VLAN, routage et firewall

Bonjour,

VRRP ou CARP sont le même protocole, VRRP étant la propriété de Cisco et CARP libre.
Ils ont forcément besoin du mode "promiscuous" sinon ils ne pourront pas écouter ce qu'il se passe sur les ports, ni recevoir les notifications du protocole "Hello".

Ton VRRP n'est pas configuré sur une interface dédiée ? Il ne faut pas avoir le mode "promiscuous" activé sur les réseaux d'échange data qui consomme énormément mais uniquement un réseau dédié aux échanges entre routeurs.

Tu devrais nettement baisser la consommation de ton ESX et augmenter ta bande passante.
Comme tu es sur de la virtualisation, il faut s'accorder des limites de partage de ressources et éviter de surconsommer les machines physiques.

Bonne soirée
http://www.captainadmin.com

Bonjour,
pour ma part j'ai mis en place 2 pfsense en cluster, avec du CARP activé pour la gestion de la redondance entre les deux firewalls. Cela fonctionne bien, par contre ici aussi il faut activer le mode "promiscuous" sur le vswitch, mais c'est inhérent à ESX, je ne pense pas que cela pourrait fonctionner autrement.

Par contre dans mon cas (j'utilise deux serveurs dédiés reliés par un vrack), je n'ai pas pu activer les VLANs. Quand OVH aura mis à disposition les VLAN dans un vRack, je modifierai tout cela ...

Au niveau du trafic, je n'ai pas encore testé les montées en charge ... mais à priori si la VM qui set au pfsense est bien dimensionnée, cela doit tenir le coup

Nicolas

J'ai maquetté un routeur virtuel sur une plateforme VMware 5.5 de test, avec un routeur ca fonctionne plutôt pas mal, des règles de firewall pour les accès entre les VLAN, le soucis c'est qu'avec une charge de 4,5GB entre deux VLAN le CPU de l'ESX monte a 3,5Ghz

J'ai ensuite voulu mettre tout ça en VRRP, premier problème, le vSwitch doit être en promiscious mode (mode espion en FR) afin de voir la VIP, ce qui me dérange c'est que ce mode fait consommer a l'ESX beaucoup de CPU... et qu'en plus j'ai des dysfonctionnement au niveau de mon VRRP :/ Les flux réseaux passent bizarrement dans le deuxième routeur alors qu'il devrait rester dans le premier.

Si vous avez des retours sur la mise en place du VRRP sur de la virtualisation je suis intéressé ^^ J'ai maquetté tout ca sur "Vyos", branche open-source du produit "Vyatta".

Hello,

Rien ne t'empêche de garder tes firewall virtualisés.
Tu peux utiliser Pfsense ou iptables qui répondent très bien au besoin.
Avec une bonne table de routage pour tes vlan, je ne vois pas de problèmes juste du temps pour tout mettre au propre.

Pour ce qui est de la redondance, tu peux envisager 2 vm firewall en réplication avec des applications comme quagga pour assurer le routage, ou plus simplement ucarp qui te permettra de basculer le trafic d'un vm à l'autre en gardant la même gateway sur l'ensemble de ton parc.

Bon courage
http://www.captainadmin.com

J'étudie l'offre Dedicated Cloud pour y amener une infra et n'arrive pas a décider de la meilleure méthode pour segmenter mon réseau. J'ai une dizaine de VLAN avec des règles autorisant certain flux a passer d'un VLAN a l'autre le problème c'est que je ne vois pas comment faire ca chez OVH.

J'ai lu pas mal de topic ici et voici les infos que j'ai pu trouver :

Beaucoup utilise Pfsense, certain en cluster
D'autre Vyatta (Souvent en routeur mais certain l'utilise pour tout)
Et concernant le switching avancé on parle beaucoup du Cisco Nexus 1000v

J'ai actuellement sur mon infra une VM d'un constructeur pour la partie Firewall, le soucis c'est que j'ai une licence limité a 2G de bande passante, je ne peut donc pas faire passer mon routage dedans. Je me suis dis qu'une VM Vyatta pour le routage et ma VM pour le firewall ca pourrait le faire mais je ne comprend pas ce que le Cisco Nexus 1000v peut m'apporter sur ces points.

Il y a aussi la redondance de ces éléments !

J'imagine que je ne suis pas le seul a segmenter mon réseau en VLAN alors si vous pouvez m'apporter un coup de pouce ca serait sympa