Installation et paramétrage du commutateur de réseau virtuel Cisco Nexus 1000V

Cisco Nexus 1000V est une appliance réseau virtuelle s'intégrant au sein du Datacenter Virtuel VMware. Cette appliance comporte deux composants :

• le VSM : Virtual Supervisor Module ;
• le VEM : Virtual Ethernet Module.

Commençons par illustrer le fonctionnement des deux modules de manière schématique.

Le schéma ci-dessus illustre le principe de fonctionnement de l'appliance virtuelle Nexus 1000V.

Sur les différents hôtes ESX/ESXi, le VEM (Virtual Ethernet Module) représente un groupe de ports virtuels. Le VEM vient sur chaque hôte remplacer le traditionnel vSwitch VMware. Le composant de gestion centralisé des différents VEM est le VSM (Virtual Supervisor Module). Celui-ci gère jusqu'à 64 VEM. L'ensemble peut-être assimilé au Distributed Virtual Switch de VMware, ou physiquement, à un châssis modulaire de commutation. Les différents ports de ce châssis étant dispatchés au sein des hôtes ESX/ESXi. Le tout se gère via une interface en ligne de commande (CLI) similaire à un composant physique Cisco.

Les avantages de l'appliance Cisco Nexus 1000v sur les traditionnels switch virtuels distribués sont les suivants :

• possibilité de déléguer l'administration réseau aux équipes dédiées (l'appliance Nexus 1000v se gérant comme un commutateur physique, et utilisant les mêmes commandes que les produits de la gamme Cisco) ;
• l'ajout de fonctionnalités réseau évoluées d'analyse et de sécurité telles que l'Encapsulated Remote SPAN (ERSPAN) permettant l'analyse et le monitoring du trafic réseau, ou encore NetFlow.

Plus techniquement, d'autres avantages sont à prendre en considération :

• support de l'IGMP v3 Snooping : permet de lister l'ensemble des conversations IGMP (Internet Group Management Protocol) entre les machines membres d'un ou plusieurs groupes multicast et le switch/routeur ;
• Network vMotion : transfert des profils de sécurité avec la machine lors d'une migration vMotion entre différents hôtes ESX/ESXi ;
• Virtual Port Channels (vPC) : permet de créer des liens connectés à deux équipements distincts et qui apparaissent comme redondants ;
• Link Aggregation Control Protocol (LACP ou 802.3ad) : protocole permettant de grouper plusieurs ports en une seule voie logique ;
• Load Balancing Algorithms : deux types d'algorithmes de load balancing permettent de répartir la charge selon la source (Virtual Port ID, Source Mac Address) ou selon le type de flux (Packet Destination, Layer 4 Port, Combinaison of Source Address + Destination address + Layer 4 Port) ;
• Recieve-rate limiting : limitation du debit du trafic ;
• Differentiated Service Code Point (DSCP) : défini dans l'en-tête IP, ce champ permet de différencier le/les services (RFC 2474) ;
• Type Of Service : QoS basé sur le type de service ;
• Class Of Service (IEE 802.1p) : processus de priorités attribuées aux paquets ;
• Private VLAN (PVLAN) : isolation au niveau 2 de ports au sein du même VLAN ;
• Local PVLAN enforcement : création de PVLAN pour sécuriser l'infrastructure virtuelle sans configurer de PVLAN au niveau des Switch physiques ;
• ACL : filtrage par liste d'accès ;
• Virtual Service Domain : permet de classifier et séparer le trafic en fonction des services ;
• DHCP Snooping : validation des messages DHCP entre les serveurs DHCP et les hôtes. Établit une table listant les hôtes ;
• IP Source Guard : filtre le trafic et n'autorise que le trafic entre les hôtes dont les adresses IP et MAC figurent dans la table du DHCP snooping ;
• Dynamic ARP Inspection : intercepte et vérifie les requêtes ARP selon les règles élaborées ;
• Switched Port Analyzer (SPAN) : permet d'envoyer une copie des paquets d'un port réseau vers un autre (permettant ainsi une analyse approfondie du trafic) ;
• Encapsulated Remote SPAN (ERSPAN) : identique au SPAN mais les paquets sont renvoyés vers un port sur un Switch séparé ;
• NetFlow v9 : permet de collecter des informations relatives au trafic IP ;
• Simple Network Management Protocol (SNMP) v3 Read & Write ;
• Packet Capture and analysis : capture et analyse des parquets ;
• RADIUS & TACACS+ : protocoles d'authentification distante ;
• NX-OS XML API : API de programmation NX-OS.

Ainsi, l'appliance Cisco Nexus 1000V permet de gérer efficacement et de sécuriser le datacenter virtuel vmware, il répond à la problématique du 'tout virtuel' qui complexifie la gestion et l'élaboration de politiques de sécurité.

Voyons maintenant la procédure de déploiement et d'installation de l'appliance virtuelle Nexus 1000V. Cette appliance se présente sous la forme d'un template OVF à déployer. Deux composants sont présents : le module VEM et le module VSM (évoqués au début de ce document). La première étape consiste à déployer le module VSM, qui va gérer les modules VEM sur chaque hôte ESX/ESXi.

La première étape consiste à créer les trois groupes de ports suivants :

• le groupe de ports dédié aux fonctionnalités de contrôle ;
• le groupe de ports dédié au management ;
• le groupe de ports dédié aux paquets ;

La procédure de création d'un groupe de ports est la suivante.

Commençons par nous rendre sur notre hôte ESX/ESXi qui va héberger le VSM. Rendons-nous dans l'onglet 'Configuration' puis dans la rubrique 'Networking'. 

La configuration réseau de notre hôte s'affiche. Nous cliquons ensuite sur 'Properties' au niveau du vSwitch0.

Nous cliquons ensuite sur le bouton 'Add'.

Nous choisissons l'option 'Virtual Machine' car le VSM correspond à une machine virtuelle. Puis nous cliquons sur 'Next'.

Nous allons commencer par créer le groupe de ports dédié aux fonctionnalités de contrôle, nous lui donnerons le nom 'NXUS1KV-CTRL', puis nous cliquons sur 'Next'.

Nous terminons la création du groupe de ports en cliquant sur 'Finish'.

Nous répétons la procédure de création d'un groupe de ports ci-dessus pour créer les deux autres groupes de ports :

• NXUS1KV-MGMT ;
• NXUS1KV-PCKT.

Voici nos trois groupes de ports créés. Nous cliquons sur 'Close'.

Les groupes de ports ont correctement été ajoutés.

Nous allons maintenant déployer le template OVF du VSM. Nous sélectionnons notre hôte ESX/ESXi dans l'inventaire du vSphere Client, puis nous cliquons sur 'File' puis 'Deploy OVF Template'.

Nous sélectionnons l'option 'Deploy From File' puis cliquons sur 'Browse' pour parcourir le disque dur à la recherche du fichier .OVF.

Une fois le fichier trouvé (nexus-1000v.4.0.4.SV1.3.OVF dans le dossier VSM), nous cliquons sur 'Next'.

Nous cliquons sur 'Next'. Notons au passage que la taille du template sur le disque sera approximativement de trois Go.

Nous cliquons sur le bouton 'Accept' pour accepter les termes de la licence utilisateur final puis cliquons sur 'Next'.

Nous donnons le nom suivant à notre VSM : NXUS1KV-VSM-PRIM. Puis cliquons sur 'Next'.

Nous choisissons ensuite le datastore sur lequel notre VSM s'installera puis cliquons sur 'Next'.

Nous attribuons maintenant les différents groupes de ports créés en début d'installation. Il est important de ne pas se tromper, nous faisons correspondre les groupes de ports dédiés au contrôle, au management et aux paquets aux fonctionnalités de contrôle, de management et de paquets. Puis nous cliquons sur 'Next'.

Nous cliquons sur 'Finish' pour démarrer le déploiement de notre template OVF.

La tâche de déploiement est lancée.

Puis se termine avec succès.

Voyons à présent comment se paramètre le VSM au sein de l'infrastructure virtuelle. Nous commençons par démarrer la machine virtuelle via un clic droit puis 'Power On'.

La machine virtuelle met plusieurs minutes pour démarrer.

La première étape consiste à rentrer un mot de passe pour l'administrateur. Une sécurité est appliquée au niveau du mot de passe, celui-ci doit contenir huit caractères dont des caractères majuscules et minuscules et des chiffres. Si votre mot de passe ne respecte pas cette sécurité, alors le message suivant s'affichera.

Il faut ensuite renseigner le mode HA de notre VSM, celui-ci étant le premier que nous installons, nous entrons le rôle 'primary'. Nous verrons un peu plus loin que Cisco recommande l'installation de deux VSM pour garantir la haute disponibilité.

Nous entrons également le 'domain id' qui est l'identifiant unique de notre VSM sur le réseau, celui-ci servira à établir le lien avec les différents VEM pour que ces derniers communiquent avec le VSM. Le 'domain id' doit être compris entre 1 et 4095.

Puis nous entrons 'yes' à la question 'Would you like to enter the basic configuration dialog (yes/no) ?'. pour entrer en mode de configuration basique du Nexus 1000V. Nous ne créons pas d'autre login utilisateur, et nous ne configurerons pas les options SNMP. Nous entrons un nom pour notre switch, le switch apparaîtra dans le client vSphere sous ce nom.

Dans notre exemple, nous lui donnerons le nom NXUS1KV-vSwitch0.

Nous répondons 'y' à la question 'Continue with Out-of-band (mgmt0) management configuration (yes/no) ?'.

Nous entrons l'adresse IP (fixe) de notre switch Nexus 1000V, puis un masque de sous réseau et nous choisissons de configurer également la passerelle par défaut en renseignant son IP.

Nous désactivons le service telnet et activons le service ssh de manière à pouvoir administrer à distance notre switch virtuel comme un switch physique.

-----------------------------------------------

Cisco recommande d'utiliser deux VSM en parallèle notamment pour les infrastructures de grande envergure. Nous allons réaliser l'installation d'un second VSM 'à la main'. Ainsi nous couvrirons les deux méthodes (déploiement OVF ou installation manuelle) possibles pour l'installation de Nexus 1000V.

Je tiens à remercier jacques_jean pour la relecture.