Pourquoi migrer ?
Le réseau avait atteint une complexité qui alourdissait considérablement la maintenance et la mise en place de projets d’évolutions.
Nous n'avions pas moins de 4 équipements de routage et 5 firewalls ce qui rendait le troubleshooting long et fastidieux. De plus les équipements n'étaient pas adaptés pour supporter les débits fournis par certains récents serveurs, en particulier un routeur voyait son taux d'usage CPU varier de 80 à 100%. Ce qui pour un routeur est TRES élevé.
Voilà pour le constat. Nous avons donc construit une architecture cible, et proposé celle ci à la direction du LIMOS et de l'ISIMA. Après validation de la solution, nous avons travaillé sur le scénario de migration.
La migration
Comment faire pour migrer des équipements réseaux, par lesquels passent tous les flux, sans (trop) interrompre le service ? L’idée générale a été d’installer la chaine de liaison complète en parallèle de l'existant, de faire cohabiter les deux coeurs en série et ensuite de migrer chaque réseau logique d’un coeur vers l’autre. Et enfin d'éteindre les anciens matériels.
Etape 1 : Construction de la nouvelle chaine de liaison.
Les configurations peuvent déjà être préparées (routage, NAT, règles de firewall) et testées : en placant un PC dans l'interco privée, on peut vérifier si les flux arrivent bien vers ce qui est supposé être le monde extérieur pour nous, que ce soit l'UCA ou Internet. On valide aussi le bon fonctionnement de la haute disponibilité. Et d'autres choses encore :)
Etape 2 : Migration de l'uplink.
L'université modifie son routage vers les nouveaux firewalls. Maintenant notre traffic entrant/sortant passe par notre nouvelle chaine de liaison. On profite de cette opération pour assainir notre interco avec l'université, en déplaçant la DMZ et en définissant un nouvel adressage privé pour tout le trafic à destination de l'université. Auparavant nous nous présentions à l'université avec nos IP publiques pour accéder aux ressources privées.
On modifie également le mode d'accès vers Internet, désormais nous utilisons des pools d'IP publiques pour nos populations étudiantes et enseignants/chercheurs. Un des objectifs est par exemple de pouvoir utiliser des services REST sur Internet en utilisant plusieurs IP sources ce qui diminue le risque d'être droppé pour dépassement des quotas d'utilisation de ces API.
Etape 3 : Migration des réseaux
On se retouve ici dans une situation transitoire où certains réseaux ont migrés, d'autre non. Il faut être attentif au routage pour joindre les réseaux qui sont encore sur les anciens coeurs.
Etape 4 : Fin de la migration
L'ensemble des réseaux se retrouve géré sur les nouveaux matériels.
Etape 5 : Extinction des anciens matériels.
Il a fallu rebrasser des fibres optiques directement sur le nouveau coeur. Cette étape a été plus compliquée que prévue, nous avons eu des soucis physiques (un lien fibre optique qui refuse de s'activer) ou logique (serveur DNS qui refusait soudainement de répondre aux requêtes ...).
Conclusion
Ces étapes que j'ai volontairement simplifiées se sont en réalité passées en 3 phases de l'ordre d'une heure, entre le 28 et 30 août 2017. Désormais, notre coeur de réseau offre une forte densité de ports 10G (96 ports), ainsi que 12 ports 40/100G pour des besoins de très haute performance. L'architecture est plus simple : 1 routeur et 2 firewalls.
Cette migration a aussi eu pour conséquence d’améliorer deux points essentiels : la résilience des matériels et la sécurité. Nos coeurs de réseaux sont maintenant configurés en "stack" ce qui veut dire que nous avons 2 matériels physiquement différents, mais logiquement unique. Si un élément tombe en panne, l'autre assure la continuité de service. Bien entendu, pour tirer profit de cette configuration nous allons passer les serveurs et les switchs les plus stratégiques en double attachement.
Les firewalls sont pour leur part en mode actif/passif, assurant là aussi la redondance du service.
Concernant la sécurité, les règles de firewall ont été revues. Bien évidemment nous avons ouvert vers Internet l'ensemble des services couramment utilisés (Web, email etc...). Pour les cas particuliers, c'est à dire les flux ne s'appliquant pas à un usage général et afin d'assurer une maintenance de qualité pour les années à venir, nous ouvrirons les ports nécessaire pour une durée déterminée. Nous nous chargerons de vous prévenir avant l'expiration automatique des règles.
Enfin, je vous laisse apprécier les débits qui ont été largement améliorés :)