Historique et nouvelle infrastructure portail captif YaCaP
Les travaux sur le portail captif YaCaP annoncés du 20 au 24 juillet sont finis et ont été réalisés avec succès.
Le portail captif bénéficie d'une infrastructure encore plus robuste, plus flexible et plus évolutive. L'ensemble des composants sont redondés et ont été dimensionnés pour répondre aux évolutions de trafic sans cesse croissantes.
Nous profitons de ce billet, pour publier les trois grandes phases d'évolution du portail captif durant ces dernières années :
De mars 2005 à octobre 2008
Le portail captif YaCaP voit le jour début 2005, et le schéma ci-dessous illustre l'infrastructure mise en place :
D'octobre 2008 à juillet 2009
A partir d'octobre 2008, nous mettons en place deux nouvelles technologies au coeur de YaCaP :
- utilisation de routeurs Linux (les serveurs iroute utilisant le pilotage des iptables pour les autorisations d'accès) hautement disponibles en complément des routeurs Cisco
- utilisation d'une carte de firewall pour le service de translation d'adresse NAT en complément du routeur de NAT gw3-nat.ciril
Le schéma suivant illustre l'ajout de ces deux technologies :
Les avancées notables avec cette nouvelle architecture sont :
- performances accrues et non limitantes de la carte firewall/NAT
- performances accrues du pilotage des autorisations d'accès sur les serveurs iroute en comparaison avec la pilotage des routeurs Cisco
- routage des vlans captifs sur serveurs iroute hautement disponibles par l'utilisation de vlans doublement routés via VRRP
A partir de juillet 2009
Dans la semaine du 20 au 24 juillet nous avons programmé d'importants changements sur l'infrastructure YaCaP pour :
- la création d'une VRF dédiée à YaCaP et migration des vlans captifs dans cette VRF
- la mise en bonding de la totalité des serveurs qui composent le cluster YaCaP
- le routage HSRP (redondant) de la totalité des vlans de l'infrastructure (sur les routeurs gw*-dc.ciril)
- l'abandon du pilotage des routeurs Cisco pour le pilotage de routeurs Linux : généralisation de l'utilisation des serveurs iroute
- la migration du NAT réalisé par le routeur gw3-nat.ciril vers la carte firewall/NAT du gw1.ciril
La nouvelle architecture proposée est :
Les avancées notables avec cette nouvelle architecture sont :
- généralisation de la VRF YaCaP et suppression des tunnels IP vers les sites distants
- suppressions des points limitant en performances : gw3-nat.ciril et routeurs captifs Cisco
- suppressions des points uniques de panne
- augmentation du niveau de haute-disponibilité
- augmentation de la sécurité par l'utilisation d'iptables state-full et du suivi de connexion conntracking