Je comprends le point de vue ! J’ai déjà géré un MPLS sur 155 sites et fait plusieurs déménagements, donc je connais, ne t’en fais pas. :)
Oui, segmenter a du sens. Mais je gère aussi des clients qui ont des fermes video, des backbone à 20, 40 Gb/s. Je peux pas me permettre de passer ça au travers d’un routeur ou firewall (qui plus est en cluster), les coûts exploseraient. En général, j’essaie de garder les services aussi proches que possible. C’est bon pour la latence, et j’évite de faire transiter les paquets par des infras quand ça n’a pas lieu d’être. Après, une nouvelle fois, faut pas trop généraliser. Après tout, on est là pour ça, faire du sur mesure. :) Tu as raison, segmenter les services, en plus, c’est bien pour la sécu. > Le 12 févr. 2019 à 10:28, Raphael Mazelier <[email protected]> a écrit : > > On 12/02/2019 09:21, Philippe ASTIER wrote: >> Justement, si on passe par l’IP privée, pas besoin de passer par le >> tuteur/firewall. Si on n’utilise que l’IP publique, on passe forcément par >> le routeur pour du trafic interne. Pour moi, ce n’est pas logique. >> Reprenez ce que j’ai dit : si j’ai 100 Gb/s en interne, dois-je dimensionner >> mes firewall pour un traffic de 100 Gb/s ? >> Bon, en fait, le souci de toute notre discussion, c’est qu’on parle en >> termes très généraux, et que l’implantation réelle sera différente selon les >> sites. >> Moi je ne vois pas l’intérêt de surcharger mon infra qui donne sur >> l’extérieur par du trafic qui doit rester interne. > > Comme je le disais c'est parce que tu raisonnes en pensant que tes services > IT locaux sont sur le même réseau (ou pas loin) que tes utilisateurs. C'est > globalement une mauvaise idée. Mieux vaut complètement segmenter cela. > > (le jour ou tu déménagera de locaux tu comprendras) > > -- > Raphael Mazelier > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ <http://www.frnog.org/> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
