Le 2013-05-01 20:42, Gunther Ozerito a écrit :
Par contre, la gestion des logs coté FAI va être joyeuse, et couter un bras, voire une couille ou deux. Des solutions à la Splunk risquent d'avoir le vent dans le dos (pour ceux qui veulent investir en bourse, hein). On risque de voir pousser des DC complets juste pour stocker les logs, si on suit à la lettre la loi en vigueur...
Il y a des solutions. Le CGN de Cisco alloue les ports 100% dynamiquement, comme un NAT traditionnel, et génère donc beaucoup de logs. Mais ceux d'autres vendeurs, dont Alcatel, Juniper et Huawei, allouent les ports en bloc, ce qui génère beaucoup moins de logs au prix d'une légère perte de taux d'utilisation des adresses IPv4 externes. Il y a aussi le "deterministic NAT" qui alloue les ports statiquement tout en conservant une plage d'allocation dynamique pour les débordements.
La section 5 de notre RFC porte sur ce sujet, mais a été fortement édulcorée à cause des gueguerres entre vendeurs.
Simon --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
