Re: [FRnOG] [TECH] Firewall Multi Tenant
Je suis « content » de voir qu’on est arrivés aux mêmes conclusions. Pendant un temps, je me suis dit que j’avais raté un truc. Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Bonjour, Coté OpenSource, tu peut toujours faire ce genre de chose avec un OpenBSD et des RDOMAIN avec du PF pour le filtrage, ou un linux avec des TABLES + iptable, capacité jusqu'à 254 RDOMAIN ou TABLES en terme de trafic les 100Mbps aucun souci. Par contre va falloir mettre un peu les mains dans le cambouis. Ev version proprio tu à du Juniper SRX ou voir même du Firefly (une VM pour N tenant) qui répond facilement au besoin, par contre au niveau tarif c'est pas les moins cher. @++ Le 25/09/2014 08:03, David Ponzone a écrit : Je suis « content » de voir qu’on est arrivés aux mêmes conclusions. Pendant un temps, je me suis dit que j’avais raté un truc. Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Yoann THOMAS Directeur Associé Direction Technique IP Phone : +33 1 76 71 05 00 Mobile : +33 6 50 87 04 69 Fax2Mail : +33 1 76 71 05 07 Support Technique : +33 1 76 71 05 00 OpenIP http://www.openip.fr www.openip.fr http://www.openip.fr extranet.openip.fr http://extranet.openip.fr Les informations contenues dans ce message sont confidentielles et peuvent constituer des informations privilégiées. Si vous n'êtes pas le destinataire de ce message, il vous est interdit de le copier, de le faire suivre, de le divulguer ou d'en utiliser tout ou partie. Si vous avez reçu ce message par erreur, merci de le supprimer de votre système, ainsi que toutes ses copies, et d'en avertir immédiatement l'expéditeur par message de retour. Il est impossible de garantir que les communications par messagerie électronique arrivent en temps utile, sont sécurisées ou dénuées de toute erreur ou virus. En conséquence, l'expéditeur n'accepte aucune responsabilité du fait des erreurs ou omissions qui pourraient en résulter. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Le 25/09/2014 08:03, David Ponzone a écrit : Je suis « content » de voir qu’on est arrivés aux mêmes conclusions. Pendant un temps, je me suis dit que j’avais raté un truc. Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik David, j'en suis pas convaincu. MikrotikOS me servait de couteau suisse dans ma vie passée. MPLS/BGP/VLANPPPoE pour C2E/Tunnelisation en tous genres, tout ca tout ca... Ca fonctionne, c'est pas cher (encore moins en MikrotikOS), ca fait ce qu'on lui demande. Y'a des expert Mikrotik sur la liste, on peux avoir vos avis? Seb. http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Firewall Multi Tenant
Oui effectivement je veux bien des avis. Le Home Made ne me parait pas forcément réalisable (faut faire du dev pour interfacer le tout et on manque d'homme pour ca). Je ne sais pas si Juniper propose de la loc je vais me renseigner. Oui chez nous c'est un point important, je vais avoir du mal a faire investir 10-20k€ dans des FW, on préfère payer par tenantau besoin. du MSP quoi... Julien De : Sebastien Lesimple slesim...@laposte.net Envoyé : jeudi 25 septembre 2014 08:21 À : David Ponzone; Radu-Adrian Feurdean Cc : Julien OHAYON; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Firewall Multi Tenant Le 25/09/2014 08:03, David Ponzone a écrit : Je suis « content » de voir qu’on est arrivés aux mêmes conclusions. Pendant un temps, je me suis dit que j’avais raté un truc. Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik David, j'en suis pas convaincu. MikrotikOS me servait de couteau suisse dans ma vie passée. MPLS/BGP/VLANPPPoE pour C2E/Tunnelisation en tous genres, tout ca tout ca... Ca fonctionne, c'est pas cher (encore moins en MikrotikOS), ca fait ce qu'on lui demande. Y'a des expert Mikrotik sur la liste, on peux avoir vos avis? Seb. http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Le 25 sept. 2014 à 08:21, Sebastien Lesimple slesim...@laposte.net a écrit : Le 25/09/2014 08:03, David Ponzone a écrit : Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik David, j'en suis pas convaincu. MikrotikOS me servait de couteau suisse dans ma vie passée. MPLS/BGP/VLANPPPoE pour C2E/Tunnelisation en tous genres, tout ca tout ca... Ca fonctionne, c'est pas cher (encore moins en MikrotikOS), ca fait ce qu'on lui demande. Je rectifie parce que je me suis mal exprimé: ce n’est qu’un firewall, et pas un UTM. Côté réseau, c’est clair, ça en fait un paquet. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
En pRix liste un srx virtuel firefly perimeter est a 2800$ ( pour 2 coeurs )en perpetuel. A noter que c' est sensiblement identique aux prix de la concurrence .., Il y a aussi un modèle msp ( souscription annuelle , 60% du prix en perpetuel ) Cela inclut l'outil de provisionning On peut en discuter en MP - Message d'origine - De : Julien OHAYON [mailto:j.oha...@xoxo.fr] Envoyé : Thursday, September 25, 2014 08:25 AM W. Europe Standard Time À : Sebastien Lesimple slesim...@laposte.net; David Ponzone david.ponz...@gmail.com; Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net Cc : frnog@frnog.org frnog@frnog.org Objet : RE: [FRnOG] [TECH] Firewall Multi Tenant Oui effectivement je veux bien des avis. Le Home Made ne me parait pas forcément réalisable (faut faire du dev pour interfacer le tout et on manque d'homme pour ca). Je ne sais pas si Juniper propose de la loc je vais me renseigner. Oui chez nous c'est un point important, je vais avoir du mal a faire investir 10-20k€ dans des FW, on préfère payer par tenantau besoin. du MSP quoi... Julien De : Sebastien Lesimple slesim...@laposte.net Envoyé : jeudi 25 septembre 2014 08:21 À : David Ponzone; Radu-Adrian Feurdean Cc : Julien OHAYON; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Firewall Multi Tenant Le 25/09/2014 08:03, David Ponzone a écrit : Je suis « content » de voir qu’on est arrivés aux mêmes conclusions. Pendant un temps, je me suis dit que j’avais raté un truc. Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik David, j'en suis pas convaincu. MikrotikOS me servait de couteau suisse dans ma vie passée. MPLS/BGP/VLANPPPoE pour C2E/Tunnelisation en tous genres, tout ca tout ca... Ca fonctionne, c'est pas cher (encore moins en MikrotikOS), ca fait ce qu'on lui demande. Y'a des expert Mikrotik sur la liste, on peux avoir vos avis? Seb. http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Chaque instance (vdom) dans Fortinet est autonome, mais consomme de la RAM. Surtout avec du filtrage UTM. Donc plus qu'une question de licence, il faudra un modèle avec RAM / cpu / ASIC Le 1000C en appliance physique, ou sinon ça existe en VM Vmware. Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
On Thu, Sep 25, 2014, at 09:13, Guillaume Tournat wrote: Donc plus qu'une question de licence, il faudra un modèle avec RAM / cpu / ASIC Le 1000C en appliance physique, ou sinon ça existe en VM Vmware. Cote VM, il me semble que c'est la VM 4 ou 8 cores qui accepte 100 VDOMS. Pas negligeable cote prix, et il faut rajouter le prix de la licence extra VDOM. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
On Thu, Sep 25, 2014, at 08:03, David Ponzone wrote: Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. 11 boitiers x 9 VDOMs chaque. Le calcul devient plus complique. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Le 25/09/2014 08:59, Bouzemarene, Farid (ATS) a écrit : En pRix liste un srx virtuel firefly perimeter est a 2800$ ( pour 2 coeurs )en perpetuel. A noter que c' est sensiblement identique aux prix de la concurrence .., Il y a aussi un modèle msp ( souscription annuelle , 60% du prix en perpetuel ) Cela inclut l'outil de provisionning On peut en discuter en MP La vrai discussion sur le sujet c'est est ce que tu veux t'orienter sur - un modèle hardware partitionnée (vdom chez forti, vsys chez Juniper SRX mais ca va être abandonné). Donc la seule solution raisonnable semble fortigate. - un modèle par vm (vshield, firefly, pfsense, whatever) - un modèle mixte (?) Pour le besoin de bande passante dont tu fait objet j'aurais vraiment tendance à le faire par vm. Un hyperviseur, un template de vm que tu décline à l'infini et voila. (ma préférence irait sur du pfsense). Cdt, -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] Re: [FRnOG] [TECH] Firewall Multi Tenant
Au temps pour moi, je confonds en effet avec un autre produit dont je retrouve pas le nom. La version de démo (Lvl1) de Mikrotik ne fait pas grand chose, à part de la démo. Mais en prenant du hw pour pas se rendre les choses compliquées, on a une belle bête pour pas très cher: https://linitx.com/product/mikrotik-routerboard-cloud-core-router-36-core-cpu-16gb-ram-ccr103612g4sem/13884 Je ne trouve pas d’info concernant une limitation en nombre de VRFs, donc j’ai tendance à penser qu’il n’y a pas de limite logicielle. Le 25 sept. 2014 à 09:06, Dominique Rousseau d.rouss...@nnx.com a écrit : Le Thu, Sep 25, 2014 at 08:03:12AM +0200, David Ponzone [david.ponz...@gmail.com] a écrit: Julien, j?ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c?est un firewall pur seulement: Mikrotik Ah bon (open source) ? http://wiki.mikrotik.com/wiki/Manual:License -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
25 septembre 2014 09:14 Guillaume Tournat guilla...@ironie.org a écrit: Chaque instance (vdom) dans Fortinet est autonome, mais consomme de la RAM. Surtout avec du filtrage UTM. Et surtout consomme aussi du CPU. Le problème des VDOMs en soit, c'est que tu ne peux pas limiter l'usage CPU et RAM à un VDOM (seulement nombres de sessions et éventuellement BP). Donc un seul VDOM peut vautrer les 8 ou 9 autres (suivant si on compte le root ou pas) par un simple pic de charge sur une plateforme. Ca peut paraitre logique d'un point de vue logiciel / hw, mais en revanche, c'est compliqué à expliquer aux 8/9 autres clients que sa plateforme est lente à cause d'un pic de charge de la plateforme du voisin. Bref, les VDOMs ca fonctionne bien, mais ca apporte son lot de problèmes aussi ! Donc plus qu'une question de licence, il faudra un modèle avec RAM / cpu / ASIC Le 1000C en appliance physique, ou sinon ça existe en VM Vmware. Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. ___ Liste de diffusion du FRnOG http://www.frnog.org/ ___ Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Dans l’esprit Mikrotik, il y a aussi Halon: https://www.halon.se qui fait du rdomain (Routing Domain) dans son OS. Le 25 sept. 2014 à 08:25, Julien OHAYON j.oha...@xoxo.fr a écrit : Oui effectivement je veux bien des avis. Le Home Made ne me parait pas forcément réalisable (faut faire du dev pour interfacer le tout et on manque d'homme pour ca). Je ne sais pas si Juniper propose de la loc je vais me renseigner. Oui chez nous c'est un point important, je vais avoir du mal a faire investir 10-20k€ dans des FW, on préfère payer par tenantau besoin. du MSP quoi... Julien De : Sebastien Lesimple slesim...@laposte.net Envoyé : jeudi 25 septembre 2014 08:21 À : David Ponzone; Radu-Adrian Feurdean Cc : Julien OHAYON; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Firewall Multi Tenant Le 25/09/2014 08:03, David Ponzone a écrit : Je suis « content » de voir qu’on est arrivés aux mêmes conclusions. Pendant un temps, je me suis dit que j’avais raté un truc. Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. Julien, j’ai oublié une solution OpenSource qui existe mais qui ne me convient pas parce que c’est un firewall pur seulement: Mikrotik David, j'en suis pas convaincu. MikrotikOS me servait de couteau suisse dans ma vie passée. MPLS/BGP/VLANPPPoE pour C2E/Tunnelisation en tous genres, tout ca tout ca... Ca fonctionne, c'est pas cher (encore moins en MikrotikOS), ca fait ce qu'on lui demande. Y'a des expert Mikrotik sur la liste, on peux avoir vos avis? Seb. http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding Le 24 sept. 2014 à 23:15, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Le 25/09/2014 14:47, Fabien V. a écrit : 25 septembre 2014 09:14 Guillaume Tournat guilla...@ironie.org a écrit: Chaque instance (vdom) dans Fortinet est autonome, mais consomme de la RAM. Surtout avec du filtrage UTM. Et surtout consomme aussi du CPU. Le problème des VDOMs en soit, c'est que tu ne peux pas limiter l'usage CPU et RAM à un VDOM (seulement nombres de sessions et éventuellement BP). Donc un seul VDOM peut vautrer les 8 ou 9 autres (suivant si on compte le root ou pas) par un simple pic de charge sur une plateforme. Ca peut paraitre logique d'un point de vue logiciel / hw, mais en revanche, c'est compliqué à expliquer aux 8/9 autres clients que sa plateforme est lente à cause d'un pic de charge de la plateforme du voisin. Dans FortiOS 5.2, la nouvelle version majeure, il est possible de visualiser la consommation de chaque vdom. Il est prévu dans la roadmap de pouvoir contingenter mieux. Ceci étant, dans le cadre d'une mise en cluster HA de deux appliances, en mode actif/actif, le traitement UTM est réparti sur les 2 boitiers. Enfin, au dela de 80/90% d'utilisation des ressources, il existe un mode conservative, ou le firewall va bypasser certains traitements UTM pour éviter de gaufrer le firewall (les ACL ne sont pas impactées). Il revient en mode normal dès que les ressources sont dispos. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
Quand tu parles de multi-tenant, on est bien d’accord: tu parles d’un firewall qui permet de faire des VR (VRF dans le language Cisco Router, Context dans le language Cisco/ASA). Donc des sous-ensembles parfaitement étanches qui partages les interfaces physiques. Alors oui, ça existe chez pas mal de constructeurs, mais il y a 2 choses qui sont à mon avis contradictoires dans ton besoin: -moins de 100Mbps -100 tenants D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Alors, voici ma petite liste: -Sophos: ne savent pas faire (leur concept, c’est une VM par tenant) -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment -Clavister: en soft, le V9 (https://www.clavister.com/products/virtual-series/clavister-virtual/#tab-specifications) autorise 50 tenants (environ 11k€HT prix public pour 3 ans de mises à jour sécurité) en hard, le W5 permet 100 tenants (25k€HT prix public pour 3 ans de mise à jour sécurité) -Checkpoint: en hard ça existe bien sûr, mais c’est cer. En soft, je me souviens plus mais je crois qu’il y a l’équivalent exact de la version hard. -Netasq: pas envie d’entendre parler d’eux Côté Opensource, j’ai rien trouvé. Ils semblent tous plutôt suivre le chemin de Sophos avec une install par VM. Mais j’ai pas fait le tour de tous, loin de là. Le 24 sept. 2014 à 20:24, Julien OHAYON j.oha...@xoxo.fr a écrit : ?Bonsoir a tous, Je suis a la recherche d'un Firewall multi-tenants, ou je pourrais : * ??Déléguer la gestion du tenant a certains collègues * Pouvoir gérer au moins 100 tenants * Peu de traffic (moins de 100Mb/s je pense) * Capable de faire de l'IPSec * Si possible le licensing en mode locatif (MSP) Est-ce que vous avez des idées pour moi ? Car je ne vois franchement rien. Cisco en fait mais bon c'est juste complètement hors de prix... :( et surtout limité. Je ne suis pas contre des firewalls software loin de là. Merci d'avance Julien OHAYON --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Firewall Multi Tenant
Bonsoir, Oui le must serait d'avoir quelque chose de complètement étanche entre chaque tenant. Avec juste x liens vers les routeurs et donc gérer le tout avec des vlans. Effectivement Sophos me propose ça en multi VM (attention Astaro va disparaitre car absorbé en totalité par Cyboeroam et c'est bien dommage :( )... Tu sais si Clavister fait du mode locatif pour les licences ? Le reste me parait trop élevé pour notre bourse... Effectivement, ils aiment tous le model du une VM par client mais ça complexifie l'infra a fond et ca fait pas trop HA... Merci Julien OHAYON De : David Ponzone david.ponz...@gmail.com Envoyé : mercredi 24 septembre 2014 22:08 À : Julien OHAYON Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Firewall Multi Tenant Quand tu parles de multi-tenant, on est bien d’accord: tu parles d’un firewall qui permet de faire des VR (VRF dans le language Cisco Router, Context dans le language Cisco/ASA). Donc des sous-ensembles parfaitement étanches qui partages les interfaces physiques. Alors oui, ça existe chez pas mal de constructeurs, mais il y a 2 choses qui sont à mon avis contradictoires dans ton besoin: -moins de 100Mbps -100 tenants D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Alors, voici ma petite liste: -Sophos: ne savent pas faire (leur concept, c’est une VM par tenant) -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment -Clavister: en soft, le V9 (https://www.clavister.com/products/virtual-series/clavister-virtual/#tab-specifications) autorise 50 tenants (environ 11k€HT prix public pour 3 ans de mises à jour sécurité) en hard, le W5 permet 100 tenants (25k€HT prix public pour 3 ans de mise à jour sécurité) -Checkpoint: en hard ça existe bien sûr, mais c’est cer. En soft, je me souviens plus mais je crois qu’il y a l’équivalent exact de la version hard. -Netasq: pas envie d’entendre parler d’eux Côté Opensource, j’ai rien trouvé. Ils semblent tous plutôt suivre le chemin de Sophos avec une install par VM. Mais j’ai pas fait le tour de tous, loin de là. Le 24 sept. 2014 à 20:24, Julien OHAYON j.oha...@xoxo.fr a écrit : ?Bonsoir a tous, Je suis a la recherche d'un Firewall multi-tenants, ou je pourrais : * ??Déléguer la gestion du tenant a certains collègues * Pouvoir gérer au moins 100 tenants * Peu de traffic (moins de 100Mb/s je pense) * Capable de faire de l'IPSec * Si possible le licensing en mode locatif (MSP) Est-ce que vous avez des idées pour moi ? Car je ne vois franchement rien. Cisco en fait mais bon c'est juste complètement hors de prix... :( et surtout limité. Je ne suis pas contre des firewalls software loin de là. Merci d'avance Julien OHAYON --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/