* Gregory Colpart - 02-11-2012 à 15h23: > Si tu as 2 routeurs pour une petite infra derrière, il serait > étonnant de ne pas mettre une redondance complète, surtout si tu > utilises OpenBSD : > > - CARP sur ton LAN (default gateway) ; > - 1 session BGP avec tes 2 transitaires sur *chaque* routeur > (donc 2x 2 sessions)... ou du CARP si tu ne peux pas avoir > tes 2 sessions BGP avec un transitaire [*] ; > - le lien back2back n'est nécessaire que pour la synchro des > états PF entre les routeurs, et sauf si tu as beaucoup de > VoIP ou de bureau distant, ce n'est pas obligatoire > (l'une des interfaces « LAN » fera très bien l'affaire).
À noter que le filtering PF sur les border routers avec deux (ou plus) sessions avec des transitaires ou peering c'est particulièrement périlleux. Avec une synchro des états avec pfsync il est plus que conseillé d'utiliser l'option defer ifconfig(8) et il y a parfois des délais étranges sur des connexions asymétriques. Si par contre on n'utilise pas pfsync il faut absolument utiliser les sloppy states, voir pf.conf(5) My 2 cents aussi (ou alors j'ai raté l'option qui tue) -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601
signature.asc
Description: Digital signature
