Présentation
EnglishRÉSUMÉ
Le besoin d’hébergement des applications et de données ne cessent de croitre. Mais cette augmentation fait apparaitre 2 contraintes a priori opposées : il faut à la fois rationaliser les machines pour maintenir les coûts de fonctionnement et environnementaux, mais il faut aussi parfaitement isoler les applications et les données entre-elles. Ce défi est l’élément de base de la virtualisation : réutiliser au maximum les ressources, tout en donnant à chacun le sentiment d’avoir un environnement dédié. C’est ce défi que cet article se propose d’aborder en focalisant sur le réseau local.
Cet article décrit comment, en partant d’un réseau conçu à une époque où de tels besoins n’existaient pas, des mécanismes de cloisonnement ont pu être mis en place. Il aborde aussi le cloisonnement logique Ethernet (VLAN) au sein d’un pare-feu (instance virtuelle de pare-feu par réseau logique dans FreeBSD), mais aussi au sein d’un hyperviseur (cloisonnement de bout en bout et sa mise en œuvre dans VMware).
Enfin, et sachant que la concentration des besoins d’hébergement devient très importante, cet article détaille également l’évolution des équipements de réseaux locaux pour aller vers un agrégat d’équipements, celui-ci devant être vu comme un équipement unique.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Fabrice BRUEL : Architecte sécurité - Orange Business Service
INTRODUCTION
Domaine : Réseau Ethernet
Degré de diffusion de la technologie : Émergence | Croissance | Maturité
Technologies impliquées : switch, pare-feu, Ethernet, 802.1q, hyperviseur
Domaines d'application : hébergement de serveurs, virtualisation, réseaux locaux
Principaux acteurs français : Industriels : Alcatel-Lucent, Orange
Autres acteurs dans le monde : Juniper, Cisco, VMware, FreeBSD Foundation
Contact : [email protected]
MOTS-CLÉS
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Technologies de l'information > Réseaux Télécommunications > Réseaux et télécoms : innovations et tendances technologiques > Virtualisation des réseaux locaux - Switch, hyperviseur et pare-feu > Virtualisation des réseaux locaux dans les pare-feux
Cet article fait partie de l’offre
Automatique et ingénierie système
(139 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
3. Virtualisation des réseaux locaux dans les pare-feux
Le VLAN permet donc à notre hébergeur de connecter sur le même switch les serveurs de ses différents clients, sans qu'ils se voient entre eux. Mais, ces serveurs sont protégés d'Internet par un pare-feu, il faut donc que ce pare-feu sache lui aussi cloisonner ces différents réseaux locaux.
Autrement dit, il est nécessaire que le pare-feu intègre la notion de VLAN.
Imaginons l'architecture suivante (illustré à la figure 4) :
-
notre hébergeur dispose d'un accès Internet et d'un pool d'adresses IP publiques. Pour chacun de ses clients, il utilise une de ses adresses publiques ;
-
chaque VLAN de serveurs web dispose de son propre plan d'adressage IP privé ;
-
au niveau du pare-feu, chaque paquet à destination d'une adresse publique est translaté en adresse privée associée (Network Address Translation, NAT).
Pour assurer la continuité des réseaux locaux virtuels jusqu'au pare-feu, le lien entre le switch et le pare-feu sera donc un lien de type « trunk ». C'est le pare-feu qui décidera, en fonction du plan d'adresse IP visé, quel tag il doit attribuer à ce paquet Ethernet.
Notre hébergeur a choisi d'utiliser un pare-feu libre, basé sur Packet Filter (PF) et FreeBSD, pour sa robustesse, sa simplicité de mise en œuvre et son faible coût. FreeBSD est un Operating System (OS) Unix qui fonctionne sur des serveurs de type PC i386.
Au niveau de FreeBSD, un port trunk, c'est une interface physique (sur notre exemple : em0). Pour chaque VLAN, on crée une interface virtuelle et on indique que cette interface est portée par l'interface physique trunk : em0.
La commande ifconfig utilisée pour créer l'interface VLAN a besoin, au minimum, des informations suivantes :
-
le nom du VLAN : VLAN100 ;
-
le VLAN_id : 100 ;
-
l'interface physique de rattachement ;
-
l'adresse IP du pare-feu dans le VLAN associé.
-
Processus
-
Cette interface virtuelle peut être vue comme un port « access » sur un switch.
Un paquet qui arrive du réseau vers le pare-feu, arrive via un trunk. C'est donc un paquet avec le tag 802.1q. Ce paquet commence par traverser l'interface physique em0 du pare-feu, qui analyse le tag, le retire, et passe le paquet...
-
Cet article fait partie de l’offre
Automatique et ingénierie système
(139 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Virtualisation des réseaux locaux dans les pare-feux
BIBLIOGRAPHIE
DANS NOS BASES DOCUMENTAIRES
ANNEXES
• Construction de jail + vImage sur FreeBSD http://bsdbased.com/2009/12/06/freebsd-8-vimage-epair-howto
• Vue d'ensemble de Ofabric de Juniper http://www.juniper.net/techpubs/en_US/junos11.3/topics/concept/qfabric-overview.html
• Les vSwitchs dans les produits vSphere de VMware http://www.vmware.com/products/vnetwork-distributed-switch/overview.html
HAUT DE PAGECet article fait partie de l’offre
Automatique et ingénierie système
(139 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive