Etude sphynx » Historique » Version 6
Gwenael Remond, 15/01/2010 11:31
| 1 | 1 | Gwenael Remond | h1. Etude sphynx |
|---|---|---|---|
| 2 | 1 | Gwenael Remond | |
| 3 | 1 | Gwenael Remond | h2. Bilan de l'existant |
| 4 | 1 | Gwenael Remond | |
| 5 | 1 | Gwenael Remond | * les fichiers de configuration sont générés directement sur le sphynx |
| 6 | 1 | Gwenael Remond | * les configuration sont poussées de diverses manières, le sphynx et l'amon ne communiquent pas |
| 7 | 1 | Gwenael Remond | * il y a plusieurs configurations indépendantes qui sont générées à partir d'une base xml (@sphynx.xml@) |
| 8 | 1 | Gwenael Remond | * un amon a un et un seul sphynx, un sphynx peut avoir plusieurs amon |
| 9 | 1 | Gwenael Remond | * il y a plusieurs tunnels (multitunnel) |
| 10 | 1 | Gwenael Remond | * multitunnel, gestion de tunnel (ajout, suppression...) |
| 11 | 2 | Gwenael Remond | * gestion des certificats |
| 12 | 1 | Gwenael Remond | |
| 13 | 4 | Gwenael Remond | d'une manière générale, on peut : |
| 14 | 4 | Gwenael Remond | |
| 15 | 4 | Gwenael Remond | * visualiser les confs, les éditer et les modifier (seulement depuis le sphynx) |
| 16 | 4 | Gwenael Remond | * pousser les confs |
| 17 | 4 | Gwenael Remond | |
| 18 | 1 | Gwenael Remond | h2. Nouvelles fonctionnalités éventuelles (en vrac) |
| 19 | 1 | Gwenael Remond | |
| 20 | 5 | Gwenael Remond | * tunnel inter-amon (deux amon se voient entre eux) |
| 21 | 1 | Gwenael Remond | * haute dispo sphynx |
| 22 | 1 | Gwenael Remond | * haute dispo amon ? |
| 23 | 1 | Gwenael Remond | * route sur les amon (multi-routage) |
| 24 | 2 | Gwenael Remond | * road warrior, tagger des adresses ip pour savoir si elles sont autorisées |
| 25 | 2 | Gwenael Remond | (des ips sont attribués dynamiquement) |
| 26 | 1 | Gwenael Remond | * autres fonctionnalités StrongSwann |
| 27 | 5 | Gwenael Remond | * le multi-sphynx (un amon avec plusieurs sphynx) |
| 28 | 2 | Gwenael Remond | |
| 29 | 2 | Gwenael Remond | h2. Nouvelles problématiques |
| 30 | 1 | Gwenael Remond | |
| 31 | 3 | Gwenael Remond | h3. Ipsec, StrongSwan |
| 32 | 3 | Gwenael Remond | |
| 33 | 3 | Gwenael Remond | * ipsec est intégré maintenant directement dans le noyau |
| 34 | 3 | Gwenael Remond | * plusieurs technologies peuvent être utilisées, à priori le choix se porte sur StrongSwan |
| 35 | 3 | Gwenael Remond | |
| 36 | 3 | Gwenael Remond | h3. La haute disponibilité |
| 37 | 3 | Gwenael Remond | |
| 38 | 3 | Gwenael Remond | fonctionnalités nécessaires : |
| 39 | 3 | Gwenael Remond | |
| 40 | 3 | Gwenael Remond | * pouvoir échanger des configurations entre deux sphynx, les cloner |
| 41 | 3 | Gwenael Remond | * pouvoir _pousser_ des modifications d'une configuration à partir d'une autre |
| 42 | 3 | Gwenael Remond | (un _diff_), et les _merger_ (fusionner) |
| 43 | 3 | Gwenael Remond | |
| 44 | 3 | Gwenael Remond | |
| 45 | 2 | Gwenael Remond | h3. Le multi routage |
| 46 | 1 | Gwenael Remond | |
| 47 | 2 | Gwenael Remond | Un amon est relié à _deux_ routeurs, via internet |
| 48 | 2 | Gwenael Remond | ils sont reliés à un routeur derrière lequel il y a un (ou plusieurs) sphynx |
| 49 | 1 | Gwenael Remond | |
| 50 | 2 | Gwenael Remond | C'est la même configuration d'un côté du routeur et de l'autre, cela implique de pouvoir "cloner" une configuration |
| 51 | 2 | Gwenael Remond | |
| 52 | 2 | Gwenael Remond | |
| 53 | 2 | Gwenael Remond | h2. Autres fonctionnalités éventuelles à intégrer |
| 54 | 1 | Gwenael Remond | |
| 55 | 1 | Gwenael Remond | * ne monter des tunnels _que_ pour un protocole (http) |
| 56 | 1 | Gwenael Remond | * pouvoir bloquer des protocoles à l'intérieur d'un tunnel, l'OTP, etc.. |
| 57 | 1 | Gwenael Remond | * pouvoir ajouter des options particulière à un tunnel |
| 58 | 4 | Gwenael Remond | |
| 59 | 5 | Gwenael Remond | h2. Possibilités de l'outil très attendues |
| 60 | 4 | Gwenael Remond | |
| 61 | 4 | Gwenael Remond | * faire des templates d'établissement |
| 62 | 4 | Gwenael Remond | * gérer plusieurs bases de données StrongSwan |
| 63 | 4 | Gwenael Remond | * gérer des confs éventuellement (fichiers de route ou autre) |
| 64 | 4 | Gwenael Remond | * gérer des fichiers de dictionnaire créole (ip templatisées, ip variables) |
| 65 | 4 | Gwenael Remond | * templates de tunnel, dicos créole, générateur sur un amon |
| 66 | 4 | Gwenael Remond | * paramètres globaux (ex: _StrictPolicy_) et paramètres locaux (ips, etc) |
| 67 | 4 | Gwenael Remond | * paramètres dépendants de dictionnaires créole ou de variables automatiques |
| 68 | 4 | Gwenael Remond | * paramètres modifiables dans le @gen_config@ |
| 69 | 6 | Gwenael Remond | * template de tunnel |
| 70 | 6 | Gwenael Remond | * modifications grouppées (pouvoir modifier un type de tunnel donné dans |
| 71 | 6 | Gwenael Remond | plusieurs établissements en même temps) |
| 72 | 6 | Gwenael Remond | * ajouts et modifications groupées dans plusieurs établissements |
| 73 | 4 | Gwenael Remond | |
| 74 | 1 | Gwenael Remond | Tous ces paramètres provenant de différentes sources doivent être changés |
| 75 | 1 | Gwenael Remond | _sans que la structure du réseau ne soient affectée_. |
| 76 | 5 | Gwenael Remond | |
| 77 | 5 | Gwenael Remond | h3. Le tunnel "dynamique" |
| 78 | 5 | Gwenael Remond | |
| 79 | 5 | Gwenael Remond | * ajout groupé de tunnels, modifications groupées |
| 80 | 5 | Gwenael Remond | * template de tunnel |
| 81 | 5 | Gwenael Remond | * une ip a changée sur l'amon, le sphyx doit le savoir et mettre à jour le tunnel |
| 82 | 5 | Gwenael Remond | en conséquence |
| 83 | 5 | Gwenael Remond | * faut-il, notamment dans le cadre du multi-sphynx, |
| 84 | 5 | Gwenael Remond | qu'un client avec ipsec puisse permettre d'échanger des données deux grands réseau (ex : ADRIATIC) |
| 85 | 5 | Gwenael Remond | * un tunnel réellement _dynamique_ ? Capable de s'enregister et de créer un tunnel automatiquement ? |
| 86 | 5 | Gwenael Remond | cela nécessiterait que les amon soient enregistrés et que le sphynx puisse communiquer avec eux |
| 87 | 5 | Gwenael Remond | et surtout leur faire confiance |
| 88 | 5 | Gwenael Remond | |
| 89 | 5 | Gwenael Remond | h2. Conclusion momentanée |
| 90 | 5 | Gwenael Remond | |
| 91 | 5 | Gwenael Remond | Maintenir une cohérence du réseau global (est-ce que ça sera au niveau du sphynx ? |
| 92 | 5 | Gwenael Remond | Est-ce que le sphynx a toutes les informations _exactes_, valeurs d'ips, etc...) |
| 93 | 5 | Gwenael Remond | |
| 94 | 5 | Gwenael Remond | Il est clair qu'il doit y avoir un endroit ou toutes les informations doivent |
| 95 | 5 | Gwenael Remond | être connues (serait-ce au niveau du sphynx?) |
| 96 | 5 | Gwenael Remond | de manière à pouvoir *vraiment* vérifier l'intégrité du réseau |
| 97 | 5 | Gwenael Remond | |
| 98 | 6 | Gwenael Remond | Il est impossible de travailler uniquement depuis des bases StrongSwan car il y a un niveau d'abstraction |
| 99 | 6 | Gwenael Remond | nécessaire ("tags" sur les tunnels, données externes dynamiques provenant de créole et autres, |
| 100 | 6 | Gwenael Remond | générations d'autres fichiers de route, etc), il faut donc : |
| 101 | 6 | Gwenael Remond | |
| 102 | 6 | Gwenael Remond | * des générateurs (sur l'amon, sur le sphynx...) |
| 103 | 6 | Gwenael Remond | * des vérifications de la cohérence et de l'intégrité du réseau global ("compilateur de réseau") |
| 104 | 6 | Gwenael Remond | * des outils d'édition et de modification *indépendants* de la génération et de la vérification de l'intégrité |