le livre est un peu cher en version papier, mais son contenu intéressant compense.
Philippe RArchitectures réseau d’entreprise Concevoir des infrastructures réseau évolutives
1 avis
Ce livre sur les architectures réseau s’adresse au lecteur désireux de concevoir des infrastructures réseau fiables et évolutives pour répondre aux besoins en constante évolution des entreprises. Sans prétendre être exhaustif, ce livre aborde ainsi différents sujets liés aux architectures réseau (enjeux business, principes généraux, réseaux Fabric, interconnexions, accès à Internet, sécurité, réseaux locaux), étudiés séparément selon une approche résolument tournée vers la pratique et...
Consulter des extraits du livre en ligne
Aperçu du livre papier
- Niveau Initié à Confirmé
- Nombre de pages 434 pages
- Parution août 2024
- Niveau Initié à Confirmé
- Parution août 2024
Ce livre sur les architectures réseau s’adresse au lecteur désireux de concevoir des infrastructures réseau fiables et évolutives pour répondre aux besoins en constante évolution des entreprises. Sans prétendre être exhaustif, ce livre aborde ainsi différents sujets liés aux architectures réseau (enjeux business, principes généraux, réseaux Fabric, interconnexions, accès à Internet, sécurité, réseaux locaux), étudiés séparément selon une approche résolument tournée vers la pratique et considérant les enjeux budgétaires et stratégiques.
Le lecteur découvre ainsi les principaux protocoles qui gouvernent les échanges de données, de la couche physique à la couche applicative. Ces connaissances sont essentielles pour comprendre les mécanismes sous-jacents qui permettent aux réseaux de fonctionner de manière fluide et sécurisée.
Une attention particulière est portée aux réseaux de centres de données, où la haute disponibilité et la performance sont cruciales. Les lecteurs sont guidés à travers l'évolution des architectures, de la plus traditionnelle (3-tiers) aux plus innovantes basées sur le RFC 7938.
La connexion entre les centres de données est explorée, de celle gérée par les opérateurs télécoms jusqu'à l'ingénierie du trafic avec le SR-MPLS. La connexion à Internet est présentée au travers des composants traditionnels d'une DMZ et de l’étude d’une possible évolution vers un CDN moderne. L’auteur aborde également de possibles approches concernant la sécurité, la virtualisation des fonctions réseau (NFV) et la multi-tenance.
Le livre se penche ensuite sur les défis spécifiques auxquels sont confrontés les réseaux de bureau, notamment en matière d'évolutivité, de sécurité et de gestion des appareils personnels. Différentes topologies physiques et logiques sont explorées, offrant un aperçu complet des architectures possibles pour répondre aux besoins variés des entreprises modernes.
Cet ouvrage termine sur des considérations plus opérationnelles allant du monitoring au DRP (Disaster Recovery Plan), en passant par l'automatisation, le Zero Touch Provisioning (ZTP) ou les fonctionnalités des contrôleurs SD-WAN.
Le lecteur découvre ainsi les principaux protocoles qui gouvernent les échanges de données, de la couche physique à la couche applicative. Ces connaissances sont essentielles pour comprendre les mécanismes sous-jacents qui permettent aux réseaux de fonctionner de manière fluide et sécurisée.
Une attention particulière est portée aux réseaux de centres de données, où la haute disponibilité et la performance sont cruciales. Les lecteurs sont guidés à travers l'évolution des architectures, de la plus traditionnelle (3-tiers) aux plus innovantes basées sur le RFC 7938.
La connexion entre les centres de données est explorée, de celle gérée par les opérateurs télécoms jusqu'à l'ingénierie du trafic avec le SR-MPLS. La connexion à Internet est présentée au travers des composants traditionnels d'une DMZ et de l’étude d’une possible évolution vers un CDN moderne. L’auteur aborde également de possibles approches concernant la sécurité, la virtualisation des fonctions réseau (NFV) et la multi-tenance.
Le livre se penche ensuite sur les défis spécifiques auxquels sont confrontés les réseaux de bureau, notamment en matière d'évolutivité, de sécurité et de gestion des appareils personnels. Différentes topologies physiques et logiques sont explorées, offrant un aperçu complet des architectures possibles pour répondre aux besoins variés des entreprises modernes.
Cet ouvrage termine sur des considérations plus opérationnelles allant du monitoring au DRP (Disaster Recovery Plan), en passant par l'automatisation, le Zero Touch Provisioning (ZTP) ou les fonctionnalités des contrôleurs SD-WAN.
Avant-propos
- Introduction
Les notions fondamentales
- Considérations préalables
- 1. Le routage, un problème encore ouvert
- 2. Principes clés de l’architecture des réseaux
- 3. Cluster vs standalone
- a. Clusters de deux vs trois éléments
- b. Scale-up vs scale-out
- 4. Stateful vs stateless
- 5. Control plane vs data plane
- 6. Nord-sud vs est-ouest
- 1. CapEx
- 2. OpEx
- 3. ROI
- 4. Vendor lock-in
- 5. L’échec n’est pas envisageable... il estinévitable
- 6. Les enjeux stratégiques
- 1. Cages
- a. Modèle centralisé
- b. Modèle zoné
- a. Racks serveurs
- b. Racks réseau
- c. Modèle Top-of-Rack
- a. Câbles à paires torsadées
- b. Câbles à fibres optiques
Introduction aux protocoles de base
- Le modèle OSI
- 1. Entre la couche physique et la couche liaison de données
- a. Supports câblés : norme802.3
- b. Supports sans fil : norme 802.11
- 1. Entre la couche physique et la couche liaison de données
- 2. Adresses, réseaux et domaines
- a. MAC
- b. IPv4
- c. NAT
- d. CGNAT
- e. IPv6
- f. ICMP
- g. Subnetting
- h. Adresses Link-Local
- i. Adresses de bouclage
- j. Adresses unicast, multicast et broadcast
- k. Domaines de diffusion
- l. AS
- 3. Couche 2 : la liaison de données
- a. VLAN
- b. STP
- c. LACP
- d. MLAG
- 4. Entre la couche liaison de données et lacouche réseau
- a. ARP
- b. NDP
- c. Cache ARP/ND
- 5. Couche 4 : le transport
- a. TCP
- b. UDP
- c. QUIC
- 6. Couches 5 - 7 : les applications
- a. DHCP
- b. DNS
- c. TLS
- d. HTTP
- 1. Bases du routage
- 2. Algorithme de Dijkstra
- 3. Algorithme Path Vector
- 4. Agrégation de routes
- 5. Superposition
- 6. Tunneling
- 7. VRF
Fabric réseau
- Considérations préalables
- Modèle physique à 3-tiers et protocoles de couche 2
- 1. Architecture physique
- a. Access layer
- b. Distribution layer
- c. Core layer
- 1. Architecture physique
- 2. SVI
- 3. MSTP
- a. MSTI
- b. MSTP Loop Avoidance
- 4. VRRP
- 5. Exemple d’architecture 3-tiers
- a. Cages et racks
- b. Câblage
- c. Adresses
- d. MSTP
- e. Routage
- f. Limites de ces technologies
- 1. Architecture physique à deux niveaux :Spine-Leaf
- 2. Architecture physique à trois niveaux
- a. Pod réseau
- b. Pods et commutateurs super-spine
- a. Communication entre nœuds
- b. LSA
- c. Liaisons point à point
- d. Zones
- a. Cages et racks
- b. Commutateurs leaf
- c. Commutateurs spine
- d. Câblage
- e. Adresses
- f. Routage
- a. eBGP
- b. RFC 7938 : AS Numbers
- c. RFC 7938 : allowas-in et AS de quatre octets
- d. Unnumbered interfaces
- e. BGP Unnumbered
- f. BGP Unnumbered sur les serveurs
- g. Host Routes
- a. Cages et racks
- b. Commutateurs super-spine
- c. Câblage
- d. Adresses
- e. Numérotation des AS
Peerings privés
- Peerings managés par l'opérateur
- 1. L2VPN
- a. EPL
- b. EVPL
- c. EPLAN et EVP-LAN
- 1. L2VPN
- 2. L3VPN
- 1. Dark fibre
- 2. Wavelength
- 1. OSPF
- 2. BGP
- a. iBGP
- b. Route Reflector
- c. LOCAL_PREF
- d. AS_PATH
- e. Considérations finales
- a. NLRI
- b. AFI/SAFI
- c. Route Distinguisher
- d. Route Target
- a. LDP
- b. LSR
- c. E-LSR
- d. LSP
- e. PHP
- a. VPNv4 vs VPNv6
- b. Nœuds PE
- c. Nœuds P
- d. Nœuds CE
- e. Cas d’usage des VPN MPLS
- a. Équipements CE
- b. Équipements PE
- c. LDP
- 1. Principes
- a. Ingénierie du trafic
- b. SR-MPLS vs SRv6
- c. SID
- d. Prefix SID
- e. Node SID
- f. Adjacency SID
- g. OSPF Opaque LSA
- a. SR à travers plusieurs domaines
- b. BGP-LU
- c. BGP Prefix-SID
- d. BGP-LS
- e. AFI/SAFI pour SR-MPLS
- a. Binding SID
- b. Politiques SR
- c. Explicit Path vs Dynamic Path
- d. Contraintes
- e. FRR
- f. TI-LFA
- g. SFC
- h. SR et SDN
Réseau périmétrique
- Connexions internet
- 1. Connexions pour les petites sociétés
- 2. Connexions pour les grandes entreprises
- a. Transit internet
- b. CDN managé
- 1. Commutateurs WAN
- 2. Commutateurs BR
- a. Redistribution eBGP
- b. ACL
- c. PBR
- d. Paramètres les plus utilisés pourle PBR
- a. Équilibrage de charge
- b. Cluster de reverse proxy
- c. Reverse proxy stand-alone et ECMP
- d. Reverse proxy comme conteneur sidecar
- e. Quelle approche utiliser ?
- f. Terminaison TLS
- g. Règles
- h. Considérations de design
- a. DNS
- b. Serf
- a. Racks
- b. Équipements et serveurs
- c. Câblage
- d. Adresses
- e. Numérotation des AS
- f. Schémas des flux
- g. Réglages sur les WAN
- 1. Applications stateless
- 2. Théorème CAP
- 3. Streams et QUIC
- 4. Compression Gzip et minification JavaScript
- 5. Varnish
- 6. Déduplication des données
- 1. PoP
- a. Choix des opérateurs télécomspour un PoP
- b. Peering
- c. Considérations de design
- a. Redondance et failover des services au niveau global
- b. Considérations de design
- a. Principes de fonctionnement Anycast UDP
- b. Considérations avant de déployerl’Anycast pour des applications UDP
- c. Principes de fonctionnement Anycast TCP
- d. Hachage cohérent
- e. L’indirection est la solution
- 1. Concepts principaux
- a. Emplacement des serveurs
- b. Serveurs périphériques
- a. IMDB
- b. Protocoles de livraison
- a. Regional Anycast
- b. Opérateurs tier-1
Sécurité des réseaux de centre de données
- Principes de base
- 1. Routage et sécurité
- a. Authentification des routes
- b. Filtrage des routes
- c. Route dampening
- d. BGP communities
- e. RPKI
- f. GTSM
- g. L’importance des politiques de routage sur le BR
- 1. Routage et sécurité
- 2. Quotas
- 3. DMZ
- a. NGFW
- b. Outbound NAT
- c. Forward proxy
- d. WAF
- e. Serveurs de rebond
- 1. Notions des systèmes Linux
- a. Namespaces
- b. Linux bridge
- c. Veth pairs
- d. Tunnels
- e. iproute2
- f. iptables
- g. Hyper-threading
- h. CPU Isolation
- i. NUMA passthrough
- a. SR-IOV
- b. OVS
- c. Tungsten Fabric pour la virtualisation
- d. Hyperviseurs
- e. Cas d’usage pour la virtualisation
- a. Pod Kubernetes
- b. CNI Kubernetes
- c. Calico
- d. Tungsten Fabric pour la conteneurisation
- e. Cas d’usage pour la conteneurisation
- 1. RBAC
- 2. Microsegmentation
- 3. VXLAN
- a. VXLAN et le trafic BUM
- a. iBGP : next-hop self
- b. eBGP : next-hop unchanged
- a. Types de routes EVPN
- b. Route Type 2
- c. Route Type 3
- d. Route Type 5
- e. Route Type 6
- f. Utilité des autres types de routes
- a. EVPN et le trafic BUM
- b. Problèmes de routage avec L2 EVPN
- a. L2 VNI vs L3 VNI
- b. IRB
- c. Asymmetric IRB vs Symmetric IRB
- d. DHCP Relay
- e. ARP Suppression
- a. VTEP configurée sur les ToR
- b. EVPN avec Tungsten Fabric
- c. Considérations concernant le VNI
- d. Peering entre tenants
- e. EVI
- a. API
- b. DNS
- 1. VPN IPsec
- a. Conception
- b. PMTUD
- c. DPD
- a. uRPF
- b. Filtrage RTBH avec uRPF
- c. BGP Flowspec
- d. Protection efficace avec RTBH et Flowspec
Réseaux de bureau
- Considérations préalables
- Éléments d'un réseau câblé de bureau
- 1. Câblage
- 2. Switch stacking
- 3. PoE
- Topologies de réseaux câblés
- 1. Réseaux de petite taille : single-switch
- a. Succursale ou Early-Stage Start-up
- b. Fiabilité
- 1. Réseaux de petite taille : single-switch
- 2. Réseaux de taille moyenne : collapsed-core
- a. Bureau de taille moyenne
- b. Résilience
- c. Câblage
- 3. Réseaux de grande taille : 3-tiers
- a. Bureau de grande taille
- b. Performances
- c. Évolutivité
- 4. Spine-Leaf dans un bureau
- 1. AP Wi-Fi
- 2. AP controller
- 3. Topologies de réseau Wi-Fi
- 1. OMA DM
- 2. Authentification et autorisation
- 3. Chiffrement des données
- 4. Configuration des appareils et application des politiques
- 5. Effacement et verrouillage à distance
- 6. Gestion des mises à jour
- 1. Principes
- 2. Least-Privilege Access Control
- a. Authentication
- b. MFA
- c. Authorization
- d. Accounting
- e. RBAC
- f. PBAC
- g. ABAC
- a. NGFW pour le bureau
- b. Forward proxy pour le bureau
- c. Client-to-site IPsec VPN
- a. Intégration du NGFW avec le service d’annuaire
- b. Guest VLAN
- 1. Central breakout
- 2. Local breakout
- 3. Multihoming
- a. IPv4
- b. IPv6
Network Operations
- Prérequis
- 1. Business drive
- 2. Stakeholders
- 3. Pourquoi le débogage ne suffit pas ?
- 4. Single Source of Truth
- 5. IPAM
- 6. CMDB
- 7. Service discovery
- Niveaux de service
- 1. SLI
- a. Disponibilité et réactivité
- b. Erreurs et format des données
- 1. SLI
- 2. SLO
- a. Comment définir un SLO ?
- b. Dépendances
- 3. SLA
- a. Gestion du risque
- b. Quality Assurance & Continuous Improvement
- c. SLA dynamiques et environnements DevOps
- 1. Time series
- 2. White-box monitoring
- a. SNMP
- b. Syslog
- a. Probing
- b. Sniffing
- 1. Considérations préalables
- 2. Types des alertes
- a. Alertes de format booléen
- b. Alertes basées sur des seuils
- c. Alertes de taux de changement
- d. Alertes de détection d’anomalies
- e. Alertes composites
- f. Alertes d’agrégation
- g. Alertes prédictives
- a. Précision et rappel
- b. Temps de détection et de réinitialisation
- c. Seuils et budgets SLO
- a. Reporting
- b. Intégration avec les outils de supervision
- c. Mécanismes d’alerte en temps réel
- 1. Évaluation du risque
- 2. Architecture
- 3. Stratégies de DRP
- a. Réplication de données et backups
- b. Stratégies de reprise des activités
- c. Considérations de réseau
- d. Meilleures pratiques
- e. Swimlanes
DevNetOps
- Business drive
- 1. Collaboration
- 2. Normalisation de l’architecture
- a. Réduction des délais de livraison
- b. Autoréparation
- 1. Langages de développement
- a. Python
- b. Golang
- a. JSON
- b. YAML
- 1. DCIM
- 2. CI/CD
- a. Git
- b. GitLab
- c. Jenkins
- a. Ansible
- b. Salt
- a. Terraform
- b. Pulumi
- 1. Composants principaux
- a. Métriques, journaux, traces
- b. Données contextuelles
- a. Outils en user space
- b. Scapy
- c. OpenTelemetry
- d. eBPF
- 1. Développer son contrôleur BGP
- a. BIRD
- b. ExaBGP
- c. pmacct
- d. SmokePing
- e. FastNetMon
- a. Contrôleur SD-WAN
- b. Passerelles
Luca GIUSTI
De formation humaniste, Luca GIUSTI travaille depuis 20 ans dans l'informatique en tant que consultant indépendant. Son domaine d'expertise passe de l'architecture et la cybersécurité des systèmes et des services informatiques au management des équipes d'ingénieurs et développeurs. Détenteur de dizaines de certifications, parmi lesquelles la Cisco CCIE Service Provider et la certification TOGAF, il a conçu et maintenu, avec ses équipes, des services et des produits en ligne utilisés à niveau mondial, en réduisant l'impact sur le budget et en améliorant performances, fiabilité et disponibilité. Sa longue expérience et son approche pragmatique lui permettent de livrer son expertise dans ce livre dédié aux architectures réseau d’entreprise.
En savoir plus