Notes Rapides sur le High Availability: Stack, HSRP/VRRP, VSS, VPC/Enhanced VPC et Software Defined Networks (SDN)...

Cet article évoque un peu d'historique et explications techniques lorsqu'on devrait choisir une solution parmi quelques technologies utilisées dans les architectures Network redondées.

Afin de résumer d'une manière très simple :
Depuis plusieurs années, les architectes Réseaux ont toujours pensé aux méthodes de High Availability des Infras afin de garantir un maximum de continuité de service.

Parlons Cisco ..

Les protocoles existants depuis des années et utilisant un Plan Actif / Passif sont le HSRP (Cisco) et le VRRP (version standard), dans ces deux cas, on a toujours un seul Plan Actif (par Interface IP ou par SVI - Vlan) et un autre Standby. L'ajustement et l'alignement du spanning-tree est fortement conseillé et à bien maîtriser afin d’obtenir une redondance optimale. Vu les plans Actif/Passif et le Spanning-tree en plein fonctionnement, on obtenait souvent plusieurs ports bloqués et par suite certains liens non fonctionnels (cela est parfois considéré comme faille ou même gaspillage des liens dans certains cas).

Recours aux Technologies Actif / Actif !

Avec les petites et moyennes gammes de switches Layer 3 (certains 2960, 3750, 3850...), le Stacking a été conçu, une méthode Hardware simple qui fusionne plusieurs switches en un seul en utilisant les câbles dédiés du Stack. Un seul control Plane qui gère plusieurs Data Planes au final, le Plan vu depuis le reste du LAN est Actif/Actif. Le spanning-tree fonctionne donc sur un seul switch composé de plusieurs switches Stackés. En utilisant les port-channels, on peut éliminer les ports bloqués et les liens « silencieux » … Faille/Faiblesse : Supporté uniquement par quelques petites et moyennes Gammes de switches + Le Stacking reste toujours une solution "fragile" et "sensibles" aux perturbations électriques.

Avec les hautes Gammes plus performantes (quelques 4500, 6500 ect), l'équivalent virtuel du Stack est le VSS. On obtient la même vue précédente depuis le reste du réseau : un Plan Actif/Actif. Les deux switches fédérateurs de Distribution sont fusionnés en un seul équipement virtuel ! Mais sans branchement de câbles physiques de Stack (ils ne sont pas présents) ; il suffit plutôt de monter un VSL Link de 10Gi et … quelques lignes de configuration.

L'avantage majeur d'utiliser le VSS par rapport au HSRP/VRRP est qu'on peut établir les « Multi-châssis Port-channels » depuis les équipements du LAN vers les fédérateurs fusionnés en un seul châssis virtuel. Pas de ports bloqués par le Spanning-tree, pas des boucles, pas de liens non utilisés, la bande passante est multipliée … :) :)

Pourtant, on a aussi des inconvénients ..

Le VSS utilise un seul control plane pour deux Data Planes différents, on commande deux châssis "sophistiqués" pour avoir finalement une fonctionnalité mutualisée sur un seul châssis virtuel en terme du Routage, des ACLs, des QoS Globales, etc.

Pourquoi ne pas concevoir alors une "nouvelle fonctionnalité" avec des "nouveaux Équipements" qui utilisent -comme le VSS - les Multichassis Port-channels (0 Ports Bloqués + Bande passante multipliée) mais avec "Deux Control Planes Actifs Différents" ?

Les deux châssis doivent être donc indépendants l'un de l'autre en termes de routage, des configurations IPs… C'est faisable avec les Nexus (3K, 5k, 7K, 9K..) et leur fonctionnalité de VPC.

Durant ces dernières années, la majorité des DCs Cisco utilisent la Technologie Nexus. Classiquement des 2Ks (FEXs) + 5Ks pour la couche d'accès du Data Center, plusieurs VPCs montés entre les 5Ks et les 7Ks (Distribution), et une couche Layer 3 (Routage) entre les Core N7Ks (châssis physiques différents ou VDCs du même châssis) et le reste du WAN.

Les VSSs et VPCs seront expliqués ultérieurement en détails dans les chapitres qui suivent.

Encore des anomalies, des faiblesses, ... Avec toutes ces technologies-là, on a toujours un Nuage Niveau 2 entre la couche Access et la couche Distribution. Lorsqu'on dit Layer 2, on dit systématiquement, les Broadcasts, les Virus, les trames mal formées, ect.

A part ça, si on veut déployer par exemple (pour la redondance) un ou plusieurs sites de Backup (DR), les Network IT ont généralement plusieurs choix, les plus connus sont : soit concevoir et configurer des nouveaux Vlans/Networks pour les nouveaux Serveurs de Redondance et router ensuite les sites de deux Data Centers (PROD et DR), soit établir tout simplement des liens niveaux 2 (DWDM, OTV…) entre les deux Data Center tout en concevant les mêmes vlans et Plages IPs. Et si on veut les deux à la fois ? C’est à dire laisser les mêmes vlans et plages IP étendus entre les deux DCs (PROD et DR) et éliminer complétement tous les problèmes Niveau 2 en utilisant le Routage L3 entre les DCs ! … (Oui c’est faisable).

Une autre et dernière faiblesse avant de passer à la solution : De nos jours, dans les Infras classiques, on a souvent plusieurs mains différentes sur chaque nœud du Réseau pour configurer des ACLs (Filtrage), des Qualités de Service, des route-maps, etc. Le tshoot est parfois "pénible" dans certains cas d’incidents critiques. Y a-t-il un moyen "Centralisé" de Management / Supervision / Suivi / Configuration, plus développé que Cisco Prime ou DCNM des Nexus, et qui permet d'appliquer par exemple des règles de sécurité (des Policies) et de Qualité de Service (QoS) sur les différents nœuds du DataCenter à partir d’une seule Plateforme sécurisée ?

Oui, la solution finale: Les Software Defined Networks :)

Ceux qui ont choisi le monde Cisco pour les SDNs savent que les "Next Generation Architectures" se basent généralement sur les deux notions recommandées suivantes (rapidement) :

- Pas de Nuage Layer 2 (fini les broadcasts et la gestion du spanning-tree) entre les Access et les Distributions et entre les différents sites des DataCenters. Par conséquent, un nuage niveau 3 est à implémenter et le transport des trames se fait par encapsulation dans des Paquets L3 : Le VxLAN. C'est supporté nativement dans les gammes des switches 9Ks. Une connaissance de BGP et IS-IS est appréciée, même obligatoire !

- Unr plateforme centralisée de management " qui gère et contrôle tout" est proposé par Cisco : ACI.