À l'époque
Les câbles de console sont à vie
Vous êtes ingénieur réseau?
Ouvrez le tiroir de votre bureau, sortez le beau câble bleu clair et embrassez-le. Ce câble a inévitablement été votre ami (et parfois votre ennemi) pendant toute votre carrière, n'est-ce pas ? Les câbles de console RS-232 sont un élément essentiel du routage et de la commutation depuis ce qui semble être des millénaires.
Pensez-y, la méthode initiale de programmation des périphériques réseau était de 9600 bauds jusqu'à ces dernières années et elle est maintenant de 115kbps. Combien de fois avez-vous essayé de coller un bloc de texte de configuration pour voir la console rejeter une commande ou une faute de frappe et tout échouer à partir de là. Inévitablement, un petit nombre d'appareils sont déployés avec des configurations erronées en raison de ce processus défaillant.
L'objectif de cette série de mini-blogs est de comparer la façon dont nous faisions les choses à l'époque et la façon dont nous les faisons aujourd'hui. Nous ne suggérons pas que vous devriez jeter vos câbles de console à la poubelle, nous en avons toujours besoin pour les scénarios de dépannage ou les configurations de laboratoire.
Les câbles de console ne sont plus utilisés très souvent, en raison de l'avènement de ces fonctions intéressantes :
Approvisionnement sans contact (ZTP)
Vous devriez être en mesure de sortir un appareil de sa boîte en carton et de connecter le port de gestion à votre réseau OOB et à votre ordinateur. obtenir une adresse IP via DHCP. Surveillance Ping de gestion sur le réseau OOB, ainsi qu'un moyen de visualiser les affectations de l'étendue DHCP pour vous aider à comprendre quelle adresse a été attribuée afin que vous puissiez la modifier. SSH à le nouvel appareil pour la configuration.
Réseau ouvert Endécrochage Environnement (ONIE)
En ajoutant une valeur à la réponse du serveur DHCP, un appareil est informé de l'endroit où il peut obtenir une copie de son image NOS pour le premier démarrage. Ce fichier est transmis via HTTP. ONIE permet de personnaliser l'image NOS installée sur chaque fournisseur, plateforme, facteur de forme, type de dispositif ou même l'adresse MAC individuelle. Les options sont infinies !
La réponse DHCP peut également spécifier un script que le nouvel appareil doit exécuter. Il peut s'agir d'installer des clés et des secrets de confiance. Les scripts ZTP vous permettent de configurer toute configuration préliminaire qui doit se trouver sur le commutateur avant de faire quoi que ce soit d'autre. Vous pouvez considérer le script ZTP comme les tâches que vous effectuez lorsque l'appareil se trouve sur l'établi avant d'être installé.
La racine de la confiance
Par défaut, un nouveau commutateur va faire confiance aux instructions du script DHCP ZTP, donc lorsque vous connectez le port de gestion à votre réseau OOB, vous devez immédiatement verrouiller l'appareil afin qu'aucune instruction de tiers ou code malveillant ne puisse être installé. Ce processus est connu sous le nom de chaîne d'amorçage de confiance (Trusted Boot Chain). La conception et la configuration de la chaîne sont spécifiques aux besoins de votre entreprise et sortent du cadre du présent document. D'autres mécanismes de sécurité peuvent être mis en place, tels que l'amorçage sécurisé par une clé USB ou le matériel d'amorçage sécurisé dans l'appareil lui-même. Une racine de confiance efficace permet aux dispositifs de revérifier périodiquement l'ensemble de la chaîne pour s'assurer que les communications avec la racine sont sécurisées et que l'autorité de signature est cohérente.
Semble complexe! Pas avec Verity.
Si vous partiez de zéro, vous devriez configurer 3 à 5 microservices différents et les déployer sur un petit serveur connecté au réseau de gestion Ethernet. Cela semble amusant pour un laboratoire personnel où vous voulez apprendre chaque composant, mais en réalité, il est logique d'avoir un outil qui fait tout cela et plus encore, n'est-ce pas ? Verity est une plate-forme unifiée pour l'exploitation des réseaux, du centre de données au campus, en passant par les courtiers en paquets et le réseau de gestion.
En effet, Verity dispose d'une configuration de réseau de gestion intégrée. Il suffit de déployer le système Verity sur un serveur, de le brancher sur le réseau de gestion et le tour est joué. Verity configurera le commutateur de gestion, mettra en place un serveur DHCP, s'occupera des instructions ONIE/ZTP ainsi que de l'installation des clés de sécurité, des certificats ou des logiciels personnalisés. Verity peut installer sélectivement de nouvelles versions de SONiC sur n'importe quel appareil de n'importe quel fournisseur et vous donner un contrôle personnalisé sur les fichiers firmware/boot à installer sur chaque plate-forme. Les appareils gérés par Verity apparaissent immédiatement dans l'interface utilisateur de Verity avec toutes leurs données télémétriques et peuvent être configurés pour des rôles réseau en quelques secondes. Les configurations sont garanties correctes, plus de fautes de frappe, plus de débordements de la mémoire tampon de la console.
Dans le prochain article, nous parlerons des alternatives modernes aux feuilles de calcul pour la gestion des stocks et des appareils.
Merci de votre attention !
Josh Saul
Vice-président du marketing produit
Josh Saul est un pionnier des solutions de réseau open source depuis plus de 25 ans. En tant qu'architecte, il a construit des réseaux centraux pour GE, Pfizer et NBC Universal. En tant qu'ingénieur chez Cisco, Josh a conseillé des clients dans le secteur financier du Fortune 100 et a évangélisé les nouvelles technologies auprès des clients. Plus récemment, Josh a dirigé des équipes de marketing et de produits chez VMware (racheté par Broadcom), Cumulus Networks (racheté par Nvidia) et Apstra (racheté par Juniper).
