Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Salut Laurent :) Le 08/04/2015 01:34, Laurent GUERBY a écrit : Vu le sujet cela me semble approprié : https://nos-oignons.net/Actualit%C3%A9s/20150205_500_mbits_de_plus_pour_le_reseau_tor/index.fr.html Intel NUC i5-4250U Haswell J'ai commencé à regarder de ce coté, et je suis tombé sur http://www.materiel.net/ordinateur/materiel-net-nucleus-atom-107399.html qui me semble être le moins cher disponible avec support AES-NI. Par contre je n'ai pas encore trouvé de bench de l'Atom E3815 pour ce cas de figure. Seul inconvénient : un seul port gigabit, et donc besoin d'un switch ou d'un adaptateur usb3-gigabit ethernet pour maxer à 600-700Mbps. Le but étant de placer le boitier entre l'ONT et la cretinbox pour chiffrer le trafic IP et le router par un VPN en continuant de relayer le trafic des autres services et avec le moins de baisse de performance possible… Donc la machine devra aussi faire du PPPoE (client et serveur pour les livebox), du bridging et un peu de routage. Reste alors le problème du ou des concentrateurs permettant de ressortir sur des réseaux propres, et qui devraient idéalement tenir 2Gbps+ en AES128CBC + routage. Après c'est peut être l'occasion d'intégrer TOR en standard sur ces configs, chose que je ne pourrais pas faire avec des edgerouter ou ccr. Mais j'ai peur de l'impact que pourrait avoir un trafic domestique FTTH de plusieurs (dizaines ?) de foyers sur le réseau TOR, surtout s'ils ne sont pas eux-mêmes points de sortie :/ @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Le 08/04/2015 09:34, Olivier Cochard-Labbé a écrit : Quelle est la bonne méthodologie Je n'ai pas cherché bien loin : juste iperf de chaque coté. Ce n'est pas une mesure valable pour un trafic normal, mais le trafic domestique sur des liens FTTH de cette capacité est de toute façon très irrégulier. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Je ne suis pas expert sur la question protocolaire mais y'a pas un problème de nombre de cessions TCP simultanées a supporter par le routeur? Du genre prévoir minimum 300 cessions par utilisateur? Et des questions d'IO supportables par les processeurs et de capacités de calculs des co-processeurs etc... Les Clavister que j'utilisais en IPSec avec certif X509 chez mes clients chiffraient a 80meg en AES256 avec une MTU a 1500 et 12000 cessions TCP et ça c'était il y a 5 ans. On doit pouvoir trouver de quoi faire aujourd'hui pour pas cher et mieux. Juste une remarque sur les Mikrotik 1036, pour l'instant il n'y a qu'un proc utilise pour le Chiffrement, les 35 autres sont utilisés par les autres services (Nat et autres). Et des la V7 de l'os la gestion multi proc sera opérationnelle. Seb Le 8 avr. 2015 à 09:34, Olivier Cochard-Labbé oliv...@cochard.me a écrit : 2015-04-07 21:08 GMT+02:00 Jérôme Nicolle jer...@ceriz.fr: J'ai benchmarké mes CCR1016 et ERLite (à respectivement 400 et 100Mbps en AES128CBC), et il semble que le CCR1036 monte à 800Mbps. Ces débits sont sans routage complexe, NAT ou firewalling, donc à diviser par deux avec un setup à peu près complet pour un réseau d'une dizaine de sites (la famille, c'est important) avec un quasi-full-mesh de tunnels et du BGP dedans. Bonjour, Quelle est la bonne méthodologie pour réaliser des benchs de performance d'une passerelle IPSec/SSL ? Pour bencher un routeur, les tests a effectuer sont détaillés dans les RFC 2544 et RFC 3222. Personnellement, je me contente de mesurer le nombre maximum de petits paquets routé (le pire des cas) et d'estimer des performances réalistes en utilisant une distribution IMIX. Pour un firewall, il y a la RFC 3511. Mais pour mesurer les performances d'une passerelle IPsec/SSL, quelle est la bonne méthode ? = Devons-nous nous contenter de générer un maximum de gros paquet (MTU max) pour mesurer uniquement la performance du module de chiffrement (mais pas du routage) ? = Ou simplement continuer à générer des petits paquets (MTU min) en activant le chiffrement, et donc mesurer l'impact au niveau du module de routage seulement ? La seule étude sur la méthodologie pour bencher des passerelles IPSec que j'ai trouvée est ici: http://www.mecs-press.org/ijcnis/ijcnis-v4-n9/IJCNIS-V4-N9-1.pdf Est-ce cette méthode que vous utilisez ? Il y en a-t-il d'autre ? Merci, Olivier http://bsdrp.net --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [FRNOG][BIZ] : Hosting sur Sungard Lognes
Bonjour, j'aimerai savoir si quelqu'un sur la liste peut hoster quelques U (max 10U) sur le datacenter Sungard à Lognes. Le besoin électrique est plutôt faible (1/2KVA max). Merci d'avance pour vos réponses. Jérôme. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Salut, Un ensemble soekris/pcengines + une carte 'vpn' [0] peut peut-être faire l'affaire ? Si quelqu'un a testé quelque chose dans ce genre, je veux bien un retour. J'avais fait quelques tests avec une NET4801 et une VPN1411. Ca accélerait la crypto mais le proc anémique croulait sous les INT donc côté routage ça ne suivait pas. Je n'ai pas testé avec les modèles plus récents mais ça ne doit pas être beaucoup mieux. Denis --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Le 08/04/2015 14:44, Frédéric Perrod a écrit : As-tu regardé du côté de Banana Pi R1: Un dualcore ARM à 1GHz, sans support crypto hardware ? Ca sait déjà pas router 200Mbps avec un peu de statefull, une fois chiffré il a à peine de quoi tenir une ADSL :-( -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] préconisation config SFP sur cisco
Bonsoir à tous, Existe t'il une configuration spécifique pour un SFP cuivre ou fibre à appliquer sur un 3750g-12 ? Est-ce que la configuration diffère sur un port suivant le type de SFP ? Quelle configuration appliquez-vous sur vos Cisco SFP? Merci! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] ip direction
Il semble y avoir un incident sur un de leurs SBC. Cordialement, Cédric On 08/04/2015 16:10, ay pierre wrote: bonjour, coupure ip-direction nous n'avons une coupure de nos ligne quelqu'un d'autre ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Prestaire trunk SIP was [FRnOG] [MISC] ip direction
Bonjour à tous, Je suis à la recherche d'un prestataire voix pour 2 trunks SIP de 60 communications, un volume de 100 000min/mois et bien entendu d'une solution réellement redondé... Merci de me contacter en direct. Bonne journée à tous. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Cas d'école
Bonjour à toutes et tous, Je voudrais savoir quels aspects techniques peuvent sopposer (y compris règlement « intérieur » opérateur décalé) à la mise en place dune configuration MPLS ou VPLS entre deux sites A et B : A est chez opérateur X fibre 100 Mbps B est chez opérateur X fibre 40 Mbps A se fait router par X : 1 bloc opérateur PA (/28) 1 bloc PI (/24) B se fait router par X : 1 bloc opérateur PA (/32) A possede n blocs LAN RFC1918 (10/8, 172.20/16 et 192.168/16) B possede 1 bloc LAN RFC1918 (10.x.y/23) Lidée est que A et B soient reliés en MPLS par un jeu de configuration sur les différents routeurs (CustomerEdge) et (ProviderEdge) Que lorsque B ping un des blocs LAN de A, cela passe par le MPLS/VPLS (lidée sous-jacente étant déviter IPSec pour faire passer de la VoIP Cisco) En option (à priori cela semble est un problème de sécurité) : Que lorsque B ping le bloc PI de A (/24) cela passe également par le MPLS/VPLS Que lorsque A ping le bloc LAN de B, cela passe par le MPLS/VPLS (evidemment) Et enfin que lorsque A ou B souhaitent atteindre des destinations *autres* que leurs LANs respectifs et/ou le PI de A, cela passe par leur « sortie internet » respectives (100Mbps ou 40Mbps) Sachant que tout, passant jusquà lopérateur X par le tuyau, soit de 100, soit de 40, lactivité du lien/config MPLS/VPLS empiète sur la bande passante/le traffic du lien complet ; Et que donc si un transfert LAN_ALAN_B est en cours à une vitesse de 20 Mbps, il reste alors 80 Mbps dun coté et 20 Mbps de lautre pour de laccès « autre internet ». Merci pour vos réponses, avec par avance mes excuses si je nai pas posté sur la bonne liste/sous-liste. Jai pour le moment de très très gros soucis de compréhension avec mon opérateur X et jessaye donc de trouver le moyen quil mentende avec toute information ou aide disponible. Cordialement, -- Julien BREVIERE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Cas d'école
Bonsoir, Merci pour vos réponses à tous, je vais essayer de condenser mes réponses : il n'y bien PAS overlapping .. j'utilise un certain nombres de blocs sur le 10/8 sur le site A et il n y'aura qu'un /23 sur le site B. Pour la partie interco je n'ai rien contre un routage opérateur, a priori la liste existante des blocs LANs de A suffit amplement a B, si nous ajoutons l'utilisation de nouveaux blocs sur le site A et qu'il faut une intervention opérateur pour ajouter une règle cela sera suffisemment rare pour ne pas être un problème. Mon routeur se situe en aval du CustomerEdge et s'occupe d'envoyer dans le bon tuyau le traffic où il est supposé passé (donc ceci incluerait, pour le site A par exemple, le bloc LAN de B, qui serait routé sur l'interface du CustomerEdge au lieu du coeur de réseau...) effectivement l'histoire de la VRF me paraissait satisfaire les besoins... A ce stade vos réponses ne font que confirmer ma crainte, l'opérateur m'avait promis cette configuration, pretexte à ce jour qu'elle est impossible à mettre en oeuvre, au départ à cause du PI /24 (qui à la limite aurait pu être routé par internet si cela avait été vraiment indispensable), puis ensuite me propose une solution hybride/étrange selon moi à base de VM/Sophos à chaque bout (avec un coût imprévu evidemment), et pour finir m'insulte et m'envoie pêtre en me donnant du à prendre ou à laisser sous prétexte que j'évoque la solution VRF sus et sous nommée et que je suis incompétent en la matière. Aussi soit j'ai affaire à une personne peu enclin à vouloir comprendre et potentiellement coincé vu son niveau et je dois me résoudre à changer d'opérateur, soit ... bah j'ai peur qu'il n y'ait plus beaucoup d'autres options pour moi et prier pour qu'un tunnel maison VPN/IPsec marchouille suffisemment en attendant. Merci pour vos retours, Cordialement, Julien Brevière On 08/04/2015 18:13, Jérôme Nicolle wrote: Salut Julien, Tu es dans un scénario de routage trop complexe pour être correctement traité par la plupart des droïdes pousse-propale. Tu devrais pouvoir l'aborder différemment. Commençons par l'overlapping d'adresses : - S'il y a collision, renumérote en une - Si tu ne peux pas renuméroter, NAT - Si ça casse certains usages, c'est normal, il fallait renuméroter. Et à la limite profites en pour déployer IPv6. Pour la partie interco avec un L3VPN MPLS, soit tu confie le routage en extrémité à ton provider, et il te faudra le faire intervenir à chaque modification, soit tu lui demande du routage dynamique. Dans ce schéma, tu gère toi même les routeurs sur chaque site, en aval des CPE du fournisseur de VPN. Si tu veux chiffrer, gérer l'échappement Internet ou déplacer des préfixes, tu n'as qu'à le faire sur tes routeurs, qui pousseront les routes à ton fournisseur via un protocole dynamique (de préférence eBGP avec un AS privé différent sur chaque site, amha). Si tu veux que la gateway vers Internet soit fournie par ton fournisseur de tunnel, demande lui d'annoncer 0/0 dans ta VRF vers son firewall managé et tes routeurs l'apprendront ainsi. Si tu veux faire des réservations de débit en fonction des ranges, des usages, de l'heure ou de la tête de l'utilisateur, tu pourras tout faire avec tes routeurs sur chaque site. Mieux encore : si tu veux un lien de backup entre les deux sites, tu pourras aussi le gérer simplement en montant un tunnel chiffré sur des accès Internet locaux, monter l'eBGP entre les deux sites et y mettre une local-pref plus faible (et éventuellement une classification différente du trafic). Ça n'a pas vraiment l'air bien sorcier, alors j'ai du mal comprendre un morceau, non ? -- -- Julien Brevière --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] préconisation config SFP sur cisco
A priori non. Tu as un problème précis ou tu poses la question au cas où ? :) Le 8 avr. 2015 à 18:14, Sébastien 65 sebastien...@live.fr a écrit : Bonsoir à tous, Existe t'il une configuration spécifique pour un SFP cuivre ou fibre à appliquer sur un 3750g-12 ? Est-ce que la configuration diffère sur un port suivant le type de SFP ? Quelle configuration appliquez-vous sur vos Cisco SFP? Merci! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Cas d'école
Tu mets un routeur VyOS à chaque vous et tu fais du L2 Bridging over OpenVPN. Coût: proche de 0. Et tu envoies l’autre blaireau se faire voir :) Le 8 avr. 2015 à 19:10, Julien BREVIERE r...@supramoteur.com a écrit : Bonsoir, Merci pour vos réponses à tous, je vais essayer de condenser mes réponses : il n'y bien PAS overlapping .. j'utilise un certain nombres de blocs sur le 10/8 sur le site A et il n y'aura qu'un /23 sur le site B. Pour la partie interco je n'ai rien contre un routage opérateur, a priori la liste existante des blocs LANs de A suffit amplement a B, si nous ajoutons l'utilisation de nouveaux blocs sur le site A et qu'il faut une intervention opérateur pour ajouter une règle cela sera suffisemment rare pour ne pas être un problème. Mon routeur se situe en aval du CustomerEdge et s'occupe d'envoyer dans le bon tuyau le traffic où il est supposé passé (donc ceci incluerait, pour le site A par exemple, le bloc LAN de B, qui serait routé sur l'interface du CustomerEdge au lieu du coeur de réseau...) effectivement l'histoire de la VRF me paraissait satisfaire les besoins... A ce stade vos réponses ne font que confirmer ma crainte, l'opérateur m'avait promis cette configuration, pretexte à ce jour qu'elle est impossible à mettre en oeuvre, au départ à cause du PI /24 (qui à la limite aurait pu être routé par internet si cela avait été vraiment indispensable), puis ensuite me propose une solution hybride/étrange selon moi à base de VM/Sophos à chaque bout (avec un coût imprévu evidemment), et pour finir m'insulte et m'envoie pêtre en me donnant du à prendre ou à laisser sous prétexte que j'évoque la solution VRF sus et sous nommée et que je suis incompétent en la matière. Aussi soit j'ai affaire à une personne peu enclin à vouloir comprendre et potentiellement coincé vu son niveau et je dois me résoudre à changer d'opérateur, soit ... bah j'ai peur qu'il n y'ait plus beaucoup d'autres options pour moi et prier pour qu'un tunnel maison VPN/IPsec marchouille suffisemment en attendant. Merci pour vos retours, Cordialement, Julien Brevière On 08/04/2015 18:13, Jérôme Nicolle wrote: Salut Julien, Tu es dans un scénario de routage trop complexe pour être correctement traité par la plupart des droïdes pousse-propale. Tu devrais pouvoir l'aborder différemment. Commençons par l'overlapping d'adresses : - S'il y a collision, renumérote en une - Si tu ne peux pas renuméroter, NAT - Si ça casse certains usages, c'est normal, il fallait renuméroter. Et à la limite profites en pour déployer IPv6. Pour la partie interco avec un L3VPN MPLS, soit tu confie le routage en extrémité à ton provider, et il te faudra le faire intervenir à chaque modification, soit tu lui demande du routage dynamique. Dans ce schéma, tu gère toi même les routeurs sur chaque site, en aval des CPE du fournisseur de VPN. Si tu veux chiffrer, gérer l'échappement Internet ou déplacer des préfixes, tu n'as qu'à le faire sur tes routeurs, qui pousseront les routes à ton fournisseur via un protocole dynamique (de préférence eBGP avec un AS privé différent sur chaque site, amha). Si tu veux que la gateway vers Internet soit fournie par ton fournisseur de tunnel, demande lui d'annoncer 0/0 dans ta VRF vers son firewall managé et tes routeurs l'apprendront ainsi. Si tu veux faire des réservations de débit en fonction des ranges, des usages, de l'heure ou de la tête de l'utilisateur, tu pourras tout faire avec tes routeurs sur chaque site. Mieux encore : si tu veux un lien de backup entre les deux sites, tu pourras aussi le gérer simplement en montant un tunnel chiffré sur des accès Internet locaux, monter l'eBGP entre les deux sites et y mettre une local-pref plus faible (et éventuellement une classification différente du trafic). Ça n'a pas vraiment l'air bien sorcier, alors j'ai du mal comprendre un morceau, non ? -- -- Julien Brevière --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Cas d'école
Le 08/04/2015 19:20, David Ponzone a écrit : Tu mets un routeur VyOS à chaque vous et tu fais du L2 Bridging over OpenVPN. Layer 2 : Kill it with fire ! Il faut router quand tu peux, et switcher quand il n'y a aucune alternative. Et tu envoies l’autre blaireau se faire voir :) Bad Droïd : Kill it with Fire too ! Enfin clairement, des propales pour une paire de 100Mbps, il va en voir tomber quelques unes dans les heures qui viennent ;) -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Cas d'école
Qui peut le plus peut le moins :) Le 8 avr. 2015 à 19:23, Jérôme Nicolle jer...@ceriz.fr a écrit : Le 08/04/2015 19:20, David Ponzone a écrit : Tu mets un routeur VyOS à chaque vous et tu fais du L2 Bridging over OpenVPN. Layer 2 : Kill it with fire ! Il faut router quand tu peux, et switcher quand il n'y a aucune alternative. Et tu envoies l’autre blaireau se faire voir :) Bad Droïd : Kill it with Fire too ! Enfin clairement, des propales pour une paire de 100Mbps, il va en voir tomber quelques unes dans les heures qui viennent ;) -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] préconisation config SFP sur cisco
Non pas de problèmes, ça tourne... Juste au cas où s'il existe une configuration/tunning à appliquer suivant le SFP :) Subject: Re: [FRnOG] [TECH] préconisation config SFP sur cisco From: david.ponz...@gmail.com Date: Wed, 8 Apr 2015 19:16:28 +0200 CC: frnog-t...@frnog.org To: sebastien...@live.fr A priori non. Tu as un problème précis ou tu poses la question au cas où ? :) Le 8 avr. 2015 à 18:14, Sébastien 65 sebastien...@live.fr a écrit : Bonsoir à tous, Existe t'il une configuration spécifique pour un SFP cuivre ou fibre à appliquer sur un 3750g-12 ? Est-ce que la configuration diffère sur un port suivant le type de SFP ? Quelle configuration appliquez-vous sur vos Cisco SFP? Merci! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Reste alors le problème du ou des concentrateurs permettant de ressortir sur des réseaux propres, et qui devraient idéalement tenir 2Gbps+ en AES128CBC + routage. pour les agrégations, regardez le Turbo IPsec de 6WIND, c'est overkill pour 500Mbps (Linux peut le faire), mais pour 2Gbps, 10Gbps, 100Gbps, etc... , ça peut être intéressant: http://www.prnewswire.com/news-releases/6wind-launches-turbo-router-and-turbo-ipsec-software-appliances-with-record-setting-industry-performance-300026798.html My 2 cents, --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] ip direction
bonjour, coupure ip-direction nous n'avons une coupure de nos ligne quelqu'un d'autre ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Jérôme Nicolle jer...@ceriz.fr a écrit : Seul inconvénient : un seul port gigabit, et donc besoin d'un switch ou d'un adaptateur usb3-gigabit ethernet pour maxer à 600-700Mbps. Salut Jérôme, As-tu regardé du côté de Banana Pi R1: http://www.bananapi.com/index.php/component/content/article?layout=editid=59 Fred --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] ip direction
Bonjour, Coupure ici aussi. Message (laconique) du support : Nous avons un incident en cours depuis 15h24 sur notre SBC, l’engineering est en cours d’investigation dessus. A suivre. Olivier. Le 08/04/2015 16:10, ay pierre a écrit : bonjour, coupure ip-direction nous n'avons une coupure de nos ligne quelqu'un d'autre ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] ip direction
Un problème sur tous les SBC, en même temps? Les SBC sont distribués normalement, ils ne devraient pas pouvoir tomber tous en même temps. Au pire y'a coupure de com, mais c'est tout. C'est bizarre. Le 08/04/2015 16:22, OCEANET - Cédric BASSAGET a écrit : Il semble y avoir un incident sur un de leurs SBC. Cordialement, Cédric On 08/04/2015 16:10, ay pierre wrote: bonjour, coupure ip-direction nous n'avons une coupure de nos ligne quelqu'un d'autre ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Le 08/04/2015 14:44, Frédéric Perrod a écrit : Jérôme Nicolle jer...@ceriz.fr a écrit : Seul inconvénient : un seul port gigabit, et donc besoin d'un switch ou d'un adaptateur usb3-gigabit ethernet pour maxer à 600-700Mbps. Salut Jérôme, As-tu regardé du côté de Banana Pi R1: http://www.bananapi.com/index.php/component/content/article?layout=editid=59 Par contre niveau chiffrement... Alors, à priori, y'aurait de la crypto dans l'A20, mais c'est ça n'a pas l'air encore implémenté ( http://linux-sunxi.org/Security_System ) Quand bien même, je doute que les perfs soient au rdv. JaXX./. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Cas d'école
Tu souhaites que ton opérateur mette cette configuration en place pour toi ou tu veux la mettre toi même en place par dessus la connectivité fournie par cet opérateur ? Dans le premier cas, ton fournisseurs doit être en mesure de comprendre ton besoin si cela fait partie des services qu'il fournit, sinon changer de crèmerie, peut-être. Dans le deuxième cas, à part faire joujou avec des tunnels, je ne vois pas... -- Simon On 08/04/2015 17:07, Julien Breviere wrote: Bonjour à toutes et tous, Je voudrais savoir quels aspects techniques peuvent s’opposer (y compris règlement « intérieur » opérateur décalé) à la mise en place d’une configuration MPLS ou VPLS entre deux sites A et B : A est chez opérateur X fibre 100 Mbps B est chez opérateur X fibre 40 Mbps A se fait router par X : 1 bloc opérateur PA (/28) 1 bloc PI (/24) B se fait router par X : 1 bloc opérateur PA (/32) A possede ‘n’ blocs LAN RFC1918 (10/8, 172.20/16 et 192.168/16) B possede ‘1’ bloc LAN RFC1918 (10.x.y/23) L’idée est que A et B soient reliés en MPLS par un jeu de configuration sur les différents routeurs (CustomerEdge) et (ProviderEdge) Que lorsque B ping un des blocs LAN de A, cela passe par le MPLS/VPLS (l’idée sous-jacente étant d’éviter IPSec pour faire passer de la VoIP Cisco) En option (à priori cela semble est un ‘problème de sécurité’) : Que lorsque B ping le bloc PI de A (/24) cela passe également par le MPLS/VPLS Que lorsque A ping le bloc LAN de B, cela passe par le MPLS/VPLS (evidemment) Et enfin que lorsque A ou B souhaitent atteindre des destinations *autres* que leurs LANs respectifs et/ou le PI de A, cela passe par leur « sortie internet » respectives (100Mbps ou 40Mbps) Sachant que tout, passant jusqu’à l’opérateur X par le tuyau, soit de 100, soit de 40, l’activité du lien/config MPLS/VPLS empiète sur la bande passante/le traffic du lien complet ; Et que donc si un transfert LAN_ALAN_B est en cours à une vitesse de 20 Mbps, il reste alors 80 Mbps d’un coté et 20 Mbps de l’autre pour de l’accès « autre internet ». Merci pour vos réponses, avec par avance mes excuses si je n’ai pas posté sur la bonne liste/sous-liste. J’ai pour le moment de très très gros soucis de compréhension avec mon opérateur X et j’essaye donc de trouver le moyen qu’il m’entende avec toute information ou aide disponible. Cordialement, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Cas d'école
Conflit d’adressage entre les 2 sites. A n’ira jamais chercher le 10.x.y/23 de B sur le lien MPLS puisqu’il a 10/8 en local. C’est contournable avec un peu de conf (un peu vraiment) en A, mais certains opérateurs, spécialement les plus gros, peuvent refuser car c’est « crade ». Le 8 avr. 2015 à 17:07, Julien Breviere r...@supramoteur.com a écrit : Bonjour à toutes et tous, Je voudrais savoir quels aspects techniques peuvent s’opposer (y compris règlement « intérieur » opérateur décalé) à la mise en place d’une configuration MPLS ou VPLS entre deux sites A et B : A est chez opérateur X fibre 100 Mbps B est chez opérateur X fibre 40 Mbps A se fait router par X : 1 bloc opérateur PA (/28) 1 bloc PI (/24) B se fait router par X : 1 bloc opérateur PA (/32) A possede ‘n’ blocs LAN RFC1918 (10/8, 172.20/16 et 192.168/16) B possede ‘1’ bloc LAN RFC1918 (10.x.y/23) L’idée est que A et B soient reliés en MPLS par un jeu de configuration sur les différents routeurs (CustomerEdge) et (ProviderEdge) Que lorsque B ping un des blocs LAN de A, cela passe par le MPLS/VPLS (l’idée sous-jacente étant d’éviter IPSec pour faire passer de la VoIP Cisco) En option (à priori cela semble est un ‘problème de sécurité’) : Que lorsque B ping le bloc PI de A (/24) cela passe également par le MPLS/VPLS Que lorsque A ping le bloc LAN de B, cela passe par le MPLS/VPLS (evidemment) Et enfin que lorsque A ou B souhaitent atteindre des destinations *autres* que leurs LANs respectifs et/ou le PI de A, cela passe par leur « sortie internet » respectives (100Mbps ou 40Mbps) Sachant que tout, passant jusqu’à l’opérateur X par le tuyau, soit de 100, soit de 40, l’activité du lien/config MPLS/VPLS empiète sur la bande passante/le traffic du lien complet ; Et que donc si un transfert LAN_ALAN_B est en cours à une vitesse de 20 Mbps, il reste alors 80 Mbps d’un coté et 20 Mbps de l’autre pour de l’accès « autre internet ». Merci pour vos réponses, avec par avance mes excuses si je n’ai pas posté sur la bonne liste/sous-liste. J’ai pour le moment de très très gros soucis de compréhension avec mon opérateur X et j’essaye donc de trouver le moyen qu’il m’entende avec toute information ou aide disponible. Cordialement, -- Julien BREVIERE --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Rocade directe MM à Equinix
Le 03/04/2015 15:46, David Ponzone a écrit : est-ce que quelqu’un a une idée même approximative du prix qu’Equinix facture pour tirer une rocade optique en multimode entre une baie à PA3 et une baie à PA2 (par direct je veux dire direct, sans passer par les ODF, puisque le problème est que PA2 serait à priori pré-câblé en OM1/OM2 seulement, et donc je vais me heurter à une limite de distance) ? Pourquoi donc vouloir poser de la multimode ?! On peut faire bien plus de choses avec moins de contrainte en mono… -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Cas d'école
Je pense que Julien voulait dire qu'il y avait n réseaux compris dans la place 10/8, pas forcement le 10/8 en lui même. En soit, des raisons techniques pour refuser, pas forcément. Mais tout dépend de ce que tu as signé et qui est le fournisseur. En terme de charge de travail, support, workflow etc. Il n'y a rien à voir entre une connectivité MPLS/VPLS entre tes sites et une fourniture d'accès internet classique en fibre sur des sites. Ensuite, si j'ai bien compris pour ta limitation de bande passante, il faut bien voir que l'accès sortant sur internet n'est qu'un faible coût pour ton opérateur. Si tu prend un 40mbps ou 100mbps, l'utilisation du lien local, du matériel en oeuvre etc est aussi à prendre en compte, tu ne peux pas demander à ce que ce traffic là soit gratuit. Sans connaitre le contexte, je dirais qu'on à ce pour quoi on paye (en général). Si ce que tu veux c'est plus de service et de flexibilité alors rapproche toi d'un opérateur qui peut te le fournir plutôt que le premier venu aux tarifs agressifs qui sait faire aussi du grand public... Ce que tu veux c'est un service MPLS voir un service niveau 2. Après l'opérateur (si il est commun pour ta fourniture de L3 et L2) peut choisir de te le livrer sur le même lien, ou de te facturer une boucle locale supplémentaire. Il n'y a qu'a faire marcher la concurrence et faire travailler les opérateurs locaux et intelligents ! My 2 cents ! Bonne soirée ! Thomas D. Le 8 avril 2015 17:36, David Ponzone david.ponz...@gmail.com a écrit : Conflit d’adressage entre les 2 sites. A n’ira jamais chercher le 10.x.y/23 de B sur le lien MPLS puisqu’il a 10/8 en local. C’est contournable avec un peu de conf (un peu vraiment) en A, mais certains opérateurs, spécialement les plus gros, peuvent refuser car c’est « crade ». Le 8 avr. 2015 à 17:07, Julien Breviere r...@supramoteur.com a écrit : Bonjour à toutes et tous, Je voudrais savoir quels aspects techniques peuvent s’opposer (y compris règlement « intérieur » opérateur décalé) à la mise en place d’une configuration MPLS ou VPLS entre deux sites A et B : A est chez opérateur X fibre 100 Mbps B est chez opérateur X fibre 40 Mbps A se fait router par X : 1 bloc opérateur PA (/28) 1 bloc PI (/24) B se fait router par X : 1 bloc opérateur PA (/32) A possede ‘n’ blocs LAN RFC1918 (10/8, 172.20/16 et 192.168/16) B possede ‘1’ bloc LAN RFC1918 (10.x.y/23) L’idée est que A et B soient reliés en MPLS par un jeu de configuration sur les différents routeurs (CustomerEdge) et (ProviderEdge) Que lorsque B ping un des blocs LAN de A, cela passe par le MPLS/VPLS (l’idée sous-jacente étant d’éviter IPSec pour faire passer de la VoIP Cisco) En option (à priori cela semble est un ‘problème de sécurité’) : Que lorsque B ping le bloc PI de A (/24) cela passe également par le MPLS/VPLS Que lorsque A ping le bloc LAN de B, cela passe par le MPLS/VPLS (evidemment) Et enfin que lorsque A ou B souhaitent atteindre des destinations *autres* que leurs LANs respectifs et/ou le PI de A, cela passe par leur « sortie internet » respectives (100Mbps ou 40Mbps) Sachant que tout, passant jusqu’à l’opérateur X par le tuyau, soit de 100, soit de 40, l’activité du lien/config MPLS/VPLS empiète sur la bande passante/le traffic du lien complet ; Et que donc si un transfert LAN_ALAN_B est en cours à une vitesse de 20 Mbps, il reste alors 80 Mbps d’un coté et 20 Mbps de l’autre pour de l’accès « autre internet ». Merci pour vos réponses, avec par avance mes excuses si je n’ai pas posté sur la bonne liste/sous-liste. J’ai pour le moment de très très gros soucis de compréhension avec mon opérateur X et j’essaye donc de trouver le moyen qu’il m’entende avec toute information ou aide disponible. Cordialement, -- Julien BREVIERE --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Cas d'école
Salut Julien, Tu es dans un scénario de routage trop complexe pour être correctement traité par la plupart des droïdes pousse-propale. Tu devrais pouvoir l'aborder différemment. Commençons par l'overlapping d'adresses : - S'il y a collision, renumérote en une - Si tu ne peux pas renuméroter, NAT - Si ça casse certains usages, c'est normal, il fallait renuméroter. Et à la limite profites en pour déployer IPv6. Pour la partie interco avec un L3VPN MPLS, soit tu confie le routage en extrémité à ton provider, et il te faudra le faire intervenir à chaque modification, soit tu lui demande du routage dynamique. Dans ce schéma, tu gère toi même les routeurs sur chaque site, en aval des CPE du fournisseur de VPN. Si tu veux chiffrer, gérer l'échappement Internet ou déplacer des préfixes, tu n'as qu'à le faire sur tes routeurs, qui pousseront les routes à ton fournisseur via un protocole dynamique (de préférence eBGP avec un AS privé différent sur chaque site, amha). Si tu veux que la gateway vers Internet soit fournie par ton fournisseur de tunnel, demande lui d'annoncer 0/0 dans ta VRF vers son firewall managé et tes routeurs l'apprendront ainsi. Si tu veux faire des réservations de débit en fonction des ranges, des usages, de l'heure ou de la tête de l'utilisateur, tu pourras tout faire avec tes routeurs sur chaque site. Mieux encore : si tu veux un lien de backup entre les deux sites, tu pourras aussi le gérer simplement en montant un tunnel chiffré sur des accès Internet locaux, monter l'eBGP entre les deux sites et y mettre une local-pref plus faible (et éventuellement une classification différente du trafic). Ça n'a pas vraiment l'air bien sorcier, alors j'ai du mal comprendre un morceau, non ? -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Sujet de projet universitaire ?
Bonjour, Jenseigne en DUT Réseaux Télécoms (IUT de Rouen), où les étudiants de 2e année mènent un projet en groupe de 2 à 4 personnes, généralement technique, de septembre à avril, appelé « Projet tuteuré », encadré par un enseignant. Il peut sagir dune réalisation, dune étude Le sujet peut être fourni par un groupe détudiants, par un enseignant, par une entreprise Jaimerais beaucoup voir naître quelques sujets en lien étroit avec les professionnels qui nous entourent : je madresse donc à vous tous, qui pourriez avoir un besoin, une idée À bientôt jespère, Très bonne fin de journée, Grégory. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Sujet de projet universitaire ?
Hello, Premieres questions avant tout: Quel(s) sujets te plaisent particulierement dans ta formation? A quel type de matos as tu acces? Cdt 2015-04-08 18:51 GMT+02:00 Grégory Chaudemanche gregory.chaudeman...@univ-rouen.fr: Bonjour, J’enseigne en DUT Réseaux Télécoms (IUT de Rouen), où les étudiants de 2e année mènent un projet en groupe de 2 à 4 personnes, généralement technique, de septembre à avril, appelé « Projet tuteuré », encadré par un enseignant. Il peut s’agir d’une réalisation, d’une étude… Le sujet peut être fourni par un groupe d’étudiants, par un enseignant, par une entreprise… J’aimerais beaucoup voir naître quelques sujets en lien étroit avec les professionnels qui nous entourent : je m’adresse donc à vous tous, qui pourriez avoir un besoin, une idée… À bientôt j’espère, Très bonne fin de journée, Grégory. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Cas d'école
Salut, Tu as pas juste la possibilité de demander à l'un des tes opérateurs de te faire une OSM (Offre Sur Mesure) ? Un peu de BGP sur un site commun avec deux liaisons opérateur avec quelques route-map doit largement faire l'affaire. Christophe Le 2015-04-08 17:07, Julien Breviere a écrit : Bonjour à toutes et tous, Je voudrais savoir quels aspects techniques peuvent s’opposer (y compris règlement « intérieur » opérateur décalé) à la mise en place d’une configuration MPLS ou VPLS entre deux sites A et B : A est chez opérateur X fibre 100 Mbps B est chez opérateur X fibre 40 Mbps A se fait router par X : 1 bloc opérateur PA (/28) 1 bloc PI (/24) B se fait router par X : 1 bloc opérateur PA (/32) A possede ‘n’ blocs LAN RFC1918 (10/8, 172.20/16 et 192.168/16) B possede ‘1’ bloc LAN RFC1918 (10.x.y/23) L’idée est que A et B soient reliés en MPLS par un jeu de configuration sur les différents routeurs (CustomerEdge) et (ProviderEdge) Que lorsque B ping un des blocs LAN de A, cela passe par le MPLS/VPLS (l’idée sous-jacente étant d’éviter IPSec pour faire passer de la VoIP Cisco) En option (à priori cela semble est un ‘problème de sécurité’) : Que lorsque B ping le bloc PI de A (/24) cela passe également par le MPLS/VPLS Que lorsque A ping le bloc LAN de B, cela passe par le MPLS/VPLS (evidemment) Et enfin que lorsque A ou B souhaitent atteindre des destinations *autres* que leurs LANs respectifs et/ou le PI de A, cela passe par leur « sortie internet » respectives (100Mbps ou 40Mbps) Sachant que tout, passant jusqu’à l’opérateur X par le tuyau, soit de 100, soit de 40, l’activité du lien/config MPLS/VPLS empiète sur la bande passante/le traffic du lien complet ; Et que donc si un transfert LAN_ALAN_B est en cours à une vitesse de 20 Mbps, il reste alors 80 Mbps d’un coté et 20 Mbps de l’autre pour de l’accès « autre internet ». Merci pour vos réponses, avec par avance mes excuses si je n’ai pas posté sur la bonne liste/sous-liste. J’ai pour le moment de très très gros soucis de compréhension avec mon opérateur X et j’essaye donc de trouver le moyen qu’il m’entende avec toute information ou aide disponible. Cordialement, -- Christophe Lucas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Sujet de projet universitaire ?
Bonjour, Pour que tu ai plus de réponse tu devrais préciser le volume horaire de ce projet Alexis Le 8 avril 2015 19:15, Grégory Chaudemanche gregory.chaudeman...@univ-rouen.fr a écrit : Pour le matériel en général, on fait surtout de la virtualisation. On peut faire de petits achats selon les projets (Raspberry Pi, ...). Si on s'y prend à l'avance (d'ici fin mai), on peut effectuer une demande de financement sur un projet spécifique, pour qu'on puisse avoir le matériel adéquat : rien de fixé à l'avance, il faut voir... Quant aux sujets qui me plaisent... J'enseigne l'expression-comm... ! Désolé pour mes lacunes :-) Grégory. -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Pierre JOUET Envoyé : mercredi 8 avril 2015 18:56 À : Grégory Chaudemanche Cc : frnog-m...@frnog.org Objet : Re: [FRnOG] [MISC] Sujet de projet universitaire ? Hello, Premieres questions avant tout: Quel(s) sujets te plaisent particulierement dans ta formation? A quel type de matos as tu acces? Cdt 2015-04-08 18:51 GMT+02:00 Grégory Chaudemanche gregory.chaudeman...@univ-rouen.fr: Bonjour, J’enseigne en DUT Réseaux Télécoms (IUT de Rouen), où les étudiants de 2e année mènent un projet en groupe de 2 à 4 personnes, généralement technique, de septembre à avril, appelé « Projet tuteuré », encadré par un enseignant. Il peut s’agir d’une réalisation, d’une étude… Le sujet peut être fourni par un groupe d’étudiants, par un enseignant, par une entreprise… J’aimerais beaucoup voir naître quelques sujets en lien étroit avec les professionnels qui nous entourent : je m’adresse donc à vous tous, qui pourriez avoir un besoin, une idée… À bientôt j’espère, Très bonne fin de journée, Grégory. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel routeur cheap pour chiffrer 500Mbps+ ?
Hi, Sinon dans ta gamme de prix tu peux te permettre d'investir sur une board à base d'avoton type C2758. SuperMicro en fait une très intéressante à vil prix (compte environ 400€ en import only): http://www.supermicro.com/products/motherboard/Atom/X10/A1SRi-2758F.cfm Mini Itx, refroidissement passif, AES-NI, quad Gbe, IPMI, et surtout QuickAssist... Bref, tu devrais facilement pouvoir sortir les 500Mbps chiffrés. Br, Thomas Le 8 avr. 2015 17:50, Jérôme Nicolle jer...@ceriz.fr a écrit : Le 08/04/2015 14:44, Frédéric Perrod a écrit : As-tu regardé du côté de Banana Pi R1: Un dualcore ARM à 1GHz, sans support crypto hardware ? Ca sait déjà pas router 200Mbps avec un peu de statefull, une fois chiffré il a à peine de quoi tenir une ADSL :-( -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
