Votre avis sur une architecture.
-
Bonjour,
Très jolie la topologie ! ;)
Par contre j'ai une question concernant la synchronisation pour du Fail-Over :
Une troisième interface physique est bien sur l'idéal.J'ai vu qu'il était déconseillé de mettre la synchro sur l'interface LAN (je comprend ^^). D'ou ma question :
Sur un système BladeCenter comment peut on gérer une troisième interface avec des lames ne possédant à la base que deux interfaces ? (Je pense plus particulièrement à Juve qui m'a dit avoir installé des Pfsense sur HS20).
Merci d'avance pour cette petite parenthèse.
Cdt,
Sig -
Sur un système BladeCenter comment peut on gérer une troisième interface avec des lames ne possédant à la base que deux interfaces ? (Je pense plus particulièrement à Juve qui m'a dit avoir installé des Pfsense sur HS20).
Par ce que on peux en rajouter !
http://www-03.ibm.com/systems/fr/bladecenter/hardware/servers/hs20/features.html
Tu trouvera ta réponse dans "Interconnexions de serveurs lame" dans le lien que je t'indique.
Cdt,
Titofe -
Le setup que j'ai sur HS20 utilise les deux cartes et ne sert que pour un portail captif filaire, pas de cluster.
Pour ce qui est des setup cluster j'utilise généralement ces matériels:
HP DL 120
HP DL 160
HP DL 320
HP DL 360
HP DL 380IBM X3250
IBM X3550
IBM X3650Cartes additionnelles Intel Gig Quad, en option IBM ou HP.
Switchs :
gamme procurve (1800,2500,2800,4200)
gamme cisco catalyst (28x, 37x)Concernant le lien de synchro, 90% du temps il ne génère que peu de trafic. Maintenant, lorsque vous êtes sur des infra critiques qui sont souvent l'objet de flood ou d'attaques par saturation les liens de synchro "prennent cher". J'ai des setup qui prennent jusqu'à 100Mbits de trafic pfsync lors d'attaques. Dans le cas ou vous seriez full Gig sauf sur le lien de synchro (le drame), si l'accès WAN dépasse le débit du lien de synchro et se prend un flood supérieur au lien de synchro, cela va générer un IRQ Storm sur la carte de synchro et cela va paraliser un CPU de votre firewall. J'utilise systèmatiquement des CPU double ou quadruple coeurs en fonction de l'infra.
-
Merci titofe pour ta réponse. Je vais chercher plus en détail pour voir ce qui est possible au niveau hardware.
Par contre je pense que ce que tu voulais m'indiquer était que l'ajout d'une carte Ethernet 3 voir 4 ports était possible; mais comme je pense que le prix d'une telle carte doit "creuver" le plafond (Bladecenter quand tu nous tiens ^^).Donc au niveau logique y a t'il un moyen quelconque, magique ou même complexe à mettre en place ?
Le setup que j'ai sur HS20 utilise les deux cartes et ne sert que pour un portail captif filaire, pas de cluster.
Juve merci pour la précision sur la gestion et les risques du lien synchro. Donc tu n'utilises pas de lien synchro sur des lames HS ?
Merci d'avance.
Cdt,
Sig -
Adaptateur serveur PRO/1000PT 4ports OEM moins de 300,00 euros.
-
Adaptateur serveur PRO/1000PT 4ports OEM moins de 300,00 euros.
oO si peu cher pour une pièce de Blade ! J'y cours de suite ! ;o)
Merci ccnet ,je me renseigne.
Cdt,
Sig -
Attention c'est une carte pci std Intel. Je ne sais pas si ca colle dans une HS20.
-
Ça avance, j'ai effectué quelque petit test qui mon l'aire très concluant.
Cela ma aussi permis de voir mes oublies.
Le VPN, pas les nomades, mais les Réseaux à Réseaux.
Actuellement il est en IPsec, effectué par les IPCop de chaque site, avec bien sur aucun routeur devants.
Mais demain (Bientôt) il y aura des routeurs et sauf erreur de ma par IPsec n'aime pas le NAT.La seul solution que je connais est que je ferais si j'en trouve pas d'autre et de tout faire par OpenVPN.
D'apres vos esperiance, quel en sont les risques d'utiliser OpenVPN en mode Réseau à Réseau et qui en plus passe du NAT.
Cdt,
-
Trois réponses ;D
- un routeur ne fait pas forcément du NAT, son rôle premier est de router ;D donc à vous de voir la ocnfiguration pour éviter du NAT (si possible)
- effectivement IPSEC n'aime pas le NAT par sa conception même (IPSEC NAT-T a d'ailleurs été retiré des dernières build à cause de régressions techniques).
- openVPN en site-to-site fonctionne très bien.
-
Merci,
Oui j'ai utiliser le mot NAT, mais en réalité je redirige les ports (Port Forwarding) et cela marche très bien pour OpenVPN, donc je ne vais plus utiliser IPSec pour le Net to Net mais OpenVPN comme pour les Nomades.