I - Architecture traditionnelle Core, Aggregation, Access

1. Présentation du principe d’architecture

L’architecture Core, Aggregation, Access ou en français Cœur, Agrégation, Accès est la plus vieille architecture réseaux à 3 niveaux hautement disponibles qui est encore très utilisée de nos jours. La création de cette architecture ne s'est pas faite en un jour, elle est le fruit des diverses évolutions pour répondre aux besoins croissants des entreprises au cours du temps.


C’est dans les années 80 que les 2 premières couches Core, Access sont apparues. Les LAN (Local Area Network) des entreprises étaient à l’époque très peu segmentés et sécurisés. Ils servaient uniquement à interconnecter des postes de travail, des imprimantes et des serveurs avec une notion de routage inter réseaux quasiment inexistante.


L’apparition de la troisième couche Aggregation a eu lieu dans les années 90, avec l’augmentation du nombre d’utilisateurs et des services mis à disposition sur les réseaux. De plus, la volonté de segmenter les réseaux via des VLAN (Virtual Local Area Network), de les sécuriser via des ACL (Access Control List) mais également d’ajouter de la QoS (Quality of Service), a démontré l’intérêt d’ajouter une troisième couche au modèle d’architecture déjà existant.


Dans les années 2000, avec la démocratisation d’internet et la montée en puissance des infrastructures informatiques au sein des entreprises, l’architecture Core, Aggregation, Access a su s’imposer comme une solution redondante et évolutive offrant aussi bien des capacités de commutation que de routage.


Nous allons maintenant aborder le rôle, les fonctionnalités, les caractéristiques et les protocoles pouvant être utilisés pour chacune des couches de l'architecture afin que vous puissiez mieux comprendre leur utilité.

architecture Core, Aggregation, Access
  • Couche Core :

    • La couche Core en assurant l’interconnexion des différentes zones d’agrégation entre elles mais également l’interconnexion avec les ressources externes (site secondaire, accès internet) constitue le point central de notre architecture. Cette couche est en quelque sorte l’autoroute de notre réseau et doit être capable d’acheminer le trafic avec une grande bande passante, une faible latence et de manière résiliente. C’est pourquoi, les équipements choisis auront généralement des ports optiques disposant d’une grande bande passante. La couche Core est, dans la majorité des cas, uniquement composée de routeurs, elle n’interagit donc qu’au niveau 3 du modèle OSI. Les protocoles les plus utilisés sur cette couche sont des protocoles de routage dynamique comme OSPF, EIGRP, IS-IS, BGP mais aussi les protocoles d’interconnexion comme IPSEC, MPLS et VXLAN. Il est à noter que cette couche ne prend pas en charge la sécurité et le filtrage des flux de l’infrastructure. Pour les flux internes, ce rôle est porté par la couche Aggregation et pour les flux externes par une couche de firewall située en amont. Cependant, un minimum de sécurité doit être implémenté, notamment l’authentification des protocoles de routage via des clés (MD5, SHA256, etc..) ou un mot de passe à défaut de compatibilité. Le but étant d’empêcher un acteur malveillant d’injecter de fausses routes dans les tables de routage.


  • Couche Aggregation :

    • Cette couche travaille aussi bien sur le niveau 2 que sur le niveau 3 du modèle OSI. Cela lui permet, d’une part, de segmenter le réseau vers la couche Access , et d’autre part d’agréger les différents réseaux pour une redirection vers la couche Core dans le but d’accéder aux ressources externes. Les équipements utilisés pour la mise en œuvre de cette couche de l’infrastructure sont des MLS (Multilayer switch). La segmentation du réseau se fait sur cette couche via des VLAN qui seront également propagés sur la couche Access . Une défaillance de cette couche pouvant paralyser plusieurs switch Access , la redondance des liaisons physiques est souvent implémentée via des protocoles comme LACP et/ou PAgP qui permettent également une augmentation de la bande passante. D’autres protocoles de niveau 2 et 3 comme RSTP et/ou VRRP permettent la tolérance aux pannes d’un équipement et ainsi, une continuité d’activité en service dégradé. C'est aussi au niveau de la couche Aggregation que le filtrage et la sécurité des flux se font au travers des ACL et de la QoS. Les ACL pourront par exemple être utilisés pour limiter et/ou interdire les communications inter-VLAN. Quant à la QoS, elle permet de prioriser certains VLAN par rapport à d’autres, comme le VLAN d’un client VIP. Si chaque zone d’agrégation peut disposer de protocoles de niveau 2 différents, à l’inverse les protocoles de niveau 3 doivent être similaires entre la couche Aggregation et la couche Core .


  • Couche Access :

    • La couche Access est celle qui est au plus près des serveurs et des clients finaux de l’infrastructure. La proximité avec les périphériques clients va influencer le choix des équipements ; en effet, ils ne disposeront généralement pas de ports optiques, mais de ports cuivre compatibles POE (Power over Ethernet) pour le raccordement de téléphones IP et/ou de bornes WIFI. Cette couche interagit uniquement au niveau 2 du modèle OSI. Bien que l’utilisation de MLS soit possible sur cette couche, cela reste très rare, car de simples switch de couche 2 sont suffisants et moins onéreux. Dans la continuité de la couche Aggregation , les réseaux sont segmentés via des VLAN et la redondance est assurée via les protocoles STP, RSTP, etc... L’utilisation des protocoles LACP et/ou PAgP permettant la redondance des liaisons physiques et l’augmentation de la bande passante, bien qu’elle soit possible, reste moins répandue qu’au niveau de la couche Aggregation . L’implémentation de la sécurité de manière plus granulaire est également possible via l’implémentation du protocole 802.1x, pour limiter l’accès aux réseaux en fonction de l’adresse MAC (Media Access Control) des clients et/ou des serveurs. Il est également courant de voir l’ajout du DHCP snooping pour prévenir la tentative de diffusion d’un DHCP illégitime par un client mal intentionné sur le réseau. Dans la continuité de la couche supérieure, une QoS plus fine peut également être appliquée sur cette couche.


    Ce principe d’architecture très populaire a plusieurs fois été décliné et modifié pour s’adapter aux besoins et aux contraintes des entreprises. Il n’est pas si rare de voir des entreprises, avec des budgets limités, utiliser les MLS pour fusionner la couche Aggregation et Core . Ce type d’architecture a dû également ajouter des points d’accès WIFI sur la couche Access pour accueillir les utilisateurs avec des ordinateurs portables se déplaçant dans les locaux des entreprises.