❦ 30 septembre 2020 10:54 +02, David Ponzone: >> - désactiver le switching, activer le routing >> - activer uRPF >> - activer proxy-ARP >> - ajouter l'adresse de gateway en /32 pour le client (ou /24 en >> n'installant pas la route) >> - mettre la route en /32 vers le client >> - activer le relai DHCP >> >> Pas de L2, pas de sécurité L2 à faire. Le client pense être dans un L2 >> classique. La seule difficulté réside dans le DHCP qui doit contenir les >> infos pour identifier le client (circuit-id souvent est dispo) et doit >> éventuellement être amadoué pour accepter de fonctionner sur un /32. > > Vincent, > > Je comprends bien l’idée, et je suis bien d’accord quand on héberge > des machines physiques, mais comme l’infra réseau devient maintenant > virtuelle pour l’hébergement de VM (un HV intègre un switch logiciel), > il faut pouvoir isoler les VM qui sont sur le même LinuxBridge/OVS,
Dans la VM, ne met pas de bridge, même configuration que ci-dessus. La VM ne peut plus usurper l'identité d'une machine du même réseau. > Je me demande donc si c’est un risque pris actuellement par un > hébergeur qui fait de l’industriel, ou s’ils font autrement. https://vincent.bernat.ch/en/blog/2018-l3-routing-hypervisor Tu obtiens des choses similaires avec OpenStack + Calico. -- 10.0 times 0.1 is hardly ever 1.0. - The Elements of Programming Style (Kernighan & Plauger) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/