> Je comprends pas le besoin d'être en promiscuous pour faire du HA. Pareil ici ..
> Ni le besoin d'une @Mac virtuelle. Ucarp par exemple fonctionne simplement en > multicast et en floodant d'arp quand ca change. D'ailleurs je vois pas en > quoi c'est sale. IMHO, ce n'est pas "sale" dans un environnement contrôlé c'est une solution valable ... HSRP, VRRP, CARP etc. c'est concu pour que l'IP de passerelle puisse changer, de manière transparente. Mais si le client contrôle les machines, accepter les ARP flood/spoof c'est s'ouvrir a des problèmes de sécurité. Gérer des listes d'ACL MAC, c'est du boulot. Quitte a avoir le problème, je pense que c'est bien plus simple de gérer les IP de services avec OSPF/BGP avec des /32 et avoir les services d'IP en loopback, en enlevant le test d'URPF sur le serveur, et d'avoir les ACL au L3 - ou/et sur les filtres d'import BGP, que de debuger des magouilles MAC. > D'expérience les @macs virtuelles (sur les Netscreen ou autres) ca m'a plus > foutu la zone qu'autre chose. Il y a toujours des kits en vente avec des problèmes de filtrage d' ACL MAC, etc. Les IX qui filtrent les MAC ont des résultats variables. Le problème classique des fonctionnalités pas très utilisées et donc buggées. Thomas --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
