Sur la séparation control plane / date plane il ne voulait pas dire le séparer comme en SDN dans un équipement dédié.
Il voulait juste dire que router nativement avec du linux a ses limites niveau perf (que ce soit avec une debian ou VYOS, c'est pareil) : le kernel fait trop de traitement et tu vas être vite limité en PPS. Si tu as besoin de router 2Gbps de trafic standard un VyOS ou un Debian+FRR suffiront. Certaines solutions (TNSR, 6wind...) vont bien plus loin avec deux couches qui changent tout. Déjà elles embarquent la solution DPDK (développé par 6wind pour Intel) qui traite les paquets en userland : - en bypassant le kernel : premier gain - en allant poller les paquets en lot dans les queues de la carte réseau : plus efficace que de se prendre des interruptions système C'est très efficace au prix d'y dédié des core CPU qui seront toujours à 100% car ils pollent en boucle. Il faut naturellement que la carte réseau soit compatible, et son driver, ce qui est le cas par exemple des Intel 4x 10G ou 2x 100G ou des Mellanox. Elles intègrent aussi une stack de routage IP particulière (proprio pour 6wind, VPP de Cisco pour TNSR) qui : - route les paquets plus efficacement que le kernel linux (avec genre 10 fois moins de cycles CPU par paquet) - fait un lookup de route plus rapidement grace à quelques optimisations genre des hugepages et du code optimisé (pas mal quand la full-table BGP contient 1M de routes) Ainsi, il devient possible de faire un routeur 100G qui tient la charge en MPPS avec un serveur x86-amd64 (avec un gros CPU plein de cores), ce qu'un linux de base ne tiendra pas. Pour le reste (ex: protocoles de routages OSPF, BGP...), pas de magie ils utilisent FRR comme tout le monde, mais c'est packagé et avec du support. Pour résumer : - peu de débit et plein de souplesse à entretenir soit-même : une debian + FRR c'est très bien - peu de débit et tout en un : VYOS, pfsense... - un peu plus de débit et tout en un aussi : RouterOS de Mikrotik (le prix des licences pour x86 est vraiment correct, après leur support reste best-effort) - gros débit : TNSR (pas testé) ou 6wind (testé, approuvé, et c'est français !) C'est parfait pour du routeur, mais si le besoin de base était du firewalling, ces solutions permettent des ACL stateless et/ou statefull mais pas du IDS/IPS et tout le reste... Le jeu. 7 juil. 2022 à 10:18, Stéphane Rivière <s...@genesix.org> a écrit : > > Attention par contre, tout ce qui est *séparation control/data plane* n’est > pas encore là, > > Le noob a encore appris quelques chose, merci :) > > > https://people.cs.rutgers.edu/~sn624/552-F19/lectures/04-control-dataplane-separation.pdf > > > Joliment résumé ici : > https://www.econfigs.com/ccna-7-7-b-separation-of-control-plane-and-data-plane/ > CCNA 7.7.b: Separation of control plane and data plane > Posted on February 5, 2019 > <https://www.econfigs.com/ccna-7-7-b-separation-of-control-plane-and-data-plane/> > by Joe Barger (CCNP/CCDP) <https://www.econfigs.com/author/joe/> > > In conventional networks, routers, switches, firewalls and other devices > tightly couple the control plane and the data plane on a single device. > Software Defined Networking (SDN) introduces the concept of separating the > control plane and data plane. The data plane remains on each device > (physical and virtual) for quick, efficient forwarding of data. The > control plane provides layer-2 MAC reachability and layer-3 routing > information to network devices so they can make packet forwarding decisions. > > The data planes' job is to forward user-generated data traffic within the > network infrastructure. How that happens is device dependent. > > In SDN, the data plane and control plane are separated. The functionality > of a devices' data plane is dependent on instructions coming from the > centralized controller's control plane. > > > Donc 6wind, ce n'est pas le même 'level' en termes d'infra et de > 'scalability'... > > -- > Stéphane Rivière > Ile d'Oléron - France > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
