« Record battu | AAA » |
Lorsque je dois installer un routeur, j'installe généralement une machine tournant sous Linux ou sous un système BSD quelconque — avec cependant une légère préférence pour NetBSD. Il ne m'est jamais venu à l'idée d'installer du matériel Cisco. Pour plusieurs raisons, dont en vrac l'impossibilité de faire évoluer un matériel sans passer à la caisse pour racheter des modules du système d'exploitation, l'impossibilité de scripter de façon efficace les configurations et surtout le côté passoire obscure de l'engin. Étant abonné au flux RSS du CERTA, je n'arrive même pas à comprendre qu'on utilise ce matériel tant il y a de remontées de failles.
Sauf que là, je dois interconnecter un réseau étranger au travers d'un VPN sur lequel transitent des VLAN à un système d'information de France Telecom utilisant déjà des routeurs Cisco et, tant qu'à faire, une technologie quasiment propriétaire Cisco. Je n'ai pas vraiment eu le choix et j'ai donc dû installer du matériel Cisco pour être sûr que tout se passe le moins mal possible. Ce qui est amusant, c'est que la technologie en question est marquée « deprecated » dans les pauvres documentations Cisco depuis 2007. Il faut comprendre par là que c'est un trou de sécurité béant depuis l'origine, qu'il a été patché avec du scotch sur des bouts de ficelles et que devant l'ampleur du travail restant à faire et le fait que n'importe quel routeur monté sur un Linux des famille faisant mieux, Cisco a sagement décidé de ne plus le faire évoluer. Dans les documentations que j'ai trouvées, le terme « deprecated » est inscrit en gras, mais cela n'a pas empêché des ingénieurs de France Telecom d'utiliser en 2011 cette technologie pour une installation neuve. Cherchez l'erreur.
Pour couronner le tout, cette installation est une première et j'ai un peu l'impression d'essuyer les plâtres avec des briques. Il y a plusieurs centaines de personnes chez France Telecom qui semblent diriger chacune ce projet et personne n'est capable ni de prendre une décision ni d'avoir une vue d'ensemble. Les documents sont tous partiels ou incomplets, et il n'existe aucun schéma d'ensemble avec un plan d'adressage cohérent. Vendredi dernier, au téléphone, nous étions une dizaine en conférence, et il y a bien quelqu'un qui essayait de me dire sans rire qu'on pouvait router le sous-réseau 10.174.0.0/16 au travers de la passerelle en dernier ressort 10.128.1.1. Cela n'a pourtant choqué que moi, c'est vous dire le niveau des gens qui s'occupent de ce projet. Et les papiers sont écrits dans le même métal, si j'ose dire. Le document le plus complet de description du réseau comporte pas moins de 751 révisions (enfin, il y a une quinzaine de jours, je pense que cela a dû évoluer depuis) ! Autant dire que plus personne ne maîtrise l'architecture, qu'il y a maintenant des VLAN voix, des VLAN données et des VLAN d'interconnexion, aucun n'étant routable puisque la passerelle par défaut n'est pas accessible depuis les VLAN en question. C'est sans compter sur le VPN qui est passé d'un VPN de type tunnel IP à un VPN de type pont IP avec adressage DHCP de bout en bout… Il paraît que cela ne change rien dans l'interconnexion.
Et mon problème est d'installer ces routeurs sans aucun moyen de débogage dans un environnement réseau particulièrement mouvant. Pourtant, ce serait vraiment utile puisque je viens de m'apercevoir que les modems SDSL qui étaient censés servir de serveurs DHCP sur le lien local avec les routeurs sont totalement statiques. C'est pourtant indiqué noir sur blanc dans les papiers de l'opérateur que j'ai sous les yeux. Passons.
J'ai donc ouvert mes cartons qui contenaient deux switches et deux routeurs. Il faut aussi vous dire que d'après les ingénieurs en charge du projet, il faut installer en sortie des routeurs Cisco des switches et que, si l'on branche directement le WAN au routeur, leur système ne fonctionne plus. J'ai demandé des éclaircissements et je n'ai à ce jour obtenu qu'un silence gêné. Je ne vois pas l'intérêt de coller un switch avec une entrée et une sortie à moins que leurs adresses MAC se marchent sur les pieds.
Mais revenons à nos cartons. J'ai acheté les plus petits switches administrables de Cisco. Ceux-ci sont venus avec un CD complet de documentation dans toutes les langues possibles et imaginables, des câbles pour attaquer la console série, en d'autres termes tout ce qu'il fallait pour qu'ils soient utilisables. En revanche, on ne peut pas en dire autant des routeurs. Cisco est tellement pingre — il n'y a aucun autre terme qui me vienne à l'esprit — que même le câble pour se connecter à la console série doit être acheté à part. Il n'était présent ni dans le premier colis, ni dans le second et j'ai dû mal à croire à deux erreurs juste dans mes deux cartons. Quant à la documentation, il faudra repasser. En tout et pour tout, une feuille au format A3 pliée en deux pour indiquer aux techniciens certainement complètement idiots comment on monte un équipement dans une armoire et que la documentation se trouvait sur le site de Cisco, ce qui est très pratique car tout le monde sait que lorsqu'on est en train de monter un cœur de réseau, on a un accès internet fonctionnel pour avoir un accès à la documentation !
Or je cours à handicap puisque je n'avais jamais regardé un routeur Cisco dans les yeux. J'ai toutefois réussi à obtenir un accès internet (un sombre VPN entre mon PC portable et mon serveur chez moi car là où j'étais, il n'y avait aucun accès à un quelconque DNS récursif) et j'ai lu les documentations Cisco.
J'ai lu et je défie quiconque, sachant ce qu'est un routeur, de configurer un routeur Cisco avec juste la documentation disponible sur le site du constructeur. Celle-ci est incomplète, fragmentaire, totalement morcelée et s'appuie sur un tas de présupposés certainement acquis dans les formations et certifications Cisco. Le support regorge de questions de configuration généralement sans réponse utilisables et, surtout, les techniques de configuration changent subtilement d'une version de l'OS à une autre ou d'un équipement à un autre. C'est très pratique, et ce qui est assez amusant, c'est que la ligne même de commande enjoignant le client de changer son mot de passe lors de la première connexion et affichée par mon routeur ne correspondait pas à la version de l'OS installé sur celui-ci, preuve que même les ingénieurs de Cisco n'arrivent plus à s'y retrouver. J'ai essayé de changer cette saleté de mot de passe durant plus de deux heures sans succès en copiant cette fameuse ligne jusqu'à ce que je trouve l'explication sur Usenet.
Pour utiliser du matériel Cisco, il faut avoir le même état d'esprit que pour utiliser du matériel estampillé Apple. On paie très cher du matériel fermé, mais on fait partie d'une secte. On est content, parce qu'on paie des certifications dans tous les sens et que cela permet de les indiquer sur son CV. Pourtant, le moindre PC serveur avec des cartes réseau dignes d'un serveur et des disques SSD coûte moitié moins cher et est plus facilement administrable. Mais il ne porte pas la marque Cisco, ça doit être ça. Les marketteux ont encore frappé !