RE: [FRnOG] [TECH] CISCO REP vs LACP
> Jean-Charles BISECCO a écrit : > REP est conçu principalement pour le ferroviaire, Je ne savais pas, çà parait logique. > Pendant longtemps on a cru que la résilience était l'affaire du réseau Je suis généralement d'accord avec le reste de ta contrib, mais pour cette part je dirais plutôt que c'est les vendeurs de pompes usées qui ont essayé de nous faire croire que la résilience était l'affaire du réseau, alors que çà n'a jamais été le cas. Les mêmes qui aujourd'hui nous fourguent du cloud dans n'importe quelle situation. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] CISCO REP vs LACP
Bonjour Fabien, REP est conçu principalement pour le ferroviaire, il permet de faire une boucle pour connecter la signalisation, la téléphonie d'urgence, les panneaux d'attente etc. On retrouve cette technologie et ses concurrentes de loop L2 sur la plupart des lignes de métro avec une double boucle optique. On le voit aussi sur des boucles de pylônes radio. Pour ces 2 cas d'usage on trouve aussi souvent la présence de PTP, qui n'a rien à voir avec REP mais est souvent demandé par la signalisation en ferroviaire comme en radio. Le stretch L2 pose beaucoup de problèmes, effectivement en PCA/PRA on veut pouvoir tout migrer sans réadresser et sans basculer les subnets de façon binaire. Parfois on veut même cette flexibilité en prod tout court pour faire du VMotion inter-site par exemple. Les technos de fabric type TRILL / SPB comme FabricPath ont permis de faire du stretch doit disant scalable, en vérité les incidents sont fréquents et fortement impactant. On en vient à VxLAN + EVPN où l'usage de MAC-VRF permet d'étendre des réseaux proprement, sans avoir les risques de la génération précédente de fabric. Bien sûr quelqu'un de plus orienté WAN peut aussi faire du L2 en MPLS EVPN ou PBB s'il a besoin de peu de ports. Pendant longtemps on a cru que la résilience était l'affaire du réseau, si on regarde ce qu'on fait maintenant sur les architectures applicatives modernes à base de conteneur notamment, on se fou de l'IP et on cherche à remonter la résilience dans l'application. Et pas sur un load balancer couplé à des VLAN étendus avec FW qui synchronisent les sessions etc... Reste qu'il faut bien pouvoir gérer les applications existantes qui ont besoin de ce modèle vieillissant, qu'on nomme le "METRO DATACENTER" et qui a fortement percé au début de la dernière décennie en faisant tout synchroniser entre 2 sites (SAN, SGBD, ...) Si tu peux fais du VxLAN, si ton réseau est important utilise des équipements dédiés hors fabric pour porter les HA des FW. Enfin, incite les équipes système à gérer la redondance dans l'app, et à utiliser un 3e site comme quorum de vote pour les SGBD et autres clusters (ça évite le split brain et sauve des grains de café) Jean-Charles BISECCO -Message d'origine- De : frnog-requ...@frnog.org De la part de Michel Py Envoyé : samedi 21 novembre 2020 20:25 À : 'Fabien H' Cc : Liste FRnoG Objet : RE: [FRnOG] [TECH] CISCO REP vs LACP > Fabien H > Certes. (Bon sur un ASA, quand le L2 remonte, c'est pas trop grave, ça se > passe assez bien). Sauf quand ton réseau est coupé et devient actif/actif car les deux cotés pensent que l'autre coté est mort. Quand çà remonte, tes deux ASA vont re-synchroniser, çà va être laid non pas pour les ASA mais pour tout le reste de l'infrastructure non seulement va se retrouver avec des sessions TCP qui perdent les pédales mais en plus qui a continué a faire des transactions en ignorant que l'autre coté faisait pareil. > Mais du coup ça veut dire qu'on abandonne les archis redondantes de FW ou > autres ? Bien sur que non. La redondance à l'intérieur du même datacenter, même si çà coute cher il faut être con pour ne pas le faire. Alim redondantes hot swap, disques en RAID, firewalls actif/standby avec heartbeat et synchronisation, tout çà c'est nécéssaire. Mais çà reste de la redondance LOCALE; a moins d'avoir de la fibre noire en chemin séparé entre les deux cotés, c'est fondamentalement pas bon d'étendre le L2 au-delà du campus. > Ou alors il faut le faire en L3 ? Non seulement en L3 mais probablement dans les couches plus hautes aussi, suivant l'application. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] CISCO REP vs LACP
> Fabien H > Certes. (Bon sur un ASA, quand le L2 remonte, c'est pas trop grave, ça se > passe assez bien). Sauf quand ton réseau est coupé et devient actif/actif car les deux cotés pensent que l'autre coté est mort. Quand çà remonte, tes deux ASA vont re-synchroniser, çà va être laid non pas pour les ASA mais pour tout le reste de l'infrastructure non seulement va se retrouver avec des sessions TCP qui perdent les pédales mais en plus qui a continué a faire des transactions en ignorant que l'autre coté faisait pareil. > Mais du coup ça veut dire qu'on abandonne les archis redondantes de FW ou > autres ? Bien sur que non. La redondance à l'intérieur du même datacenter, même si çà coute cher il faut être con pour ne pas le faire. Alim redondantes hot swap, disques en RAID, firewalls actif/standby avec heartbeat et synchronisation, tout çà c'est nécéssaire. Mais çà reste de la redondance LOCALE; a moins d'avoir de la fibre noire en chemin séparé entre les deux cotés, c'est fondamentalement pas bon d'étendre le L2 au-delà du campus. > Ou alors il faut le faire en L3 ? Non seulement en L3 mais probablement dans les couches plus hautes aussi, suivant l'application. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] CISCO REP vs LACP
> > > Par exemple est-ce que la redondance de FW (ASA ou autre) est possible > sans un L2 ? > > Exemple parfait de ce que les vieux comme moi considèrent fondamentalement > défectueux. Je suppose que tu veux le même VLAN / subnet des deux cotés, > possiblement avec VRRP / HSRP et un heartbeat et un lien entre les deux > pour synchroniser l'état (stateful firewall) entre les deux; c'est un > paratonnerre à emmerdes : le jour ou ton lien tombe, tu te retrouves avec > deux cotés qui deviennent actifs en même temps et autres joyeusetés qui > prennent des lustres à consolider quand çà remonte. > > Certes. (Bon sur un ASA, quand le L2 remonte, c'est pas trop grave, ça se passe assez bien). Mais du coup ça veut dire qu'on abandonne les archis redondantes de FW ou autres ? Ou alors il faut le faire en L3 ? --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] CISCO REP vs LACP
>> Radu-Adrian Feurdean a écrit : >> Si au lieu de continuer avec le concept (que je suis pas le seul a >> considerer comme fondamentalement >> defectueux) du niveau 2 etendu entre l'ensemble des sites, tu commences a >> migrer vers une archi au >> niveau 3 (IP), ou un certain nombre de problemes classiques du niveau 2 >> n'existent plus ? Comme ca >> un lien inter-DC c'est juste un point-a-point, et tu peux ajouter autant que >> tu veux. +1000 > Fabien H a écrit : > Pourquoi pas mais est-ce que un PCA/PRA peut le faire sans L2 ? Oui si c'est bien conçu. > Par exemple est-ce que la redondance de FW (ASA ou autre) est possible sans > un L2 ? Exemple parfait de ce que les vieux comme moi considèrent fondamentalement défectueux. Je suppose que tu veux le même VLAN / subnet des deux cotés, possiblement avec VRRP / HSRP et un heartbeat et un lien entre les deux pour synchroniser l'état (stateful firewall) entre les deux; c'est un paratonnerre à emmerdes : le jour ou ton lien tombe, tu te retrouves avec deux cotés qui deviennent actifs en même temps et autres joyeusetés qui prennent des lustres à consolider quand çà remonte. REP je regarderai éventuellement, mais uniquement dans un contexte datacenter. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] CISCO REP vs LACP
Pourquoi pas mais est-ce que un PCA/PRA peut le faire sans L2 ? Par exemple est-ce que la redondance de FW (ASA ou autre) est possible sans un L2 ? Le sam. 21 nov. 2020 à 15:29, Radu-Adrian Feurdean < fr...@radu-adrian.feurdean.net> a écrit : > On Fri, Nov 20, 2020, at 14:36, Fabien H wrote: > > Bonjour, > > > > On aimerait remplacer le LACP sur nos 2 liens L2 interDC de type wave par > > CISCO REP (Resilient Ethernet Protocol). > > Vendredi c'est passe, mais j'essaye quand-meme: > > Si au lieu de continuer avec le concept (que je suis pas le seul a > considerer comme fondamentalement defectueux) du niveau 2 etendu entre > l'ensemble des sites, tu commences a migrer vers une archi au niveau 3 > (IP), ou un certain nombre de problemes classiques du niveau 2 n'existent > plus ? Comme ca un lien inter-DC c'est juste un point-a-point, et tu peux > ajouter autant que tu veux. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] CISCO REP vs LACP
On Fri, Nov 20, 2020, at 14:36, Fabien H wrote: > Bonjour, > > On aimerait remplacer le LACP sur nos 2 liens L2 interDC de type wave par > CISCO REP (Resilient Ethernet Protocol). Vendredi c'est passe, mais j'essaye quand-meme: Si au lieu de continuer avec le concept (que je suis pas le seul a considerer comme fondamentalement defectueux) du niveau 2 etendu entre l'ensemble des sites, tu commences a migrer vers une archi au niveau 3 (IP), ou un certain nombre de problemes classiques du niveau 2 n'existent plus ? Comme ca un lien inter-DC c'est juste un point-a-point, et tu peux ajouter autant que tu veux. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] CISCO REP vs LACP
D'après Cisco entre 50 et 200ms. Il y'a un heartbeat en broadcast sur un VLAN réservé REP : https://www.cisco.com/c/en/us/td/docs/switches/lan/cisco_ie4010/software/release/15-2_4_EC/configuration/guide/scg-ie4010_5000/swrep.html#pgfId-1015270 Le ven. 20 nov. 2020 à 23:41, Michel Py a écrit : > > Fabien H a écrit : > > REP avant tout pour le délai de convergence : <100ms vs 1s pour le LACP > en fast convergence et 30s en slow > > Cà converge à quelle vitesse quand le lien est physiquement "up" mais > qu'aucun trafic ne passe ? > Le test de convergence en débranchant le câble, c'est un peu facile. Il y > a des paquets REP toutes les 100ms ? > > Michel. > > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] CISCO REP vs LACP
> Fabien H a écrit : > REP avant tout pour le délai de convergence : <100ms vs 1s pour le LACP en > fast convergence et 30s en slow Cà converge à quelle vitesse quand le lien est physiquement "up" mais qu'aucun trafic ne passe ? Le test de convergence en débranchant le câble, c'est un peu facile. Il y a des paquets REP toutes les 100ms ? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] CISCO REP vs LACP
Romain, Merci pour ce retour précis, avec une conf en bonus ! Michel, REP avant tout pour le délai de convergence : <100ms vs 1s pour le LACP en fast convergence et 30s en slow Et le fait que j'ai un lien de backup avec un débit different du nominal. Le ven. 20 nov. 2020 à 23:08, Michel Py a écrit : > > Fabien H a écrit : > > On aimerait remplacer le LACP sur nos 2 liens L2 interDC de type wave > par CISCO REP (Resilient Ethernet Protocol). > > Par curiosité, pourquoi ? LACP çà marche pourtant bien. > > Michel. > > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] CISCO REP vs LACP
> Fabien H a écrit : > On aimerait remplacer le LACP sur nos 2 liens L2 interDC de type wave par > CISCO REP (Resilient Ethernet Protocol). Par curiosité, pourquoi ? LACP çà marche pourtant bien. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
