Ben c’est ce qu’on fait tous en fait.
Interco /29 en IP privée (mieux pour la conservation des IPs, moins bien si les FW ont besoin de communiquer avec Internet et ne sont pas capables de le faire en utilisant leur IP LAN comme IP source, ce qui est fréquent) ou IP publique. Le client peut ainsi même annoncer son /24 au fournisseur sur 2 sessions BGP privées, si par hasard la confiance dans le clustering de la marque de firewall est plutôt basse (parce que bon, ça déconne plus souvent que ça marche, chez certains constructeurs). > Le 15 juin 2022 à 10:38, donkish...@neuf.fr a écrit : > > Bonjour la liste, > > Je cherche un avis sur un petit conflit technique interne. > > Pour interconnecter un client à un fournisseur internet qui annoncera lui > même le subnet /24 du client, il reste 2 propositions sur la table sans > passer par une interco privée jugé pour le moment inutile vu l'existant. > > Concernant l'existant, il y a côté client un cluster de firewalls avec une > seule IP qui est publique (disons 1.1.1.251) > En face, un cluster de routers du fournisseur qui utiliserait une VIP dans le > vlan d'interco (disons 1.1.1.254) > > La première proposition est de configurer les 2 extrémités de l'interco en > 1.1.1.0/24, c'est à dire 1.1.1.251/24 sur les fw et 1.1.1.254/24 sur les > routeurs > Mais cela imposerait de configurer 250 entrées arp dans le conf du firewall > pour répondre à 1.1.1.1, 1.1.1.2, 1.1.1.3, .... , n'est-ce pas ? > > La deuxième proposition est d'utiliser un /29 pour l'interco et une route > 1.1.1.0/24 1.1.1.251 sur les routeurs du fournisseur vers le cluster de > firewalls. > Est-ce que la deuxième proposition fonctionnerait comme prévu (ne pas devoir > créer X entrées arp dans la conf du firewall) ? > > Quelle serait la best practice avec ces 2 propositions ? > > Cordialement, > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
