Janvier 2010

Sr

Virtualisation - Principes et fonctionnement Campus

INTRODUCTION
Les entreprises implmentent aujourdhui majoritairement des infrastructures routes, pour des besoins de haute disponibilit, et dvolutivit. Le rseau fdre dsormais les flux de diverses entits dune mme entreprise, de partenaires ou soustraitants ainsi que dinvits. Le besoin de segmentation et de virtualisation au sein du rseau de lentreprise est donc de plus en plus important afin de supporter les nouvelles applications, la scurit entre les groupes dutilisateurs ainsi que la ncessaire souplesse dvolution en fonction des demandes. Le rseau doit donc tre mme de fournir une isolation de couche 2 et de couche 3, renforant la scurit pour les abonns partageant cette mme infrastructure. Les entits nauront aucune possibilit de communiquer les unes avec les autres, sans une dfinition explicite de ces autorisations. Pour cela, il est ncessaire de virtualiser les instances de routage, les services des diffrents quipements constituant cette infrastructure ainsi que les chemins entre les routeurs. Les routeurs Cisco ainsi que la gamme de commutateurs Catalyst supportent ds prsent la notion de routeurs virtuels (VPN routing and forwarding instances, RFC 2547) qui sont la base de la technologie plus globale utilise par les oprateurs MPLS-VPN.

PRINCIPE DE LA VIRTUALISATION
La solution de virtualisation dun rseau comprend : - la virtualisation des routeurs/catalyst du rseau - la virtualisation des liens reliant les routeurs pour assurer lisolation du trafic - la virtualisation des services tels que firewall, load-balancing etc La segmentation du rseau est ralise en sparant les utilisateurs dans des instances de routage et de forwarding diffrentes appeles VRF pour Virtual Routing and Forwarding.

Les VRFs ainsi utilises pour assurer le partitionnement de linfrastructure : Permettent la constitution de Virtual Private Network (VPNs) Fournissent un moyen scuris daccder lensemble des machines des centres de production de lentreprise. Permettent galement aux diffrentes entits dutiliser des rseaux IP en overlapping, ce qui nest pas support avec du routage IP global.

Cette technologie est aujourdhui dploye dans les rseaux LAN & MAN des entreprises et drive directement de la notion de Virtual Routing and Forwarding (VRF) implmente dans les rseaux MPLS-VPN. Laccs une VRF pourra se faire statiquement par laffectation de linterface VLAN dans une VRF, ou bien dynamiquement en utilisant 802.1x et laffectation de vlan. Les mthodes permettant lisolation du trafic entre les routeurs peuvent se diviser en deux grandes catgories : Single Hop Data Path Virtualisation : on retrouve l les mthodes de tagging de trames telles que 802.1Q, ATM VC, Frame Relay DLCI ou autres qui permettent daffecter une valeur spcifiques de tag en fonction de la VRF. Dans un environnement campus, on utilisera principalement lencapsulation

802.1Q bien sr. La solutiobn VRF-Lite entre dans cette catgorie et est principalement utilise dans des environnements de campus ou le nombre de routeurs est limit. Multi-hop Data Path Virtualisation : on retrouve dans cette catgorie, les mthodes de tunneling permettant de relier une VRFx dun routeur avec une VRF-x sur un autre routeur au travers dun rseau IP. On retrouve donc les tunnels GRE, L2TPv3 et bien sr LSP (MPLS-VPN)

UTILISATION DE TUNNELS GRE

Dans ce cas de figure, on utilise un tunnel GRE pour relier une VRF avec une autre VRF au travers dun rseau de campus IP. Typiquement une mthode facile pour implmenter un guest access. Lencapsulation GRE est supporte en hardware sur les Catalyst 6500 sup720/sup32 et en software sur les Catalyst 4500.

Lavantage est de ne pas toucher au cur du rseau et de nimplmenter les VRFs que l o il y en a besoin. Linconvnient majeur et que cela peut entrainer une complexit importante si on relie en full mesh. Cette mthode est donc plutt utilise dans une architecture hub and spoke o tous les tunnels se terminent sur des Catalyst 6500 centraux.

UTILISATION DE MPLS-VPN

Il sagit l de la mthode classique de constitution des VPNs. Cela suppose de mettre en phase la labelisation dans le cur du rseau, de mettre en place LDP pour la distribution de ces labels ainsi que BGP pour distribuer les routes VPN ainsi que les labels associs. On trouvera surtout cette mthode employe dans les rseaux mtropolitains, WAN mais aussi dans quelques rseaux importants de campus.

Dans ce cas, les routeurs de distribution faisant linterconnexion entre le rseau MPLS de cur et la priphrie peuvent tre vus comme ci-dessous, dun cot avec des interfaces 802.1Q et de lautre des interfaces lablises MPLS :

UTILISATION DE VRF-LITE
On trouve ce dernier modle plus rcemment mais de plus en plus souvent. Lide est de conserver les VRFs mais de ne pas implmenter le modle MPLS. Au lieu de cela, les routeurs seront interconnects avec des interfaces permettant de relier les VRFs en conservant lisolation. Pour se faire, nous tablissons un trunk 802.1q entre les 2 quipements connecter.

Il suffit alors de dfinir des sub-interfaces sous linterface physique dinterconnexion, et dassocier ces subinterfaces aux VRF router sur le trunk.

La table de forwarding nautorisant pas la commutation de paquet entre des sub-interfaces associes des VRF-id diffrents, aucun paquet ne pourra tre commut entre ces sub-interfaces. Le rseau est alors dit VRF-lite End-to-End, c'est--dire que ce modle est rpercut et implment dans tous les Catalyst/routeurs du rseau de campus : Les avantages vidents de cette mthode sont dans la facilit dutilisation puisque cela reste un rseau rout (OSPF ou EIGRP) mais simplement par VRF au lieu dtre global. Lexploitation nen est que trs peu modifie et il ny a pas de nouveaux protocoles comme BGP ou LDP apprendre. Par contre, cette configuration des sous interfaces entre les routeurs est manuelle.

COMMUNICATION INTER-VRF
Les utilisateurs sont donc rpartis dans les diffrents VPN, il reste la ncessit de les interconnecter. Deux mthodes principales : Utiliser un firewall pour le filtrage du trafic entre les diffrents VPN du rseau. Ce firewall pourra tre externe, mais sera de prfrence interne en utilisant la carte FWSM du catalyst 6500 qui a elle-mme la possibilit dimplmenter des contextes virtuels. Lavantage principal tant bien sur de dfinir les rgles ncessaires pour nautoriser quun certain type de trafic. Tout les flux transitant dun VPN un autre VPN traverseront le firewall et seront donc analyss. Utiliser un processus mBGP en local sur un Catalyst. On pourra alors redistribuer les routes entre les VPNs en utilisant la notion de route-target, notion qui est la base de la population des routes dans les VRFs dans des environnements MPLS-VPN. Tous les flux transitant dun VPN a un autre VPN sont alors commuts localement par le Catalyst 6500. Ce type de solution est utilise dans les environnements dentreprises ou plusieurs VPN utilisateurs doit accder des ressources communes situes dans un VPN de type serveurs par exemple.

Service dinterconnexion purement rseau (routage uniquement). Le routage inter-VRF utilise un processus de routage mBGP, permettant un contrle prcis des subnets devant tre routs dune VRF lautre.

Lexemple ci-dessus montre la configuration des rgles dImport / Export permettant aux VPN1 et VPN2 daccder des ressources mutualises dans VPN-SERVERS. Il est important de noter ici, que malgr le fait que VPN1 et VPN2 accdent au VPN-SERVEURS, VPN1 et VPN2 ne pourront pas communiquer ensemble. En effet, VPN1 nimportant pas VPN2 et VPN2 nimportant pas les subnets de VPN1, les 2 tables de routage resteront totalement disjointes. Cette interconnexion de VRF au travers de BGP peut tre ralise en local avec un seul process BGP nayant aucun peer dfini. Le process BGP nest alors utilis que pour raliser linterconnexion des VRFs comme illustr ci-dessous :

Service dinterconnexion scuris (via Firewall) Linterconnexion scurise des VRF passera par lutilisation dun Firewall qui pourra tre externe cette infrastructure, ou bien de faon plus optimise par une fonction Firewall interne aux quipements et supportant elle aussi la notion de virtualisation. Comme illustr ci-dessous les contextes virtuels du Firewall seront mapps aux VRF dfinies.

Les Firewalls Cisco permettant dinterconnecter les VRF peuvent tre configurs de 2 manires diffrentes : Firewall en mode transparent Firewall en mode rout

CONCLUSION
Les services de virtualisation et segmentation sur les rseaux permettent dapporter une trs grande souplesse dans la constitution des groupes dutilisateurs tout en assurant leur scurisation. Les solutions actuelles sont trs utilises et Cisco travaille de manire importante sur ce sujet pour continuer apporter de la valeur ainsi que des fonctionnalits permettant un dploiement plus rapide et une exploitation simplifie.

Contactez-nous : www.cisco.fr 0800 907 375

Sige social Mondial Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134-1706 Etats-Unis www.cisco.com Tl. : 408 526-4000 800 553 NETS (6387) Fax : 408 526-4100 Sige social France Sige social Amrique Cisco Systems France Cisco Systems, Inc. 11 rue Camille Desmoulins 170 West Tasman Drive 92782 Issy Les Moulineaux San Jose, CA 95134-1706 Cedex 9 Etats-Unis France www.cisco.com www.cisco.fr Tl. : 408 526-7660 Tl. : 33 1 58 04 6000 Fax : 408 527-0883 Fax : 33 1 58 04 6100 Sige social Asie Pacifique Cisco Systems, Inc. Capital Tower 168 Robinson Road #22-01 to #29-01 Singapour 068912 www.cisco.com Tl. : +65 317 7777 Fax : +65 317 7799

Cisco Systems possde plus de 200 bureaux dans les pays et les rgions suivantes. Vous trouverez les adresses, les numros de tlphone et de tlcopie ladresse suivante :

www.cisco.com/go/offices Afrique du Sud Allemagne Arabie saoudite Argentine Australie Autriche Belgique Brsil Bulgarie Canada Chili Colombie Core Costa Rica Croatie Danemark Duba, Emirats arabes unis Ecosse Espagne Etats-Unis Finlande France Grce Hong Kong SAR Hongrie Inde Indonsie Irlande Isral Italie Japon Luxembourg Malaisie Mexique Nouvelle Zlande Norvge Pays-Bas Prou Philippines Pologne Portugal Porto Rico Rpublique tchque Roumanie Royaume-Uni Rpublique populaire de Chine Russie Singapour Slovaquie Slovnie Sude Suisse Taiwan Thalande Turquie Ukraine Venezuela Vietnam Zimbabwe
Copyright 2009 Cisco Systems, Inc. Tous droits rservs. CCSP, CCVP, le logo Cisco Square Bridge, Follow Me Browsing et StackWise sont des marques de Cisco Systems, Inc. ; Changing the Way We Work, Live, Play, and Learn, et iQuick Study sont des marques de service de Cisco Systems, Inc. ; et Access Registrar, Aironet, ASIST, BPX, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, Cisco, le logo Cisco Certified Internetwork Expert, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, le logo Cisco Systems, Cisco Unity, Empowering the Internet Generation, Enterprise/Solver, EtherChannel, EtherFast, EtherSwitch, Fast Step, FormShare, GigaDrive, GigaStack, HomeLink, Internet Quotient, IOS, IP/TV, iQ Expertise, le logo iQ, iQ Net Readiness Scorecard, LightStream, Linksys, MeetingPlace, MGX, le logo Networkers, Networking Academy, Network Registrar, Packet, PIX, Post-Routing, Pre-Routing, ProConnect, RateMUX, ScriptShare, SlideCast, SMARTnet, StrataView Plus, TeleRouter, The Fastest Way to Increase Your Internet Quotient et TransPath sont des marques dposes de Cisco Systems, Inc. et/ou de ses filiales aux tats-Unis et dans dautres pays.

Note:

Note:

Toutes les autres marques mentionnes dans ce document ou sur le site Web appartiennent leurs propritaires respectifs. Lemploi du mot partenaire nimplique pas ncessairement une relation de partenariat entre Cisco et une autre socit. (0502R) 205534.E_ETMG_JD_10/09