures virtuelles reposent bien sûr sur une infrastructure de serveurs physiques
(les hyperviseurs) complètement mutualisés au service de plusieurs clients (ils peuvent cependant être
dédiés selon l’offre).

Infrastructure virtuelle mutualisée en IaaS pour trois entités différentes

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE -5-
 Mamourou SIDIBE

2. Cloud computing et réseaux des datacenters

a. Architecture réseau traditionnelle

Initialement, les réseaux des datacenters étaient conçus pour une optimisation du trafic Nord-Sud, c’est-à-
dire du datacenter vers l’extérieur et inversement. En effet, les serveurs hébergés avaient peu
d’interactions entre eux, tout se concentrait au niveau des capacités d’échanges avec le monde extérieur.
Les traitements des paquets, la sécurité, l’analyse des flux, les politiques de QOS étaient mis en place au
niveau du cœur de réseau ou en bordure (« edge ») du datacenter et non au niveau des commutateurs
appelés commutateurs d’accès sur lesquels étaient reliés directement les serveurs. Un ensemble de
commutateurs appelés commutateurs de distribution ou d’agrégation permettaient de faire le lien entre
couche d’accès et cœur de réseau où se concentrait l’essentiel des fonctions avancées (et en général la
commutation de paquets IP). Cette infrastructure demeure encore utilisée, notamment à l’échelle des
grands réseaux d’entreprises en ce qui concerne l’interconnexion des postes utilisateurs.

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE -6-
 Mamourou SIDIBE

Infrastructure réseau en trois couches selon un trafic Nord-Sud

b. Modifications de l’architecture réseau des datacenters

L’architecture présentée dans la section précédente a montré ses limites lors de l’émergence du cloud
computing et de la densification des équipements qui en a résulté. Il n’est pas rare que les datacenters
d’aujourd’hui soient capables de compter plus de 100 000 serveurs physiques avec environ une vingtaine
de machines virtuelles par serveur, soit un total potentiel de 2 millions d’hôtes !

De plus, la virtualisation a eu pour effet de découper l’ensemble des fonctions assurées par un serveur
physique unique initialement, en autant de machines virtuelles que de services fournis, la création et le
provisionnement de machines virtuelles à partir de méthodes comme le clonage étant facilités et
accélérés.

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE -7-
 Mamourou SIDIBE

Si on prend l’exemple d’un site web, le fonctionnement de ce dernier peut s’articuler autour d’un serveur
web répondant aux requêtes HTTP après avoir interrogé un serveur de base de données qui n’est plus
localisé sur la même machine physique.

Ajoutons à cela qu’une machine virtuelle est maintenant mobile au sein du datacenter puisqu’elle peut être
exécutée par n’importe quel hyperviseur à tout moment (cf. section Services de cloud computing
proposés au sein des datacenters), on constate donc une explosion du trafic entre hyperviseurs et
également entre VMs, c’est-à-dire du trafic dit horizontal ou Est-Ouest. L’architecte réseau doit donc
s’assurer de mettre en place une infrastructure permettant d’assumer ce trafic en permettant une
communication directe entre les hyperviseurs sans devoir forcément remonter à la couche agrégation ou
cœur de réseau.

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE -8-
 Mamourou SIDIBE

Infrastructure réseau virtuelle - trafic Est - Ouest et Nord - Sud. Les switchs de la couche d’accès sont
interconnectés directement et leurs liaisons agrégées. En général, on sépare cette couche avec des
commutateurs ToR (Top of the Rack) qui assurent la connexion entre un groupe de plusieurs hyperviseurs
rackés dans la même baie et la couche agrégation. On peut également mettre en place des switchs EoR
( End of Row) qui sont spécialisés dans le trafic Est-Ouest pour une communication entre hyperviseurs de
plusieurs baies.

c. Ajout d’une couche virtuelle au sein du réseau

Au sein d’un hyperviseur sont exécutées plusieurs machines virtuelles pouvant communiquer entre elles
sans passer par les cartes réseau physiques, mais directement via la RAM. Les communications sont
possibles, car ces machines virtuelles utilisent du matériel virtuel simulé par l’hyperviseur, on parle de
vNIC (carte réseau virtuelle) pour une carte réseau attachée à une VM et de vSwitch (switch virtuel),
processus permettant d’interconnecter logiquement les machines virtuelles entre elles au sein de cet
hyperviseur. Une nouvelle couche réseau est donc à prendre en compte, à configurer et à superviser
(quand cela est possible) ce qui ajoute une complexité évidente. On est d’ailleurs tributaires des
spécifications et particularités dictées par l’éditeur de l’hyperviseur dans l’implémentation de ces actifs
réseau virtuels (cf. section Caractéristique du SDN).

3. Virtualisation des fonctions réseau : NFV

a. Technologies de virtualisation réseau

L’émergence du cloud computing liée à la virtualisation a ainsi de nombreuses répercussions sur les
réseaux existants des datacenters et exige également d’assurer de nouvelles fonctionnalités. La
problématique étant d’adapter le réseau physique du datacenter en lui-même, sur lequel va reposer une
multitude de réseaux logiques appartenant à chaque entité ou à chaque client. La notion de virtualisation
du réseau commence à émerger. Ces réseaux logiques doivent exister au sein d’un hyperviseur, comme l’a
montré la section précédente, et doivent également s’étendre jusqu’aux autres hyperviseurs, donc au final
sur l’ensemble du réseau physique du ou des datacenters, sachant que ces derniers peuvent être répartis
géographiquement, mais connectés via des connexions WAN.

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE -9-
 Mamourou SIDIBE

Découper un réseau physique en plusieurs réseaux logiques n’est pas en soi une nouveauté, car c’est pour
cette raison que le principe des VLANs est né (cf. chapitre Conception d’un réseau local, section
Segmentation réseau par la mise en place de VLANs).

Les VLANs se restreignant à une séparation du domaine de broadcast et donc à la couche 2 du modèle
OSI, il a fallu assurer une connectivité entre domaines de broadcast (entre réseaux IP donc) qui a été
facilitée grâce aux réseaux privés virtuels et notamment via le protocole MPLS (cf. chapitre Principes de
sécurité sur un réseau local, section Autres types de VPN). De plus, au vu du nombre limité de VLANs que
l’on peut configurer sur un réseau donné (pas plus de 4094), l’utilisation de VLANs routables, les VXLANS,
s’est généralisée au sein du datacenter en répondant parfaitement à ces besoins de fractionnement du
réseau au sein du datacenter (cf. chapitre Conception d’un réseau local, section Extension des VLANs
avec VXLAN).

b. Problématiques des appliances matérielles

Les protocoles énoncés précédemment concernent les couches réseau 2 et 3 uniquement, or, il existe
d’autres actifs réseau qui agissent sur les couches 4 à 7 du modèle OSI. On peut citer notamment les
firewalls, les sondes de détection et prévention d’intrusions, les concentrateurs de connexion VPN, les
accélérateurs de flux SSL, les répartiteurs de charge ou encore les accélérateurs WAN. En général, ces
services sont souvent assurés par des appliances matérielles déployées en bordure de datacenter (ou de
réseau plus globalement) qui ne peuvent ainsi gérer que le trafic Nord - Sud.

Ces appliances matérielles doivent assurer des débits de plus en plus importants (tous les flux entrants et
sortants du datacenter) sans supprimer le moindre paquet et sont donc relativement onéreuses à l’achat
et à la maintenance, sachant que le matériel le plus adapté est très souvent propriétaire. L’idée de
virtualiser ces équipements, plus spécifiquement d’assurer leurs fonctions via des machines virtuelles et
non plus matériellement, est alors apparue : c’est ce que l’on appelle la virtualisation des fonctions réseau
(NFV : Network Function Virtualization).

c. Avantages apportés par la NFV

La virtualisation des fonctions réseau répond techniquement à la possibilité de gérer les flux Est-Ouest, à
partir du moment où les services sont positionnés au niveau de

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE - 10 -

 Mamourou SIDIBE

l’hyperviseur (concrètement sous la forme de machines virtuelles qui assurent les services, voire même se
substituent aux Vswitchs). Les flux sortants sont alors gérables en amont, directement en sortie de
l’hyperviseur, les flux entre VMs au sein de l’hyperviseur sont également traités.

Ainsi, un protocole peut maintenant être bloqué au niveau de l’hyperviseur avant qu’il n’utilise le réseau
physique alors qu’auparavant le flux aurait été stoppé en bordure après avoir traversé le cœur de réseau.

On multiplie donc les machines virtuelles pour assurer chaque fonction indépendamment les unes des
autres, en les affectant directement si besoin à l’infrastructure d’un client donné. Grâce à la virtualisation, il
est facile de dupliquer ces appliances virtuelles, de les dimensionner dynamiquement en fonction du
besoin en ressources à un instant t. Il en résulte incontestablement une agilité et une élasticité que ne
peuvent concurrencer les appliances matérielles traditionnelles proposées par les équipementiers.

La NFV permet finalement de bénéficier des mêmes avantages que ceux proposés par la virtualisation des
serveurs et notamment des fonctions de haute disponibilité assurées directement par l’infrastructure
virtuelle existante. Les déploiements peuvent alors être automatisés et ne nécessitent plus d’opérations
matérielles.

La NFV est en ce moment massivement adoptée par les opérateurs télécoms très intéressés par les
économies éventuelles sur les équipements comme les stations de transmission de base sur les réseaux
cellulaires mobiles (BTS : Base transceiver station). Plus de 90 sociétés, dont de nombreux opérateurs et
équipementiers parmi les plus importants du monde (AT&T, Bell, Huawei, Orange…), se sont regroupées en
2012 pour former le groupe ETSI (European Telecommunications Standards Institute) de normalisation du
secteur de la NFV, appelé ETSI NFV ISG (Industry Specification Group).

ˇ
https://www.etsi.org/technologies/nfv

Sur le marché français, Orange a déclaré en 2017 son souhait de virtualiser les CPE (Customer Provider
Edge) déployés chez les clients entreprises et particuliers. Ainsi, la « box » grand public serait vouée à
disparaître au profit de vCPE (CPE virtuel). Le CPE serait alors remplacé par un routeur quelconque dont le
but sera d’assurer la liaison IP, le reste des fonctions comme le NAT, le firewall, le streaming vidéo, la
téléphonie seront déportés au sein du réseau de l’opérateur sous la forme de machines virtuelles. En ce
qui concerne le flux TV, il sera décodé en amont par des équipements virtuels, une simple clé

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE - 11 -

 Mamourou SIDIBE

HDMI sera fournie au client pour l’affichage si nécessaire, sachant que les téléviseurs sont maintenant
connectables à un réseau IP directement.

d. Solutions proposées par éditeurs et équipementiers

Par rapport à ce marché grandissant du NFV, on distingue de nombreux acteurs où s’opposent

globalement équipementiers d’actifs réseau et éditeurs de solutions d’infrastructure virtuelle.

Cisco propose le switch virtuel Cisco NEXUS 1000V, des firewalls virtuels ASAv et plus globalement un OS
adapté à la virtualisation appelé IOS-XRv.

ˇ
https://www.cisco.com/c/en/us/solutions/service-provider/network-functions-virtualization-
nfv/index.html

VMware est un grand acteur du NFV depuis le rachat de la société Nicira en 2012 et propose une solution
appelée VMware NSX qui est un produit complet de gestion du réseau adapté pour du datacenter offrant
des fonctions de NFV au niveau du routage, du NAT et du firewalling (produit « logical et edge firewall »).
Plus globalement, VMware édite une suite packagée de plusieurs produits appelée VMware vCloud NFV.

ˇ
https://www.vmware.com/fr/products/network-functions-virtualization.html

Le lecteur pourra facilement tester les solutions en ligne de VMware sur le site :

ˇ
https://labs.hol.vmware.com/

Beaucoup d’éditeurs d’appliances matérielles type NGFW (cf. chapitre Principes de sécurité sur un réseau
local, section Solutions commerciales NGFW) avec notamment Juniper et Fortinet proposent maintenant
des solutions virtualisées exécutables sur les principaux hyperviseurs du marché et intégrables facilement
sur les infrastructures cloud Azure ou AWS.

ˇ
https://www.fortinet.com/products/public-cloud-security.html
ˇ
https://www.juniper.net/fr/fr/products-services/routing/mx-series/

Il existe également des alternatives open source avec notamment OpenVSwitch qui fait partie de la suite
de gestion de plate-forme cloud OpenStack.

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE - 12 -

 Mamourou SIDIBE

ˇ
https://www.openvswitch.org/

e. Performances des appliances réseau virtuelles

Dans le chapitre Principes de sécurité sur un réseau local, section Firewall matériel ou virtuel ?, sont
évoquées les difficultés des constructeurs à assurer les mêmes performances entre une appliance
matérielle et son équivalent virtuel. En effet, de par sa conception et la délégation de fonctions avancées
embarquées directement au niveau des puces ASIC, les performances en ce qui concerne le chiffrement
ou l’inspection de paquets jusqu’au niveau applicatif par exemple, semblent encore inégalées au niveau
virtuel dans le contexte d’un environnement réseau à forte capacité.

De plus, le nombre important d’opérations de lecture/écriture (I/O) correspondant aux traitements de

chaque paquet du réseau n’est pas sans répercussions sur le stockage hébergeant les machines
virtuelles. Au vu de ces exigences fortes, on aura tendance à activer moins de fonctions sur du virtuel.

Commercialement, il est clair que les équipementiers classiques n’avaient pas à l’origine intérêt à
développer ces types de solutions NFV, car leur marge sur le matériel faisait partie de leur modèle
économique. Pourtant, ils ont dû proposer des solutions sous peine de perdre l’intégralité du marché au
profit des éditeurs de solutions virtuelles (et c’est d’ailleurs actuellement le cas) qui sont les mieux placés
pour intégrer et donc proposer ce genre de fonctions dans leurs solutions.

4. Gestion des actifs réseau d’un datacenter

Au vu de l’explosion du nombre d’hyperviseurs et de machines virtuelles au sein des datacenters, il va de

soi que le nombre d’actifs réseau a lui aussi explosé. De plus, la NFV amène également à multiplier ces
actifs qui deviennent alors virtuels.

Il devient ainsi impossible ou en tout cas très difficile de configurer, maintenir et superviser l’ensemble de
ces actifs avec une méthode traditionnelle qui consisterait à gérer ceux-ci au cas par cas. C’est dans ce
contexte qu’est apparu le besoin de pouvoir les configurer de façon complètement centralisée : on ne
configure plus l’équipement en lui-même, ce sont des règles globales qui vont s’appliquer, faisant
abstraction des actifs et de leur fonction à

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE - 13 -

 Mamourou SIDIBE

partir d’une plate-forme unique qui se charge ensuite de les transmettre.

C’est l’un des principes d’une nouvelle approche de gestion du réseau que l’on appelle SDN (Software
Defined Network) abordée dans la section suivante.

© Editions ENI - Tous droits réservés - Copie personnelle de Mamourou SIDIBE - 14 -