Bonjour,
 
Cherchant à mettre en place une architecture redondante (à base d'openbsd) pour un coeur de réseau et les firewalls frontaux, j'ai fait l'esquisse suivante :
 
http://kgt.free.fr/objectif-net2.png
 
Il y aura donc  
* 2 frontaux en actif / passif : fw1 & fw2
* 2 coeurs de réseaux actif / passif : ifw1 & ifw2
 
Ma préoccupation concerne les liaisons entre ces 4 équipements (représentées en rouge sur le schéma).
 
Je me suis basé sur des tutos où il n'y a pas de liaison ainsi doublée alors je m'interroge sur la viabilité de ce schéma (dans sa 1ère version, il y avait un switch entre les firewalls et les coeurs mais c'est un SPOF dont je me passerais volontiers).
 
Le 1er point d'ont j'ai à m'assurer : sera-ce possible d'associer 2 interface à une seule ip de sorte que si un cable est retirée, la bascule s'opère ?
J'entrevois comme possibilité de les bridger avec brconfig (sans oublier le spanning tree), ou de faire du bonding mais je ne fais que spéculer
 
Merci d'avance,
 
Artturi

Tu recherches une solution sur toutes les ML et forums...

il te manque des switchs entre tes deux niveaux de firewalls. Un firewall ça ne se met pas en double attachement.
 
Sinon je sais pas si c'est implémenté sur openbsd, mais la solution à ton problème (sans rajouter de switchs) s'appelle BVI (bridge Virtual Interface)

tu as essayé avec un trunk(4) ?

 
C'est exact (cf misc@openbsd..., newsgroups)
Je sais que ça peut être mal vu mais d'un autre côté, je suis vraiment pas rassuré sur la validité du schéma (et l'enjeu est important) alors j'essaie de pêcher le maximum d'infos...
J'espère qu'on ne m'en voudra pas trop

 
Ca pose un pb particulier ?
 

 
C'est une piste à laquelle j'ai pensée mais pas encore testée.
A l'heure actuelle, j'ai testé l'option "trunk" (équivalent du channel bonding sous linux) en mode failover, et ça semble satisfaisant.
 
Le seul souci est que je teste tout ça avec virtualbox. La conséquence est que ça revient à intercaler un switch entre les machines du réseau interne...
 

oui. Ton niveau 2 n'est pas étendu sur ton cluster (c'est-à-dire  que chaque FW dans une paire ne voit pas son vis-à-vis, donc la haute dispo ne fonctionne pas. à moins que tu aies des ports qui fonctionnent en switch (et dond gère le spanning tree et l'extension de niveau 2), normalement un firewall se met avec des ports routés en simple attachement, la redondance étant géré au niveau du cluster (out-of-the-box redundancy)

concrètement le design "propre" :

une paire de FW en haut, une paire de switchs au milieu, une paire de FW en bas.

chaque FW de gauche est attaché sur un switch, les FW de droite attaché sur l'autre switch, et tu relis les deux switchs entre eux (avec deux cables par un channel). pas de boucle et redondance propre