Virtualisation VMware, NSX présentation (partie 4) – Le fournisseur de service: NSX Edge

VMware partie 4, Le fournisseur de service: NSX Edge
Nous avons vu précédemment qu’il existe un fournisseur de services pour les réseaux virtuels. Ce fournisseur prends place sur sur une ‘NSX Edge Service Gateway’ de VMware. Ce sont un peu comme les services offerts sur un routeur IOS Cisco.

La liste des fonctionnalités pour la version 6.x.x:

  • Routage (Routes statiques, OSPF, BGP-4 ; Depuis la version 6.3.x IS-IS n’est plus supporter). Un NSX Edge faisant du routage entre le réseau physique et le réseau virtuel s’appelle un ‘Perimeter Edge’
  • NAT (Network Address Translation)
  • Load balancing ( Partage de charge )
  • Firewall (niveau 3 et 4)
  • Ipsec VPN (les fonctionnalités VPN nécessitent un et un seul point d’accès physique)
  • SSL VPN (les fonctionnalités VPN nécessitent un et un seul point d’accès physique)
  • Layer 2 VPN (les fonctionnalités VPN nécessitent un et un seul point d’accès physique)
  • DHCP (fourniture d’adresse IP selon RFC …)
  • DNS relay (permet de relayer une demande DNS vers le serveur DNS)

Autant de NSX Edge peuvent être déployés que de services. Deux Edge peuvent être installés en même temps en parallèle pour offrir une fonctionnalité de Haute-Disponibilité ( ‘Edge HA’ ).

  • LinkedIn
  • MySpace
  • Viadeo
  • Yahoo Bookmarks
  • Facebook
  • Ping
  • Twitter
  • Blogger Post
  • Windows Live Favorites
  • Jamespot
  • Technorati Favorites
  • Yoolink
  • Google Bookmarks
  • Share/Save/Bookmark
Posted in Virtualisation | Tagged , , , , , , , , , | Comments Off

Virtualisation VMware, NSX présentation (partie 3) – le routeur virtuel (Logical Router)

VMware partie 3, NSX Logical Router
De la même manière qu’il y a un switch virtuel, le ‘Logical Switch’, il y a dans vSphere de VMware un routeur virtuel, le ‘Logical Router’.
Une interface de routeur virtuel peut se connecter sur deux types de support :

  • Vers les switchs virtuels qui supportent les VMs, c’est l’ ‘Internal LIF’
  • Vers les switchs virtuels qui sont connectés sur d’autres entités de niveau 3 (couche OSI de routage), c’est l’ ‘Uplink LIF’

  • Le routeur virtuel utilise le trafic du réseau de niveau 2 relayé par les switchs virtuels pour faire circuler le trafic de la couche OSI de niveau 3 (en l’occurrence IP).
    A noter que le trafic concernant les échanges de tables de routage, l’administration ou les connexion CLI en mode SSH utilisent un port d’accès particulier (l’ ‘Uplink LIF’).
    VMware partie 3, NSX Archicture Logical Router
    De même que le switch virtuel peut être réparti sur plusieurs machines hôtes, le routeur virtuel peut aussi être réparti sur plusieurs machines hôtes. Dans ce cas, il y a une copie d’une instance d’un routeur principal réalisée vers toutes les VMs.
    En reprenant le schéma:
    Un paquet arrivant sur n’importe quel routeur A (Logical Router A ou Instance A) sera traité avec les mêmes règles qu’il soit issue de la VM 1 ou de la VM 2.

    Une copie ou ‘instance’ peut donc tourner sur plusieurs hôtes, et plusieurs instances de routeurs virtuels différents peuvent tourner sur le même hôte sans qu’il y ait nécessairement des échanges entre eux. Chaque instance peut tourner sur des VXLANs particuliers.

    Ce mode de fonctionnement n’est valable que pour le routage, il existe des fonctionnalités qui ne peuvent être réparties sur plusieurs VMs et qui prennent place sur une VM il s’agit de ‘NSX Edge’.
    Nous verrons cela dans un autre post.

    • LinkedIn
    • MySpace
    • Viadeo
    • Yahoo Bookmarks
    • Facebook
    • Ping
    • Twitter
    • Blogger Post
    • Windows Live Favorites
    • Jamespot
    • Technorati Favorites
    • Yoolink
    • Google Bookmarks
    • Share/Save/Bookmark
    Posted in Virtualisation | Tagged , , , , , , , , , , , , | Comments Off

    Virtualisation VMware, NSX présentation (partie 2) – le switch virtuel (Logical Switch)

    VMware partie 2, NSX VXLAN
    Pour ceux qui ont déjà eu l’habitude de travailler avec un switch physique, la différence est la suivante:
    Un switch virtuel ou ‘Logical Switch’ peut se situer dans une machine hôte ou réparti sur plusieurs machines hôtes (c’est à dire partageant la même table ARP avec les mêmes numéros d’interface, cela est réalisé grâce au NSX Controller).

    Quand une VM d’une machine hôte physique A reliée à un ‘Logical Switch’, se trouve dans le même domaine de broadcast (de niveau 2) qu’une autre VM située sur une autre machine hôte physique B (elle aussi reliée à ce ‘Logical Switch’), la liaison entre la partie du switch virtuel sur A et celle sur B, se fait par le réseau IP sous-jacent reliant A et B. Cette communication passe par l’encapsulation VXLAN, comme on l’a vu à l’article précédent.
    (VMware a adopté ‘underlay’, par opposition à ‘overlay’ pour le terme de ‘sous-jacent’)

    D’autres VMs peuvent être reliées entre elles sur un même niveau 2 à travers tout le système informatique de l’entreprise.

    Pour pouvoir réaliser ces communications, il faut une table de correspondance entre les interfaces des VMs arrivant sur le switch virtuel et l’adresse IP du réseau sous-jacent. La table VTEP permet d’avoir une liste des interfaces pour chaque machine hôte.

    VTEP : VXLAN Tunnel Endpoint cela indique au système la correspondance entre :

  • l’interface de la VMs (son adresse MAC)
  • son adresse IP sur le VXLAN
  • l’identifiant du VXLAN ou VNI
  • un identifiant de connexion (Connection-ID)
  • Voyons, en très résumé, le fonctionnement dans deux cas.

    Le mécanisme est le suivant si les deux VMs A et B sont sur le même hôte dans le même VXLAN:

    1. La trame est émise par la VM A
    2. L’adresse MAC de destination de la VM B est connue sur cette machine hôte
    3. la trame est transmise à la VM B

    Le mécanisme est le suivant si les deux VMs A et B sont sur deux hôtes différents :

    1. La trame est émise par la VM A
    2. L’adresse MAC de destination de la VM B n’est pas connue sur la machine hôte de la VM A
    3. L’adresse IP de la machine supportant la VM B (repérée par son adresse MAC) est demandé
    4. Quand cette adresse est obtenue, la trame est transmise à la VM B sur l’hôte distant grâce à l’adresse IP obtenue. Le tout est encapsulé dans le format ‘VXLAN encapsulation’

    La gestion de la correspondance entre adresse IP et adresse MAC est gérée par un équipement particulier : le NSX Controller.
    Le NSX Controller possède 3 tables principales :

    • la Table VTEP (une par switch virtuel)
    • la Table MAC (pour toutes les interfaces du même domaine de broadcast)
    • la Table ARP (classique, la correspondance entre adresse MAC et Adresse IP pour les VMs du même domaine de broadcast)

    Le NSX Controller permet de renseigner les machines hôtes sur la position (adresse IP) des VMs dans le cas où la machine hôte n’héberge pas les VMs en question.

    • LinkedIn
    • MySpace
    • Viadeo
    • Yahoo Bookmarks
    • Facebook
    • Ping
    • Twitter
    • Blogger Post
    • Windows Live Favorites
    • Jamespot
    • Technorati Favorites
    • Yoolink
    • Google Bookmarks
    • Share/Save/Bookmark
    Posted in Virtualisation | Tagged , , , , , , , , , , , , , , , , | Comments Off

    Virtualisation VMware, NSX présentation (partie 1) – VXLAN

    VMware partie 1, NSX VXLAN
    Voici une série d’articles d’introduction sur NSX pour aller plus en profondeur dans la technique et ainsi faciliter la lecture des autres articles de ce blog consacrés à l’aspect réseau et communication autour de VMware.
    NSX est construit autour de plusieurs concepts:

  • le switch virtuel (Niveau 2 couche OSI)
  • le routeur virtuel (Niveau 3 couche OSI)
  • le fournisseur de services (NSX Edge)
  • un accès applicatif (par API)
  • le firewall virtuel
  • Le switch virtuel et le routeur virtuel peuvent être partagés (et donc présents comme une seule et même entité) sur plusieurs VMs éventuellement sur plusieurs machines hôtes. C’est la grande nouveauté par rapport au networking classique.

    Un nouveau concept: les VXLANs (Virtual eXtensible LAN).
    La base de virtualisation de réseau repose sur la possibilité de faire communiquer n’importe quelle VM du système informatique avec n’importe quelle autre VM ou autres entités sur le réseau. Cela à travers une couche particulière appelée ‘overlay’ permettant de faire abstraction du réseau sous-jacent. Il faut se représenter l’overlay comme un grand tunnel avec autant de voix d’accès que de ports connectés.
    Si vous n’êtes pas famillier avec le concept de tunnel je vous propose d’étudier le mécanisme GRE ( RFC 2784 ) qui permet l’encapsulation entre deux points évitant ainsi d’avoir à se préoccuper du routage et des caractèristique du réseau physique sous-jacent.

    Ce concept entre dans le cadre de ce que l’on appelle un SDN (Software Defined Network).
    L’overlay repose sur un ensemble de commutateurs de niveau 2 qui relient toutes les VMs et les autres éléments du réseau virtuel.

    Le mécanisme de communication entre les éléments de cet overlay, est réalisé en encapsulant les trames/paquets/messages issues des VMs, dans des trames particulières. Ce format est appelé ‘VXLAN encapsulation’.
    Le format ‘VXLAN encapsulation’ est constitué autour d’une trame Ethernet, émise par une VM, conçue de manière classique :

  • info de niveau 2 OSI
  • info. IP
  • info.TCP ou UDP ou autres info de niveau 3 OSI
  • les données et le contrôle d’erreur.
  • Cette trame classique ethernet va être encapsulée dans le ‘Outer Layer’ :

  • Ethernet
  • 802.1q externe
  • IP
  • UDP
  • VXLAN

  • Les informations du Outer Layers vont servir à faire circuler ces informations sur le réseau IP physique sous-jacent aussi appelé ‘Underlay’.

    VMware NSX protocole format VXLAN

    Cette petite série d’articles a été écrite grâce aux présentations techniques de VMware au VMworld 2017 Europe à Barcelone. Je l’ai complétée avec la lecture du livre de certification VMware pour la partie réseau VCP6-NV VCP6-NV Official Cert Guide (Exam #2V0-641) dans votre librairie préférée et à la documentation VMware sur NSX présente sur le site VMware.

    • LinkedIn
    • MySpace
    • Viadeo
    • Yahoo Bookmarks
    • Facebook
    • Ping
    • Twitter
    • Blogger Post
    • Windows Live Favorites
    • Jamespot
    • Technorati Favorites
    • Yoolink
    • Google Bookmarks
    • Share/Save/Bookmark
    Posted in Virtualisation | Tagged , , , , , , , , , , , , , , , , | Comments Off

    Premier jour à VMworld 2017 Europe (techno VMware)


    Voilà :)

    • LinkedIn
    • MySpace
    • Viadeo
    • Yahoo Bookmarks
    • Facebook
    • Ping
    • Twitter
    • Blogger Post
    • Windows Live Favorites
    • Jamespot
    • Technorati Favorites
    • Yoolink
    • Google Bookmarks
    • Share/Save/Bookmark
    Posted in Divers tendance nerd, Virtualisation | Comments Off

    VMware NSX version 6.3.0 (partie 5 – fin de présentation)


    Fin de présentation: ce n’est pas la fin des articles sur l’écosystème VMware, mais plutôt le début. Avec ce dernier article, vous avez une idée des nouveautés existantes, d’autres articles sont à venir surtout à l’occasion du VMworld2017 à Barcelone.

    La dernière version a apporter des nouveautés pour NSX est la 6.3.0 . les versions 6.3.1 et 6.3.2 ne sont que des bug-fixes.
    A noter la compatibilité avec vSphère 6.5a et suivantes, mais aussi avec les versions précédentes de vSphere (5.5 et 6.0).
    Quelques nouveautés :

    • Le noyau de NSX est devenu indépendant de la version de ESXi
    • NSX est vérifié avant de sortir un ‘host’ du mode maintenance. Cela permet de s ’assurer que l’ensemble est bien prêt avant de reprendre un travail normal.
    • Support du nouveau plugin vRealize Orchestrator version 1.1 qui supporte vRealize Automation.

    En matière de sécurité aussi des nouveautés :

    • Pour savoir si une politique de sécurité est synchronisée, l’indicateur de statuts pour le Service Composer est maintenant disponible.
    • Grâce aux fonctionnalités Linux fanotify et inotify ‘NSX Guest Introspection’ est opérationnels sur les VM Linux avec distributions supportées
    • DFW des timers sur le Firewall permettent de limiter des timeouts pour les protocoles TCP, UDP et ICMP.

    Pour le routage et les services rattachés :

    • Pour BGP, les configurations avec un numéro d’AS sur 4 octets sont possibles avec une compatibilité pour les numéros d’AS sur 2 octets
    • Une Appliance Edge permet maintenant une performance de 1.5Go en sortie.
    • Pour OSPF sur un ‘Edge Services Gateway’, une ‘Not So Stuby Area’ peut transformer tous les LSAs de Type 7 en LSA de Type 5.
    • Enfin la NAT connaît aussi ses changements comme l’utilisation de groupes de 5 critères ‘tupple’ (protocol, source IP, source port, destination IP, and destination port)

    Au niveau réseau, il convient de noter que IS-IS n’est plus présent sur la version 6.3.0 : «IS-IS removed from NSX Edge: From NSX 6.3.0, you cannot configure IS-IS Protocol from the Routing tab. »
    Des améliorations ont aussi été apportées sur les sujets suivants :

    • Tableau de bord pour la maintenance pour supporter les fonctionnalités suivantes:
      • service deployment status
      • NSX Manager backup status
      • Edge Appliance notifications
    • Gestion de tag pour une VM grâce à des appels d’API
    • Partage de charge : Amélioration du syslog. C’est aussi l’objet d’une amélioration dans le ‘Log Insight Content Pack’.
    • Role-Based Access Control: Réservée à l’administrateur ‘Enterprise Administrator’ et plus au ‘NSX Administrator’
    • Drain state for Load Balancer pool members: Permet de mettre un serveur, faisant parti d’un groupe de ‘load-balancing’, en état isolé pour réaliser des opérations de maintenance. Cela se fait de manière douce en ne prennant plus en charge de nouvelles VMs.

    Il faut aussi signaler que VMware sur son site web et ses documentations fait un effort particulier pour les francophones. Je ne peux que vous conseiller de visiter le site de VMware.

    L’événement de la rentrée, c’est biensûr le VMworld 2017 à Barcelone du 11 au 13 septembre 2017.

    • LinkedIn
    • MySpace
    • Viadeo
    • Yahoo Bookmarks
    • Facebook
    • Ping
    • Twitter
    • Blogger Post
    • Windows Live Favorites
    • Jamespot
    • Technorati Favorites
    • Yoolink
    • Google Bookmarks
    • Share/Save/Bookmark
    Posted in Virtualisation | Tagged , , , , , , , , , , , , , , , , , , , , , , , | Comments Off

    VMware vSAN version 6.6.1 (partie 4)


    Avec la version 6.5 Update 1 de VMware vCenter Server, vient une nouvelle version de vSAN : 6.6.1.
    Avec la version 6.6 de vSAN des améliorations ont été apportées comme :

    • une plus grande performance du stockage à base de flash
    • une reconstruction de cluster avec plus de contrôle : limitation possible du débit de synchronisation pour éviter de saturer le réseau.
    • ne reconstruction de cluster avec choix de la meilleure solution (reconstruction ou non) en cas de retour de l’élément qui a été problématique.

    Quelques nouvelles fonctionnalités :

    Mise à jour

    • Integration avec VUM, VMware Update Manager
    • New health checks for Update Manager (VUM)

    Les informations ‘VMware Compatibility Guide’ et ‘vSAN Release Catalog’ sont maintenant combinées avec les informations de l’ESXi à mettre à jour
    Le catalogue qui contient des informations sur les patchs etc. est situé dans le Cloud VMware. Quand une mise à jour compatible apparaît une notification est envoyée grâce à ‘vSAN Health’. De cette manière les mises à jour peuvent être automatiques.
    Note : Cette fonctionnalité nécessite un accès à Internet.

    Storage Device Serviceability

    Bien pratique cela permet de commander l’allumage d’une led pour localiser les disques durs. C’était le cas en mode RAID, c’est maintenant supporté en HBA ou mode ‘pass-through’. Il fallait y penser.

    vSAN Performance Diagnostics

    Cette fonctionnalité analyse les tests d’évaluation précédents. Cela permet de détecter les problèmes et de suggérer des actions correctives. Il permet aussi de visualiser les performances sur des graphiques pour faire des analyses plus poussées. Performance Diagnostics nécessite la participation au programme ‘Customer Experience Improvement Program (CEIP).

    Il faut aussi signaler que VMware sur son site web et ses documentations fait un effort particulier pour les francophones. Je ne peux que vous conseiller de visiter le site de VMware.

    L’événement de la rentrée, c’est biensûr le VMworld 2017 à Barcelone du 11 au 13 septembre 2017.

    • LinkedIn
    • MySpace
    • Viadeo
    • Yahoo Bookmarks
    • Facebook
    • Ping
    • Twitter
    • Blogger Post
    • Windows Live Favorites
    • Jamespot
    • Technorati Favorites
    • Yoolink
    • Google Bookmarks
    • Share/Save/Bookmark
    Posted in Virtualisation | Tagged , , , , , , , , , , , , , , , , , , , , , | Comments Off

    VMware vCenter Server 6.5 Update 1 (partie 3)


    Cet ‘Update’ est sorti le 27 juillet 2017 avec en particulier :

    • vCenter Server 6.5 Update 1
    • vCenter Server Appliance (VCSA) 6.5 Update 1

    Nouvelle fonctionnalités :

    • Pour l’installation il est possible lancer l’installation de vCenter Server Appliance par GUI et CLI sur Windows 2012 / 2012 R2 / 2016 64 bits et macOS Sierra.
    • TcServer est remplacé par Tomcat 8.5.8
    • vCenter Server 6.5 Update 1 supporte d’adaptation de l’OS Invité pour Ubuntu 17.04
    • VADP supporte aussi Windows Server 2016 et RHEL 7.3 pour réaliser des sauvegardes proxy.
    • Il est possible de permettre vSAN grâce à l’intégration avec vSphere Update Manager. Cela permet d’avoir tout dans une même interface utilisateur.
    • Support des base de données : Microsoft SQL Server 2016, Microsoft SQL Server 2016 SP1, et Microsoft SQL Server 2014 SP2.
    • vSphere Client basé sur HTML5, supporte maintenant les claviers Français, et Franco-Suisse entre autre.
    • Au niveau performance les instances ‘Linked vCenter Server’ :
      • 15 instances
      • 5,000 ESXi hôtes,
      • 50,000 machines virtuelles en marches
      • 70,000 machines virtuelles enregistrées.

    Dans un prochain article je traiterais spécifiquement de VSAN version 6.6.1.

    Il faut aussi signaler que VMware sur son site web et ses documentations fait un effort particulier pour les francophones. Je ne peux que vous conseiller de visiter le site de VMware.

    L’événement de la rentrée, c’est biensûr le VMworld 2017 à Barcelone du 11 au 13 septembre 2017.

    • LinkedIn
    • MySpace
    • Viadeo
    • Yahoo Bookmarks
    • Facebook
    • Ping
    • Twitter
    • Blogger Post
    • Windows Live Favorites
    • Jamespot
    • Technorati Favorites
    • Yoolink
    • Google Bookmarks
    • Share/Save/Bookmark
    Posted in Virtualisation | Tagged , , , , , , , , , , , , , , , , , , | Comments Off

    VMware vCenter Server 6.5 (partie 2)


    Voici 4 articles sur la nouvelle version de 6.5 de VMware vCenter Server. Nécessairement, ils vont survoler cette solution, par la suite j’aurais l’occasion de revenir sur tel ou tel point technique.
    Ce post va traiter de la version 6.5 sortie en fin d’année 2016. Dans un post suivant je traiterais de l’Update 1 de cette version 6.5.
    Avec vSphere 6.5 VMware fait en sorte que le vCenter Server Appliance ‘VCSA’ soit la base d’un environnement vSphere. L’idée étant de simplifier au maximum l’architecture pour faciliter la tâche du client.
    Maintenant sont embarqués dans cette Appliance :

  • vSphere host management (avec un vSphere Update Manager complètement intégré)
  • un système de sauvegarde/restauration basé sur les fichiers
  • vCenter Server Appliance Haute-Disponiblité en natif
  • Les nouveaux outils

    Cette nouvelle version 6.5 évolue vers plus de simplification grâce à 3 nouveaux outils.
    1) Outil de migration : le vCenter Server Appliance Migration tool
    Les mises à jour sont facilitées grâce à cet outil de migration quand il s’agit de convertir un déploiement vCenter Server traditionnel Windows vers cette nouvelle Appliance.
    2) Nouvel API basée sur REST APIs pour la gestion des VM
    Pour faciliter et à systématiser l’approche ‘développement’ dans l’administration et la gestion des VMs et pour rendre cette gestion plus efficace. Le développement est de plus en plus à la mode dans les environnements d’infrastructure.
    3) Nouveau client vSphere basé sur HTML5
    Pour faciliter l’utilisation et aussi avoir une ergonomie plus efficace ce nouveau client est basé sur HTML version 5.

    La sécurité

    Avec cette nouvelle version 6.5 il y a 3 nouvelles fonctionnalités concernant la sécurité.
    1) Une nouvelle possibilité de chiffrage au niveau disque. Avec la possibilité de chiffrer toutes les données sous tous les OS invités. Le chiffrage peut être activé par VM.
    Ce chiffrage est aussi possible pour les données ‘at-rest’ (en local) et ‘in-motion’ (en déplacement) grâce à la fonctionnalité de chiffrage de vMotion.
    2) Cette version inclue aussi un modèle de boot sécurisé pour protéger l’hyperviseur et les OS invités. Avec :

  • ESXi Secure Boot
  • Virtual Machine Secure Boot

  • 3) Enfin, les capacités de log qui donnent plus d’information sur le comportement des intervenants sur les systèmes permet de rechercher des anomalies et des risque ‘threats’ sur la sécurité si nécessaire. Les modifications, actions sont sauvées dans ces logs de manière très complète.

    Les Apps et les containers

    Pour tenir compte du développement des Apps, VMware a intégré les ‘vSphere Integrated Containers’. Cette gestion basée sur les containers, est répartie sur 3 composants :

  • ‘Engine’ il fournit le cœur du run-time ‘container’
  • ‘Harbor’ qui est un registre d’entreprise pour les images des containers
  • ‘Admiral’ est un portail pour la gestion des containers par les équipes de développement

  • vSphere Integrated Containers permet aux équipes IT de proposer une interface compatible Docker à leur équipes ‘App’. Surtout il permet une intégration forte avec VMware NSX et VMware vSAN.

    La Haute Disponibilité

    Cet aspect a été aussi amélioré, grâce à des fonctionnalités comme :

  • ‘Proactive HA’, fonctionne en relation avec des extensions (proposées par les fournisseurs de hardware) permettant de surveiller les composants matériels. Si le composant matériel devient ‘à risque’ la VM peut être évacuée vers un autre endroit avant un éventuel crash.
  • ‘vSphere HA Orchestrated Restart’, Permet un redémarrage VM par VM selon des chaînes de dépendance.
  • ‘Network-Aware DRS’, Grâce à l’observation de l’utilisation réseau il va déterminer si l’hôte est un bon choix pour la VM.
  • Amélioration de la ‘Content Library’ les administrateurs peuvent maintenant:
    • Monter une ISO directement depuis cette ‘Content Library’
    • Mettre en place une personnalisation d’un OS invité pendant un déploiement de VM
    • Mettre à jour les templates existants

    La ‘Content Library’ fait maintenant parti du service ‘backup/restore’ de vSphere 6.5, et fait parti des fonctionnalités ‘VC HA’.

    Il faut aussi signaler que VMware sur son site web et ses documentations fait un effort particulier pour les francophones. Je ne peux que vous conseiller de visiter le site de VMware.

    L’événement de la rentrée, c’est biensûr le VMworld 2017 à Barcelone du 11 au 13 septembre 2017.

    • LinkedIn
    • MySpace
    • Viadeo
    • Yahoo Bookmarks
    • Facebook
    • Ping
    • Twitter
    • Blogger Post
    • Windows Live Favorites
    • Jamespot
    • Technorati Favorites
    • Yoolink
    • Google Bookmarks
    • Share/Save/Bookmark
  • Posted in Virtualisation | Tagged , , , , , , , , , , , , , , , , , , , , , , , , , , | Comments Off

    Réseaux – iWAN Cisco et eye.lo (partie 2) – Présentation de NBAR 2


    Nous avons eu l’occasion d’aborder le sujet iWAN à l’occasion de la première partie sur eye.lo (voir article sur eye.lo partie 1). Pour rappel, eye.lo est une solution de monitoring utilisant la solution iWAN Cisco.
    Dans des posts suivants, nous allons voir des sujets comme sujets:

    • NBAR2
    • DVMRP
    • WAAS
    • PfR

    Pour commencer : NBAR 2

    NBAR est une application Cisco bien connue des techniciens réseaux puisque la QoS et la sécurisation nécessitent la reconnaissance des protocoles circulant sur un réseau. Le ’2′ signifie que c’est la version deux de NBAR ou ‘Next Generation NBAR’. NBAR ‘Network Based Application Recognition’.

    Le fonctionnement de NBAR s’appuie sur différents type de mécanismes :

    • DPI ‘Deep Packet Inspection’ : Inspection des paquets en profondeur, c’est à dire même si le protocole est encapsulé -Ex: XoT : X25 sur TCP, un clin d’œil historique :) -
    • Analyse des requêtes DNS
    • Statistiques et modèles de trafic -Ex :Pour identifier du trafic chiffré-

    Outre ces aspects prédéfinis il y a aussi des possibilités d’adaptation au contexte local. NBAR va pouvoir tenir compte du comportement d’applications métiers propres au réseau de l’entreprise ou au comportement du trafic propre à l’organisation.

    Il n’est pas recommandé quand on utilise eye.lo de modifier chaque routeur en utilisant la CLI Command Line Interface. Il vaut mieux passer par l’interface de eye.lo.
    Si cette personnalisation, en utilisant la CLI de chaque routeur, est vraiment nécessaire, l’identificateur de l’application doit être le même sur tous les équipements (voir la doc. Cisco), dans l’exemple ci-dessous: 36.

    ip nbar custom alainfaureAppli composite server-name *alainfaure.net id 36

    Sur eye.lo la création se fait par :
    application=6:36

    C’est ce nombre ’36′ qui doit être répercuté sur chaque équipement pour que eye.lo garde une cohérence sur tout le parc.

    eye.lo indique la manière dont est résolue la reconnaissance de protocole, si celui-ci n’est pas défini par Cisco (voir FAQ de eye.lo sur le site de eye.lo “Is there a way to recognize …” ) :

    1) Recherche du protocole dans les définitions eye.lo
    Sinon
    2) Recherche du protocole dans les définitions de l’opérateur réseau
    Sinon
    3) Recherche du protocole dans les définitions du client final utilisateur du réseau
    A chaque niveau un dictionnaire d’application peut fournir des moyens d’identifier le protocole propre à une application.

    Les NBAR2 Protocol pack
    Il faut aussi signaler que NBAR2 peut être enrichi ou mis à jour avec des ‘Protocol Pack’ ce qui permet de mettre à jour NBAR 2 quand de nouveaux protocoles sont mis en route ou que des anciens protocoles sont modifiés.

    Je vous invite à lire le chapitre sur ce sujet dans le livre sur iWAN (Je vous ai recommandé dans le précédent article): Cisco Intelligent WAN (iWAN), il est en anglais, mais un Français y a participé : Jean Marc BAROZET. Cisco Press, ISBN-13 : 976-1-58714-463-0. Ce livre est très complet sur la mise en œuvre de IWAN.

    • LinkedIn
    • MySpace
    • Viadeo
    • Yahoo Bookmarks
    • Facebook
    • Ping
    • Twitter
    • Blogger Post
    • Windows Live Favorites
    • Jamespot
    • Technorati Favorites
    • Yoolink
    • Google Bookmarks
    • Share/Save/Bookmark
    Posted in Infrastructure | Tagged , , , , , , , , , , , , , , , , , , , , , , , , | Comments Off