Redondance accès internet dans reseau MPLS

Redondance accès internet dans reseau MPLS - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 25-05-2010 à 16:33:05    

Hello tout le monde, j'ai besoin de vos conseils :
 
voila une representation très simplifié de mon réseau : http://www.hiboox.fr/go/images/inf [...] d.jpg.html
 
J'ai deux problèmes pricipaux à résoudre :
1/ j'ai une saturation du lien SDSL du site 1
2/ tous mes sites dependent d'un seul lien adsl pour l'internet qui est aujourd'hui critique
 
A cause du cout de l'upgrade du lien SDSL et de la volontée d'avoir plusieurs accès internet voici le projet :
 
http://www.hiboox.fr/go/images/inf [...] 6.jpg.html
 
Site 1 et 3 passeront par le proxy de site 1 et site 2 et 4 passeront par le proxy de site 2.
 
Grace a ca je vais désengaorger mon lien SDSL site 1 et accelerer l'accès à internet pour site 2.
 
Mes question maintenant :  
- quelles solutions existent pour qu'en cas de panne sur un des liens ADSL, l'accès à internet de tous les sites bascule automatiquement sur l'autre lien ?
- meme question avec une panne d'un des deux proxy ?
- si on laisse tomber le projet annoncé, quelles autres pistes existe t'il pour désengorger le lien sdsl du site 1 et avoir un accès internet plus fiable ?
 
QQues précisions :
- les proxy sont des serveurs windows avec squid et une authentification transparent NTLM
- Les sites sont dans des villes différentes
- Je peut changer de type de proxy et materiel mais il me faut absolument : filtrage et authentification transparente sur l'AD
 
Merci d'avance pour vos retours ....
 

Reply

Marsh Posté le 25-05-2010 à 16:33:05   

Reply

Marsh Posté le 25-05-2010 à 16:39:40    

La seule solution viable et simple que je vois c'est un load balancing DNS "intelligent" (avec détection de panne de service de ton proxy) pour répartir la charge de tes users sur tes proxys (et donc tes accès internet)
 
Après sur chaque proxy faudrait implémenter un script qui teste l'accès internet local (genre ping de yahoo et google) et quand ça fonctionne plus, tuer le process du proxy, comme ça ce sera détecté par ton LB DNS.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 25-05-2010 à 16:47:32    

une autre précision : en mode dégradé, je peux me passer de l'authentification mais pas du filtrage.
 
J'ai aussi pensé à utiliser un fichier .pac pour le paramétrage de mes postes, l'avantage est qu'il est possible de spécifier plusieurs proxy à un poste donc si le premier est hs il prendra tout seul le second. PB : le .pac doit etre sur un serveur web et donc il me faut une redondance du serveur web, donc je ne fait  que déplacer le pb ...
 
Autre piste, je dégage mes adsl et mes proxy et je passe par un accès internet en coeur de reseau sur mon MPLS. Il y a chez mon opérateur des outils de filtrage mais je ne sais pas s'il existe des solutions d'authentification ? encore moins des options d'authetification transparente ... et je ne voit pas comment exploiter les logs ... (pour info MPLS chez OBS)


Message édité par cbesnard le 25-05-2010 à 17:18:33
Reply

Marsh Posté le 25-05-2010 à 17:57:45    

J'ai lu en travers le deuxième post :o

 

Le plus propre c'est la sortie Internet chez OBS, je connais pas leurs offres au niveau FW, authentification, AV, filtrage contenu, mais vu que les concurrents proposent, ils doivent avoir ça...


Message édité par AirbaT le 25-05-2010 à 17:59:14
Reply

Marsh Posté le 25-05-2010 à 18:17:31    

question surement conne... car je ne suis pas un expert..  
mais ton opérateur ne peut pas te proposer une sortie  avec proxy directement sur son coeur de réseau ?

Reply

Marsh Posté le 25-05-2010 à 18:40:08    

sohiermdp a écrit :

question surement conne... car je ne suis pas un expert..  
mais ton opérateur ne peut pas te proposer une sortie  avec proxy directement sur son coeur de réseau ?


 
oui pour le filtrage, mais il ne pourra pas faire d'authentification transparente et je n'ai aucune envie de gerer 400 identifiants avec toute la perte de temps que ca implique coté admin comme coté utilisateur ... Sans parler de la question de l'exploitation des logs pour controler que l'utilisation est conforme à la charte informatique ...

Reply

Marsh Posté le 25-05-2010 à 18:43:04    

il ne pourrait pas être couplé à ton AD ou ton LDAP qui serait sur le site 1 ou le site 2 ?

Reply

Marsh Posté le 26-05-2010 à 08:23:05    

sohiermdp a écrit :

il ne pourrait pas être couplé à ton AD ou ton LDAP qui serait sur le site 1 ou le site 2 ?


 
C'est ce que je fait avec mon squid en interne aujourd'hui mais je doute qu'en externalisant le proxy sur une infra mutualisé d'un opérateur, je puisse garder ce fonctionnement ...
 
Y'a qqun qui utilise le proxy mutualisé d'OBS ici et qui pourrait me rencarder ? (mon commercial est incapable de me donner des infos deaillés sur ce produit ...)

Reply

Marsh Posté le 26-05-2010 à 10:01:05    

cbesnard a écrit :


 
C'est ce que je fait avec mon squid en interne aujourd'hui mais je doute qu'en externalisant le proxy sur une infra mutualisé d'un opérateur, je puisse garder ce fonctionnement ...
 
Y'a qqun qui utilise le proxy mutualisé d'OBS ici et qui pourrait me rencarder ? (mon commercial est incapable de me donner des infos deaillés sur ce produit ...)


Chez la concurrence, tu peux utiliser ton LDAP pour authentifier les users sur leur FW.

Reply

Marsh Posté le 26-05-2010 à 10:08:25    

cbesnard a écrit :


 
C'est ce que je fait avec mon squid en interne aujourd'hui mais je doute qu'en externalisant le proxy sur une infra mutualisé d'un opérateur, je puisse garder ce fonctionnement ...
 
Y'a qqun qui utilise le proxy mutualisé d'OBS ici et qui pourrait me rencarder ? (mon commercial est incapable de me donner des infos deaillés sur ce produit ...)


 
 
et au niveau de sa plateforme de collecte, ton opérateur ne peut pas héberger un matériel qui se chargerait de relier tes sites au lien vers Internet qu'ils te mettent à disposition ?

Reply

Marsh Posté le 26-05-2010 à 10:08:25   

Reply

Marsh Posté le 26-05-2010 à 10:14:46    

AirbaT a écrit :


Chez la concurrence, tu peux utiliser ton LDAP pour authentifier les users sur leur FW.


 
de facon transparente ?
Chez quel concurrent par exemple ?

Reply

Marsh Posté le 26-05-2010 à 10:25:12    

cbesnard a écrit :


 
de facon transparente ?
Chez quel concurrent par exemple ?


Chez SFR.  
Je vois pas bien quelle "transparence" tu souhaites, tu peux préciser ?

Reply

Marsh Posté le 26-05-2010 à 13:02:24    

AirbaT a écrit :


Chez SFR.  
Je vois pas bien quelle "transparence" tu souhaites, tu peux préciser ?


 
sans que l'utilisateur n'ai a entrer de login/mot de passe, (NTLMv2 par ex)

Reply

Marsh Posté le 26-05-2010 à 13:43:21    

cbesnard a écrit :


 
sans que l'utilisateur n'ai a entrer de login/mot de passe, (NTLMv2 par ex)


Non, authentification par login/mdp.

Reply

Marsh Posté le 26-05-2010 à 17:19:42    

ma question n'était pas si conne que ça en fait ;-)

Reply

Marsh Posté le 27-05-2010 à 11:53:43    

ok, concernant l'accès internet mutualisé d'OBS, si qqun a des infos sur ce qu'il est possible en terme de filtrage/auth/antivirus ... je suis preneur.
 
Concernant la premiere idée (doubler acccès internet et proxy), dreamer18 a parlé d'un  load balancing DNS "intelligent", quels produits existent ?
Y'a t'il a votre avis d'autres produits/techno qui pourrait arriver au même but ?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed