Hello Baptiste, Mais tu fais comment pour basculer ton plan d’adressage ? Un IGP ? Une API ?
Jerome De : Baptiste Chappe <baptiste.cha...@gmail.com> Date : vendredi, 13 décembre 2024 à 08:51 À : Jérôme Quintard <jquint...@outlook.com> Cc : frnog-t...@frnog.org <frnog-t...@frnog.org> Objet : Re: [FRnOG] [TECH] Routage PRA Hello, Même cas que toi. Fortin nuta + repli et FON entre les deux DC 40 km et 120 sites distants établissant un tunnel IPSec. Le plus compliqué à mon sens, c’est la connectivité pour les sites distants. On a notre numéro d’AS avec deux opérateurs qui livrent chacun sur un site. Les tunnel IPSec distant montent leur IPSec avec une paire de forti en centrale. Le fortinet est posé en actif/passif sur les deux sites. Si le premier site/boiter casse, ça bascule tranquillement sur le site deux avec une coupure 1 ms. Les sites distants remontent leur tunnel en centrale en 20 sec. Côté FON, c’est quelques dizaines de de vlan entre les deux sites. Pour les défauts, de cette architecture ; -> Si on casse la paire de fon (deux cheminement), la ca commence a plus marcher. Du tout. Mais on devrait arranger ça avec du vxlan en 2025. -> l2 étendu avec du vlan donc problème en cas de boucle. Côté nuta, réplication toutes les x min des 20 hosts avec sauvegarde immuable pour repartir sur le deuxième DC. Testé et en prod depuis 4 ans avec test de PRA réussi :-) Baptiste, Le jeu. 12 déc. 2024 à 23:08, Jérôme Quintard <jquint...@outlook.com<mailto:jquint...@outlook.com>> a écrit : Hello la liste, On veut mettre en place un PRA entre deux salles connectées par un FON. L’idée serait qu’à l’arrêt de la salle 1, les VM de notre HCI repartent sur la salle 2, il faut donc que le plan d’adressage et l’ensemble de nos VLAN passe côté salle 2. De chaque côté on a des boitiers fortinet et une solution HCI Nutanix qui va être configurée pour faire une réplication entre le cluster de chaque salle. Quelles seraient vos précos/conseils sur le sujet ? Un protocole de routage ? L’utilisation d’une API ? A noter que j’ai simplifié, pour augmenter un peu le scope, on doit faire la même chose avec des salles distantes accessibles au travers d’un VPN ipsec. La notion même d’arrêt est un dilem en soit, car on veut éviter qu’au moins bagot il y’ait une bascule pour rien, on pense donc que la manœuvre devrait être quasi manuelle… d’où API qui nous semble quasi le moyen le plus propre. Chez vous, chez les autres qu’est-ce que vous avez fait ? Jérôme --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
