from:"Grégoire Villain"

Re: [FRnOG] Re: [FRnOG] Content Delivery Network (CDN) à la francaise

2006-12-01 Thread Grégoire Villain

Bonjour à tous,

Quelques petits mots juste pour vous dire que les intérressés lisent
le thread, au risque de ne pas y ajouter puisque tout ou presque a
déjà été dit.

A titre d'info, une plateforme bien pensée pour délivrer un contenu
tel que la vidéo en http, se doit de disposer d'une partie CDN
facilement exportable, à savoir qu'elle 'tire' peu sur le backend pour
'sortir' beaucoup vers les peers/transits - c'est la façon dont notre
plateforme a été conçue dès sa création, merci d'ailleurs à ceux qui
s'y sont employés car c'est sûrement là que réside notre salut: être
capables nous mêmes d'assumer tout ou partie de notre CDN.

Aussi à ceux ISPs qui seraient partants pour justement héberger chez
eux des proxies (et donc potentiellement économiser de la BP
(clin-d'oeil), nous sommes ouverts à toute discussion - on a peut être
à y gagner des deux côtés.

Merci en tout cas pour les vives réactions et la qualité du débat, on
prend note de toutes vos remarques et on va tâcher de s'en servir à
bon escient ;)

Greg VILLAIN / Dailymotion Corp.
Your former PaNAP host, now craving for bandwidth...
PS: arrêtez de parler de "la bulle 2.0", on est un peu superstitieux
et ca nous empêche de dormir la nuit rien que d'y penser. brr

On 11/28/06, Jerome Fleury <[EMAIL PROTECTED]> wrote:

S'ils prennent la peine d'installer les serveurs chez le FAI, pourquoi
les faire payer ?

En ce qui concerne un CDN franco-francais, pourquoi pas, mais Akamai est
déjà bien présent en France et sur du contenu franco-francais.

Frédéric Gander wrote:
> On Tue, Nov 28, 2006 at 07:06:46PM +0100, Damien Wetzel wrote:
>
>> Oui du moment que je marge avec mes clients,
>> En plus je ne suis pas sur que Free fasse payer la bande passante
>> à akamai (de mon temps ce n'était pas le cas)
>>
>>
>
> les choses changent.
>
>
>>  >
>>  > >
>>  > > Damien,
>>  > >
>>  > > PS: La partie importante d'un CDN est le routage du enduser vers
>>  > > le bon cache (le plus pres en delai), ce routage est fait à partir
>>  > > de la résolution DNS et s'appelle DNS GSLB (Global Server Load 
Balancing).
>>  >
>>  > domage on force le ttl a 3600 secondes minimum ;)
>>
>> Tu veux dire que les caches des resolver DNS de free ignorent les TTL < 1h ?
>>
>>
>>
>
> oui
> suite à l'histoire de zonealarm entre autre qui avait eclaté
> tous les serveurs dns des FAI francais, mais aussi les boites de
> bandeaux de pub par la suite.
>
> Comme ca quand ils repondent de temps en temps (vu que leurs DNS sont
> surchargés) au moins on garde l'info 1h et nos serveur dns ne passent
> pas 99% de leur temps à partir en timeout sur les requettes dns
> recursives.
>
> je crois que wanadoo le fait aussi
> et ils forcent le ttl à une valeur plus elevée encore, il faudrait
> vérifier.
>
>
>
>>  >
>>  > > Akamai,savvis,ultradns,f5 3DNS propose des versions commerciales de 
GSLB.
>>  > >
>>  > > Si certains d'entre vous ont déja utilisé ce genre de produits je suis
>>  > > preneur de leur avis.
>>  > > Si certains connaissent des projets libres de DNS GSLB je suis également
>>  > > intérressé, mais je pense que ca n'existe pas.
>>  > >
>>  > > --
>>  > > ~~
>>  > > Damien WETZEL   ("`-/")_.-'"``-._
>>  > > . . `; -._)-;-,_`)
>>  > >(v_,)'  _  )`-.\  ``-'
>>  > > Using Linux requires patience in learning. _.- _..-_/ / ((.'
>>  > > Using Windows requires learning patience.((,.-'   ((,/
>>  > > ~
>>  > >
>>  > > ---
>>  > > Liste de diffusion du FRnOG
>>  > > http://www.frnog.org/
>>  > >
>>  >
>>  > --
>>  > GANDER Frédéric
>>  > [EMAIL PROTECTED] - http://www.free.fr
>>
>>
>
>

--
Jérôme Fleury
Backbone IP
Telecom Italia SA
Tel: +33 1 45082314

---
Liste de diffusion du FRnOG
http://www.frnog.org/

--
Greg
[EMAIL PROTECTED]
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Saturation du lien Neuf <=> FreeIX ?

2007-09-22 Thread Grégoire VILLAIN

Dans mon esprit, ping etait uniquement utilisable pour savoir di une machine 
est "vivante" (sortie "host is alive" de Solaris), I.e si sa stack ip est 
montee et routee, toute info supplementaire du ping me semble avoir un credit 
limite. 
Du loss sur de l'icmp n'a a priori pas bcp de valeur en troubleshooting puisque 
c' est pas du trafic courant... Je me trompe ?
Dans le cas qui nous interresse ici, seuls les roundtrips et compteurs (crc, 
runts, giants, i/o errors) des interfaces traversees semblent judicieux a mon 
sens.
Apres c'est discutable, mais c'est mon avis.

Greg / desole pour le petage de fil par mon blackberry, c'est inevitable :/

- Original Message -
From: [EMAIL PROTECTED] <[EMAIL PROTECTED]>
To: frnog@frnog.org 
Sent: Sat Sep 22 13:03:54 2007
Subject: Re: [FRnOG] Saturation du lien Neuf <=> FreeIX ?

At 08:14 22/09/2007, you wrote:
>Pierre-Yves Maunier a écrit :
>>Radu-Adrian Feurdean wrote:
>>>A moins que ca soit OVH. Difficile a savoir si c'est vraiment Free ou ou
>>>l'uplink/peering prive d'OVH qui sature.
>>>
>>Regardez le mtr : aucune perte de paquet sur la 
>>destination : les routeurs intermédiaires 
>>forwardent bien l'icmp mais n'y répondent pas 
>>forcément ce qui explique les 'packets loss'. 
>>Donc aucune perte de paquet en free et ovh.
>>Comme dit dans un précédent mail les routeurs 
>>doivent filtrer l'icmp car je suppose qu'ils 
>>ont des choses plus importantes à faire que de répondre à ce genre de paquet.
>>
>>Pierre-Yves Maunier
>
>Ce qui m'étonne sur ce MTR ( 
>http://forum.paubc.info/images/neuf/SaturationNeufFreeIX.png 
>), ce ne sont pas les routeurs de Free qui ne 
>répondent pas à 100% des paquets ICMP cause du 
>icmp limit rate, mais le routeur 
>ldcom.FreeIX.net qui répond aux requêtes ICMP 
>entre 1ms et 2245ms (moyenne 33ms). 
>ldcom.FreeIX.net à une IP free (AS 12322) mais 
>je suppose qu'il est géré par Neuf.
>
>Le lien n'étant pas saturé (cf intervention de 
>Thierry MAUPOINT), qu'est ce qui génère ce phénomène ?

La meme chose qui fait perdre des paquets sur les 
routeurs intermediaires. Cette machine 
(ldcom.freeix.net) n'est qu'un routeur elle 
aussi. La veritable stat interessante est le ping 
et le loss de la machine de destination.

(C'etait grosso modo le contenu de ma 
contribution qui est, comme certains l'ont 
remarqué hier, arrivée vide sur la ML :))

'Spyou' - www.spyou.org - [EMAIL PROTECTED]
 ircnet.nerim.net - UIN : 6871374

Don't dream it,
Be it.
(RHPS)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Firewall Linux contre Juniper

2007-10-04 Thread Grégoire VILLAIN

Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de 
firewaller 40G de traff! C'est un vrai firewall de service provider. Par 
contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) 
consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur 
relativement complet-du coup c'est un peu distant du besoin initial non ?

Greg Villain

- Original Message -
From: [EMAIL PROTECTED] <[EMAIL PROTECTED]>
To: John Fistack <[EMAIL PROTECTED]>
Cc: frnog@frnog.org 
Sent: Thu Oct 04 14:09:45 2007
Subject: Re: [FRnOG] Firewall Linux contre Juniper

Salut John,

Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG:
http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/
 

 

Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et 
throughput, en standalone, indépendant de tes perfs coeur réseau.

Auprès de quel partenaire as-tu demandé une cote SSG?

Bonne journée,
Olivier



Le 03/10/07, John Fistack <[EMAIL PROTECTED]> a écrit :

Hello,
 
Merci pour toutes vos réponses.
 
90 % de mon transit est en paquet de pages web de petites tailles.
 
Je confirme que l'ajout de CPU apporte plus de performance dans mon cas.
 
J'avais un mono-Xeon 2.8 Ghz qui était à genoux  jusqu'à 50% de charge 
système.
Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, 
certes le nouveau serveur avait un bus plus rapide, passait d'un mono 
processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core 
apporte en capacité pour un Firewall. 
 
- Même si NetScreen a une bonne réputation que pensez-vous de la lame 
pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ?
Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 
000  euros d'occasion.
Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau 
?
 
- La carte précédente est basée sur l'architecture des Pix, est-ce que 
cette architecture est obsolète ?
Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en 
actif-actif cela fait 2,4 Gbps ? 
 
- Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des 
devis sur les SSG-550.
 
Merci.
 
John

 
Le 01/10/07, Xavier Beaudouin <[EMAIL PROTECTED]> a écrit : 

Hello,

> Je pourrais :
> - couper mon réseau public en 4 sous réseaux et 
mettre 4 
> firewalls Linux (2 paires en haute disponibilité avec un 
heartbeat) ?
> - relier directement sans NAT les répartiteurs LVS au
> routeur BGP et les auto-firewalliser en iptables ?
> - valider qu'un firewall Linux actif peut tenir 2 
Gbps (+ 
> un passif avec heartbeat) ?
>
>   Charge :
>
> Le firewall a peu de charge :

Normal tout le travail se fait dans le noyau, donc le nombre de 
CPU
importe peu... Enfin pour l'instant il me semble 

> Avez-vous un serveur Linux qui tient 2 Gbps ?

2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si 
c'est
2Gbps avec des petits paquets (aller au hasard sur le port 
53 !),
un linux vas avoir beaucoup de problèmes a filtrer ça et tenir 
la 
charge...

> Faut-il lâcher Linux et acheter des Juniper Netscreen ?
> Quel modèle Netscreen utilisez vous pour gérer du trafic 
autour de
> 2 Gbps ?

Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... 

> Si vous utilisez pour votre firewalling des serveurs Linux 
iptables
> ou du Netscreen je suis très intéressé par vos retours 
d'expérience
> sur leurs capacités de tenue à la charge.
>

Il y a aussi d'autres solutions "pratiques", par exmple 
pfsense... :)

/Xavier

Re: [FRnOG] Firewall Linux contre Juniper

2007-10-04 Thread Grégoire VILLAIN

Je confirme, erreur de ma part.
Au temps pour moi :)
Par contre, je vois pas avec quoi j'ai confondu...

Greg

- Original Message -
From: [EMAIL PROTECTED] <[EMAIL PROTECTED]>
To: frnog@frnog.org 
Sent: Thu Oct 04 16:21:22 2007
Subject: RE: [FRnOG] Firewall Linux contre Juniper

Oups,

Il doit y avoir confusion l'ISG2000 supporte 4G pour du trafic mixte ou 2 G de 
trafic uniquement constitué de petits paquets (64octets) avec un temps de 
latence moyen de 45 microsecondes. Il supporte effectivement BGP (limité à 
2 routes) OSPF RIP du VRF, et du multicast IP (PIM seulement).
http://www.itslabs.com/tests/its04002.jhtml

Damien

De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de Grégoire VILLAIN
Envoyé : jeudi 4 octobre 2007 15:48
À : [EMAIL PROTECTED]
Cc : frnog@frnog.org
Objet : Re: [FRnOG] Firewall Linux contre Juniper

Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de 
firewaller 40G de traff! C'est un vrai firewall de service provider. Par 
contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) 
consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur 
relativement complet-du coup c'est un peu distant du besoin initial non ?

Greg Villain

- Original Message -
From: [EMAIL PROTECTED] <[EMAIL PROTECTED]>
To: John Fistack <[EMAIL PROTECTED]>
Cc: frnog@frnog.org 
Sent: Thu Oct 04 14:09:45 2007
Subject: Re: [FRnOG] Firewall Linux contre Juniper

Salut John,

Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG:
http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/

<http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/>

Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et 
throughput, en standalone, indépendant de tes perfs coeur réseau.

Auprès de quel partenaire as-tu demandé une cote SSG?

Bonne journée,
Olivier

Le 03/10/07, John Fistack <[EMAIL PROTECTED]> a écrit :

Hello,

Merci pour toutes vos réponses.

90 % de mon transit est en paquet de pages web de petites tailles.

Je confirme que l'ajout de CPU apporte plus de performance dans mon cas.

J'avais un mono-Xeon 2.8 Ghz qui était à genoux  jusqu'à 50% de charge 
système.
Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, 
certes le nouveau serveur avait un bus plus rapide, passait d'un mono 
processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core 
apporte en capacité pour un Firewall.

- Même si NetScreen a une bonne réputation que pensez-vous de la lame 
pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ?
Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 
000  euros d'occasion.
Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau 
?

- La carte précédente est basée sur l'architecture des Pix, est-ce que 
cette architecture est obsolète ?
Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en 
actif-actif cela fait 2,4 Gbps ?

- Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des 
devis sur les SSG-550.

Merci.

John

Le 01/10/07, Xavier Beaudouin <[EMAIL PROTECTED]> a écrit :

Hello,

> Je pourrais :
> - couper mon réseau public en 4 sous réseaux et 
mettre 4
> firewalls Linux (2 paires en haute disponibilité avec un 
heartbeat) ?
> - relier directement sans NAT les répartiteurs LVS au
> routeur BGP et les auto-firewalliser en iptables ?
> - valider qu'un firewall Linux actif peut tenir 2 
Gbps (+
> un passif avec heartbeat) ?
>
>  >>>> Charge :
>
> Le firewall a peu de charge :

Normal tout le travail se fait dans le noyau, donc le nombre de 
CPU
importe peu... Enfin pour l'instant il me semble

> Avez-vous un serveur Linux qui tient 2 Gbps ?

2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si 
c'est
2Gbps avec des petits paquets (aller au hasard sur le port 
53 !),
un linux vas avoir beaucoup de problèmes a filtrer ça et tenir 
la
charge...

> Faut-il lâcher Linux et acheter des Juniper Netscreen ?
> Quel modèle Netscreen utilisez vous pour gérer du trafic

Re: [FRnOG] Re: [FRnOG] Content Delivery Network (CDN) à la francaise

2006-12-01 Thread Grégoire Villain

Bonjour à tous,

Quelques petits mots juste pour vous dire que les intérressés lisent
le thread, au risque de ne pas y ajouter puisque tout ou presque a
déjà été dit.

A titre d'info, une plateforme bien pensée pour délivrer un contenu
tel que la vidéo en http, se doit de disposer d'une partie CDN
facilement exportable, à savoir qu'elle 'tire' peu sur le backend pour
'sortir' beaucoup vers les peers/transits - c'est la façon dont notre
plateforme a été conçue dès sa création, merci d'ailleurs à ceux qui
s'y sont employés car c'est sûrement là que réside notre salut: être
capables nous mêmes d'assumer tout ou partie de notre CDN.

Aussi à ceux ISPs qui seraient partants pour justement héberger chez
eux des proxies (et donc potentiellement économiser de la BP
(clin-d'oeil), nous sommes ouverts à toute discussion - on a peut être
à y gagner des deux côtés.

Merci en tout cas pour les vives réactions et la qualité du débat, on
prend note de toutes vos remarques et on va tâcher de s'en servir à
bon escient ;)

Greg VILLAIN / Dailymotion Corp.
Your former PaNAP host, now craving for bandwidth...
PS: arrêtez de parler de "la bulle 2.0", on est un peu superstitieux
et ca nous empêche de dormir la nuit rien que d'y penser. brr

On 11/28/06, Jerome Fleury <[EMAIL PROTECTED]> wrote:

S'ils prennent la peine d'installer les serveurs chez le FAI, pourquoi
les faire payer ?

En ce qui concerne un CDN franco-francais, pourquoi pas, mais Akamai est
déjà bien présent en France et sur du contenu franco-francais.

Frédéric Gander wrote:
> On Tue, Nov 28, 2006 at 07:06:46PM +0100, Damien Wetzel wrote:
>
>> Oui du moment que je marge avec mes clients,
>> En plus je ne suis pas sur que Free fasse payer la bande passante
>> à akamai (de mon temps ce n'était pas le cas)
>>
>>
>
> les choses changent.
>
>
>>  >
>>  > >
>>  > > Damien,
>>  > >
>>  > > PS: La partie importante d'un CDN est le routage du enduser vers
>>  > > le bon cache (le plus pres en delai), ce routage est fait à partir
>>  > > de la résolution DNS et s'appelle DNS GSLB (Global Server Load 
Balancing).
>>  >
>>  > domage on force le ttl a 3600 secondes minimum ;)
>>
>> Tu veux dire que les caches des resolver DNS de free ignorent les TTL < 1h ?
>>
>>
>>
>
> oui
> suite à l'histoire de zonealarm entre autre qui avait eclaté
> tous les serveurs dns des FAI francais, mais aussi les boites de
> bandeaux de pub par la suite.
>
> Comme ca quand ils repondent de temps en temps (vu que leurs DNS sont
> surchargés) au moins on garde l'info 1h et nos serveur dns ne passent
> pas 99% de leur temps à partir en timeout sur les requettes dns
> recursives.
>
> je crois que wanadoo le fait aussi
> et ils forcent le ttl à une valeur plus elevée encore, il faudrait
> vérifier.
>
>
>
>>  >
>>  > > Akamai,savvis,ultradns,f5 3DNS propose des versions commerciales de 
GSLB.
>>  > >
>>  > > Si certains d'entre vous ont déja utilisé ce genre de produits je suis
>>  > > preneur de leur avis.
>>  > > Si certains connaissent des projets libres de DNS GSLB je suis également
>>  > > intérressé, mais je pense que ca n'existe pas.
>>  > >
>>  > > --
>>  > > ~~
>>  > > Damien WETZEL   ("`-/")_.-'"``-._
>>  > > . . `; -._)-;-,_`)
>>  > >(v_,)'  _  )`-.\  ``-'
>>  > > Using Linux requires patience in learning. _.- _..-_/ / ((.'
>>  > > Using Windows requires learning patience.((,.-'   ((,/
>>  > > ~
>>  > >
>>  > > ---
>>  > > Liste de diffusion du FRnOG
>>  > > http://www.frnog.org/
>>  > >
>>  >
>>  > --
>>  > GANDER Frédéric
>>  > [EMAIL PROTECTED] - http://www.free.fr
>>
>>
>
>

--
Jérôme Fleury
Backbone IP
Telecom Italia SA
Tel: +33 1 45082314

---
Liste de diffusion du FRnOG
http://www.frnog.org/

--
Greg
[EMAIL PROTECTED]
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Saturation du lien Neuf <=> FreeIX ?

2007-09-22 Thread Grégoire VILLAIN

Dans mon esprit, ping etait uniquement utilisable pour savoir di une machine 
est "vivante" (sortie "host is alive" de Solaris), I.e si sa stack ip est 
montee et routee, toute info supplementaire du ping me semble avoir un credit 
limite. 
Du loss sur de l'icmp n'a a priori pas bcp de valeur en troubleshooting puisque 
c' est pas du trafic courant... Je me trompe ?
Dans le cas qui nous interresse ici, seuls les roundtrips et compteurs (crc, 
runts, giants, i/o errors) des interfaces traversees semblent judicieux a mon 
sens.
Apres c'est discutable, mais c'est mon avis.

Greg / desole pour le petage de fil par mon blackberry, c'est inevitable :/

- Original Message -
From: [EMAIL PROTECTED] <[EMAIL PROTECTED]>
To: frnog@frnog.org 
Sent: Sat Sep 22 13:03:54 2007
Subject: Re: [FRnOG] Saturation du lien Neuf <=> FreeIX ?

At 08:14 22/09/2007, you wrote:
>Pierre-Yves Maunier a écrit :
>>Radu-Adrian Feurdean wrote:
>>>A moins que ca soit OVH. Difficile a savoir si c'est vraiment Free ou ou
>>>l'uplink/peering prive d'OVH qui sature.
>>>
>>Regardez le mtr : aucune perte de paquet sur la 
>>destination : les routeurs intermédiaires 
>>forwardent bien l'icmp mais n'y répondent pas 
>>forcément ce qui explique les 'packets loss'. 
>>Donc aucune perte de paquet en free et ovh.
>>Comme dit dans un précédent mail les routeurs 
>>doivent filtrer l'icmp car je suppose qu'ils 
>>ont des choses plus importantes à faire que de répondre à ce genre de paquet.
>>
>>Pierre-Yves Maunier
>
>Ce qui m'étonne sur ce MTR ( 
>http://forum.paubc.info/images/neuf/SaturationNeufFreeIX.png 
>), ce ne sont pas les routeurs de Free qui ne 
>répondent pas à 100% des paquets ICMP cause du 
>icmp limit rate, mais le routeur 
>ldcom.FreeIX.net qui répond aux requêtes ICMP 
>entre 1ms et 2245ms (moyenne 33ms). 
>ldcom.FreeIX.net à une IP free (AS 12322) mais 
>je suppose qu'il est géré par Neuf.
>
>Le lien n'étant pas saturé (cf intervention de 
>Thierry MAUPOINT), qu'est ce qui génère ce phénomène ?

La meme chose qui fait perdre des paquets sur les 
routeurs intermediaires. Cette machine 
(ldcom.freeix.net) n'est qu'un routeur elle 
aussi. La veritable stat interessante est le ping 
et le loss de la machine de destination.

(C'etait grosso modo le contenu de ma 
contribution qui est, comme certains l'ont 
remarqué hier, arrivée vide sur la ML :))

'Spyou' - www.spyou.org - [EMAIL PROTECTED]
 ircnet.nerim.net - UIN : 6871374

Don't dream it,
Be it.
(RHPS)

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Firewall Linux contre Juniper

2007-10-04 Thread Grégoire VILLAIN

Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de 
firewaller 40G de traff! C'est un vrai firewall de service provider. Par 
contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) 
consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur 
relativement complet-du coup c'est un peu distant du besoin initial non ?

Greg Villain

- Original Message -
From: [EMAIL PROTECTED] <[EMAIL PROTECTED]>
To: John Fistack <[EMAIL PROTECTED]>
Cc: frnog@frnog.org 
Sent: Thu Oct 04 14:09:45 2007
Subject: Re: [FRnOG] Firewall Linux contre Juniper

Salut John,

Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG:
http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/
 

 

Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et 
throughput, en standalone, indépendant de tes perfs coeur réseau.

Auprès de quel partenaire as-tu demandé une cote SSG?

Bonne journée,
Olivier



Le 03/10/07, John Fistack <[EMAIL PROTECTED]> a écrit :

Hello,
 
Merci pour toutes vos réponses.
 
90 % de mon transit est en paquet de pages web de petites tailles.
 
Je confirme que l'ajout de CPU apporte plus de performance dans mon cas.
 
J'avais un mono-Xeon 2.8 Ghz qui était à genoux  jusqu'à 50% de charge 
système.
Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, 
certes le nouveau serveur avait un bus plus rapide, passait d'un mono 
processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core 
apporte en capacité pour un Firewall. 
 
- Même si NetScreen a une bonne réputation que pensez-vous de la lame 
pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ?
Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 
000  euros d'occasion.
Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau 
?
 
- La carte précédente est basée sur l'architecture des Pix, est-ce que 
cette architecture est obsolète ?
Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en 
actif-actif cela fait 2,4 Gbps ? 
 
- Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des 
devis sur les SSG-550.
 
Merci.
 
John

 
Le 01/10/07, Xavier Beaudouin <[EMAIL PROTECTED]> a écrit : 

Hello,

> Je pourrais :
> - couper mon réseau public en 4 sous réseaux et 
mettre 4 
> firewalls Linux (2 paires en haute disponibilité avec un 
heartbeat) ?
> - relier directement sans NAT les répartiteurs LVS au
> routeur BGP et les auto-firewalliser en iptables ?
> - valider qu'un firewall Linux actif peut tenir 2 
Gbps (+ 
> un passif avec heartbeat) ?
>
>   Charge :
>
> Le firewall a peu de charge :

Normal tout le travail se fait dans le noyau, donc le nombre de 
CPU
importe peu... Enfin pour l'instant il me semble 

> Avez-vous un serveur Linux qui tient 2 Gbps ?

2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si 
c'est
2Gbps avec des petits paquets (aller au hasard sur le port 
53 !),
un linux vas avoir beaucoup de problèmes a filtrer ça et tenir 
la 
charge...

> Faut-il lâcher Linux et acheter des Juniper Netscreen ?
> Quel modèle Netscreen utilisez vous pour gérer du trafic 
autour de
> 2 Gbps ?

Nous on utilise 2 NG550... Pas de pb :) Avec moins de règles... 

> Si vous utilisez pour votre firewalling des serveurs Linux 
iptables
> ou du Netscreen je suis très intéressé par vos retours 
d'expérience
> sur leurs capacités de tenue à la charge.
>

Il y a aussi d'autres solutions "pratiques", par exmple 
pfsense... :)

/Xavier

Re: [FRnOG] Firewall Linux contre Juniper

2007-10-04 Thread Grégoire VILLAIN

Je confirme, erreur de ma part.
Au temps pour moi :)
Par contre, je vois pas avec quoi j'ai confondu...

Greg

- Original Message -
From: [EMAIL PROTECTED] <[EMAIL PROTECTED]>
To: frnog@frnog.org 
Sent: Thu Oct 04 16:21:22 2007
Subject: RE: [FRnOG] Firewall Linux contre Juniper

Oups,

Il doit y avoir confusion l'ISG2000 supporte 4G pour du trafic mixte ou 2 G de 
trafic uniquement constitué de petits paquets (64octets) avec un temps de 
latence moyen de 45 microsecondes. Il supporte effectivement BGP (limité à 
2 routes) OSPF RIP du VRF, et du multicast IP (PIM seulement).
http://www.itslabs.com/tests/its04002.jhtml

Damien

De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la part de Grégoire VILLAIN
Envoyé : jeudi 4 octobre 2007 15:48
À : [EMAIL PROTECTED]
Cc : frnog@frnog.org
Objet : Re: [FRnOG] Firewall Linux contre Juniper

Euh ... ISG2000 ca fera nessairement l'affaire... La boite est capable de 
firewaller 40G de traff! C'est un vrai firewall de service provider. Par 
contre, c'est la stricte antithese du FW logiciel... Et le prix est (tres) 
consequent. Ca fait du vrf, de l'igp, du mcast... C'est aussi un routeur 
relativement complet-du coup c'est un peu distant du besoin initial non ?

Greg Villain

- Original Message -
From: [EMAIL PROTECTED] <[EMAIL PROTECTED]>
To: John Fistack <[EMAIL PROTECTED]>
Cc: frnog@frnog.org 
Sent: Thu Oct 04 14:09:45 2007
Subject: Re: [FRnOG] Firewall Linux contre Juniper

Salut John,

Côté Juniper, as-tu jeté un coup d'oeil sur les specs de la gamme ISG:
http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/

<http://www.juniper.net/products_and_services/firewall_slash_ipsec_vpn/isg_series_slash_gprs/>

Notamment l'ISG2000 pourra répondre à tes attentes en terme de perfs NAT et 
throughput, en standalone, indépendant de tes perfs coeur réseau.

Auprès de quel partenaire as-tu demandé une cote SSG?

Bonne journée,
Olivier

Le 03/10/07, John Fistack <[EMAIL PROTECTED]> a écrit :

Hello,

Merci pour toutes vos réponses.

90 % de mon transit est en paquet de pages web de petites tailles.

Je confirme que l'ajout de CPU apporte plus de performance dans mon cas.

J'avais un mono-Xeon 2.8 Ghz qui était à genoux  jusqu'à 50% de charge 
système.
Un upgrade à un serveur bi-dual core 3 Ghz a résolu tous les problèmes, 
certes le nouveau serveur avait un bus plus rapide, passait d'un mono 
processeur au bi, de mono à dual core. Je ne peux confirmer si le multi-core 
apporte en capacité pour un Firewall.

- Même si NetScreen a une bonne réputation que pensez-vous de la lame 
pour 6500 Cisco Firewall WS-SVC-FWM-1-K9 ?
Sur le papier elle permet de filtrer 5,2 Gbps, on la trouve à 12 000-15 
000  euros d'occasion.
Est-ce un problème pour vous de mélanger Firewalling et coeur de réseau 
?

- La carte précédente est basée sur l'architecture des Pix, est-ce que 
cette architecture est obsolète ?
Que vaut-elle face à un ASA 5520-BUN-K9 qui peut gérer 1,2 Gbps, en 
actif-actif cela fait 2,4 Gbps ?

- Je n'ai pas retrouvé la référence Juniper NG550 mais ai lancé des 
devis sur les SSG-550.

Merci.

John

Le 01/10/07, Xavier Beaudouin <[EMAIL PROTECTED]> a écrit :

Hello,

> Je pourrais :
> - couper mon réseau public en 4 sous réseaux et 
mettre 4
> firewalls Linux (2 paires en haute disponibilité avec un 
heartbeat) ?
> - relier directement sans NAT les répartiteurs LVS au
> routeur BGP et les auto-firewalliser en iptables ?
> - valider qu'un firewall Linux actif peut tenir 2 
Gbps (+
> un passif avec heartbeat) ?
>
>  >>>> Charge :
>
> Le firewall a peu de charge :

Normal tout le travail se fait dans le noyau, donc le nombre de 
CPU
importe peu... Enfin pour l'instant il me semble

> Avez-vous un serveur Linux qui tient 2 Gbps ?

2Gbps oui mais ca dépends de ce que tu as dans tes 2Gbps... Si 
c'est
2Gbps avec des petits paquets (aller au hasard sur le port 
53 !),
un linux vas avoir beaucoup de problèmes a filtrer ça et tenir 
la
charge...

> Faut-il lâcher Linux et acheter des Juniper Netscreen ?
> Quel modèle Netscreen utilisez vous pour gérer du trafic

Re: [FRnOG] Re: [FRnOG] Content Delivery Network (CDN) à la francaise

Re: [FRnOG] Saturation du lien Neuf <=> FreeIX ?

Re: [FRnOG] Firewall Linux contre Juniper

Re: [FRnOG] Firewall Linux contre Juniper

Re: [FRnOG] Re: [FRnOG] Content Delivery Network (CDN) à la francaise

Re: [FRnOG] Saturation du lien Neuf <=> FreeIX ?

Re: [FRnOG] Firewall Linux contre Juniper

Re: [FRnOG] Firewall Linux contre Juniper

8 matches

Site Navigation

Mail list logo

Footer information