Le 4 avril dernier se déroulait le 22ème rassemblement du FRench Network Operators Group, l’occasion d’assister à plusieurs présentations techniques ou commerciales, mais aussi de discuter technique avec des professionnels du réseau autour d’une bière. Voici un petit résumé de ce qui a été présenté durant cet évenement:
DPDK
Vincent Jardin, CTO de 6Wind et co-fondateur du projet Quagga, nous a présenté le Data Plane Development Kit de chez Intel.
Il s’agit d’une librairie dédiée au “fast packet processing” sur les plate-formes x86.
En d’autres termes, cette librairie peut être utilisée dans le cas d’un routeur tournant sous GNU/Linux, pour améliorer les performances de routage par rapport à un traitement classique des paquets (effectué par le noyau).
Cette librairie vise à réduire le nombre de cycles CPU nécessaires lors de la réception, puis de l’envoi d’un paquet. Il est à noter que cette librairie s’exécute en espace utilisateur. Lors de la présentation, l’accent a été mis sur l’utilité de DPDK dans le contexte d’un routeur virtuel. Il semblerait que dans le cadre d’un traitement des paquets par le noyau, l’augmentation du nombre de vcores alloués à la machine virtuelle ne permet pas une augmentation linéaire des performances. A partir d’un certain seuil, les performances de routage stagnent. Cette stagnation serait due à une saturation en termes de cycles CPU de l’hôte physique. L’utilisation de DPDK permettrait alors de rentabiliser l’ajout de vcores en permettant une augmentation linéaire de la capacité de routage de la machine virtuelle.
Une utilisation conjointe de DPDK et de la notion de fastpath semble également être une approche prolifique en termes de performances, la bibliothèque semble également permettre la mise en place de la politique de fastpath.
Un rapide tour sur le site web du projet indique que DPDK peut-être également utilisée pour développer des algorithmes de capture rapide des paquets (à l’instar de tcpdump). Une techno à suivre !
Réseaux Infiniband
Yael Shenhav, de l’entreprise Mellanox, durant la seconde présentation, a présenté une alternative hautes performances aux réseaux ethernet. Infiniband est un ensemble de technologies mises en avant par un consortium d’entreprises (dont fait partie Mellanox).
Autres équipements, autre connectique, il s’agit là de déployer une infrastructure réseau complète dans le but de bénéficier de plus de performances (jusqu’à 300Gb/s, le site web du projet indique que cette valeur devrait être doublée en 2017).
Ces produits se destinent surtout aux datacenters. L’accent a été mis durant la présentation sur la technologie Remote Direct Memory Access, qui permet au réseau d’accéder directement en lecture ou en écriture à la mémoire utilisée par les applicatifs tournant sur les serveurs. L’objectif est de ne pas solliciter le CPU et les buffers.
Testing Network Hardware
La troisième présentation fut l’oeuvre de Guillaume Barrot (Jaguar Networks) et de Nicolas Bayle (IXIA). Ceux-ci ont exposé des méthodes et pratiques de test sur le matériel réseau. Le document de référence en la matière est la RFC 2544. Il est apparu que l’utilisation de machines physiques pour le test des équipements réseaux prévaut sur l’utilisation d’instances virtuelles dans le cas où le besoin de précision et d’une latence faible est très important.
Une partie importante de la présentation traitait des solutions logicielles proposées par IXIA dans ce domaine.
Des solutions libres de test ont été évoquées lors de cette présentation : iperf, nemesis, packit, Hping.
EVPN
Les Virtual Private LAN Services (VPLS, RFC 4762, 6074 et 4761) sont de plus en plus utilisés sur les réseaux opérateurs.
Il s’agit de créer un réseau privé virtuel de couche 2 au-dessus d’un réseau de couche 3, à l’aide des protocoles MPLS ou BGP.
Lors de cette quatrième présentation, Dominique Schaeffer, d’Alcatel-Lucent, a présenté EVPN, qui fait l’objet d’un draft de l’IETF et fournit une alternative au VPLS “classique”.
EVPN serait supérieur à VPLS sur le multihoming, le multi-point à multi-point et apporterait un meilleur contrôle en ce qui concerne la manière dont les adresses MAC sont apprises sur le réseau virtuel de couche 2.
Un vrai linux dans des équipements réseaux
Cumulus est une distribution GNU/Linux (basée sur Debian) qui se présente comme une alternative aux systèmes d’exploitation propriétaires des équipements réseaux.
Stéphane Airch (Dell) présentait l’architecture de cette distribution. Cumulus se base sur un démon permettant l’abstraction matérielle : switchd. Un driver spécifique à chaque constructeur/modèle est nécessaire pour permettre l’interaction entre l’équipement et l’OS. Le reste de la distribution ressemble fortement à Debian. Parmi les packages disponibles on peut citer icinga, collectd, ganglia, graphite, netsnmp, bird, puppet, quagga… Vous l’aurez compris, un des objectifs de cumulus est de permettre l’automatisation des configurations réseau. Point négatif, la liste des équipements supportés se limite au haut de gamme.
Il semblerait que des licences par port soient requises.
Un élément intéressant est le projet libre mis en avant lors de la présentation pour l’installation de cumulus : ONIE. Ce projet permet l’installation sur des équipements réseau du système de son choix, que ce soit cumulus ou le système proposé par le constructeur, un peu à la manière d’une installation par PXE.
Cloud Orchestration with transport SDN
Cette intervention, de Jörg-Peter Elbers (ADVA Optical Networking), portait sur le Transport SDN dans les réseaux optiques.
Le Software Defined Networking consiste à ajouter un niveau d’abstraction entre le système qui fait transiter les paquets (le routeur et son OS) et le système qui prend les décisions concernant la manière dont les paquets doivent être acheminés (ajout d’un contrôleur extérieur aux équipements). Ce type d’approche peut remplacer l’utilisation de protocoles de routage comme BGP ou OSPF.
La solution présentée ici est différente puisqu’elle consiste en l’orchestration du spectre optique dans les réseaux fibre. L’objectif est de s’abstraire de la complexité de la couche optique en la rendant “programmable” et de proposer de l’Optical Spectrum As A Service (terme employé lors de la présentation).
En ce qui concerne le matériel cela se traduirait par l’utilisation d’émetteurs-récepteurs optiques “dirigés par le logiciel” tel qu’on l’entend dans le cadre du SDN (programmables).
HAProxy 1.5
Willy Tarreau, développeur du projet HAProxy, a présenté les nouveautés apportées par les versions 1.5 et 1.6 du load-balancer.
La version 1.5 apporte notamment des optimisations au niveau SSL, l’apport des connexions persistantes HTTP (keepalive), le support complet d’IPv6, la compression HTTP (avec zlib)… Plus d’info: CHANGELOG. De belles nouveautés sont également à venir pour la version 1.6 avec de la compression gzip sans état ou encore le cache partagé SSL.
Hijacking of public DNS servers in Turkey, through routing
Stéphane Bortzmeyer, ingénieur à l’AFNIC et spécialiste notamment des questions liées au DNS, est revenu, de manière concise et claire, sur les événements récents en Turquie. Il a détaillé la manière dont les autorités Turques ont empêché l’accès à Twitter et YouTube aux utilisateurs.
A l’origine, des utilisateurs turcs de Twitter et YouTube manifestaient leur mécontentement vis-à-vis du gouvernement via ces services. La première mesure prise par celui-ci pour empêcher l’accès à ces plates-formes fut de faire mentir les résolveurs DNS des FAI turcs. Le parti d’opposition se mit alors à divulguer les adresses IP du résolveur DNS publique de Google (ce que l’on peut voir sur cette photo). La surenchère du gouvernement et les précisions techniques de cette affaire sont disponibles sur le blog de l’intervenant.
Conclusion
En résumé cet événement fut enrichissant, puisqu’il a permis de se tenir au fait des dernières nouveautés. Ce type de rassemblement concerne directement Ippon Hosting, le réseau étant un élément capital dans la construction d’une infrastructure cloud. Je remercie les organisateurs du FRnOG, à l’année prochaine !