Bonsoir,
Merci pour vos réponses à tous, je vais essayer de condenser mes réponses :
il n'y bien PAS overlapping .. j'utilise un certain nombres de blocs sur
le 10/8 sur le site A
et il n y'aura qu'un /23 sur le site B.
Pour la partie interco je n'ai rien contre un routage opérateur, a
priori la liste existante des
blocs LANs de A suffit amplement a B, si nous ajoutons l'utilisation de
nouveaux blocs sur
le site A et qu'il faut une intervention opérateur pour ajouter une
règle cela sera suffisemment
rare pour ne pas être un problème.
Mon routeur se situe en aval du CustomerEdge et s'occupe d'envoyer dans
le bon tuyau le
traffic où il est supposé passé (donc ceci incluerait, pour le site A
par exemple, le bloc LAN
de B, qui serait routé sur l'interface du CustomerEdge au lieu du coeur
de réseau...)
effectivement l'histoire de la VRF me paraissait satisfaire les besoins...
A ce stade vos réponses ne font que confirmer ma crainte, l'opérateur
m'avait promis cette
configuration, pretexte à ce jour qu'elle est impossible à mettre en
oeuvre, au départ à cause
du PI /24 (qui à la limite aurait pu être routé par internet si cela
avait été vraiment indispensable),
puis ensuite me propose une solution hybride/étrange selon moi à base de
VM/Sophos à chaque
bout (avec un coût imprévu evidemment), et pour finir m'insulte et
m'envoie pêtre en me donnant
du "à prendre ou à laisser" sous prétexte que j'évoque la solution VRF
sus et sous nommée et
que je suis incompétent en la matière.
Aussi soit j'ai affaire à une personne peu enclin à vouloir comprendre
et potentiellement coincé
vu son "niveau" et je dois me résoudre à changer d'opérateur, soit ...
bah j'ai peur qu'il n y'ait plus
beaucoup d'autres options pour moi et prier pour qu'un tunnel maison
VPN/IPsec marchouille
suffisemment en attendant.
Merci pour vos retours,
Cordialement,
Julien Brevière
On 08/04/2015 18:13, Jérôme Nicolle wrote:
Salut Julien,
Tu es dans un scénario de routage trop complexe pour être correctement
traité par la plupart des droïdes pousse-propale. Tu devrais pouvoir
l'aborder différemment.
Commençons par l'overlapping d'adresses :
- S'il y a collision, renumérote en une
- Si tu ne peux pas renuméroter, NAT
- Si ça casse certains usages, c'est normal, il fallait renuméroter.
Et à la limite profites en pour déployer IPv6.
Pour la partie interco avec un L3VPN MPLS, soit tu confie le routage en
extrémité à ton provider, et il te faudra le faire intervenir à chaque
modification, soit tu lui demande du routage dynamique.
Dans ce schéma, tu gère toi même les routeurs sur chaque site, en aval
des CPE du fournisseur de VPN. Si tu veux chiffrer, gérer l'échappement
Internet ou déplacer des préfixes, tu n'as qu'à le faire sur tes
routeurs, qui pousseront les routes à ton fournisseur via un protocole
dynamique (de préférence eBGP avec un AS privé différent sur chaque
site, amha).
Si tu veux que la gateway vers Internet soit fournie par ton fournisseur
de tunnel, demande lui d'annoncer 0/0 dans ta VRF vers son "firewall
managé" et tes routeurs l'apprendront ainsi.
Si tu veux faire des réservations de débit en fonction des ranges, des
usages, de l'heure ou de la tête de l'utilisateur, tu pourras tout faire
avec tes routeurs sur chaque site.
Mieux encore : si tu veux un lien de backup entre les deux sites, tu
pourras aussi le gérer simplement en montant un tunnel chiffré sur des
accès Internet locaux, monter l'eBGP entre les deux sites et y mettre
une local-pref plus faible (et éventuellement une classification
différente du trafic).
Ça n'a pas vraiment l'air bien sorcier, alors j'ai du mal comprendre un
morceau, non ?
--
--
Julien Brevière
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
