CYCOM : le Banc Des Admins

Le "Banc Des Admins" est une cellule au coeur de l'association Cycom, dont le rôle est d'assurer le bon déroulement des événements organisés par l'association, sur le plan technique réseau.

Présentation

Le BDA vise à fournir les prestations suivantes  (entre autres) :
  • serveurs "clefs en main", qu'il suffit de déballer, brancher et allumer (Plug N Play, pour ceux qui connaissent).
  • connexion Internet "Full-IP", c'est-à-dire que les postes autorisés disposent lors d'un réseau Cycom d'un accès Internet complet (adresse IP en frontale si besoin). Cela permet de lancer des serveurs Quake (par exemple) en frontal, et donc de faire participer des Internautes à un réseau Cycom.
  • création d'un VPN reliant des petits réseaux connectés à Internet via l'ADSL ou le câble par exemple, afin d'offrir un partage des ressources uniforme. Ce VPN inclut déjà une demi-douzaine de réseaux, avec gestion d'un TLD virtuel pour le nommage.
  • assistance aux utilisateurs pendant les réseaux.
  • prêt de matériel réseau (actif, câbles et serveurs).

Historique

L'expression "Banc Des Admins" vient du fait que, lors des premiers réseaux, tous les serveurs et les switches de dorsale étaient installés sur une longue table située dos à un mur. Cette disposition a perduré pour des raisons pratiques (concentration de l'équipe technique, nécessité de connecter tous les serveurs au switch de dorsale...). Le Banc comptait à Noël 1998 quelques serveurs et deux switches (celui de dorsale, et le switch de salle); aujourd'hui, on dénombre :

Fonctions actuelles

La principale préoccupation du BDA est le bon déroulement, au niveau technique, des réseaux Cycom. En dehors de ces événements, nous travaillons à l'élaboration d'un VPN IPV4 et IPV6, sorte de laboratoire pour les technologies de routage actuellement utilisées sur Internet.

Organisation des réseaux CYCOM

Topologie réseau

Depuis les premiers réseaux Cycom, nous déployons une architecture divisant le parc en plusieurs sous-réseaux, afin de limiter au maximum les effets du broadcast (l'expérience des grands réseaux montre que celui-ci est responsable de la majorité des problèmes de performance rencontrés).

Un ensemble de serveurs (les "passerelles") sont reliés entre eux par une dorsale rapide, capable de travailler à plein régime. Chaque paserelle dispose d'au moins 3 interfaces réseau : 1 pour la dorsale, 2 pour desservir des sous-réseaux. La passerelle offre un service DHCP et DNS au minimum, et peut éventuellement proposer un service FTP à partir du moment ou la charge CPU et réseau induite par celui-ci est maîtrisée (disques SCSI et limites pour le CPU, traffic control ou diffserv pour le réseau).

Dorsale / Matériel réseau

  • 2 switches de dorsale 8 ports 10/100 (serveurs + stations d'administration)
  • 2 switches de secours 5 ports 10/100 (secours dorsale, ou switch de salle)
  • 2 switches de salle (2 ports 10/100 + 8 ou 16 ports 10)
  • nombreux hubs 10 et 100 mbps

    • Serveurs

    • 3 serveurs multifonctions :
      • bi-processeurs
      • au moins 256 Mo de RAM (512 préférable)
      • au moins 3 interfaces réseau 100 megabits/s
      • disques en SCSI
      • OS stable
      • courant secouru (onduleurs)
    • quelques serveurs secondaires (service FTP, ou passerelle)
    • quelques stations d'administration (les serveurs n'ont pas à exécuter d'interface graphique)

    Routage interne

    Afin de faciliter la configuration de la dorsale, en particulier du routage, le protocole OSPF a été retenu pour opérer un routage interne. Les serveurs se trouvent tous en area 0 (backbone). Si ultérieurement, il faut utiliser plusieurs niveaux de passerelle, nous pourrions déployer des ABR (Area Border Router) pour limiter le traffic de routage inter-zone.

    Nous avons aussi testé RIP, mais il ne nous a pas donné satisfaction (convergence longue, en particulier pour la suppression des routes).

    Le VPN NX

    Le BDA déploie un réseau virtuel, basé sur des liens PPP/SSH sur de l'IPV4 classique. Le but de ce VPN est principalement pédagogique.

    Architecture du VPN

    Le réseau est architecturé autour d'un serveur de tunnels VPN central. Il est prévu de dédoubler ce serveur de tunnels pour des raisons de fiabilité et éventuellement de performance. Globalement, le VPN est disposé en étoile autour de ce serveur. Noter que la moitié des routeurs connectés au serveur de tunnel servent eux-même de point d'accès au VPN pour d'autres sites. Le VPN s'étend même sur des liens Numeris à connexion intermittente, et sur des liens modem.

    Routage externe

    Le protocole déployé est BGP4. Sur les liens Numeris, nous préconisons un routage statique aux deux extrémités du lien, afin de ne pas nécessiter une connexion permanente du lien.

    Mobilité

    Afin de minimiser le travail de configuration lors du déplacement d'un hôte, tous les serveurs qui peuvent être amenés à se connecter à partir d'endroits différents du réseau disposent d'un mécanisme leur permettant de fonctionner correctement dans les divers environnements réseau. Ceci implique des protocoles de routage dynamique (OSPF et/ou BGP), ainsi que des mécanismes plus ou moins simples : virtual gateway par proxy arp pour les serveurs de dorsale, et subnetting route override pour les routes statiques (définition d'une route "large" statique avec un masque de 22 bits par exemple ; cette route est outrepassée par une route plus "fine" avec un masque de 24 bits, route qui apparaît lors de la connexion du serveur sur une dorsale BGP).

    DNS

    Tous les serveurs DNS de notre VPN sont configurés de façon à prendre en compte une TLD supplémentaire : la zone ".nx". En-dessous de cette zone, les mécanismes de délégation usuels sont appliqués. La zone 168.192.in-addr.arpa, pour la résolution DNS inverse, a elle aussi été ajoutée et est délèguée de la même façon. Cette architecture est similaire à celle qui est en place pour la résolution des domaines ".com", par exemple.

    NIC

    Afin de centraliser les informations sur le VPN et ses composantes, un NIC (Network Information Center) va être mis en place. Il réunira :
    • Les plages d'adresses disponibles (en 192.168.*.*)
    • Les SLD
    • Les DNS pour les SLD
    • Les ASN pour le routage BGP
    • Les "mainteners" pour tous ces objets
    Ce NIC devrait être disponible début 2001 au plus tard.

    Composition actuelle du BDA

    Architecture réseau et serveurs principaux : Skaya, Phantom, Krystal
    Serveur web intranet : Diamss
    Serveurs auxillaires : Billou, Keneda, Mollock
    Membres d'honneur : Sandman, DLG, Paradox