Re: [FRnOG] [TECH] Switch L2 48x1GbE + 4x10GbE (SFP+) ?
C’est pas du “vrai” double alim :) C’est une alimentation externe. L’avantage de l’ex3300 est que l’alimentation n’est pas fixe. Donc, si elle crame et que le RPS prend le relais, il est toujours possible de la remplacer sans eteindre le switch et l’ouvrir. Cependant, le cable du RPS est court, donc pour faire 6 baies avec un seul rps, tu peux apres étendre tes vêtements entre les baies :) On 21 May 2014, at 14:22, Thien Duc Nguyen td.ngu...@resel.fr wrote: Le 2014-05-21 14:03, Raphael Mazelier a écrit : Le 21/05/2014 14:00, Raphael Maunier a écrit : EX3300 car les 3200 n’ont que 2*10G A noter que les EX3200/3300 ne sont pas double alims. Raphael On 21 May 2014, at 13:57, Raphael Mazelier r...@futomaki.net wrote: 3200 j'ai dit 3200 ? il fallait évidement comprendre EX3300. Et oui simple alimentation, très embêtant, mais bon vu le prix faut pas trop en demander. La double alimentation est possible sur le EX3300 avec un RTS (en gros c'est une alimentation externe pouvant fournir du jus à 6 équipements). TD --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch L2 48x1GbE + 4x10GbE (SFP+) ?
C’est effectivement que le 3200 / 4200 / 4300 qui sont hotswap sur l’alim :) Donc l’ex 3300 avec RPS c’est pour de l’infra non-critique ou sinon 100% redondé que tu peux eteindre pour remplacer le sw si l’alim intégrée par en cacahouete. Raphael On 21 May 2014, at 14:48, Raphael Maunier raph...@maunier.net wrote: C’est pas du “vrai” double alim :) C’est une alimentation externe. L’avantage de l’ex3300 est que l’alimentation n’est pas fixe. Donc, si elle crame et que le RPS prend le relais, il est toujours possible de la remplacer sans eteindre le switch et l’ouvrir. Cependant, le cable du RPS est court, donc pour faire 6 baies avec un seul rps, tu peux apres étendre tes vêtements entre les baies :) On 21 May 2014, at 14:22, Thien Duc Nguyen td.ngu...@resel.fr wrote: Le 2014-05-21 14:03, Raphael Mazelier a écrit : Le 21/05/2014 14:00, Raphael Maunier a écrit : EX3300 car les 3200 n’ont que 2*10G A noter que les EX3200/3300 ne sont pas double alims. Raphael On 21 May 2014, at 13:57, Raphael Mazelier r...@futomaki.net wrote: 3200 j'ai dit 3200 ? il fallait évidement comprendre EX3300. Et oui simple alimentation, très embêtant, mais bon vu le prix faut pas trop en demander. La double alimentation est possible sur le EX3300 avec un RTS (en gros c'est une alimentation externe pouvant fournir du jus à 6 équipements). TD --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Les DC Neo sous patriot act [was: Rachat sur Paris :)]
Je ne suis pas juriste, mais ça depend de ton contrat imo. Je ne crois pas qu’un changement de “nationalité” est un cas de rupture de contrat ( sauf cas rare ) Par contre, si c’est stipulé dans ton contrat qu’en cas de changement de propriétaire tu as le droit de partir, c’est autre chose. Donc les clients doivent relire leurs contrats :) Raphael On 02 May 2014, at 12:26, Sylvain Vallerot sylv...@gixe.net wrote: On 02/05/2014 12:22, Sylvain Vallerot wrote: Et hop, 10 datacenter qui passent sous patriot act. D'ailleurs je me demande si, en soi, ça ne vaut pas rupture de contrat puisque indirectement, les termes varient assez significativement du point de vue d'une boite française hébergée ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Rachat sur Paris :)
Pour ceux qui ne sont pas sur twitter ou qui sont en datacenter à bosser . http://www.itespresso.fr/gros-deal-connectivite-ip-france-americain-zayo-acquiert-neo-telecoms-74985.html Pour ma part, je pense que c’est une bonne chose :) Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco 6500/7600 - FIB_EXCEPTION_THRESHOLD : Its over 500k !
Sinon, plus simple, ip prefix-list slash22-32 seq 5 permit 0.0.0.0/0 ge 22 ! route-map ipv4-transit-AS-in deny 5 description Deny 22 prefixes from AS montransitaireroxor.net match ip address prefix-list slash22-32 ! Mais il faut accepter la route par défaut :) Raphael On 22 Apr 2014, at 13:59, Arnaud Fenioux afeni...@gmail.com wrote: Hello Jérôme! Merci pour les infos, n'oubliez pas de prendre votre respiration avant de reloader vos châssis 6500 ;) http://www.cisco.com/c/en/us/support/docs/field-notices/637/fn63743.html Arnaud 2014-04-22 13:49 GMT+02:00 Jérôme Nicolle jer...@ceriz.fr: Plop, La DFZ continue son inflation et on frôle les 500k routes. Message à l'intention de tous les possesseurs de SUP et DFC XL: ça va couper chérie ! Les XL sont données pour 1M routes hardware, à partager entre les différentes AFI. Le partitionnement est statique et la valeur par défaut de l'afi ipv4 est 512k routes. Au delà, ça blackhole. Il y a deux familles de routes sur ces plate-formes : 72 bits ou 144 bits. * 72 bits (IPv4, MPLS, EoM) * 144 bits (IP mcast, IPv6) Pour voir où vous en êtes, utilisez les commandes : show mls cef max show mls cef summary ou encore show platform hardware capacity Pour repartitionner, utilisez la commande : mls cef maximum-routes ip N ; où N est en milliers de routes. A vous de voir où fixer le curseur. Attention : la prise en compte de cette commande requiert le reload complet du châssis. Désolé. @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Clim] Ce qui s'est vraiment passé à TH2
Tu peux nous donner ton experience sur les datacenters en France et AUSSI et surtout à l’etranger ? Ton experience sur des audits à l’international pour notre grande patrie ou encore des grosses banques ? Ta connaissance du monde PCI ? Rien, Ah ok, je comprends mieux ton ignorance sur le sujet et que tu ne cesses de vouloir essayer de contrer des gens qui pour le coup , eux connaissent le sujet ! Bref toujours à faire de belles phrases pour raconter de la merde :) Raphael On 08 Apr 2014, at 10:51, technicien hahd technic...@hahd.fr wrote: On Tuesday 08 April 2014 00:33:09 Raphael Maunier wrote: Cher Technicien ( toujours anonyme à ce que je vois ) Non toujours pas, le pseudonymat n'est pas de l'anonymat. On 08 Apr 2014, at 00:06, technicien hahd technic...@hahd.fr wrote: On Monday 07 April 2014 23:40:53 Radu-Adrian Feurdean wrote: On Mon, Apr 7, 2014, at 21:06, Sylvain Busson wrote: Pas besoin d'aller si loin, à Telehouse Londres(Docklands) ils fouillent dans ta valise, ils te font sortir tes pesli pour peu que tu y soit pour plusieurs jours, si t'es pas d'accord tu rentres pas. Ca a probablement change depuis, mais il y a meme pas 2 ans (mai 2012), c'etait certainement pas ca. Valise dans une main, boite assez grande pour contenir un CER dans l'autre, on m'a pas pose des questions. C'est assez marrant que tout le monde focalise sur l'entrée parce que houlala il pourrait y avoir des explosifs et la sécurité tout ça. Par contre à la sortie le gars qui sort avec ton serveur dans son sac, on lui demande rien. Parce qu’on s’en contrefiche qu’un seul serveur se fasse piquer. C’est bien connu, les données en datacenter doivent être cryptés ( bah oui tout le monde le fait, hein ), bref si c’est super important, la baie / salle doit être sécurisée avec des alertes en cas d’intrusions. Des solutions pour générer ce genre d’alerte, ça ne coute plus des millions d’euros et c’est assez simple à mettre en place. Par contre, qu’un datacenter se fasse dégommer par des explosifs and cie, oui ça c’est dangereux ! Un serveur qui se fait piquer ( sauf si c’est le spare et encore ) normalement ça se voit dans le système de monitoring, et il reste encore le temps de contacter le DC pour crier au voleur. C'est dangereux en théorie, mais il n'y a que ceux qui ont avalé toute la rhétorique de la menace terroriste avec l'hameçon et la canne à pêche en prime qui pensent que c'est une menace réelle et sérieuse. En pratique ça n'est jamais arrivé alors que du matériel théoriquement protégé qui disparait sans explication, c'est arrivé, ça arrive et ça arrivera encore. La logique me fait dire que si du matériel plus ou moins encombrant ou coûteux peut disparaitre comme ça, la sécurité théorique ne se retrouve pas dans la pratique. Ce qui pose la question de pourquoi un système qui théoriquement empéchererait des explosifs d'entrer serait lui plus efficace en pratique. Surtout que sans être expert en explosif, je suis capable de dire que pour faire péter tout un datacenter, il faut une sérieuse quantité d'explosifs, une expertise en démolition, une connaissance avancée des lieux et un sacré paquet de temps tranquille devant soi. Vouloir couper internet à l'échelle nationale ça relève plus d'un objectif militaire que terroriste, et les missiles ne passent pas par l'entrée habituellement. Ou peut-être un groupuscule extrêmiste de clients TH2 mécontents ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Clim] Sécurité des datacenters
Je ne focus pas sur TH2 bien au contraire je conseille à mes contacts de prendre au moins une baie dans ce datacenter :) On 08 Apr 2014, at 11:21, Arthur Fernandez - Liazo arthur.fernan...@liazo.fr wrote: Hello, en fait je ne comprends pas pourquoi vous focalisez sur le site en lui même.. Certes ce n'est pas un bunker, certes c'est assez central au niveau réseaux, mais la centralité c'est de toute façon avant tout les câbles, et rentrer dans les égouts c'est encore plus simple que de rentrer à th2 non ? Puis même au niveau du pays, il y a aussi 3 ponts où 99% des câbles opérateurs passent... bref, on peut toujours imaginer plein de choses avec des si et des menaces par ci par là, ce qu'on peut constater, c'est que jusqu'ici il ne s'est rien passé... A+ -- Arthur Fernandez - Directeur / CEO Liazo - Solutions sur mesure pour opérateurs et entreprises exigeantes. Tel:+33.1.82.28.82.82, Fax:+33.1.82.28.82.70. siège : 3/7 rue Albert Marquet, 75020 Paris antenne : 35 rue des jeuneurs, 75002 Paris On 08/04/2014 11:05, Raphael Maunier wrote: Tu peux nous donner ton experience sur les datacenters en France et AUSSI et surtout à l’etranger ? Ton experience sur des audits à l’international pour notre grande patrie ou encore des grosses banques ? Ta connaissance du monde PCI ? Rien, Ah ok, je comprends mieux ton ignorance sur le sujet et que tu ne cesses de vouloir essayer de contrer des gens qui pour le coup , eux connaissent le sujet ! Bref toujours à faire de belles phrases pour raconter de la merde :) Raphael On 08 Apr 2014, at 10:51, technicien hahd technic...@hahd.fr wrote: On Tuesday 08 April 2014 00:33:09 Raphael Maunier wrote: Cher Technicien ( toujours anonyme à ce que je vois ) Non toujours pas, le pseudonymat n'est pas de l'anonymat. On 08 Apr 2014, at 00:06, technicien hahd technic...@hahd.fr wrote: On Monday 07 April 2014 23:40:53 Radu-Adrian Feurdean wrote: On Mon, Apr 7, 2014, at 21:06, Sylvain Busson wrote: Pas besoin d'aller si loin, à Telehouse Londres(Docklands) ils fouillent dans ta valise, ils te font sortir tes pesli pour peu que tu y soit pour plusieurs jours, si t'es pas d'accord tu rentres pas. Ca a probablement change depuis, mais il y a meme pas 2 ans (mai 2012), c'etait certainement pas ca. Valise dans une main, boite assez grande pour contenir un CER dans l'autre, on m'a pas pose des questions. C'est assez marrant que tout le monde focalise sur l'entrée parce que houlala il pourrait y avoir des explosifs et la sécurité tout ça. Par contre à la sortie le gars qui sort avec ton serveur dans son sac, on lui demande rien. Parce qu’on s’en contrefiche qu’un seul serveur se fasse piquer. C’est bien connu, les données en datacenter doivent être cryptés ( bah oui tout le monde le fait, hein ), bref si c’est super important, la baie / salle doit être sécurisée avec des alertes en cas d’intrusions. Des solutions pour générer ce genre d’alerte, ça ne coute plus des millions d’euros et c’est assez simple à mettre en place. Par contre, qu’un datacenter se fasse dégommer par des explosifs and cie, oui ça c’est dangereux ! Un serveur qui se fait piquer ( sauf si c’est le spare et encore ) normalement ça se voit dans le système de monitoring, et il reste encore le temps de contacter le DC pour crier au voleur. C'est dangereux en théorie, mais il n'y a que ceux qui ont avalé toute la rhétorique de la menace terroriste avec l'hameçon et la canne à pêche en prime qui pensent que c'est une menace réelle et sérieuse. En pratique ça n'est jamais arrivé alors que du matériel théoriquement protégé qui disparait sans explication, c'est arrivé, ça arrive et ça arrivera encore. La logique me fait dire que si du matériel plus ou moins encombrant ou coûteux peut disparaitre comme ça, la sécurité théorique ne se retrouve pas dans la pratique. Ce qui pose la question de pourquoi un système qui théoriquement empéchererait des explosifs d'entrer serait lui plus efficace en pratique. Surtout que sans être expert en explosif, je suis capable de dire que pour faire péter tout un datacenter, il faut une sérieuse quantité d'explosifs, une expertise en démolition, une connaissance avancée des lieux et un sacré paquet de temps tranquille devant soi. Vouloir couper internet à l'échelle nationale ça relève plus d'un objectif militaire que terroriste, et les missiles ne passent pas par l'entrée habituellement. Ou peut-être un groupuscule extrêmiste de clients TH2 mécontents ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Clim] Ce qui s'est vraiment passé à TH2
Je ne parle pas de TH2 en particulier, mais de l’ensemble des datacenters. Tu peux rentrer facilement avec n’importe quoi dans ton sac sans être inquiété. Sur le datacenter de Terremark Miami ( NOTA, maintenant Verizon ), tu as un scan des sacs ( comme si tu allais prendre l’avion ) avec un portique de sécurité. Tu as aussi la detection d’explosifs ou autres substances non autorisés en dc ( du moins quand j’y suis allé c’était en place ) Le soucis, c’est que en France on est tellement super bien organisé pour rentrer dans les datas que mettre ça en place, ça va juste rallonger de 40 minutes ton inter. Cependant au 111, 8th sur NY tu fais ce que tu veux, tu peux meme limite y faire un bbq sans que les mecs te voient :) Je n’ai pas dit qu’on était à la dernière place, je dis juste qu’il faudrait que les datacenters rajoutent un niveau de sécurité supplémentaires tout en formant le personnel d’accueil pour fluidifier tout ça. Raphael On 07 Apr 2014, at 14:46, Jérôme Nicolle jer...@ceriz.fr wrote: Le 05/04/2014 12:13, Raphael Maunier a écrit : Par contre la partie sur la menace terroriste reste entière et pour le coup , il a raison de s’interroger sur ce point. Heuu... Tu préfères qu'on aie un périmètre de sécurité autour du centre névralgique d'Internet en France, avec fouille rectale au checkpoint ? Non parce que le fond du problème reste le manque de redondance de _certains_ réseaux, et probablement pas les plus critiques. Soit faute de moyens, soit par pure inconscience. Je reste curieux de voir ce qu'il se passera le jour ou TH2 tombera sans crier gare, mais je doute qu'on en entende parler au delà de la rubrique chiens écrasés et du FRnOG pour autant. Sauf peut être si les services publics clefs (SDIS, prefs...) n'ont pas réalisé à quel point ils se font arnaquer par leurs RIPs d'ici là... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] [Clim] Ce qui s'est vraiment passé à TH2
Vendredi c’était hier pourtant :) De plus : Une solution ne serait-elle pas de répartir les serveurs dans plusieurs centres ? Le mec a pas fait la différence entre les serveurs et les routeurs. Je crois que le mec a chopé des vieilles stats de Franceix ( ou effectivement 70% était situé sur TH2 ) pour donner ce pourcentage. Bref, un journaliste qui a 1/4 de la moitié de l’information réelle et qui écrit SA vérité. Par contre la partie sur la menace terroriste reste entière et pour le coup , il a raison de s’interroger sur ce point. Raphael On 05 Apr 2014, at 12:01, Stephane Bortzmeyer bortzme...@nic.fr wrote: http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/panique-sur-l-internet-francais-ce-qui-s-est-vraiment-passe-chez-th2-04-04-2014-1809182_506.php il pensait bien faire Je retiens l'excuse pour la prochaine fois que je fais une grosse connerie :-) 70 % du trafic internet français passe par Telehouse 2 Tant que ça ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeurs cisco
En gros, tu veux une presta gratos d’architecture et d’ingénierie sur la ML Frnog ? Raphael On 25 Feb 2014, at 20:40, Jérémy Martin li...@freeheberg.com wrote: Bon, disons que chez nous, l'électricité n'est pas forcément un problème... Je continue de réfléchir au problème, soit je bouge en BGP, soit je reste en OSPF en mode plus sérieux en routage/switch de salle. Au final, la technique pour le faire en BGP est assez simple non ? Je monde une session avec mon routeur de bordure, le routeur de salle annonce les routes /32 qu'il souhaite géreren dehors du routage dynamique, et ça marche, en gros c'est ça ? Jérémy Le 25/02/2014 20:21, Radu-Adrian Feurdean a écrit : On Tue, Feb 25, 2014, at 18:41, Jérôme Nicolle wrote: pour le coup. Et non, un 6k ça coute pas cher, plutôt moins qu'un 3560G pour une config à plusieurs linecard 48 ports giga. 6509+SUP32 rempli de 6548GE-TX tu vas toucher ça à moins de 2.5k€, contre 3.5k€ au cours actuel du 3560G 48 ports. 1. Un 3560G en broke coute moins de 3000 EUR (en bonne condition) 2. Apres moins de 6 mois, tu finis par payer bien plus que la difference en electricite. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Points d'échange et écoute légale
Hello, Y'a rien sur Franceix . C'est pour ça que des le départ avec Maurice, nous avions insisté pour que ce soit associatif afin que les sociétés qui nous ont aidés à le créer ne fassent pas ingérence. Franceix est neutre et le restera. Raphael Sent from my iPhone On 17 Feb 2014, at 11:37, Spyou r...@spyou.org wrote: Le 17/02/2014 10:12, Stephane Bortzmeyer a écrit : [Non, ce n'est PAS un troll, c'est une vraie question sérieuse.] Relisant un article sur les écoutes au DE-CIX http://www.h-online.com/news/item/PRISM-scandal-internet-exchange-points-as-targets-for-surveillance-1909989.html (ou http://www.heise.de/newsticker/meldung/NSA-Abhoerskandal-PRISM-Internet-Austauschknoten-als-Abhoerziele-1909604.html dans la langue de Konrad Zuse), je me dis que je n'ai pas vu passer d'informations fiables sur la situation dans les points d'échange français. Pour résumer l'article allemand : le DE-CIX fournit des mécanismes d'écoute au BND (la NSA d'outre-Rhin), c'est officiel, pour tout le reste, à vous de deviner. Et en France ? Je ne trouve pas de déclaration officielle ou d'enquête sérieuse. Ce serait une bonne question à poser à la prochaine assemblée générale FranceIX. Mais je ne puis imaginer que des écoutes soient effectuées sur le réseau de l'IX sans que le board de l'actionnaire n'en ai parlé aux membres de l'assemblée générale ^^ /troll --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Reroutages et problèmes sur Internet
Hello, Coupure fibre sur l’Allemagne Raphael On 11 Feb 2014, at 09:26, Frederic Dhieux frede...@syn.fr wrote: Hello, Je vois pas mal de choses se passer depuis ce matin vers 10h (reroutages sur pas mal d'opérateurs, services Google down, etc). Rien qui nous impacte, mais vous avez une idée de ce qui se passe ? Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Reroutages et problèmes sur Internet
C’est depuis hier cette attaque, ce matin c’est clairement la fibre qui est tombé. Normalement ça devrait revenir sous peu Raphael On 11 Feb 2014, at 10:06, Thomas Pedoussaut tho...@pedoussaut.com wrote: Ou peut etre le DDOS en cours (via amplification ntp) http://tech.slashdot.org/story/14/02/11/0349259/ddos-larger-than-the-spamhaus-attack-strikes-us-and-europe On 02/11/2014 03:36 PM, Raphael Maunier wrote: Hello, Coupure fibre sur l’Allemagne Raphael On 11 Feb 2014, at 09:26, Frederic Dhieux frede...@syn.fr wrote: Hello, Je vois pas mal de choses se passer depuis ce matin vers 10h (reroutages sur pas mal d'opérateurs, services Google down, etc). Rien qui nous impacte, mais vous avez une idée de ce qui se passe ? Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Reroutages et problèmes sur Internet
Un trouble dans la force est en mesure de faire des dégâts collatéraux Raphael On 11 Feb 2014, at 10:28, Frederic Dhieux frede...@syn.fr wrote: C'est curieux que Google (dns et google.com) soit down un temps à cause d'une coupure fibre, pour le reste des reroutages par contre c'est plutôt cohérent. Frederic Le 2/11/14 4:09 PM, Raphael Maunier a écrit : C’est depuis hier cette attaque, ce matin c’est clairement la fibre qui est tombé. Normalement ça devrait revenir sous peu Raphael On 11 Feb 2014, at 10:06, Thomas Pedoussaut tho...@pedoussaut.com wrote: Ou peut etre le DDOS en cours (via amplification ntp) http://tech.slashdot.org/story/14/02/11/0349259/ddos-larger-than-the-spamhaus-attack-strikes-us-and-europe On 02/11/2014 03:36 PM, Raphael Maunier wrote: Hello, Coupure fibre sur l’Allemagne Raphael On 11 Feb 2014, at 09:26, Frederic Dhieux frede...@syn.fr wrote: Hello, Je vois pas mal de choses se passer depuis ce matin vers 10h (reroutages sur pas mal d'opérateurs, services Google down, etc). Rien qui nous impacte, mais vous avez une idée de ce qui se passe ? Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Papier de l'OCDE sur les televisions connectées
On y parle de peering :) http://www.oecd-ilibrary.org/science-and-technology/connected-televisions_5jzb36wjqkvg-en Je n’ai pas encore terminé la lecture, mais je partage, le début, mais bon rien qu’à la page 6 : There have been tensions between some content providers and broadband networks over the increasing growth in data traffic and this report illustrates these. Sometimes regulators have stepped in to address these disputes, including a direction that services be reinstated if they involved a cessation, as well as bringing all parties together to discuss differences. Elsewhere, market forces have resolved these issues. The Internet’s model of traffic exchange, using peering and transit, has proven very robust for delivering services to connected televisions. Its market-based approach generally leads to acceptable outcomes with disputes being relatively rare exceptions and it has a proven track record for scaling services. Bonne lecture . Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Peering / net / web ...
Hello, Le soucis se pose lorsque, les offres intéressantes ne sont pas directement sur le réseau d’un opérateur X ou Y et que ce dernier ( pas que Free en l’occurrence ) ne fait pas d’effort pour améliorer la situation. On va causer Net Neutrality toussa, mais globalement, le système best-effort n’est juste plus adapté aux consommateurs que nous sommes. Les US vont de toute façon lancer les services différenciés ( j’extrapole un peu, mais avec ce qui vient de se passer on va y arriver ). Donc, je ne serais pas surpris de voir ce genre d’offre arriver d’ici peu :) De toute façon, ça existe déjà avec le service VOIP est directement lié à l’opérateur de ta box et donc un service ayant une priorité différente sur le réseau. Pour avoir un service de streaming de qualité ( contenu et fonctionnalités ) , ce n’est pas (encore ) disponible chez les FAI existant, et j’ai testé les 3 plus gros, et la qualité / catalogue n’est clairement pas au rendez-vous. On sera obligé de se fournir ailleurs ( Netflix and cie ) et on devra programmer son film la veille pour avoir une chance que ce soit dans la Xbox/ps4//latop pour le lendemain ( et encore ). Dans le futur ( hier ) , le traffic IRC / XMPP / SMTP … sera marginal et ce qui va intéresser les gens c’est d’avoir leurs telephones / tablettes / consoles, donc il faut se concentrer sur ce que demandent 99% des utilisateurs :) Le soucis que je vois, c’est un problème dans la gestion des capacités et une volonté de partie au conflit directement entre les opérateurs / content. Je ne dis pas que le peering doit être gratuit, c’est un choix de l’opérateur de decider l’ouverture de son réseau et d’y “imposer” ses conditions. La ou ça me gene c’est lorsque c’est quasi impossible et que l’ont montre du doigt ces salauds de content qui vont faire imploser Internet ! Pour ma part, je ne vois pas d’inconvenient à payer en plus sur ma connexion @home pour avoir un meilleur service, si tenté que cela soit possible … Raphael On 04 Feb 2014, at 12:39, Solarus sola...@ultrawaves.fr wrote: Le 2014-01-24 15:24, Sylvain Vallerot a écrit : La vie sur le net est devenue un enfer à cause de l'avidité commerciale, le Web est quasi inutilisable sans filtres contre les pop-up, les pubs, Le Web ≠ le Net. En dehors des ports 80 et 443, le Net (IRC, XMPP, SMTP, IMAP) se porte plutôt bien. Je sais que la mode des webmail et autres applis de contenus pour smartphone nous a fait oublier que le Net c'est bien plus que le Web, mais quand même. ;) Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Peering / net / web ...
On 04 Feb 2014, at 14:20, Sylvain Vallerot sylv...@gixe.net wrote: On 04/02/2014 13:14, Raphael Maunier wrote: On va causer Net Neutrality toussa, mais globalement, le système best-effort n’est juste plus adapté aux consommateurs que nous sommes. Consommateur que tu es, si ça te suffit. J'espère qu'il y a encore des ingénieurs ici qui ont conscience que ça ne suffit pas et que internet n'est pas un outil pour consommer mais aussi pour produire, et qu'ils défendront ce modèle pour le bien de tout le monde parce que c'est ce modèle qui a fait qu'internet a pu se développer. Sauf que à la maison et quand je vais chez des Amis, Internet est un outil consommable. Je vais expliquer à ma fille de 06 ans : ça rame, mais tu sais il faut continuer le combat contre les méchants et ça va ramer encore Sans déconner, il faut sortir justement de ce monde “d’ingénieur”. C’est cette vision trop technique qui a coulé bon nombre de boites par le passé. C’est un bien de consommation, point, ce n’est plus un “bien technique”. C’est justement a l’ingénieur de s’adapter ( théorie de l’evolution toussa ) Les US vont de toute façon lancer les services différenciés C'est déjà fait, et même en France ça existe. https://lists.fdn.fr/wws/arc/fai-locaux/2014-01/msg00034.html Je ne suis pas encore en mesure chez moi sur mes adsl de choisir un service premium pour avoir Youtube / Netflix / PSN avec un debit sans contrainte. Donc pour le grand public ( essaie juste de te mettre dans la peau de ces gens la ), sauf pour le mobile ou on a été habitué , ça n’existe pas Dans le futur ( hier ) , le traffic IRC / XMPP / SMTP … sera marginal Parce que des opérateurs qui raisonnent pognon et encouragés par des ingénieurs qui tiennent ce discours (science sans conscience) auront bridé internet pour le réduire à ce qui leur permet de faire du fric. Rapport avec la choucroute ? L’époque ou tout le monde savait utiliser un PC est révolu. Un enfant de 3 ans / 6 / 9 ans sait utiliser un ipad/android/console, mais est incapable d’utiliser un PC correctement. Si les applications se tournent vers tout ce qui est apps / web, ce n’est pas le choix des opérateurs, ce sont les usages et les nouveautés que nous apportent les constructeurs ( Samsung / Apple … ) Et bon, aussi, ou est le mal dans “faire du fric” ? L’URSS c’est terminé hein. Malheureusement on sait que l'offre crée la demande, que la lobotomie fonctionne et que TF1 continue de faire de l’audience. il faut se concentrer sur ce que demandent 99% des utilisateurs :) Ca va simplifier les configs des FW, aller, OSEF. Pour ma part, je ne vois pas d’inconvenient à payer en plus sur ma connexion @home pour avoir un meilleur service, Cela pose tout de même quelques questions. Par exemple qui va payer pour un service qui n'existe pas encore, et donc comment ce service pourra-t-il un jour éclore s'il est invisible des internautes ? Autrement dit qui pourra verrouiller l'innovation ? Ensuite, ceux qui n'ont pas les moyens ils auront juste un internet de seconde zone avec accès aux contenus qui vampirisent leur vie privée ? Autant dire tout de suite que les FAI seront des batteries d'élevage, ce qui est déjà un peu le cas puisque personne ne fait le boulot d'éduquer les internautes, les marchands s'en chargent avec leur seul intérêt en ligne de mire. C’est la vie. Quand tu visites un immeuble sur NYC, pour accéder a l’étage X tu paie 20$, pour aller X+10 étages, c’est 20$+5, etc etc. Donc celui qui n’a pas les moyens voit presque la meme chose, et c’est comme ça. Désolé, mais le monde idéaliste que tu vois n’existe/ra pas. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Peering / net / web ...
On 04 Feb 2014, at 14:40, Simon Morvan gar...@zone84.net wrote: Le 04/02/2014 14:35, Raphael Maunier a écrit : Je vais expliquer à ma fille de 06 ans : ça rame, mais tu sais il faut continuer le combat contre les méchants et ça va ramer encore Tu peux lui expliquer pourquoi ça rame, à défaut de lui expliquer pourquoi il faut se battre. J’aimerais assez que mes enfants ne fassent pas le meme metier que moi :) Je préférerais qu’ils se battent pour une autre cause que celle du peering en fait ! Ceci dit, les ingénieurs que nous sommes ont une position privilégiée parce qu'il savent comment cela fonctionne techniquement, et c'est quelque chose qui sera utile à ta fille pour son avenir, plus que de savoir qu'en ajoutant 10€, ca rame plus. (meme si au final, tu payes). Le truc, c’est que de plus en plus les gens ne veulent PAS savoir. En restant dans notre monde, oui , tu vois que des gens qui veulent savoir. Mais ailleurs, ils s’en contrefichent et une grande majorité croit encore que les salles machines en France sont opérés par les PTT et que nous sommes tous leurs clients ( c’est du vécu celle-ci ) (et tu devrais padder un zéro de plus, ta fille à de bonnes chances d'avoir besoin d'un nombre à trois chiffres). ;) La terre aura explosé bien avant, alors :) -- Simon --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Peering / net / web ...
On 04 Feb 2014, at 15:11, Sylvain Vallerot sylv...@gixe.net wrote: Je crois que tu confonds s'adapter et régresser, ou se résigner. Nope, je sors et je regarde autour de moi, c’est tout. Sinon, je n’aurais pas risqué tout pour créer FranceIX à l’époque hein :) L'explosion des volumes, de la HD ou de la VOD par exemple n'est pas un enjeu de société ni pour les individus. Tu as raison, la télévision n’a pas été une révolution industrielle, tout comme la radio. La VOD / TV sur telephone / maison sont des elements qui font partie de l’evolution technologique La conservation d'un outil neutre qui permet l'innovation et la participation des internautes par contre est un enjeu de société, et la capacité d'accéder de manière non truquée à tous les contenus et de pouvoir y participer est un enjeu pour l’individu. Ou j’ai dis que ce n’était pas neutre. Neutre =! gratuit !!! Rapport avec la choucroute ? L’époque ou tout le monde savait utiliser un PC est révolu. Un enfant de 3 ans / 6 / 9 ans sait utiliser un ipad/android/console, mais est incapable d’utiliser un PC correctement. Si tu apprends à un gosse à utiliser IRC au lieu de FaceBook il te surprendra. C'est toi qui fait le choix de le faire rentrer dans le moule ou de lui montrer les alternatives. Mais bien sur ! J’ai 2 gosses, qui ont 2 caractères complètement différents ( pas jumeaux etc etc ), et genre dans le quartier ou j’habite, pareil environ une 20aine de couples avec des enfants et bien on est tous des lobotomisés et stupide car notre intérêt ce n’est pas de voir nos enfants faire de l’irc, mais plutôt de s’épanouir sur d’autres sujets. Et oui une fille ça demande encore à faire de la danse avec ces copines et une garçon … rien glander ! Donc, soit tu es un caporal chef, soit tu essayes de t’adapter, et le mode caporal chef avec des enfants, je ne suis pas trop fan. Ce n’est pas parce que ton metier c’est de bosser dans le milieu que tu veux en faire des padawans ! Bref, on s’éloigne un peu du sujet, mais non, ce n’est pas les parents à 100% qui défini ce que qu’aiment / feront les enfants. Si les applications se tournent vers tout ce qui est apps / web, ce n’est pas le choix des opérateurs, ce sont les usages et les nouveautés que nous apportent les constructeurs ( Samsung / Apple … ) Franchement rien de tout ça n'est porteur de fond ni de progrès pour l'individu. Plus kikoo lol, plus joli, mais surtout plus lourd, plus buggué, et moteur de la pompe à consommer. Si on avait des téléphones en mode console ils seraient peut-être tout aussi efficaces et moins énergivores. Evidement angry birds ce serait moins joli... coup dur pour l'humanité ! Par contre mon FAI 3g ne sentirait pas obligé de réécrire mes requêtes à la volée. Non, mais WTF, tu crois vraiment que l’ado de 12 ans qui passe son temps a s’échanger des sms mielleux avec son copain/copine à envie de faire une session en console sur son tel ? Nan mais, tu es trop resté dans ta cave ces derniers temps. Ils s’en fichent, et très franchement, à la maison, avec mes gamins quand son ipad / console plante : Have You Tried Turning It Off And On Again? http://www.youtube.com/watch?v=nn2FB1P_Mn8 Et bon, aussi, ou est le mal dans “faire du fric” ? J'ai pas dit que c'était mal : c'est la logique du commerçant. Mais le public n'a pas vocation à se laisser réduire au statut de consommateur ni à accepter la restriction de sa liberté de choix dans l'intérêt du commerçant. Le gros soucis, c’est l’éducation. On vous a bassiné la tete que tout devait être gratuit / libre ( linux, le peering, etc etc ). Nous sommes dans une société de consommation, il va falloir t’y faire, et l’accepter. C’est la vie. Quand tu visites un immeuble sur NYC, pour accéder a l’étage X tu paie 20$, pour aller X+10 étages, c’est 20$+5, etc etc. Donc celui qui n’a pas les moyens voit presque la meme chose, et c’est comme ça. Tu confonds payer plus pour avoir plus, et payer plus pour conserver la liberté de choisir. Non, je parlais d’acheter en fonction de ces moyens, c’est tout. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Peering / net / web ...
On 04 Feb 2014, at 15:38, Alarig Le Lay ala...@swordarmor.fr wrote: On Tue, Feb 04, 2014 at 02:35:12PM +0100, Raphael Maunier wrote: On 04 Feb 2014, at 14:20, Sylvain Vallerot sylv...@gixe.net wrote: On 04/02/2014 13:14, Raphael Maunier wrote: Consommateur que tu es, si ça te suffit. Pour ma part consammateur je lui suis le moins possible et je trouve déjà ça trop. Sauf que à la maison et quand je vais chez des Amis, Internet est un outil consommable. Et bien si des gens comme toi (qui sont le plus à même de défendre le net propre) ne le défendent pas, il y a en effet de fortes chances que demain nous n’ayons plus accès qu’à cccp.ru en version française (puisque tu as l’air d’aimer l’URSS). Je vais expliquer à ma fille de 06 ans : ça rame, mais tu sais il faut continuer le combat contre les méchants et ça va ramer encore Et bien oui, tu peux au moins lui expliquer, libre à elle de juger s’ils sont méchants ou pas. L’ignorence d’un peuple est le terreau de toute dictature. C’est impressionnant de voir comment vous voyez des dictatures partout et à vouloir toujours vous rebeller ! Sans déconner, il faut sortir justement de ce monde “d’ingénieur”. C’est cette vision trop technique qui a coulé bon nombre de boites par le passé. C’est un bien de consommation, point, ce n’est plus un “bien technique”. C’est justement a l’ingénieur de s’adapter ( théorie de l’evolution toussa ) Je peux t’assurer que si demain Apple ou Google dit qu’il faut utiliser Internet de façon éthique, pas mal de monde le fera les yeux fermés. Je ne suis pas encore en mesure chez moi sur mes adsl de choisir un service premium pour avoir Youtube / Netflix / PSN avec un debit sans contrainte. Donc pour le grand public ( essaie juste de te mettre dans la peau de ces gens la ), sauf pour le mobile ou on a été habitué , ça n’existe pas Dans le futur ( hier ) , le traffic IRC / XMPP / SMTP … sera marginal Parce que des opérateurs qui raisonnent pognon et encouragés par des ingénieurs qui tiennent ce discours (science sans conscience) auront bridé internet pour le réduire à ce qui leur permet de faire du fric. Rapport avec la choucroute ? L’époque ou tout le monde savait utiliser un PC est révolu. Un enfant de 3 ans / 6 / 9 ans sait utiliser un ipad/android/console, mais est incapable d’utiliser un PC correctement. J’ai bien envie de te revoyer ta question de rapport avec la choucroute. On parle la de la voie que prend le net, pas de technogies d’infrastructure physique. Sauf que le net est maintenant affaire d’apps et d’usages. Ce n’est plus celui que vous avez connu dans les années 90 ! Le terminal est devenu pour les gens Internet, c’est aussi simple que ça ! Si les applications se tournent vers tout ce qui est apps / web, ce n’est pas le choix des opérateurs, ce sont les usages et les nouveautés que nous apportent les constructeurs ( Samsung / Apple … ) Et bon, aussi, ou est le mal dans “faire du fric” ? L’URSS c’est terminé hein. Le mal ? Aucun. Embrigader ses utilisateurs pour en faire encore plus, déjà plus. L’URSS a effectivement coulée depuis longtemps mais ce n’est pas une raison pour faire son capitaliste de base. Malheureusement on sait que l'offre crée la demande, que la lobotomie fonctionne et que TF1 continue de faire de l’audience. C’est un très gros problème, et beaucoup d’autres n’existeraient pas sans celui-là mais malheureusement je crois qu’il est très dur à régler. Pour ma part, je ne vois pas d’inconvenient à payer en plus sur ma connexion @home pour avoir un meilleur service, Cela pose tout de même quelques questions. Par exemple qui va payer pour un service qui n'existe pas encore, et donc comment ce service pourra-t-il un jour éclore s'il est invisible des internautes ? Autrement dit qui pourra verrouiller l'innovation ? Ensuite, ceux qui n'ont pas les moyens ils auront juste un internet de seconde zone avec accès aux contenus qui vampirisent leur vie privée ? Autant dire tout de suite que les FAI seront des batteries d'élevage, ce qui est déjà un peu le cas puisque personne ne fait le boulot d'éduquer les internautes, les marchands s'en chargent avec leur seul intérêt en ligne de mire. C’est la vie. Quand tu visites un immeuble sur NYC, pour accéder a l’étage X tu paie 20$, pour aller X+10 étages, c’est 20$+5, etc etc. Donc celui qui n’a pas les moyens voit presque la meme chose, et c’est comme ça. Désolé, mais le monde idéaliste que tu vois n’existe/ra pas. Dans ce cas demain on te coupe tes droits à la retraire, aux congés payés, aux soins, à l’éducation et à tout ce qui touche à l’État providence (ou ce qu’il en reste), ça devrait te calmer un peu. Rapport avec le sujet ? aucun, mais bon : Tu vois sur mes charges sociales tous les mois je paie des … cotisations et j’en paie une tonne. Je paie aussi mes impôts, c’est fou ! Je n’ai pas de problème de payer plus pour les
Re: [FRnOG] [MISC] Peering / net / web ...
Bon, Je crois que je vais stopper d’argumenter avec qqn qui cache grossièrement des insultes dans des mails ! Meme si je suis “visiblement” stupide et que je “visiblement je ne sais pas élever mes enfants, je suis encore capable de le voir :) Bref, cette discussion est stérile et vouée à déraper, j'ai encore l’intelligence d’arrêter de répondre à qqn qui n’a pas d’experience dans les réseaux opérateurs et qui se permet de juger :) Raphael On 04 Feb 2014, at 16:48, technicien hahd technic...@hahd.fr wrote: On Tuesday 04 February 2014 15:44:14 Raphael Maunier wrote: On 04 Feb 2014, at 15:11, Sylvain Vallerot sylv...@gixe.net wrote: Je crois que tu confonds s'adapter et régresser, ou se résigner. Nope, je sors et je regarde autour de moi, c’est tout. Sinon, je n’aurais pas risqué tout pour créer FranceIX à l’époque hein :) L'explosion des volumes, de la HD ou de la VOD par exemple n'est pas un enjeu de société ni pour les individus. Tu as raison, la télévision n’a pas été une révolution industrielle, tout comme la radio. La VOD / TV sur telephone / maison sont des elements qui font partie de l’evolution technologique La télévision, média de masse popularisé par hitler dans l'allemagne nazie pour faire de la propagande politique, tu appelles ça une révolution industrielle ? Oui c'est ça l'histoire de la télévision et c'est même documenté en vidéo dans le documentaire: Television Under The Swastika. https://www.youtube.com/watch?v=q-yCsTHLxXs Et quand bien même, une révolution industrielle ou une évolution technologique ne sont souhaitable que si elles présentent un intérêt global pour la société. L'exemple de la télévision est pour cela plutôt bien choisi puisque les effets sont largement étudiés et font consensus comme expliqué ici: https://www.youtube.com/watch?v=NvMNf0Po1wY La télévision qui vient envahir internet et les plateformes mobiles, ce n'est pas pour le bien-être individuel ou pour faire progresser la société comme tu le sous-entends. Mais je veux bien que tu me donne tort en étayant un peu ton opinion. La conservation d'un outil neutre qui permet l'innovation et la participation des internautes par contre est un enjeu de société, et la capacité d'accéder de manière non truquée à tous les contenus et de pouvoir y participer est un enjeu pour l’individu. Ou j’ai dis que ce n’était pas neutre. Neutre =! gratuit !!! Ne te fais pas plus stupide que tu n'es, tu as bien compris que la problèmatique de la neutralité d'Internet commercial est une question de plus d'argent pour moins de problèmes téchniques mais ce n'est pas le sujet ici. Ici il est question de l'importance au niveau social pour les individus de pouvoir accéder librement à l'information et de contribuer librement. Et si Alice a accès à plus de liberté parce qu'elle paye plus cher que Bob, c'est là qu'on a un problème. Avec un Internet entièrement gratuit la problèmatique de la neutralité serait toujours présente. Le fournisseur de tuyau qui ne gagne pas d'argent avec ses tuyaux n'a aucune motivation a truquer ses tuyaux pour en gagner plus, mais les pouvoirs politiques ont toujours intérêts à contrôler l'accès à l'information et à surveiller pour savoir qui fait quoi. Rapport avec la choucroute ? L’époque ou tout le monde savait utiliser un PC est révolu. Un enfant de 3 ans / 6 / 9 ans sait utiliser un ipad/android/console, mais est incapable d’utiliser un PC correctement. Si tu apprends à un gosse à utiliser IRC au lieu de FaceBook il te surprendra. C'est toi qui fait le choix de le faire rentrer dans le moule ou de lui montrer les alternatives. Mais bien sur ! J’ai 2 gosses, qui ont 2 caractères complètement différents ( pas jumeaux etc etc ), et genre dans le quartier ou j’habite, pareil environ une 20aine de couples avec des enfants et bien on est tous des lobotomisés et stupide car notre intérêt ce n’est pas de voir nos enfants faire de l’irc, mais plutôt de s’épanouir sur d’autres sujets. Et oui une fille ça demande encore à faire de la danse avec ces copines et une garçon … rien glander ! Donc, soit tu es un caporal chef, soit tu essayes de t’adapter, et le mode caporal chef avec des enfants, je ne suis pas trop fan. Ce n’est pas parce que ton metier c’est de bosser dans le milieu que tu veux en faire des padawans ! Une expérience personnelle aussi élargie soit elle n'est pas recevable comme argument valide. Comme exemple illustratif éventuellement, mais tu vas faire rire bien du monde en disant que le monde entier fonctionne comme tu le penses parce que ce que tu perçois et interprètes de tes enfants et de ceux de tes amis se conforme à ta vision des choses. Essaye de nous trouver des arguments basés sur ce qui se dit en sociologie ou en pédagogie, ça aura plus de valeur dans la discussion. Bref, on s’éloigne un peu du sujet, mais non, ce n’est pas les parents à 100
Re: [FRnOG] [MISC] Amplifications NTP
Nan, Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie sur leurs routeurs comment dire :) Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour tout bloquer sur la loopback ! Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse et tu l’utilise direct. En gros, on fait du tuning de routeur :) On 01 Feb 2014, at 16:55, Clement Cavadore clem...@cavadore.net wrote: SRSLY ? Non, mais franchement, les mecs qui développent le software sur les équipements réseau (quel que soient les constructeurs), est-ce qu'ils imaginent/réalisent que leur code est vraiment utilisé dans autre chose que des lab ? On Sat, 2014-02-01 at 16:30 +0100, Olivier Benghozi wrote: Sans compter les Juniper dont le client ntp fait aussi spontanément serveur alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens parfaitement adaptés à relayer du DDoS. http://www.gossamer-threads.com/lists/nsp/juniper/49151 Quelle blague. Le 1 févr. 2014 à 15:16, Frederic Dhieux frede...@syn.fr a écrit : Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par erreur a été utilisé pour de l'amplification, c'était effectivement assez visible en volume sortant chez nous et plutôt agressif. Sans Netflow on ne l'aurait surement pas vu avant un moment... Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des gens qui trouvent le marché de l'anti-DDoS en France pas assez florissant en ce moment :p Frédéric Le 01/02/2014 14:55, David Ramahefason a écrit : COLT en souffre sur Paris depuis qq jours. -- David Ramahefason Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
Pour Juniper : set policy-options prefix-list ipv4-ntp-sources apply-path system ntp server *” extrait de conf à appliquer sur la loopback : set firewall family inet filter protect-routing-engine term ntp from source-prefix-list ipv4-ntp-sources set firewall family inet filter protect-routing-engine term ntp from protocol udp set firewall family inet filter protect-routing-engine term ntp from port ntp set firewall family inet filter protect-routing-engine term ntp then accept set firewall family inet filter protect-routing-engine term you-shall-not-pass then log set firewall family inet filter protect-routing-engine term you-shall-not-pass then discard On 01 Feb 2014, at 18:18, Raphael Maunier raph...@maunier.net wrote: Nan, Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie sur leurs routeurs comment dire :) Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour tout bloquer sur la loopback ! Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse et tu l’utilise direct. En gros, on fait du tuning de routeur :) On 01 Feb 2014, at 16:55, Clement Cavadore clem...@cavadore.net wrote: SRSLY ? Non, mais franchement, les mecs qui développent le software sur les équipements réseau (quel que soient les constructeurs), est-ce qu'ils imaginent/réalisent que leur code est vraiment utilisé dans autre chose que des lab ? On Sat, 2014-02-01 at 16:30 +0100, Olivier Benghozi wrote: Sans compter les Juniper dont le client ntp fait aussi spontanément serveur alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens parfaitement adaptés à relayer du DDoS. http://www.gossamer-threads.com/lists/nsp/juniper/49151 Quelle blague. Le 1 févr. 2014 à 15:16, Frederic Dhieux frede...@syn.fr a écrit : Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par erreur a été utilisé pour de l'amplification, c'était effectivement assez visible en volume sortant chez nous et plutôt agressif. Sans Netflow on ne l'aurait surement pas vu avant un moment... Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des gens qui trouvent le marché de l'anti-DDoS en France pas assez florissant en ce moment :p Frédéric Le 01/02/2014 14:55, David Ramahefason a écrit : COLT en souffre sur Paris depuis qq jours. -- David Ramahefason Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit: Hello tous certaines infrastructures doivent prendre très chère avec les amplifications NTP en cours ! a+ Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On va dire ça, si ça te rend heureux On 01 Feb 2014, at 20:07, Sidney Boumendil sidney.boumen...@gmail.com wrote: Le 1 février 2014 18:18, Raphael Maunier raph...@maunier.net a écrit : Mais si les mecs mettent pas par défaut les bonnes règles d'ingénierie sur leurs routeurs comment dire :) Dans d'autres circonstances ont t'aurait entendu dire que le constructeur X ou Y est naze d'activer des services par défaut et non documenté sans pouvoir les désactiver. Mais comme tu dois encore refourguer du Juniper il est plus simple de rejeter la balle chez ces imbéciles de clients. C'est de l'objectivité à géométrie variable en somme. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On 01 Feb 2014, at 22:02, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote: Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse et tu l’utilise direct. Si on devait avoir des voitures comme les routeurs, apres l'achat il faudrait automatiquement faire : - changer les penus - faire une vidange - flasher l'ordinateur de bord (avec la derniere version qui a telle ou telle fonctionalite et pas tel ou tel bug) - faire une vingtaine de reglages cote moteur faute de quoi on risque d'arriver a l'hosiptal ou au cimitiere au lieu de chez soi. C’est bien ce que je dis, tu dois forcement faire des choses sur tout les routeurs que ce soit, Juniper, Cisco, Brocade ( surtout ) , and cie. Tu ne peux pas juste passer ta commande, prendre le routeur, et faire le wizard BGP :) En gros, on fait du tuning de routeur :) Oui, sauf que la on est dans plein bug-fix. Y a plein de bugs que pleins de gens ne voient pas parce que les règles d’ingénierie sont bonnes des le depart. C’est justement que je connais bien Juniper que je ne fais pas 100% confiance et que je fais en sorte de ne pas avoir ce genre de problème. J’ai en ce moment plus de 4 ou 5 bugs complement pourris avec Juniper et des trucs bien débiles. L’avantage, c’est que je peux tester facilement, avoir accès du lab pour trouver ou ça coince ! Il faut arrêter de croire que parce que j’utilise et que j’en ai vendu que chez Juniper est tout rose pour moi aussi :) J’ai fais 3 nuits debug bien agréables sur du junos ou d’une version à une autre tu n’as pas le meme comportement. Pareil lorsque tu changes de version ( c’est le cas pour le NTP par exemple ), il y a des failles qui apparaissent. Ils sont super fort pour aussi changer certains paramètres de configuration, ou d’une version x.x vers x.y et , tu dois changer tes templates. ( je crois que ça c’est la chose la plus pénible que j’ai en ce moment ) Bref, les constructeurs font et feront toujours de la merde, on le sait tous, et c’est au client de se prémunir, de réparer, et d’avoir une meilleure reduc la prochaine fois que ton gentil commercial viendra te payer à bouffer ! Imagine que chaque fois que tu fais un telnet depuis un routeur, le serveur telnet s'active….. Bah il faut s’y attendre ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On 01 Feb 2014, at 21:47, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote: Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie sur leurs routeurs comment dire :) Tu parles de mecs de Juniper je suppose. Parce qu'activer le client et avoir en cadeau le serveur comment dire .. Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour tout bloquer sur la loopback ! OK, je ne suis pas expert Juniper, mais des IP il n'y a pas QUE sur la loopback. Et a certaines occasions on a bien besoin que les interfaces recoivent du traffic a traiter en control-plane. Donc le tout bloquer sauf _ a l'exception de _ quand _ . Mais bon, c'est bien connu, tous les problemes de l'humanite peuvent etre resolus en utilisant la methode Yaka Fokon dans ce cas, mettre des filtres a gogo”. Sur un Juniper, tu bloques le traffic à destination du routeur via la loopback et les règles s’appliquent pour l’ensemble du routeur. Si tu veux faire des règles plus spécifique pour un port, tu dois le faire effectivement sur l’interface De toute façon, ton routeur ne doit pas accepter de traffic sauf : - SSH pour l’admin - SNMP pour tes graphs - BGP des peers - ICMP / traceroute … ( en rate-limitant ) Ensuite Il doit pouvoir faire : - DNS / NTP - Netflow - Traceroute / icmp J’oublie surement des trucs, mais c’est effectivement un routeur, pas un serveur, donc, il faut fout fermer :) J’ai un template que j’utilise qui est fait dans ce sens. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch supermicro
On 06 Jan 2014, at 13:56, Frédéric GANDER fgan...@corp.free.fr wrote: baaa si les équipementiers était de bon vendeurs de ram j'aurais moins d'erreur ecc sur la ram de mes linecard ;) de nos jours les switch d'aggregation l2 d'entrée de gamme chez beaucoup de constructeurs sont basés sur des chipset de société comme marvell ou broadcom qui font aussi des cartes réseau ;) et les procédés techniques utilisés pour graver les cpu des pc sont largement plus avancés que ceux utilisés pour faire les asic / np des routeurs Osef du hw au final, ce qui importe c’est le soft. Je ne suis pas persuadé qu’ils puissent faire un code qui tourne sans 40k bugs et surtout d’avoir les experts au noc pour te répondre en cas de soucis. Dire que qu'un pc c'est de la merde c'est un peut facile un pc peut router et manipuler (tunneler/ encapsuler / filtrer etc) 60gbit/s de trafic sans broncher. certain routeur je ne suis pas sur … Tss, je n’ai PAS dis que c’était de la merde. J’ai dis, un fabricant/vendeur de PC n’est pas un équipementier réseau. A l’heure du SDN et des routeurs/switch virtuels dans ton environnement Claude, je sais très bien que ça fonctionne. D’ailleurs pour des infra en dessous du 10G, les routeurs virtuels comme Juniper ( et meme cisco à ce qu’on m’a dit) sont tres largement plus économique/performante que les solutions HW. bref pour chaque usage il y a plusieurs solutions et elles sont pas forcement mauvaises. un switch simple supermicro de base peut être tout aussi bien que de brancher tes ports sur un routeur de 200 port qui plante car trop complexe Mouais, franchement meme si je suis Juniper :) Quand y a pas de budget, je préfère orienter les mecs sur du cisco au broke genre 2960/3560. Ca juste marche ! - Mail original - De: Raphaël Maunier raph...@maunier.net À: Frédéric GANDER fgan...@corp.free.fr Cc: frnog-tech frnog-t...@frnog.org, Jérémy Martin li...@freeheberg.com Envoyé: Lundi 6 Janvier 2014 13:36:24 Objet: Re: [FRnOG] [TECH] Switch supermicro Envoyé de mon iPad Le 6 janv. 2014 à 13:31, Frédéric GANDER fgan...@corp.free.fr a écrit : - Mail original - De: Raphael Maunier raph...@maunier.net À: Jérémy Martin li...@freeheberg.com Cc: frnog-tech frnog-t...@frnog.org Envoyé: Lundi 6 Janvier 2014 12:18:45 Objet: Re: [FRnOG] [TECH] Switch supermicro Salut Jérémy, Avec les nombreux pb que tu as pu avoir, tu es encore à regarder les équipementiers dont métier premier n’est pas le réseau ? Tu as encore envie d’essuyer des bugs à répétition ? Un support qui ne maitrise pas le layer-2 ? baa juniper heim c'était pas les spécialistes du l2 non plus ;) il y a une courbe d'apprentissage plus ou moins longue C'est justement pour cela que j'en parle ! Quand j'ai pris de l'EX au début du L2 chez Juniper, la peinture n'était clairement pas fraîche. Je dirais même qu'il y en avait même pas ! Ensuite Juniper vient du réseau et même si le matos était radioactif, lorsque tu contactais le NOC, le mec en face il comprenait et était en mesure de dire : Ouais bon ok, on merde ( encore ) Avec un mec qui vend des barrettes de ram et des cpu, comment dire je doute du niveau d'expertise Raphael On 06 Jan 2014, at 12:13, Jérémy Martin li...@freeheberg.com wrote: Bonjour, Vous avez déjà bossé avec ça ? SSE-G2252 : http://www.supermicro.com/products/accessories/networking/sse-g2252.cfm Ca marche bien ? Fiabilité dans le temps ? Bugs ? SAV en cas de panne ? Merci pour vos retours, -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch supermicro
On 06 Jan 2014, at 19:52, Matthieu Michaud matth...@nxdomain.fr wrote: Pour la maison pourquoi pas :) Mais très franchement , pour ma cave, j’ai acheté un Cisco2960G au broke pour une bouchée de pain c'est bien mal connaitre ces produits. l'ex-gamme 3com est pas si mal que ça en pratique. Testé et pas validé ! Pb avec du mstp à l'époque et c'était même avec des châssis. Bref, pour un Switch dans une baie pas connecté à une archi spanning-tree 2014/1/6 Raphael Maunier raph...@maunier.net Fonctions d'administration IMC - Intelligent Management Center interface de ligne de commande limitée navigateur Web Pour la maison pourquoi pas :) Mais très franchement , pour ma cave, j’ai acheté un Cisco2960G au broke pour une bouchée de pain Apres HP pourra se vanter d’être le deuxième équipementier L2, c’est normal car lorsque tu as commandé une imprimante tu as un switch en goodies :) On 06 Jan 2014, at 14:17, Yohann QUINTON yohann.quin...@awedia.com wrote: Hello, http://www8.hp.com/fr/fr/products/networking-switches/product-detail.html?oid=4177649#!tab=specs Même combat ? -- Yohann Awedia Le 06/01/2014 15:01, Raphael Maunier a écrit : On 06 Jan 2014, at 13:56, Frédéric GANDER fgan...@corp.free.fr wrote: baaa si les équipementiers était de bon vendeurs de ram j'aurais moins d'erreur ecc sur la ram de mes linecard ;) de nos jours les switch d'aggregation l2 d'entrée de gamme chez beaucoup de constructeurs sont basés sur des chipset de société comme marvell ou broadcom qui font aussi des cartes réseau ;) et les procédés techniques utilisés pour graver les cpu des pc sont largement plus avancés que ceux utilisés pour faire les asic / np des routeurs Osef du hw au final, ce qui importe c’est le soft. Je ne suis pas persuadé qu’ils puissent faire un code qui tourne sans 40k bugs et surtout d’avoir les experts au noc pour te répondre en cas de soucis. Dire que qu'un pc c'est de la merde c'est un peut facile un pc peut router et manipuler (tunneler/ encapsuler / filtrer etc) 60gbit/s de trafic sans broncher. certain routeur je ne suis pas sur … Tss, je n’ai PAS dis que c’était de la merde. J’ai dis, un fabricant/vendeur de PC n’est pas un équipementier réseau. A l’heure du SDN et des routeurs/switch virtuels dans ton environnement Claude, je sais très bien que ça fonctionne. D’ailleurs pour des infra en dessous du 10G, les routeurs virtuels comme Juniper ( et meme cisco à ce qu’on m’a dit) sont tres largement plus économique/performante que les solutions HW. bref pour chaque usage il y a plusieurs solutions et elles sont pas forcement mauvaises. un switch simple supermicro de base peut être tout aussi bien que de brancher tes ports sur un routeur de 200 port qui plante car trop complexe Mouais, franchement meme si je suis Juniper :) Quand y a pas de budget, je préfère orienter les mecs sur du cisco au broke genre 2960/3560. Ca juste marche ! - Mail original - De: Raphaël Maunier raph...@maunier.net À: Frédéric GANDER fgan...@corp.free.fr Cc: frnog-tech frnog-t...@frnog.org, Jérémy Martin li...@freeheberg.com Envoyé: Lundi 6 Janvier 2014 13:36:24 Objet: Re: [FRnOG] [TECH] Switch supermicro Envoyé de mon iPad Le 6 janv. 2014 à 13:31, Frédéric GANDER fgan...@corp.free.fr a écrit : - Mail original - De: Raphael Maunier raph...@maunier.net À: Jérémy Martin li...@freeheberg.com Cc: frnog-tech frnog-t...@frnog.org Envoyé: Lundi 6 Janvier 2014 12:18:45 Objet: Re: [FRnOG] [TECH] Switch supermicro Salut Jérémy, Avec les nombreux pb que tu as pu avoir, tu es encore à regarder les équipementiers dont métier premier n’est pas le réseau ? Tu as encore envie d’essuyer des bugs à répétition ? Un support qui ne maitrise pas le layer-2 ? baa juniper heim c'était pas les spécialistes du l2 non plus ;) il y a une courbe d'apprentissage plus ou moins longue C'est justement pour cela que j'en parle ! Quand j'ai pris de l'EX au début du L2 chez Juniper, la peinture n'était clairement pas fraîche. Je dirais même qu'il y en avait même pas ! Ensuite Juniper vient du réseau et même si le matos était radioactif, lorsque tu contactais le NOC, le mec en face il comprenait et était en mesure de dire : Ouais bon ok, on merde ( encore ) Avec un mec qui vend des barrettes de ram et des cpu, comment dire je doute du niveau d'expertise Raphael On 06 Jan 2014, at 12:13, Jérémy Martin li...@freeheberg.com wrote: Bonjour, Vous avez déjà bossé avec ça ? SSE-G2252 : http://www.supermicro.com/products/accessories/networking/sse-g2252.cfm Ca marche bien ? Fiabilité dans le temps ? Bugs ? SAV en cas de panne ? Merci pour vos retours, -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion
Re: [FRnOG] [TECH] Switch supermicro
Sent from my iPhone On 06 Jan 2014, at 20:05, Matthieu Michaud matth...@nxdomain.fr wrote: Tu parles de quelles gamme et quelle OS ? Houla c'était en 2009 et des châssis procurve. J'avais eu des reboots des re Il y avait un pdf jadis qui tournait faisant etat precisemment de l'interop cisco/procurve et il y'en avait bien. C'était des bug assez étrange ou le châssis partait en vrille . Genre ça marchait et paf le chien ça cessait de switcher. Il etait ecrit par un ccie et relevait des mauvais comportements des deux côtés. Il faut pas croire que c'est tout le temps la faute de !(cisco)... Bah les 2960 avec plus de 20 vlans et du mstp et 2 ou 3 boucles ben si ça flappe , ton réseau est par terre pendant 10 minutes :) Concernant l'interop cisco/comware, je n'ai jamais rencontré de pb. Je ne cherche plus à faire dans l'exotique . J'ai tenté Brocade et ... J'ai tenté. Un pote a tenté des extrême ( Fisher price pour les intimes) et les switchs partaient aussi en vrille ( conçue en au 6500) lorsque bgp était activé . HP pas mieux. J'ai sous la main un arista, bah pour le moment il fait rien du tout sauf un lag de 16 ports 10g qui pousse ... 160g ben ça marche vers un ... Juniper :) mais bon c'est pas folichon non plus hein ! Je suis sur Lab en ce moment avec du cluster hadoop avec 250 serveurs et vu les trucs de merde que j'ai sur les 5 stacks, je suis content d'avoir un support qui sait de quoi je parle et qui sait lire un pcap et faire un vrai debug. Et ça fait 3 semaines que j'ai des trucs en cascade ( lié principalement à des bugs sur la config des linux ) et Je ne vois même pas en rêve demander à mon client d'acheter autre chose que du Juniper ou s'il est allergique du cisco ! On Jan 6, 2014 7:58 PM, Raphael Maunier raph...@maunier.net wrote: On 06 Jan 2014, at 19:52, Matthieu Michaud matth...@nxdomain.fr wrote: Pour la maison pourquoi pas :) Mais très franchement , pour ma cave, j’ai acheté un Cisco2960G au broke pour une bouchée de pain c'est bien mal connaitre ces produits. l'ex-gamme 3com est pas si mal que ça en pratique. Testé et pas validé ! Pb avec du mstp à l'époque et c'était même avec des châssis. Bref, pour un Switch dans une baie pas connecté à une archi spanning-tree 2014/1/6 Raphael Maunier raph...@maunier.net Fonctions d'administration IMC - Intelligent Management Center interface de ligne de commande limitée navigateur Web Pour la maison pourquoi pas :) Mais très franchement , pour ma cave, j’ai acheté un Cisco2960G au broke pour une bouchée de pain Apres HP pourra se vanter d’être le deuxième équipementier L2, c’est normal car lorsque tu as commandé une imprimante tu as un switch en goodies :) On 06 Jan 2014, at 14:17, Yohann QUINTON yohann.quin...@awedia.com wrote: Hello, http://www8.hp.com/fr/fr/products/networking-switches/product-detail.html?oid=4177649#!tab=specs Même combat ? -- Yohann Awedia Le 06/01/2014 15:01, Raphael Maunier a écrit : On 06 Jan 2014, at 13:56, Frédéric GANDER fgan...@corp.free.fr wrote: baaa si les équipementiers était de bon vendeurs de ram j'aurais moins d'erreur ecc sur la ram de mes linecard ;) de nos jours les switch d'aggregation l2 d'entrée de gamme chez beaucoup de constructeurs sont basés sur des chipset de société comme marvell ou broadcom qui font aussi des cartes réseau ;) et les procédés techniques utilisés pour graver les cpu des pc sont largement plus avancés que ceux utilisés pour faire les asic / np des routeurs Osef du hw au final, ce qui importe c’est le soft. Je ne suis pas persuadé qu’ils puissent faire un code qui tourne sans 40k bugs et surtout d’avoir les experts au noc pour te répondre en cas de soucis. Dire que qu'un pc c'est de la merde c'est un peut facile un pc peut router et manipuler (tunneler/ encapsuler / filtrer etc) 60gbit/s de trafic sans broncher. certain routeur je ne suis pas sur … Tss, je n’ai PAS dis que c’était de la merde. J’ai dis, un fabricant/vendeur de PC n’est pas un équipementier réseau. A l’heure du SDN et des routeurs/switch virtuels dans ton environnement Claude, je sais très bien que ça fonctionne. D’ailleurs pour des infra en dessous du 10G, les routeurs virtuels comme Juniper ( et meme cisco à ce qu’on m’a dit) sont tres largement plus économique/performante que les solutions HW. bref pour chaque usage il y a plusieurs solutions et elles sont pas forcement mauvaises. un switch simple supermicro de base peut être tout aussi bien que de brancher tes ports sur un routeur de 200 port qui plante car trop complexe Mouais, franchement meme si je suis Juniper :) Quand y a pas de budget, je préfère orienter les mecs sur du cisco au broke genre 2960/3560. Ca juste marche ! - Mail original - De: Raphaël Maunier raph...@maunier.net À: Frédéric GANDER fgan...@corp.free.fr Cc: frnog-tech frnog-t
Re: [FRnOG] [TECH] extension chassis virtuel EX4200
Il faut faire gaffe à la latence pour le virtual châssis Testé entre 2 Data ( 2km ) sur un virtual châssis de 8 et ça passait sans soucis Raphael Sent from my iPhone On 02 Dec 2013, at 15:41, fatiha boudj fbo...@yahoo.fr wrote: merci pour ta réponse Le probleme c'est que les ex4500 disposent uniquement de sfp / sfp+ en fait nous disposont de deux chassis virtuels sur deux sites geographiques relies par une fibre de 30km. actuellement nous utilisons des connecteurs xfp. Je ne connais pas trop la techno sfp+ sur le papier sfp+ et xfp semblent identiques techniquement Le Lundi 2 décembre 2013 14h25, Thomas Dubois thomas.f.dub...@gmail.com a écrit : Hello, Les EX4550 peuvent être ajouté aux stacks EX4200. Tu trouvera les infos sur cette page: http://www.juniper.net/techpubs/en_US/release-independent/junos/topics/reference/requirements/virtual-chassis-ex4200-ex4500-hardware-planning.html En fonction de la version de ton JunOS tu devra peut-être prendre 2 EX4500 pour qu'ils aient le rôle master/backup. Cordialement. Thomas Dubois Le 2 décembre 2013 14:18, fatiha boudj fbo...@yahoo.fr a écrit : Bonjour Nous disposons d'un chassis virtuel ex4200 avec 4 switchs disposant chacun d'un module xfp (2 ports 10 Gb). Nous sommes en manque de ports 10Gb.Nos 8 ports sont epuisés. La solution etudiee serait de passer le chassis virtuel à 5 switchs. Existe -t il un switch juniper avec uniquement des ports 10Gb pouvant s'integrer dans le chassis virtuel? merci pour votre aide cordialement --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Sinon Asa … Tu peux préparer ta lettre de DEM la poser sur le bord de ton bureau et t’en servir le jour J :) Pour la partie SRX, c’est du bon HW mais à configurer c’est pénible au possible et le mode de licence est pour le moins original ! Je pencherais plutôt pour du Stonesoft pour l’IHM ( genre la gestion des correlations des règles entre plusieurs fw) , Fortinet pour la simplicité et le prix , SRX pour le cli quand tu as besoin de debug ou d'automatiser des “trucs” ( et pas du tout l’IHM qui est une infâme bouse ) On 26 Nov 2013, at 17:19, Raphael Mazelier r...@futomaki.net wrote: Le 26/11/2013 17:09, Gaëtan Allart a écrit : Merci pour vos différents retours. A écouter les différents retours d’expérience, j’ai l’impression que l’ASA semble être plus adapté à notre besoin que le FWSM (de toute façon eos). Comment fonctionne leur système de licence ? On paye une licence annuelle en plus du Hard pour pouvoir utiliser plus ou moins de contextes ? Au niveau failover, y’a un système classique de actif/passif entre 2 cartes situées sur des châssis différents (voire sur le même châssis) ? Reste en effet l’option du PF/IPTables. Nous avons les compétences en interne pour avoir une machine configurées de façon très fine au niveau de la stack réseau. Solution à étudier à condition de trouver le bon hardware. Alors les ASA...On est pas mal à penser sur la liste que c'est quand même une horreur à administrer. Je regarderais du coté Juniper SRX, ou Fortigate comme précédemment mentionné. Après si tu as les compétences systèmes qui vont bien, un FreeBSD (avec pfsense ou pas) bien configuré et du bon matériel (aka des cartes Intel) c'est un choix tout à fait justifiable. = https://wiki.freebsd.org/NetworkPerformanceTuning -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?
+1 On 20 Nov 2013, at 14:53, Clement Cavadore clem...@cavadore.net wrote: Alors déjà qu'ils te donnent un subnet RFC1918, je trouve ca limite... Ensuite, qu'ils te donnent un /31, ca en devient même risible :-) Perso, je n'accepte déjà pas de RFC1918 dans mon IGP, alors sur un subnet d'interco avec l'extérieur, c'est juste no way ! -- Clément Cavadore On Wed, 2013-11-20 at 14:47 +0100, Jérôme Nicolle wrote: Plop, Je suis en train de monter un transit pour multihommer un client, et son autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre problème. Je sais bien que c'est la crse qu'il n'y a plus d'adresses, mais j'ai pas l'intention de voir du RFC1918 dans le traceroute d'un de mes réseaux. Ca vous parrait normal ? Acceptable de la part d'un T2 renommé ? @+ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Colt vs Neo
Ici : http://www.nerim.fr/ultra-haut-debit Raphael On 12 Nov 2013, at 13:02, Axel Vittecoq avitte...@multiposting.fr wrote: Bonjour, J'étudie la mise en place une fibre 100M. Si l'un s'aligne sur l'autre alors il me faudra choisir entre ces 2 opérateurs. Cette fibre servira a des bureaux de ~100+ users. majorité http (SaaS) + ssh vers ovh/rackspace. pas de serveurs. J'ai un penchant pour Neo. meilleur peering par exemple? des avis? quoi d'autre pourrait me faire pencher vers l'un plus que l'autre ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 15, 2013, at 9:04 AM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Le 15 oct. 2013 à 08:54, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Mon, Oct 14, 2013, at 23:21, Kavé Salamatian wrote: Je connais malheureusement tellement de solutions commerciales qui sont nulles alors que des solutions de bricolage équivalente réponde au besoin, et vice-versa. Ne pas oublier que beaucoup de solutions commerciales sont simplement des solutions de bricolage et même en grande majorité de l'open source qui a force de travail sont devenue fiable et facile à utiliser …. Oui mais : un bricolage comemrcial (et effectivement, ca existe en grande quantite) donne a manger a des gens, alors qu'un bricolage interne empeche juste des gens de dormir… Non, la solution commerciale enlève de l'emploi car la solution commerciale elle vient presque toujours des states ou de la chine. Et dans d'autres circonstances, elle sauve de l'emploi car disponible de suite et si tu es sous le coup d'une demande de rançon , et ça existe, j'ai eu un client qui en a eu une cette semaine. Le gus envoie un mini ddos, puis envoie un mail : Mon ID Skype est X, merci de venir pour en discuter avant que j'envoie le vrai ddos et que je mets votre plateforme down pendant 3 jours. Si le mec n'avait pas justement acheté les bons routeurs et prévu le coup, il aurait subit le racket organisé de cette mafia en pleine expansion. Dans le cas Jérémy, il a été down plusieurs fois et longtemps. Il a également causé des effets de bords sur ces 2 transitaires. Il a peu de clients ( c'est lui qui l'a dit hier soir ) et surement plus indulgents. J'aurais eu un backbone aussi instable à l'époque, j'aurais pointé à Pole-emploi la semaine d'après, d'une part parce que mes patrons m'auraient viré, et très franchement ils auraient eu raison, car je suis embauché pour que ça juste marche Et d'autres parts, parce que avec autant d'incidents, on aurait probablement perdu beaucoup de clients et qu'il aurait fallu faire des coupes dans le personnel. Donc la solution commerciale, ne coute pas si cher que ça. Désolé Kavé, mais dans le monde de la production réseau, ce n'est pas toujours possible d'attendre la solution miracle qui sortira d'un laboratoire, il faut agir en fonction de plusieurs paramètres. Tu devrais vraiment faire un break de 2 ans et venir bosser 100% de ton temps chez un opérateur à l'ingénierie ou à la production. Tu constateras que ce n'est vraiment comme tu peux le voir aujourd'hui Je crois que le fond de la discussion est en train de dériver sur un sujet qui est lui tout aussi intéressant. Ça tombe bien Kavé, nous avions prévu d'en discuter et nous n'avons jamais eu le temps de le faire. La reconnaissance de l'universitaire dans notre monde Internet/Telecoms/Content est ton principal problème. Pour ma part, lorsque j'ai eu en face de moi des ingénieurs issue de la filière école et alternance, ils étaient très largement préférés pour plusieurs raisons : - Ils sont quasiment directement opérationnel - Ils ne confondent pas Datacenter neutre : Datacenter opéré par FT qui est obligé de louer une partie parce que L'ARCEP le demande ( si si on me l'a fait ) - Ils ne me parlent pas 99% du temps théorie et m'apportent des solutions concrètes. - Ils ont une expérience terrain validée - […] Je prendrais également un mec qui a zéro diplômes et qui a déjà bossé et qui est connu pour ce qu'il a fait et non pour ce qu'il annonce sur son CV Le soucis c'est la méthode d'enseignement universitaire en France qui est trop élitiste, qui pense qu'un bon bourrage de crâne à l'ancienne est ce qu'il faut faire. De ce que j'ai pu voir, et beaucoup de mes confères le confirmeront, un mec qui sort de 6 ans d'études en université est useless pour notre métier. A l'exception des gens comme Criteo par exemple, qui ont besoin de mecs qui lorsqu'ils te parlent tu ne comprends pas plus de 3 mots. Mais c'est 1 personne pour 100. Le monde universitaire doit s'adapter au monde , je déteste cette expression, du numérique. Pourquoi tu crois que des initiatives comme 42 existe ? Pourquoi tu crois que des gens comme ionis sont en constante évolution ? Tout simplement parce qu'il faut aussi fabriquer des gens directement opérationnel. C'est moche, mais c'est comme ça. L'université fabrique des cerveaux certes, mais inadapté pour nous ( informatique / réseau j'entends en histoire, il en faut des universitaires par ex ). Le jour ou ils iront en entreprise avant de valider leurs diplômes, on devrait enfin commencer à avoir des gens opérationnel rapidement. ( je ne parle pas des rares exceptions qui confirment la règle ) Un bon bricolage interne n'est d'ailleurs plus un bricolage, mais une solution proprieteire. Moralité, il n'y a pas de solutions universelles. La tout le monde est d'accord. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 15, 2013, at 11:18 AM, Emmanuel Thierry m...@sekil.fr wrote: Le 14 oct. 2013 à 23:38, Raphael Maunier a écrit : On Oct 14, 2013, at 11:21 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi rouler dans la farine par un commercial qui lui vend la solution du siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de solution moins cher qui répondrait à toutes les contraintes doit celle que tu décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond au besoin sans penser que cela réduira mon importance dans la boite (car fréquemment c'est le volume de fric que tu gaspille qui défini ton importance dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique. Tu dois confondre entre l'ingénierie et la direction technique. L'ingénierie teste et valide les solutions des constructeurs ou opensource, et s'il y a le budget pour libérer du temps humain, des solutions interne et assume également la fonction de RD L'ingénieur réseau se contente de tester toute la journée ? C'est triste, quel gachis d'intelligence... A tel point qu'à ce que j'ai l'impression, si l'ingénieur réseau doit ne serait-ce qu'écrire une seule ligne de code il va appeler ça de la RD. Chez nous en informatique on appelle ça de l'intégration. Attention de ne pas interpréter mes propos. Il teste et valide les solutions en fonction des problématiques interne et des clients. C'est de l'ingénierie pure. Si pour automatiser qq éléments de conf, l'ingénieur est capable de le faire, et il est forcement invité à le faire, par contre Si tu veux du code, il faut un dev qui le fera proprement. Le code crado, non documenté parce que fait à l'arrache, c'est malheureusement bien trop souvent un soucis quand un mec se barre. Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 15, 2013, at 11:50 AM, Emmanuel Thierry m...@sekil.fr wrote: Le 15 oct. 2013 à 11:29, Raphael Maunier a écrit : On Oct 15, 2013, at 11:18 AM, Emmanuel Thierry m...@sekil.fr wrote: Le 14 oct. 2013 à 23:38, Raphael Maunier a écrit : On Oct 14, 2013, at 11:21 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi rouler dans la farine par un commercial qui lui vend la solution du siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de solution moins cher qui répondrait à toutes les contraintes doit celle que tu décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond au besoin sans penser que cela réduira mon importance dans la boite (car fréquemment c'est le volume de fric que tu gaspille qui défini ton importance dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique. Tu dois confondre entre l'ingénierie et la direction technique. L'ingénierie teste et valide les solutions des constructeurs ou opensource, et s'il y a le budget pour libérer du temps humain, des solutions interne et assume également la fonction de RD L'ingénieur réseau se contente de tester toute la journée ? C'est triste, quel gachis d'intelligence... A tel point qu'à ce que j'ai l'impression, si l'ingénieur réseau doit ne serait-ce qu'écrire une seule ligne de code il va appeler ça de la RD. Chez nous en informatique on appelle ça de l'intégration. Attention de ne pas interpréter mes propos. Il teste et valide les solutions en fonction des problématiques interne et des clients. C'est de l'ingénierie pure. Si pour automatiser qq éléments de conf, l'ingénieur est capable de le faire, et il est forcement invité à le faire, par contre Si tu veux du code, il faut un dev qui le fera proprement. Le code crado, non documenté parce que fait à l'arrache, c'est malheureusement bien trop souvent un soucis quand un mec se barre. Quand tu vas voir le SDN arriver dans ton réseau, tu verras, ce n'est *que* du code. Déjà vu, dans Job -1, j'avais mis en place avec Matoa, la beta Contrail de Juniper dans le lab et sans pisser une ligne de code, ça juste fonctionnait ! Il va falloir commencer à apprendre à coder justement ! ;) Encore chez Job -1, il y a une équipe de codeur. Je ne sais pas pisser une ligne de code, mais je sais ce que je veux, et le responsable de l'équipe est la pour comprendre ce que l'ingénierie demande. C'est lui qui donne les dates de delivery et on est souvent sur des delais de 3/6 mois, rarement en dessous. C'est le prix à payer pour avoir un truc propre et documenté. Du petit bout de ma lorgnette, je vois surtout qu'un ingé réseau qui ne sait pas coder ne saura se restreindre qu'à des solutions propriétaires (voire des environnements propriétaires, on le voit bien en sysadmin sur les environnements tout intégrés Microsoft). C'est vrai et faux :) Car dans une petite boite en mode startup, le mec il saura bien souvent faire les deux , dans une grosse boite, tu as une équipe de dev, donc ce n'est pas son périmètre (®Sbol ) Il sera incapable de voir qu'avec un peu de script, ou de C (bouh, le gros mot ! ), il est capable d'adapter sa solution propriétaire pour qu'elle fasse *exactement* ce qu'il veut. Et il aura tendance à considérer ce manque comme un atout: si j'achète tout Cisco (y compris les DHCP, DNS cie), ce n'est pas parce que je ne sais pas intégrer autre chose à mon environnement, c'est parce que Cisco est le meilleur (en plus vu le prix auquel ils vendent ça ne peut qu'être top moumoute ! ;) ). API -- Dev -- J'veux ça et ça fonctionne :) Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Le 2013-10-15 14:53, Xavier Beaudouin a écrit : Hello, (...) Je suis d'accord avec toi. C'est parfois le cas. Parfois ce n'est pas le cas. D'où mon biais peut-être académique, de ne jamais donner d'avis absolu. Non par défaut la solution commerciale n'est pas toujours la bonne, et non plus par défaut la solution non commerciale n'est pas toujours la bonne. Je garde mes oreilles et mes méninges bien ouvertes et j'écoute les retours d'expérience et je prend une décision en fonction de mes contraintes. Parfois, je met le paquet et j'achète la solution commerciale. Parfois, je met le paquet sur mes ressources internes et je déploie la solution opensource. Parfois je réussi et j'apprends. Parfois je me plante, et j'apprends encore plus. Tu me diras, et les clients ! ils sont un élément de l'équation avec un gros coefficient de weighting :-). Et puis il y'a les commerciaux qui vendent de la fiabilité 99.999 % ( 3 minutes de coupure par an :-) ce que tout les technique savent que c'est pas possible partout, tout le temps …. Un exemple parmi d'autres : le monitoring. Les solutions commerciales ou pas ont toutes une approche différentes et des fois, selon ce qu'on veux, on prends une version commerciale ou pas... :) Pour le coup, pour du monitoring, y a pas photo :) Nagios = 14 ans d'existence donc forcement, entre Nagios / Observium / cacti … Payer pour du monitoring, c'est du gaspillage d'argent Cependant, pour faire du sflow proprement, je n'ai pas encore trouvé mon bonheur en intégration rapide et sans avoir besoin de dev. Et Peakflow SP, ça juste marche ( et je le concède, si c'est que pour cette fonction la, c'est hors budget ) Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Sauf que tu ne peux pas te considérer comme un ingé purement universitaire. Tu fais partie d'une infime minorité de gens qui sont curieux au delà de la pure théorie ! Tu l'as mentionné : expérimentation perso / potes. Le nombre de mec que je vois encore tenter de faire des reseaux en eigrp, c'est juste une folie. Cisco ( comme Microsoft ) a bien réussi son matraquage en filant du matos / licences aux universités :) Cependant, lorsqu'on a un mec de formation universitaire, curieux et qui a plutot une vision technique ( et pas académique ), son approche au final sera plus structurée qu'un mec purement terrain, et bien souvent la combinaison des 2 est assez efficace :) Je reste cependant sur ma position qui est que un simple universitaire sans aucune expérience terrain n'est pas efficace. Et ce dont nous (lorsque l'on recrute ) avons besoin ce sont des gens efficaces. Et aussi, un dev qui se décide à faire du réseau aura une compétence plus large qu'un mec qui ne sait pas coder, sur ce point , je suis entièrement d'accord avec toi Raphael Le 2013-10-15 13:12, Raphael Mazelier a écrit : Le 15/10/2013 10:03, Raphael Maunier a écrit : La reconnaissance de l'universitaire dans notre monde Internet/Telecoms/Content est ton principal problème. Pour ma part, lorsque j'ai eu en face de moi des ingénieurs issue de la filière école et alternance, ils étaient très largement préférés pour plusieurs raisons : - Ils sont quasiment directement opérationnel - Ils ne confondent pas Datacenter neutre : Datacenter opéré par FT qui est obligé de louer une partie parce que L'ARCEP le demande ( si si on me l'a fait ) - Ils ne me parlent pas 99% du temps théorie et m'apportent des solutions concrètes. - Ils ont une expérience terrain validée - […] Je prendrais également un mec qui a zéro diplômes et qui a déjà bossé et qui est connu pour ce qu'il a fait et non pour ce qu'il annonce sur son CV Le soucis c'est la méthode d'enseignement universitaire en France qui est trop élitiste, qui pense qu'un bon bourrage de crâne à l'ancienne est ce qu'il faut faire. De ce que j'ai pu voir, et beaucoup de mes confères le confirmeront, un mec qui sort de 6 ans d'études en université est useless pour notre métier. A l'exception des gens comme Criteo par exemple, qui ont besoin de mecs qui lorsqu'ils te parlent tu ne comprends pas plus de 3 mots. Mais c'est 1 personne pour 100. Le monde universitaire doit s'adapter au monde , je déteste cette expression, du numérique. Pourquoi tu crois que des initiatives comme 42 existe ? Pourquoi tu crois que des gens comme ionis sont en constante évolution ? Tout simplement parce qu'il faut aussi fabriquer des gens directement opérationnel. C'est moche, mais c'est comme ça. L'université fabrique des cerveaux certes, mais inadapté pour nous ( informatique / réseau j'entends en histoire, il en faut des universitaires par ex ). Le jour ou ils iront en entreprise avant de valider leurs diplômes, on devrait enfin commencer à avoir des gens opérationnel rapidement. ( je ne parle pas des rares exceptions qui confirment la règle ) On dérive complétement du sujet initial; mais ce débat est très intéressant. (malheureusement cela va partir en flamewar.) Je penses que tu as raisons sur le fait qu'il faut avoir des gens directement opérationnels. Pour cela l'alternance, epitech, 42 whatever font leur taff. Mais je penses aussi que tu as en parti tord sur le fait que l'université produit des gens inadapté, mais c'est sans doute du à mon parcours 100% universitaire (DUT,licence,maitrise,DESS). Ces formations ne m'ont pas aidé à être opérationnel, cela je l'ai appris à coté (expérimentation perso, potes). En revanche mes formations m'ont permis d’acquérir les bases théoriques indispensables à la pratique de mon métier. J'ai pu appréhender toutes les technos que je voulais, et si aujourd'hui je fais pas mal de réseau, rien ne m’empêchera un jour de faire du dev si ca me chante, et j'ai le sentiment que c'est grâce à mes formations, et c'est ce que devrait apporter une formation, l'adaptabilité, et apprendre à apprendre. Le truc c'est qu'aujourd'hui on nous sort que notre système universitaire est obsolète, qu'il faut former des mecs opérationnels tout de suite. Fort bien. Mais ça les chinois et les indiens vont aussi savoir le faire. Quel plus value pour les ingénieur français ? C'est peut être ton besoin aussi et le besoin de pas mal de société. OK. Mais c'est un très mauvais pari sur le long terme à mon avis. En conclusion je crois surtout qu'il n'y a pas de règle générale et ce qui fait la différence c'est la passion de son métier. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 14, 2013, at 8:38 PM, Jérémy Martin li...@freeheberg.com wrote: Bonsoir, Salut, Arbor est hors de prix. On dira : Je n'ai pas les moyens de me le payer. Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand chose. On dira : J'ai pas acheté / testé le bon boitier Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs boitiers. Ce sont au final de simples firewall L7 mais en général, c'est efficace pour un budget maitrisé. Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du rate-limit sur Layer 3, et un peu de tuning au niveau BGP. Cette solution revient à moins de 1500 € par équipement, contre minimum 120 k€ pour du ArborTMS / Peak Flow (prix publics). Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. J'ai eu l'occasion de tester avec injecteur de trafic Breaking Point, du d/dos vers du Fortinet, Arbor, Stonesoft et bien sur Juniper, et c'est pas juste 1G vers le Fortinet, il ne faut pas non plus raconter n'importe quoi. Me contacter en PV pour plus d'infos. Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard : 09 72 125 539 (tarif local) Ligne directe : 03 66 72 03 42 Mail : j.martin AT freeheberg.com Web : http://www.firstheberg.com Le 14/10/2013 13:53, pierre a écrit : Bonjour Messiers, Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour 3 reelement utile. Nous avons actuellement un peakflow pour la visibilité (qui fonctionne parfaitement) et nous voudrions nettoyer le trafic sans blackhole. Le type d'attaque à nettoyer serait : TCP SYN Flood TCP SYN-ACK Reflection Flood (DRDoS) TCP Spoofed SYN Flood TCP ACK Flood TCP IP Fragmented Attack ICMP Echo Request Flood UDP Flood Attack DNS Amplification Attacks Je cherche une solution opérateur, avez vous testé et comparé les produits de corero, radware, 6cure, arbor ... ? Merci d'avance pour vos retours Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 14, 2013, at 10:21 PM, Jack alexandre.bruyel...@gmail.com wrote: On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D Alors, dans le cadre du ddos, on est pas dans un monde ou tu peux remplacer facilement un serveur www microsoft par un serveur sous linux Un boitier de protection ddos, ce n'est pas juste du hw ( quoique ) - Tu peux rajouter une carte d'interfaces dans ton châssis a la volée sans avoir à couper ton service - Les asics, ce n'est pas juste une rumeur, ça fonctionne et bien ! - Tu as un vrai support à n'importe quelle heure : Avec un mec en face qui est vraiment en mesure d'analyser ton trafic et te conseiller et appliquer le bon filtre si besoin - L'intégration avec les constructeurs comme Juniper ( et pas que les gros routeurs un MX80, c'est de l'entrée de gamme ), ALU - Un upgrade de software ce n'est pas radioactif - Joe n'est pas le seul qui maitrise la solution - Joe n'est pas le seul qui fait le support à 3h du mat - ... On est pas au même niveau d'une comparaison entre un routeur HW vs un routeur Linux/bsd sur un PC (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Désolé Kavé, Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec plusieurs centaines de giga. Tu es resté trop longtemps en université avec de la RD ou te la validation théorique. Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Le bricolage, c'est le fait de devoir passer 40 nuits pour upgrader ton soft qui est maintenu par 1 personne. Ce brillant ingénieur s'il se casse du jour au lendemain ( il gagne au loto, il déménage en Alaska ou xyz ), tu fais comment ? Il arrêter de dire et de faire croire que parce ce que c'est ouvert c'est simple et qu'il n'y a pas de soucis pour faire reprendre sa maintenance par les 40 000 ingénieurs dispo. C'est un leurre ! Pour ce qui l'ont fait tourner , pas juste pour faire mumuse, mais pour protéger des centaines de clients, tu comprends bien vite que les solutions commerciales sont nettement plus abouties que les solutions dites de bricolage Raphael On Oct 14, 2013, at 10:44 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit : On 14/10/2013 21:00, Raphael Maunier wrote: Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions pro pour les opérateurs. C'est quoi la différence entre bricolage et solution pro ? Le commercial et la facture au bout ? Des solutions bricolage qui fonctionnent mieux que des solutions pro, j'en ai ai la pelle :D La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. Kavé Salamatian (Tentative pour détendre l'atmosphère de la mailing-list ..) -- UNIX was not designed to stop its users from doing stupid things, as that would also stop them from doing clever things. – Doug Gwyn Trouve un travail qui te plaît et plus jamais tu ne travailleras Confucius Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni l'autre et perdra les deux Thomas Jefferson --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On Oct 14, 2013, at 11:21 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr wrote: Le 14 oct. 2013 à 22:57, Raphael Maunier raph...@maunier.net a écrit : Désolé Kavé, Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec plusieurs centaines de giga. Tu es resté trop longtemps en université avec de la RD ou te la validation théorique. Même si c'est le cas, ceci ne réduit pas la portée de mon propos. Il y'a bien sur des cas de figure ou des solutions commerciales sont les meilleures et des cas où ce ne sont pas les meilleurs. Dans l'absolu il n'y a pas de solution commerciale qui sont bonne pour tout les scénarios. Le travail de l'ingénieur consiste à évaluer en fonction de son scénario quelle est la solution la meilleure. Solution commerciale, ou faite maison. Je constate juste que dans mon activité (je fais aussi du consulting), le nombre de cas ou je vois personnes acheter une marque plutôt qu'une solution à leur problème est tout simplement effarant. Qui n'a pas vu un DSI rouge de plaisir montrer son routeur pro à 10 K€ qui connecte un lien de sortie de 2 Mbps avec trois entrées ethernet (ou scénario semblable), alors qu'il aurait pris une des machines de bureautique qui aurait très bien fait l'affaire On parle d'opérateurs / d'hebergeurs dans ce cas bien précis. On parle d'Internet ( Jeremy parlait de sa solution supportant 30gig ) Un DSI, dans les grands groupe, ça lit décision réseau et micro et ça fait ses achats en fonction du meilleur déjeuner qu'il a fait avec son fournisseur préféré. Ce n'est pas représentatif de notre métier. Je fais également du consulting, je ne fais que ça d'ailleurs, et bien sur j'ai vu des clients acheter des équipements hors de prix pour faire la même chose que tu es en mesure de faire avec un HA-PROXY bien configuré, parce que le package global était très intéressant. Il arrivait pas à mettre en prod ses supers boitiers, du coup, pour temporiser en qq heures j'ai installé un HA proxy et c'était en prod pendant 3 semaines. Il y a eu un incident une nuit ( 3h du mat ) , et kiki s'est fait contacter , alors qu'il y avait la doc et que les mecs en interne maitrisent 100 fois mieux des linux que moi ? Au final, j'ai assisté la mise en prod de ces superbes boitiers ( que je n'avais jamais vu auparavant ) , et depuis ça juste marche la redondance fonctionne parfaitement et surtout, pas de soucis entre les mecs du système et les mecs du réseau. Dans la vrai vie d'Internet, il faut aussi prendre cette partie la en considération ! Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas mettre en péril ton backbone, juste pour faire mumuse avec la solution brillante de l'ingénieur. Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi rouler dans la farine par un commercial qui lui vend la solution du siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de solution moins cher qui répondrait à toutes les contraintes doit celle que tu décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond au besoin sans penser que cela réduira mon importance dans la boite (car fréquemment c'est le volume de fric que tu gaspille qui défini ton importance dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique. Tu dois confondre entre l'ingénierie et la direction technique. L'ingénierie teste et valide les solutions des constructeurs ou opensource, et s'il y a le budget pour libérer du temps humain, des solutions interne et assume également la fonction de RD Le bricolage, c'est le fait de devoir passer 40 nuits pour upgrader ton soft qui est maintenu par 1 personne. Ce brillant ingénieur s'il se casse du jour au lendemain ( il gagne au loto, il déménage en Alaska ou xyz ), tu fais comment ? Il arrêter de dire et de faire croire que parce ce que c'est ouvert c'est simple et qu'il n'y a pas de soucis pour faire reprendre sa maintenance par les 40 000 ingénieurs dispo. C'est un leurre ! Et pas croire par ce que c'est du Juniper ou du Cisco ou parce que ça coute la peau des fesses que c'est la réponse au problème. Ca aussi c'est un leurre. La réalité c'est qu'il faut bosser et qu'aucun problème n'est facile à résoudre. Alors, un ddos de plusieurs 10aine de giga envoyé vers un Juniper, tu le bloques en 30 sec avec de simple filtres sur les interfaces externe. C'est traité en HW, c'est supporté, et les qq routeurs que j'administre ( entre 10 à 150 G ) il n'y a pas de boitiers de protection arbor, juste des junipers bien configurés. Je veux bien voir 100G avec des PC du Bird ... Pour ce qui l'ont fait tourner , pas juste
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
On appelle cela l'expérience, un jour peut-être , tu comprendras. Raphael On Oct 14, 2013, at 11:28 PM, Raphael Jacquot sxp...@sxpert.org wrote: On Oct 14, 2013, at 10:57 PM, Raphael Maunier raph...@maunier.net wrote: Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec plusieurs centaines de giga. Tu es resté trop longtemps en université avec de la RD ou te la validation théorique. Seul toi a la science infuse, et tout les autres sont des cons. t'en as pas marre de passer ton temps a réduire les autres au silence sous prétexte que seul toi a la vérité, parce que tu aurais managé des tas de gros réseaux, et que les autres non ? c'est pas la modestie qui de bouffe... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur
Ah bah, on va faire un truc simple Je vais voir avec les gens que je connais pour organiser un lab grandeur nature avec du ddos reel. Je vais trouver une salle, faire venir des constructeurs comme Juniper, Cisco, Fortinet and cie, trouver des serveurs pour faire la solution software. On met 2 ou 3 serveurs web et de jeux ( meme service derrière 2 as différents ) On balance un DDOS, avec du Ixia ( Breaking Point ) : - On sort les boitiers de la boites et on configure pour faire la mitigation. - On sort les serveurs de la boite et on fait l'installation. Ensuite on regardera le rapport pour comparer le downtime. Deuxième test : Tout est en place, et en regarde à combien ça tombe et surtout la qualité du service. Alors qui est intéressé ? Au moins on aura de vrai rapport et surtout un vrai élément de débat ! Raphael On Oct 14, 2013, at 11:32 PM, Frederic Dhieux frede...@syn.fr wrote: Le 10/14/13 10:44 PM, Kavé Salamatian a écrit : La différence c'est qu'on peut pas craner sur le montant du cheque à 6 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le credo de l'ingénieur qui est de trouver la solution la moins couteuse qui répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout récurrent ( le salaire des personnes) quitte à faire exploser le cout du matériel (qui va fréquemment dans la colonne investissement) qui a le vent en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la solution qui coute bonbon fait pro. C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les solutions commerciales sont parfois scandaleuses (les load balancers sont le premier exemple qui me vient en tête avant un certain volume et certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec un Linux/BSD on peut atteindre les niveaux de traitement d'une solution pure hardware. Déjà il faut bien séparer une solution hardware basée sur une architecture PC rebrandée et une vraie archi hardware avec ses processeurs spécialisés, ses puces dédiées, etc. Aussi les serveurs actuels sont parfois assez puissants pour faire des choses, parfois les gens documentent mieux que le petit ingénieur surdoué et permettent un suivi, mais il faut l'admettre, pour certaines fonctions les solutions hardware tiennent bien mieux. Quand on parle d'attaques, on parle en général de flux dont l'objectif est d'atteindre une saturation (de tuyaux, de connexions, de slots du services, ...). Dans ce cas avec la multitudes de sources et de flux, il est logique de voir des solutions matérielles plus adaptées à ce type de traitement. On peut discuter du support, on peut discuter de la fiabilité, on peut discuter de la capacité à régler soi même des problèmes sans être dépendant d'un support trop long à se bouger aussi en contreparite. Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse qui coûte cher pour rassurer le client VS C'est de la bidouille de geek dans son coin inmaintenable, c'est vraiment noyer tout argumentaire constructif selon moi. Pour moi le problème c'est surtout de savoir à partir de quel volume une solution n'est plus adaptée et peser le pour et le contre en fonction du nombre de personnes pour s'en occuper versus le budget d'une solution toute faite avec support. Et également de calculer le risque en cas de problème et l'impact sur la santé financière de la société. Quand je vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG parce qu'il n'a aucune solution pour se protéger, ça me donne l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais s'être posé la question avant. Pour finir quand on a des clients derrière sa solution, on n'a pas le droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on se fait torpiller par ses clients. Quand on a un constructeur derrière, on gagne une certaine crédibilité et on n'est moins coupable si la solution est connue/réputée (ça n'empêche pas qu'il y a des gens très doués pour ne pas savoir les implémenter parfois). Alors faire joujou c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les pics et de pouvoir assumer face à ses clients. Bref, le débat est nuancé par l'activité à protéger, par l'impact, par l'équipe derrière la gestion de l'infra et par ce qu'on veut faire de sa boîte. Claquer des gros chèques chez un constructeur ça fonctionne souvent, ça ne sert à rien parfois aussi. Chercher à réinventer la roue quand on peut s'appuyer sur des fournisseurs/partenaires qui savent mieux le faire (techniquement ou financièrement), ça n'est pas forcément intelligent non plus. Bien s'entourer mène souvent bien
Re: [FRnOG] [TECH] Prefix-list out bgp
! ip prefix-list ipv4-AS62713 permit 1.2.3.0/24 ! route-map ipv4-transit-AS-out permit 5 description Export routes to AS - Super Mega Upstream match ip address ipv4-AS62713 match as-path 1 set community none ! Le plus important c'est le IN, c'est la qu'il y du boulot à faire :) On Oct 13, 2013, at 2:01 PM, Antoine Durant antoine.duran...@yahoo.fr wrote: Bonjour, Je suis en train de faire le ménage sur mes route-map et prefix-list, j'ai une question concernant ma prefix-list OUT. Actuellement j'ai : ip prefix-list PL_OUT seq 5 permit 1.1.1.0/24 ip prefix-list PL_OUT seq 10 deny 0.0.0.0/0 ip prefix-list PL_OUT seq 15 deny 0.0.0.0/8 le 32 ip prefix-list PL_OUT seq 20 deny 10.0.0.0/8 le 32 ip prefix-list PL_OUT seq 25 deny 127.0.0.0/8 le 32 ip prefix-list PL_OUT seq 30 deny 169.254.0.0/16 le 32 ip prefix-list PL_OUT seq 35 deny 172.16.0.0/12 le 32 ip prefix-list PL_OUT seq 40 deny 192.0.2.0/24 le 32 ip prefix-list PL_OUT seq 45 deny 192.168.0.0/16 le 32 ip prefix-list PL_OUT seq 50 deny 224.0.0.0/3 le 32 ip prefix-list PL_OUT seq 500 deny 0.0.0.0/0 le 32 Est-ce que je peux synthétiser en : ip prefix-list PL_OUT seq 5 permit 1.1.1.0/24 ip prefix-list PL_OUT seq 10 deny any Même chose pour prefix-list IPV6 : ipv6 prefix-list PL_OUT seq 5 permit :::/31 ge 32 ipv6 prefix-list PL_OUT seq 10 deny any J'ai presque envie de dire que cela doit fonctionner, mais je préfère être sur avant d'appliquer la configuration... A++ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] LAN2LAN explication(s)
On Oct 12, 2013, at 11:30 AM, Antoine Durant antoine.duran...@yahoo.fr wrote: Bonjour à tous ! Merci pour les informations, je comprends beaucoup mieux maintenant. Ma question portée uniquement sur la technique et utilisation, à ce jour je n'ai pas besoin de devoir monter un L2... Mais personellement si je dois en monter un, ce sera pour aller me connecter sur un point d'échange et essayer de chopper un transit en plus... Donc par exemple mettre un switch sur un datacenter à Paris et me connecter sur le FR-IX, cabler un RJ45 entre mon switch et le transitaire secondaire... Peut être même qu'il sera possible de chopper le transitaire via le FR-IX non ? Selon les IXP, tu peux faire des vlans privés et faire ce que tu veux dedans ( comme acheter du transit par exemple ). J'ai bien compris que le lieu du site principal à une incidence sur le cout du L2… Il ne suffit pas d'acheter de la capacité, il faut prendre en considération certains points : L'hébergement de l'équipement distant avec par exemple un événement simple : si le switch plante à 3H du mat : - Qui j'appelle ? - Comment ouvrir un ticket ? - Comment je fais pour y accéder ? - Comment je tire des rocades vers mon switch ? - Combien coute le tirage de rocade ? Est-ce qu'il y a du réccurent ? Ensuite des choses aussi basique que : - Mon switch crame : Est-ce que j'ai un spare ? - Mon switch a cramé et a cramé toute la baie , Est-ce que je suis assuré pour ça ... En tout cas merci pour les explications !!! Bon week. --- Liste de diffusion du FRnOG http://www.frnog.org/ On Oct 11, 2013, at 5:21 PM, Leland Vandervort lel...@gandi.net wrote: La plupart des propositions Lan-2-Lan aujourd'hui sont plutôt du style AToM (Layer 2 sur MPLS), et souvent ces offres permettent des MTU jumbo vers 9000 octets aussi, et sans vraiment des limitations du payload non plus. Il n'en reste que très peu qui font ça sur un VLAN dot1q sur leur réseau simplement car les réseaux MPLS peuvent être nettement plus larges que des infrastructures purement L2, et aussi parce-que les clients ont des exigences qu'une simple connexion dans un VLAN ne permet pas de faire… Ça existe encore les gens ayant qui fournissent un service aussi basique ? Vu la multiplicité des opérateurs qui fournissent des services type pseudowire, j'ai du mal à comprendre que l'on aille encore acheter du layer2 basique. Bon après si on cherche à faire du cheap qui marche quand il fait 25,2 degrés et que la lune est alignée avec Jupiter, ok. Ensuite quand on a un business avec un business plan ou 1/2k annuel de différence met tout en péril, je crois que le pb est finalement ailleurs :) Leland Vandervort Gandi SAS 63-65 Boulevard Massena 75013 Paris, France WWW: http://www.gandi.net/ T: +33 1 70 39 37 59 M: +33 6 31 15 15 07 On 11 Oct 2013, at 17:12, Eric Fourage wrote: Plus qu'un câble réseau, c'est un vlan, lui-même (souvent) tagué 802.1q: tu auras certainement des contraintes sur les trames ethernet que tu pourras envoyer: - transparence aux vlans (tags 802.1q) ou non - taille (MTU) - voire filtrage/limiting de certains protocoles de couche réseau (ARP, BOOTP, IGMP,...) Attention au cas (vécu) où la boucle locale est celle d'une DSP: les limitations/contraintes sur les trames ne sont pas forcément identiques ou même connues de l'opérateur final !! Eric Le 9 octobre 2013 19:48, Bruno CAVROS / SKIWEBCENTER br...@skiwebcenter.fra écrit : Un lan to lan passe à travers un operateur tiers, il en revient que c'est le plus souvent un VLAN qui traverse un réseau tiers, tout simplement. -Message d'origine- De : Julien OHAYON [mailto:j.oha...@xoxo.fr] Envoyé : mercredi 9 octobre 2013 19:39 À : Bruno CAVROS / SKIWEBCENTER Cc : Antoine Durant; frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] LAN2LAN explication(s) Bonjour, Quel est l'intérêt de ne pas illuminer la fibre directement alors ? Moi aussi je ne connais pas trop désolé Julien Le 9 oct. 2013 à 19:27, Bruno CAVROS / SKIWEBCENTER br...@skiwebcenter.fr a écrit : Pour symboliser c'est un long câble réseau, c'est tout.. -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Antoine Durant Envoyé : mercredi 9 octobre 2013 19:12 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] LAN2LAN explication(s) Bonjour, J’entends de plus en plus parler d’interco Lan2Lan (L2) pour aller chercher par exemple des peerings et transit ailleurs que ou est situé le fournisseur de transit principal. Ne connaissant pas du tout cette techno je m’en remets entièrement à vous et à vos connaissances … Quel est globalement le cout d’un L2 (disons de 100M) ? Comment chiffre t'on cela ? Admettons que je monte un L2 entre mon site principal et un site secondaire pour aller
RE: [FRnOG] [TECH] Juniper NSM
Bah la réputation de fw le plus pourrie pour les ASA ne se limitent pas qu'à notre système solaire :) Le 2013-10-05 05:53, Michel Py a écrit : Raphael Maunier a écrit: Sauf sur Cisco, ou le cli est pire :) Ah l'Asa, cette infame bouse intercosmique ! Je ne saisis pas bien la partie intercosmique. La partie infâme bouse, oui. Dans le temps on appelait ça a Pix of shit :-( Michel --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
Désolé mais le cli tu n'y coupera pas vraiment avec du Juniper. Le Jweb (individuel donc ) sera avec le cli la meilleure méthode pour administrer tes Junipers ( comme l'a indiqué Raphael également ) C'est pour cela qu'à l'époque, Juniper n'avait pas gagné l'AO sécu managé au profit de Stonesoft. Maintenant, un firewall fait vraiment beaucoup plus de choses qu'il y a des années, donc le full CLI est pour les admin obsolètes :) Si pour un routeur je ne jure que par le cli, pour un FW, une gui efficace est pour moi un critère de choix. Après ce qui est bien chez Juniper, c'est le cli et sa flexibilité, après un FW avec beaucoup de règles, en cli, c'est compliqué. Un jour les mecs du cli comprendront qu'on est plus en 1998 ... ( c'est vendredi ) Bref, tu peux demander à essayer Junospace, je ne l'ai pas utilisé depuis 1 an , je pense que ça a bien évolué en tout cas à l'époque à chaque version c'était prometteur (et ça allait dans le bon sens ) Le 2013-10-04 09:54, Raphael Mazelier a écrit : Le 03/10/2013 23:40, Duga a écrit : Quels types d'équipements souhaites tu administrer ? SRX ? M Series ? EX ? Netscreen ? Pour du netscreen, j'ai envie de dire que l'interface Web embarquée se suffit à elle même. Pour les autres, la solution proposée par Juniper actuellement est JunoSpace (qui ne vaut pas l'investissement financier demandé). Les choix de techno sont encore très mauvais (A quand l'éradication de Flash et Java). Les serveurs nécessitent des ressources énormes (8 go de RAM ). Et les fonctionnalités manquent. J'avoue ne pas connaître (Est ce que cela existe) d'outils graphique alternatifs pour gérer un parc Juniper. PS : Sans lancer de débat, j'ai bien peur que Juniper et interface graphique ne fassent pas bons ménage…. Leur communication réside tout de même autour de leur CLI. Tout à fait d'accord. A noter que pour les SRX l'interface J-WEB est vaguement utilisable. C'est pas génial mais elle a moins le mérite de respecter l'arborescence de la configuration cli. Cdt, --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [BIZ] : descriptif prestation informatique
Mais tu n'as pas pensé au droit à l'oubli numérique :) Bruno CAVROS / SKIWEBCENTER br...@skiwebcenter.fr wrote: Ce sera surtout à vie sur mail archive... -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Christophe Envoyé : jeudi 3 octobre 2013 19:23 À : frnog@frnog.org Objet : Re: [FRnOG] [BIZ] : descriptif prestation informatique Bonsoir, Le 03/10/2013 19:11, Emmanuel Thierry a écrit : Le 3 oct. 2013 à 18:43, David Frnog a écrit : Si c'est quelqu'un de la liste c'est juste honteux !!! Position intéressante. Une autre position serait de dire que c'est à la limite de la faute professionnelle que de communiquer sur un nom que tu n'as pas encore déposé, que ce soit un nom de domaine, une marque, etc... Cordialement. Emmanuel Thierry +1 Ce que je trouve déplacé, c'est la demande de départ, sans avoir offusqué un minimum le nom du client. Que la demande soit faite sur FRnOG, pourquoi pas. Mais un brutal forward avec pièce jointe au format Word, je trouve ca un peu limite . Un simple message Je cherche un prestataire pour les actions suivantes ... blabla ... blabla ... Contactez moi en privé si cela vous interesse me semble bien plus sain comme démarche. L'auteur n'a au final que ce qu'il merite. Mais qu'il ne s'inquiète pas : ca ne sortira pas d'Internet ;) . @+ Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
Le 2013-10-04 11:48, Duga Duga a écrit : (Puisquon est Vendredi)Mouais question de point de vue concernant la cli pour les Firewall. Une cli bien foutue telle que celle de Junos permet dadministrer les fonctions les plus avancées des FW. +1 Ah mais on est entièrement d'accord, la cli est pour moi indispensable pour du debug ou faire de l'optimisation d'implémentation. Sauf sur Cisco, ou le cli est pire :) Ah l'Asa, cette infame bouse intercosmique ! En revanche, la GUI devient indispensable pour avoir une vue densemble de son parc : Le monitoring, le provisionning, capacity planning, etc ... Voila, exactement :) Et sur ce point, Juniper a été incapable de me convaincre. A bah, c'est leur plus gros problème sur le srx ( avec l'utm ) Apres pour de la perf pure et un cli sympa, je prend direct du srx sans regarder la gui Les beta auxquelles jai participé concernant, Junospace et security design mont laissé plus que perplexe sur leur stratégie et leur capacité à développer de tels produits. == C'est pour ça qu'ils ont racheté Contrail. Il ont pas le mindset en interne pour le faire, du coup, ils intègrent, c'est au final moins cher et surement plus rapide Plutôt que prometteur jaurais dit peut mieux faire. Linstallation est une catastrophe. Les ressources consommées à cause des choix de techno (Le flash en 2013, WTF ! ) sont énormes. Lintégration dans un parc existant est juste une blague. Je ne vois pas comment ce produit pourra séduire. Pas lui en direct, car il faut savoir que la BU qui s'occupait de Junospace, est maintenant sous la direction du fondateur de Contrail ( que j'ai pu rencontré et qui est extrêmement compétent ) , donc je lui prévois un bel avenir à ce produit. Julien. Le 4 octobre 2013 10:59, Raphael Maunier raph...@maunier.net [2] a écrit : Désolé mais le cli tu ny coupera pas vraiment avec du Juniper. Le Jweb (individuel donc ) sera avec le cli la meilleure méthode pour administrer tes Junipers ( comme la indiqué Raphael également ) Cest pour cela quà lépoque, Juniper navait pas gagné lAO sécu managé au profit de Stonesoft. Maintenant, un firewall fait vraiment beaucoup plus de choses quil y a des années, donc le full CLI est pour les admin obsolètes :) Si pour un routeur je ne jure que par le cli, pour un FW, une gui efficace est pour moi un critère de choix. Après ce qui est bien chez Juniper, cest le cli et sa flexibilité, après un FW avec beaucoup de règles, en cli, cest compliqué. Un jour les mecs du cli comprendront quon est plus en 1998 ... ( cest vendredi ) Bref, tu peux demander à essayer Junospace, je ne lai pas utilisé depuis 1 an , je pense que ça a bien évolué en tout cas à lépoque à chaque version cétait prometteur (et ça allait dans le bon sens ) Le 2013-10-04 09:54, Raphael Mazelier a écrit : Le 03/10/2013 23:40, Duga a écrit : Quels types déquipements souhaites tu administrer ? SRX ? M Series ? EX ? Netscreen ? Pour du netscreen, jai envie de dire que linterface Web embarquée se suffit à elle même. Pour les autres, la solution proposée par Juniper actuellement est JunoSpace (qui ne vaut pas linvestissement financier demandé). Les choix de techno sont encore très mauvais (A quand léradication de Flash et Java). Les serveurs nécessitent des ressources énormes (8 go de RAM ). Et les fonctionnalités manquent. Javoue ne pas connaître (Est ce que cela existe) doutils graphique alternatifs pour gérer un parc Juniper. PS : Sans lancer de débat, jai bien peur que Juniper et interface graphique ne fassent pas bons ménage…. Leur communication réside tout de même autour de leur CLI. Tout à fait daccord. A noter que pour les SRX linterface J-WEB est vaguement utilisable. Cest pas génial mais elle a moins le mérite de respecter larborescence de la configuration cli. Cdt, --- Liste de diffusion du FRnOG http://www.frnog.org/ [1] Links: -- [1] http://www.frnog.org/ [2] mailto:raph...@maunier.net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
Juniper et gratuit dans la même phrase, c'est parce que demain c'est vendredi ? :) Il faudrait plutôt s'orienter vers la suite space et bientôt contrail ! Nsm, j'ai testé et ... Bah j'ai testé . Guillaume Tournat guilla...@ironie.org wrote: Le 03/10/2013 19:15, Philippe Marrot a écrit : Bonjour, Je cherche à mettre la main sur le soft de gestion graphique de Juniper (Network Security Manager). Est-ce un produit livré avec les équipements ou un produit sur demande ou encore payant ?. Des infos d'un spécialiste Juniper ?. C'est téléchargeable sur le support de Juniper, avec un compte client. Si besoin, je dois avoir une version qui traine, d'il y a 1-2 ans. Mais c'est clairement en fin de vie ce produit. gu!llaume --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Le 2013-09-21 10:46, Xavier Beaudouin a écrit : Hello, Le 20 sept. 2013 à 11:53, Leslie-Alexandre DENIS m...@ladenis.fr a écrit : #include reply.h Je vais pas aller dans les détails, je parle pour moi et c'était le sujet (migrer depuis pfSense et pas vers pfSense) donc sentiments de côté pfSense est un bon produit base BSD donc stable mais faut pas trop cumuler les services d'une part, d'autre part les packages c'est confus, les migrations et autres upgrades c'est pas fait pour la grosse prod, et tu peux avoir des phénomènes particuliers sur des VLAN qui montent pas, des trunks qui tombent, du Snort qui boit beaucoup. Comme tout logiciels opensource, ceci dépends très sérieusement de ton matériel. Si tu fais des VLAN / Lagg (trunk) sur des cartes réseau à l'eau bénite (ou en mousse, au choix), comme des realtek ou autres chipset a la con (broadcom...), là tu es sûr d'avoir des emmerdes. Alors avec du matériel sérieux : Chipset intel / Cpu Intel / carte réseau intel, j'ai jamais eu le moindre problème. Donc évites de dénigrer des soft qui sont aussi utilisé dans des truc comme juniper (pour info une série J chez JunOS c'est un pauvre CPU - P4 je crois - et des cartes réseaux intel, sur une base FreeBSD avec quelques modules low level) ou Netapp (idem c'est du FreeBSD 7... + logiciels proprios dans des modules). Un barbu qui s'enflamme :) Je ne pense pas qu'il dise du mal de bsd. Je le rejoins sur la partie Pfsense, c'est pas vraiment pour de la grosse prod. Ceci étant, il faut que les barbus s'enflamment, sinon, les valeurs se perdraient ! J'utilise beaucoup Pfsense, Srx et un peu de Fortinet, et pour chaque FW un type d'utilisation. Pfsense pour de l'oob,ou la maison ou un truc pas super critique ok, pour de la prod, je partirais plutôt sur un constructeur ( apliance ou soft dans une vm ) Si tu ne fais pas d'UTM, Go SRX. par contre, si tu fais de l'utm, je partirais plutôt sur du Stonesoft ou Fortinet ( ça me fait mal de dire ça pour le dernier :) ). Je suis pro Juniper, mais bon tant qu'ils n'auront pas de GUI digne de ce nom pour éviter de faire le debug en cli pour tout ce qui est sécu ce ne sera qu'un outsider et encore. ( je suis bon pour un coup de tel de Juniper maintenant :) ) Attention, le CLI est inexistant sur ces deux derniers, c'est clickodrome. Mais pour du firewall, très franchement, le tout cli je crois que c'est dépassé Pour un déploiement avec une centaine de FW avec corrélation des logs, sans hésiter == Stonesoft. Si c'est une boîte en cluster pour protéger une plateforme, sans utm, je ferais juste un POC avec un injecteur de trafic ( Ex Breaking point ) et aussi un test avec des tables de nat bien full, j'ai vu des trucs marrant avec des machines vérolés qui ont détruit de l'ASA par exemple. Ensuite, les trucs genre Checkpoint, Cisco ASA leaders du marché ... Je passerais mon chemin. Je me demande meme comment les trucs comme ASA se vendent encore, jamais vu un truc aussi pénible à administrer. Checkpoint, bah checkpoint :) CQFD. Après, si tu es joueur, j'ai vu un test sur le firewall F5 Si FreeBSD tenais pas le pavé, je pense que ces 2 marques auraient des soucis. Après je l'utilise aussi en gw vpn ssl, avec un peu de routage/fw, ça va super bien oui. Evidement si tu mets 20 règles de firewall c'est que tu as un problème de fond : est-ce que tu utilises bien ton firewall... Perso je préfère avoir 3 firewalls successifs que un seul avec 90 interfaces / vlan. Xavier Le 20/09/2013 11:04, Xavier Beaudouin a écrit : Hello, Le 20 sept. 2013 à 10:53, Leslie-Alexandre DENIS m...@ladenis.fr a écrit : Pour l'avoir essayé en VM une fois, le produit est plutôt bien fait et complet en terme de fonctionnalités. C'est plus corporate que pfSense, je dirais que c'est du Netasq/Fortinet like. Heu j'utilise pfsense pour pas mal de choses là où je bosse... #define corporate pour un firewall... Parce que un pfSense 2.1 bien configuré c'est plus pratique que un netscreen out the box... (pas taper on est vendredi). Rien que pour l'openvpn intégré qui tape sur mon annuaire LDAP, déjà c'est un *bien* infini avec le wizard qui fait le binaire autoconf pour les windows box ou le fichier de conf pour Viscosity ca m'as permis d'avoir la paix romaine avec les gens qui se baladent un peu partout (y compris dans les UE ou les VPN IPsec sont souvent mouillés on vas dire). Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Le 2013-09-23 12:27, Raphael Mazelier a écrit : Le 23/09/2013 12:09, Raphael Maunier a écrit : Un barbu qui s'enflamme :) Je ne pense pas qu'il dise du mal de bsd. Je le rejoins sur la partie Pfsense, c'est pas vraiment pour de la grosse prod. Ceci étant, il faut que les barbus s'enflamment, sinon, les valeurs se perdraient ! Il faudra retester avec la sortie de Freebsd 10 et pf qui est maintenant SMP aware. Niveau performance cela devrait commencer à être intéressant avec du bon matos, type les appliances Apligo. J'utilise beaucoup Pfsense, Srx et un peu de Fortinet, et pour chaque FW un type d'utilisation. Pfsense pour de l'oob,ou la maison ou un truc pas super critique ok, pour de la prod, je partirais plutôt sur un constructeur ( apliance ou soft dans une vm ) Si tu ne fais pas d'UTM, Go SRX. par contre, si tu fais de l'utm, je partirais plutôt sur du Stonesoft ou Fortinet ( ça me fait mal de dire ça pour le dernier :) ). Je suis pro Juniper, mais bon tant qu'ils n'auront pas de GUI digne de ce nom pour éviter de faire le debug en cli pour tout ce qui est sécu ce ne sera qu'un outsider et encore. ( je suis bon pour un coup de tel de Juniper maintenant :) ) Entièrement d'accord. Je suis pro Juniper aussi, mais mon avis sur les Srx est mitigés. Les Srx fonctionne raisonnablement bien (modulo quelques soucis habituels avec les Alg). Niveau performance c'est OK. Mais alors la ou la CLI Juniper est généralement un avantage sur un routeur, sur la partie règles c'est beaucoup trop verbeux. On peut un petit peu améliorer les choses avec les apply-groups, mais si tu dépasse les 500 règles ça devient illisible. Attention, le CLI est inexistant sur ces deux derniers, c'est clickodrome. Mais pour du firewall, très franchement, le tout cli je crois que c'est dépassé L'approche Netscreen avec NSM était un compromis acceptable. Maintenant NSM fonctionne vraiment très mal avec les SRX. Ensuite, les trucs genre Checkpoint, Cisco ASA leaders du marché ... Je passerais mon chemin. Je me demande meme comment les trucs comme ASA se vendent encore, jamais vu un truc aussi pénible à administrer. Checkpoint, bah checkpoint :) CQFD. Checkpoint le seul gros/énorme avantage est leur GUI. ASA j'ai beau chercher ? bah go Stonesoft alors, c'est 100 fois mieux :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Choix d'une appliance Firewall
Le 2013-09-23 14:22, Radu-Adrian Feurdean a écrit : On Mon, Sep 23, 2013, at 12:09, Raphael Maunier wrote: Attention, le CLI est inexistant sur ces deux derniers, c'est clickodrome. Mais pour du firewall, très franchement, le tout cli je crois que c'est dépassé Cote Fortinet, le CLI existe bel et bien, il est juste pas pratique pour la gestion des regles. Par contre, pour faire du debug ou utiliser certaines fonctionalites, il *FAUT* passr par la casse CLI. Donc pour moi inexistant :) Quand tu peux pas vraiment l'utiliser car il faut avoir le pdf à porté de main, c'est que c'est pas fait pour être utilisé marrant avec des machines vérolés qui ont détruit de l'ASA par exemple. Je me demande meme comment les trucs comme ASA se vendent encore, jamais vu un truc aussi pénible à administrer. Ce ne sont pas les boities ASA qui se vendent, mais l'etiquette Cisco collee au boitier. Les ASA classiques sont totalement obsoletes, les ASA series -X ont juste un prix totalement delirant (meme apres minimum 50% de remise) pour ce qu'ils offrent. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Probleme electrique A TH2 ?
A partir d'une moment tu es quand même obligé d'avoir un point de concentration. Ensuite que ce point ai au impact aussi important, c'est souvent un pb de conf / bug. Donc lié à l'humain. Raphael Le 2013-09-19 13:04, Pascal Rullier a écrit : Le 2013-09-19 12:56, VIGNEAU Martin a écrit : On a effectivement un gros impact sur Néo même ici. Cela semble revenu. Ca va être sympa d'expliquer à nos clients que leurs problèmes sur internet vient d'une panne électrique boulevard Voltaire, Paris X... Ce qui montre, hélas encore une fois, la faiblesse des points de concentrations. Avez-vous eu aussi une explication de TH2 ? Cdlt, --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Probleme electrique A TH2 ?
On est d'accord :) donc la concentration n'est pas l'unique débat . Raphael Le 2013-09-19 14:24, VIGNEAU Martin a écrit : Cela dépend également du type de problème. Dans notre cas, on a plusieurs transitaires, un seul a été touché. S'il était tombé proprement on n'aurait pas eu d'impact client, mais il continuait à annoncer nos routes (phénomène de trou noir), d'où l'impact La sécurisation/redondance//délocalisation ne focntionne pas à tout coup Martin VIGNEAU Directeur Technologies ZEOP - REUNICABLE T +262 262 010 008 | M +262 692 721 912 39, r. Pierre Brossolette 97420 Le Port www.zeop.re – www.zeop.biz -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Raphael Maunier Envoyé : 19 September, 2013 16:17 À : Pascal Rullier Cc : frnog@frnog.org Objet : RE: [FRnOG] [TECH] Probleme electrique A TH2 ? A partir d'une moment tu es quand même obligé d'avoir un point de concentration. Ensuite que ce point ai au impact aussi important, c'est souvent un pb de conf / bug. Donc lié à l'humain. Raphael Le 2013-09-19 13:04, Pascal Rullier a écrit : Le 2013-09-19 12:56, VIGNEAU Martin a écrit : On a effectivement un gros impact sur Néo même ici. Cela semble revenu. Ca va être sympa d'expliquer à nos clients que leurs problèmes sur internet vient d'une panne électrique boulevard Voltaire, Paris X... Ce qui montre, hélas encore une fois, la faiblesse des points de concentrations. Avez-vous eu aussi une explication de TH2 ? Cdlt, --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Question BGP suite coupure TH2
Ou sinon tu as des solutions comme Border6 :) http://www.border6.com Raphael Le 2013-09-19 22:18, Yann Vercucque a écrit : En admettant que la session BGP ne tombe pas, je pencherai sur la mise en place de Track IP (IP SLA) sur une ip de Neo Telecom. Ce lien répondra à votre question : http://blog.ipspace.net/2011/09/shut-down-bgp-session-based-on-tracked.html, il faudrait changer le tracking interface en tracking ip. J'ai n'ai pas testé mais la solution est viable je pense. Yann V. Le 19 sept. 2013 à 21:31, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonsoir, Une question au pro du BGP concernant l'incident électrique qui est arrivé aujourd'hui à TH2 impactant Neo telecom. Peut être ma demande va vous paraître HS, mais, j'aime bien comprendre ! Admettons que mon fournisseur de transit soit interconnecté avec Neo telecom et que pour X raisons mon transitaire ne coupe pas la liaison BGP défectueuse de Néo. Que puis-je faire de mon coté niveau BGP afin d'éviter de faire rentrer/sortir du traffic vers l'AS de Néo ? Existe t'il une régle que je peux mettre en place afin de prioritiser n'importe quelle route pour vue qu'elle ne passe pas par l'AS défecteux ? Quel est la solution enviseageable de mon coté ?? Merci à ceux qui prendront la peine de me réponse. Bonne soirée. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] FranceIX : Renouvellement du comité de direction
Le 2013-09-12 15:00, Pierre Col - p...@9online.fr a écrit : Allez, je suis le candide de l'histoire alors je pose deux questions bêtes : - En quoi est-ce que FranceIX existe grâce à la communauté Frnog ? Parce que c'est grâce au soutien de nombreuses personnes faisant partie de la communauté que nous avons continué Maurice et moi. C'est parce que la communauté existe que par exemple le Panap a été crée et que nous avons continuer ce projet en le rendant indépendant et neutre. Donc, bien sur il a fallu de le soutien des membres fondateurs, mais clairement, nous n'aurions pas continué si nous avions reçu un non ferme de la plupart des gens de la liste :) - Pourquoi FranceIX s'appelle-t-il ainsi (je veux dire avec le préfixe France), alors qu'il est, si j'ai bien compris, essentiellement parisien et marseillais et pourrait s'appeler ParMarsIX ? :-) Parce qu'il faut bien un nom. Et il y a des accords avec justement des IX sur Lyon, Toulouse par ex. Et le but de Franceix est toujours de fédérer ! S'il y a un concours de celui qui a la plus grosse, j'ai proposé à mes amis de LyonIX de se rebaptiser UniversIX :-) -- Pierre Col Message du : 12/09/2013 13:33 De : raph...@maunier.net A : frnog@frnog.org Copie à : Sujet : [FRnOG] [MISC] FranceIX : Renouvellement du comité de direction Bonjour à tous, Un petit rappel ici pour parler un peu de Franceix et de son assemblée générale qui se déroulera la semaine prochaine Lorsque nous avons crée FranceIX, nous avions prévu qu'au bout de 3 ans, nous devions soumettre aux membres un nouveau vote pour élire 2 nouveaux membres du comité, ou maintenir en place les sièges existant. Deux sièges sont donc à pourvoir ou maintenir pour les 3 prochaines années. La date limite de candidature est fixée au 15 septembre. Les informations pour présenter sa candidature sont ici : https://www.franceix.net/fr/events-and-news/news/france-ix-calls-applications-join-its-board/ Vous devez avoir une autorisation de votre entreprise ( si c'est la votre c'est plus simple ), car les 2 sièges sont liés à des individus représentant leur entreprise. FranceIX existe grâce à la communauté Frnog qui a fait confiance à 2 individus qui sont arrivés avec une idée. C'est FrNog qui a fait de ce projet un succès. Si vous souhaitez vous impliquer dans FranceIX et participer à cette aventure humaine incroyable, je ne peux que vous encourager à postuler. Il est important d'apporter votre expérience, car un peu de sang neuf ne pourra qu'apporter de nouvelles idées et des évolutions qui ne pourront être que bénéfique. FranceIX appartient à ses membres et le renouvellement du comité de direction est la pour garantir sa neutralité et des le départ avec Maurice, nous avions cette volonté, et ce moment est arrivé. Voici donc un extrait du site : Pour postuler, les candidats soumettront avant le 15 Septembre 2013 à l’adresse board-candidates_at_franceix.net les éléments suivants en anglais: + Curriculum vitae + Lettre de motivation expliquant quelles compétences le candidat apportera au comité Il reste donc moins de 2 jours pour vous présenter. Si vous avez des questions, vous savez ou me trouver , ou sinon directement à FranceIX :) A bientôt, Raphael Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] FranceIX : Renouvellement du comité de direction
Forcement il fallait que ça dérape :) Outre une discussion des plus intéressante sur le nom de Franceix, il s'agit vraiment de trouver des membres du board qui s'impliquent dans la vie de Franceix. Franceix est une association qui appartient à ses membres et qui a besoin d'eux pour évoluer et s'améliorer. J'ai eu pas mal de questions en off, je vais y répondre sur la liste :) 1/ Pourquoi se présenter ? L'intérêt pour mon entreprise ? Etre membre du board, n'est pas un juste titre qui sert à bien faire voir son entreprise et en faire du marketing. Il s'agit plutôt d'une occasion d'apporter son expérience ( perso et celle de son entreprise ) à une équipe dynamique qui est passionnée par ce projet. 2/ La fréquence Comme indiqué sur le site de Franceix, il s'agit de 2 réunions téléphonique / mois, et d'une ou deux / ans. L'assiduité des membres du comité de direction est notée, je vous invite à prendre cela en considération, afin d'éviter des membres qui ne viennent jamais ou presque pas. 3/ Et on gagne combien ? Toute l'estime des membres. Franceix ne paie pas les membres du board :) 4/ Ça parle de quoi ? De la vie du point d'échange, des évolutions commerciales , marketing ( des événements genre beer events :) ) , et aussi on y parle des soucis rencontrés . 5/ On sert à quoi ? Comme un comité de direction dans une entreprise :) Exactement pareil. Je ferais une sélection des questions trolls plus tard :) Raphael Le 2013-09-12 15:18, frede...@perrod.org a écrit : La + grosse... pas la + longue... Vercingétor-IX, fils de Celtill-OS, pour rester dans le gaulois ??? http://fr.wikipedia.org/wiki/Vercing%C3%A9torix Fred VIGNEAU Martin martinvign...@zeop.re a écrit : MarsuPilamIX ? Martin VIGNEAU -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Pierre Col - p...@9online.fr Envoyé : 12 September, 2013 17:01 À : frnog@frnog.org Cc : strio...@lyonix.net; raph...@maunier.net Objet : Re: [FRnOG] [MISC] FranceIX : Renouvellement du comité de direction Allez, je suis le candide de l'histoire alors je pose deux questions bêtes : - En quoi est-ce que FranceIX existe grâce à la communauté Frnog ? - Pourquoi FranceIX s'appelle-t-il ainsi (je veux dire avec le préfixe France), alors qu'il est, si j'ai bien compris, essentiellement parisien et marseillais et pourrait s'appeler ParMarsIX ? :-) S'il y a un concours de celui qui a la plus grosse, j'ai proposé à mes amis de LyonIX de se rebaptiser UniversIX :-) -- Pierre Col Message du : 12/09/2013 13:33 De : raph...@maunier.net A : frnog@frnog.org Copie à : Sujet : [FRnOG] [MISC] FranceIX : Renouvellement du comité de direction Bonjour à tous, Un petit rappel ici pour parler un peu de Franceix et de son assemblée générale qui se déroulera la semaine prochaine Lorsque nous avons crée FranceIX, nous avions prévu qu'au bout de 3 ans, nous devions soumettre aux membres un nouveau vote pour élire 2 nouveaux membres du comité, ou maintenir en place les sièges existant. Deux sièges sont donc à pourvoir ou maintenir pour les 3 prochaines années. La date limite de candidature est fixée au 15 septembre. Les informations pour présenter sa candidature sont ici : https://www.franceix.net/fr/events-and-news/news/france-ix-calls-applications-join-its-board/ Vous devez avoir une autorisation de votre entreprise ( si c'est la votre c'est plus simple ), car les 2 sièges sont liés à des individus représentant leur entreprise. FranceIX existe grâce à la communauté Frnog qui a fait confiance à 2 individus qui sont arrivés avec une idée. C'est FrNog qui a fait de ce projet un succès. Si vous souhaitez vous impliquer dans FranceIX et participer à cette aventure humaine incroyable, je ne peux que vous encourager à postuler. Il est important d'apporter votre expérience, car un peu de sang neuf ne pourra qu'apporter de nouvelles idées et des évolutions qui ne pourront être que bénéfique. FranceIX appartient à ses membres et le renouvellement du comité de direction est la pour garantir sa neutralité et des le départ avec Maurice, nous avions cette volonté, et ce moment est arrivé. Voici donc un extrait du site : Pour postuler, les candidats soumettront avant le 15 Septembre 2013 à l?adresse board-candidates_at_franceix.net les éléments suivants en anglais: + Curriculum vitae + Lettre de motivation expliquant quelles compétences le candidat apportera au comité Il reste donc moins de 2 jours pour vous présenter. Si vous avez des questions, vous savez ou me trouver , ou sinon directement à FranceIX :) A bientôt, Raphael Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de
Re: [FRnOG] [ALERT] FranceIX
Pb en cours sur Interxion2 avec effet de bord sur le backbone. Un but est identifié, une résolution est prévu dans les prochaines minutes Raphaël Le mardi 16 juillet 2013, Julien Follenfant a écrit : Oui il est fort probable que les firewalls soient concernés par le souci :( Le 16 juillet 2013 10:47, Fabrice fabric...@gmail.com javascript:; a écrit : Bonjour à tous, Notre opérateur est COLT, nos sites Parisiens et Toulousains sont coupés vers les services Microsoft (Office 365, hotmail) uniquement les autres sites fonctionnent correctement. Le technicien COLT nous demande de vérifier la config de nos firewall. Pensez-vous que c'est un effet de bord possible ? Fabrice Le 16 juillet 2013 10:25, Jérémy Martin li...@freeheberg.comjavascript:; a écrit : Probablement une carte qui a besoin d'un reboot ou d'un spare :) On change le routage. Merci pour vos retours. Cordialement, Jérémy Martin Le 16/07/2013 10:11, Julien Follenfant a écrit : Ah non pour moi ça marche formidablement bien. Le 16 juillet 2013 10:04, Jérémy Martin li...@freeheberg.comjavascript:; a écrit : On a 80% de pertes, le site de FranceIX est down. Idem pour tout le monde ? -- Cordialement, Jérémy Martin Directeur Technique FirstHeberg.com Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30) Standard Services Généraux :09 72 125 539 (tarif local) Standard Support : 08 92 494 490 (0.34€ / mn) Mail : j.martin AT techcrea.fr Web : http://www.firstheberg.com __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Julien Follenfant jfollenf...@gmail.com javascript:; Tel: +33 6 47 56 22 48 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Passer LIR
Le vendredi 21 juin 2013, frederic a écrit : Le 21/06/2013 05:45, Raphael Maunier a écrit : Le vendredi 21 juin 2013, Yohann QUINTON a écrit : Le 20/06/13 23:11, Raphael Maunier a écrit : On Jun 20, 2013, at 10:23 PM, fredericfrede...@placenet.org wrote: bonsoir, un peu facile l'amalgame... mais on notera que la rareté des Ipv4 aura fait vite fait de mettre en place un tarif pour ce debarasser des petits… 2k annuel pour passer LIR .. On est bien d'accord, 2k de trop ^^ En France, quand on est propriétaire on paie des impôts locaux pour avoir le droit d'habiter chez soit. tu confonds avec la taxe fonciere... Dsl il manquait justement et foncier ( je viens de la payer donc je me souviens encore ) merci de l'avoir soulevé mais si tu n'a pas de revenu tu ne payes pas d'impot... tu peux en demander l'exonération. Mais si tu as des revenus tu dois rendre à césar... Ces impôts servent à la commune pour le bienêtre des concitoyens on va dire. Et c'est normal de les payer, à moins que l'on me prouve le contraire. d'oublier que l'on impose pas unilittéralement un contrat à ce qui n'en avait pas. Donc passer d'un mode bordélique à un mode géré c'est pas bien ? Géré ??? un bien grand mots ... imposé plus déjà, sinon il n'y aurai pas d'IPv4 inutilisé au quatre coin de cette belle planète bleu... Et on aurai déja sans doute fait le pas de l'IPv6 depuis une/deux/belle lurette ^^ Nié ? Donc le fait que l'ipv6 n'est pas déployé, c'est de la faute des rir ? Trop gros passera pas ! ce n'est pas la faute exclusive, ils y participent. Sérieux ? Mais sans déconner . Et tu fais quoi avec les clochards du net qui ont des équipements qui sont aussi vieux y que ma première dent de lait ? Qui ne supporte pas déjà la full route ( mais on est capable de s'en accommoder ) et pas l'ipv6 ? Tu fais quoi des constructeurs qui ne supportent pas ipv6 en hw ou qui facturent une licence supplémentaire pour avoir le droit de l'utiliser ? Tu fais quoi des profs de bts ou dut qui ne savent pas non plus ce que c'est ? on comprendra que l'Icann voyant qu'en 2006 , les accords sur la gouvernance de l'Internet ne vont pas dans le sens qu'ils veulent et donc on cree un contrat sur les ipv4 existantes pour en prendre le controle au détriment des négociation en cours... qui demande plus de liberalité la possiblité d'avoir des concurents au ripe en europe par exemple... l'europe demande que le citoyen soit dans la décision et non pas seulement les professionnels. Bonjour Mister fils de Mme Michue. Comme ta maman Madame Michue ne sait pas comment fonctionne Internet, entre 2 partie de Call of Duty, tu pourrais donner ton avis sur la gestion des adresses ipv4 et surtout, tu crois qu'on doit toujours filer des /24 PI à des mecs qui ont un business et ne peuvent pas payer 2k annuel pour le sécuriser ? Faire une partie peu parfois détendre... j'vous sent tendu sur FRNog en ce moment ^^ Ça ira, je suis plutôt Diablo3, les jeux ou il fait jouer 8h par jour pour améliorer sa technique, très peu pour moi :) Et je ne suis pas tendu, mais sérieusement, voir les gens systématiquement remettre en cause un système sans jamais prendre d'action, c'est pénible. A bon ? affirmation gratuite... Non, simple constatation ! Donc quand j'ai du temps, je réponds , et ça tombe bien hier soir j'en avais ! 19Meuros pour le ripe et 16Mde dollard pour l'arin, pour gérer une base d'ips qui d'ailleurs sont attribuées sans aucune garanti, je t'imagine bien accepter de payer un service tout les mois sans garanti… Ben tous les mois, j'ai un truc qui s'appelle retraite sur ma fiche de paie ... Le système est mal géré rajoutons une couche ! logique imparable, j'approuve. Je n'ai pas dis que j'approuve :) je préparais vendredi sur celle la, rien à voir ! c'est trolldi... :) et le fonctionnement du Ripe n'est pas un vote démocratique, c'est une plutocratie, la question voulez vous vous faire plus de fric ? et la réponse, sans surprise, est toujours oui… Dire que le ripe ne sert qu'à prendre du pognon est bien réducteur. Tu crois vraiment qu'Internet se construit sans organisation un tant soit peu fédératrice ? Qu'une communauté n'a pas besoin de se créer / financer pour faire avancer les choses ? Il n'y aurait pas eu ces organisations, ton business n'existerait probablement pas Quelle légitimité du RIPE dans un pouvoir fédérateur ? On parle plutôt d’asservissement et de délégation de contrôle sur un bout du monde (virtuel quand même) comme un autre. Parce que la gestion entre potes des @ip c'est un truc scalable ? C'était presque comme cela au début, et justement les /8 qui étaient affectés au début , c'était par email entre potes pour simplifier. La phase d'un des mecs de l'infra de Google maintenant chez Microsoft : If it does not scale change the way you are doing it ! Donc la gestion par le ripe en EU
Re: [FRnOG] [MISC] Utilité des adresses peering@
Hello, Lorsque tu es membre du Linx, et que tu signes le contrat pour être membre, tu t'engages à répondre aux demandes de peering. J'ai effectivement eu un membre du Linx qui me l'a rappelé une fois, lorsque je n'avais pas répondu à sa 3 eme demande de peering. Donc, tu peux le rajouter dans le contrat, mais à l'étape embryonnaire , petit, en croissance, je doute que ce soit une superbe idée. Pour moi, et je pense que c'est la bonne démarche, le point d'échange doit créer une communauté / la renforcer et s'associer à des groupes plus gros ( genre Euro-IX ) pour que cela fonctionne et que les gens ne prennent pas cela à la légère. C'était le principe de base de FranceIX et jusqu'à preuve du contraire, ça fonctionne plutôt bien. Mettre des la création du point d'échange, des contraintes réglementaires n'est pas du tout bien vu et aura tendance à faire fuir les gros opérateurs qui n'auront pas envie de négocier avec leur service juridique. Donc keep it simple, keep it open ! Raphael 2013/6/20 Jérôme Nicolle jer...@ceriz.fr Le 20/06/2013 17:10, Phibee Network Operation Center a écrit : En gros si je comprends bien, c'est que l’opérateur devra vendre du transit avec un AS ainsi qu'un lien niveau 2 vers le point d'echange a la collectivité ;) C'est une possibilité technique qui devrait être conforme aux specs, en effet. et cela, en masquant le cout en augmentant légèrement les autres presta Ah en terme de coût, le code des marchés publics s'applique toujours, et si le critère prix est pondéré assez lourdement, alors cette approche ne sera pas forcement retenue ;) Par contre il y a un énorme avantage dans le dépouillement des réponses : pour avoir proposé une offre techniquement conforme, le soumissionnaire aura du travailler sur le dossier avec suffisamment de compétence technique et d'attention. Du coup, tu es certain de pouvoir éliminer rapidement les dossiers baclés par des droïdes-à-propales qui n'auraient pas suivi correctement la mise en prod et le SAV ;) -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Utilité des adresses peering@
2013/6/20 Jérôme Nicolle jer...@ceriz.fr Salut Raphaël, Le 20/06/2013 18:45, Raphael Maunier a écrit : Mettre des la création du point d'échange, des contraintes réglementaires n'est pas du tout bien vu et aura tendance à faire fuir les gros opérateurs qui n'auront pas envie de négocier avec leur service juridique. Donc keep it simple, keep it open ! Ah mais bien entendu, il n'y a aucune contrainte de ce type sur le TOUIX, et les opérateurs cités n'en sont pas (encore ?) membres. L'incitation au peering envisagé par les collectivités dans leurs appels d'offres ne sont qu'un moyen pour eux de bénéficier de services plus souples et de meilleure qualité, et ce en totale décorrélation avec la présence d'un GIX local. Ce dernier peut faciliter la tâche, c'est tout. Je pense pas que ce soit une bonne idée. Pour le moment, le CSA, pardon l'Arcep , ne fait que des mesures et n'est pas aujourd'hui Compétent pour obliger / conseiller / inciter de peerer, et ce n'est pas non-plus son rôle. L'expression des besoins techniques ne permettant pas d'imposer une solution, les interconnexions souhaitées peuvent se faire en PNI ou via une plate-forme mutualisée, et c'est nécessairement au choix des opérateurs souhaitant se positionner sur le marché. Par contre la densité des interconnexions et la longueur des routes, plus ou moins liées à la politique de peering, peuvent être prises en compte dans l'évaluation technique du soumissionnaire, c'est là la grosse avancée, et espérons que ça devienne la norme dans les marchés publics. Donc si je comprends bien ton propos, tu veux nous faire croire que les mecs des collectivités seront en mesure de faire une analyse fine de tout ce boxon ? Ok, On verra une armada de consultants , dont la plupart ne savent pas ce que c'est que le Bien Gentil Protocole ( copyright Sbol ), proposer leurs services aux différentes collectivités . Si ton truc passe, dans un monde non futuriste, je deviens consultant et je vais faire le tour de France direct ! -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Utilité des adresses peering@
En avance sur Vendredi :) Bon je modifie : si ça généralise, je me fais payer pour ça À bientôt, Raphael PS : et ça fait bien longtemps que je ne l'ai pas fait :) Le jeudi 20 juin 2013, Sidney Boumendil a écrit : 2013/6/20 Raphael Maunier raph...@franceix.net javascript:_e({}, 'cvml', 'raph...@franceix.net'); Si ton truc passe, dans un monde non futuriste, je deviens consultant et je vais faire le tour de France direct ! C'est pas ce que tu fais deja ? :) Amicalement, Sidney --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Utilité des adresses peering@
Le jeudi 20 juin 2013, Jérôme Nicolle a écrit : Le 20/06/2013 20:35, Raphael Maunier a écrit : Je pense pas que ce soit une bonne idée. Pour le moment, le CSA, pardon l'Arcep , ne fait que des mesures et n'est pas aujourd'hui Compétent pour obliger / conseiller / inciter de peerer, et ce n'est pas non-plus son rôle. Qui te parle de l'ARCEP ? Moi ! Ils n'ont aucun pouvoir sur les marchés publics des collectivités ou administrations, et ne peuvent qu'être consultés par une cour administrative en cas de litige relevant de modalités d'interconnexions impliquant une personne publique. Parce que tu crois qu'un opérateur qui rend déjà des comptes à l'arcep va s'exposer 2 fois ? La on parle juste des cahier des charges techniques des appels d'offres émis par des collectivités, et ces critères font sens pour certaines d'entre elles qui se sont penchés sur la question. Donc si je comprends bien ton propos, tu veux nous faire croire que les mecs des collectivités seront en mesure de faire une analyse fine de tout ce boxon ? Les critères de lecture sont simples : des traceroute, des listes de points de présence, une carte de membre pour les IX cités... La liste des pièces à fournir et la façon de les lire est assez simple à faire passer dans une circulaire telles que les conseils généraux les diffusent aux mairies, par exemple. Tu y crois vraiment ? Les cartes de réseau bullshit et des traceroutes foireux, je connais des opérateurs qui maintenant le pratique ! Ok, On verra une armada de consultants , dont la plupart ne savent pas ce que c'est que le Bien Gentil Protocole ( copyright Sbol ), proposer leurs services aux différentes collectivités . Ah alors ça, c'est un autre problème. Je ferais bien un quizz en ligne pour que les collectivités puissent tester les compétences des soumissionaires, et distinguer les gens serieux des suceurs de fonds publics. Non, il ne suffira pas de savoir ce qu'st un GBIC, sinon les enseignant chercheurs pourraient se faire passer pour des consultants maintenant :O Vendredi c'est dans 3h :) Si ton truc passe, dans un monde non futuriste, je deviens consultant et je vais faire le tour de France direct ! Ah ben si ça te dit, il y a du boulot pour déniaiser les collectivités sur ce genre de sujets techniques (de la tranchée au routeur). Et pas que dans le public, d'ailleurs. C'est l'occasion de voir du pays :D -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Utilité des adresses peering@
2013/6/20 JC j...@igwan.net Bonjour, On 2013-06-20 14:35, Raphael Maunier wrote: 2013/6/20 Jérôme Nicolle jer...@ceriz.fr [1] [...] Pour le moment, le CSA, pardon lArcep , ne fait que des mesures et nest pas aujourdhui Compétent pour obliger / conseiller / inciter de peerer, et ce nest pas non-plus son rôle. Le CPCE lui donne pourtant ces compétences (L.34-8 du CPCE). l'autorité peut imposer, de manière objective, transparente, non discriminatoire et proportionnée, les modalités de l'accès ou de l'interconnexion Define peering / Define Transit / Defined Paid Peering ... Pourquoi tel ou tel ratio ? etc etc. Pourquoi tu crois que l'Arcep fait des mesures depuis peu ? Les contrats de transit / peering ne sont pas encore réglementés. On verra plus tard, pour le moment, c'est du pure commerce ! == Le peering n'est PAS réglementé ! Les exploitants de réseaux ouverts au public font droit aux demandes d'interconnexion des autres exploitants de réseaux ouverts au public Ben encore heureux : Bonjour je veux me connecter, selon l'article machin bidule ... Mais pas de pb monsieur, selon l'article X de mon contrat d'interco c'est XXX$ On ne travaille pas pour la gloire hein ... -- JC --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Passer LIR
On Jun 20, 2013, at 10:23 PM, frederic frede...@placenet.org wrote: bonsoir, un peu facile l'amalgame... mais on notera que la rareté des Ipv4 aura fait vite fait de mettre en place un tarif pour ce debarasser des petits… 2k annuel pour passer LIR .. d'oublier que l'on impose pas unilittéralement un contrat à ce qui n'en avait pas. Donc passer d'un mode bordélique à un mode géré c'est pas bien ? on comprendra que l'Icann voyant qu'en 2006 , les accords sur la gouvernance de l'Internet ne vont pas dans le sens qu'ils veulent et donc on cree un contrat sur les ipv4 existantes pour en prendre le controle au détriment des négociation en cours... qui demande plus de liberalité la possiblité d'avoir des concurents au ripe en europe par exemple... l'europe demande que le citoyen soit dans la décision et non pas seulement les professionnels. Bonjour Mister fils de Mme Michue. Comme ta maman Madame Michue ne sait pas comment fonctionne Internet, entre 2 partie de Call of Duty, tu pourrais donner ton avis sur la gestion des adresses ipv4 et surtout, tu crois qu'on doit toujours filer des /24 PI à des mecs qui ont un business et ne peuvent pas payer 2k annuel pour le sécuriser ? 19Meuros pour le ripe et 16Mde dollard pour l'arin, pour gérer une base d'ips qui d'ailleurs sont attribuées sans aucune garanti, je t'imagine bien accepter de payer un service tout les mois sans garanti… Ben tous les mois, j'ai un truc qui s'appelle retraite sur ma fiche de paie ... et le fonctionnement du Ripe n'est pas un vote démocratique, c'est une plutocratie, la question voulez vous vous faire plus de fric ? et la réponse, sans surprise, est toujours oui… Dire que le ripe ne sert qu'à prendre du pognon est bien réducteur. Tu crois vraiment qu'Internet se construit sans organisation un tant soit peu fédératrice ? Qu'une communauté n'a pas besoin de se créer / financer pour faire avancer les choses ? Il n'y aurait pas eu ces organisations, ton business n'existerait probablement pas le danger de contractualiser formellement tous les réseaux est un danger, Ah ? Donc par exemple un pays pourrait fonctionner sans faire de carte d'identité à ses ressortissants ? Tres bien, je t'invite à essayer de te rendre dans un pays qui n'est pas dans l'espace Schengen sans passeport en invoquant ta liberté d'individu le coté opérationnel qui arrive avec le ROA centralisé est aussi très dangereux. les noms de domaine sont un bon exemple: on segmente pour créer des marchés: .a .b .c etc… Ah ok, j'avais oublié le concept : trop de redondance tue la redondance … alors que faire des noms de domaines sans dot kelkechose c'est pas dans l'air du temps... les Provider indépendant c'est TERMINé, et aucune réaction… Si, ENFIN ! a+ Le 20/06/2013 21:31, Radu-Adrian Feurdean a écrit : On Thu, Jun 20, 2013, at 14:30, Frédéric wrote: en droit européen et français le ripe et consort... n'ont semble t-il pour le moment aucune légitimité (sauf celle qu'on semble vouloir leur Tout comme les billets de banque emis par la BCE, BoE, Fed, ... Il suffit juste de voir ce qu'on peut (pas) faire en France avec un billet de 200 ou 500 EUR. D'ailleurs c'est pareil pour les gouvernements.troll Il suffir de faire un tour dans le 93 profond ou dans certaines zones a Marseille./troll donner), et leur politique d'obliger unilittéralement d'avoir un contrat sur des ressources qui en avaient pas, serait assimilable à un abus. Je trouve aussi que c'est un abus le fait de m'obliger a payer des impots (autant d'impots). Pour revenir a la realite, je prefere l'autorite d'une entite ouverte, ou en plus j'ai un vote parmi moins de 9000 au total et ou il y a un vote tous les 12 MOIS au pire, plutot que l'autorite d'un quelque-chose opaque, ferme, et qui laisse choisir une seule fois tous les 5 ans, avec un choix parmis plusieurs millions. En ce qui concerne le contrat pour utiliser des numeros, encore une fois, je prefere les policies RIPE plutot que la reglementation (et pire encore, la jurisprudence = loi faite par des non-elus) en matiere de propriete intellectuelle. Disons juste qu'avoir un reseau visible uniquement par les FAI qui se ont fait obliger a accepter tes annonces suite a une decision de la justice nationale (peu importe le pays) n'est pas du tout l'idee que je me fais d'Internet. Tant qu'on y est, on pourra toujours (mais je n'ai PAS dit facilement)) touver un juge sufisamment a cote pour se voir attribuer 10.0.0.0/8 (avec visibilite Internet) par decision de justice. C'est ca que tu cherches ? le danger de la hiérarchisation des adresses est un véritable danger pour la neutralité de l'Internet. ??? Parce-que chacun qui prend ce qu'il a envie de prendre est un modele viable ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG
Re: [FRnOG] [MISC] Passer LIR
Le vendredi 21 juin 2013, Yohann QUINTON a écrit : Le 20/06/13 23:11, Raphael Maunier a écrit : On Jun 20, 2013, at 10:23 PM, frederic frede...@placenet.org wrote: bonsoir, un peu facile l'amalgame... mais on notera que la rareté des Ipv4 aura fait vite fait de mettre en place un tarif pour ce debarasser des petits… 2k annuel pour passer LIR .. On est bien d'accord, 2k de trop ^^ En France, quand on est propriétaire on paie des impôts locaux pour avoir le droit d'habiter chez soit. Ces impôts servent à la commune pour le bienêtre des concitoyens on va dire. Et c'est normal de les payer, à moins que l'on me prouve le contraire. d'oublier que l'on impose pas unilittéralement un contrat à ce qui n'en avait pas. Donc passer d'un mode bordélique à un mode géré c'est pas bien ? Géré ??? un bien grand mots ... imposé plus déjà, sinon il n'y aurai pas d'IPv4 inutilisé au quatre coin de cette belle planète bleu... Et on aurai déja sans doute fait le pas de l'IPv6 depuis une/deux/belle lurette ^^ Nié ? Donc le fait que l'ipv6 n'est pas déployé, c'est de la faute des rir ? Trop gros passera pas ! on comprendra que l'Icann voyant qu'en 2006 , les accords sur la gouvernance de l'Internet ne vont pas dans le sens qu'ils veulent et donc on cree un contrat sur les ipv4 existantes pour en prendre le controle au détriment des négociation en cours... qui demande plus de liberalité la possiblité d'avoir des concurents au ripe en europe par exemple... l'europe demande que le citoyen soit dans la décision et non pas seulement les professionnels. Bonjour Mister fils de Mme Michue. Comme ta maman Madame Michue ne sait pas comment fonctionne Internet, entre 2 partie de Call of Duty, tu pourrais donner ton avis sur la gestion des adresses ipv4 et surtout, tu crois qu'on doit toujours filer des /24 PI à des mecs qui ont un business et ne peuvent pas payer 2k annuel pour le sécuriser ? Faire une partie peu parfois détendre... j'vous sent tendu sur FRNog en ce moment ^^ Ça ira, je suis plutôt Diablo3, les jeux ou il fait jouer 8h par jour pour améliorer sa technique, très peu pour moi :) Et je ne suis pas tendu, mais sérieusement, voir les gens systématiquement remettre en cause un système sans jamais prendre d'action, c'est pénible. Donc quand j'ai du temps, je réponds , et ça tombe bien hier soir j'en avais ! 19Meuros pour le ripe et 16Mde dollard pour l'arin, pour gérer une base d'ips qui d'ailleurs sont attribuées sans aucune garanti, je t'imagine bien accepter de payer un service tout les mois sans garanti… Ben tous les mois, j'ai un truc qui s'appelle retraite sur ma fiche de paie ... Le système est mal géré rajoutons une couche ! logique imparable, j'approuve. Je n'ai pas dis que j'approuve :) je préparais vendredi sur celle la, rien à voir ! et le fonctionnement du Ripe n'est pas un vote démocratique, c'est une plutocratie, la question voulez vous vous faire plus de fric ? et la réponse, sans surprise, est toujours oui… Dire que le ripe ne sert qu'à prendre du pognon est bien réducteur. Tu crois vraiment qu'Internet se construit sans organisation un tant soit peu fédératrice ? Qu'une communauté n'a pas besoin de se créer / financer pour faire avancer les choses ? Il n'y aurait pas eu ces organisations, ton business n'existerait probablement pas Quelle légitimité du RIPE dans un pouvoir fédérateur ? On parle plutôt d’asservissement et de délégation de contrôle sur un bout du monde (virtuel quand même) comme un autre. Parce que la gestion entre potes des @ip c'est un truc scalable ? C'était presque comme cela au début, et justement les /8 qui étaient affectés au début , c'était par email entre potes pour simplifier. La phase d'un des mecs de l'infra de Google maintenant chez Microsoft : If it does not scale change the way you are doing it ! Donc la gestion par le ripe en EU est un modèle qui est scalable et qui permet que tout le beau petit microcosme fonctionne. La gestion entre potes ou communiste, ça ne marche pas. J'aimerais bien voir à ce que l'on me prouve le contraire ! Encore une fois ^^ je pense que le business de pas mal de gens sur cette liste n'existerai pas... Je dirais même que les rir devraient être encore plus restrictifs sur l'affectation de ressources ! Pour conduire sur une autoroute, il faut un permis de conduire avant de le faire. Pour construire une autoroute il faut une concession et un permis ! ( attention phrase pour market eux ou journalistes ) Et bien pour construire les l'autoroutes de l'information, il faut aussi un permis ! :) Une petite partie de Call of ? Toujours pas ! le danger de contractualiser formellement tous les réseaux est un danger, Ah ? Donc par exemple un pays pourrait fonctionner sans faire de carte d'identité à ses ressortissants ? Tres bien, je t'invite à essayer de te rendre dans un pays qui n'est pas dans l'espace Schengen sans passeport en invoquant ta liberté
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Hello, J'utiliserais du Adva FSP avec les cartes bonnes cartes d'encryption. C'est leur plus gros marché entreprise ce type de solution Cordialement, -- Raphael MAUNIER Jaguar Network France On Jun 11, 2013, at 10:24 AM, Rémi Laurent remi.laurent-fr...@conostix.com wrote: Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. Si vous avez des recommendations au niveau matériel qui supporte ce genre de chose, je suis également preneur. -- Rémi Laurent GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ethtool et carte Ethernet 1000mbps
rohhh :) Pour moi c'est pas du troll et tu as bien raison de le souligner. presque 10 ans après, il est temps d'upgrader le matos hein :) Cordialement, -- Raphael MAUNIER Jaguar Network France On Jun 7, 2013, at 3:41 PM, Leslie-Alexandre DENIS - DCforDATA lade...@dcfordata.com wrote: trollOn est vendredi c'est bon, MDI-X, le croisement/décroisement est auto-géré, on est plus en 2004 comme dirait l'autre.../troll Le 07/06/2013 14:30, Michael LESTOQUOY a écrit : Bonjour, accessoirement, tu as un câble croisé ? Date: Thu, 6 Jun 2013 15:43:26 +0200 From: michel.hostett...@telecom-paristech.fr To: ashe...@hotmail.fr CC: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] ethtool et carte Ethernet 1000mbps Bonjour, Un point au moins, le 1000Base-T fonctionne obligatoirement avec autonégociation : l'une des 2 extrémités doit prendre la fonction de maître, pour raison de synchronisation. J'ai aussi souvenir que l'embrouilleur maître doit être distinct de l'embrouilleur esclave, compte tenu de la propagation Tx / Rx en différentiel sur les 4 paires. Ensuite intervient le câblage. Si le taux d'erreur est important, rien ne fonctionne. Cordialement, Michel Hostettler - Mail original - De: ashemta ochenta ashe...@hotmail.fr À: frnog-t...@frnog.org Envoyé: Jeudi 6 Juin 2013 14:48:35 Objet: [FRnOG] [TECH] ethtool et carte Ethernet 1000mbps Bonjour a tous. j'ai donc un problème avec ethtool sous debian je n'arrive pas a forcer ma carte Ethernet en 1gbps. pourtant bien supporter. Supported link modes: 10baseT/Half 10baseT/Full 100baseT/Half 100baseT/Full 1000baseT/Full je fait donc : ethtool -s eth0 autoneg off ethtool -s eth0 speed 1000 ( et la plus de net ) es possible que le routeur derrière bloque la connexion ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ethtool et carte Ethernet 1000mbps
BCP = auto nego hein :) On est plus en 2004 Cordialement, -- Raphael MAUNIER Jaguar Network France On Jun 6, 2013, at 3:23 PM, Laurent Caron (Mobile) lca...@unix-scripts.info wrote: ashemta ochenta ashe...@hotmail.fr a écrit : Bonjour a tous. j'ai donc un problème avec ethtool sous debian je n'arrive pas a forcer ma carte Ethernet en 1gbps. pourtant bien supporter. Supported link modes: 10baseT/Half 10baseT/Full 100baseT/Half 100baseT/Full 1000baseT/Full je fait donc : ethtool -s eth0 autoneg off ethtool -s eth0 speed 1000 ( et la plus de net ) es possible que le routeur derrière bloque la connexion ? --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Comment est paramétré le port du routeur? 1000 full, auto? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Peering et attaques
Et pourquoi un opérateur prendrait la charge de rate-limit sur son backbone juste comme ça pour faire plaisir à un client :) L'impact sur la charge des routeurs est significatif. C'est pour cela que les opérateurs prennent des solutions qu'ils facturent. Apres speed - price - quality, pick any two Cordialement, -- Raphael MAUNIER Jaguar Network France On May 16, 2013, at 9:28 AM, Jérémy Martin li...@freeheberg.com wrote: De manière plus générale, une communauté rate-limit avec les upstream et une simple règle qui dit rate-limit DNS SNMP à 50 Mb/s Ca serais largement suffisant. Non ? Chez Cogent, on a reçu une fin de non recevoir quand on leur a demandé d'arrêter de nous bombarder avec leur root-server :( Cordialement, Jérémy Martin Le 16/05/2013 09:23, David Ramahefason a écrit : ah my bad j'ai mal lu donc Nicolas a raison, pour la partie CS il n'y a pour le moment pas de solution si l'upstream ne gère pas la fonctionalité. Pour en revenir au post initial, s'il y a déjà un TMS en place il serait peut être intéressant de tester l'ajout d'un pravel (Mathieu ?? :p) pour la partie services (en coupure) non ?? De ma compréhension du produit c'est exactement ce pour quoi il est fait. Apres je ne sais pas si le CS du coup en local est utile par contre. Le 16 mai 2013 09:09, David Ramahefason r...@netfacile.net a écrit : Salut Nicolas :) ah oui sur l'upstream ne gère pas de CS cela peut poser problème mais il y a des fournisseurs de service de CS en remote (après je ne connais pas l'efficacité d'une telle utilisation): http://www.arbornetworks.com/products/cloud-signaling-coalition A+ Le 16 mai 2013 07:29, Nicolas Strina nicolas.str...@jaguar-network.coma écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, Bonsoir, Pour les attaques applicatives c'est le Pravel de chez Arbor (qui se met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow des upstream ou sur le sien. Sauf que dans son cas il faut que son upstream provider supporte le cloud signaling. On est 1 ou 2 en France à pouvoir le faire. Sans ça tu satures quand même tes liens .. De mémoire Cogent ne fait pas ça .. C'est la seule alternative viable pour le moment (pour bien avoir bossé sur le sujet). On avait déjà signalié ce type d'attaque lors d'une présentation avec Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu). A+ Cordialement David R. -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Peering et attaques Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé en amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on sait déjà le faire nous même automatiquement. Cordialement, Jérémy Martin Le 15/05/2013 22:51, Moncef ZID a écrit : Une solution : Arbor Networks Peak Flow SP et TMS Une solution efficace pour le Peering et pour le DDOS Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto: frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques Bonjour, On est confronté à un problème qui nous embarrasse pas mal ces temps ci. On a la chance de pouvoir utiliser plusieurs points de peerings : - FranceIX - Sfinx -Equinix - Amsix Le problème c'est qu'on se prend souvent des attaques par amplification DNS et que tout cumulé, bah ça coince à un moment donné (même en 10G)... Du coup, on regarde si certains ont la possibilité d'appliquer des rate-limit port 53 de manière drastique sur les ports de livraisons. Mais ça ne semble pas possible (ce qu'on peut comprendre parla défense d'une certaine neutralité). Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou les moyens de le proposer sur ceux cité) ? Coté transitaire, évidemment, on est obligé de se débrouiller autrement (blackhole, ou autre), mais seul Cogent nous bombarde du 10Gb/s d'ampli DNS et considère ça normal (sachant que le Root de Cogent est juste derrière à Londres...). Merci pour vos remarques et commentaires pertinents, -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion
Re: [FRnOG] [TECH] Switch 10G pour cohabitation 10G/1G
Hello Romain, J'avais vu ces équipements il y a 3 ou 4 ans ( juste avant que Juniper ne sorte la gamme EX ) pour la partie MPLS. Sur le papier ça avait l'air pas mal et les mecs avec qui j'en avais parlé en était très content. Apres, la suite …. J'aime bien les EX :) Cordialement, -- Raphael MAUNIER Jaguar Network France On May 14, 2013, at 11:30 AM, Romain DEGEZ romain.de...@smartjog.com wrote: On 05/14/2013 09:20 AM, Moncef ZID wrote: Bonjour Les équipements Dowslake supportent bien IPV6 :) , je cherche l'info et je la poste Merci Jamais entendu parler de ces trucs avant et 2 minutes de googling plus loin je trouve assez peu rassurant le manque de visibilité de ces équipements... Absolument personne n'en parle :-) Curieux de savoir quel OS ils utilisent. Ils ont complètement re-développé une stack logicielle complète (OSPF/BGP/MPLS/EAPS) eux-même ? -- RD --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch 10G pour cohabitation 10G/1G
Pour rester HS et alimenter le troll : Acheter un switch qui a un nom de médoc, c'est un peu étrange :) Cordialement, -- Raphael MAUNIER Jaguar Network France On May 14, 2013, at 4:52 PM, Michel Moriniaux moriniaux.li...@gmail.com wrote: Bonjour, qqun a-t'il déjà évalué des Mellanox? (HS car pas de support 1G) le sx1016 (64 ports 10G) par ex? http://www.mellanox.com/page/ethernet_switch_overview 2013/5/14 Raphael Maunier - Jaguar Network raphael.maun...@jaguar-network.com Hello Romain, J'avais vu ces équipements il y a 3 ou 4 ans ( juste avant que Juniper ne sorte la gamme EX ) pour la partie MPLS. Sur le papier ça avait l'air pas mal et les mecs avec qui j'en avais parlé en était très content. Apres, la suite …. J'aime bien les EX :) Cordialement, -- Raphael MAUNIER Jaguar Network France On May 14, 2013, at 11:30 AM, Romain DEGEZ romain.de...@smartjog.com wrote: On 05/14/2013 09:20 AM, Moncef ZID wrote: Bonjour Les équipements Dowslake supportent bien IPV6 :) , je cherche l'info et je la poste Merci Jamais entendu parler de ces trucs avant et 2 minutes de googling plus loin je trouve assez peu rassurant le manque de visibilité de ces équipements... Absolument personne n'en parle :-) Curieux de savoir quel OS ils utilisent. Ils ont complètement re-développé une stack logicielle complète (OSPF/BGP/MPLS/EAPS) eux-même ? -- RD --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch 10G pour cohabitation 10G/1G
Ah bah, Les EX au début ça ne fonctionnait juste pas on est tous d'accord sur le sujet Cependant, c'est la qu'on voit la force d'un constructeur comme Juniper, car ils n'ont pas passé 40 ans pour faire tomber en marche et vraiment bien. Cordialement, -- Raphael MAUNIER Jaguar Network France On May 14, 2013, at 6:33 PM, Moncef ZID zmon...@manaraway.com wrote: Raphael Rappelle-toi des premières versions des switchs EX malgré que le Vendor s'appelait Juniper Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website : www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit and Training Data Center , Security , Cloud , Application Delivery -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Raphael Maunier - Jaguar Network Sent: mardi 14 mai 2013 17:02 To: Michel Moriniaux Cc: frnog@frnog.org Subject: Re: [FRnOG] [TECH] Switch 10G pour cohabitation 10G/1G Pour rester HS et alimenter le troll : Acheter un switch qui a un nom de médoc, c'est un peu étrange :) Cordialement, -- Raphael MAUNIER Jaguar Network France On May 14, 2013, at 4:52 PM, Michel Moriniaux moriniaux.li...@gmail.com wrote: Bonjour, qqun a-t'il déjà évalué des Mellanox? (HS car pas de support 1G) le sx1016 (64 ports 10G) par ex? http://www.mellanox.com/page/ethernet_switch_overview 2013/5/14 Raphael Maunier - Jaguar Network raphael.maun...@jaguar-network.com Hello Romain, J'avais vu ces équipements il y a 3 ou 4 ans ( juste avant que Juniper ne sorte la gamme EX ) pour la partie MPLS. Sur le papier ça avait l'air pas mal et les mecs avec qui j'en avais parlé en était très content. Apres, la suite …. J'aime bien les EX :) Cordialement, -- Raphael MAUNIER Jaguar Network France On May 14, 2013, at 11:30 AM, Romain DEGEZ romain.de...@smartjog.com wrote: On 05/14/2013 09:20 AM, Moncef ZID wrote: Bonjour Les équipements Dowslake supportent bien IPV6 :) , je cherche l'info et je la poste Merci Jamais entendu parler de ces trucs avant et 2 minutes de googling plus loin je trouve assez peu rassurant le manque de visibilité de ces équipements... Absolument personne n'en parle :-) Curieux de savoir quel OS ils utilisent. Ils ont complètement re-développé une stack logicielle complète (OSPF/BGP/MPLS/EAPS) eux-même ? -- RD --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch 10G pour cohabitation 10G/1G
Ouais les super ICX , c'est pas ceux les lags recalculent quand un membre du channel est déconnecté ? La dernière fois que j'ai eu le support brocarde sur ce sujet ( via un client ) : Bug qui sera potentiellement corrigé en Q4 … A fuir comme la peste :) Cordialement, -- Raphael MAUNIER Jaguar Network France On May 10, 2013, at 12:01 PM, Romain MAZET - BSO Network Solutions romain.ma...@bsonetwork.com wrote: Hello, Chez Brocade plutôt que les TurboIron, tu as aussi les ICX6450-24 avec 2 ports 10G SFP+ intégrés + 2 Ports SFP. Les 2 ports SFP peuvent se tranformer en port SFP+ sous activation d'une licence. Je ne connais pas ton budget mais les 6450-24 sont vraiment abordables. Les ports SFP+ peuvent être utilisés soit pour monter un stack, soit pour monter des liens 10G vers tes uplinks. Ca fait du dual mode SFP et SFP+. Sinon si tu recherches plus de ports 10G, tu as les ICX6610 (8 ports 10G SFP+). Tu peux trouver facilement des optiques compatibles pour Brocade, tous les vendeurs d'optiques peuvent les coder. http://www.brocade.com/products/all/switches/product-details/icx-6430-and-6450-switches/specifications.page http://www.brocade.com/products/all/switches/product-details/icx-6610-switch/specifications.page Romain De : frnog-requ...@frnog.org [frnog-requ...@frnog.org] de la part de Julien Escario [esca...@azylog.net] Date d'envoi : vendredi 10 mai 2013 10:13 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Switch 10G pour cohabitation 10G/1G Le 07/05/2013 15:00, David BERARD a écrit : Bonjour à tous, Je suis à la recherche de switch pour évoluer progressivement vers du 10G (cohabitation 1G SFP /cuivre et 10G). C'est les premiers matériels en 10G que je dois mettre en place, je me pose quelques questions : - Les ports SFP+ sont'-ils compatibles avec des SFP (certaines spécifications le précise d'autre non) ? - Il y a t'il des compatibilités SFP+ / switch à respecter ? Je n'ai besoin que de fonctionnalité très basique (VLAN / access-list L2-L4), niveau nombre de ports il me faut au moins 4 ports 10G SFP+, 4 ports SFP et 2 ports cuivre. Je suis habitué à SMC mais ils n'ont pas de référence correspondant à ce besoin. Avez-vous des conseils sur le choix de ces matériels ? J'ai une référence chez DLINK (DGS-3420-28TC) qui semble correspondre mes besoins (et au budget), peut-être avez-vous des retours d'expérience sur cette marque pour des équipements 10G ? Bonjour, On déploie pas mal de Netgear : http://www.netgear.fr/business/products/switches/smart-switches/smart-switches-stackables/GS752TXS.aspx Ca fait pas tout mais le support est assez bon : faut juste passer le niveau 1 en balançant des trucs techniques sans forcément un rapport. Et oui, le SFP+ accepte du SFP de manière transparente. On a mis du optech, aucun problème. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] SDN et la neutralité du réseau
Tout à fait d'accord avec toi sur tes derniers points, et merci pour tes remarques qui sont claires et précises ! On a la révolution du cloud avec la virtualisation ( que nous faisons tous par ailleurs depuis des années), et maintenant on a la révolution SDN avec l'automatisation de certaines taches et le pilotage du HW par le soft. Pour en avoir discuté avec pas mal de monde au dernier Mpls/Sdn Forum, SDN est à la mode pour permettre aux constructeurs de HW de se faire une reconversion sans trop de mal :) Cela permettra aux grands comme Cisco, Juniper, et même Brocade ( s'ils arrivent à sauter dans la barque ) de gagner de l'argent ou d'en perdre un peu moins. Certains pensent que d'ici à quelques années, le HW sera générique et qu'il ne sera question que de soft bien intégré. Les asics seront directement intégrés dans des composants standardisés et il ne restera que 2 ou 3 grands fondeurs et ces puces seront intégrés par défaut dans les serveurs and cie. Les constructeurs en tout cas prennent le pas avec par exemple Juniper qui a racheté Contrail en décembre , et avec Cisco c'est encore plus violent (mais bon y a un peu plus de retard au niveau soft),dont les 5 dernières acquisitions sont liés au soft. Attention à Cisco quand meme avec leurs gammes de serveurs ou ça va devenir très simple pour eux de proposer un all in the box :) La différence que nous voyons maintenant est une intégration des fluxs directement dans/par le soft. Mais bon effectivement, c'est le cas depuis des années avec par exemple les boitiers Arbor ou avec BGP et Netflow tu écoutes le réseau et sur lequel tu peux agir en fonction des événements du X, Y ou Z Donc déjà à ce niveau, les opérateurs de coeur de réseau, voient beaucoup de choses ( sans meme parler de neutralité, tu peux parler de confidentialité ) Pour reprendre, ce qu'à dit Sylvain avec qui pour une fois je suis tout à fait d'accord, ce sont les décisions stratégiques / politiques qui portent un coup de massue à la neutralité :) Par contre, en s'écartant un peu du sujet, on va voir des choses super intéressante avec des bugs SDN vs des bugs des OS des routeurs. Pour avoir trollé récemment sur le bug flowspec de Cloudflare, avec la dernière personne avec laquelle nous avons abordé ce sujet ( Hi Martin ) la conclusion est qu'il s'agit bien d'un bug SDN (lié à un humain qq part dans la chaine) Bref, on va sortir les popcorns très bientôt :) -- Raphael MAUNIER Jaguar Network France Le 28 mars 2013 à 00:24, Gunther Ozerito a écrit : Openflow : methodologie pour qu'un control plane disctinct du fabric plane puissent communiquer ensemble. Si le control plane openflow fait du routage classique, ce n'est pas du SDN... Openflow permet juste de simplifier certaines implementation de SDN. On peut intervenir en amont du peuplement de la RIB avec des regles custom et pousser le resultat sur le fabric plane. On peut s'intercaler plus facilement entre un process BGP et la RIB, ou entre la RIB et la FIB (pour mettre un dispositif de proxy transparent par exemple). Le 26 mars 2013 09:39, Alexis Savin alexis.sa...@gmail.com a écrit : Bonjour, Pour revenir à la notion de neutralité, il me semble, d'après mes lectures, qu'openflow et le concept de sdn en général sont plus destinés à gérer des flux backbones (où dans tous les cas la notion de neutralité est toute relative) et pas forcément du trafic public (internet). L'effet sur la neutralité de l'internet me paraît donc relativement faible. L'exemple de qui me vient à l'esprit est un papier de Google ( http://www.wired.com/wiredenterprise/2012/04/going-with-the-flow-google/) sur leur utilisation d'openflow, principalement utilisé pour gérer les lourds flux applicatifs et de réplication. Le trafic public, autrement dit le trafic internet reste géré de façon classique. Je vois mal openflow être utilisé frontalement sur des réseaux publics. L’intérêt me semble limité pour un trafic disparate. Cordialement. 2013/3/26 Stephane Bortzmeyer bortzme...@nic.fr On Mon, Mar 25, 2013 at 07:19:42PM +0100, Olivier Cochard-Labbé oliv...@cochard.me wrote a message of 24 lines which said: Si j'ai bien compris, dans un SDN on ne route plus un paquet en fonction de son IP de destination mais en fonction de plusieurs paramètres tel que: IP source, IP dest, TCP source, TCP dest, etc… D'autres techniques permettent de faire cela, par exemple FlowSpec http://www.bortzmeyer.org/5575.html. Je dirais que c'est comme la QoS, tout dépend de qui l'utilise (réseau privé ? Ouvert au public ?) et comment. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Alexis Savin Ingénieur Systèmes/Réseaux/Sécurité --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG
Re: [FRnOG] [TECH] Email du RIPE
Je pense plutôt, qu'il se sent frustré qu'il faille répondre à une autorité supérieure pour la gestion de ses ip. Franchement, les RIR et les règles sont mises en place justement pou éviter le chaos et que l'on ai plus des /8 et des /16 qui trainent dans la nature. Lorsque dans 1 an, tu auras besoin d'ip tu seras bien content que le ripe ai pu récupérer des @ip d'une société qui n'existe plus depuis 5 ans et dont les ip étaient soient inutilisées soit utilisées scrupuleusement par son ancien LIR. Par ailleurs, comme l'a indiqué Matoa, le ripe est une association qui est dirigé par ses membres . Donc, comme demandé Nous estimons que cela doit rester communautaire et non centralisé, c'est déjà le cas pour la partie communautaire. Si la base du ripe tombe, le routage ne va pas stopper d'un seul coup de baguette magique ( bon , certains updates de routes ne passeront plus pour ceux qui scriptent sur la base du ripe en direct ), car ce n'est que déclaratif. Cependant, si tu ne déclares pas tes objets route par exemple, tu pourrais ne pas avoir beaucoup de trafic in via certain transitaire qui filtrent sur ces objets :) -- Raphael MAUNIER Jaguar Network France Le 26 mars 2013 à 08:51, s.lesim...@b-and-c.net a écrit : Il me semble avoir lu quelque part que part que le fournisseur du /22 incriminé était Completel. Ne serait-il pas plus judicieux de demander à Cptl de mettre tout ca a jour au lieu de vouloir en faire une question de principe avec le RIPE? Parceque là la question de principe elle serait plutot enver le fournisseur qui fait défaut sur la bonne tenue de ses infos avec le RIPE qu'envers le RIPE qui essaye de faire le ménage... Enfin si l'on a du temps et de l'argent à perdre pourquoi pas. Le 2013-03-26 00:52, Fréderic a écrit : Le 25/03/2013 23:06, Clement Cavadore a écrit : On Mon, 2013-03-25 at 22:58 +0100, Radu-Adrian Feurdean wrote: On Mon, Mar 25, 2013, at 12:14, Fréderic wrote: Nous avons un bloc PI et nous n'avons jamais eu de relation avec le RIPE. Quelqu'un a bien eu cette relation pour votre compte. Have fun a jouer le con avec eux :) C'est vraiment bête d'avoir un /22 en PI, et de vouloir jouer au con pour tenter d'économiser 50€/an. ce n'est pas une question d'economiser 50 euros/an puis que nous payons déjà un avocat pour préparer notre défense, c'est donc principalement une question de principe. Cordialement. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Email du RIPE
Hello, Il suffit de trouver un LIR Sponsor qui voudra bien faire la partie contractuelle et ne facturer que la partie service Ripe Je suis sûr que des commerciaux ne vont pas tarder à te contacter et te proposer du transit comme add-on :) Raphael -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de ke...@dubourg.info Envoyé : lundi 25 mars 2013 11:20 À : Phibee Network Operation Center; frnog@frnog.org Objet : RE: [FRnOG] [TECH] Email du RIPE Bonjour, Le mot posséder était tout à fait mal choisi :-). Au premier abord nous sommes PI (quelques-uns d'entre vous m'ont aidé à le définir). Notre fournisseur d'accès apparait dans notre WHOIS, je pense que nous avons ou avions une adhérence avec eux au niveau du /24 (je n'ai pas l'historique d'attribution de celui-ci). Je vais donc tenter ma chance auprès du RIPE (S.Bortzmeyer m'a signalé que ca risquait d'être un chemin de croix) afin de clarifier la situation et savoir si nous devons nous mettre à jour vis à vis de notre prestataire internet qui me semblait être notre LIR (surement la rédaction d'un contrat) ou devenir LIR nous même. Être LIR n'est pas vraiment une finalité pour nous. Cordialement, Kevin -Message initial- De:Phibee Network Operation Center n...@phibee.net mailto:n...@phibee.net Envoyé: lundi 25 mars 2013 10:58 À: frnog@frnog.org mailto:frnog@frnog.org Sujet: Re: [FRnOG] [TECH] Email du RIPE Le 25/03/2013 09:51, ke...@dubourg.info mailto:ke...@dubourg.info a écrit : Bonjour la liste, J'ai reçu récemment un email du RIPE car nous possédons un /24. Ils nous demandent de devenir LIR ou signer un accord avec un LIR existant (Completel nous fournis cette plage). Attention, posséder est un grand mot ;=) on nous a attribué plutot ... on joue sur les mots. Nous utilisons cet adressage pour de l'hébergement interne. Que doit-on répondre au RIPE et quel justificatif fournir ? Leur donner l'information que Completel nous fournit ce /24 est-il suffisant ? En faite je dirais cela dépends vraiment de comment c'est déclaré .. Vous avez quoi, un P.I ? un P.A ? P.I je pense, car si c’était un P.A, ils ne demanderaient rien vu que c'est une attribution via un LIR justement Et si c'est un P.I, il doit être obligatoirement rattaché a un LIR donc je pencherais pour deux possibilités: 1- Le LIR actuel a décidé de ne plus le gérer, et donc en a informé le RIPE qui vous contact afin que vous preniez les mesures au niveau transfert ou que vous deveniez LIR directement 2- Un P.I sans LIR, probleme de base ? Disparition du LIR ? et donc le RIPE essaye de mettre a jour ses informations et corriger les erreurs a+ Jerome Merci de votre aide. --- Liste de diffusion du FRnOG http://www.frnog.org http://www.frnog.org / --- Liste de diffusion du FRnOG http://www.frnog.org http://www.frnog.org / --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Email du RIPE
Heu …. Mis à part ceux qui ont obtenus leurs blocs il y a genre très longtemps, tu ne peux pas comme tu le dis refuser l'autorité de ton RIR. Ton LIR, si tu ne l'es pas, ne va pas risquer d'avoir des soucis parce que tu fais ta mauvaise tête. -- Raphael MAUNIER Jaguar Network France Le 25 mars 2013 à 14:29, Fréderic a écrit : Le 25/03/2013 14:16, Frederic Dhieux a écrit : A priori c'est déjà le cas, j'ai vu des préfixes d'anciens clients qui ont été réclamés et réattribués. Frédéric car elles ont été restituées, mais pas confisquées. Pour les possesseurs de blocs qui REFUSENT l'autorité/le contrat du RIPE et dont la légitimité n'est pas remis en cause car historiquement ils sont bien les detenteurs legitimes du bloc. c'est une autre paires de manches... Cordialement. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Email du RIPE
Et tu paie pas des impots pour avoir le droit de voter en France ? -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Fréderic Envoyé : lundi 25 mars 2013 14:55 À : Mathieu Paonessa Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Email du RIPE Ca s'appelle la démocratie... Pour etre membre il faut payer, cela s'appele la ploutocratie... a+ Mathieu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] Email du RIPE
Techniquement tout le monde doit payer :) ( tu dois payer pour avoir le droit d'habiter chez toi que tu sois locataire ou propriétaire) Ensuite y a les barèmes, le truc c'est que le ripe a supprimé ces barèmes car nous sommes en temps de crise (plus d'ipv4). A situation exceptionnelle, mesure exceptionnelle, cela ne me choque pas du tout -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Stephane Bortzmeyer Envoyé : lundi 25 mars 2013 15:12 À : Raphael Maunier Cc : 'Fréderic'; 'Mathieu Paonessa'; frnog@frnog.org Objet : [FRnOG] Re: [TECH] Email du RIPE On Mon, Mar 25, 2013 at 02:55:26PM +0100, Raphael Maunier raphael.maun...@jaguar-network.com wrote a message of 34 lines which said: Et tu paie pas des impots pour avoir le droit de voter en France ? Heureusement non. Les gens qui ne paient pas d'impôt (par exemple parce que leurs revenus sont trop bas) ont quand même le droit de vote, et des gens qui paient leurs impôts (les étrangers) ne l'ont pas. Tu confonds avec le Second Empire :-) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Email du RIPE
Le 25 mars 2013 à 15:44, Francois Demeyer a écrit : Le 25/03/13 15:16, Raphael Maunier a écrit : Techniquement tout le monde doit payer :) ( tu dois payer pour avoir le droit d'habiter chez toi que tu sois locataire ou propriétaire) Ensuite y a les barèmes, le truc c'est que le ripe a supprimé ces barèmes car nous sommes en temps de crise (plus d'ipv4). A situation exceptionnelle, mesure exceptionnelle, cela ne me choque pas du tout En période de crise, on aurait donc le droit de ne plus appliquer les règles ? ben si justement. On les renforce et on devient plus strict sur ces règles et on cesse le laxisme :) Souhaitons que ce genre de principe ne se propage pas vers d'autres formes de principes plus physiques, sinon on va avoir du monde dans les rues ;-) Bah on est en France, c'est malheureusement dans notre culture :) -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Stephane Bortzmeyer Envoyé : lundi 25 mars 2013 15:12 À : Raphael Maunier Cc : 'Fréderic'; 'Mathieu Paonessa'; frnog@frnog.org Objet : [FRnOG] Re: [TECH] Email du RIPE On Mon, Mar 25, 2013 at 02:55:26PM +0100, Raphael Maunier raphael.maun...@jaguar-network.com wrote a message of 34 lines which said: Et tu paie pas des impots pour avoir le droit de voter en France ? Heureusement non. Les gens qui ne paient pas d'impôt (par exemple parce que leurs revenus sont trop bas) ont quand même le droit de vote, et des gens qui paient leurs impôts (les étrangers) ne l'ont pas. Tu confonds avec le Second Empire :-) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Comment SFR viole délibérément la neutralité du Net, et pourquoi c'est grave
Ouais, Mais bon pour le métro , en France, c'est pas que la vie privée hein :) -- Raphael MAUNIER Le 19 mars 2013 à 10:20, Frédéric GANDER a écrit : http://www.robindestoits.org/ apres dans certain de ces pays tu as une chance sur 2 que ces gens sont dans un goulag apres est ce c'est forcement un mal que c'est gens la existe chez nous ? C'est pas un signe de sous développement mais de democratie et de respect de la propriété privée. Mais oui c'est plus dur de deployer un réseau mobile qui couvre bien. - Mail original - De: Xavier Beaudouin k...@oav.net À: Rémi Bouhl remibo...@gmail.com Cc: frnog@frnog.org FRNOG frnog@frnog.org Envoyé: Mardi 19 Mars 2013 10:09:02 Objet: Re: [FRnOG] [MISC] Comment SFR viole délibérément la neutralité du Net, et pourquoi c'est grave Le 16 mars 2013 à 19:08, Rémi Bouhl remibo...@gmail.com a écrit : Finlande, Corée.. il faut voir les densités de population, aussi. La boucle locale a un sacré poids sur le coût d'une connexion. Je vais donc parler de la Corée du Sud et une petite ville qui s'appelle Séoul que je vais comparer a Paris (capitale vs capitale...). Dans cette ville, Séoul, comparons un truc utile : la téléphonie mobile dans les transports en communs. Dans tous les métros de Séoul même au -5eme sous sol (qui en passant est propre comparé à la porcherie parisienne) le sigle 3G de mon 4S est a fond. Je n'ai jamais perdu un appel (en roaming Free) la bas. Le Wifi dans les rames de métro marche a 100% et des fois tu accès un hotspot gratos. Prenons une station de métro et RER equivalente : la Défense... Je vous demande juste d'essayer de faire un appel, sur le quais de la gare RER la Défense avec un tél... Déjà si on y a arrive c'est déjà pas mal (Orange et SFR selon l'humeur), après charger une page web... La... Si on est en Edge c'est déjà pas mal. Donc des fois j'ai la très nette impression que le pays en voie de développement n'est pas celui qui est sur papier... dans ces domaines. Mais est-ce peut-être parce que je suis un étranger et on fait de la QoS quand on est étranger ? Je prendrais la meme remarque avec une carte prépayée a Shanghai... Bon le réseau 3G est moins bon mais la voix/sms, jamais un soucis... Donc non le pays sous développé en terme de réseau mobile n'est pas celui qu'on crois... /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Comment SFR viole délibérément la neutralité du Net, et pourquoi c'est grave
J'aime bien quand tu dis signer un accord :) Tu peux juste dire : Faire un gros cheque pour payer le monopole supaire/ultra/mega cher :) -- Raphael MAUNIER Le 19 mars 2013 à 10:55, Frédéric GANDER a écrit : - Mail original - De: Raphael Maunier raphael.maun...@jaguar-network.com À: Frédéric GANDER fgan...@corp.free.fr Cc: Xavier Beaudouin k...@oav.net, frnog@frnog.org FRNOG frnog@frnog.org, Rémi Bouhl remibo...@gmail.com Envoyé: Mardi 19 Mars 2013 10:28:46 Objet: Re: [FRnOG] [MISC] Comment SFR viole délibérément la neutralité du Net, et pourquoi c'est grave Ouais, Mais bon pour le métro , en France, c'est pas que la vie privée hein :) oui mais tu na pas le droit d'emettre a 200v/m dans le metro tu dois signer un accord avec la ratp / telcite avoir des autorisation valider que tes antennes ne vont pas faire dérailler la ligne 14 etc etc etc ca va moins vite que dans d'autre pays -- Raphael MAUNIER Le 19 mars 2013 à 10:20, Frédéric GANDER a écrit : http://www.robindestoits.org/ apres dans certain de ces pays tu as une chance sur 2 que ces gens sont dans un goulag apres est ce c'est forcement un mal que c'est gens la existe chez nous ? C'est pas un signe de sous développement mais de democratie et de respect de la propriété privée. Mais oui c'est plus dur de deployer un réseau mobile qui couvre bien. - Mail original - De: Xavier Beaudouin k...@oav.net À: Rémi Bouhl remibo...@gmail.com Cc: frnog@frnog.org FRNOG frnog@frnog.org Envoyé: Mardi 19 Mars 2013 10:09:02 Objet: Re: [FRnOG] [MISC] Comment SFR viole délibérément la neutralité du Net, et pourquoi c'est grave Le 16 mars 2013 à 19:08, Rémi Bouhl remibo...@gmail.com a écrit : Finlande, Corée.. il faut voir les densités de population, aussi. La boucle locale a un sacré poids sur le coût d'une connexion. Je vais donc parler de la Corée du Sud et une petite ville qui s'appelle Séoul que je vais comparer a Paris (capitale vs capitale...). Dans cette ville, Séoul, comparons un truc utile : la téléphonie mobile dans les transports en communs. Dans tous les métros de Séoul même au -5eme sous sol (qui en passant est propre comparé à la porcherie parisienne) le sigle 3G de mon 4S est a fond. Je n'ai jamais perdu un appel (en roaming Free) la bas. Le Wifi dans les rames de métro marche a 100% et des fois tu accès un hotspot gratos. Prenons une station de métro et RER equivalente : la Défense... Je vous demande juste d'essayer de faire un appel, sur le quais de la gare RER la Défense avec un tél... Déjà si on y a arrive c'est déjà pas mal (Orange et SFR selon l'humeur), après charger une page web... La... Si on est en Edge c'est déjà pas mal. Donc des fois j'ai la très nette impression que le pays en voie de développement n'est pas celui qui est sur papier... dans ces domaines. Mais est-ce peut-être parce que je suis un étranger et on fait de la QoS quand on est étranger ? Je prendrais la meme remarque avec une carte prépayée a Shanghai... Bon le réseau 3G est moins bon mais la voix/sms, jamais un soucis... Donc non le pays sous développé en terme de réseau mobile n'est pas celui qu'on crois... /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Cave à Momo : serveurs Supermicro, Sun, HP d'occaze
Tu as pensé à monter un partenariat avec les ouf du 93 ? http://ouf-du-93.skyrock.com/ On avait un trademark sur la cave à momo geek :) -- Raphael MAUNIER Jaguar Network France Le 4 mars 2013 à 12:03, Frédéric VANNIÈRE a écrit : Bonjour, Le soleil revient pour annoncer le printemps et c'est donc le bon moment pour faire le ménage dans les serveurs. http://www.cave-a-momo.fr/ version 2013 est en ligne, il s'agit de matériel serveur d'occasion Cette année on a : - des serveurs Supermicro 1U châssis court (SC512L avec rails) ou longs (SC813MT) - des serveurs Sun Fire X2100 M2 (Opteron Dual-Core) avec leurs rails - des serveurs HP Proliant DL320 G5 et G5p (Xeon Dual-Core et Quad-Core) - des pièces détachées (CPU, RAID, disques ...) Les prix sont approximatifs et négociables. Une facture sera fournie systématiquement. Le matériel est disponible en région parisienne (Alfortville, 94). Frédéric. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - IPv6 chez OBS
C'est une blague ? Tu as indiqué à ton interlocuteur que le premier Avril c'était … en avril ? -- Raphael MAUNIER Jaguar Network France 81 Avenue Edouard Vaillant 92100 Boulogne Billancourt More Than Your Hosting Company Le 26 févr. 2013 à 15:02, Laurent CARON a écrit : Préparant mon (celui de $JOB) déménagement, je consulte différents opérateurs pour une problématique très simple: - Fourniture d'une FO (éclairée) avec ~100Mb/s de commit sur boulogne billancourt (inutile de m'envoyer des offres en L'offre OBS revient avec un supplément de 70€/HT/mois pour l'IPv6 et un 1310€ de FAS pour activation de l'IPv6 Avec de telles pratiques IPv6 ne va pas décoller rapidement... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Recherche IP
Ah, merci … :) J'osais pas dire à Jérémy RTFM :) -- Raphael MAUNIER Jaguar Network France On Jan 22, 2013, at 5:15 PM, Simon Morvan gar...@zone84.net wrote: Le RIPE a mis en place un marketplace pour cela, non ? Le 22/01/2013 17:05, Jérémy Martin a écrit : Bon, apparemment, y en a qui font les autistes sur la liste :) Donc en gros, on cherche un opérateur, broker, entreprise, particulier, geek ou homme tout simplement qui accepterais de nous donner / vendre : - Des informations concernant quelqu'un qui vend des IPv4 - Les coordonnées d'un broker - Le prix qu'il me propose pour un /21 ou un /22. Je ne communiquerais évidemment pas de proposition de prix d'achat ici. Merci d'éviter les troll, on est pas vendredi. Cordialement, Jérémy Martin Le 22/01/2013 16:43, Jérémy Martin a écrit : Bonjour, Je lance une bouteille à la mer comme d'autres ont pu le faire ici... Nous, petit hébergeur en croissance qui essaye de faire des choses dans le Nord : On cherche des IPv4... On a un petit budget qu'on a établit selon les bruits de couloir qu'on a pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21. Merci pour vos retours, ou vos pistes ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Frnog et profs/chercheurs/écoles [Was: Le routage, enjeu de cyberstratégie]
Ouais :) Je plussoie Le seul truc qui m'a aidé dans ce genre de bouquin c'est le spanning-tree ! Le reste c'est surtout dans les labs et sur le terrain ! -- Raphael MAUNIER Jaguar Network France On Jan 10, 2013, at 12:08 PM, David Ramahefason r...@netfacile.net wrote: Bonjour, Oui oui c'est vrai qu'avec ces deux bouquins on avait tout ce qu'il fallait pour monter un réseaux. Franchement faut arrêter de dire des conneries ... ok ces bouquins sont super pour apprendre les fondamentaux réseau mais de la à savoir comment monter un backbone faut pas déconner hein à moins que tu y sois arrivé gràce à ces ouvrages et la je dis respect. En ce qui me concerne c’était très bien pour faire les TP de dev réseau (socket/sémaphores and co). Mais il y a un moment ou faut passer de la théorie à la pratique non ?? L'époque 95 environ le Pays la Fronce. Le 10 janvier 2013 12:02, Fréderic frede...@placenet.org a écrit : Je trouve plutôt que vous nous prenez de haut... en imaginant que nous ne restons que sur nos acquis sans jamais nous poser de question... comment croyez-vous que la plupart d'entre nous ont fait à leurs débuts lorsqu'il n'y avait aucun enseignement orienté réseau IP ? quelle époque ? pt quel pays ? le Tanenbaum existe depuis 1981, le Pujole , sans parler du macchi-guilbert a+ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- David Ramahefason r...@netfacile.net --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Mieux que l'HADOPI, Free !
Heu … Comment dire ? C'est quand même super réducteur et Je ne suis pas du tout d'accord avec ce point. C'est super facile de le dire haut et fort quand on maitrise les technologies et que nous sommes tout de même un public averti. Je vois autour de moi, genre mon père et mon frère ( ou j'ai un autre frère ) pour qui Internet et un outil formidable et il s'en contrefiche de savoir comment ça fonctionne. Ils paient tous les deux un abonnement à Internet et ils entendent bien profiter d'un accès complet sans modifications. S'ils souhaitent une modif, ils appellent leur Hotline, souvent mon frère ( oui celui que vous connaissez ) ou moi pour savoir comment faire. Bien souvent quand ils appellent c'est pour dire : Avant ça marchait, maintenant ça marche plus, je veux que ça revienne tout pareil ! Pour moi le rapport entre le trafic de YT et les ads n'ont clairement pas de rapport. Je ne vois pas en quoi parce que Google fait de l'argent avec les ads que ça impacterait le business model de Free. Que le trafic YT vs les FAI soit un pb bon ok ( bien que ça en devient complètement ridicule les proportions que cela prend ), mais toucher un service qui ne consomme pas et pire qui fait en sorte que des gens comme Free existe, je trouve ça limite. Pour rappel, nous sommes dans une société de consommation, si je veux consommer, j'entend qu'on me laisse le droit de le faire, car d'une part je paie pour et d'autres part, j'ai signé pour. Si je veux un service en plus, comme le blocage de pun, ou le contrôle parental, si mon FAI ne le propose pas ( et pas par défaut, mais sur ma propre initiative), je vais trouver une pub sur le net qui m'aidera à obtenir le produit qui me convient ! -- Raphael MAUNIER Jaguar Network France On Jan 4, 2013, at 4:41 PM, Pierre Col - p...@9online.fr p...@9online.fr wrote: Si demain un mécanisme similaire proposait, par défaut, de bloquer les pubs sur la télé, c'est tout un pan de l'économie qui en pâtirait. tu veux dire que les programmes sont les pubs, et que les trucs au milieu ne sont la que pour attirer le chaland ? Rappel : Si un service est gratuit, c'est que c'est vous qui êtes la marchandise :-) -- Pierre --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Activités étrange a SFR Courbevoie.
Alors la, je ne peux pas ne pas répondre avec ma casquette FranceIX :) 2012/11/17 Solarus sola...@ultrawaves.fr Le 17/11/2012 16:32, Frederic Dhieux a écrit : Il y a des tas d'opérateurs pour qui ne pas être sur TH1 (ahah) ou TH2 est très pénalisant. Être présent sur TH2 est effectivement un obligation pour beaucoup d'AS pour des questions de peering. Plus vraiment pour le peering. TH2, c'est plutôt : - Acheter du transit à bon prix - Acheter des waves à bon prix - Acheter de la fibre à bon prix - Avoir des clients / Avoir un potentiel client important - Acheter de la fibre vers tes clients à bon prix - Acheter ses collectes sans transport vers un autre Data ( Collecte des DSP par exemple ) - [...] Maintenant, les autres datacenters sont quasi au meme niveau que les TH2, la différence est clairement pour les opérateurs internationaux ou historiques. Soit ils ne connaissent que TH2, ou n'ont vraiment pas envie de se prendre la tete dans une migration. L'argent économisé sur le hosting serait perdu dans les frais de migration ( contrat en double pendant x mois , matos en double ... ). Ne pas oublier que pour un opérateur, migrer, ce n'est pas une soirée entre pote à la Saporita ou au Mac do de la place, c'est bien plus complexe que ça :) Mais Paris étant une horreur sur le plan architectural et génie civil, peut-être faudrait t'il s'orienter vers des villes moins encombrées et mieux situées d'un point de vue européen comme Lille ou Strasbourg. (il me semble qu'un opérateur/hébergeur en 3 lettres a déjà fait ce choix). Pour ses besoins :) Il n'y a pas masses ( si ce n'est pas zero) de vente pour des clients housings / xxx ( sur RBX j'entends ). Ce choix est fait en fonction de sa cible clients. OVH, ce n'est plus le hosting de baies, ou le transit ou le transport. Il a fait le choix ( et vu la progression, IMO il ne s'est pas trompé ) de privilegier des services et de ne pas agrandir les sites de GS et son site historique. Mais le problème c'est la centralisation des échanges en un point unique, et le problème se pose autant pour Paris que pour Amsterdam. Parce qu'au final c'est quoi un IX sinon un gros switch ? Heu, pas du tout :) Un IX, c'est .. ses membres. Un IX, c'est une réseau de fibre maillé un IX, c'est une présence d'opérateurs de transports à prix compétitif un IX, c'est une communauté de gens qui le font vivre. un IX, c'est aussi un team et une direction stratégique, marketing ... Bref, ce n'est pas qu'un switch sinon, ça se saurait :) Y'a besoin d'être à Paris pour ça ? ;) La dizaine d'IX régionaux attendent vos SFP et vos AS, pour vous laisser peerer avec des gentils voisins et clients. Pour le moment, il n'y a pas une dynamique autour de la fibre en région qui permettrait d'avoir des IX compétitifs. Les infrastructures ne sont pas encore disponible, et la plupart des nouveaux datacenters qui sortent de terre ne sont pas neutre, donc bon :) Et la résilience d'Internet ne restera pas qu'une légende. C'est deja resilient, c'est juste un peu saturé, c'est pas le meme débat ! ( non svp pas de troll la dessus ) Cordialement, Solarus A bientôt, Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le routage, enjeu de cyberstratégie
On Nov 5, 2012, at 2:40 PM, Michael Hallgren m.hallg...@free.fr wrote: Le lundi 05 novembre 2012 à 13:31 +0100, Raphaël Maunier a écrit : On 5 nov. 2012, at 11:25, Kavé Salamatian kave.salamat...@gmail.com wrote: Bonjour, Date: Mon, 5 Nov 2012 10:10:09 +0100 De: Raphaël Maunier raphael.maun...@jaguar-network.com À: Stephane Bortzmeyer bortzme...@nic.fr Cc: frnog-m...@frnog.org frnog-m...@frnog.org, Dominique Lacroix d...@panamo.eu, Rafik Dammak rafik.dam...@gmail.com Sujet: Re: [FRnOG] [MISC] Le routage, enjeu de cyberstratégie Un point ou il a parfaitement raison est que ITU ne sert plus à rien. Lors de réunion d'opérateurs, tous le disent bas et pas fort :) Merci :-) La ou l'analyse n'est soit pas correcte , ou soit simplifiée et sur le fait que la régulation ne permettra pas le hijack de préfixes. En effet, la régulation ne permettra pas de supprimés le hijack de préfixe, mais l'absence de régulation, ne le permet pas aussi. Que l'on oblige ou pas à X, Y où Z de préférer entre eux, n'empêchera pas aux opérateurs qui ne filtrent pas les préfixes de recevoir des préfixes pourris de la part de leurs clients. Pourquoi reçoit on des préfixes pourri de ses voisins ! parce qu'il y'a pas de régulation. Plutôt parce qu'il n'y a pas de mécanismes d'annuaire dans BGP qui n'est qu'un simple vecteur de distance. RPKI, sans forcement vouloir en ce moment lancer un débat pour vs. contre. Bon sujet pour autre mail thread. :) Pas trop fort, notre monsieur DNS va se réveiller :) mh --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Routeurs BGP : Conseil de topologie
On Nov 4, 2012, at 1:49 PM, Laurent CARON lca...@unix-scripts.info wrote: On Sun, Nov 04, 2012 at 01:19:18PM +0100, Raphaël Maunier wrote: Tout simplement parce que ça fonctionne pour 99,99% des autres clients. Ceux qui cherchent à faire des économies de bout de chandelles, ils en paient les conséquences. Appelles Level3, Tata, Telia et dit que ton routeur bgp Linux déconne et qu'ils doivent vérifier leur config, on va voir ce qu'il se passe. Les routeurs d'entrée de gamme ne coûte plus x milliers de k euros, les constructeurs font beaucoup d'efforts pour proposer des solutions de plus en plus compacte et compétitive. Tout le monde va devoir upgrader ses routeurs prochainement, la table ipv6 est en train de croître assez rapidement, les routeurs avec les limitations tcam ( non non, je ne parle pas les MLX et des 6500/7600 ) auront des gros problèmes. Je connais des commerciaux des revendeurs de HW qui viennent de voir des $ devant leurs yeux :) . C'est cadeau les mecs :) Tu met en évidence un des gros (je n'ai pas dit seul) avantages des routeurs soft (*BSD, Linux, ...) pour lesquels il suffit d'augmenter la quantité de RAM. Je parle de gros routeurs sur ce point précis la :) Je savais que ça allait rebondir sur ce point. J'attends de voir comment se comporte un routeur soft avec N*10G et un ddos qui lui est destiné. Avec un Juniper, tu regarde gentiment et tu va te prendre un café :) Un routeur type MX, la force, c'est que ça scale, sans broncher, t'as pas besoin d'avoir un CPU de la mort qui tue pour faire en sorte que ça commute assez. T'as pas à optimiser l'OS quand tu rajoutes des cartes dans le bousin. Tu parles de grand public la, ça n'a rien à voir. Et je parle en connaissance de cause, j'ai fais la Noteline de Wanadoo comme premier job, alors quand tu as 6 min pour traiter l'appel, et que ton homme camembert ( le superviseur qui voit les stats en temps réel ) vient de taper sur l'epaule pour que tu te magnes, ben le mec avec le Linux, tu lui dis : pas d'incidents chez nous, votre compte est bien actif, maintenant : use the force Luc ! De plus, maintenant, ce n'est plus trop le cas, car la plupart des isp ont des box, donc le temps ou tu avais ton modem Adsl sur ton Linux en direct c'est ( quasi ) terminé . Ce phénomène existe malheureusement toujours quand tu appelle $ISP_NATIONAL pour déclarer que ton modem ne synchronise plus. Pourquoi un modem ? Car tu souhaite disposer de l'IP publique sur ton routeur, ...et là chez $ISP_NATIONAL tu es seul et dois bien souvent mentir au tech que tu as au tel. Le dit tech ne comprenant (pour la grande majorité) rien à ce qu'il fait. Nan, mais ok, on parle de combien de % du marché ? 0,001%. La belle affaire. Juste pour casser un mythe car visiblement les gens pensent encore que les ISP grand public gagnent vraiment de l'argent sur l'accès IP. Les clients qui n'ont que l'ADSL en direct sans utiliser les services de téléphonie et de télévion ( VOD entre autre ) ne sont pas les clients que recherchent les FREE / Bouygues / SFR / Numericable / XXXGRANDPUBLIC. Donc :) Notre industrie a sérieusement besoin de se professionnaliser, et on va aller vers de plus en plus de concentration dans le monde des Telecoms, c'est un fait. Donc, faire tout pour ne pas être dans une configuration acceptée et supportée par l'industrie n'est pas la bonne démarche. Le but ici n'étant pas de se tirer une balle dans le pied en ayant *volontairement* un Frankenstein non supporté, mais une solution alternative répondant à un besoin. Je comprend que ce besoin ne soit pas le même selon la position (ne dérapez pas SVP): ISP, PME, … troll Soit, dans ce cas, un groupe de standardisation autour de cette solution devra se créer et valider du matis supporté et accepté lors de debug avec un opérateur. Au bout d'un moment, il y a aura 2 constructeurs de validés et bam … On aura une solution constructeur :) /troll Quoiqu'il en soit t'as pas forcément envie de te battre avec ton opérateur à 18h de l'aprem pendant ton rush d'audience, et quand bien même que l'erreur soit chez lui, tu aura perdu des $$$ car ton activité en dépend directement. Le propos est la. Que ça marche mieux ou pas, clairement on s'en tamponne . Ce qui compte, c'est comment ton archi est supportée en interne et surtout en externe avec tes fournisseurs / clients. Ne me faites pas dire ce que je n'ai pas dis : Il y a une différence fondamentale entre innover et bidouiller. Il ne faut pas faire comme les autres, mais mieux ... Tout en restant un minimum pro. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Routeurs BGP : Conseil de topologie
On Nov 4, 2012, at 2:14 PM, Julien Boussu d...@xgs-france.com wrote: Quoiqu'il en soit t'as pas forcément envie de te battre avec ton opérateur à 18h de l'aprem pendant ton rush d'audience, et quand bien même que l'erreur soit chez lui, tu aura perdu des $$$ car ton activité en dépend directement. Le propos est la. Que ça marche mieux ou pas, clairement on s'en tamponne . Ce qui compte, c'est comment ton archi est supportée en interne et surtout en externe avec tes fournisseurs / clients. Ce qui compte c'est de savoir dans quelle mesure tu vas être capable de gérer ton archi. Soit tu es compétent et tu dois pouvoir faire à peu près ce que tu veux. Soit tu n'as aucune compétence et là tu es soumis au bon vouloir de ton prestataire. Voila, tu as tout bien résumé :) Bref, la compétence reste le point centrale quelle que soit la solution retenue. Pas que, aussi de sérieux dans l'industrie. Tu veux vendre des services à des clients, montrer des routeurs constructeurs vs un serveur de routage sous Linux … Je dois être le seul couillon qui ne ferait pas confiance, aux barbus du routage. Par contre, un bon barbu qui vient me dire qu'il va optimiser mon infrastructure linux et tout automatiser pour que mon déploiement scale, je signe de suite. Ce qui est aussi une affaire de stratégie. Vi, prendre le risque de se voir refuser des contrats parce que pas assez sérieux, c'est une stratégie ( troll detected ) Julien. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Routeurs BGP : Conseil de topologie
On Nov 4, 2012, at 2:23 PM, Julien Boussu julien.bou...@xgs-france.com wrote: Pas que, aussi de sérieux dans l'industrie. Tu veux vendre des services à des clients, montrer des routeurs constructeurs vs un serveur de routage sous Linux … Je dois être le seul couillon qui ne ferait pas confiance, aux barbus du routage. Par contre, un bon barbu qui vient me dire qu'il va optimiser mon infrastructure linux et tout automatiser pour que mon déploiement scale, je signe de suite. Bizarre. Tu dis non puis oui. Je parle de mon archi Linux ( serveur ouebe, mail, ou autre), surtout pas de routage :) Sur ce genre de problématique, je ferais plus confiance à la petite PME de barbus qu'aux grosses SSII J'ai aussi peu confiance en un barbus qui se contente de me dire que Linux c'est bien qu'en un intégrateur qui m'explique qu'avec Ciscper je suis tranquille et qui me présente une conf en défault-factory …. Vi, prendre le risque de se voir refuser des contrats parce que pas assez sérieux, c'est une stratégie ( troll detected ) Trop facile, je plongerai pas :-) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeurs BGP : Conseil de topologie
On Oct 29, 2012, at 6:26 PM, Jérôme Nicolle jer...@ceriz.fr wrote: On 29/10/2012 18:11, Simon Morvan wrote: La question qui se pose : est-il pertinent/souhaitable/découragé de mettre en place un lien direct back-to-back entre les deux routeurs ou faut-il mieux se reposer sur le L2 qu'ils ont en commun pour servir de default gw au LAN ? Pas besoin de deuxième lien physique si tu ne compte pas atteindre la limite du premier, mais l'interco des deux ASBR edoit se faire sur un VLAN différent de la patte LAN Question subsidiaire : quel est l'apport de demander, aux transitaires, la possibilité de mettre en place deux sessions BGP, soit une par routeur. Un réel intérêt en terme de HA par rapport à la complexité induite ? Intérêt très faible. Quand tu dois shutter un transit c'est plus souvent parce qu'ils se sont complètement chié dessus que pour une simple panne d'interface. Et quand tu perds un routeur, t'as probablement d'autres priorités que maintenir des routes optimales, tant que ça marche à peu près. Par contre, rien ne t'interdit de monter du CARP sur tes liens WAN, tant que tu as un switch sérieux en frontal (qui devient le SPOF, donc compte plutôt deux switchs et deux pates WAN physiques sur tes routeurs) pour filtrer les merdes de L2 qui peuvent se propager. Heu, t'es sérieux la ? Wan pour toi c'est bien vers le transitaire ? Ou tu es plutôt WAN vers le LAN du mec ou il ferait du VRRP / HSRP ? Parce que si tu es plutôt dans la conception du WAN vers le transitaire avec du CARP c'est … sale ! @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeurs BGP : Conseil de topologie
Comment tu peux baser une architecture avec Mais, ça marche bien quand c'est bien fait ? Keep it simple : BGP avec N ports avec /30 , /31 classique, ça juste marche est compatible avec tous les providers du monde. Cessez de faire les Geo Trouvetou avec des architectures non standardisées et complètement non supportées par les opérateurs ! On Oct 29, 2012, at 6:46 PM, Jérôme Nicolle jer...@ceriz.fr wrote: On 29/10/2012 18:43, Raphael Maunier wrote: Heu, t'es sérieux la ? Oui. Wan pour toi c'est bien vers le transitaire ? Ou tu es plutôt WAN vers le LAN du mec ou il ferait du VRRP / HSRP ? WAN coté upstream, LAN coté serveurs ou eyeballs Parce que si tu es plutôt dans la conception du WAN vers le transitaire avec du CARP c'est … sale ! Waip. Mais ça marche bien quand c'est bien fait. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeurs BGP : Conseil de topologie
On Oct 29, 2012, at 7:13 PM, Jérôme Nicolle jer...@ceriz.fr wrote: On 29/10/2012 19:04, Raphael Maunier wrote: Comment tu peux baser une architecture avec Mais, ça marche bien quand c'est bien fait ? Parce que c'est le cas de toutes les architectures. Les meilleures machines et designs by the book, avec une conf pourrie, ça marche pas bien. Keep it simple : BGP avec N ports avec /30 , /31 classique, ça juste marche est compatible avec tous les providers du monde. Quand le provider facture 50 ou 100€ de plus pour la deuxième sessions sur le même port physique c'est du foutage de gueule. Mais c'est courant. Speed, price quality, pick two Cessez de faire les Geo Trouvetou avec des architectures non standardisées et complètement non supportées par les opérateurs ! (prise de haut détectée) Nan, pas du tout. Juste d'expérience, les trucs bidouillés, on passe des nuits et des mois à les virer 2 ans apres, parce que Jean-Paul s'est barré ! Un mec qui annonce son réseau en BGP opère un réseau IP au même titre que ses upstreams, il est donc tout aussi opérateur que toi. Et s'il décide de la supporter, c'est son problème. Et dans la vrai vie, c'est Jean-Paul qui maitrise, et c'est Jean-Pierre qui debug un soir à 4h du mat. Ils ont tous les 2 JEAN dans leur prénom, mais pas le même background. Donc, Murphy étant notre pote, le wiki ce soir la est down, donc Jean-Pierre n'aura pas la doc, et il faudra comprendre ce qui a été fait. Donc le mec va passer 3h à debug et l'impact sera plus important que de ne pas avoir cette superbe redondance bidouillée. Trop de redondance, tue la redondance surtout quand c'est de la bidouille Techniquement, monter du HSRP/VRRP/CARP vers un upstream n'est pas sensé être visible pour cet upstream, à condition que le switch soit bien configuré. C'est donc totalement transparent. C'est MAL et c'est SALE :) Il se trouve que pour ce besoin particulier, c'est superflu. Surtout vu la complexité ajoutée. Mais ça reste techniquement possible. Encore une fois, keep it simple ! IT DOES NOT SCALE ! -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeurs BGP : Conseil de topologie
Techniquement, je peux aller à 280 sur l'autoroute et pourtant, je respecte la vitesse limite de 110/120. Il est souhaitable pour mon permis que je ne fasse pas des trucs de ce genre ! Donc, il est préférable pour ta plateforme de respecter les standards :) -- Raphael MAUNIER Jaguar Network France On Oct 29, 2012, at 7:39 PM, Jérôme Nicolle jer...@ceriz.fr wrote: On 29/10/2012 19:37, Raphael Maunier wrote: C'est MAL et c'est SALE :) Oui, mais ça reste techniquement possible, et dans de rare cas souhaitable parce que ça répond à un cas de figure pas si rare que ça. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Incident Orange
Pareil pour nos clients :) Par contre sur notre port à Marseille, on a effectivement observé une baisse anormale, mais c'est revenu maintenant. Visiblement ceux qui ont du 5511 en transit n'ont pas trop de pb. Le routeur de peering de FT doit avoir un petit soucis , ou une interco qq part -- Raphael MAUNIER Jaguar Network France 81 Avenue Edouard Vaillant 92100 Boulogne Billancourt More Than Your Hosting Company E-Mail : raphael.maun...@jaguar-network.com URL : http://www.jaguar-network.com/ On Oct 18, 2012, at 2:31 PM, Benjamin BILLON bbil...@splio.fr wrote: Hello Michael, Vers Orange, on ne dépassait pas le 100Mbps via Tata, et on passés à 400Mbps via Neo. -- Benjamin Le 18 octobre 2012 13:08, Michael Hallgren m.hallg...@free.fr a écrit : Le jeudi 18 octobre 2012 à 12:27 +0200, Pierre-Yves Maunier a écrit : Le 18 octobre 2012 10:54, Nicolas Hyvernat fr...@republique.org a écrit : On Thu, Oct 18, 2012 at 10:44:38AM +0200, Julien Ducros wrote: Vu les as impliqués, je dirais plutot Tata, comme ca à vue de pif. Je ne pense pas, rien à signaler entre 6453/5511, tout est au vert. Chez nous (Iguane Solutions), 6453/5511 nous pose problème. Hmm,... quelqu'un aurait un exemple à partager ? Tout comme Nico, je ne vois rien de troublant. mh --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/