> Le 29 sept. 2020 à 20:45, Vincent Bernat <ber...@luffy.cx> a écrit : > > Sur le switch, sur chaque interface : > - désactiver le switching, activer le routing > - activer uRPF > - activer proxy-ARP > - ajouter l'adresse de gateway en /32 pour le client (ou /24 en > n'installant pas la route) > - mettre la route en /32 vers le client > - activer le relai DHCP > > Pas de L2, pas de sécurité L2 à faire. Le client pense être dans un L2 > classique. La seule difficulté réside dans le DHCP qui doit contenir les > infos pour identifier le client (circuit-id souvent est dispo) et doit > éventuellement être amadoué pour accepter de fonctionner sur un /32.
Vincent, Je comprends bien l’idée, et je suis bien d’accord quand on héberge des machines physiques, mais comme l’infra réseau devient maintenant virtuelle pour l’hébergement de VM (un HV intègre un switch logiciel), il faut pouvoir isoler les VM qui sont sur le même LinuxBridge/OVS, avec une fonction similaire au Clients Isolation des AP WiFI non ? Sinon, une VM sur le même soft switch prétendant être 1.1.1.1 pourrait gêner les autres. On peut limiter la casse en segmentant les VM clients dans des VLAN, mais il y a toujours un risque. Je me demande donc si c’est un risque pris actuellement par un hébergeur qui fait de l’industriel, ou s’ils font autrement. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
