Re: [FRnOG] localisation des adresses IP
Le Tue, Jul 28, 2009 at 05:10:48PM +, yao marius hemann kanga [hermannka...@yahoo.fr] a écrit: je ne comprends pas ? sur quels critères ses outils se basent? est ce que ses outils sont fiables? en connaissez vous de fiables? Ils se basent sur des données dont la production est non transparente (forcément, c'est le métier de la boite qui les vend). Pour une part, ils doivent dégrossir en utilisant le contenu des bases des RIR (RIPE, APNIC, ARIN, ...), et un subtil mélange de trucs spécifiques. Une très connue et très utilisée, notamment parcequ'il en existe un extrait gratuit, c'est GeoIP de Maxmind. -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Vlans traversants
Bonjour à tout le monde sur la liste. Hier en regardant le design de notre archi de firewalling interne je me suis demandé pourquoi on en été arrivé à une telle complexité : pas moins de 8 sessions bgps croisés entre les deux firewalls en cluster... bref. Je me rappelle que le départ de ce design complexe était du au fait que nous voulions pas de vlans 'traversants' entre nos différents sites et sur nos interlans. Les différents ingé réseaux que j'ai connus m'ont toujours affirmé que faire des vlans propagés sur plusieurs sites physiques c'était pas bien. Je peux concevoir qu'il vaut mieux avoir des coupures propres niveau layer3 plutôt qu'avoir un layer 2 coupé en deux, mais a quel prix niveau compléxité qui en découle ? Je penses aussi qu'il vaut mieux avoir des gateway sur le même site pour éviter des aller-retours inutiles sur l'interlan. J'aimerai avoir votre avis et des arguments sur cette affirmation car je trouve ca quand même assez pratique du point de vue de l'administrateur système que je suis. Cdt, -- raf --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] localisation des adresses IP
Le Wed, Jul 29, 2009 at 10:02:07AM +0200, Dominique Rousseau racontait : Une très connue et très utilisée, notamment parcequ'il en existe un extrait gratuit, c'est GeoIP de Maxmind. Je viens de déménager de 350km tout en gardant la même IP, je vais de ce pas vérifier si la base GeoIP est à jour :) -- L'homme descend du singe. George Bush n'a pas encore trouvé l'échelle. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Vlans traversants
Le 29 juil. 09 à 11:03, Raphael Mazelier a écrit : Bonjour à tout le monde sur la liste. Hier en regardant le design de notre archi de firewalling interne je me suis demandé pourquoi on en été arrivé à une telle complexité : pas moins de 8 sessions bgps croisés entre les deux firewalls en cluster... bref. Je me rappelle que le départ de ce design complexe était du au fait que nous voulions pas de vlans 'traversants' entre nos différents sites et sur nos interlans. Les différents ingé réseaux que j'ai connus m'ont toujours affirmé que faire des vlans propagés sur plusieurs sites physiques c'était pas bien. Le soucis souvent des inge, c'est qu'ils n'ont souvent pas de notion de prix et de passation d'information en cas de changement de personnel. C'est bien de se faire plaisir parfois, de mon cote je suis plutot partisan du keep it simple. Chez Neo, nous avons fonctionne tres longtemps en spanning-tree sur Cisco 6500 sans soucis. Ensuite quand on a commence a avoir beaucoup de debit, le load- balancing, backup etc etc, nous avons tout passe en L3. Je peux concevoir qu'il vaut mieux avoir des coupures propres niveau layer3 plutôt qu'avoir un layer 2 coupé en deux, mais a quel prix niveau compléxité qui en découle ? Je penses aussi qu'il vaut mieux avoir des gateway sur le même site pour éviter des aller- retours inutiles sur l'interlan. Je ne vois pas les blocages d'avoir des vlans pour chaque interco / 31 ou /30 entre les equipements. Si le spanning-tree est correctement configure, je ne vois pas pourquoi monter une usine a gaz alors que l'on pourrait faire super simple. J'aimerai avoir votre avis et des arguments sur cette affirmation car je trouve ca quand même assez pratique du point de vue de l'administrateur système que je suis. Cdt, -- raf --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Raphaël Maunier NEO TELECOMS Engineering Manager --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Comment mon switch a exploser
Bonjour, Certain d'entre vous l'ont peut etre remarque, Interoute a eu un incident sur son backbone Parisien vers midi hier. Au meme moment, un de mes switch qui acceuille une Interlan (Service FastEthernet) a commence a souffrir le martyr et dropper des paquets (80% de perte de paquets) Le probleme est que le drop des paquetes ne concernais pas uniquement le traffic venant ou a destinantion de ce port en particulier mais sur tout le traffic qui traverse ce switch (Meme le reboot de l'equipement n'as pas eu d'effet, il ne s'est calme que quand on a vire le cable de l'Interlan) J'essaye donc de glaner quelques infos sur la nature exacte de l'incident Interoute qui pourrais expliquer pourquoi mon switch est parti en live et surtout comment me premenir contre ce genre de situation a l'avenir. Le switch en lui meme peut etre en cause (bug ou mauvaise implementation d'une fonction, ce qui ne m'etonne pas, vu qu'il s'agit apres tout d'un PowerConnect de chez Dell) Si vous avez eu des cas similaires je suis aussi preneur de vos retour d'experience. Youssef Ghorbal --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Comment mon switch a exploser
pourquoi mon switch est parti en live et surtout comment me premenir contre ce genre de situation a l'avenir. Le switch en lui meme peut etre en cause (bug ou mauvaise implementation d'une fonction, ce qui ne m'etonne pas, vu qu'il s'agit apres tout d'un PowerConnect de chez Dell) Sans infos specifiques, dur a dire. Tu devais surement recevoir des frames corrompues sur le port. Cela peux causer le switch a enregister plus de MAC sur ce port que le switch supporte. Google MAC filtering :) ... Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : Re: [FRnOG] Comment mon switch a exploser
Re : [FRnOG] Vlans traversants
Re: Re : Re: [FRnOG] Comment mon switch a exploser
Bonjour, En effet, c'est visiblement une tempete de broadcast ethernet qu'on s'est pris. D'apres les graphes, au moment du probleme le nombre de paquet sur les ports explose. Sur Cisco y'a t'il des commandes pour limiter le broadcast ethetnet par interface ou par VLAN. Un rate-limiting pour les paquets ff:ff:ff:ff:ff:ff en quelque sorte. Youssef Ghorbal --- 2009/7/29 marc celier marc.cel...@gmx.fr: normalement quand une trame est corrompue et que le CRC est faux, cette trame est purement est simplement supprimee. Je pense qu'il s'agit de broadcasts, qui ont ete recus sur le port interoute est retransmis aux autres ports du meme vlan. as tu des VLAN configures sur ton switch, ou bien tous les ports sont sur le meme VLAN. compare les courbes de trafic des ports appartenants aux meme VLAN que celui ou est configure le port interoute. Durant ce probleme, nous avons recu jusqu'a 800 mbits de trafic venant de interoute au lieu de 300 mbits habituellement. - Message d'origine - De : Thomas Mangin Envoyés : 29.07.09 11:43 À : Youssef Ghorbal Objet : Re: [FRnOG] Comment mon switch a exploser pourquoi mon switch est parti en live et surtout comment me premenir contre ce genre de situation a l'avenir. Le switch en lui meme peut etre en cause (bug ou mauvaise implementation d'une fonction, ce qui ne m'etonne pas, vu qu'il s'agit apres tout d'un PowerConnect de chez Dell) Sans infos specifiques, dur a dire. Tu devais surement recevoir des frames corrompues sur le port. Cela peux causer le switch a enregister plus de MAC sur ce port que le switch supporte. Google MAC filtering :) ... Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : Re: [FRnOG] Comment mon switch a exploser
Salut, normalement quand une trame est corrompue et que le CRC est faux, cette trame est purement est simplement supprimee. Yep, j aurais du parler de Mac leak as tu des VLAN configures sur ton switch, ou bien tous les ports sont sur le meme VLAN. compare les courbes de trafic des ports appartenants aux meme VLAN que celui ou est configure le port interoute. Generalement quand ca arrive SNMP polling ne marche plus. Y a t il tjs des switchs qui passe en hub mode durant un storm ? Thomas Ps: ecrire francais sur in iPhone anglais c est la galere --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Vlans traversants
Bonjour, Il n'y a pas de solution miracle, par moment le niveau 2 répond au besoin et par moment il faut du niveau 3. Ce n'est pas une question de complexité mais plutôt de guerre de cloché (stérile) entre les pro du L3 et ceux du L2. Dicton du jour : Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers !!! Fabien --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Administration de pare-feu Cisco ASA 5520
Salut à tous, nous sommes en train de terminer le déploiement de deux pare-feu Cisco ASA 5520. Notre architecture étant redondante, ils doivent avoir tous les deux les même règles de filtrage afin que la reprise en cas de panne se passe bien. Nous utilisions auparavant des OpenBSD avec pf. Avec un petit make et quelques commandes (SCP, pfctl), nous pouvions facilement répliquer la configuration. Nous cherchons le moyen d'avoir un fonctionnement similaire avec les Cisco. Par exemple, un fichier texte de ce type : adresse ip group qui nous permette, en une commande, de construire les groupes (auxquels nous appliquons les ACL) et de les pousser sur les deux pare-feu. Avant que l'on commence à scripter, connaissez vous une solution de ce type ? Comment faites vous pour bien gérer vos ASA ? Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Administration de pare-feu Cisco ASA 5520
Bonjour, Je me trompe peut être mais Firewall Builder en gui ? Le 29 juillet 2009 15:36, Romain LE DISEZ romain.fr...@ledisez.net a écrit : Salut à tous, nous sommes en train de terminer le déploiement de deux pare-feu Cisco ASA 5520. Notre architecture étant redondante, ils doivent avoir tous les deux les même règles de filtrage afin que la reprise en cas de panne se passe bien. Nous utilisions auparavant des OpenBSD avec pf. Avec un petit make et quelques commandes (SCP, pfctl), nous pouvions facilement répliquer la configuration. Nous cherchons le moyen d'avoir un fonctionnement similaire avec les Cisco. Par exemple, un fichier texte de ce type : adresse ip group qui nous permette, en une commande, de construire les groupes (auxquels nous appliquons les ACL) et de les pousser sur les deux pare-feu. Avant que l'on commence à scripter, connaissez vous une solution de ce type ? Comment faites vous pour bien gérer vos ASA ? Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Administration de pare-feu Cisco ASA 5520
Le 29/7/2009, Simon Morvan gar...@zone84.net a écrit: Par ailleurs, ASA ne gère pas de lui même le fait que le slave soit iso au master ? PIX le faisait pourtant. Les firewalls Juniper SSG ont nativement un mode cluster. Ca serait quand meme pas de veine que les ASA ne le fasse pas... gu!llaume --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Administration de pare-feu Cisco ASA 5520
On Wed, 29 Jul 2009 17:50:40 +0200, Raphael Mazelier r...@futomaki.net said: Petite question ? pourquoi vouloir se faire du mal avec des cisco ASA qui sont vraiment relou à configurer alors que vous aviez une solution qui marchait avant ? pas assez cher ? Nous utilisions auparavant des OpenBSD avec pf. Avec un petit make et Because OpenBSD c'est pas corporate, et certains big chiefs n'aiment pas les trucs qui sortent des normes corporate. Il y a aussi le fait de pouvoir dire on a utilise le meilleur (dpdv marketing) qui existe quand/si les choses tournent mal. Parfois il faut faire des choses debiles pour des raisons encore plus debiles. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Administration de pare-feu Cisco ASA 5520
Bonjour, Je confirme les ASA 5510, 5520, 5550 et 5580 peuvent s'administrer via une interface graphique ASDM (beaucoup moins ergonomique et moins pratique que Fwbuilder car par exemple pas possible de regrouper des règles ... ce n'est qu'un exemple parmi beaucoup d'autres) et peuvent aussi bien évidement se gérer en cluster actif/passif et suivant les modèles actif/actif avec même des contextes différents. C'est assez facile à prendre en main, et assez fiable en cas de bascule (les boitiers se partagent les sessions donc en cas de bascule c'est transparent (normalement) ) Thierry Le 29/07/2009 17:39, gu!llaume a écrit : Le 29/7/2009, Simon Morvangar...@zone84.net a écrit: Par ailleurs, ASA ne gère pas de lui même le fait que le slave soit iso au master ? PIX le faisait pourtant. Les firewalls Juniper SSG ont nativement un mode cluster. Ca serait quand meme pas de veine que les ASA ne le fasse pas... gu!llaume --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Administration de pare-feu Cisco ASA 5520
Hello, Je confirme que c'est automatique à partir du moment où tes ASA sont bien configurés. Eventuellement un write standby force la synchronisation. Pour la doc, ca devrait etre ici pour du Actif/Stdby: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00807dac5f.shtml et ici pour de l'actif/actif: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a0080834058.shtml En ce qui concerne le suivi de session, je n'ai jamais eu de problème, que ce soit en cas de crash d'un des 2 FW ou pendant un upgrade de l'OS, aucune coupure de session (testé sur Pix6.3.5, ASA7.0 et ASA7.2)... Hugues. Romain LE DISEZ a écrit : Salut à tous, nous sommes en train de terminer le déploiement de deux pare-feu Cisco ASA 5520. Notre architecture étant redondante, ils doivent avoir tous les deux les même règles de filtrage afin que la reprise en cas de panne se passe bien. Nous utilisions auparavant des OpenBSD avec pf. Avec un petit make et quelques commandes (SCP, pfctl), nous pouvions facilement répliquer la configuration. Nous cherchons le moyen d'avoir un fonctionnement similaire avec les Cisco. Par exemple, un fichier texte de ce type : adresse ip group qui nous permette, en une commande, de construire les groupes (auxquels nous appliquons les ACL) et de les pousser sur les deux pare-feu. Avant que l'on commence à scripter, connaissez vous une solution de ce type ? Comment faites vous pour bien gérer vos ASA ? Merci. smime.p7s Description: S/MIME Cryptographic Signature
Re: Re : Re: [FRnOG] Comment mon switch a exploser
Le 29 juil. 09 à 15:00, Youssef Ghorbal a écrit : Bonjour, En effet, c'est visiblement une tempete de broadcast ethernet qu'on s'est pris. D'apres les graphes, au moment du probleme le nombre de paquet sur les ports explose. Sur Cisco y'a t'il des commandes pour limiter le broadcast ethetnet par interface ou par VLAN. Un rate-limiting pour les paquets ff:ff:ff:ff:ff:ff en quelque sorte. Il y a le storm control qui permet de faire ca : http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_50_se/configuration/guide/swtrafc.html#wp1063295 Ca fonctionne très bien :)--- Liste de diffusion du FRnOG http://www.frnog.org/