R\303\251seau/Firewall/Projet3.md
... ...
@@ -66,4 +66,30 @@ Du coup il faudra utiliser ça pour la prochaine version (stretch devrait sortir
66 66
67 67
## Politique de redondance
68 68
69
-![Schéma de la tête](/uploads/fw-redundancy.png)
... ...
\ No newline at end of file
0
+![Schéma de la tête](/uploads/fw-redundancy.png)
1
+
2
+Double redondance (à Brest) :
3
+- 2 machines pour faire s'occuper du fw et du routage
4
+- 2 connections : adista & disi
5
+
6
+Le fw se base sur 3 indicateurs pour déterminer d'un changement :
7
+- connectivité interne, le fw vérifie s'il peut accéder à une liste de sites externe
8
+- connectivité externe, une sonde vérifie si elle peut accéder à une liste de sites externe
9
+- connectivité admin, le fw test s'il est coupé ou non du réseau, en pinguant d'autres noeuds (l'autres fw, les sondes, ...)
10
+
11
+Le fw actif teste en permanence toutes les connections disponibles pour savoir s'il est utile de switcher.
12
+
13
+### Politiques
14
+
15
+- Perte de connexion, signalée en interne :
16
+1. Si une autre connexion est disponible, on bascule dessus
17
+2. Sinon si un autre fw est disponible, on bascule dessus
18
+
19
+- Perte de connexion, signalée par la sonde :
20
+1. Si la connexion actuelle est vue comme disponible, cela signifie que le problème ne vient pas de la co mais du fw. Si un autre fw est disponible, on bascule alors dessus
21
+2. Sinon si une autre connexion est disponible, on bascule dessus
22
+
23
+- Perte de connexion admin :
24
+Le fw est vu comme "coupé" du réseau, il va alors se désactiver (i.e. retirer les ips partagées) et attendre d'être reconnecté.
25
+L'idéal serait donc de tester sur plusieurs interfaces.
26
+Si cette perte survient suite à une mise à jour du git ou de la conf on pourrait imaginer faire un rollback à la précédente version.
... ...
\ No newline at end of file