Re: [FRnOG] firewall transparent carrier-class
Dans l'ordre chronologique des tests : - la vieillissante FWSM de Cisco (qui ne fonctionne bien qu'en transparent d'ailleurs :) ) - l'ASA et la bientot ASA-SM - gamme SRX de chez Juniper si tu n'as pas besoin de virtualisation - Fortinet Fortigate Les 4 testés, chacun a ses avantages et ses inconvenients. - La FWSM est assez compliqué à gérer en terme de nombre de règles / objets, mais pour une centaine de règle de filtrage bien faite, ça marche encore très bien (ne lui demande pas de filtrer du multicast, de l'IPv6 ou des trucs exotiques genre tunnels GTP) - L'ASA est pas mal en mode transparent, mais niveau connectique c'est bof (max 20G, à MTU 9000). C'est un firewall CPU, donc performance directement liées au nb de règles, et à l'optimisation des règles. - Gamme SRX en mode transparent, ça passe, mais faut pas leur demander de faire plus que du filtrage bete et méchant, mais au moins c'est du hardware (carte FPGA + CPU pour le controlplane). - Fortigate on est pas mauvais du tout (tests faits sur F3040 et F3950) avec des perfs vraiment correcte (on taquine le line rate) sachant que chaque carte insérée rajoute de la perf, MAIS il faut bien prendre la bonne carte pour la bonne utilisation : tu as des cartes accélératrices Multicast/IPv6/IPS etc... La carte de base te permet de faire du line-rate sur du paquet 64b UDP. Le 16 mai 2011 19:27, sfout...@gmail.com a écrit : > Fortigate fait ca. > Il faut voir ton profil de traffic ainsi que les besoins en ids/layer7 pour > choisir le modele > > Dispo pour en parler off-list > > Sebastien FOUTREL > Sent from Iphone > > Le 16 mai 2011 à 18:54, William Gacquer a > écrit : > > > Bonjour, > > > > je cherche un pare-feu matériel totalement transparent que ce soit en > IPv4 ou IPv6, capable de traiter au moins 5bgps et surtout carrrier-class. > > Je ne veux pas du tout de routage dessus, pas de NAT, rien de tout ces > trucs qui n'ont rien à faire sur un pare-feu destiné à protéger une > plateforme de services utilisant des IP publiques. > > > > Le support de 802.1Q est nécessaire. > > > > L'ASA de Cisco peut-être configuré ainsi. Vous en connaissez d'autres? > > > > William Gacquer > > France Citévision--- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > -- Cordialement, Guillaume BARROT
Re: [FRnOG] firewall transparent carrier-class
Fortigate fait ca. Il faut voir ton profil de traffic ainsi que les besoins en ids/layer7 pour choisir le modele Dispo pour en parler off-list Sebastien FOUTREL Sent from Iphone Le 16 mai 2011 à 18:54, William Gacquer a écrit : > Bonjour, > > je cherche un pare-feu matériel totalement transparent que ce soit en IPv4 ou > IPv6, capable de traiter au moins 5bgps et surtout carrrier-class. > Je ne veux pas du tout de routage dessus, pas de NAT, rien de tout ces trucs > qui n'ont rien à faire sur un pare-feu destiné à protéger une plateforme de > services utilisant des IP publiques. > > Le support de 802.1Q est nécessaire. > > L'ASA de Cisco peut-être configuré ainsi. Vous en connaissez d'autres? > > William Gacquer > France Citévision--- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] firewall transparent carrier-class
Bonjour, je cherche un pare-feu matériel totalement transparent que ce soit en IPv4 ou IPv6, capable de traiter au moins 5bgps et surtout carrrier-class. Je ne veux pas du tout de routage dessus, pas de NAT, rien de tout ces trucs qui n'ont rien à faire sur un pare-feu destiné à protéger une plateforme de services utilisant des IP publiques. Le support de 802.1Q est nécessaire. L'ASA de Cisco peut-être configuré ainsi. Vous en connaissez d'autres? William Gacquer France Citévision--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [SM] [OT] Un fouet pour opérateurs réseau
http://www.etsy.com/listing/69871300/handcrafted-fire-colored-cat-5-cable [Photo] Yes, you are looking at a flogger crafted from cat-5 wiring. (Internet cable, in other words.) It sports a D-ring for easy hanging. This will satisfy your inner - or outer! - geek for sure. :) Each tip is firmly wired in place and secured with bonding glue. Packs quite a sting, and will leave such distinct marks! This baby is bound to make your sub /beg. This Cat-5 Flogger boasts the colors of fire; red, yellow, orange. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Liaison entre 2 DC : 1 seul ou 2 fournisseurs ?
Bonjour Renaud, Effectivement, j'ai envisagé le problème intra-DC et j'ai un fournisseur qui peut à priori me relier depuis 2 positions totalement distinctes. Dans tous les cas, il restera malheureusement comme SPOF l'arrivée dans notre suite pour laquelle le DC ne veut/peut pas me proposer 2 chemins différents. Merci en tout cas pour cet avis. ++ François Le 13/05/11 19:15, Renaud RAKOTOMALALA a écrit : Bonjour François, Pour notre boucle optique nousa vons fait le choix d'un seul fournisseur qui garantie (contractuellement) des chemins distincts. Reste ensuite le piège dans les DC de terminaison que tes fibres passent au même endroit et donc un SPOF à ce niveau. On a pu obtenir pour 2 DC sur 3 un desserte locale par ODF et chemins distincts. Pas forcement facile à obtenir mais après sa se paie. Perso la dernière coupure de fibre (enfin l'avant dernière) qui a touché notre fournisseur de FON pendant 24h, et bien pour nous ca été transparent. Bon des WDM ca aide mais faut quand même deux chemins :) Renaud Le 13/05/2011 18:38, François JOMIER a écrit : Bonjour la liste, Je rebondis un peu sur l'actualité d'hier... Je suis en train de voir pour prendre 2 liaisons de fibre noire entre 2 datacenters parisiens. Du coup, je me demande sérieusement ce qu'il vaut mieux : 1) prendre deux fournisseurs en se basant sur les tracés qu'ils me communiquent, et en vérifiant moi-même, dans la mesure du possible, que les 2 chemins sont bien distincts 2) prendre un seul fournisseur qui s'engagera à me fournir 2 chemins distincts de bout en bout Je pensais partir au départ sur la première solution. Mais après l'incident d'hier sur Velizy, on voit bien que 2 fournisseurs n'apportent pas forcément plus de sécurité. Finalement, je me demande si je ne bénéficierais pas d'une garantie plus importante avec l'option 2) : le fournisseur sera forcément en tort en cas d'indisponibilité simultanées des 2 liens, et devrait donc normalement faire le maximum pour que cela n'arrive pas, non ? Merci d'avance pour vos conseils avisés. ++ François --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Liaison entre 2 DC : 1 seul ou 2 fournisseurs ?
On Mon, 16 May 2011 12:05:59 +0200, "Alexandre GARNIER" said: > Rien n'empêche de mettre de la QOS sur le lien de secours. Il faut juste > étudier le risque en faisant le ratio budget/perte envisageable. > > Question bête, existe-t-il des providers qui vendent des liens de backup > à des prix inferieurs à des liens nominaux? > Ces liens ne devant être utilisés uniquement sur coupure du nominal. Oui. Ca ne doit pas etre le regle, ca peut aussi dependre de la qualite de la relation que vous avez avec l'operateur, mais oui, ca existe. Ca peut aussi dependre du type de lien (improbable d'avoir une fibre se secours sur laquelle vous passez plusieurs lambda, mais beaucoup plus probale d'avoir un backup sur du MPLS). -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Liaison entre 2 DC : 1 seul ou 2 fournisseurs ?
Alexandre GARNIER a écrit : Rien n'empêche de mettre de la QOS sur le lien de secours. Il faut juste étudier le risque en faisant le ratio budget/perte envisageable. Question bête, existe-t-il des providers qui vendent des liens de backup à des prix inferieurs à des liens nominaux? Ces liens ne devant être utilisés uniquement sur coupure du nominal. Bonjour, Question subsidiaire : est-ce que les liens de backup pour un trafic de priorité donnée (et non en activité pour ce trafic) peuvent être occupé par du trafic de priorité inférieure ? Ce mécanisme de préemption peut avoir un impact sur le coût. Cordialement, Michel Hostettler --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Liaison entre 2 DC : 1 seul ou 2 fournisseurs ?
Rien n'empêche de mettre de la QOS sur le lien de secours. Il faut juste étudier le risque en faisant le ratio budget/perte envisageable. Question bête, existe-t-il des providers qui vendent des liens de backup à des prix inferieurs à des liens nominaux? Ces liens ne devant être utilisés uniquement sur coupure du nominal. -Message d'origine- De : r...@ftml.net [mailto:owner-fr...@frnog.org] De la part de Radu-Adrian Feurdean Envoyé : lundi 16 mai 2011 11:57 À : Michel Py; Pascal Rullier; Liste FRnoG Objet : RE: [FRnOG] Liaison entre 2 DC : 1 seul ou 2 fournisseurs ? On Sun, 15 May 2011 13:08:47 -0700, "Michel Py" said: > Je ne suis pas convaincu; a moins que tes besoins en bande passante > soient proche de 100M, le lien va être tellement saturé que dans les > faits c'est pas mieux que 0, et en fait ça peut même être pire, un lien Par rapport a une fibre coupee, le 100M ca permet deja de se connecter aux equipements, ce qui est tres pratique dans un certain nombre de situations. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Liaison entre 2 DC : 1 seul ou 2 fournisseurs ?
On Sun, 15 May 2011 13:08:47 -0700, "Michel Py" said: > Je ne suis pas convaincu; a moins que tes besoins en bande passante > soient proche de 100M, le lien va être tellement saturé que dans les > faits c'est pas mieux que 0, et en fait ça peut même être pire, un lien Par rapport a une fibre coupee, le 100M ca permet deja de se connecter aux equipements, ce qui est tres pratique dans un certain nombre de situations. -- Radu-Adrian Feurdean raf (a) ftml ! net --- Liste de diffusion du FRnOG http://www.frnog.org/