Hello, Si tu veux quelques conseils en OOB que on a identifié au fil du temps chez nous:
- Avoir les consoles de tous les équipements critiques en OOB (genre pour avoir le rommon cisco qui reboot pas) - Éviter au max le L2 ou L3 entre la prod et l'OOB. (un broadcast storm pourrait te planter ton routeur OOB) - Pour les équipements avec un port de management L3 IP (genre ASR) mettre un bête switch premier prix pour ne pas utiliser le L2 de prod - Si tu met des restrictions IP, prévoit une VM de rebond à l'extérieur de ton réseau, elle même accessible depuis n'importe quelle IP - Des connexions grand public 4G ou de l'ADSL (pour les sites où ça ne captent pas) sont largement suffisantes, par-contre prévoit un tunnel qui remonte sur ta VM de rebond - Supervise tes équipements de OOB !!! Je pense même que c'est le point le plus important de la liste ! Avec tout ça, tu devrais être tranquille un moment... -- Guillaume Genty | WAYCOM Directeur Innovation et Expertise 1 quai Marcel Dassault | 92150 Suresnes, FRANCE T. : +33 (0)1 41 44 83 00 | F. : +33 (0)1 41 44 00 22 [email protected] | www.waycom.net Le 15/01/2020 à 13:00, FAGART, Thomas a écrit :
Bonjour la liste, Suite à des incidents récents un peu durailles sur nos réseaux, on se repose un peu la question de plus développer notre réseau out of band. Finalement nous sommes un peu jeune là-dessus, on a fait quelques tentatives listées ci-dessous : - Outofband « interconnecté » avec l'IGP via de l'ADSL Tiers + VPN sur des pops importants - Outofband en mode console only sur des sites de transmission critiques via de la 3G/4G Tiers + VPN Les difficultés qu'on a rencontrées ou qui me viennent en tête sont les suivantes : - Comme l'outofband n'était pas considéré comme critique, la sup ne l'était pas nécessairement non plus et le jour où on en besoin, ben ça ne fonctionne plus -> surtout une question de process - L'outofband passant par du tiers en L3 c'est aussi bien souvent une fenêtre sur des pops importants et des équipements importants qu'il est plus compliqué de sécuriser Du coup mes questions : - Comment faites-vous chez vous ? (si c'est pas indiscret :) ) - Quels sont vos conseils ? Merci Thomas ------ Les donnees et renseignements contenus dans ce message sont personnels, confidentiels et secrets. Toute publication, utilisation ou diffusion, meme partielle, doit etre autorisee. Si vous n'etes pas le bon destinataire, nous vous demandons de ne pas lire, copier, utiliser ou divulguer cette communication. Nous vous prions de notifier cette erreur a l'expediteur et d'effacer immediatement cette communication de votre systeme. Any data and information contained in this electronic mail is personal, confidential and secret. Any total or partial publication, use or distribution must be authorized. If you are not the right addressee, we ask you not to read, copy, use or disclose this communication. Please notify this error to the sender and erase at once this communication from your system. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
--------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
