État
Echec!!
Date
Dimanche 08 Mars 2018
Admins impliqués:
Thomas DELABY (à distance), Baptiste GUILLARD, Vincent MESSIÉ
But:
Dans le cadre du projet fibre, remplacer Pessac par Polaris, afin de mettre le backbone en 10Gbps
État des lieux antérieur
Pessac en prod. Le réseau était assez "instable": en effet, la mise en prod des nouveaux switchs d'accès dans les bâtiments nous a forcé, pour utiliser les anciennes fibres, à utiliser les switchs Unifi (Rox & Roucky) pour chainer les switchs d'accès (lien Pessac => Unifi => Quanta). Un problème sur ces derniers, et tout les âtiments tombaient !. Fonctions assurés par Pessac:
Switch de coeur principal, connecté notamment à Delicate-cockroach (Hyperviseur), Peach (Firewall), F.O Quantic-Telecom et au réseau DISI.
Routage inter-vlans dans 2 zones définis : vlans d'administrations (997,998,988 + tunnel GRE) et vlans "utilisateurs" (999,994,995). Le vlan 980 (Quantic) ne possède pas d'@IP, et le vlan 990 (Disi) est dans une zone séparée (DMZ)
Le nouveau switch était également complètement configuré. Certaines concessions ont du néanmoins êtres faites par rapport à Pessac. Notamment, cet équipement ne peut avoir son interface d'administration dans une VRF. il a donc été nécessaire de:
Mettre la vrf admin actuelle dans la zone par défaut
Et mettre l'ancienne zone par défaut dans une VRF "users". Globalement, la façon de penser Mikrotik étant très différente de celle de cisco, la configuration a été très laborieuse.
État des lieux postérieur
L'opération ayant été infructueuse, Pessac a été remis en service. Le nouveau switch a néanmoins été installé uniquement pour l'accès (pas de fonctions L3 fonctionnelles, donc), afin d'utiliser les nouvelles fibres. Il est connecté avec Pessac via un LACP en Trunk sur les vlans 995,998 et 999. Les anciennes fibres sont donc libérées.
Machines / Services touchés:
À peut près tout le réseau Rennais ( ͡° ͜ʖ ͡°)
Détail des modifications
(tentative de) mise en prod du nouveau switch : transfers de toutes les IPs et du tunnel Gre sur le nouveau switch. L'équipement avait été configuré au préalable, il était néanmoins assez difficile d'en tester certaines fonctionnalités, telles que le tunnel Gre, etc. Migration de la connexion de delicate-cockroach (Hyperviseur) du LACP vers un lien 10Gbps (via un câble DAC): la nouvelle carte réseau était déjà reconnue, il fallait juste reconfigurer l'interface. Ce lien était fonctionnel. Cependant, openvswitch supporte difficilement ces changements d'interface, et il a fallu complètement rebooter l'hyperviseur pour avoir une connexion pleinement fonctionnelle sur les VMs.
Problèmes rencontrés
Lors de la mise en prod du switch, plusieurs lien ne fonctionnaient pas, listés ci-dessous.
Lien Disi: l'interface recevait les paquets encapsulés GRE contenant les pings d'Icinga. Cependant, il était impossible, depuis le switch, de joindre l'interface distante du tunnel. Après traceroutes et investigations, il s'avérait que les paquets n'allaient pas plus loin que le premier routeur de la DISI (10.35.5.1), sans que celui là ne forwarde / renvoie les paquets. Le ping était lui-même assez erratique Nous avons donc pensé à un éventuel filtrage des adresses MAC du coté de la DISI, où à un cache ARP ayant gardé les adresses de Pessac.
Lien avec Peach : Sur Pessac, outre l'IdRAC, Peach était connecté grâce à un lien trunk, et un lien hybride sur le VLAN 994. Peach ne supportant pas les cartes 10G, cette configuration a été gardée pour Polaris. TODO
Tests
TODO
Évolutions futures
TODO