Le modèle du réseau d’entreprise de nouvelle génération

Comment aujourd’hui réaliser des solutions idéales de réseau d’entreprise ?

Comment disposer d’une infrastructure de réseau critique ? D’un accès au réseau à la demande et sécurisé ? D’une gestion opérationnelle sans interruption ? De communications métier unifiées et du retour maximal sur investissements ?

Un réseau d’entreprise nouvelle génération adapté à chaque métier

L’étude de ces grands secteurs informe sur leurs besoins métier, leurs processus internes et externes, leurs méthodes de communication et leurs objectifs. L’étude des besoins de chaque secteur fournit une base pour bâtir le réseau d’entreprise de nouvelle génération.

Dans beaucoup d’universités, les responsables réseau utilisent un environnement réseau basé sur des standards ouverts, ce qui permet la connexion des visiteurs. Cependant, ils s’assurent de sécuriser les parties du réseau qui contiennent des dossiers et des informations critiques. Le secteur de l’enseignement, et surtout les universités, utilise les technologies réseau les plus récentes telles que le MPLS ou le 10 Gigabit Ethernet.

Les besoins réseaux des organismes d’état sont nombreux et complexes, mais tous attachent une grande importance à la sécurité. La plupart des agences du gouvernement exigent que les informations sensibles soient protégées et donc que toutes les couches du réseau soient sécurisées. Voici une liste non exhaustive de leurs besoins : Accès sécurisé et contrôlable aux équipements réseau, l’équipement réseau peut contrer toute attaque par déni de service, protection contre les attaques par intrusion, et possibilité de re-router le trafic à tout moment. Les utilisateurs disposent d’une autorisation sécurisée pour accéder à la demande à n’importe quel service réseau. Le routage IPv6 est l’une des fonctions souvent réclamées par les administrations, notamment par les organismes fédéraux des États-Unis. En effet, ils ont l’obligation de n’installer que des équipements réseau compatibles IPv6. Ces appareils doivent, bien entendu, intégrer les fonctionnalités de sécurité indiquées ci-dessus.

En matière de réseau, les institutions du secteur financier sont encore plus exigeantes que les autres entreprises. Par exemple, elles distribuent des vidéos pour communiquer des informations financières. Cette distribution exige des protocoles de multidiffusion en couches 2 et 3, et des contrôles sophistiqués de trafic en multidiffusion. Mais le streaming de multimédia n’est pas la seule exigence du secteur financier. Certaines institutions agissent comme fournisseur de services pour d’autres. Les divers accords de service entre les institutions exigent une gestion contrôlée, obtenue dans le cadre d’une offre de service réseau adaptée. Cette offre doit pouvoir contrôler la redistribution de multidiffusion. Les réseaux convergents sont une autre demande du secteur financier ainsi que d’autres secteurs. Les réseaux convergents associent la voix, la vidéo et les données sur une même infrastructure réseau, apportant des économies et une réduction des coûts opérationnels. Ils servent également dans le cadre de déploiements sans fil en entreprise.

Structure du réseau « Next Gen »

La structure du réseau d’entreprise de nouvelle génération. NextGEN se présente ainsi :

Une infrastructure réseau critique
Un accès réseau à la demande, sécurisé
Des communications unifiées
Une gestion opérationnelle sans interruption

Un réseau digne de ce nom s’appuie sur une infrastructure critique, capable de gérer des services réseau de tailles variées, et de déterminer rapidement les priorités de distribution, sans introduire de latence. Une infrastructure réseau critique bénéficie d’une sécurisation qui évite les interruptions de réseau à cause d’intrusions ou d’attaques par déni de service. L’accès réseau sécurisé et à la demande protège les ressources, sans pour autant imposer trop de gestion et d’administration. Aujourd’hui, le contrôle de l’accès des utilisateurs aux ressources réseau est fastidieux, ce qui contrarie l’administration et rend le réseau vulnérable aux attaques. L’approche idéale consiste donc à automatiser l’accès au réseau, grâce à un système de sécurité basé sur des règles. Les communications métier sont essentielles à la réussite de l’entreprise et leur unification permet de combiner les ressources associées. La possibilité de collaborer en toute transparence favorise l’échange d’idées, ce qui peut stimuler la croissance de l’entreprise et de son chiffre d’affaires. De nombreuses technologies réseau avancées facilitent la mise en place de communications métiers unifiées.

Enfin, l’administration sans interruption réduit les coûts opérationnels. Par exemple, si la résolution des incidents réseaux prend trop de temps, elle augmente les coûts opérationnels et nuit à la productivité. Une solution automatisée aide à réduire les coûts opérationnels.

La réalisation d’une infrastructure réseau critique exige de disposer d’une base solide pour gérer la croissance du trafic, de fonctionnalités réseaux complètes pour s’accommoder de n’importe quelle conception réseau, et d’une sécurisation de toute l’infrastructure afin de prévenir les attaques. Pour disposer d’une base solide, il faut que chaque section de l’infrastructure réseau (le cœur, l’agrégation et l’armoire de câblage) soit équipée de produits acceptant le 10 Gigabit Ethernet haute densité. Face à la multiplication des services vidéo, il faut pouvoir transmettre des flux vidéo sans coupure et sans contrarier les autres services, par exemple la voix. Les services vidéo exigent beaucoup de bande passante, et donc une infrastructure adaptée. La souplesse de définir la priorité des trafics est également nécessaire à la solidité de la base. Le trafic de haute priorité, comme la voix, doit traverser le réseau sans latence ni saccades. Pour cela, le réseau doit disposer de fonctions sophistiquées de QoS et d’équipements dont les circuits ASIC peuvent découper le trafic en cellules faciles à classifier. La sécurisation de toute l’infrastructure réseau participe à une disponibilité élevée. À la base, il faut protéger les appareils de l’infrastructure pour contrecarrer les attaques par déni de service, contre elle ou les réseaux reliés. Pour protéger les informations, il convient également de bloquer les attaques par intrusion. La sécurité impose également de protéger les services réseau. Chaque section de l’infrastructure réseau doit intégrer des fonctions de sécurité, telles que le BPDU et le Root Guard, pour éviter les attaques par broadcast storm (tempête de diffusion) qui affectent la stabilité du réseau. Enfin, des fonctions avancées de commutation et de routage, telles que 802.1s, Metro Ring Protocol, OSPF, MPLS, etc. sont requises pour mettre en place une base solide. Les produits réseau les plus complets intègrent directement ces fonctionnalités, qui sont donc immédiatement disponibles pour assurer davantage de souplesse lors de la conce
ption des réseaux, quelle que soit leur taille. Par exemple, l’utilisation du Metro Ring Protocol en couche 2 et de l’OSPF en couche 3 conduit à une infrastructure réseau robuste et fiable.

Un accès réseau à la demande, sécurisé

La sécurisation du périmètre garantit la protection de la périphérie, le point d’entrée des attaques réseau. Parmi les fonctionnalités disponibles, le Dynamic ARP Inspection bloque les intrusions, et IP Source Guard mappe une adresse MAC connue sur une adresse IP pour éviter de mettre en danger un hôte. En outre, la possibilité de vérifier les droits d’un utilisateur ou d’un hôte par authentification MAC ou 802.1X, donne l’assurance que seul les utilisateurs autorisés accèdent au réseau. L’authentification des hôtes ou des utilisateurs n’est que la première étape. Pour bénéficier d’une affectation des règles sécurisées et à la demande, il faut ajouter la possibilité d’autoriser et de suivre le trafic réseau d’un hôte ou d’un utilisateur. À l’instar de Microsoft avec Network Access Protection, beaucoup d’éditeurs proposent aujourd’hui des solutions sécurisées d’affectation des règles à la demande, pour les utilisateurs réseau. Il faut donc pouvoir gérer ces solutions. Au minimum, il faut utiliser 802.1X et RADIUS. D’autres fonctions, comme la liaison dynamique d’une liste de contrôle d’accès ou d’un VLAN avec l’utilisateur 802.1X après l’authentification, facilitent l’automatisation du processus de contrôle d’accès. Dans certains secteurs, comme l’enseignement, les hôtes ne sont pas tous compatibles 802.1X. L’authentification MAC est alors une alternative, et il est possible d’automatiser la procédure d’authentification en liant automatiquement une ACL ou un VLAN à l’adresse MAC authentifiée. Le suivi du trafic réseau d’un utilisateur autorisé favorise la gestion de la conformité. Des réglementations comme le Sarbanes-Oxley Act exigent de mettre en place un réseau dont le trafic soit facilement auditable. Cette obligation implique que le matériel dispose de fonctions spécialisées, comme sFlow ou RFC 3176, pour aider à rassembler des statistiques réseaux et des informations sur l’usage des applications par un utilisateur, sans contrarier les performances réseau. sFlow facilite la gestion de la conformité et peut bloquer les attaques réseau. par exemple en l’associant avec IronView Network Manager et un système de prévention contre les intrusions (IPS) tel que SNORT ou un produit day zero de Lancope ou Arbor. C’est sur ces capacités que s’appuie IronShield 360%u02DA. Le principe est simple. Les commutateurs intelligents envoient les données sFlow à un IPS, qui les analyse pour détecter d’éventuelles attaques. En cas de détection, l’IPS envoie une alerte à IronView Network Manager (INM) qui prend les mesures définies à l’avance. Il peut s’agir d’envoyer un e-mail au responsable réseau pour l’informer de l’attaque, d’exécuter une commande de fermeture de port, de configurer une ACL, ou d’une combinaison de ces opérations. sFlow transmet des informations comme les adresses IP source et destination, ainsi que le paquet lui-même, ce qui améliore l’analyse des applications réseau. Ces informations peuvent aussi servir dans le cadre d’activités réseau stratégiques comme la planification de la capacité, la résolution des incidents et le contrôle des performances. Lors d’une migration depuis IPv4 vers IPv6, sFlow pour fournir une ligne de base pour les applications réseau, avant, pendant et après la transition.

Des communications unifiées

La norme IEEE 802.3af (Power over Ethernet ou PoE) a révolutionné les communications en entreprise en permettant d’alimenter via le câble Ethernet des appareils comme les téléphones IP, points d’accès sans fil, systèmes de biométrie et caméras vidéo. Beaucoup d’entreprises l’utilisent pour réaliser des réseaux convergents voix et données moins coûteux et qui réduisent les coûts opérationnels. Toutefois, de plus en plus d’appareils exigent une puissance supérieure à celle spécifiée par le 802.3af. C’est le cas des points d’accès Wi-Fi 802.11n, des caméras de sécurité orientables (PTZ, panoramique, zoom et inclinaison) et des téléphones IP dotés de fonctions sophistiquées comme la vidéoconférence, lesquelles renforceront les communications unifiées. Les communications unifiées sont au cœur des communications de l’entreprise, et ne sont efficaces que lorsque leurs outils fonctionnent parfaitement ensemble. Pour garantir l’échange des informations au niveau des appareils de la périphérie, l’IEEE a développé la norme 802.1AB qui couvre le protocole LLDP (Link Layer Discovery Protocol), et sa déclinaison MED (Media Endpoint Discovery). Comme le montre la Figure 7, LLDP et LLDP-MED permettent d’échanger des informations pour déterminer et déployer la configuration des appareils de périphérie. Face au succès de la vidéoconférence, les équipements réseaux des armoires de câblage doivent gérer le snooping IGMP (Internet Group Management Protocol) v1/v2/v3 utilisé par les hôtes IPv4, ainsi que le snooping MLD (Multicast Listener Discovery) v1/v2 utilisé par les hôtes IPv6, pour la multidiffusion. MLD v2 et IGMP v3 acceptent la transmission pour des abonnements à un canal précis (source particulière d’un groupe, source-specific multicast ), ce qui n’est pas le cas des MLD v1 et IGMP v2. Cette fonction route le trafic multicast uniquement vers les abonnés, supprimant la distribution d’un trafic vidéo non demandé et réduisant le trafic total.

Une gestion opérationnelle sans interruption

La gestion opérationnelle sans interruption doit couvrir les défauts, la configuration, la comptabilisation, les performances et la sécurité (FCAPS). Le modèle ISO FCAPS définit des tâches de gestion réseau, et dans les organisations sans facturation, la Comptabilisation est parfois remplacée par l’Administration.

Foundry IronView Network Manager (INM) apporte aux réseaux câblés et sans fil les avantages de FCAPS. INM permet aisément de modifier des fonctionnalités complexes à l’échelle du réseau, comme les ACL et les VLAN, la mise à jour des logiciels et de la configuration, les alertes et les événements. Basé sur Java, INM permet aux opérateurs réseau de contrôler en toute transparence la mise à jour des logiciels et de la configuration des produits Foundry, depuis n’importe où. Il facilite donc une gestion complète des réseaux. Le réseau peut automatiser et accélérer les fonctions de résolution des incidents, grâce à une gestion personnalisée des événements. Par exemple, on peut créer un trap personnalisé portant sur l’utilisation du processeur, et qui se déclenche si le seuil d’utilisation est dépassé par un appareil sur le réseau. Il peut s’agir de l’envoi automatisé d’un e-mail aux administrateurs réseau ou d’une action pour réduire l’utilisation du processeur, pour signaler le problème et le gérer automatiquement. Cette procédure très simple accélère la résolution des incidents et participe à réduire les dépenses opérationnelles.

Les grandes entreprises cherchent également une plate-forme unique, capable de gérer un grand nombre d’appareils réseau. Elle simplifie des processus comme la résolution des incidents, la planification de capacité, la gestion d’inventaire, le déploiement et la standardisation des logiciels des équipements réseau, etc. À l’avenir, la compatibilité avec les équipements réseau des autres constructeurs offrira une solut
ion complète de gestion du réseau.

En résumé

Pour bâtir un réseau NextGEN, l’entreprise doit investir en permanence dans son infrastructure réseau et services. Pour surclasser la concurrence et se différencier d’un point de vue stratégique, il lui faudra une infrastructure réseau basée sur les produits Foundry. Ces produits facilitent la mise en œuvre de services avancés comme la vidéo, qui autorise une collaboration dynamique, temps-réel et en tout lieu.

D’autres entreprises, au niveau fédéral, d’Europe ou d’Asie, vont passer à l’IPv6. La migration vers le routage IPv6 est pour elles une réalité, et elles adopteront rapidement la nouvelle infrastructure. La création d’une infrastructure IPv6 à l’aide des produits Foundry se traduit par le plus faible coût total de possession. Foundry propose des produits pour le centre de données, le cœur de réseau, l’agrégation et l’armoire de câblage. Ces produits apportent immédiatement les performances et les fonctions complètes de sécurité, au bénéfice d’une solution sophistiquée de convergence.

Un réseau NextGEN apporte les avantages suivants, immédiatement disponibles dans les produits Foundry :

Une offre solide, avec un matériel extrêmement fiable

Les familles FastIron SuperX, BigIron RX et NetIron MLX intègrent les fonctions d’administration et bénéficient d’une redondance de commutation, notamment les alimentations pour les systèmes et les PoE. Les modèles BigIron RX et NetIron MLX sont conçus pour les grands réseaux exigeant jusqu’à 512 ports en 10 Gigabit Ethernet ou des fonctions avancées comme le MPLS.

Des caractéristiques pour les grandes entreprises

Le NetIron MLX route jusqu’à 2 milliards de paquets par seconde, et convient parfaitement en tant que routeur central. Tout comme le NetIron MLX, le BigIron RX accepte une redondance N+1 de matrice de commutation et le basculement de l’administration sans perte, pour garantir des performances et une disponibilité supérieures.

La famille FastIron SuperX, qui comprend également des modules redondants d’administration et de matrice de commutation, accepte jusqu’à 384 ports PoE full Class 3 avec PoE redondant, afin de réaliser des solutions de convergence de haute densité pour n’importe quel secteur vertical.

Un riche ensemble de fonctions de sécurité

Tous les produits Foundry incluent des systèmes sophistiqués de sécurité, pour bloquer les attaques réseau, directes ou visant les réseaux connectés. Parmi ces systèmes figurent la protection ICMP Smurf et TCP Syn. Des fonctions d’authentification de l’utilisateur sont également disponibles, comme 802.1X et MAC, avec l’affectation dynamique de VLAN ou d’ACL.

Le TCO le plus faible et le ROI le plus élevé.

Foundry propose les solutions de plus haute densité pour le 10 Gigabit Ethernet, le PoE et le Gigabit Ethernet sur cuivre. Mieux encore, ces produits sont ceux qui consomment le moins et demandent le moins de refroidissement du marché. Pour beaucoup d’entreprises, ceci ce traduit par une réduction des coûts opérationnels.

Tous les produits Foundry intègrent sFlow, qui peut être utilisé pour protéger l’ensemble du réseau avec INM, une application de prévention des intrusions comme SNORT, ou les produits de Lancope et Arbor.

Foundry Networks conçoit des produits réseaux pour les communications de nouvelle génération en entreprise. Le réseau est une plate-forme stratégique pour de nombreuses entreprises. Il aide à intégrer les informations et les idées. Le développement d’une entreprise dépend de la capacité de ses collaborateurs à communiquer et à échanger des informations en temps réel. Avec les produits de Foundry Networks, c’est possible.