Re: [FRnOG] [TECH] Ip d'interco bgp / Solution IELO
Bonjour à tous, On s'est effectivement pris du DDoS de plus de 50 Gbps, arrivant d'un peu partout, y compris les IX. Mais le problème c'est que le RTBH se déclenche en /32 sur l'IP d'interco BGP coté client, celle qui se prend le DDOS, ce qui lui coupe la session :/ Voila la solution retenue avec Firstheberg : On a décidé de griller le "last /22" que le RIPE nous a alloué pour les interco BGP à risque et on ne l'annoncera pas. On pourra éventuellement annoncer des plus spécifiques (/23 ou /24) si on en a besoin. Ca permet de ne pas en venir à des solutions du type interco en RFC1918, que je trouve vraiment sale. Cédric Tabary (PS: desole pour le doublon éventuel, avec le bon From ca passe mieux) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Ip d'interco bgp
Je trouve la solution du RFC1918 assez sale dans le sens où ca ajoute des IP privées dans l'IGP de la table de routage globale, ce qui peut porter à confusion. D'autre part ca génère des paquets ICMP (au traceroute par exemple) en IP source RFC1918 qui passent par Internet donc potentiellement filtrés et/ou en conflit avec des réseaux locaux à destination. Bref pas de ça chez moi :) Cédric - Le 15 Sep 15, à 13:28, Jeremy li...@freeheberg.com a écrit : > Probablement plus simple, aucune idée. On m'a proposé cette solution, je > l'accepte, c'est tout :) > Tu sais quand tu est dos au mur, tu prends la première solution qui vient ! > > Jérémy > > Le 15/09/2015 13:15, David Ponzone a écrit : >> +1 >> >> >> Le 15 sept. 2015 à 13:13, David Touitoua écrit : >> >>> 'jour, >>> Bon, à force de ne pas dormir et de réfléchir avec nos transitaires, on a trouvé une solution qui va fonctionner. La solution retenue sera finalement de changer le bloc d'interconnexion, et de ne pas l'annoncer du tout. >>> Question certainement idiote : quelle différence par rapport à utiliser des >>> RFC1918 ? >>> >>> David >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >> > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] HOPUS recherche un Business Developper ! ;-)
Dans le cadre de ses fortes perspectives de développement HOPUS cherche une personnalité afin de prendre en main son développement et promouvoir son modèle en France et à l'international. Profil attendu pour ce nouveau poste : forte expertise du marché et de ses acteurs ainsi que de l’environnement technique, capacité d'initiative, sens éthique, empathie, négociation, imagination et créativité. Adressez vos candidatures à l'adresse j...@hopus.net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] trunk layer 2 backup internet
7600 ok, mais à voir quelles linecard supportent le l2tpv3... ES+ et SIP400 je pense sinon ca passe en soft (ou pas) ? Le 11 septembre 2013 10:55, Frédéric GANDER fgan...@corp.free.fr a écrit : 7600 ya des chances - Mail original - De: Pierre Emeriaud petrus...@gmail.com À: Nicolas V nicovp...@gmail.com Cc: frnog-t...@frnog.org Envoyé: Mercredi 11 Septembre 2013 10:52:25 Objet: Re: [FRnOG] [TECH] trunk layer 2 backup internet salut, Le 11 septembre 2013 10:39, Nicolas V nicovp...@gmail.com a écrit : Est ce que vous avez déjà mis en place ou auriez des idées de techno (moins couteuse qu'un second layer 2 - et si possible pas trop usine à gaz) qui permettraient de réaliser une encapsulation layer 2 ? J'ai à ma disposition : - du matériel cisco (type 4500 / 7600) - du matériel fortigate - peut être du matériel F5 bigip (des fonctionnalités de tunnels existent mais je ne sais pas ce qu'elles permettent/valent) xconnect l2tpv3 sur les cisco. a voir les limitations en fonction des plateformes/cartes/IOS/age du capitaine. --- pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Choix d'un routeur dual wan pour PME
A voir du côté de mikrotik peut être Cédric Le 10 septembre 2013 16:05, Kevin Poirier kevin.poirie...@gmail.com a écrit : Bonjour, Je suis actuellement à la recherche d'un routeur dual wan pour une pme afin de pouvoir améliorer la continuité de service et la qualité de notre connexion internet. Pour cela nous avons un connexion ADSL Bouygues et nous envisageons de prendre une seconde ligne avec du SDSL ovh. Nous voulons donc pouvoir à la fois du loadbalacing et du failover entre les deux connexion si possible. Le wifi n'est pas obligatoire car je pense y ajouter ensuite une borne wifi. Merci d'avance pour votre aide. -- Cordialement, *-- * *Poirier Kévin,* *Mail : kevin.poirie...@gmail.com* --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Proxad / Akamai eDNS] Performance de résolution DNS variable (Anycast)?
La plupart du temps on se fiche de la performance de l'autoritaire, car c'est le cache du FAI qui répond. ak-imworld.afcdn.com. 33200 ... Ca va juste lagger 300 ms toutes les 10 heures pour maj le cache... acceptable de mon point de vue. Le problème n'est peut être pas là ? Cédric Le 6 août 2013 12:19, Julien Bailhache jbailha...@smartadserver.com a écrit : Bonjour, Je ne m'explique pas un comportement changeant de la performance de la résolution DNS de nos domaines depuis une freebox. Les zones sont déployées sur des serveurs Anycast d'Akamai (nom commercial eDNS). Actuellement au nombre de 6 entrées NS, mon projet concerne la migration vers 3 nouveaux serveurs a priori mieux distribués géographiquement. Malheureusement, l'un des trois serveurs de remplacement, ns2-67.akam.net, répond très lentement depuis ce matin, 8h30, au delà de 300ms. Requête dig --- C:\utilsdig ak-imworld.afcdn.com @ns2-67.akam.net ; DiG 9.3.2 ak-imworld.afcdn.com @ns2-67.akam.net ; (1 server found) ;; global options: printcmd ;; Got answer: ;; -HEADER- opcode: QUERY, status: NOERROR, id: 512 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;ak-imworld.afcdn.com. IN A ;; ANSWER SECTION: ak-imworld.afcdn.com. 33200 IN CNAME imworld.aufeminin.com.edgesuite.net. ;; Query time: 328 msec ;; SERVER: 2.22.230.67#53(2.22.230.67) ;; WHEN: Tue Aug 06 12:05:28 2013 ;; MSG SIZE rcvd: 87 --- Tracert/tcp --- tracert ns2-67.akam.net Détermination de l'itinéraire vers ns2-67.akam.net [2.22.230.67] avec un maximum de 30 sauts : 11 ms1 ms1 ms FREEBOX [192.168.98.254] 223 ms22 ms21 ms 82.227.162.254 337 ms42 ms34 ms 78.254.21.30 424 ms23 ms22 ms p16-6k-1.intf.nra.proxad.net [78.254.251.73] 523 ms24 ms24 ms th2-9k-1.intf.routers.proxad.net[78.254.249.93] 622 ms23 ms22 ms th2-crs16-1-be1006.intf.routers.proxad.net[212.27.59.205] 733 ms32 ms31 ms strasbourg-crs16-1-be2000.intf.routers.proxad.net [212.27.50.10] 834 ms32 ms36 ms francfort-6k-1-po100.intf.routers.proxad.net[212.27.56.30] 9 ** 39 ms amsterdam-6k-1-po100.intf.routers.proxad.net[212.27.56.38] 1036 ms37 ms37 ms TenGE13-2.br02.ams01.pccwbtn.net[195.69.145.37] 11 303 ms 306 ms 304 ms 63-218-211-182.static.pccwglobal.net[63.218.211.182] 12 *** Délai d'attente de la demande dépassé. --- Jusqu'à ce matin, 8h30, le dig répondait en 30ms depuis le même lieu de monitoring. Actuellement donc il semble que la résolution DNS soit faite via le POP anycast de HongKong. Les questions que je me pose sont les suivantes: - cette mesure est-elle représentative de la performance que mettra le DNS de free 212.27.40.240 pour résoudre mes domaines? - si oui, c'est assez problématique , et du coup dans quelle mesure peut-on mieux maîtriser la performance de cette résolution? Est-ce du à un filtrage BGP au niveau de l'opérateur ou à de mauvaises annonces depuis les Pops d'akamai? A noter que le support Akamai, interrogé sur le sujet, botte en touche car la performance de leur service eDNS ne fait pas partie des clauses SLA. Merci pour vos avis, -- Julien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Proxad / Akamai eDNS] Performance de résolution DNS variable (Anycast)?
Il faut donc refaire le test sur toute la suite des CNAME jusqu'au A/ et prier que ceux qui ont un TTL très bas aient une résolution rapide ou espérer que les utilisateurs utilisent un FAI dont les resolver utilisent min-cache-ttl (patch bind) ou cache-min-ttl (unbound) ou équivalent pour neutraliser ces TTLs ridicules du genre : a428.g.akamai.net. 20 IN A 158.255.97.74 a428.g.akamai.net. 20 IN A 158.255.97.9 Je l'avais pas vu celui là, il y a 2 CNAME à suivre :-) Cela dit les DNS de a428.g.akamai.net (qui a le ttl bas) répondent super vite. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] IPv6 Problèmes
que donne show process cpu sorted au moment de la charge ? cela aidera à savoir ce qui tue le cpu, si c'est le bgp, l'igp ou le forwarding qui passe en soft Le 18 juillet 2013 11:28, Olivier CALVANO o.calv...@gmail.com a écrit : Alors cela me le faisait sur des Cisco 7201, j'ai changé il y a 15 jours environs pour des Cisco 6500 avec des cartes sup720-3BXL mais cela continue Le 18 juillet 2013 10:17, Stephane Bortzmeyer bortzme...@nic.fr a écrit : On Thu, Jul 18, 2013 at 10:07:19AM +0200, Olivier CALVANO o.calv...@gmail.com wrote a message of 21 lines which said: J ai très souvent des problemes de saturation CPU sur mes routeurs qui ont la table IPv6 .. les routeurs passent de 10% de consommation CPU (avec full table IPv4 et IPv6) Désolé, pas de solution mais... c'est quel genre de routeurs ? Quelqu'un a déjà eu ce symptôme ? peut être qu'il me manque des filtres/protections en route map non ? Des études comme https://labs.ripe.net/Members/mkarir/ipv6-internet-pollution (la propagation de leur /12) semblent indiquer que beaucoup de gens ont *moins* de protections en IPv6 (par exemple, les annonces extra-larges http://www.bortzmeyer.org/annonces-bgp-larges.html vont plus loin en v6 qu'en v4). --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] IPv6 Problèmes
un show version pourrait nous aider aussi :) Le 18 juillet 2013 16:08, Cédric Tabary fr...@grumly.eu.org a écrit : que donne show process cpu sorted au moment de la charge ? cela aidera à savoir ce qui tue le cpu, si c'est le bgp, l'igp ou le forwarding qui passe en soft Le 18 juillet 2013 11:28, Olivier CALVANO o.calv...@gmail.com a écrit : Alors cela me le faisait sur des Cisco 7201, j'ai changé il y a 15 jours environs pour des Cisco 6500 avec des cartes sup720-3BXL mais cela continue Le 18 juillet 2013 10:17, Stephane Bortzmeyer bortzme...@nic.fr a écrit : On Thu, Jul 18, 2013 at 10:07:19AM +0200, Olivier CALVANO o.calv...@gmail.com wrote a message of 21 lines which said: J ai très souvent des problemes de saturation CPU sur mes routeurs qui ont la table IPv6 .. les routeurs passent de 10% de consommation CPU (avec full table IPv4 et IPv6) Désolé, pas de solution mais... c'est quel genre de routeurs ? Quelqu'un a déjà eu ce symptôme ? peut être qu'il me manque des filtres/protections en route map non ? Des études comme https://labs.ripe.net/Members/mkarir/ipv6-internet-pollution (la propagation de leur /12) semblent indiquer que beaucoup de gens ont *moins* de protections en IPv6 (par exemple, les annonces extra-larges http://www.bortzmeyer.org/annonces-bgp-larges.html vont plus loin en v6 qu'en v4). --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mail to SMS Service from USA to France
Il y a la solution Kannel + modem USB/Serie + carte sim Kannel étant un logiciel libre de gateway sms. (mon nagios en est très content) Le 15 juillet 2013 17:19, Ccde Cissp ccdeci...@yahoo.fr a écrit : Bonjour la liste, Sauriez-vous, comment faire pour recevoir des SMS sur un téléphone mobile en France avec la particularité que ces SMS sont envoyés depuis la source aux US sous forme d'emails. Par, exemple en US, avec le service Wireless Verizon , des message SMS peuvent être envoyés vers un téléphone mobile via email en utilisant (par exemple) l'email: 4252751...@vtext.com.avec 4252751XYZ correspondant à un numéro de téléphone portable d'un abonné Verizon aux US. Existe-il une sorte d'@ mail composée de la même façon, chez les opérateurs français, exemple, quelque chose comme (01133)610164XYZ@opérateur.frqui sera utilisé comme point de sortie des emails aux US et qui me permettra de recevoir des SMS en France. What my colleague need is the method to send me SMS messages by email from US. For instance, in the US, with Verizon Wireless SMS messages can be sent to a cell phone by email using 4252751...@vtext.com. Le service existe-il en France ou pas? Chez quel opérateur? le service client SFR vient de me dire qu'ils n'ont pas ce service? Que pourriez vous me conseiller, svp? Bien cordialement, Fethi --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mail to SMS Service from USA to France
grand public). Il y a quelques années, avec un service de pager, il était explicitement interdit d'émettre des messages depuis un script (pour éviter le spam). Tu prends le risque de te faire couper ton système d'alerting si tu n'y prends gardes. Ça soulève une question... le fournisseur n'ayant pas le droit de lire les SMS, comment fait-il pour savoir qu'ils sont émis depuis un script ? Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Cisco pour transit ?
L'ASR1001 est il de meme puissance qu'un Cisco 7201 mais en version routage hardware ? l'asr est beaucoup beaucoup plus puissant en terme de CPU, et fait le routage en hard, mais $$$ J'apprecie aussi beaucoup la plateforme Cisco 6500, mais je croyais que la Sup720-3BXL n'etait pas trop prevu pour la full table (j'en ai en stock en plus ..) me serais je trompé ? vaudrait il mieux mettre une Sup720-3BXL qu'un Cisco 7201 ? Ca me semble plus approprié, en cas d'attaque ddos ou gros pic de trafic la sup720 fera le routage en hardware, le cisco 7201 tombera. De nos jours, mettre un routeur soft en border, je trouve cela très joueur. Pour finir, cela me fait reflechir car j'ai trois transitaires full table IPv4/IPv6 qui sont tous raccordés a des cisco 7201 ;=) deux routeurs, un a deux transitaires, l'autre a un transitaire et quelques peering. Les remplacer par de la Sup720-3BXL apporterait plus de sécurité performance d’après vous ? La sup720-3BXL supporterait deux a trois transitaires full table + le renvoi vers les deux routes server ? Ca passe mais le cpu de la sup720 (un vieux R7000 à 600 MHz) commencera à souffrir sérieusement si tu as un point d'échange avec pas mal de sessions bgp qui flap. Le problème c'est pas le forwarding, c'est l'IGP, si le cpu passe son temps à calculer du bgp, et que le l'IGP a besoin aussi de cpu, tout peut tomber et la c'est la boucle infernale. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Il me semble que l'ASR1000 fait ça en hardware, et tiendra le gigabit sur le modèle d'entrée de gamme. A vérifier. Cédric Le 11 juin 2013 10:24, Rémi Laurent remi.laurent-fr...@conostix.com a écrit : Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. Si vous avez des recommendations au niveau matériel qui supporte ce genre de chose, je suis également preneur. -- Rémi Laurent GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEARECAAYFAlG23sUACgkQPckIWg+gBgEK8QCfUAUQ71Sm5G9HKPq/k2DpzCot gu8AoIzuxo4ocWsGSXvlHVmytQ1kfO2X =X1+l -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Sponsoring LIR
C'est marrant j'avais le même discussion avec un ami (qui va se reconnaitre) qui veut devenir LIR aussi. C'est extrêmement simple : - Réunir les documents demandés : en bref un kbis ! http://www.ripe.net/lir-services/member-support/become-a-member/application - Remplir le formulaire online : https://lirportal.ripe.net/newlir-external/index.htm?subscriptionType=LIR - Signer les documents et les renvoyer - Payer ! ça c'est le plus important :) - Demander un AS pour ceux qui n'en ont pas, obligatoirement 32bits, (ou 16 bits si tu peux justifier d'un routeur avec 1cm de poussière dessus). - Demander ta première ... et dernière allocation ipv4, un /22, et l'annoncer sur les transit - Échanger 42 mails avec un RIPE Hostmaster / IP analyst pour justifier ip par ip, schema réseau à l'appui, l'assignment à toi même d'un /pasgranchose dans ton nouveau /22 que tu pourra utiliser pour de vrai Et voila c'est fait :) En bonus dans le prix de la cotisation il y a les Training Course pour apprendre a être un mouton^wLIR responsable, gagner des mug IPv6 act now, faire bien ses record dans la base du RIPE, déjeuner aux frais des autres cotisants... https://lirportal.ripe.net/training/courses voila voila Cédric Le 6 juin 2013 20:55, Inulogic - Free-H inulo...@gmail.com a écrit : Bonjour à tous, Je répond tardivement à ce message mais je cherche également une prestation pour passer LIR et m’affranchir de ma dépendance d'adresse IP auprès de mon transitaire qui ne veut plus m'en fournir. On dispose d'un AS et d'une PI, on vise un bloc ipv6 et une last /22. Bonne soirée, Gurvan. Le 30 mai 2013 12:47, Jérôme Nicolle jer...@ceriz.fr a écrit : Salut Youssef, Le 29/05/2013 10:34, Youssef Ghorbal a écrit : nous sommes amene a trouver un autre (LIR) Mieux encore : devenez LIR. C'est pas bien compliqué, ça peut être l'occasion de passer sur du PA et ça règle définitivement le problème de dépendance. @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Hyperviseur linux KVM et configuration réseau
Disposant actuellement d'un serveur dédié muni de l'hyperviseur VMWare ESXi 4.1, je souhaite depuis le début de l'année monter en compétence sur la technologie KVM/Qemu sous Debian. Mon but n'est pas de te décourager, mais d'après mon expérience avec des ESXi (4.x/5) et KVM (Debian5/6) bien chargés en IO disque et réseau tu vas sérieusement perdre en performance et en fiabilité en passant sur KVM. Maintenant je ne connais pas tes motivations, ton infra et le type de trafic/ressources, peut être que cela a du sens dans ton cas. Cela dit ça m'intéresserai d'avoir un retour d'expérience sur Debian 7, le kernel 3.2 arrange peut être bien les choses ? Cordialement --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Hyperviseur linux KVM et configuration réseau
De nos tests entre une machine hôte (live usb) et une machine virtuelle par dessus de la virtu, ESX 4/5 on perd 10% de performance disque, KVM 12%, Xen 3% testé sur Debian 7 kernel branche 3.4 pour les tests Kvm et Xen. Ce sont des moyennes des pertes en débit, IO ou temps de traitement qu'on déroule dans les tests. Je suis étonné des 3% de perte avec Xen, je suppose que tes tests sont faits en paravirtualisation (kernel guest xen) ? Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Hyperviseur linux KVM et configuration réseau
Le 4 juin 2013 14:18, Pierre `Sn4kY` DOLIDON sn...@sn4ky.net a écrit : Certainement. Aucun intérêt de virtualiser des linux avec Xen si c'est pour utiliser qemu... Tout dépend du pourquoi de la virtualisation. Pour migrer une vieille slackware avec un kernel 2.4, une pelletée de debian 5, et d'éventuels windows (le service comptable a toujours un ou 2 windows sous le coude), esxi est presque parfait, et kvm une catastrophe (au moins 80% de perte chez moi), Xen est probablement entre les deux. [troll] Xen c'est tellement mieux ;) [/troll] On est que mardi :) mais dans le cas idéal où tu as des vm récentes avec le kernel qui va bien pour la paravirtualisation on est d'accord. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Déconnexion hebdomadaire Orange
Je revalide seulement la config de la passerelle pour l’interface FTTH pour que ca reparte… La route par défaut saute à 5h40 sur votre serveur ? Si oui ce n'est pas forcément la faute d'orange. Il faudrait regarder la table de routage après 5h40. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Occasion: linecards et sup cisco 6500/7600
Bonjour, Je souhaite revendre quelques cartes qui ne me sont plus utiles depuis pas mal de temps. 2x Sup2 / msfc2 avec 512M sur la msfc http://s1.postimg.org/wq4nmi9e7/IMG_0538.jpg 2x X6516-GE-TX 16 ports 10/100/1000 http://s22.postimg.org/fluoturep/IMG_0536.jpg 1x X6516-GBIC, avec 6 GBIC SX et 2 GBIC LX http://s24.postimg.org/h9iefoqc5/IMG_0537.jpg Les sup sont plus que dépassées pour du bgp (pas de full view, cpu poussif), mais pour de l'ipv4 privé ou du L2 c'est parfait. Les linecard X6516 fonctionnent avec toutes les sup, celles-ci n'ont pas de DFC (cef distribué). A venir chercher sur Paris 18 (ou Paris 2), cartes simplement emballées dans un sachet anti-statique. Faites moi une offre en privé si ça vous intéresse. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Perf routing ospf cisco 3560G
200 routes ca passe en hardware sans souci, ipv4 et ipv6, donc 38.7 Mpps. Attention à deux choses : - Si je ne dis pas de bêtises il y a un maximum d'interfaces routées en hard et je ne sais pas si ça inclus les SVI. - La bête a un CPU plutôt pourri, alors c'est mieux de faire du rate limit sur les ICMP, qui remontent certainement en soft comme la plupart des routeurs. Sur un C3560G-48TS-S : xxx#sh sdm prefer The current template is desktop IPv4 and IPv6 routing template. The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 1.5K number of IPv4 IGMP groups + multicast routes:1K number of IPv4 unicast routes:2.75K number of directly-connected IPv4 hosts:1.5K number of indirect IPv4 routes: 1.25K number of IPv6 multicast groups: 1.125k number of directly-connected IPv6 addresses: 1.5K number of indirect IPv6 unicast routes: 1.25K number of IPv4 policy based routing aces: 0.25K number of IPv4/MAC qos aces: 0.5K number of IPv4/MAC security aces: 0.5K number of IPv6 policy based routing aces: 0.25K number of IPv6 qos aces: 0.5K number of IPv6 security aces: 0.5K Le 3 avril 2013 17:49, Yann Beulque beulque.y...@gmail.com a écrit : Bonjour, Je cherche des info sur les perf routing ipv4 et ipv6 d'un cisco 3560G avec une table de routage d'environs 200 route par switch. J'ai peur que le switch tombe avec quelques dizaines de paquet par seconde. Merci pour vos retour ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] multihome BGP avec annonces conditionnelles et statiques
Je n'ai pas suivi tout le thread donc peut être que la finalité m'échappe, mais pourquoi faire compliqué lorsqu'on peut faire simple avec du prepend ? rouer bgp monas network x.x.x.x ip prefix-list penalise seq 10 permit x.x.x.x/n route-map PROVIDER-OUT permit 10 match ip address prefix-list penalise set as-path prepend monas monas route-map PROVIDER-OUT deny 100 Naturellement le trafic viendra par l'as-path le plus court, si le fai1 disparait, l'as-path existe déjà sur le fai2 donc ça converge plus vite qu'une annonce conditionnelle. Sinon ton approche est intéressante techniquement, même si cela me parait loin des best practice. Cédric Le 29 mars 2013 14:29, jehan PRocaccia jehan.procac...@int-evry.fr a écrit : Bonjour, 3 semaines plus tard ... j'en enfin eu l'occasion de tester cette configuration, qui permet d'annoncer en mode nominal quelques prefixes à l'ISP secondaire et de manière conditionnelles tous mes prefixes au secondaire quand l'ISP primaire est tombé, le tout sans oublier de conserver l'annonce des qq prefixes annoncés au secondaire (en mode nominal) dans ce mode dégradé (ISP primaire down) en terme IOS cela donne: router bgp ASNUM neighbor x.x.x.x advertise-map QQ-PREFIX exist-map LOOPBACK-ALLWAYS-TRUE neighbor x.x.x.x advertise-map MY-PREFIXES non-exist-map 1ST-ISP-UP neighbor x.x.x.x route-map MY-PREFIXES out et cela marche :-) quelques remarques cependant, car cela n'a pas marché du premier coup La formulation Router(config)# route-map 1ST-ISP-UP-OR-2ND-ISP-UP permit 10 Router(config-route-map)# match ip address 1 2 ! là on a un OR entre ACL 1 et ACL 2. a échouée, ACL 1 vérifié la présence d'une route ISP 1 et ACL 2 ISP2, quand ISP1 etait Down, je n'ai plus annoncé a ISP2 QQ-PREFIX :-( j'ai donc adopté la solution avec une route-map toujours vraie: show route-map LOOPBACK-ALLWAYS-TRUE Match clauses: ip address (access-lists): 7 #show access-lists 7 Standard IP access list 7 10 permit x.x.x.x (93 matches) qui match l'adresse IP de mon interface loopback autre remarque, l'odre d'annonce des directives dans la config est importante ! 1. neighbor x.x.x.x advertise-map QQ-PREFIX exist-map LOOPBACK-ALLWAYS-TRUE 2. neighbor x.x.x.x advertise-map MY-PREFIXES non-exist-map 1ST-ISP-UP 3. neighbor x.x.x.x route-map MY-PREFIXES out l'inversion 2 et 1 a un autre comportement . Merci pour vos conseils. PS: je n'ai pas testé l'alternative suggérée sur la liste avec les prefix-list via cisco EEM , mais je garde ça sous le coude au cas ou ... Le 05/03/2013 10:02, orf fethi a écrit : Bonjour, Je vous propose aussi de changer dans neighbor x.x.x.x advertise-map QQ-PREFIX exist-map 1ST-ISP-UP le map 1ST-ISP-UP par un nouveau map 1ST-ISP-UP-OR-2ND-ISP-UP qui sera toujours VRAI. neighbor x.x.x.x advertise-map QQ-PREFIX exist-map 1ST-ISP-UP-OR-2ND-ISP-UP 2 Solutions: 1. Router(config)# route-map 1ST-ISP-UP-OR-2ND-ISP-UP permit 10 Router(config-route-map)# match ip address 1 2 ! là on a un OR entre ACL 1 et ACL 2. Par exemple ACL1 pointe vers une annonce de ISP1 et ACL2 vers une annonce d'ISP2. 2. Définir une condition toujours vrai qui sera toujours matchée pour pouvoir toujours annoncerQQ-PREFIX Cdt, Fethi *De :* jehan procaccia INT jehan.procac...@int-evry.fr *À :* Ccde Cissp ccdeci...@yahoo.fr; frnog-t...@frnog.org frnog-t...@frnog.org *Cc :* touremoha...@gmail.com touremoha...@gmail.com *Envoyé le :* Lundi 4 mars 2013 13h46 *Objet :* Re: [FRnOG] [TECH] multihome BGP avec annonces conditionnelles et statiques bonjour, la methode suivante fonctionne partiellement mieux: router bgp ASNUM neighbor x.x.x.x advertise-map QQ-PREFIX exist-map 1ST-ISP-UP neighbor x.x.x.x advertise-map MY-PREFIXES non-exist-map 1ST-ISP-UP neighbor x.x.x.x route-map MY-PREFIXES out en mode nominal (ISP primaire UP) j'annonce bien mes QQ-PREFIX à l'ISP secondaire en cas de perte de l'ISP primaire j'annonce bien dynamiquement tous mes prefixes MY-PREFIXES à l'ISP secondaire mais malheureusement je n'annonce plus les prefix QQ-PREFIX dans cette situation, en effet exist-map 1ST-ISP-UP n'est plus vrai, donc je suppose qu'il élimine les prefix QQ-PREFIX qui sont inclus dans MY-PREFIXES et n'annonce que le reste des MY-PREFIXES . Bref c'est mieux, mais ce n'est pas encore satisfaisant pour assurer le trafic engineering attendu , en effet quand l'ISP primaire est tombé, les QQ-PREFIX qui profitaient d'un trafic engineering via les 2eme ISP se retrouvent coupé du monde car ils ne sont plus annoncés au secondaire, alors même que ce dernier (ISP 2) n'a subit aucune perte ! J'ai bien entendu les differentes suggestions concernant l'AS-Prepend, j'avais commencé par ça, mais malheureusement ce n'est pas déterministe, il y aura toujours qq-part sur le chemin un ISP qui se foutra de la longueur de l'AS-PATH et favorisera son
Re: [FRnOG] [MISC] Liste de CIDR
Mon expérience sur les listes de ce type, qui sont assez massivement basées sur GeoIP : - les pays sont plutôt bon pour les FAI grand public (adsl, cable etc...), avec même une précision sur les villes, et quelques erreurs assez sporadiques - tout est relativement faux pour les plages d'IP d'hébergeurs, entreprises, et le reste, ils mettent souvent le lieu du siège social (objet organisation) et ne suivent pas toujours les bases des RIR, ni le nouveau champ geoloc de la base du RIPE. Donc si le but est d'utiliser ce genre de liste pour blacklister des accès internet de pays à problème, c'est plutôt efficace. Si c'est pour l'utiliser en whitelist de avec un deny général, c'est du suicide, trop d'erreurs, ou alors il faudra gérer massivement à la main des faux positifs. Cédric Le 28 mars 2013 21:55, Tony Chambon tony.cham...@univ-paris8.fr a écrit : Bonsoir, j'espère écrire sur la bonne liste. je cherche a savoir s'il y a d'autres sites qui maintienne des listes de plages d'adresse IP il y a des sites que vous conseiller pour avoir ce genre de résultats. https://www.countryipblocks.net/country_selection.php j'avais pour habitude de faire un drop de tout sauf la france. je me vois mal demander aux utilisateurs leur adresse IP sans arrêt j'ai du ouvrir pour l'allemagne et facebook. je me suis retrouvé avec un utilisateur en contact sur facebook mais le site répondait pas a cause du chemin. /var/log/apache2/access.log:69.171.224.113 - - [26/Mar/2013:22:06:07 +0100] GET /oc5/ HTTP/1.1 206 1494 - facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php) /var/log/apache2/access.log:69.171.224.112 - - [26/Mar/2013:22:06:09 +0100] GET /oc5/core/img/logo.png HTTP/1.1 206 6202 - facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php) /var/log/apache2/access.log:69.171.224.117 - - [26/Mar/2013:22:06:10 +0100] GET /oc5/core/img/logo.png HTTP/1.1 206 6202 - facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php) donc, j'ai ouvert le 80 sur le web, et bingo en moins de 24h. 1 tentative d'accès non autoriser depuis Taîwan. j'ai un fail2ban qui fait bien sont boulot mais j'aime pas trop ça que l'on fouille comme ça. je peux aussi faire des liste pour des drop. /usr/sbin/ipset -N taiwan nethash sh /home/celres/iptables/taiwan.sh /sbin/iptables -A INPUT -m set --match-set taiwan src -j DROP contenu de taiwan.sh #!/bin/bash ipset --add taiwan 1.34.0.0/15 ipset --add taiwan 1.160.0.0/12 ipset --add taiwan 1.200.0.0/16 ipset --add taiwan 27.51.0.0/16 (3573 lignes) ma question est simple peut on faire confiance aux listes CIDR ? http://pastebin.com/bN3yKJse du coup j'ai interdit taiwan et la chine. je n'ai pas accès aux différents switch sur le réseau. l'adresse IP est directement visible du net (NAT, PAT, autre acronyme je sais pas) ça me dérange pas du tout mais faut un iptables dérrière obligé au risque de ce faire attaquer a gogo en ssh. si vous avez un retour d'expérience et/ou autres solutions. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] multihome BGP avec annonces conditionnelles et statiques
Naturellement le trafic viendra par l'as-path le plus court, si le fai1 disparait, l'as-path existe déjà sur le fai2 donc ça converge plus vite qu'une annonce conditionnelle. ... sur le chemin le plus court a toute autre condition identique. Ce qui n'est pas forcement le cas dans tous les situations. N'oublions pas qu'en general un AS prefere en ordre (avec modification de weight ou localpref a la carte) : clients, peers, upstreams Pour des raisons specifiques, les tres grands preferent certaines peers aux autres (pareil, avec localpref en consequence). Dans des telles conditions tu peux faire prepend autant de fois que tu veux, ca n'aide pas. Tout à fait, je parlais du cas général. D'ailleurs même avec du prepend massif j'ai toujours vu un peu de trafic résiduel sur le transit de backup. Sinon ton approche est intéressante techniquement, même si cela me parait loin des best practice. Presente comme ca, c'est effectivement contre-nature, mais il peut y avoir d'autres applications: par exemple essayer de cacher a un certain peer potentiel la presence d'un de tes upstreams, tout en se gardant la possibilite d'utiliser l'upstream en question si les choses tournent vraiment mal (et meme dans ce cas-la, on est un peu contre-nature). Après réflexion, il y a peut être aussi un intérêt aux annonces conditionnelles sur du peering, la où pour sûr il y a un localpref en face, pour forcer tel peer à envoyer le trafic par tel point d'échange en gardant l'autre en backup. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Email du RIPE
Nous avons un bloc PI et nous n'avons jamais eu de relation avec le RIPE. le seul effet de ne pas se rattacher au RIPE ou un LIR est qu'il vous enleve de leur base. le problème que je vois ici c'est que ton prefix n'étant pas dans une base d'un RIR officiel, il finira par être - alloué à quelqu'un d'autre (peut être) - filtré chez les gros opérateurs qui utilisent les bases des RIR ou RADB (plus probable) troll Il faut se faire à l'évidence, le temps où le protocole de filtrage sur internet c'était SMTP est (presque) révolu. /troll De nombreux groupes se retrouvent dans ce cas, et il a été décidé de créer un RIR communautaire qui ne reconnait pas l'autorité de l'icann etc... Je suis tout à fait ouvert à l'idée d'avoir un RIR indépendant, la n'est pas la question, mais n'est-ce pas un risque important de se retrouver coupé du net comparé à payer quelques dizaines d'euros par an par ressource chez un LIR ou un RIR officiel ? Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] prix du marche du mega pour un acces internet
J'aimerai juste avoir une idee sur le prix du marche, je ne suis pas la recherche du super deal, j'aimerai juste avoir une idee de ce qu'on pourrait appeller une offre correcte a ce jour :-) Ça dépend complètement du commit. Tu peux regarder ce petit fournisseur hollandais, qui affiche ses prix : http://jointtransit.nl/prices.html Attention!! le but n'est pas de faire de la pub pour eux et de troller, je colle juste le lien parce-qu’il affiche ses prix et que je trouve que ce tableau est relativement proche de la réalité du marché. Regarde bien tes contrats aussi, souvent c'est du renouvellement tacite pour 1 an si tu n'a pas résilié N mois avant, mais rien n’empêche de renégocier en cours. Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] SFR sur AMS-IX
J'ai l'impression que l'AS15557 (SFR) a des problèmes sur l'AMS-IX. Vous voyez quelque chose de votre côté ? Idem pour nous à l'AMS-IX, le technicien serait-il coincé dans les grèves de transport pour se rendre aux Pays-Bas ? 195.69.145.171 4 15557 318625 295433000 06:29:38 Active Cédric --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: Datacenter au Luxembourg
Je cherche de l'espace en datacenter au Luxembourg, environ 10 racks ou 40kVA au total. Après quelques recherches sur google je suis tombé sur datacenter.eu, et sur bce.lu, qu'en pensez-vous ? il y en a d'autres ? au niveau connectivité (transit ip bgp et wave vers paris/ams) c'est bien desservi ? Merci à tous pour vos nombreuses réponses on-list et off-list. Cédric Tabary
[FRnOG] Datacenter au Luxembourg
Bonjour, Je cherche de l'espace en datacenter au Luxembourg, environ 10 racks ou 40kVA au total. Après quelques recherches sur google je suis tombé sur datacenter.eu, et sur bce.lu, qu'en pensez-vous ? il y en a d'autres ? au niveau connectivité (transit ip bgp et wave vers paris/ams) c'est bien desservi ? Cordialement Cédric Tabary