Bonjour à tous,
J'ai besoin de conseil pour de l’agrégation de lien. Pour le moment, au sein de notre agence, le réseau est découpé en 2, avec 2 lignes ADSL, un routeur cisco ASA5505 derrière chaque modem et un VPN monté entre chacun de ces cisco et un vrack chez un hébergeur. Sur une des lignes ADSL, une dizaine de téléphone SIP + quelques VM, sur l'autre ligne ADSL, l'internet pour les postes de travail + quelques VM et chez l'hébergeur, quelques dizaines de VM
+–––––––––+ | | ADSL1 +––––––+ ASA5505 +––––––––––––––––––––––+ | | | +–––––––––+ | +–––––––––––––+ Réseau de l'agence +––––––––––––+ | Internet | ASA5505 | +–––––––––+ +––––––––––––+ vRack| | | | +–––––––––––––+ +––––––+ ASA5505 +––––––––––––––––––––––+ | | ADSL2 +–––––––––+
Nous aimerions faire de l'agrégation de ligne ADSL et réunir les 2 réseaux de notre agence en un seul. J'ai eu vent de MLVPN, mais avant de me lancer, j'aurais aimé savoir si c'était possible directement au sein des ASA, ou s'il fallait qu'on revoit totalement notre archi ? Si vous avez des préconisations, des idées, des retours d'expérience, je prends tout. Merci d'avance,
Etienne Magro
Ce qui suit n'a rien a voir avec une solution Cisco, mais actuellement on est sur un projet de liaison Multipath TCP (MPTCP)
donc ma solution alternative serait 2 Gateway Linux avec un Kernel MPTCP et OpenVPN (en tcp) sur chaque sur site avec 3(ou plus) cartes réseaux
Plus d'info ici: http://multipath-tcp.org/
J'ai testé bonding et le failover ça marche pas trop mal :)
Salut,
T'as ca aussi : http://www.agregation-internet.fr/
Ca "juste marche", c'est l'idée...
Xavier Le 28 mars 2014 à 09:55, Etienne Magro etienne@mageti.homelinux.net a écrit :
Bonjour à tous,
J'ai besoin de conseil pour de l’agrégation de lien. Pour le moment, au sein de notre agence, le réseau est découpé en 2, avec 2 lignes ADSL, un routeur cisco ASA5505 derrière chaque modem et un VPN monté entre chacun de ces cisco et un vrack chez un hébergeur. Sur une des lignes ADSL, une dizaine de téléphone SIP + quelques VM, sur l'autre ligne ADSL, l'internet pour les postes de travail + quelques VM et chez l'hébergeur, quelques dizaines de VM
+–––––––––+ | | ADSL1 +––––––+ ASA5505 +––––––––––––––––––––––+ | | | +–––––––––+ | +–––––––––––––+Réseau de l'agence +––––––––––––+ | Internet | ASA5505 | +–––––––––+ +––––––––––––+ vRack| | | | +–––––––––––––+ +––––––+ ASA5505 +––––––––––––––––––––––+ | | ADSL2 +–––––––––+
Nous aimerions faire de l'agrégation de ligne ADSL et réunir les 2 réseaux de notre agence en un seul. J'ai eu vent de MLVPN, mais avant de me lancer, j'aurais aimé savoir si c'était possible directement au sein des ASA, ou s'il fallait qu'on revoit totalement notre archi ? Si vous avez des préconisations, des idées, des retours d'expérience, je prends tout. Merci d'avance,
Etienne Magro _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
L'idée est pas mal, mais on préfèrerais rester maitre de notre infra et ne pas avoir à payer un abonnement/partenariat/fournisseur supplémentaire.
L'option TCP-MultiPath, j'avoue que je ne la connaissais pas, je vais y jeter un oeil, ça pourrait être pas mal.
Sinon, pour le moment, l'idée (absolument pas creusée) qui fait son chemin, ça sera une VM pfsense avec mlvpn au sein de l'agence et et une autre chez l'hébergeur pour remplacer le VPN ASA à ASA. J'ai pas l'impression que les ASA peuvent faire ça en natif.
28 mars 2014 11:44 "Xavier Beaudouin" kiwi@oav.net a écrit:
Salut,
T'as ca aussi : http://www.agregation-internet.fr/
Ca "juste marche", c'est l'idée...
Xavier Le 28 mars 2014 à 09:55, Etienne Magro etienne@mageti.homelinux.net a écrit :
Bonjour à tous,
J'ai besoin de conseil pour de l’agrégation de lien. Pour le moment, au sein de notre agence, le réseau est découpé en 2, avec 2 lignes ADSL, un routeur cisco ASA5505 derrière chaque modem et un VPN monté entre chacun de ces cisco et un vrack chez un hébergeur. Sur une des lignes ADSL, une dizaine de téléphone SIP + quelques VM, sur l'autre ligne ADSL, l'internet pour les postes de travail + quelques VM et chez l'hébergeur, quelques dizaines de VM
+–––––––––+ | | ADSL1 +––––––+ ASA5505 +––––––––––––––––––––––+ | | | +–––––––––+ | +–––––––––––––+ Réseau de l'agence +––––––––––––+ | Internet | ASA5505 | +–––––––––+ +––––––––––––+ vRack| | | | +–––––––––––––+ +––––––+ ASA5505 +––––––––––––––––––––––+ | | ADSL2 +–––––––––+
Nous aimerions faire de l'agrégation de ligne ADSL et réunir les 2 réseaux de notre agence en un seul. J'ai eu vent de MLVPN, mais avant de me lancer, j'aurais aimé savoir si c'était possible directement au sein des ASA, ou s'il fallait qu'on revoit totalement notre archi ? Si vous avez des préconisations, des idées, des retours d'expérience, je prends tout. Merci d'avance,
Etienne Magro _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Le pfsense gère ça plutôt bien. Cependant, il y a un bémol : si tes deux vpns présente des temps de latence très différents, certaines applis (transmettant peu de données, mais ayant besoin de réactivité, comme la voip) fonctionneront mieux si tu les fais passer seulement par le meilleurs vpns que par les deux. Je te conseille donc le MLVPN (pondéré si tu peux par rapport aux débit) et quelques routes statiques, par exemple vers l'ipbx pour reprendre l'exemple de la voip, pour prendre la meilleure route.
Le 28/03/2014 12:01, Etienne Magro a écrit :
L'idée est pas mal, mais on préfèrerais rester maitre de notre infra et ne pas avoir à payer un abonnement/partenariat/fournisseur supplémentaire.
L'option TCP-MultiPath, j'avoue que je ne la connaissais pas, je vais y jeter un oeil, ça pourrait être pas mal.
Sinon, pour le moment, l'idée (absolument pas creusée) qui fait son chemin, ça sera une VM pfsense avec mlvpn au sein de l'agence et et une autre chez l'hébergeur pour remplacer le VPN ASA à ASA. J'ai pas l'impression que les ASA peuvent faire ça en natif.
28 mars 2014 11:44 "Xavier Beaudouin" kiwi@oav.net a écrit:
Salut,
T'as ca aussi : http://www.agregation-internet.fr/
Ca "juste marche", c'est l'idée...
Xavier Le 28 mars 2014 à 09:55, Etienne Magro etienne@mageti.homelinux.net a écrit :
Bonjour à tous,
J'ai besoin de conseil pour de l'agrégation de lien. Pour le moment, au sein de notre agence, le réseau est découpé en 2, avec 2 lignes ADSL, un routeur cisco ASA5505 derrière chaque modem et un VPN monté entre chacun de ces cisco et un vrack chez un hébergeur. Sur une des lignes ADSL, une dizaine de téléphone SIP + quelques VM, sur l'autre ligne ADSL, l'internet pour les postes de travail + quelques VM et chez l'hébergeur, quelques dizaines de VM
+------------------+ | | ADSL1 +------------+ ASA5505 +--------------------------------------------+ | | | +------------------+ | +--------------------------+ Réseau de l'agence +------------------------+ | Internet | ASA5505 | +------------------+ +------------------------+ vRack| | | | +--------------------------+ +------------+ ASA5505 +--------------------------------------------+ | | ADSL2 +------------------+
Nous aimerions faire de l'agrégation de ligne ADSL et réunir les 2 réseaux de notre agence en un seul. J'ai eu vent de MLVPN, mais avant de me lancer, j'aurais aimé savoir si c'était possible directement au sein des ASA, ou s'il fallait qu'on revoit totalement notre archi ? Si vous avez des préconisations, des idées, des retours d'expérience, je prends tout. Merci d'avance,
Etienne Magro _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Hello,
J'ai fait quelques tests il y une dizaines de jour avec MLVPN (suite à l'échange à côté). N'ayant pas deux lignes ADSL sous la main, j'ai bricolé une limitation asymétrique à l'aide d'un switch. Ça avait l'air de fonctionner, j'ai toutefois noté de fortes variations dans le débit (beaucoup plus qu'avec une seule ligne).
En tout cas, je suis intéressé par vos retours. D'avance, merci. ;)
a+
2014-03-28 9:55 GMT+01:00 Etienne Magro etienne@mageti.homelinux.net:
Nous aimerions faire de l'agrégation de ligne ADSL et réunir les 2 réseaux de notre agence en un seul. J'ai eu vent de MLVPN, mais avant de me lancer, j'aurais aimé savoir si c'était possible directement au sein des ASA, ou s'il fallait qu'on revoit totalement notre archi ?
Voici un exemple n'utilisant que du logiciel libre et simple à mettre en oeuvre pour agréger plusieurs liens ADSL avec du L2TP MLPPP: http://bsdrp.net/documentation/examples/aggregating_multiple_isp_links
Voici le concept: - Côté hébergeur: Un serveur dédié avec au minimum 2 adresses IP publics (IP-AGG-1 et IP-AGG-2), le logiciel mpd5 en mode <<serveur L2TP MLPPP>> et une configuration de NAT; - Coté agence: Une machine dispose de deux accès Internet, avec deux routes statiques (IP-AGG-1/32 => Gateway_FAI_1 et IP-AGG-2/32 => Gateway_FAI_2) et le logiciel mpd5 en mode <<client L2TP MLPPP>>
La machine cliente va monter 2 tunnels L2TP, chacun utilisant les deux liaisons Internet (forcé par l'usage de route statique + adresses IP différentes sur le serveur de concentration). Une fois ces tunnels montés, il va faire du Multi-Link PPP sur ces deux liaisons: C'est à dire qu'il va fragmenter les paquets sortant/entrant en fonction des débits/latence déclarée sur les différentes liaisons ADSL. L'avantage est que cela permet l'usage simultané de l'ensemble des liaisons même pour un seul flux. Le serveur doit faire du NAT lorsqu'il reroute le trafic vers Internet, ce qui permet de forcer le chemin de retour par lui-même.
Pour le matériel, un simple PC Engines APU (http://www.pcengines.ch/apu.htm) à environ 150 EURO (carte mère, boiter, alim, m-SATA flash de 16Go) devrait suffire: 1 interface LAN, les deux autres vers les 2 modem DSL.
Cordialement,
Olivier
-
Aurélien Duclos -
Etienne Magro -
Olivier -
Olivier Cochard-Labbé -
Sebastien Caps -
Xavier Beaudouin