Etude sphynx » Historique » Version 9
Gwenael Remond, 02/02/2010 10:08
1 | 1 | Gwenael Remond | h1. Etude sphynx |
---|---|---|---|
2 | 1 | Gwenael Remond | |
3 | 9 | Gwenael Remond | Voir aussi |
4 | 9 | Gwenael Remond | |
5 | 9 | Gwenael Remond | * [[SphynxGenerateurDeConf]] |
6 | 9 | Gwenael Remond | * [[SphyxProcedureEnrolement]] |
7 | 9 | Gwenael Remond | |
8 | 1 | Gwenael Remond | h2. Bilan de l'existant |
9 | 1 | Gwenael Remond | |
10 | 1 | Gwenael Remond | * les fichiers de configuration sont générés directement sur le sphynx |
11 | 1 | Gwenael Remond | * les configuration sont poussées de diverses manières, le sphynx et l'amon ne communiquent pas |
12 | 1 | Gwenael Remond | * il y a plusieurs configurations indépendantes qui sont générées à partir d'une base xml (@sphynx.xml@) |
13 | 1 | Gwenael Remond | * il y a plusieurs tunnels (multitunnel) |
14 | 1 | Gwenael Remond | * multitunnel, gestion de tunnel (ajout, suppression...) |
15 | 1 | Gwenael Remond | * gestion des certificats |
16 | 7 | samuel morin | * ipsec est intégré maintenant directement dans le noyau |
17 | 7 | samuel morin | * plusieurs technologies peuvent être utilisées, le choix se porte sur StrongSwan |
18 | 1 | Gwenael Remond | |
19 | 1 | Gwenael Remond | d'une manière générale, on peut : |
20 | 4 | Gwenael Remond | |
21 | 7 | samuel morin | * visualiser les différents paramètres (dans la base), les éditer et les modifier (seulement depuis le sphynx) |
22 | 4 | Gwenael Remond | * pousser les confs |
23 | 4 | Gwenael Remond | |
24 | 1 | Gwenael Remond | h2. Nouvelles fonctionnalités éventuelles (en vrac) |
25 | 1 | Gwenael Remond | |
26 | 1 | Gwenael Remond | * tunnel inter-amon (deux amon se voient entre eux) |
27 | 1 | Gwenael Remond | * haute dispo sphynx |
28 | 1 | Gwenael Remond | * haute dispo amon ? |
29 | 7 | samuel morin | * redondance des routeurs sur les amons (agrégation de lien) |
30 | 7 | samuel morin | * road warrior ? |
31 | 7 | samuel morin | * autres fonctionnalités StrongSwan |
32 | 5 | Gwenael Remond | * le multi-sphynx (un amon avec plusieurs sphynx) |
33 | 2 | Gwenael Remond | |
34 | 2 | Gwenael Remond | h2. Nouvelles problématiques |
35 | 1 | Gwenael Remond | |
36 | 3 | Gwenael Remond | h3. Ipsec, StrongSwan |
37 | 3 | Gwenael Remond | |
38 | 7 | samuel morin | * evolution de Strongswan qui nécessite la refonte des fichiers de configurations. |
39 | 7 | samuel morin | * Prise en compte du nouveau protocole IKEv2 ? |
40 | 3 | Gwenael Remond | |
41 | 3 | Gwenael Remond | h3. La haute disponibilité |
42 | 3 | Gwenael Remond | |
43 | 3 | Gwenael Remond | fonctionnalités nécessaires : |
44 | 1 | Gwenael Remond | |
45 | 3 | Gwenael Remond | * pouvoir échanger des configurations entre deux sphynx, les cloner |
46 | 3 | Gwenael Remond | * pouvoir _pousser_ des modifications d'une configuration à partir d'une autre |
47 | 3 | Gwenael Remond | (un _diff_), et les _merger_ (fusionner) |
48 | 3 | Gwenael Remond | |
49 | 3 | Gwenael Remond | |
50 | 2 | Gwenael Remond | h3. Le multi routage |
51 | 1 | Gwenael Remond | |
52 | 7 | samuel morin | Un amon est relié à Internet et au RVP au travers de plusieurs routeurs |
53 | 2 | Gwenael Remond | |
54 | 7 | samuel morin | La configuration ipsec est la même pour les deux routeurs, hormis les adresses ip externes, |
55 | 7 | samuel morin | cela implique de pouvoir "cloner" une configuration |
56 | 2 | Gwenael Remond | |
57 | 2 | Gwenael Remond | |
58 | 2 | Gwenael Remond | h2. Autres fonctionnalités éventuelles à intégrer |
59 | 1 | Gwenael Remond | |
60 | 1 | Gwenael Remond | * ne monter des tunnels _que_ pour un protocole (http) |
61 | 1 | Gwenael Remond | * pouvoir bloquer des protocoles à l'intérieur d'un tunnel, l'OTP, etc.. |
62 | 1 | Gwenael Remond | * pouvoir ajouter des options particulière à un tunnel |
63 | 4 | Gwenael Remond | |
64 | 5 | Gwenael Remond | h2. Possibilités de l'outil très attendues |
65 | 4 | Gwenael Remond | |
66 | 4 | Gwenael Remond | * faire des templates d'établissement |
67 | 4 | Gwenael Remond | * gérer plusieurs bases de données StrongSwan |
68 | 4 | Gwenael Remond | * gérer des confs éventuellement (fichiers de route ou autre) |
69 | 4 | Gwenael Remond | * gérer des fichiers de dictionnaire créole (ip templatisées, ip variables) |
70 | 4 | Gwenael Remond | * templates de tunnel, dicos créole, générateur sur un amon |
71 | 4 | Gwenael Remond | * paramètres globaux (ex: _StrictPolicy_) et paramètres locaux (ips, etc) |
72 | 4 | Gwenael Remond | * paramètres dépendants de dictionnaires créole ou de variables automatiques |
73 | 4 | Gwenael Remond | * paramètres modifiables dans le @gen_config@ |
74 | 6 | Gwenael Remond | * template de tunnel |
75 | 7 | samuel morin | * modifications groupées (pouvoir modifier un type de tunnel donné dans |
76 | 6 | Gwenael Remond | plusieurs établissements en même temps) |
77 | 6 | Gwenael Remond | * ajouts et modifications groupées dans plusieurs établissements |
78 | 4 | Gwenael Remond | |
79 | 1 | Gwenael Remond | Tous ces paramètres provenant de différentes sources doivent être changés |
80 | 7 | samuel morin | _sans que la structure du réseau ne soit affectée_. |
81 | 5 | Gwenael Remond | |
82 | 5 | Gwenael Remond | h3. Le tunnel "dynamique" |
83 | 5 | Gwenael Remond | |
84 | 5 | Gwenael Remond | * ajout groupé de tunnels, modifications groupées |
85 | 5 | Gwenael Remond | * template de tunnel |
86 | 5 | Gwenael Remond | * une ip a changée sur l'amon, le sphyx doit le savoir et mettre à jour le tunnel |
87 | 5 | Gwenael Remond | en conséquence |
88 | 7 | samuel morin | * un tunnel réellement _dynamique_ ? Capable de s'enregistrer et de créer un tunnel automatiquement ? |
89 | 5 | Gwenael Remond | cela nécessiterait que les amon soient enregistrés et que le sphynx puisse communiquer avec eux |
90 | 5 | Gwenael Remond | et surtout leur faire confiance |
91 | 5 | Gwenael Remond | |
92 | 5 | Gwenael Remond | h2. Conclusion momentanée |
93 | 5 | Gwenael Remond | |
94 | 5 | Gwenael Remond | Maintenir une cohérence du réseau global (est-ce que ça sera au niveau du sphynx ? |
95 | 5 | Gwenael Remond | Est-ce que le sphynx a toutes les informations _exactes_, valeurs d'ips, etc...) |
96 | 5 | Gwenael Remond | |
97 | 5 | Gwenael Remond | Il est clair qu'il doit y avoir un endroit ou toutes les informations doivent |
98 | 5 | Gwenael Remond | être connues (serait-ce au niveau du sphynx?) |
99 | 5 | Gwenael Remond | de manière à pouvoir *vraiment* vérifier l'intégrité du réseau |
100 | 5 | Gwenael Remond | |
101 | 6 | Gwenael Remond | Il est impossible de travailler uniquement depuis des bases StrongSwan car il y a un niveau d'abstraction |
102 | 6 | Gwenael Remond | nécessaire ("tags" sur les tunnels, données externes dynamiques provenant de créole et autres, |
103 | 6 | Gwenael Remond | générations d'autres fichiers de route, etc), il faut donc : |
104 | 6 | Gwenael Remond | |
105 | 6 | Gwenael Remond | * des générateurs (sur l'amon, sur le sphynx...) |
106 | 6 | Gwenael Remond | * des vérifications de la cohérence et de l'intégrité du réseau global ("compilateur de réseau") |
107 | 6 | Gwenael Remond | * des outils d'édition et de modification *indépendants* de la génération et de la vérification de l'intégrité |