Compte rendu des cisco experience days de lyon (3/12/2009)

Salut à tous, ayant assisté à la conférence cisco experience days à Lyon mercredi 3 décembre, je fais un petit compte rendu de ce que j’y ai appris. Pour ceux qui ne savent pas ce que c’est, allez vite voir le site http://www.cisco.com/web/FR/events/ExperienceDays/index.html peut être que ce n’est pas encore passez prêt de chez vous, c’est gratuit, et y’a même un buffet (gratuit lui aussi), le midi, des cadeaux a gagner, bref c’est pas le but principal, mais l’effort est toutefois à saluer. J’ai assisté aux conférence « borderless network » et « Datacenter ». Mon seul regret à été que sur 3 sessions, 2 seulement ont eu lieu, donc j’ai pas pu voir la session « Architecture ». Il y avait aussi du green IT, nouvelles experiences utilisateurs…

Vous trouverez des infos sur les sessions auxquelles j’ai participé dans la suite de l’article…

Introduction

La journée a commencée par une séance plénière avec un bref historique de cisco, le passé, le futur, pour résumer la chose, cisco à 25 ans, se porte bien, et se focalise non plus sur la vente de produits individuels (exemple des routeurs, des switchs), mais sur des solutions pour des architecture modernes ! (Telepresence, Datacenter, Network,…).

J’ai appris aussi que de plus en plus de registrars internet allaient cesser la distribution d’IPs v4 d’ici 2011 pour forcer l’adoption de l’IPv6 ! Bah oui, les millions d’abonnés, de téléphones 3g, de caméras IP et autre, ça finit pas épuiser nos bonnes vieilles IPv4…

Borderless network

Deuxième présentation à laquelle j’ai assistée, assez technique et très intéressante j’ai trouvée, qui pose la problématique des nouveaux réseaux, dit sans frontières, avec l’essor des utilisateur mobile (SmartPhones, Teleworkers…). Voici les points que j’ai notés de cette sessions:

Une recherche est menée pour avoir des temps de convergence en cas de panne (failover) les plus petit possible.
Un première chose est la redondance hardware, entre les cartes de supervisions (cartes sup’, contiennent l’intelligence d’un châssis type 4500 et supérieurs). En gros vous avez deux cartes sup qui se synchronisent, et si la première est défectueuse, on switch sur l’autre (SSO, Stateful Switch Over = protocole pour la synchro entre les cartes sup).
Ce processus mets 50 millisecondes sur un c4500, et 1 millisecondes sur un ASR (les beaux gros routeurs de FAI :p)

Il y a aussi le non-stop forwarding (NSF), qui permets de continuer le routage même en cas de failover entre cartes sup, imaginons que la 1ère SUP tombe, le routage va continuer au niveau du dataplane (partie qui gère le transit des données dans un routeur), puis quand la deuxième sup devient active, le protocole de routage va reconstruire la table (control plane), et pour ce faire, il va être capable de demander à son voisin la table de routage et de redevenir actif en moins de 100ms ! (voir http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_7-1/high_availability_routing.html). Cela permets que les routeurs voisins (qui savent que notre routeurs gère le NSF/GR (graceful restart), n’avertissent pas les autres routers de l’état du voisin (et de ses routes), afin de ne pas modifier la topologie du réseau). Les routeurs autres que celui qui effectuent le failover et ses voisins ne voient aucune interruption dans le réseau.

L’ISSU a aussi été abordé, pour ceux qui ne savent pas ça permets l’upgrade à chaud d’IOS, le principe en gros consiste à flasher une carte sup, de faire un failover dessus, et d’upgrader la seconde par la suite, mais ce qui est intéressant c’est qu’un ASR peut le faire avec une seule carte sup, en créant 2 processes IOS et en switchant de l’un vers l’autre !!).

Cisco (enfin celui qui faisait la présentation), annonce un temps de convergence OSPF de 60 ms !!! en tunant les timers, voir lien ci dessus, et cela permets d’éviter d’utiliser des fonctions type fast-reroute MPLS, qui nécessite d’avoir un coeur MPLS, ce qui n’est pas forcément toujours possible, du moins c’est cher 😉

Pour les topologies en anneaux, ce qui est souvent utilisé par les topologie avec de la fibre optique, Cisco à développé REP (Resilient Ethernet Protocol) qui annoncent pas moins de 50ms de temps de convergence !

J’ai aussi appris que sur la version IOS IP Base, on a une version OSPF Light, qui, entre autres, ne permets l’apprentissage que de 200 routes ! pour un full ospf, faut une advipservices…

Une autre technologie cooooooool c’est le VSS (virtual switches system) qui permets d’agréger des catalyst 6500 (uniquement des 6500, ça c’est moins cool) en un seul switch, et donc, au lieux d’avoir de la redondance avec spanning tree au niveau de la couche distribution (comme sur ce schéma type), on a des liens etherchannel, dont qui vont et donc débit doublé x2, si un des switchs ou lien tombe, comme sur un etherchannel, ça bascule sur l’autre…

2/3 infos en vracs:

  • On peut mettre des APs 802.11n avec des APs 802.11b/g sur le même controller wireless (WCS).
  • les routers ISR Generation 2 (G2, séries 2900, 3900,…) ont un système de licence, en gros, ils embarquent tous le FULL IOS, et on peut activer des features à la volée sans avoir à rebooter ou flasher quoi que ce soit.
  • Au niveau de la solution NAC, il y a un guest server (je sais pas si c’est nouveau), permettant de centraliser les guests networks (ex 802.1x) filaires et Wireless.
  • Apparition d’appliance Mobility Service Engine (MSE : http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps4324/solution_overview_c22-530985.html) qui permettent aux APs et aux switchs catalyst de remontées l’informations des adresses macs qu’ils connaissent (par port/SSID/…), cela se fait via le protocol NMSP, et peut être loggué, en gros, c’est de l’user tracking. Cela peut utiliser les infos du dhcp snooping, pour tracker les couples MAC/IP.
  • Les VRFs lites utilisent le principe des VRFs MPLS, mais transportées via des VLANs entre switchs catalysts.
  • Il est possible d’assurer la compatibilité IGMPv3 avec IGMPv2 en utilisant le SSM mapping, en gros, il suffit de faire un A-Record sur une groupe MCast dans le serveur DNS, et le routeur, va pouvoir trouver la source multicast via DNS plutôt que par PIM/IGMPv2 (la V2 ne spécifie pas la source multicast).
  • Les ISRs G2 gèrent le transcodage de flux vidéo, et actuellement des recherches sont menées pour détecter les key frames et les prioriser par rapport aux autres (pour faire simple, sur les codecs modernes, un a des key frames qui sont une image complète, et les images suivantes des différences en fonction de la key frame, donc si elle est droppée, on se retrouve avec des pixel d’images différentes, vous avez peut être vu ça si vous avez la TV par votre box à la maison). Les ISRs G2 supportent aussi l’ajout de hardware générique (CPU/RAM) pour augmenter l’efficacité totale du routeur, et les perfs des G2 sont multipliée jusqu’a fois 5 à prix équivalent comparé aux ISR G1(séries 1800,2800,2800,…).
  • Nouvelle feature pour IOS 15.0 (j’ai pas réeussi à savoir pourquoi on est passé de 12.4 à 15, soit c’est top secret, soit y’a pas de raisons rationnelle 😉 ): Service Advertisement Framework (SAF), en gros c’est un genre de protocole de routage avec un framework ouvert permettant la découverte de services au sein du réseau de l’entreprise par les applications/hosts directement.

Quelques infos sur les nouveautés coté sécurité:

802.1X MAC Auth ByPass: processus qui va utiliser l’adresse MAC d’un équipement en tant que login/password pour le 802.1x: cela sert à utiliser 802.1X avec des équipements qui ne le gère pas, par exemple les imprimante. L’avantage est bien sur de conserver les avantages de 802.1x (authorization et accounting notemment)

Cisco Flex Auth : Il était possible de définir l’ordre de préférence pour l’auth 802.1X (EAP, Mac Auth Bypass, Web auth,…), mais d’une manière globale seulement, le flex auth permets de le faire par port du switch.

Open Mode 802.1X: Permets de faire du 802.1X sélectif, en gros, cela permets de laisser passer une partie ou tout le trafic sur un port 802.1X même si l’Authentification échoue, permets la migration plus en douceur du 802.1X.

Technologie cisco TrustSec (déjà dispo sur les switchs Nexus 7000, on va y revenir) : Permets l’encryption au niveau 2 (un peu comme de l’IPSEC mais au niveau du LAN, c’est l’arrêt de mort du spoofing et autre joyeuseté d’attaques locales), et aussi, et surtout, l’ajout de Security Groups Tags (SGT), qui permettent de tagguer des trames avec un champs spécial indiquant l’appartenance à un groupe de sécurité, à partir duquel il sera donc possible de filtrer efficacement pas groupe d’utilisateurs, et non plus par IP/MAC/…
A noter que cette encapsulation est standardisée (802.1ae) et que bien qu’elle soit gérée au niveau 2, un routeur pourra tout à fait conserver les SGTs lorsqu’il routera un packet qu’il encapsulera dans une nouvelle trame 802.1ae

Abordage du problème du « green it »

Cisco travaille a une solution appelée energy wise, avec des partenariats sur des entreprises de BTP.
L’energy wise en quelques points:

  • Création d’un protocole normalisé pour la remontée d’information et donc l’interopérabilité (soit via SNMP, soit via un protocole basé sur TCP que cisco veut faire (ou a fait) ratifier (les APIs ont été rendue publiques).
  • Permets de profils, pour par exemple mettre en veille les IPPhones pendant la nuit afin de moins consommer aux heures non ouvrées (HNO), mettre des capteurs qui allument/éteignent la lumière selon qu’il y ait des personnes dans la pièce …
  • Remontée des infos vers un serveur central, qui peut établir des profiles, par exemple une conso moyenne avec une limite max à ne pas dépasser (après laquelle certains équipements vont baisser leur consommation, par exemple les IPPhones des stagiaires vont passer leur écran en noir et blanc 😉 ).
  • Il sera aussi possible de mesurer des infos sur des équipements NON IP via l’ajout d’une genre de Gateway IP, par exemple les climatiseurs et autres, le but étant d’avoir une vision globale de la conso, non uniquement sur les équipements réseaux
  • Un soft pourra être installer sur les machines utilisateurs pour controller/informer leur consommation.

Voilà c’est tout (je crois) pour la partie borderless, c’est déjà pas mal non ? aller on attaque la partie datacenter

Datacenter

La session datacenter avait un but pas mal commercial, montrant la puissance de la solution cisco, et c’est vrai que ça envoi, surtout la solution avec les blade chassis (UCS Servers), et le câblage FCoE qui divise le nombre de câbles par 5 (voir en image: http://ciscodatacenter.files.wordpress.com/2009/10/cablage.jpg)

Tout d’abord, il est utile de rappeler que cisco ne vend pas de serveurs en tant que tels (ils vendent toutefois des châssis dans lesquels viennent se loger des blades servers, on y reviendra), mais des architectures (et il y a même un projet d’architectures turn key virtualisée, appelé Virtual Computing Environment, VCE, utilisant des VBlock, en gros, on vous livre une ou plusieurs baie avec tout ce qu’il faut dedans 🙂 en partenariat avec VMWare et EMC, mais c’est du très lourd, et ça vise vraiment les plus grosses SSII mondiales).
Les problématiques des datacenter ont été abordées (oui, un datacenter ça consomme du watts !!), et quelques réponses, le développement durable, par exemple, VMWare alloue dynamiquement l’énergie nécessaire et coupe les processeurs non utilisés.

Cisco ACE (Appliance Control Engine): Définition de contexts clients au sein desquels on peut faire du load balancing de la couche 2 à la couche 7.

Services WAAS (WIDE AERA APPLICATION SERVICES): Permets l’optimisation des liens WANs, en gros, on a une passerelle WAAS qui va agir comme proxy et modifier le comportement de certains protocoles pour optimiser la latence et l’encombrement des liaisons WAN, par exemple, il y a un mécanisme de mise en cache pour que les informations très demandées (genre une page HTML Distante), soit envoyée en local, et ne transite pas sur le WAN, il y a de la compression,… Je vous laisse lire le white paper (lien au début du paragraphe).

Cisco avait innové avec ses switchs MDS (pour le fibre channel, connexion haut débit quasi temps réel pour les réseaux de stockage essentiellement), qui avaient une notion de VSANs (virtuals Storage Area Network), et ils frappent encore plus fort avec les switchs NEXUS qui sont dédiés aux besoins des datacenter. Pour faire simple, ce sont des switchs à haute densité de ports Giga ou 10Giga, dont le prix au port est moitié moins que celui d’un catalyst (en même temps ils font pas la même chose).

Quelques infos en vrac sur les nexus:

  • Le nexus 1000V est un switch virtuel, remplace celui de VMWare ESX Server pour la communication inter VM, et support le Network Interface Virtualization, qui permets d’identifier le trafic des différentes VM (en le marquant dans un VLAN par exemple)
  • Les câbles 10G utilisent du câble coaxial et des SFP+, ce qui réduit presque par 10 le coût des installations (par contre c’est 5M max), tout en consommant moins que du câble RJ 45 10G (oui ça existe), par exemple, un lien 10G eth consomme 8w, un lien fibre, 0.1w, et les liens COAX je sais pas …
  • Nexus 2000: Switch passif, liens Gb, agrège une baie vers un nexus 5000/7000
  • Nexus 4000: Switch sous forme de blade, prévu pour être intégré dans un blade chassis d’autres constructeurs (IBM et HP sont cités) pour les intégrer à la solution datacenter cisco (sans utiliser de châssis UCS)
  • Gere le FCoE (Fiber Channel Over Ethernet), plus besoin d’avoir des cartes Ethernet (NIC), des cartes Fiber Channel (HBA), mais des cartes gérant les deux (CNA) sur les serveurs (Ex les UCS, serveurs qui gèrent les hyperviseurs et les VMs), et donc réduisent considérablement le câblage (voir photo plus haut). Utilise le protocole DCB (datacenter bridging, permettant l’encapsulation du FC sur Eth sans perte de paquet (voulu par le standard FC))
  • Ont un équivalent du VSS pour les 6500 appelé VPC, pas de spanning-tree dans le datacenter…
  • Virtual Devices Context (VDC): partitionnement des ressources virtuel parmis l’ensemble des serveurs.
  • Protocole OTV permettant la synchronisation de l’état des machines virtuelles entre 2 datacenter via une liaison IP, toutefois, cela nécessite que les données des VM soit aussi synchronisée (ex: c’est bien beau de sync les connexions TCP pour le serveur SQL, si les bases de données ne sont pas synchro)
  • Quelques caractéristiques (cisco c’est beau): UCS(je sais plus quel modèle) : 2 Unités de rack, 384Gb de ram (rien que ça), Nexus 7016, 512Ports 10Gb, ou 768 Gb).
  • L’utilisation de switchs nexus et de servers UCS dans les baie de datacenter permettent d’économiser énormément de place.

Voilà, c’est tout ce que j’ai noté, dommage qu’il n’y ai pas moyen de récupérer les slides de cet évènement (si quelqu’un sait ou ça se trouve qu’il le dise 🙂 )

Conclusion

Les Cisco experience days ont donc montrer les nouvelles features actuellement déployées, en cours de déploiement, ou encore au stade de recherche chez Cisco, et ça envoi du très très lourd, par contre je manque cruellement de recul pour comparer avec les offres des autres constructeurs si certains savent ce qui se fait chez juniper et autres ça peut être intéressant (faut que j’attaques JNCIA d’ailleurs, et si vous le voulez, je ferai un petit Topo sur l’émulation Juniper, j’ai trouvé une ptite VM qui a l’air de pas trop mal marcher après quelques bidouilles… Je m’écartes du sujet ? ).

Si vous avez des commentaires, si j’ai dit une bêtises, si vous avez des précisions à apporter, n’hésitez pas à réagir à cet article 😉

Quelques liens en vracs:
En fait j’ai la flemme de les mettre, alors vous cliquez la : http://securityblog.cisco-france.com/ et vous cliquez sur les liens du menu à gauche… Je vais pas tout vous faire non plus :p

Recent Entries

One Response to “Compte rendu des cisco experience days de lyon (3/12/2009)”

  1. Nico Says:

    Hello

    IOS 12 à 15 directement car le 13 et le 14 seraient des nombre qui portent malheur dans certains pays du monde … pour le 13 ca me parle, pour le 14 je ne savais pas … a moins que ce soit l’humour de l’ingé Cisco qui nous en a parlé 🙂

    VSS : on a plus ou moins le même type de comportement avec un stack de 3750 …

    cdlt,

    Nicolas

Leave a Reply

Le temps imparti est dépassé. Merci de recharger le CAPTCHA.