Re: [FRnOG] [TECH] Conseil switches
Merci à tous pour les réponses hors et sur la liste. A+ On 04/01/2015 15:19, Simon Morvan wrote: Hello à tous, Je vais devoir remplacer une paire de switchs HP 2510G-24 qui composent un coeur de tout petit réseau. Les deux switchs sont reliés par 2x1G et pour la redondance les machines sont raccordées sur le pair ou l'impair en fonction de leur propre parité. Un cluster de deux firewalls à une patte s'occupe de gérer le routage et les ACLs entre les VLANs portés par ces deux switchs. C'est du HP, ça devait finir par arriver, l'un deux à des comportements suspects : trois ports shutdown simultanément, sans raison (un 1er janvier, oui). Bon, c'est en prod depuis ~5-6 ans, c'est peut être logique aussi ? Je commence à regarder par quoi remplacer ces équipements. Je pensais passer sur du cisco, genre de simple 2960 qui feront fort bien l'affaire, mais est-ce vraiment un gage de meilleure durabilité ? Qu'est-ce qu'on peut trouver d'aussi bien dans le même genres chez les autres références (Brocade ? Juniper ?). Pour l'architecture en elle-même, un point me tente (et me chiffonne aussi) : passer sur du stacking, au lieu du double lien ethernet entre les deux switchs. Évidemment, c'est plus agréable et peut etre un poil plus performant (pour mon usage), mais est-ce que la stack ne va pas devenir rapidement un SPOF en elle même ? Si quelqu'un à une suggestion, ou a déjà défriché cette question, je serais fort intéressé ! Merci d'avance et bonne année à tous. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution la plus efficace pour servir plusieurs clients fibre dans un batiment
Merci pour tous ces retours et cette discussion. Il semble qu'un consensus apparaisse autour de la fourniture d'un routeur par client, relié au POP soit directement soit par l'intermédiaire d'un switch. ça tient même sur une fibre, accessoirement, pour 4 liaisons (on a jamais assez de fibre backbone :) Je suis d'accord, surtout dans une optique de réduction des coûts au niveau GC-BLO :o Denis --- Liste de diffusion du FRnOG http://www.frnog.org/
SFP programmables (Was: [FRnOG] [TECH] Solution la plus efficace pour servir plusieurs clients fibre dans un batiment)
Je voulais juste faire remarquer qu’en CWDM, il fallait gérer un parc de SFP/XFP colorés, et les spares qui vont avec. Sauf si des SFP/XFP programmables existent, fiables et peu onéreux (car l’avantage du CWDM passif est d’être peu onéreux, donc un SFP à 1000€ casserait un peu le modèle), ce qui simplifie un peu le sparing, mais complexifie le remplacement d’une optique. Est-ce que des gens ont des retours sur la FlexBox de FlexOptix[1] ? Denis [1] http://www.flexoptix.net/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
Bonjour, Le 16 janv. 2015 à 22:02, Pierre Jaury pie...@jaury.eu a écrit : On 01/16/15 21:11, Emmanuel Thierry wrote: Justement si on veut de la sécurité on ne fait *pas* de NFC, parce que : * Pas ou peu de crypto, parce qu'il faut l'alimenter le bouzin, et avec le peu de puissance qu'on peut lui passer par les ondes ça va être compliqué de faire de la grosse crypto * Une attaque MITM est inévitable. Avec un peu de matos je passe à côté de toi dans le bus, et plouf, je transfère ton authentification par 3G à 200km de là. Pour l'instant ça ne vaut pas le coup pour les 20€ du paiement sans contact, mais le principe est tout à fait possible. * Pas de confirmation par l'utilisateur (et là aussi pour le paiement sans contact c'est inadmissible) Donc si on veut une CNI sûre, il faut qu'elle soit en carte à puce et qu'elle demande un PIN à l'utilisateur. A moitié d'accord. NFC dans sa spec actuelle ne verra peut-être pas 2020, mais on fait de l'ECC-320 sans difficulté, pareil pour RSA ; c'est suffisant pour les prochaines années et la puissance transmise n'est virtuellement pas limitée pour de futures technos. Le media importe donc peu de ce côté. Y compris pour un périphérique passif ? Je ne mets pas en cause la spécification en elle-même, je ne doute pas qu'elle prévoit des évolutions crypto. Je veux bien qu'un téléphone soit capable de faire des opérations de crypto complexes (lorsqu'il est utilisé en périphérique NFC) mais est-ce qu'un périphérique passif alimenté par les ondes de son pair est capable de faire les mêmes opérations de crypto ? Par contre, il faut (que ce soit pour le paiement ou quelque device sans contact que ce soit) une validation physique, sur le device et non sur le terminal. Ca travaille déjà sérieusement à du NFC sur ISO7810 avec écran embarqué et bouton de confirmation de la transaction et je ne vois pas de limite physique à porter ça sous forme de pin ou autre authentification. Toujours sans alimentation autonome ? ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
RE : [FRnOG] [MISC] Message ANSSI
Je partage cette analyse (alimentation ? périphérique passif qui perturbe un champs ce qui permet sa detection). Dans le même ordre d'idée, dans nos villes : smartcities (c'est à la mode) : http://pro.01net.com/editorial/567581/sigfox-deploie-un-reseau-radio-bas-debit-pour-le-machine-to-machine/ l'article date mais idée qui avance et services existent : s'appuyer sur des objets peu intelligents, ne nécessitant pas de réseaux complexes (l'opposé de l'approche Linky pour les compteurs énergie). En revanche, big data assuré ! Par exemple enfouir dans les places de parking aérien des objets qui vont communiquer 10 ans. Indiquent si une masse métallique est au dessus ou si place libre. Réactualisation par passage très peu fréquents d'un détecteur qui repère ce qui est actif, remplacement des défectueux. Irréaliste ? on fait bien des circuits google streetview ! même qu'au passage ils repéraient les box wifi (arrêté parait il). ... virtuellement pas limitée pour de futures technos. Le media importe donc peu de ce côté. Y compris pour un périphérique passif ? Je ne mets pas en cause la spécification en elle-même, je ne doute pas qu'elle prévoit des évolutions crypto. Je veux bien qu'un téléphone soit capable de faire des opérations de crypto complexes (lorsqu'il est utilisé en périphérique NFC) mais est-ce qu'un périphérique passif alimenté par les ondes de son pair est capable de faire les mêmes opérations de crypto ? Par contre, il faut (que ce soit pour le paiement ou quelque device sans contact que ce soit) une validation physique, sur le device et non sur le terminal. Ca travaille déjà sérieusement à du NFC sur ISO7810 avec écran embarqué et bouton de confirmation de la transaction et je ne vois pas de limite physique à porter ça sous forme de pin ou autre authentification. Toujours sans alimentation autonome ? ;) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] [TECH] VRRP
Je me permet de reprendre le sujet car j'ai exactement le même problème. La solution que je pense implémenter est la suivante : 2 sites (pour la redondance, distants de 3ms) avec chacun leurs routeurs et leurs session BGP vers nos transits chaque site a ses propres subnets (v4/v6) routage OSPF entre les deux sites un 3ème subnet partagé entre les deux sites qui contient les IP virtuelles des loadbalancers (les load balancers sont présents sur les deux sites) annoncer dans les DNS les IP des loalbalancer uniquement mettre une priorité de routage pour le 3ème subnet partagé En temps normal, seul un des sites reçoit les connexions entrantes mais les load balancers peuvent envoyer les requêtes à n'importe quel des deux sites En temps de panne sur l'un des deux sites, le trafic reste sur le site actif En cas de coupure du lien entre les deux sites...les problèmes commencent. Difficile d'avoir un autre chemin physique, donc on serait obligé de passer soit par un tunnel IPSEC sur le net soit par un lien wireless... Qu'en pensez-vous ? Quels sont les problèmes que cela peut amener ? Merci Philippe From: frnog-requ...@frnog.org frnog-requ...@frnog.org on behalf of David Ponzone david.ponz...@gmail.com Sent: Friday, January 16, 2015 15:31 To: ay pierre Cc: Xavier Beaudouin; frnog-m...@frnog.org Subject: Re: [FRnOG] [MISC] [TECH] VRRP Déjà, c’est quoi l’objectif de l’infra ? Pour du sortant ou de l’entrant ? Si sortant: 2000 serveurs ? 10 ? 1 ? Sous windows ? Linux ? Avec Hyperviseur ou pas ? Pour quelle raison tu cherches à éclater tout ça sur 2 sites (s’il y a une autre raison que la redondance) ? Le 16 janv. 2015 à 15:27, ay pierre aypierr...@gmail.com a écrit : j'ai du coup l'impression d'avoir lancé un méga débat :) et moi je me sens un peut perdu :) je sais toujours pas comment je vais mettre mon infra en place :D Cordialement Le 16 janvier 2015 15:23, Xavier Beaudouin k...@oav.net a écrit : Hello David, Sans compter que si tu veux que ca soit redondant il faut prévoir un 3eme lien qui ne sera jamais utilisé a cause du Spanning Tree... (et/ou les routage asymétriques vu que le routeurs font du hot potato, qui risquent en même temps de jouer au con avec les firewalls..) Bref, il faut mieux sur 2 sites utiliser du routage avec des MED (par ex sur BGP) que du L2 avec VRRP. Tu veux dire aller mettre du BGP côté serveur ? Je le fais et l'as deja fait... pour faire de l'unicast. Il y avait déjà eu un débat à ce sujet il y a quelques temps. C’est pas très universel quand même ? Bof :) Si le serveur est sous Windows, sans hyperviseur en dessous, on fait comment ? Python existe sur Windows et Exabgp aussi... Donc... Mais bon c'est vrai que le monde Windows n'est pas encore très orienté réseau... :) Après rien n'empêche de faire des horreurs type : L2VPN over MPLS :) Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ [EDSI-Tech Sarl]http://www.edsi-tech.com Philippe Bonvin, Directeur EDSI-Tech Sàrlhttp://www.edsi-tech.com EPFL Innovation Park, Batiment C, 1015 Lausanne, Suisse | Téléphone: +41 (0) 21 566 14 15 Savoie Technolac, 17 Avenue du Lac Léman, 73375 Le Bourget-du-Lac, France | Téléphone: +33 (0)4 86 15 44 78 --- Liste de diffusion du FRnOG http://www.frnog.org/