Un réseau 10 fois plus rapide pour préparer l’avenir

par Vincent Magnin et Serge Botkine, ingénieurs réseau, Ci-UNIL

Afin d’offrir un réseau toujours plus rapide pour s’adapter aux besoins croissants de l’UNIL, le Ci passe le réseau UNIL à 10 Gigabits par seconde, soit une vitesse 500 fois supérieure à l’offre DSL commerciale la plus rapide – et renouvelle son infrastructure centrale.


© Péter Mács – Fotolia.com

Pourquoi un réseau UNIL aussi rapide (10 Gbps) ?

En analysant la courbe de trafic de la figure ci-dessous, représentant le trafic internet entrant et sortant de l’UNIL, on voit que le trafic entrant a quadruplé entre fin 2006 et aujourd’hui.

Intéressons-nous de plus près aux valeurs de pointe de ce même trafic durant les premières semaines 2011 (figure suivante) ; on remarque que durant les périodes de fortes affluences, on atteint des valeurs de pointe situées entre 200 Mbps et 400 Mbps.

En admettant un même type de trafic et une même progression pour les quatre prochaines années, les valeurs de pics du trafic sortant vont rapidement dépasser le 1 Gpbs.

Cette augmentation est certainement liée à une augmentation du nombre d’étudiants mais pas uniquement. Auparavant, l’accès à internet était utilisé en majorité par les équipements filaires du campus (administration, centre de recherches, salle de cours, …). Depuis l’arrivée massive du Wi-Fi à l’UNIL, l’accès à internet est devenu grandement facilité pour les étudiants, ce qui a bien évidemment fait rapidement grimper le trafic internet global. D’autres facteurs pouvant expliquer cette augmentation sont notamment la mise en place de nouveaux systèmes de vidéo conférence en haute définition et l’utilisation massive du lien internet dans certaines facultés (en particulier dans le domaine de la bio-informatique, par exemple, le SIB achemine chaque jour une grande quantité de données vers d’autres campus), etc.

Le trafic interne de l’UNIL va aussi fortement augmenter dans les prochaines années. Les facultés ont de plus en plus besoin de serveurs virtuels, ce qui se traduit par un trafic élevé lors des sessions de backups (tous les soirs). Le seul moyen de pouvoir réduire le temps de backup est d’augmenter la bande passante de ces serveurs. Autre exemple, le flux de données des serveurs de stockage de fichiers (SAN), utilisant actuellement un réseau de fibres totalement découplé du réseau de l‘UNIL (réseau FC ou Fibre Channel), va certainement, dans les prochaines années, être intégré au trafic de l’UNIL (FCoE ou Fibre Channel over Ethernet). Le but étant d’économiser de la place et de réduire les coûts de maintenance (on ne maintient plus deux réseaux mais un seul). Cette technologie, appelée convergence va certainement être une grande consommatrice de trafic interne.

Pour toutes ces raisons, nous avons non seulement dû penser à augmenter la bande passante sortante de l’UNIL (optimisation du routeur sortant), mais également à augmenter en interne le nombre de connexions haut débit des points stratégiques où sont et seront connectés les différents serveurs (optimisation de routeur central).

Modification du nœud central

Le schéma suivant représente le nœud central de l’université avant changement :

Le routeur ULSW était le routeur qui acheminait le trafic sortant et entrant de l’université. Ce routeur n’était pas adapté pour supporter du 10 Gbps. Le routeur DORIGNY (MLX-16 de Foundry/Brocade) était le routeur qui desservait tous les bâtiments de l’université ainsi que les serveurs. Il ne pouvait accepter qu’un nombre limité de connexions 10 Gbps. Le Firewall (FW) quant à lui n’était pas prévu pour supporter du 10 Gbps.

Il nous a donc fallu trouver un routeur capable non seulement de supporter un grand nombre de connexions en 10 Gbps mais qui soit également capable de supporter les nouveaux standards (IPv6 pour disposer de suffisamment d’adresses IP pour connecter la foule de nouveaux périphériques sur internet la technologie IPv4 actuelle arrivant au bout de ses possibilités, FCoE, …). De plus, nous avons repensé l’architecture afin de trouver un moyen de réduire le nombre d’éléments de routage du nœud central. En effet, il faut savoir que tout le matériel réseau important est acheté à deux exemplaires pour faire face rapidement à un problème technique. Le fait de réduire le nombre de pièces permet donc de faire de grosses économies.

Nous avons opté pour le même constructeur. Son nouvel MLX-8 permet de connecter jusqu’à 64 connexions 10 Gbps compatibles FCoE. De plus, ce MLX offre une fonctionnalité permettant la création de routeurs virtuels (VRF). Cela nous a permis d’héberger sur une même machine une instance de routage desservant les utilisateurs (rôle qui était attribué à l’ancien routeur DORIGNY) et une instance pour le routage vers l’extérieur (ancien routeur ULSW). Finalement ce nouveau routeur est totalement compatible IPv6, qui, pour information, devrait être déployé cette année.

Voici le schéma de la nouvelle architecture, qui représente donc le nœud central actuel :

Modification du Firewall UNIL, baptisé « Authentic »

Le Firewall Authentic est utilisé pour filtrer le trafic entrant et sortant de l’université selon le principe Authentic 1 qui vise à autoriser ou non l’accès aux ressources internes de l’UNIL (serveurs, postes utilisateurs…) depuis un autre réseau, en abaissant le firewall après authentification. Le but est de protéger le réseau UNIL, et donc nos ordinateurs qui y sont connectés, des attaques du monde extérieur. Authentic 1 est la première ligne de défense qui nous protège des hackers et autres pirates.

Afin de pouvoir accéder à internet avec un débit supérieur à 1 Gbps, nous devions donc aussi changer cet équipement. Malheureusement, il n’existe pas de modèle 10 Gbps dans la même gamme de produits que notre Firewall de type Juniper ISG1000. Nous avons donc dû trouver un modèle ayant les mêmes possibilités techniques et offrant la capacité d’utiliser des interfaces en 10 Gbps. Notre choix s’est porté sur un Firewall d’une autre gamme du même constructeur, le SRX3600. Ce nouveau Firewall apporte quelques nouveautés au niveau du filtrage du trafic, dont voici le principal atout : la modularité.

Ce Firewall est composé de 3 parties bien distinctes :

  • carte(s) interface réseau
  • carte(s) fonction Firewall
  • carte(s) load balancer.

Ce Firewall peut utiliser jusqu’à 12 cartes à l’intérieur de son châssis, avec au minimum une carte de chaque type. En augmentant le nombre de carte de type Firewall, nous augmentons la quantité de trafic pouvant traverser le Firewall. Aujourd’hui, une carte Firewall est suffisante, car sa capacité, calculée en terme de paquets TCP/IP pouvant la traverser, est bien supérieure à nos besoins. Lorsque nous aurons besoin de plus de capacité, nous pourrons ajouter encore 6 modules supplémentaires. La carte load balancer est nécessaire pour acheminer le trafic depuis les interfaces vers la partie Firewall. Nous utilisons donc 1 carte interface réseau avec 2 ports 10 Gbps, 1 carte Firewall et 1 carte load balancer.

Une nouvelle page d’authentification pour Authentic 1

Parmi les nouveautés apportées avec ce Firewall, le plus gros changement est au niveau du langage utilisé pour sa configuration.

Jusqu’à maintenant, tous les Firewall utilisés à l’université étaient basé sur le langage Screen OS. Les migrations étaient plutôt aisées, car, nous pouvions les reconfigurer sans avoir besoin de faire de traductions. Ce nouveau modèle fonctionne dans une nouvelle langue appelée Jun OS. Heureusement, toutes les fonctionnalités utilisées à l’UNIL existent aussi avec ce nouveau langage. Le seul changement visible pour les utilisateurs est la page d’authentification pour accéder aux serveurs dans la liste orange :


Page d’authentification : le logo UNIL devrait bientôt y faire son apparition

Ce changement met en évidence le fabricant du Firewall, avec l’apparition du logo Juniper Networks. Bien que l’utilisateur UNIL ait l’impression d’entrer sur le site de Juniper Networks, plutôt que d’entrer sur le site de l’Université de Lausanne, il doit faire confiance au certificat SSL de la page d’authentification, qui est bien émis par l’UNIL. Nous travaillons avec le fournisseur pour pouvoir si possible modifier cette page et y insérer le logo de l’UNIL.

Le « nouveau » réseau UNIL se veut donc plus rapide, plus modulaire et plus fiable, en un mot : taillé pour les besoins sans cesse croissants de la communauté UNIL !

Partager: Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someone

,