On Jul 29, 2009, at 11:28 AM, Raphael Maunier wrote:
Le 29 juil. 09 à 11:03, Raphael Mazelier a écrit :
Bonjour à tout le monde sur la liste.
Hier en regardant le design de notre archi de firewalling interne
je me suis demandé pourquoi on en été arrivé à une telle
complexité : pas moins de 8 sessions bgps croisés entre les deux
firewalls en cluster... bref.
K.I.S.S ... la seule rêgle d'ingénierie intangible.
Je me rappelle que le départ de ce design "complexe" était du au
fait que nous voulions pas de vlans 'traversants' entre nos
différents sites et sur nos interlans.
Les différents ingé réseaux que j'ai connus m'ont toujours affirmé
que faire des vlans propagés sur plusieurs sites physiques c'était
pas bien.
Le soucis souvent des inge, c'est qu'ils n'ont souvent pas de notion
de prix et de passation d'information en cas de changement de
personnel.
Généralisation abusive.
Et encore, c'est plus une question de bosser comme un goret ou faire
preuve de méthodologie.
Y'a des tocards partout, et du ressenti envers les diplomés aussi, ca
fait une moyenne.
C'est bien de se faire plaisir parfois, de mon cote je suis plutot
partisan du "keep it simple". Chez Neo, nous avons fonctionne tres
longtemps en spanning-tree sur Cisco 6500 sans soucis.
Spanning tree, c'est hyper chiant en terme d'interop. 802.1D, 802.1W
sont clairs sur l'automate à état fini qu'est STP/RSTP, mais l'implem
varie tellement que ca t'oblige souvent à être mono-constructeur si tu
veux pas te prendre la tête... been there, done that...
En effet, y'a pas de solution magique, mais d'un point de vue perso,
le trunking versus le load-balancing IP j'ai fait mon choix.
Ensuite quand on a commence a avoir beaucoup de debit, le load-
balancing, backup etc etc, nous avons tout passe en L3.
Je peux concevoir qu'il vaut mieux avoir des coupures "propres"
niveau layer3 plutôt qu'avoir un layer 2 coupé en deux, mais a quel
prix niveau compléxité qui en découle ? Je penses aussi qu'il vaut
mieux avoir des gateway sur le même site pour éviter des aller-
retours inutiles sur l'interlan.
Je ne vois pas les blocages d'avoir des vlans pour chaque "interco" /
31 ou /30 entre les equipements. Si le spanning-tree est
correctement configure, je ne vois pas pourquoi monter une usine a
gaz alors que l'on pourrait faire super simple.
De toute façon t'as intérêt à faire simple, vu que tu seras dignitaire
et mainteneur de ton archi. Autant pas faire compliqué et efficace...
J'aimerai avoir votre avis et des arguments sur cette affirmation
car je trouve ca quand même assez pratique du point de vue de
l'administrateur système que je suis.
Cdt,
--
raf
Greg
