Depuis quelque temps maintenant, nous avons la possibilité d’acheter des switchs dit « L3 », soit des switchs faisant le travail de routage au niveau de la couche trois du modèle OSI.
Un switch qui fait routeur ? Mais quelle drôle d’idée ! C’est effectivement la réaction que l’on peut légitimement avoir si on n’y regarde pas de plus près. Je vous propose de faire état des lieux des bonnes pratiques de topologie réseau et de voir comment un switch L3 va devenir très intéressant pour obtenir une topologie intéressante tout en gardant les performances attendues par les utilisateurs.
À quoi ressemble une bonne topologie réseau en entreprise ? À un joli petit paquet de VLAN. Toute PME ayant un réseau informatique et des employés à l’utilité des VLAN, même si ce n’est pas toujours bien compris par les administrateurs-système qui, dans le cas des PME, ont également le rôle d’administrateurs réseau.
Le principe des VLAN va être de découper un switch physique en plusieurs switch virtuels pour séparer les domaines de broadcast. L’idée étant d’avoir un ou plusieurs switchs manageable qui vont être configurées pour isoler entre eux les machines en fonction de leur classification (comptabilité, direction, atelier, WiFi, invités, serveurs…). Chaque VLAN aura sa propre plage IP et l’utilisation d’un routeur sera nécessaire pour passer d’un VLAN à un autre.
Les avantages de ce genre de système sont multiples et essentiellement liés à la sécurité. Un avantage que je vois concernant la sécurité, lors du routage entre VLAN vous pourrez — si votre routeur le permet — appliquer des règles de contrôle d’accès permettant de dire si oui ou non une machine du VLAN atelier à le droit de contacter le serveur du logiciel comptable. Autre avantage, vous pourrez au niveau de votre routeur mettre des filtres de contenu web pour interdire Facebook à l’atelier et l’autoriser à la direction. Tout dépendra des capacités de votre routeur.
Dans les PME ayant ce genre de système, on se retrouve très souvent avec une topologie de type « router on a stick » c’est-a-dire un ou plusieurs switchs avec des VLAN, tous relier à un routeur via un câble et c’est le routeur qui s’occupe de faire le passage d’un VLAN à l’autre.
Dans ce genre de situation le lien qui est monté entre le routeur et le switch est ce qu’on appel un trunk, c’est un lien de niveau 2 qui fait remonter au routeur plusieurs VLAN, il permet en quelque sorte d’étendre le switch virtuel que forme un VLAN pour l’amener sur d’autres équipements et profiter de leurs capacités (ports supplémentaires, routage…). La désignation « niveau 2 » du lien est importante, elle indique que le travail fait de part et d’autre est au niveau Ethernet et non IP.
La chose à voir ici est que pour toutes communications changeant de VLAN (un client à son serveur AFP par exemple), le routage entre les VLAN se fera via le routeur, ce qui veut dire que la vitesse de communication entre les deux postes n’est plus fonction du fond de panier de votre switch mais de la vitesse du trunk. Autant le dire, même avec de l’agrégation de lien ce sera lent.
Cela peut convenir aux situations ne nécessitant pas de haute performance d’écriture et avec peu de clients, mais cela reste difficilement tenable dans l’ensemble. C’est ici que les switch L3 prennent tout leur intérêt. Ils permettent de s’acquitter d’un goulot d’étranglement sur notre réseau en prenant en charge le routage localement, et à vitesse switché ! Ainsi le passage d’un VLAN à l’autre retrouve le même débit que votre réseau avant le passage du switch en niveau 3.
Mais cela implique un autre changement en topologie. Notre lien trunk qui reliait notre switch à notre routeur devient un lien de niveau 3, en effet, maintenant que notre switch agit comme routeur pour l’inter-VLAN, la relation qu’il aura avec le routeur en charge d’Internet sera une relation de routeur à routeur, au niveau IP.
Le changement est subtil, mais il est lourd de conséquences sur votre administration réseau. Vous allez devoir gérer les routes de vos routeurs, chose oubliée de bien des administrateurs de nos jours…
Alors ? En quoi ça consiste la gestion de table de routage ? L’idée est simple, par configuration manuelle ou automatique, chaque routeur devra indiquer à ses voisins les réseaux auxquels il a accès et la métrique associée (est-ce un réseau connecté localement ou accessible à travers un autre routeur plus loin ?).
Notre switch L3 dispose de l’accès à trois réseaux que notre routeur ne connais pas, de même notre routeur dispose d’une route de sortie par défaut lorsqu’un réseau demandé n’est pas connu. Notre configuration devra donc faire en sorte que le siwtch L3 connaisse la route par défaut et que le routeur connaisse les trois réseaux accessibles via le switch L3.
Sur le matériel d’entrée de gamme comme le Cisco SG300 ou SF500 vous n’aurez pas le choix, le switch ne disposant pas de protocole de routage vous devrez rentrer la configuration à la main et ainsi dire sur le routeur que 10.1.1.0/24, 10.1.2.0/24 et 10.1.3.0/24 sont accessible via 10.1.255.2. De même vous devrez dire sur le switch que la route par défaut (noté 0.0.0.0/0) est 10.1.255.1, ce qui aura pour effet d’envoyer au routeur toutes les communications pour des adresses inconnues.
Note : ne cherchez pas à résumer vos tables de routage sans vraiment expérimenter, pour des petits réseaux comme cela ce n’est pas grave si votre table est fragmentée et que vous avez une entrée par /24. Simplement, essayez de garder un minimum de cohérence dans votre plan d’adressage pour qu’un /16 (10.1, 10.2…) soit attribué à un seul et unique site. Cela permettra de simplifier le routage intersite.
Si vous avez opté pour un produit comme le Cisco SG300X ou SF500X vous disposez du support du protocole de routage RIPv2. Ce n’est pas le plus intéressant, mais il convient tout à fait au besoin. Lors de sa configuration, tout ce que vous aurez à faire c’est entrer un secret partagé entre les routeurs pour permettre leur dialogue en toute sécurité (et éviter que quelqu’un n’injecte de fausses routes dans votre réseau et détourne ainsi tout le trafic.
Voilà. Vous vous demandiez à quoi ça sert un switch L3 ? Vous avez la réponse, et de mon point de vue c’est très utile. Ça permet de construire une topologie réseau réellement évolutive disposant de plusieurs zones de sécurité et de plusieurs méthodes pour renforcer la sécurité générale de votre réseau.