Merci pour vos différents retours. A écouter les différents retours d’expérience, j’ai l’impression que l’ASA semble être plus adapté à notre besoin que le FWSM (de toute façon eos).
Comment fonctionne leur système de licence ? On paye une licence annuelle en plus du Hard pour pouvoir utiliser plus ou moins de contextes ? Au niveau failover, y’a un système classique de actif/passif entre 2 cartes situées sur des châssis différents (voire sur le même châssis) ? Reste en effet l’option du PF/IPTables. Nous avons les compétences en interne pour avoir une machine configurées de façon très fine au niveau de la stack réseau. Solution à étudier à condition de trouver le bon hardware. Merci encore, Gaëtan Le 26 nov. 2013 à 16:17, Matthieu BOUTHORS <matth...@labs.fr> a écrit : > Bonjour, > > alors déjà, il faut bien voir qu’en FWSM tu as un produit plus simpliste au > niveau features qu’en ASA. Si le but reste de faire du firewalling L4 en > entrée de DC, ça reste tout à fait acceptable car la souplesse d’utilisation > des contextes compensera les petits soucis quotidiens du type “comment faire > ci qui était simple sur ASA et nécessite une policy longue à configurer sur > FWSM”. > > Au niveau tenue en charge, FWSM marche bien, j’ai quand même une fois sur un > très gros DDoS sur un contexte des impacts sur les autres contextes (la > configuration du FWSM n’était pas parfaite, peut être qu’une meilleure > configuration aurait aidé) > > Sur du PF/IPtables, tu auras un mal fou à atteindre les 10G sans mettre les > mains dans le cambouis (tuning poussé de l’OS et des conf firewall), ça peut > néanmoins être une solution intéressante pour peu que des personnes calées en > système soient dispo en interne. > > > > > 2013/11/26 Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net> > Je commence par le fait que les FWSM est EoS depuis 2012 (announce - > mars 2012, last order date - Sept 2012) > > On Tue, Nov 26, 2013, at 11:55, Gaëtan Allart wrote: > > Nos besoins : connections 10 Gbps > > Mauvaise choix pour du 10G. > Les FWSM ont une connexion vers le chassis 6x1G via le backplane, donc > exit les (Nx)10Gbps. Meme comme ca, atteindre les 6Gbps c'est du reve. > Autre chose, ils partagent l'alimentation avec le chassis et rien > d'autre; ils fonctionnent avec leur propre code. Ca synchronize > strictement rien avec le chassis. > > > Quelqu’un utilise-t-il ce genre de produit déjà ? Que cela donne-t-il ? > > (souplesse de gestion, fiabilité, stabilité) > > Bof, ca rappelle un hybride entre du vieux PIX et ASA. > > > Sachant que nous hésitons entre les solutions suivantes : > > > > - FWSM mutualisé sur les 6500 pour tous les clients > > - Chassis ASA 552x pour chaque client > > Vu comme ca, regarde eventuellement les modules ASA pour 6k5 (heritiers > des FWSM). > Si les 10Gbps sont cote client, oublie les 5520 aussi, pas assez > puissant. > > > - Firewall typé open-source (PF/IPtables) mutualisé > > - autre ? > > Si tu veux vraiment du 10Gbps, surtout Nx10G, regarde du cote de > Fortinet. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
