from:"Raphael Maunier"

Hello,

Le soucis se pose lorsque, les offres intéressantes ne sont pas directement sur 
le réseau d’un opérateur X ou Y et que ce dernier ( pas que Free en 
l’occurrence ) ne fait pas d’effort pour améliorer la situation.

On va causer Net Neutrality toussa, mais globalement, le système best-effort 
n’est juste plus adapté aux consommateurs que nous sommes. Les US vont de toute 
façon lancer les services différenciés ( j’extrapole un peu, mais avec ce qui 
vient de se passer on va y arriver ). Donc, je ne serais pas surpris de voir ce 
genre d’offre arriver d’ici peu :) De toute façon, ça existe déjà avec le 
service VOIP est directement lié à l’opérateur de ta box et donc un service 
ayant une priorité différente sur le réseau.

Pour avoir un service de streaming de qualité ( contenu et fonctionnalités ) , 
ce n’est pas (encore ) disponible chez les FAI existant, et j’ai testé les 3 
plus gros, et la qualité / catalogue n’est clairement pas au rendez-vous. On 
sera obligé de se fournir ailleurs ( Netflix and cie ) et on devra programmer 
son film la veille pour avoir une chance que ce soit dans la Xbox/ps4//latop 
pour le lendemain ( et encore ).

Dans le futur ( hier ) , le traffic IRC / XMPP / SMTP … sera marginal et ce qui 
va intéresser les gens c’est d’avoir leurs telephones / tablettes / consoles, 
donc il faut se concentrer sur ce que demandent 99% des utilisateurs :)

Le soucis que je vois, c’est un problème dans la gestion des capacités et une 
volonté de partie au conflit directement entre les opérateurs / content.  Je ne 
dis pas que le peering doit être gratuit, c’est un choix de l’opérateur de 
decider l’ouverture de son réseau et d’y “imposer” ses conditions. La ou ça me 
gene c’est lorsque c’est quasi impossible et que l’ont montre du doigt ces 
salauds de content qui vont faire imploser Internet !

Pour ma part, je ne vois pas d’inconvenient à payer en plus sur ma connexion 
@home pour avoir un meilleur service, si tenté que cela soit possible …

Raphael





On 04 Feb 2014, at 12:39, Solarus sola...@ultrawaves.fr wrote:

 Le 2014-01-24 15:24, Sylvain Vallerot a écrit :
 
 La vie sur le net est devenue un enfer à cause de l'avidité commerciale,
 le Web est quasi inutilisable sans filtres contre les pop-up, les pubs,
 
 Le Web ≠ le Net.
 
 En dehors des ports 80 et 443, le Net (IRC, XMPP, SMTP, IMAP) se porte plutôt 
 bien.
 Je sais que la mode des webmail et autres applis de contenus pour smartphone 
 nous a fait oublier que le Net c'est bien plus que le Web, mais quand même. ;)
 
 Solarus
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Peering / net / web ...


On 04 Feb 2014, at 14:20, Sylvain Vallerot sylv...@gixe.net wrote:

 
 
 On 04/02/2014 13:14, Raphael Maunier wrote:
 On va causer Net Neutrality toussa, mais globalement, le système
 best-effort n’est juste plus adapté aux consommateurs que nous
 sommes.
 
 Consommateur que tu es, si ça te suffit.
 
 J'espère qu'il y a encore des ingénieurs ici qui ont conscience que ça
 ne suffit pas et que internet n'est pas un outil pour consommer mais
 aussi pour produire, et qu'ils défendront ce modèle pour le bien de
 tout le monde parce que c'est ce modèle qui a fait qu'internet a pu se
 développer.

Sauf que à la maison et quand je vais chez des Amis, Internet est un outil 
consommable.

Je vais expliquer à ma fille de 06 ans : ça rame, mais tu sais il faut 
continuer le combat contre les méchants et ça va ramer encore

Sans déconner, il faut sortir justement de ce monde “d’ingénieur”. C’est cette 
vision trop technique qui a coulé bon nombre de boites par le passé.

C’est un bien de consommation, point, ce n’est plus un “bien technique”. C’est 
justement a l’ingénieur de s’adapter ( théorie de l’evolution toussa )


 
 
 Les US vont de toute façon lancer les services différenciés
 
 C'est déjà fait, et même en France ça existe.
 
 https://lists.fdn.fr/wws/arc/fai-locaux/2014-01/msg00034.html

Je ne suis pas encore en mesure chez moi sur mes adsl de choisir un service 
premium pour avoir Youtube / Netflix / PSN avec un debit sans contrainte.
Donc pour le grand public ( essaie juste de te mettre dans la peau de ces gens 
la ), sauf pour le mobile ou on a été habitué , ça n’existe pas
 
 
 Dans le futur ( hier ) , le traffic IRC / XMPP / SMTP … sera marginal
 
 Parce que des opérateurs qui raisonnent pognon et encouragés par des
 ingénieurs qui tiennent ce discours (science sans conscience) auront
 bridé internet pour le réduire à ce qui leur permet de faire du fric.

 Rapport avec la choucroute ? L’époque ou tout le monde savait utiliser un 
PC est révolu.
Un enfant de 3 ans / 6 / 9 ans sait utiliser un ipad/android/console, mais est 
incapable d’utiliser un PC correctement.

Si les applications se tournent vers tout ce qui est apps / web, ce n’est pas 
le choix des opérateurs, ce sont les usages et les nouveautés que nous 
apportent les constructeurs ( Samsung / Apple … )
Et bon, aussi, ou est le mal dans “faire du fric” ? L’URSS c’est terminé hein.

 
 Malheureusement on sait que l'offre crée la demande, que la lobotomie
 fonctionne et que TF1 continue de faire de l’audience.


 
 
 il faut se concentrer sur ce que demandent 99% des utilisateurs :)
 
 Ca va simplifier les configs des FW, aller, OSEF.
 
 
 Pour ma part, je ne vois pas d’inconvenient à payer en plus sur ma
 connexion @home pour avoir un meilleur service,
 
 Cela pose tout de même quelques questions.
 
 Par exemple qui va payer pour un service qui n'existe pas encore, et
 donc comment ce service pourra-t-il un jour éclore s'il est invisible
 des internautes ? Autrement dit qui pourra verrouiller l'innovation ?
 
 Ensuite, ceux qui n'ont pas les moyens ils auront juste un internet de
 seconde zone avec accès aux contenus qui vampirisent leur vie privée ?
 Autant dire tout de suite que les FAI seront des batteries d'élevage,
 ce qui est déjà un peu le cas puisque personne ne fait le boulot
 d'éduquer les internautes, les marchands s'en chargent avec leur seul
 intérêt en ligne de mire.

C’est la vie. Quand tu visites un immeuble sur NYC, pour accéder a l’étage X tu 
paie 20$, pour aller X+10 étages, c’est 20$+5, etc etc.
Donc celui qui n’a pas les moyens voit presque la meme chose, et c’est comme ça.

Désolé, mais le monde idéaliste que tu vois n’existe/ra pas.

 
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Peering / net / web ...


On 04 Feb 2014, at 14:40, Simon Morvan gar...@zone84.net wrote:

 Le 04/02/2014 14:35, Raphael Maunier a écrit :
 Je vais expliquer à ma fille de 06 ans : ça rame, mais tu sais il faut 
 continuer le combat contre les méchants et ça va ramer encore
 Tu peux lui expliquer pourquoi ça rame, à défaut de lui expliquer
 pourquoi il faut se battre.

J’aimerais assez que mes enfants ne fassent pas le meme metier que moi :)
Je préférerais qu’ils se battent pour une autre cause que celle du peering en 
fait !

 
 Ceci dit, les ingénieurs que nous sommes ont une position privilégiée
 parce qu'il savent comment cela fonctionne techniquement, et c'est
 quelque chose qui sera utile à ta fille pour son avenir, plus que de
 savoir qu'en ajoutant 10€, ca rame plus. (meme si au final, tu payes).

Le truc, c’est que de plus en plus les gens ne veulent PAS savoir. En restant 
dans notre monde, oui , tu vois que des gens qui veulent savoir.
Mais ailleurs, ils s’en contrefichent et une grande majorité croit encore que 
les salles machines en France sont opérés par les PTT et que nous sommes tous 
leurs clients ( c’est du vécu celle-ci )


 
 (et tu devrais padder un zéro de plus, ta fille à de bonnes chances
 d'avoir besoin d'un nombre à trois chiffres). ;)

La terre aura explosé bien avant, alors :)

 
 -- 
 Simon
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Peering / net / web ...


On 04 Feb 2014, at 15:11, Sylvain Vallerot sylv...@gixe.net wrote:

 
 Je crois que tu confonds s'adapter et régresser, ou se résigner.

Nope, je sors et je regarde autour de moi, c’est tout.

Sinon, je n’aurais pas risqué tout pour créer FranceIX à l’époque hein :)


 
 L'explosion des volumes, de la HD ou de la VOD par exemple n'est pas
 un enjeu de société ni pour les individus.

Tu as raison, la télévision n’a pas été une révolution industrielle, tout comme 
la radio.
La VOD / TV sur telephone / maison sont des elements qui font partie de 
l’evolution technologique 

 La conservation d'un outil
 neutre qui permet l'innovation et la participation des internautes
 par contre est un enjeu de société, et la capacité d'accéder de manière
 non truquée à tous les contenus et de pouvoir y participer est un enjeu
 pour l’individu.

Ou j’ai dis que ce n’était pas neutre. Neutre =! gratuit !!!
 
 
  Rapport avec la choucroute ? L’époque ou tout le monde savait utiliser 
 un PC est révolu.
 Un enfant de 3 ans / 6 / 9 ans sait utiliser un ipad/android/console, mais 
 est incapable d’utiliser un PC correctement.
 
 Si tu apprends à un gosse à utiliser IRC au lieu de FaceBook il te
 surprendra. C'est toi qui fait le choix de le faire rentrer dans le
 moule ou de lui montrer les alternatives.

Mais bien sur ! 

J’ai 2 gosses, qui ont 2 caractères  complètement différents ( pas jumeaux etc 
etc ), et genre dans le quartier ou j’habite, pareil environ une 20aine de 
couples avec des enfants et bien on est tous des lobotomisés et stupide car 
notre intérêt ce n’est pas de voir nos enfants faire de l’irc, mais plutôt de 
s’épanouir sur d’autres sujets. Et oui une fille ça demande encore à faire de 
la danse avec ces copines et une garçon … rien glander !

Donc, soit tu es un caporal chef, soit tu essayes de t’adapter, et le mode 
caporal chef avec des enfants, je ne suis pas trop fan. Ce n’est pas parce que 
ton metier c’est de bosser dans le milieu que tu veux en faire des padawans !

Bref, on s’éloigne un peu du sujet, mais non, ce n’est pas les parents à 100% 
qui défini ce que qu’aiment / feront les enfants.


 
 
 Si les applications se tournent vers tout ce qui est apps / web,
 ce n’est pas le choix des opérateurs, ce sont les usages et les nouveautés 
 que nous apportent les constructeurs ( Samsung / Apple … )
 
 Franchement rien de tout ça n'est porteur de fond ni de progrès pour
 l'individu. Plus kikoo lol, plus joli, mais surtout plus lourd, plus
 buggué, et moteur de la pompe à consommer.
 
 Si on avait des téléphones en mode console ils seraient peut-être
 tout aussi efficaces et moins énergivores.  Evidement angry birds ce
 serait moins joli... coup dur pour l'humanité ! Par contre mon FAI 3g
 ne sentirait pas obligé de réécrire mes requêtes à la volée.

Non, mais WTF, tu crois vraiment que l’ado de 12 ans qui passe son temps a 
s’échanger des sms mielleux avec son copain/copine à envie de faire une session 
en console sur son tel ?

Nan mais, tu es trop resté dans ta cave ces derniers temps. Ils s’en fichent, 
et très franchement, à la maison, avec mes gamins quand son ipad / console 
plante : Have You Tried Turning It Off And On Again? 
http://www.youtube.com/watch?v=nn2FB1P_Mn8
 
 
 Et bon, aussi, ou est le mal dans “faire du fric” ?
 
 J'ai pas dit que c'était mal : c'est la logique du commerçant.
 Mais le public n'a pas vocation à se laisser réduire au statut de
 consommateur ni à accepter la restriction de sa liberté de choix
 dans l'intérêt du commerçant.

Le gros soucis, c’est l’éducation. On vous a bassiné la tete que tout devait 
être gratuit  / libre ( linux, le peering, etc etc ).
Nous sommes dans une société de consommation, il va falloir t’y faire, et 
l’accepter.

 
 
 C’est la vie. Quand tu visites un immeuble sur NYC, pour accéder a
 l’étage X tu paie 20$, pour aller X+10 étages, c’est 20$+5, etc etc.
 Donc celui qui n’a pas les moyens voit presque la meme chose, et
 c’est comme ça.
 
 Tu confonds payer plus pour avoir plus, et payer plus pour conserver la
 liberté de choisir.

Non, je parlais d’acheter en fonction de ces moyens, c’est tout.
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Peering / net / web ...


On 04 Feb 2014, at 15:38, Alarig Le Lay ala...@swordarmor.fr wrote:

 On Tue, Feb 04, 2014 at 02:35:12PM +0100, Raphael Maunier wrote:
 On 04 Feb 2014, at 14:20, Sylvain Vallerot sylv...@gixe.net wrote:
 On 04/02/2014 13:14, Raphael Maunier wrote:
 Consommateur que tu es, si ça te suffit.
 
 Pour ma part consammateur je lui suis le moins possible et je trouve
 déjà ça trop.
 
 Sauf que à la maison et quand je vais chez des Amis, Internet est un
 outil consommable.
 
 Et bien si des gens comme toi (qui sont le plus à même de défendre le
 net propre) ne le défendent pas, il y a en effet de fortes chances que
 demain nous n’ayons plus accès qu’à cccp.ru en version française
 (puisque tu as l’air d’aimer l’URSS).
 
 Je vais expliquer à ma fille de 06 ans : ça rame, mais tu sais il faut
 continuer le combat contre les méchants et ça va ramer encore
 
 Et bien oui, tu peux au moins lui expliquer, libre à elle de juger s’ils
 sont méchants ou pas.
 L’ignorence d’un peuple est le terreau de toute dictature.

C’est impressionnant de voir comment vous voyez des dictatures partout et à 
vouloir toujours vous rebeller !


 
 Sans déconner, il faut sortir justement de ce monde “d’ingénieur”.
 C’est cette vision trop technique qui a coulé bon nombre de boites par
 le passé.
 
 C’est un bien de consommation, point, ce n’est plus un “bien
 technique”. C’est justement a l’ingénieur de s’adapter ( théorie de
 l’evolution toussa )
 
 Je peux t’assurer que si demain Apple ou Google dit qu’il faut utiliser
 Internet de façon éthique, pas mal de monde le fera les yeux fermés.
 
 Je ne suis pas encore en mesure chez moi sur mes adsl de choisir un
 service premium pour avoir Youtube / Netflix / PSN avec un debit sans
 contrainte.  Donc pour le grand public ( essaie juste de te mettre
 dans la peau de ces gens la ), sauf pour le mobile ou on a été habitué
 , ça n’existe pas
 
 
 Dans le futur ( hier ) , le traffic IRC / XMPP / SMTP … sera
 marginal
 
 Parce que des opérateurs qui raisonnent pognon et encouragés par des
 ingénieurs qui tiennent ce discours (science sans conscience) auront
 bridé internet pour le réduire à ce qui leur permet de faire du fric.
 
  Rapport avec la choucroute ? L’époque ou tout le monde savait
 utiliser un PC est révolu.  Un enfant de 3 ans / 6 / 9 ans sait
 utiliser un ipad/android/console, mais est incapable d’utiliser un PC
 correctement.
 
 J’ai bien envie de te revoyer ta question de rapport avec la choucroute.
 On parle la de la voie que prend le net, pas de technogies
 d’infrastructure physique.

Sauf que le net est maintenant affaire d’apps et d’usages. Ce n’est plus celui 
que vous avez connu dans les années 90 !
Le terminal est devenu pour les gens Internet, c’est aussi simple que ça !
 
 Si les applications se tournent vers tout ce qui est apps / web, ce
 n’est pas le choix des opérateurs, ce sont les usages et les
 nouveautés que nous apportent les constructeurs ( Samsung / Apple … )
 Et bon, aussi, ou est le mal dans “faire du fric” ? L’URSS c’est
 terminé hein.
 
 Le mal ? Aucun.
 Embrigader ses utilisateurs pour en faire encore plus, déjà plus.
 
 L’URSS a effectivement coulée depuis longtemps mais ce n’est pas une
 raison pour faire son capitaliste de base.
 
 
 Malheureusement on sait que l'offre crée la demande, que la lobotomie
 fonctionne et que TF1 continue de faire de l’audience.
 
 C’est un très gros problème, et beaucoup d’autres n’existeraient pas
 sans celui-là mais malheureusement je crois qu’il est très dur à régler.
 
 Pour ma part, je ne vois pas d’inconvenient à payer en plus sur ma
 connexion @home pour avoir un meilleur service,
 
 Cela pose tout de même quelques questions.
 
 Par exemple qui va payer pour un service qui n'existe pas encore, et
 donc comment ce service pourra-t-il un jour éclore s'il est invisible
 des internautes ? Autrement dit qui pourra verrouiller l'innovation ?
 
 Ensuite, ceux qui n'ont pas les moyens ils auront juste un internet de
 seconde zone avec accès aux contenus qui vampirisent leur vie privée ?
 Autant dire tout de suite que les FAI seront des batteries d'élevage,
 ce qui est déjà un peu le cas puisque personne ne fait le boulot
 d'éduquer les internautes, les marchands s'en chargent avec leur seul
 intérêt en ligne de mire.
 
 C’est la vie. Quand tu visites un immeuble sur NYC, pour accéder a
 l’étage X tu paie 20$, pour aller X+10 étages, c’est 20$+5, etc etc.
 Donc celui qui n’a pas les moyens voit presque la meme chose, et c’est
 comme ça.
 
 Désolé, mais le monde idéaliste que tu vois n’existe/ra pas.
 
 Dans ce cas demain on te coupe tes droits à la retraire, aux congés
 payés, aux soins, à l’éducation et à tout ce qui touche à l’État
 providence (ou ce qu’il en reste), ça devrait te calmer un peu.

Rapport avec le sujet ? aucun, mais bon :
Tu vois sur mes charges sociales tous les mois je paie des … cotisations et 
j’en paie une tonne.
Je paie aussi mes impôts, c’est fou ! Je n’ai pas de problème de payer plus 
pour les

Re: [FRnOG] [MISC] Peering / net / web ...

Bon,

Je crois que je vais stopper d’argumenter avec qqn qui cache grossièrement des 
insultes dans des mails ! Meme si je suis “visiblement” stupide et que je 
“visiblement je ne sais pas élever mes enfants, je suis encore capable de le 
voir :)

Bref, cette discussion est stérile et vouée à déraper, j'ai encore 
l’intelligence d’arrêter de répondre à qqn qui n’a pas d’experience dans les 
réseaux opérateurs et qui se permet de juger :)

Raphael


On 04 Feb 2014, at 16:48, technicien hahd technic...@hahd.fr wrote:

 On Tuesday 04 February 2014 15:44:14 Raphael Maunier wrote:
 On 04 Feb 2014, at 15:11, Sylvain Vallerot sylv...@gixe.net wrote:
 Je crois que tu confonds s'adapter et régresser, ou se résigner.
 
 Nope, je sors et je regarde autour de moi, c’est tout.
 
 Sinon, je n’aurais pas risqué tout pour créer FranceIX à l’époque hein :)
 
 L'explosion des volumes, de la HD ou de la VOD par exemple n'est pas
 un enjeu de société ni pour les individus.
 
 Tu as raison, la télévision n’a pas été une révolution industrielle, tout
 comme la radio. La VOD / TV sur telephone / maison sont des elements qui
 font partie de l’evolution technologique
 
 La télévision, média de masse popularisé par hitler dans l'allemagne nazie 
 pour faire de la propagande politique, tu appelles ça une révolution 
 industrielle ? 
 Oui c'est ça l'histoire de la télévision et c'est même documenté en vidéo 
 dans 
 le documentaire: Television Under The Swastika. 
 https://www.youtube.com/watch?v=q-yCsTHLxXs
 
 Et quand bien même, une révolution industrielle ou une évolution 
 technologique 
 ne sont souhaitable que si elles présentent un intérêt global pour la société.
 L'exemple de la télévision est pour cela plutôt bien choisi puisque les 
 effets 
 sont largement étudiés et font consensus comme expliqué ici:
 https://www.youtube.com/watch?v=NvMNf0Po1wY
 
 La télévision qui vient envahir internet et les plateformes mobiles, ce n'est 
 pas pour le bien-être individuel ou pour faire progresser la société comme tu 
 le sous-entends. Mais je veux bien que tu me donne tort en étayant un peu ton 
 opinion.
 
 La conservation d'un outil
 neutre qui permet l'innovation et la participation des internautes
 par contre est un enjeu de société, et la capacité d'accéder de manière
 non truquée à tous les contenus et de pouvoir y participer est un enjeu
 pour l’individu.
 
 Ou j’ai dis que ce n’était pas neutre. Neutre =! gratuit !!!
 
 Ne te fais pas plus stupide que tu n'es, tu as bien compris que la 
 problèmatique de la neutralité d'Internet commercial est une question de plus 
 d'argent pour moins de problèmes téchniques mais ce n'est pas le sujet ici. 
 
 Ici il est question de l'importance au niveau social pour les individus de 
 pouvoir accéder librement à l'information et de contribuer librement.
 Et si Alice a accès à plus de liberté parce qu'elle paye plus cher que Bob, 
 c'est là qu'on a un problème.
 
 Avec un Internet entièrement gratuit la problèmatique de la neutralité serait 
 toujours présente. Le fournisseur de tuyau qui ne gagne pas d'argent avec ses 
 tuyaux n'a aucune motivation a truquer ses tuyaux pour en gagner plus, mais 
 les pouvoirs politiques ont toujours intérêts à contrôler l'accès à 
 l'information et à surveiller pour savoir qui fait quoi.
 
 
  Rapport avec la choucroute ? L’époque ou tout le monde savait
 utiliser un PC est révolu. Un enfant de 3 ans / 6 / 9 ans sait utiliser
 un ipad/android/console, mais est incapable d’utiliser un PC
 correctement. 
 Si tu apprends à un gosse à utiliser IRC au lieu de FaceBook il te
 surprendra. C'est toi qui fait le choix de le faire rentrer dans le
 moule ou de lui montrer les alternatives.
 
 Mais bien sur !
 
 J’ai 2 gosses, qui ont 2 caractères  complètement différents ( pas jumeaux
 etc etc ), et genre dans le quartier ou j’habite, pareil environ une 20aine
 de couples avec des enfants et bien on est tous des lobotomisés et stupide
 car notre intérêt ce n’est pas de voir nos enfants faire de l’irc, mais
 plutôt de s’épanouir sur d’autres sujets. Et oui une fille ça demande
 encore à faire de la danse avec ces copines et une garçon … rien glander !
 
 
 Donc, soit tu es un caporal chef, soit tu essayes de t’adapter, et le mode
 caporal chef avec des enfants, je ne suis pas trop fan. Ce n’est pas parce
 que ton metier c’est de bosser dans le milieu que tu veux en faire des
 padawans !
 
 Une expérience personnelle aussi élargie soit elle n'est pas recevable comme 
 argument valide. Comme exemple illustratif éventuellement, mais tu vas faire 
 rire bien du monde en disant que le monde entier fonctionne comme tu le 
 penses 
 parce que ce que tu perçois et interprètes de tes enfants et de ceux de tes 
 amis se conforme à ta vision des choses. 
 
 Essaye de nous trouver des arguments basés sur ce qui se dit en sociologie ou 
 en pédagogie, ça aura plus de valeur dans la discussion.
 
 
 Bref, on s’éloigne un peu du sujet, mais non, ce n’est pas les parents à
 100

Re: [FRnOG] [MISC] Amplifications NTP

Nan,

Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie sur 
leurs routeurs comment dire :)

Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour tout 
bloquer sur la loopback !

Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse et tu 
l’utilise direct.

En gros, on fait du tuning de routeur :)

On 01 Feb 2014, at 16:55, Clement Cavadore clem...@cavadore.net wrote:

 SRSLY ?
 
 Non, mais franchement, les mecs qui développent le software sur les
 équipements réseau (quel que soient les constructeurs), est-ce qu'ils
 imaginent/réalisent que leur code est vraiment utilisé dans autre chose
 que des lab ?
 
 
 
 On Sat, 2014-02-01 at 16:30 +0100, Olivier Benghozi wrote:
 Sans compter les Juniper dont le client ntp fait aussi spontanément serveur 
 alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens 
 parfaitement adaptés à relayer du DDoS.
 
 http://www.gossamer-threads.com/lists/nsp/juniper/49151
 
 Quelle blague.
 
 
 Le 1 févr. 2014 à 15:16, Frederic Dhieux frede...@syn.fr a écrit :
 
 Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par 
 erreur a été utilisé pour de l'amplification, c'était effectivement assez 
 visible en volume sortant chez nous et plutôt agressif.
 
 Sans Netflow on ne l'aurait surement pas vu avant un moment...
 
 Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des gens 
 qui trouvent le marché de l'anti-DDoS en France pas assez florissant en ce 
 moment :p
 
 Frédéric
 
 Le 01/02/2014 14:55, David Ramahefason a écrit :
 COLT en souffre sur Paris depuis qq jours.
 -- 
 David Ramahefason
 
 
 Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit:
 
 Hello tous
 
 certaines infrastructures doivent prendre très chère avec les 
 amplifications NTP en cours !
 
 a+
 Thierry
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Amplifications NTP

Pour Juniper :

set policy-options prefix-list ipv4-ntp-sources apply-path system ntp server 
*”

extrait de conf à appliquer sur la loopback :

set firewall family inet filter protect-routing-engine term ntp from 
source-prefix-list ipv4-ntp-sources
set firewall family inet filter protect-routing-engine term ntp from protocol 
udp
set firewall family inet filter protect-routing-engine term ntp from port ntp
set firewall family inet filter protect-routing-engine term ntp then accept
set firewall family inet filter protect-routing-engine term you-shall-not-pass 
then log
set firewall family inet filter protect-routing-engine term you-shall-not-pass 
then discard


On 01 Feb 2014, at 18:18, Raphael Maunier raph...@maunier.net wrote:

 Nan,
 
 Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie sur 
 leurs routeurs comment dire :)
 
 Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour 
 tout bloquer sur la loopback !
 
 Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse et tu 
 l’utilise direct.
 
 En gros, on fait du tuning de routeur :)
 
 On 01 Feb 2014, at 16:55, Clement Cavadore clem...@cavadore.net wrote:
 
 SRSLY ?
 
 Non, mais franchement, les mecs qui développent le software sur les
 équipements réseau (quel que soient les constructeurs), est-ce qu'ils
 imaginent/réalisent que leur code est vraiment utilisé dans autre chose
 que des lab ?
 
 
 
 On Sat, 2014-02-01 at 16:30 +0100, Olivier Benghozi wrote:
 Sans compter les Juniper dont le client ntp fait aussi spontanément serveur 
 alors que tu lui avais pas demandé, et qui tournent des xntpd antédiluviens 
 parfaitement adaptés à relayer du DDoS.
 
 http://www.gossamer-threads.com/lists/nsp/juniper/49151
 
 Quelle blague.
 
 
 Le 1 févr. 2014 à 15:16, Frederic Dhieux frede...@syn.fr a écrit :
 
 Il y a 2-3 semaines un serveur chez un client dont le ntp était ouvert par 
 erreur a été utilisé pour de l'amplification, c'était effectivement assez 
 visible en volume sortant chez nous et plutôt agressif.
 
 Sans Netflow on ne l'aurait surement pas vu avant un moment...
 
 Ecritel y'a une semaine, Colt ces derniers jours, il y a peut-être des 
 gens qui trouvent le marché de l'anti-DDoS en France pas assez florissant 
 en ce moment :p
 
 Frédéric
 
 Le 01/02/2014 14:55, David Ramahefason a écrit :
 COLT en souffre sur Paris depuis qq jours.
 -- 
 David Ramahefason
 
 
 Le 1 février 2014 at 14:54:36, Thierry Wehr (t.w...@widevoip.com) a écrit:
 
 Hello tous
 
 certaines infrastructures doivent prendre très chère avec les 
 amplifications NTP en cours !
 
 a+
 Thierry
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Amplifications NTP

On va dire ça, si ça te rend heureux

On 01 Feb 2014, at 20:07, Sidney Boumendil sidney.boumen...@gmail.com wrote:

 Le 1 février 2014 18:18, Raphael Maunier raph...@maunier.net a écrit :
 
 
 Mais si les mecs mettent pas par défaut les bonnes règles d'ingénierie sur
 leurs routeurs comment dire :)
 
 
 Dans d'autres circonstances ont t'aurait entendu dire que le constructeur X
 ou Y est naze d'activer des services par défaut et non documenté sans
 pouvoir les désactiver. Mais comme tu dois encore refourguer du Juniper il
 est plus simple de rejeter la balle chez ces imbéciles de clients. C'est de
 l'objectivité à géométrie variable en somme.
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Amplifications NTP


On 01 Feb 2014, at 22:02, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net 
wrote:

 On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote:
 Un routeur c’est pas comme une voiture ou tu réceptionnes pas la caisse
 et tu l’utilise direct.
 
 Si on devait avoir des voitures comme les routeurs, apres l'achat il
 faudrait automatiquement faire :
 - changer les penus
 - faire une vidange
 - flasher l'ordinateur de bord (avec la derniere version qui a telle ou
 telle fonctionalite et pas tel ou tel bug)
 - faire une vingtaine de reglages cote moteur faute de quoi on risque
 d'arriver a l'hosiptal ou au cimitiere au lieu de chez soi.

C’est bien ce que je dis, tu dois forcement faire des choses sur tout les 
routeurs que ce soit, Juniper, Cisco, Brocade ( surtout ) , and cie.
Tu ne peux pas juste passer ta commande, prendre le routeur, et faire le wizard 
BGP :)

 
 En gros, on fait du tuning de routeur :)
 
 Oui, sauf que la on est dans plein bug-fix.

Y a plein de bugs que pleins de gens ne voient pas parce que les règles 
d’ingénierie sont bonnes des le depart.

C’est justement que je connais bien Juniper que je ne fais pas 100% confiance 
et que je fais en sorte de ne pas avoir ce genre de problème.
J’ai en ce moment plus de 4 ou 5 bugs complement pourris avec Juniper et des 
trucs bien débiles. L’avantage, c’est que je peux tester facilement, avoir 
accès du lab pour trouver ou ça coince !

Il faut arrêter de croire que parce que j’utilise et que j’en ai vendu que chez 
Juniper est tout rose pour moi aussi :) 
J’ai fais 3 nuits debug bien agréables sur du junos ou d’une version à une 
autre tu n’as pas le meme comportement.
Pareil lorsque tu changes de version ( c’est le cas pour le NTP par exemple ), 
il y a des failles qui apparaissent.
 
Ils sont super fort pour aussi changer certains paramètres de configuration, ou 
d’une version x.x vers x.y et  , tu dois changer tes templates. ( je crois que 
ça c’est la chose la plus pénible que j’ai en ce moment )

Bref, les constructeurs font et feront toujours de la merde, on le sait tous, 
et c’est au client de se prémunir, de réparer, et d’avoir une meilleure reduc 
la prochaine fois que ton gentil commercial viendra te payer à bouffer !


 Imagine que chaque fois que tu fais un telnet depuis un routeur, le
 serveur telnet s'active…..

Bah il faut s’y attendre !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Amplifications NTP


On 01 Feb 2014, at 21:47, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net 
wrote:

 On Sat, Feb 1, 2014, at 18:18, Raphael Maunier wrote:
 Mais si les mecs mettent pas par défaut les bonnes règles d’ingénierie
 sur leurs routeurs comment dire :)
 
 Tu parles de mecs de Juniper je suppose. Parce qu'activer le client et
 avoir en cadeau le serveur comment dire ..
 
 Surtout sur Juniper, c’est vraiment super simple d’avoir un template pour 
 tout bloquer sur la loopback !
 
 OK, je ne suis pas expert Juniper, mais des IP il n'y a pas QUE sur la
 loopback. Et a certaines occasions on a bien besoin que les interfaces
 recoivent du traffic a traiter en control-plane. Donc le tout bloquer
 sauf _ a l'exception de _ quand _ .
 
 Mais bon, c'est bien connu, tous les problemes de l'humanite peuvent
 etre resolus en utilisant la methode Yaka Fokon dans ce cas,
 mettre des filtres a gogo”.

Sur un Juniper, tu bloques le traffic à destination du routeur via la loopback 
et les règles s’appliquent pour l’ensemble du routeur.
Si tu veux faire des règles plus spécifique pour un port, tu dois le faire 
effectivement sur l’interface

De toute façon, ton routeur ne doit pas accepter de traffic sauf :
- SSH pour l’admin
- SNMP pour tes graphs
- BGP des peers
- ICMP / traceroute … ( en rate-limitant ) 

Ensuite 
Il doit pouvoir faire :
- DNS / NTP 
- Netflow
- Traceroute / icmp

J’oublie surement des trucs, mais c’est effectivement un routeur, pas un 
serveur, donc, il faut fout fermer :)
J’ai un template que j’utilise qui est fait dans ce sens.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switch supermicro

2014-01-06 Par sujet Raphael Maunier


On 06 Jan 2014, at 13:56, Frédéric GANDER fgan...@corp.free.fr wrote:

 baaa si les équipementiers était de bon vendeurs de ram j'aurais moins 
 d'erreur ecc sur la ram de mes linecard ;)
 
 de nos jours les switch d'aggregation l2 d'entrée de gamme chez beaucoup de 
 constructeurs sont basés sur des chipset de société comme marvell ou broadcom 
 qui font aussi des cartes réseau ;)
 et les procédés techniques utilisés pour graver les cpu des pc sont 
 largement plus avancés que ceux utilisés pour faire les asic / np des routeurs

Osef du hw au final, ce qui importe c’est le soft. Je ne suis pas persuadé 
qu’ils puissent faire un code qui tourne sans 40k bugs et surtout d’avoir les 
experts au noc pour te répondre en cas de soucis.
 
 Dire que qu'un pc c'est de la merde c'est un peut facile 
 un pc peut router et manipuler (tunneler/ encapsuler / filtrer etc)  60gbit/s 
 de trafic sans broncher.
 certain routeur je ne suis pas sur …

Tss, je n’ai PAS dis que c’était de la merde. J’ai dis, un fabricant/vendeur de 
PC n’est pas un équipementier réseau.
A l’heure du SDN et des routeurs/switch virtuels dans ton environnement Claude, 
je sais très bien que ça fonctionne. 
D’ailleurs pour des infra en dessous du 10G, les routeurs virtuels comme 
Juniper ( et meme cisco à ce qu’on m’a dit) sont tres largement plus 
économique/performante que les solutions HW.


 
 bref pour chaque usage il y a plusieurs solutions et elles sont pas forcement 
 mauvaises.
 
 un switch simple supermicro de base peut être tout aussi bien que de brancher 
 tes ports sur un routeur de 200 port qui plante car trop complexe 

Mouais, franchement meme si je suis Juniper :) Quand y a pas de budget, je 
préfère orienter les mecs sur du cisco au broke genre 2960/3560. Ca juste 
marche !

 
 
 
 
 
 
 
 - Mail original -
 De: Raphaël Maunier raph...@maunier.net
 À: Frédéric GANDER fgan...@corp.free.fr
 Cc: frnog-tech frnog-t...@frnog.org, Jérémy Martin 
 li...@freeheberg.com
 Envoyé: Lundi 6 Janvier 2014 13:36:24
 Objet: Re: [FRnOG] [TECH] Switch supermicro
 
 
 
 Envoyé de mon iPad
 
 Le 6 janv. 2014 à 13:31, Frédéric GANDER fgan...@corp.free.fr a
 écrit :
 
 
 
 - Mail original -
 De: Raphael Maunier raph...@maunier.net
 À: Jérémy Martin li...@freeheberg.com
 Cc: frnog-tech frnog-t...@frnog.org
 Envoyé: Lundi 6 Janvier 2014 12:18:45
 Objet: Re: [FRnOG] [TECH] Switch supermicro
 
 Salut Jérémy,
 
 Avec les nombreux pb que tu as pu avoir, tu es encore à regarder
 les
 équipementiers dont métier premier n’est pas le réseau ?
 
 Tu as encore envie d’essuyer des bugs à répétition ? Un support
 qui
 ne maitrise pas le layer-2 ?
 
 baa juniper heim c'était pas les spécialistes du l2 non plus ;)
 il y a une courbe d'apprentissage plus ou moins longue
 
 C'est justement pour cela que j'en parle ! Quand j'ai pris de l'EX au
 début du L2 chez Juniper, la peinture n'était clairement pas
 fraîche. Je dirais même qu'il y en avait même pas !
 
 Ensuite Juniper vient du réseau et même si le matos était radioactif,
 lorsque tu contactais le NOC, le mec en face il comprenait et était
 en mesure de dire : Ouais bon ok, on merde ( encore )
 
 Avec un mec qui vend des barrettes de ram et des cpu, comment dire je
 doute du niveau d'expertise
 
 
 
 Raphael
 
 
 On 06 Jan 2014, at 12:13, Jérémy Martin li...@freeheberg.com
 wrote:
 
 Bonjour,
 
 Vous avez déjà bossé avec ça ?
 SSE-G2252 :
 http://www.supermicro.com/products/accessories/networking/sse-g2252.cfm
 
 Ca marche bien ? Fiabilité dans le temps ? Bugs ? SAV en cas de
 panne ?
 
 Merci pour vos retours,
 
 
 --
 Cordialement,
 Jérémy Martin
 
 __
 FreeHeberg.com : Osez l'hébergement gratuit de qualité
 professionnelle !
 PHP + Mysql + Espace 2 à 20 Go
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switch supermicro

2014-01-06 Par sujet Raphael Maunier




 On 06 Jan 2014, at 19:52, Matthieu Michaud matth...@nxdomain.fr wrote:
 
 Pour la maison pourquoi pas :) Mais très franchement , pour ma cave, j’ai
 acheté un Cisco2960G au broke pour une bouchée de pain
 
 c'est bien mal connaitre ces produits. l'ex-gamme 3com est pas si mal que
 ça en pratique.

Testé et pas validé ! Pb avec du mstp à l'époque et c'était même avec des 
châssis.
Bref, pour un Switch dans une baie pas connecté à une archi spanning-tree


 
 
 2014/1/6 Raphael Maunier raph...@maunier.net
 
 Fonctions d'administration
 IMC - Intelligent Management Center
 interface de ligne de commande limitée
 navigateur Web
 Pour la maison pourquoi pas :) Mais très franchement , pour ma cave, j’ai
 acheté un Cisco2960G au broke pour une bouchée de pain
 
 Apres HP pourra se vanter d’être le deuxième équipementier L2, c’est
 normal car  lorsque tu as commandé une imprimante tu as un switch en
 goodies :)
 
 
 
 On 06 Jan 2014, at 14:17, Yohann QUINTON yohann.quin...@awedia.com
 wrote:
 
 Hello,
 http://www8.hp.com/fr/fr/products/networking-switches/product-detail.html?oid=4177649#!tab=specs
 
 Même combat ?
 
 --
 Yohann
 Awedia
 
 Le 06/01/2014 15:01, Raphael Maunier a écrit :
 On 06 Jan 2014, at 13:56, Frédéric GANDER fgan...@corp.free.fr wrote:
 
 baaa si les équipementiers était de bon vendeurs de ram j'aurais moins
 d'erreur ecc sur la ram de mes linecard ;)
 
 de nos jours les switch d'aggregation l2 d'entrée de gamme chez
 beaucoup de constructeurs sont basés sur des chipset de société comme
 marvell ou broadcom qui font aussi des cartes réseau ;)
 et les procédés techniques utilisés pour graver les cpu des pc sont
 largement plus avancés que ceux utilisés pour faire les asic / np des
 routeurs
 Osef du hw au final, ce qui importe c’est le soft. Je ne suis pas
 persuadé qu’ils puissent faire un code qui tourne sans 40k bugs et surtout
 d’avoir les experts au noc pour te répondre en cas de soucis.
 Dire que qu'un pc c'est de la merde c'est un peut facile
 un pc peut router et manipuler (tunneler/ encapsuler / filtrer etc)
 60gbit/s de trafic sans broncher.
 certain routeur je ne suis pas sur …
 Tss, je n’ai PAS dis que c’était de la merde. J’ai dis, un
 fabricant/vendeur de PC n’est pas un équipementier réseau.
 A l’heure du SDN et des routeurs/switch virtuels dans ton environnement
 Claude, je sais très bien que ça fonctionne.
 D’ailleurs pour des infra en dessous du 10G, les routeurs virtuels
 comme Juniper ( et meme cisco à ce qu’on m’a dit) sont tres largement plus
 économique/performante que les solutions HW.
 
 
 bref pour chaque usage il y a plusieurs solutions et elles sont pas
 forcement mauvaises.
 
 un switch simple supermicro de base peut être tout aussi bien que de
 brancher tes ports sur un routeur de 200 port qui plante car trop complexe
 Mouais, franchement meme si je suis Juniper :) Quand y a pas de budget,
 je préfère orienter les mecs sur du cisco au broke genre 2960/3560. Ca
 juste marche !
 
 
 
 
 
 
 
 - Mail original -
 De: Raphaël Maunier raph...@maunier.net
 À: Frédéric GANDER fgan...@corp.free.fr
 Cc: frnog-tech frnog-t...@frnog.org, Jérémy Martin 
 li...@freeheberg.com
 Envoyé: Lundi 6 Janvier 2014 13:36:24
 Objet: Re: [FRnOG] [TECH] Switch supermicro
 
 
 
 Envoyé de mon iPad
 
 Le 6 janv. 2014 à 13:31, Frédéric GANDER fgan...@corp.free.fr a
 écrit :
 
 
 
 - Mail original -
 De: Raphael Maunier raph...@maunier.net
 À: Jérémy Martin li...@freeheberg.com
 Cc: frnog-tech frnog-t...@frnog.org
 Envoyé: Lundi 6 Janvier 2014 12:18:45
 Objet: Re: [FRnOG] [TECH] Switch supermicro
 
 Salut Jérémy,
 
 Avec les nombreux pb que tu as pu avoir, tu es encore à regarder
 les
 équipementiers dont métier premier n’est pas le réseau ?
 
 Tu as encore envie d’essuyer des bugs à répétition ? Un support
 qui
 ne maitrise pas le layer-2 ?
 baa juniper heim c'était pas les spécialistes du l2 non plus ;)
 il y a une courbe d'apprentissage plus ou moins longue
 C'est justement pour cela que j'en parle ! Quand j'ai pris de l'EX au
 début du L2 chez Juniper, la peinture n'était clairement pas
 fraîche. Je dirais même qu'il y en avait même pas !
 
 Ensuite Juniper vient du réseau et même si le matos était radioactif,
 lorsque tu contactais le NOC, le mec en face il comprenait et était
 en mesure de dire : Ouais bon ok, on merde ( encore )
 
 Avec un mec qui vend des barrettes de ram et des cpu, comment dire je
 doute du niveau d'expertise
 
 Raphael
 
 
 On 06 Jan 2014, at 12:13, Jérémy Martin li...@freeheberg.com
 wrote:
 
 Bonjour,
 
 Vous avez déjà bossé avec ça ?
 SSE-G2252 :
 http://www.supermicro.com/products/accessories/networking/sse-g2252.cfm
 
 Ca marche bien ? Fiabilité dans le temps ? Bugs ? SAV en cas de
 panne ?
 
 Merci pour vos retours,
 
 
 --
 Cordialement,
 Jérémy Martin
 
 __
 FreeHeberg.com : Osez l'hébergement gratuit de qualité
 professionnelle !
 PHP + Mysql + Espace 2 à 20 Go
 
 
 ---
 Liste de diffusion

Re: [FRnOG] [TECH] Switch supermicro

2014-01-06 Par sujet Raphael Maunier

Sent from my iPhone

On 06 Jan 2014, at 20:05, Matthieu Michaud matth...@nxdomain.fr wrote:

Tu parles de quelles gamme et quelle OS ?

Houla c'était en 2009 et des châssis procurve. J'avais eu des reboots des re
Il y avait un pdf jadis qui tournait faisant etat precisemment de l'interop
cisco/procurve et il y'en avait bien.

C'était des bug assez étrange ou le châssis partait en vrille .
Genre ça marchait et paf le chien ça cessait de switcher.

Il etait ecrit par un ccie et relevait des mauvais comportements des deux
côtés. Il faut pas croire que c'est tout le temps la faute de !(cisco)...

Bah les 2960 avec plus de 20 vlans et du mstp et 2 ou 3 boucles ben si ça
flappe , ton réseau est par terre pendant 10 minutes :)
Concernant l'interop cisco/comware, je n'ai jamais rencontré de pb.

Je ne cherche plus à faire dans l'exotique . J'ai tenté Brocade et ... J'ai
tenté. Un pote a tenté des extrême ( Fisher price pour les intimes) et les
switchs partaient aussi en vrille ( conçue en au 6500) lorsque bgp était activé
.

HP pas mieux. J'ai sous la main un arista, bah pour le moment il fait rien du
tout sauf un lag de 16 ports 10g qui pousse ... 160g ben ça marche vers un ...
Juniper :) mais bon c'est pas folichon non plus hein !

Je suis sur Lab en ce moment avec du cluster hadoop avec 250 serveurs et vu les
trucs de merde que j'ai sur les 5 stacks, je suis content d'avoir un support
qui sait de quoi je parle et qui sait lire un pcap et faire un vrai debug.
Et ça fait 3 semaines que j'ai des trucs en cascade ( lié principalement à des
bugs sur la config des linux ) et
Je ne vois même pas en rêve demander à mon client d'acheter autre chose que du
Juniper ou s'il est allergique du cisco !

On Jan 6, 2014 7:58 PM, Raphael Maunier raph...@maunier.net wrote:

On 06 Jan 2014, at 19:52, Matthieu Michaud matth...@nxdomain.fr wrote:

Pour la maison pourquoi pas :) Mais très franchement , pour ma cave, j’ai
acheté un Cisco2960G au broke pour une bouchée de pain

c'est bien mal connaitre ces produits. l'ex-gamme 3com est pas si mal que
ça en pratique.

Testé et pas validé ! Pb avec du mstp à l'époque et c'était même avec des
châssis.
Bref, pour un Switch dans une baie pas connecté à une archi spanning-tree

2014/1/6 Raphael Maunier raph...@maunier.net

Fonctions d'administration
IMC - Intelligent Management Center
interface de ligne de commande limitée
navigateur Web
Pour la maison pourquoi pas :) Mais très franchement , pour ma cave, j’ai
acheté un Cisco2960G au broke pour une bouchée de pain

Apres HP pourra se vanter d’être le deuxième équipementier L2, c’est
normal car lorsque tu as commandé une imprimante tu as un switch en
goodies :)

On 06 Jan 2014, at 14:17, Yohann QUINTON yohann.quin...@awedia.com
wrote:

Hello,
http://www8.hp.com/fr/fr/products/networking-switches/product-detail.html?oid=4177649#!tab=specs

Même combat ?

--
Yohann
Awedia

Le 06/01/2014 15:01, Raphael Maunier a écrit :
On 06 Jan 2014, at 13:56, Frédéric GANDER fgan...@corp.free.fr wrote:

baaa si les équipementiers était de bon vendeurs de ram j'aurais moins
d'erreur ecc sur la ram de mes linecard ;)

de nos jours les switch d'aggregation l2 d'entrée de gamme chez
beaucoup de constructeurs sont basés sur des chipset de société comme
marvell ou broadcom qui font aussi des cartes réseau ;)
et les procédés techniques utilisés pour graver les cpu des pc sont
largement plus avancés que ceux utilisés pour faire les asic / np des
routeurs
Osef du hw au final, ce qui importe c’est le soft. Je ne suis pas
persuadé qu’ils puissent faire un code qui tourne sans 40k bugs et surtout
d’avoir les experts au noc pour te répondre en cas de soucis.
Dire que qu'un pc c'est de la merde c'est un peut facile
un pc peut router et manipuler (tunneler/ encapsuler / filtrer etc)
60gbit/s de trafic sans broncher.
certain routeur je ne suis pas sur …
Tss, je n’ai PAS dis que c’était de la merde. J’ai dis, un
fabricant/vendeur de PC n’est pas un équipementier réseau.
A l’heure du SDN et des routeurs/switch virtuels dans ton environnement
Claude, je sais très bien que ça fonctionne.
D’ailleurs pour des infra en dessous du 10G, les routeurs virtuels
comme Juniper ( et meme cisco à ce qu’on m’a dit) sont tres largement plus
économique/performante que les solutions HW.

bref pour chaque usage il y a plusieurs solutions et elles sont pas
forcement mauvaises.

un switch simple supermicro de base peut être tout aussi bien que de
brancher tes ports sur un routeur de 200 port qui plante car trop complexe
Mouais, franchement meme si je suis Juniper :) Quand y a pas de budget,
je préfère orienter les mecs sur du cisco au broke genre 2960/3560. Ca
juste marche !

- Mail original -
De: Raphaël Maunier raph...@maunier.net
À: Frédéric GANDER fgan...@corp.free.fr
Cc: frnog-tech frnog-t

Re: [FRnOG] [TECH] extension chassis virtuel EX4200

2013-12-02 Par sujet Raphael Maunier

Il faut faire gaffe à la latence pour le virtual châssis

Testé entre 2 Data ( 2km ) sur un virtual châssis de 8 et ça passait sans 
soucis 

Raphael

Sent from my iPhone

 On 02 Dec 2013, at 15:41, fatiha boudj fbo...@yahoo.fr wrote:
 
 
 merci pour ta réponse
 Le probleme c'est que les ex4500 disposent uniquement de  sfp / sfp+
 en fait nous disposont de deux chassis virtuels sur deux sites geographiques  
 relies par une fibre de 30km.
 
 actuellement nous utilisons des connecteurs xfp.
 Je ne connais pas trop la techno sfp+ sur le papier sfp+ et xfp semblent 
 identiques techniquement 
 
 
 
 
 
 
 
 
 
 
 
 
 Le Lundi 2 décembre 2013 14h25, Thomas Dubois thomas.f.dub...@gmail.com a 
 écrit :
 
 Hello,
 
 Les EX4550 peuvent être ajouté aux stacks EX4200. Tu trouvera les infos sur
 cette page:
 http://www.juniper.net/techpubs/en_US/release-independent/junos/topics/reference/requirements/virtual-chassis-ex4200-ex4500-hardware-planning.html
 
 En fonction de la version de ton JunOS tu devra peut-être prendre 2 EX4500
 pour qu'ils aient le rôle master/backup.
 
 Cordialement.
 Thomas Dubois
 
 
 
 
 Le 2 décembre 2013 14:18, fatiha boudj fbo...@yahoo.fr a écrit :
 
 Bonjour
 
 Nous disposons d'un chassis virtuel ex4200 avec 4 switchs disposant chacun
 d'un module xfp (2 ports 10 Gb).
 Nous sommes en manque de ports 10Gb.Nos 8 ports sont epuisés.
 La solution etudiee serait de passer le chassis virtuel à 5 switchs.
 Existe -t il un switch juniper avec uniquement  des ports 10Gb pouvant
 s'integrer dans le chassis virtuel?
 merci pour votre aide
 
 cordialement
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] FWSM sur 650x

2013-11-26 Par sujet Raphael Maunier


Sinon Asa … Tu peux préparer ta lettre de DEM la poser sur le bord de ton 
bureau et t’en servir le jour J :)

Pour la partie SRX, c’est du bon HW mais à configurer c’est pénible au possible 
et le mode de licence est pour le moins original !

Je pencherais plutôt pour du Stonesoft pour l’IHM ( genre la gestion des 
correlations des règles entre plusieurs fw)  , Fortinet pour la simplicité et 
le prix , SRX pour le cli quand tu as besoin de debug ou d'automatiser des 
“trucs” ( et pas du tout l’IHM qui est une infâme bouse )


On 26 Nov 2013, at 17:19, Raphael Mazelier r...@futomaki.net wrote:

 Le 26/11/2013 17:09, Gaëtan Allart a écrit :
 Merci pour vos différents retours.
 
 A écouter les différents retours d’expérience, j’ai l’impression que l’ASA 
 semble être plus adapté à notre besoin que le FWSM (de toute façon eos).
 
 Comment fonctionne leur système de licence ? On paye une licence annuelle en 
 plus du Hard pour pouvoir utiliser plus ou moins de contextes ?
 Au niveau failover, y’a un système classique de actif/passif entre 2 cartes 
 situées sur des châssis différents (voire sur le même châssis) ?
 
 Reste en effet l’option du PF/IPTables. Nous avons les compétences en 
 interne pour avoir une machine configurées de façon très fine au niveau de 
 la stack réseau. Solution à étudier à condition de trouver le bon hardware.
 
 
 
 Alors les ASA...On est pas mal à penser sur la liste que c'est quand même une 
 horreur à administrer.
 Je regarderais du coté Juniper SRX, ou Fortigate comme précédemment mentionné.
 
 Après si tu as les compétences systèmes qui vont bien,
 un FreeBSD (avec pfsense ou pas) bien configuré et du bon matériel (aka des 
 cartes Intel) c'est un choix tout à fait justifiable.
 = https://wiki.freebsd.org/NetworkPerformanceTuning
 
 -- 
 Raphael Mazelier
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Interco BGP sur subnet RFC1918 : on en est arrivé là ?

2013-11-20 Par sujet Raphael Maunier

+1

On 20 Nov 2013, at 14:53, Clement Cavadore clem...@cavadore.net wrote:

 Alors déjà qu'ils te donnent un subnet RFC1918, je trouve ca limite...
 Ensuite, qu'ils te donnent un /31, ca en devient même risible :-)
 
 Perso, je n'accepte déjà pas de RFC1918 dans mon IGP, alors sur un
 subnet d'interco avec l'extérieur, c'est juste no way !
 
 -- 
 Clément Cavadore
 
 On Wed, 2013-11-20 at 14:47 +0100, Jérôme Nicolle wrote:
 Plop,
 
 Je suis en train de monter un transit pour multihommer un client, et son 
 autre transitaire m'a donné un /31 en 172.17 sans y voir le moindre 
 problème.
 
 Je sais bien que c'est la crse qu'il n'y a plus d'adresses, mais 
 j'ai pas l'intention de voir du RFC1918 dans le traceroute d'un de mes 
 réseaux.
 
 Ca vous parrait normal ? Acceptable de la part d'un T2 renommé ?
 
 @+
 
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Colt vs Neo

2013-11-12 Par sujet Raphael Maunier

Ici :

http://www.nerim.fr/ultra-haut-debit

Raphael

On 12 Nov 2013, at 13:02, Axel Vittecoq avitte...@multiposting.fr wrote:

 Bonjour,
 
 J'étudie la mise en place une fibre 100M.
 Si l'un s'aligne sur l'autre alors il me faudra choisir entre ces 2
 opérateurs.
 
 Cette fibre servira a des bureaux de ~100+ users. majorité http (SaaS) +
 ssh vers ovh/rackspace. pas de serveurs.
 
 J'ai un penchant pour Neo. meilleur peering par exemple?
 des avis? quoi d'autre pourrait me faire pencher vers l'un plus que l'autre
 ?
 
 Merci
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur


On Oct 15, 2013, at 9:04 AM, Kavé Salamatian kave.salamat...@univ-savoie.fr 
wrote:

 
 Le 15 oct. 2013 à 08:54, Radu-Adrian Feurdean 
 fr...@radu-adrian.feurdean.net a écrit :
 
 On Mon, Oct 14, 2013, at 23:21, Kavé Salamatian wrote:
 
 Je connais malheureusement tellement de solutions commerciales qui sont
 nulles alors que des solutions de bricolage équivalente réponde au
 besoin, et vice-versa. Ne pas oublier que beaucoup de solutions
 commerciales sont simplement des solutions de bricolage et même en
 grande majorité de l'open source qui a force de travail sont devenue
 fiable et facile à utiliser …. 
 
 Oui mais : un bricolage comemrcial (et effectivement, ca existe en
 grande quantite) donne a manger a des gens, alors qu'un bricolage
 interne empeche juste des gens de dormir…
 
 Non, la solution commerciale enlève de l'emploi car la solution commerciale 
 elle vient presque toujours des states ou de la chine. 

Et dans d'autres circonstances, elle sauve de l'emploi car disponible de suite 
et si tu es sous le coup d'une demande de rançon , et ça existe, j'ai eu un 
client qui en a eu une cette semaine.
Le gus envoie un mini ddos, puis envoie un mail : Mon ID Skype est X, merci de 
venir pour en discuter avant que j'envoie le vrai ddos et que je mets votre 
plateforme down pendant 3 jours.
Si le mec n'avait pas justement acheté les bons routeurs et prévu le coup, il 
aurait subit le racket organisé de cette mafia en pleine expansion.

Dans le cas Jérémy, il a été down plusieurs fois et longtemps. Il a également 
causé des effets de bords sur ces 2 transitaires. Il a peu de clients ( c'est 
lui qui l'a dit hier soir ) et surement plus indulgents.
J'aurais eu un backbone aussi instable à l'époque, j'aurais pointé à 
Pole-emploi la semaine d'après, d'une part parce que mes patrons m'auraient 
viré, et très franchement ils auraient eu raison, car je suis embauché pour que 
ça juste marche
Et d'autres parts, parce que avec autant d'incidents, on aurait probablement 
perdu beaucoup de clients et qu'il aurait fallu faire des coupes dans le 
personnel.

Donc la solution commerciale, ne coute pas si cher que ça.

Désolé Kavé, mais dans le monde de la production réseau, ce n'est pas toujours 
possible d'attendre la solution miracle qui sortira d'un laboratoire, il faut 
agir en fonction de plusieurs paramètres.

Tu devrais vraiment faire un break de 2 ans et venir bosser 100% de ton temps 
chez un opérateur à l'ingénierie ou à la production. Tu constateras que ce 
n'est vraiment comme tu peux le voir aujourd'hui

Je crois que le fond de la discussion est en train de dériver sur un sujet qui 
est lui tout aussi intéressant. Ça tombe bien Kavé, nous avions prévu d'en 
discuter et nous n'avons jamais eu le temps de le faire.

La reconnaissance de l'universitaire dans notre monde 
Internet/Telecoms/Content est ton principal problème.

Pour ma part, lorsque j'ai eu en face de moi des ingénieurs issue de la filière 
école et alternance, ils étaient très largement préférés pour plusieurs raisons 
:

- Ils sont quasiment directement opérationnel
- Ils ne confondent pas Datacenter neutre : Datacenter opéré par FT qui est 
obligé de louer une partie parce que L'ARCEP le demande ( si si on me l'a fait )
- Ils ne me parlent pas 99% du temps théorie et m'apportent des solutions 
concrètes.
- Ils ont une expérience terrain validée
- […]

Je prendrais également un mec qui a zéro diplômes et qui a déjà bossé et qui 
est connu pour ce qu'il a fait et non pour ce qu'il annonce sur son CV

Le soucis c'est la méthode d'enseignement universitaire en France qui est trop 
élitiste, qui pense qu'un bon bourrage de crâne à l'ancienne est ce qu'il faut 
faire.

De ce que j'ai pu voir, et beaucoup de mes confères le confirmeront, un mec qui 
sort de 6 ans d'études en université est useless pour notre métier. A 
l'exception des gens comme Criteo par exemple, qui ont besoin de mecs qui 
lorsqu'ils te parlent tu ne comprends pas plus de 3 mots. Mais c'est 1 personne 
pour 100.

Le monde universitaire doit s'adapter au monde , je déteste cette expression, 
du numérique. Pourquoi tu crois que des initiatives comme 42 existe ? 
Pourquoi tu crois que des gens comme ionis sont en constante évolution ? Tout 
simplement parce qu'il faut aussi fabriquer des gens directement opérationnel. 
C'est moche, mais c'est comme ça.

L'université fabrique des cerveaux certes, mais inadapté pour nous ( 
informatique / réseau j'entends  en histoire, il en faut des universitaires par 
ex ). Le jour ou ils iront en entreprise avant de valider leurs diplômes, on 
devrait enfin commencer à avoir des gens opérationnel rapidement. ( je ne parle 
pas des rares exceptions qui confirment la règle )

 
 
 Un bon bricolage interne n'est d'ailleurs plus un bricolage, mais
 une solution proprieteire.
 
 Moralité, il n'y a pas de solutions universelles.
 
 La tout le monde est d'accord.
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur


On Oct 15, 2013, at 11:18 AM, Emmanuel Thierry m...@sekil.fr wrote:

 
 Le 14 oct. 2013 à 23:38, Raphael Maunier a écrit :
 
 
 On Oct 14, 2013, at 11:21 PM, Kavé Salamatian 
 kave.salamat...@univ-savoie.fr wrote:
 
 
 
 Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas 
 mettre en péril ton backbone, juste pour faire mumuse avec la solution 
 brillante de l'ingénieur.
 
 Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi 
 rouler dans la farine par un commercial qui lui vend la solution du siècle. 
 L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ 
 pour répondre à son besoin (ou au besoin de son entreprise) car il n'y a 
 pas de solution moins cher qui répondrait à toutes les contraintes doit 
 celle que tu décrit, mais qui est aussi capable d'implanter la solution à 
 500 € qui répond au besoin sans penser que cela réduira mon importance dans 
 la boite (car fréquemment c'est le volume de fric que tu gaspille qui 
 défini ton importance dans la boite). Ce n'est pas le prix d'une solution 
 qui valide sa qualité technique. j'ai un peu l'impression qu'on a oublié 
 dans la profession qu'on fait un boulot d'ingénieur, pas de chargé d'achat 
 de matériel informatique.
 
 Tu dois confondre entre l'ingénierie et la direction technique. L'ingénierie 
 teste et valide les solutions des constructeurs ou opensource, et s'il y a 
 le budget pour libérer du temps humain, des solutions interne et assume 
 également la fonction de RD
 
 
 L'ingénieur réseau se contente de tester toute la journée ? C'est triste, 
 quel gachis d'intelligence...
 A tel point qu'à ce que j'ai l'impression, si l'ingénieur réseau doit ne 
 serait-ce qu'écrire une seule ligne de code il va appeler ça de la RD. Chez 
 nous en informatique on appelle ça de l'intégration.

Attention de ne pas interpréter mes propos.
Il teste et valide les solutions en fonction des problématiques interne et des 
clients. C'est de l'ingénierie pure.

 Si pour automatiser qq éléments de conf, l'ingénieur est capable de le faire, 
et il est forcement invité à le faire, par contre Si tu veux du code, il faut 
un dev qui le fera proprement.

Le code crado, non documenté parce que fait à l'arrache, c'est malheureusement 
bien trop souvent un soucis quand un mec se barre.


 
 Cordialement
 Emmanuel Thierry
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur


On Oct 15, 2013, at 11:50 AM, Emmanuel Thierry m...@sekil.fr wrote:

 
 Le 15 oct. 2013 à 11:29, Raphael Maunier a écrit :
 
 
 On Oct 15, 2013, at 11:18 AM, Emmanuel Thierry m...@sekil.fr wrote:
 
 
 Le 14 oct. 2013 à 23:38, Raphael Maunier a écrit :
 
 
 On Oct 14, 2013, at 11:21 PM, Kavé Salamatian 
 kave.salamat...@univ-savoie.fr wrote:
 
 
 
 Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux 
 pas mettre en péril ton backbone, juste pour faire mumuse avec la 
 solution brillante de l'ingénieur.
 
 Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas 
 aussi rouler dans la farine par un commercial qui lui vend la solution du 
 siècle. L'ingénieur brillant est l'ingénieur qui est capable de dépenser 
 100 k€ pour répondre à son besoin (ou au besoin de son entreprise) car il 
 n'y a pas de solution moins cher qui répondrait à toutes les contraintes 
 doit celle que tu décrit, mais qui est aussi capable d'implanter la 
 solution à 500 € qui répond au besoin sans penser que cela réduira mon 
 importance dans la boite (car fréquemment c'est le volume de fric que tu 
 gaspille qui défini ton importance dans la boite). Ce n'est pas le prix 
 d'une solution qui valide sa qualité technique. j'ai un peu l'impression 
 qu'on a oublié dans la profession qu'on fait un boulot d'ingénieur, pas 
 de chargé d'achat de matériel informatique.
 
 Tu dois confondre entre l'ingénierie et la direction technique. 
 L'ingénierie teste et valide les solutions des constructeurs ou 
 opensource, et s'il y a le budget pour libérer du temps humain, des 
 solutions interne et assume également la fonction de RD
 
 
 L'ingénieur réseau se contente de tester toute la journée ? C'est triste, 
 quel gachis d'intelligence...
 A tel point qu'à ce que j'ai l'impression, si l'ingénieur réseau doit ne 
 serait-ce qu'écrire une seule ligne de code il va appeler ça de la RD. 
 Chez nous en informatique on appelle ça de l'intégration.
 
 Attention de ne pas interpréter mes propos.
 Il teste et valide les solutions en fonction des problématiques interne et 
 des clients. C'est de l'ingénierie pure.
 
 Si pour automatiser qq éléments de conf, l'ingénieur est capable de le 
 faire, et il est forcement invité à le faire, par contre Si tu veux du code, 
 il faut un dev qui le fera proprement.
 
 Le code crado, non documenté parce que fait à l'arrache, c'est 
 malheureusement bien trop souvent un soucis quand un mec se barre.
 
 
 Quand tu vas voir le SDN arriver dans ton réseau, tu verras, ce n'est *que* 
 du code.

Déjà vu, dans Job -1, j'avais mis en place avec Matoa, la beta Contrail de 
Juniper dans le lab et sans pisser une ligne de code, ça juste fonctionnait !

 Il va falloir commencer à apprendre à coder justement ! ;)

Encore chez Job -1, il y a une équipe de codeur. Je ne sais pas pisser une 
ligne de code, mais je sais ce que je veux, et le responsable de l'équipe est 
la pour comprendre ce que l'ingénierie demande. C'est lui qui donne les dates 
de delivery et on est souvent sur des delais de 3/6 mois, rarement en dessous. 
C'est le prix à payer pour avoir un truc propre et documenté.
 

 Du petit bout de ma lorgnette, je vois surtout qu'un ingé réseau qui ne sait 
 pas coder ne saura se restreindre qu'à des solutions propriétaires (voire des 
 environnements propriétaires, on le voit bien en sysadmin sur les 
 environnements tout intégrés Microsoft).

C'est vrai et faux :) Car dans une petite boite en mode startup, le mec il 
saura bien souvent  faire les deux , dans une grosse boite, tu as une équipe de 
dev, donc ce n'est pas son périmètre (®Sbol )

 Il sera incapable de voir qu'avec un peu de script, ou de C (bouh, le gros 
 mot ! ), il est capable d'adapter sa solution propriétaire pour qu'elle fasse 
 *exactement* ce qu'il veut. Et il aura tendance à considérer ce manque comme 
 un atout: si j'achète tout Cisco (y compris les DHCP, DNS cie), ce n'est pas 
 parce que je ne sais pas intégrer autre chose à mon environnement, c'est 
 parce que Cisco est le meilleur (en plus vu le prix auquel ils vendent ça ne 
 peut qu'être top moumoute ! ;) ).
 

API -- Dev -- J'veux ça et ça fonctionne :)

 Cordialement
 Emmanuel Thierry
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur


Le 2013-10-15 14:53, Xavier Beaudouin a écrit :

Hello,

(...)

Je suis d'accord avec toi. C'est parfois le cas. Parfois ce n'est 
pas

le cas. D'où mon biais peut-être académique, de ne jamais donner
d'avis absolu. Non par défaut la solution commerciale n'est pas
toujours la bonne, et non plus par défaut la solution non 
commerciale

n'est pas toujours la bonne. Je garde mes oreilles et mes méninges
bien ouvertes et j'écoute les retours d'expérience et je prend une
décision en fonction de mes contraintes. Parfois, je met le paquet 
et

j'achète la solution commerciale. Parfois, je met le paquet sur mes
ressources internes et je déploie la solution opensource. Parfois je
réussi et j'apprends. Parfois je me plante, et j'apprends encore 
plus.
Tu me diras, et les clients  ! ils sont un élément de l'équation 
avec

un gros coefficient de weighting :-). Et puis il y'a les commerciaux
qui vendent de la fiabilité 99.999 % ( 3 minutes de coupure par an 
:-)
ce que tout les technique savent que c'est pas possible partout, 
tout

le temps ….


Un exemple parmi d'autres : le monitoring. Les solutions commerciales
ou pas ont toutes une approche différentes et des fois, selon ce 
qu'on

veux, on prends une version commerciale ou pas... :)



Pour le coup, pour du monitoring, y a pas photo :) Nagios = 14 ans 
d'existence  donc forcement, entre Nagios / Observium / cacti … Payer 
pour du monitoring, c'est du gaspillage d'argent


Cependant, pour faire du sflow proprement, je n'ai pas encore trouvé 
mon bonheur en intégration rapide et sans avoir besoin de dev. Et 
Peakflow SP, ça juste marche ( et je le concède, si c'est que pour cette 
fonction la, c'est hors budget )




Xavier



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur

Sauf que tu ne peux pas te considérer comme un ingé purement 
universitaire. Tu fais partie d'une infime minorité de gens qui sont 
curieux au delà de la pure théorie !


Tu l'as mentionné : expérimentation perso / potes.

Le nombre de mec que je vois encore tenter de faire des reseaux en 
eigrp, c'est juste une folie. Cisco ( comme Microsoft ) a bien réussi 
son matraquage en filant du matos / licences aux universités :)


Cependant, lorsqu'on a un mec de formation universitaire, curieux et 
qui a plutot une vision technique ( et pas académique ), son approche au 
final sera plus structurée qu'un mec purement terrain, et bien souvent 
la combinaison des 2 est assez efficace :)


Je reste cependant sur ma position qui est que un simple 
universitaire sans aucune expérience terrain n'est pas efficace. Et ce 
dont nous (lorsque l'on recrute ) avons besoin ce sont des gens 
efficaces.


Et aussi, un dev qui se décide à faire du réseau aura une compétence 
plus large qu'un mec qui ne sait pas coder, sur ce point , je suis 
entièrement d'accord avec toi


Raphael


Le 2013-10-15 13:12, Raphael Mazelier a écrit :

Le 15/10/2013 10:03, Raphael Maunier a écrit :



La reconnaissance de l'universitaire dans notre monde 
Internet/Telecoms/Content est ton principal problème.


Pour ma part, lorsque j'ai eu en face de moi des ingénieurs issue de 
la filière école et alternance, ils étaient très largement préférés 
pour plusieurs raisons :


- Ils sont quasiment directement opérationnel
- Ils ne confondent pas Datacenter neutre : Datacenter opéré par FT 
qui est obligé de louer une partie parce que L'ARCEP le demande ( si 
si on me l'a fait )
- Ils ne me parlent pas 99% du temps théorie et m'apportent des 
solutions concrètes.

- Ils ont une expérience terrain validée
- […]

Je prendrais également un mec qui a zéro diplômes et qui a déjà 
bossé et qui est connu pour ce qu'il a fait et non pour ce qu'il 
annonce sur son CV


Le soucis c'est la méthode d'enseignement universitaire en France 
qui est trop élitiste, qui pense qu'un bon bourrage de crâne à 
l'ancienne est ce qu'il faut faire.


De ce que j'ai pu voir, et beaucoup de mes confères le confirmeront, 
un mec qui sort de 6 ans d'études en université est useless pour notre 
métier. A l'exception des gens comme Criteo par exemple, qui ont 
besoin de mecs qui lorsqu'ils te parlent tu ne comprends pas plus de 3 
mots. Mais c'est 1 personne pour 100.


Le monde universitaire doit s'adapter au monde , je déteste cette 
expression, du numérique. Pourquoi tu crois que des initiatives 
comme 42 existe ? Pourquoi tu crois que des gens comme ionis sont en 
constante évolution ? Tout simplement parce qu'il faut aussi fabriquer 
des gens directement opérationnel. C'est moche, mais c'est comme ça.


L'université fabrique des cerveaux certes, mais inadapté pour nous ( 
informatique / réseau j'entends  en histoire, il en faut des 
universitaires par ex ). Le jour ou ils iront en entreprise avant de 
valider leurs diplômes, on devrait enfin commencer à avoir des gens 
opérationnel rapidement. ( je ne parle pas des rares exceptions qui 
confirment la règle )



On dérive complétement du sujet initial; mais ce débat est très 
intéressant.

(malheureusement cela va partir en flamewar.)

Je penses que tu as raisons sur le fait qu'il faut avoir des gens
directement opérationnels. Pour cela l'alternance, epitech, 42
whatever font leur taff.
Mais je penses aussi que tu as en parti tord sur le fait que
l'université produit des gens inadapté, mais c'est sans doute du à 
mon

parcours 100% universitaire (DUT,licence,maitrise,DESS).
Ces formations ne m'ont pas aidé à être opérationnel, cela je l'ai
appris à coté (expérimentation perso, potes).
En revanche mes formations m'ont permis d’acquérir les bases
théoriques indispensables à la pratique de mon métier.
J'ai pu appréhender toutes les technos que je voulais, et si
aujourd'hui je fais pas mal de réseau, rien ne m’empêchera un jour de
faire du dev si ca me chante, et j'ai le sentiment que c'est grâce à
mes formations, et c'est ce que devrait apporter une formation,
l'adaptabilité, et apprendre à apprendre.

Le truc c'est qu'aujourd'hui on nous sort que notre système
universitaire est obsolète, qu'il faut former des mecs opérationnels
tout de suite.
Fort bien. Mais ça les chinois et les indiens vont aussi savoir le
faire. Quel plus value pour les ingénieur français ?
C'est peut être ton besoin aussi et le besoin de pas mal de société.
OK. Mais c'est un très mauvais pari sur le long terme à mon avis.

En conclusion je crois surtout qu'il n'y a pas de règle générale et
ce qui fait la différence c'est la passion de son métier.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur


On Oct 14, 2013, at 8:38 PM, Jérémy Martin li...@freeheberg.com wrote:

 Bonsoir,

Salut,

 
 Arbor est hors de prix.

On dira : Je n'ai pas les moyens de me le payer.

 Pour tout ce qui est attaques applicatives, on a testé les solutions Juniper 
 ISG, et Fortinet, ça marche pas mal mais au delà de 1G, il n'y a pas grand 
 chose.

On dira : J'ai pas acheté / testé le bon boitier

 Cependant, tu peux splitter ton trafic et le faire passer dans plusieurs 
 boitiers.
 Ce sont au final de simples firewall L7 mais en général, c'est efficace pour 
 un budget maitrisé.
 
 Pour tout ce qui est ICMP, UDP et DNS, j'ai présenté une solution au dernier 
 FRnOG qui fonctionne très bien chez nous, et qui est un mixte entre du 
 rate-limit sur Layer 3, et un peu de tuning au niveau BGP.
 Cette solution revient à moins de 1500 € par équipement, contre minimum 120 
 k€ pour du ArborTMS / Peak Flow (prix publics).

Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne compare 
pas du bricolage ( qui fonctionne dans une certaine limite ) à des solutions 
pro pour les opérateurs.

J'ai eu l'occasion de tester avec injecteur de trafic Breaking Point, du d/dos 
vers du Fortinet, Arbor, Stonesoft et bien sur Juniper, et c'est pas juste 1G 
vers le Fortinet, il ne faut pas non plus raconter n'importe quoi.

 
 Me contacter en PV pour plus d'infos.
 
 Cordialement,
 Jérémy Martin
 Directeur Technique FirstHeberg.com
 
 Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30)
 Standard : 09 72 125 539 (tarif local)
 Ligne directe : 03 66 72 03 42
 Mail : j.martin AT freeheberg.com
 Web : http://www.firstheberg.com
 
 Le 14/10/2013 13:53, pierre a écrit :
 Bonjour Messiers,
 
 Je recherche une solution pour petit opérateur : 10 à 20 Giga entrante pour
 3 reelement utile.
 
 Nous avons actuellement un peakflow pour la visibilité (qui fonctionne
 parfaitement) et nous voudrions nettoyer le trafic sans blackhole.
 
 Le type d'attaque à nettoyer serait :
 TCP SYN Flood
 TCP SYN-ACK Reflection Flood (DRDoS)
 TCP Spoofed SYN Flood
 TCP ACK Flood
 TCP IP Fragmented Attack
 ICMP Echo Request Flood
 UDP Flood Attack
 DNS Amplification Attacks
 
 
 Je cherche une solution opérateur, avez vous testé et comparé les produits
 de corero, radware, 6cure, arbor ... ?
 
 
 Merci d'avance pour vos retours
 
 Pierre
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur


On Oct 14, 2013, at 10:21 PM, Jack alexandre.bruyel...@gmail.com wrote:

 
 On 14/10/2013 21:00, Raphael Maunier wrote:
 Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne 
 compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des 
 solutions pro pour les opérateurs.
 
 
 C'est quoi la différence entre bricolage et solution pro ?
 Le commercial et la facture au bout ?
 Des solutions bricolage qui fonctionnent mieux que des solutions
 pro, j'en ai ai la pelle :D

Alors, dans le cadre du ddos, on est pas dans un monde ou tu peux remplacer 
facilement un serveur www microsoft par un serveur sous linux

Un boitier de protection ddos, ce n'est pas juste du hw ( quoique )

- Tu peux rajouter une carte d'interfaces dans ton châssis a la volée sans 
avoir à couper ton service
- Les asics, ce n'est pas juste une rumeur, ça fonctionne et bien !
- Tu as un vrai support à n'importe quelle heure : Avec un mec en face qui est 
vraiment en mesure d'analyser ton trafic et te conseiller et appliquer le bon 
filtre si besoin
- L'intégration avec les constructeurs comme Juniper ( et pas que les gros 
routeurs un MX80, c'est de l'entrée de gamme ), ALU
- Un upgrade de software ce n'est pas radioactif
- Joe n'est pas le seul qui maitrise la solution
- Joe n'est pas le seul qui fait le support à 3h du mat
- ...

On est pas au même niveau d'une comparaison entre un routeur HW vs un routeur 
Linux/bsd sur un PC


 
 (Tentative pour détendre l'atmosphère de la mailing-list ..)
 
 
 -- 
 UNIX was not designed to stop its users from doing stupid things, as
 that would also stop them from doing clever things. – Doug Gwyn
 
 Trouve un travail qui te plaît et plus jamais tu ne travailleras
 Confucius
 
 Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni
 l'autre et perdra les deux
 Thomas Jefferson
 
 
 
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur

Désolé Kavé,

Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec 
plusieurs centaines de giga.
Tu es resté trop longtemps en université avec de la RD ou te la validation 
théorique.

Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas 
mettre en péril ton backbone, juste pour faire mumuse avec la solution 
brillante de l'ingénieur.

Le bricolage, c'est le fait de devoir passer 40 nuits pour upgrader ton soft 
qui est maintenu par 1 personne.

Ce brillant ingénieur s'il se casse du jour au lendemain ( il gagne au loto, il 
déménage en Alaska ou xyz ), tu fais comment ?
Il arrêter de dire et de faire croire que parce ce que c'est ouvert c'est 
simple et qu'il n'y a pas de soucis pour faire reprendre sa maintenance par les 
40 000 ingénieurs dispo. C'est un leurre !

Pour ce qui  l'ont fait tourner , pas juste pour faire mumuse, mais pour 
protéger des centaines de clients, tu comprends bien vite que les solutions 
commerciales sont nettement plus abouties que les solutions dites de bricolage


Raphael


On Oct 14, 2013, at 10:44 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr 
wrote:

 
 Le 14 oct. 2013 à 22:21, Jack alexandre.bruyel...@gmail.com a écrit :
 
 
 On 14/10/2013 21:00, Raphael Maunier wrote:
 Tss tss , Tu ne fais pas du tout la même chose, soyons sérieux. On ne 
 compare pas du bricolage ( qui fonctionne dans une certaine limite ) à des 
 solutions pro pour les opérateurs.
 
 
 C'est quoi la différence entre bricolage et solution pro ?
 Le commercial et la facture au bout ?
 Des solutions bricolage qui fonctionnent mieux que des solutions
 pro, j'en ai ai la pelle :D
 
 
 La différence c'est qu'on peut pas craner sur le montant du cheque à 6 
 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le 
 credo de l'ingénieur qui est de trouver la solution la moins couteuse qui 
 répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout 
 récurrent ( le salaire des personnes) quitte à faire exploser le cout du 
 matériel (qui va fréquemment dans la colonne investissement) qui a le vent en 
 poupe. La solution d'ingénieur brillante qui répond au besoin à moindre cout 
 quitte à avoir besoin d'être configuré en CLI est vue comme du bricolage 
 avec tout le mépris de pseudo-ingénieurs commerciaux … alors que la 
 solution qui coute bonbon fait pro. 
 
 Kavé Salamatian
 
 
 
 (Tentative pour détendre l'atmosphère de la mailing-list ..)
 
 
 -- 
 UNIX was not designed to stop its users from doing stupid things, as
 that would also stop them from doing clever things. – Doug Gwyn
 
 Trouve un travail qui te plaît et plus jamais tu ne travailleras
 Confucius
 
 Celui qui échange la liberté contre la sécurité ne mérite ni l'une ni
 l'autre et perdra les deux
 Thomas Jefferson
 
 
 
 
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur


On Oct 14, 2013, at 11:21 PM, Kavé Salamatian kave.salamat...@univ-savoie.fr 
wrote:

 
 Le 14 oct. 2013 à 22:57, Raphael Maunier raph...@maunier.net a écrit :
 
 Désolé Kavé,
 
 Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec 
 plusieurs centaines de giga.
 Tu es resté trop longtemps en université avec de la RD ou te la validation 
 théorique.
 
 Même si c'est le cas, ceci ne réduit pas la portée de mon propos. Il y'a bien 
 sur des cas de figure ou des solutions commerciales sont les meilleures et 
 des cas où ce ne sont pas les meilleurs. Dans l'absolu il n'y a pas de 
 solution commerciale qui sont bonne pour tout les scénarios. Le travail de 
 l'ingénieur consiste à évaluer en fonction de son scénario quelle est la 
 solution la meilleure. Solution commerciale, ou faite maison. Je constate 
 juste que dans mon activité (je fais aussi du consulting), le nombre de cas 
 ou je vois personnes acheter une marque plutôt qu'une solution à leur 
 problème est tout simplement effarant. Qui n'a pas vu un DSI rouge de plaisir 
 montrer son routeur pro à 10 K€ qui connecte un lien de sortie de 2 Mbps 
 avec trois entrées ethernet (ou scénario semblable), alors qu'il aurait pris 
 une des machines de bureautique qui aurait très bien fait l'affaire

On parle d'opérateurs / d'hebergeurs dans ce cas bien précis. On parle 
d'Internet ( Jeremy parlait de sa solution supportant 30gig )

Un DSI, dans les grands groupe, ça lit décision réseau et micro et ça fait ses 
achats en fonction du meilleur déjeuner qu'il a fait avec son fournisseur 
préféré. Ce n'est pas représentatif de notre métier.

Je fais également du consulting, je ne fais que ça d'ailleurs, et bien sur j'ai 
vu des clients acheter des équipements hors de prix pour faire la même chose 
que tu es en mesure de faire avec un HA-PROXY bien configuré, parce que le 
package global était très intéressant.
Il arrivait pas à mettre en prod ses supers boitiers, du coup, pour temporiser 
en qq heures j'ai installé un HA proxy et c'était en prod pendant 3 semaines. 
Il y a eu un incident une nuit ( 3h du mat ) , et kiki s'est fait contacter , 
alors qu'il y avait la doc et que les mecs en interne maitrisent 100 fois mieux 
des linux que moi ?

Au final, j'ai assisté la mise en prod de ces superbes boitiers ( que je 
n'avais jamais vu auparavant ) , et depuis ça juste marche la redondance 
fonctionne parfaitement et surtout, pas de soucis entre les mecs du système 
et les mecs du réseau.
Dans la vrai vie d'Internet, il faut aussi prendre cette partie la en 
considération !


 
 
 Dans la vrai vie, celle qui fait vraiment tourner Internet, tu ne peux pas 
 mettre en péril ton backbone, juste pour faire mumuse avec la solution 
 brillante de l'ingénieur.
 
 Bas non un vrai ingénieur ne fait jamais mumuse, mais il se fait pas aussi 
 rouler dans la farine par un commercial qui lui vend la solution du siècle. 
 L'ingénieur brillant est l'ingénieur qui est capable de dépenser 100 k€ pour 
 répondre à son besoin (ou au besoin de son entreprise) car il n'y a pas de 
 solution moins cher qui répondrait à toutes les contraintes doit celle que tu 
 décrit, mais qui est aussi capable d'implanter la solution à 500 € qui répond 
 au besoin sans penser que cela réduira mon importance dans la boite (car 
 fréquemment c'est le volume de fric que tu gaspille qui défini ton importance 
 dans la boite). Ce n'est pas le prix d'une solution qui valide sa qualité 
 technique. j'ai un peu l'impression qu'on a oublié dans la profession qu'on 
 fait un boulot d'ingénieur, pas de chargé d'achat de matériel informatique.

Tu dois confondre entre l'ingénierie et la direction technique. L'ingénierie 
teste et valide les solutions des constructeurs ou opensource, et s'il y a le 
budget pour libérer du temps humain, des solutions interne et assume 
également la fonction de RD


 
 Le bricolage, c'est le fait de devoir passer 40 nuits pour upgrader ton soft 
 qui est maintenu par 1 personne.
 
 Ce brillant ingénieur s'il se casse du jour au lendemain ( il gagne au loto, 
 il déménage en Alaska ou xyz ), tu fais comment ?
 Il arrêter de dire et de faire croire que parce ce que c'est ouvert c'est 
 simple et qu'il n'y a pas de soucis pour faire reprendre sa maintenance par 
 les 40 000 ingénieurs dispo. C'est un leurre !
 
 Et pas croire par ce que c'est du Juniper ou du Cisco ou parce que ça coute 
 la peau des fesses que c'est la réponse au problème. Ca aussi c'est un 
 leurre. La réalité c'est qu'il faut bosser et qu'aucun problème n'est facile 
 à résoudre. 

Alors, un ddos de plusieurs 10aine de giga envoyé vers un Juniper, tu le 
bloques en 30 sec avec de simple filtres sur les interfaces externe. C'est 
traité en HW, c'est supporté, et les qq routeurs que j'administre ( entre 10 à 
150 G ) il n'y a pas de boitiers de protection arbor, juste des junipers bien 
configurés.

Je veux bien voir 100G avec des PC du Bird ...


 
 
 Pour ce qui  l'ont fait tourner , pas juste

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur


On appelle cela l'expérience, un jour  peut-être , tu comprendras.

Raphael




On Oct 14, 2013, at 11:28 PM, Raphael Jacquot sxp...@sxpert.org wrote:

 
 On Oct 14, 2013, at 10:57 PM, Raphael Maunier raph...@maunier.net wrote:
 
 Mais sauf erreur de ma part, tu n'as jamais eu à opérer un backbone avec 
 plusieurs centaines de giga.
 Tu es resté trop longtemps en université avec de la RD ou te la validation 
 théorique.
 
 Seul toi a la science infuse, et tout les autres sont des cons.
 t'en as pas marre de passer ton temps a réduire les autres au silence sous 
 prétexte que seul toi a la vérité, parce que tu aurais managé des tas de gros 
 réseaux, et que les autres non ?
 
 c'est pas la modestie qui de bouffe...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Solution de mitigation de DDOS pour Operateur

Ah bah, on va faire un truc simple

Je vais voir avec les gens que je connais pour organiser un lab grandeur nature 
avec du ddos reel.

Je vais trouver une salle, faire venir des constructeurs comme Juniper, Cisco, 
Fortinet and cie, trouver des serveurs  pour faire la solution software.

On met 2 ou 3 serveurs web et de jeux ( meme service derrière 2 as différents )

On balance un DDOS, avec du Ixia ( Breaking Point ) :
- On sort les boitiers de la boites et on configure pour faire la mitigation.
- On sort les serveurs de la boite et on fait l'installation.

Ensuite on regardera le rapport pour comparer le downtime.

Deuxième test :

Tout est en place, et en regarde à combien ça tombe et surtout la qualité du 
service.

Alors qui est intéressé ? Au moins on aura de vrai rapport et surtout un vrai 
élément de débat !

Raphael


On Oct 14, 2013, at 11:32 PM, Frederic Dhieux frede...@syn.fr wrote:

 Le 10/14/13 10:44 PM, Kavé Salamatian a écrit :
 
 
 La différence c'est qu'on peut pas craner sur le montant du cheque à 6 
 chiffre qu'on a payé pour sa solution pro, et puis tout le monde à oublié le 
 credo de l'ingénieur qui est de trouver la solution la moins couteuse qui 
 répond au besoin … Aujourd'hui c'est la solution qui réduit le plus le cout 
 récurrent ( le salaire des personnes) quitte à faire exploser le cout du 
 matériel (qui va fréquemment dans la colonne investissement) qui a le vent 
 en poupe. La solution d'ingénieur brillante qui répond au besoin à moindre 
 cout quitte à avoir besoin d'être configuré en CLI est vue comme du 
 bricolage avec tout le mépris de pseudo-ingénieurs commerciaux … alors 
 que la solution qui coute bonbon fait pro. 
 
 
 
 C'est assez triste de voir 2 extrêmes s'affronter sans nuance. OK les
 solutions commerciales sont parfois scandaleuses (les load balancers
 sont le premier exemple qui me vient en tête avant un certain volume et
 certaines fonctionnalités), mais il faut arrêter aussi de croire qu'avec
 un Linux/BSD on peut atteindre les niveaux de traitement d'une solution
 pure hardware.
 
 Déjà il faut bien séparer une solution hardware basée sur une
 architecture PC rebrandée et une vraie archi hardware avec ses
 processeurs spécialisés, ses puces dédiées, etc.
 
 Aussi les serveurs actuels sont parfois assez puissants pour faire des
 choses, parfois les gens documentent mieux que le petit ingénieur
 surdoué et permettent un suivi, mais il faut l'admettre, pour certaines
 fonctions les solutions hardware tiennent bien mieux.
 
 Quand on parle d'attaques, on parle en général de flux dont l'objectif
 est d'atteindre une saturation (de tuyaux, de connexions, de slots du
 services, ...). Dans ce cas avec la multitudes de sources et de flux, il
 est logique de voir des solutions matérielles plus adaptées à ce type de
 traitement.
 
 On peut discuter du support, on peut discuter de la fiabilité, on peut
 discuter de la capacité à régler soi même des problèmes sans être
 dépendant d'un support trop long à se bouger aussi en contreparite.
 
 Mais limiter le débât à C'est juste pour dire qu'on a la plus grosse
 qui coûte cher pour rassurer le client VS C'est de la bidouille de
 geek dans son coin inmaintenable, c'est vraiment noyer tout
 argumentaire constructif selon moi.
 
 
 Pour moi le problème c'est surtout de savoir à partir de quel volume une
 solution n'est plus adaptée et peser le pour et le contre en fonction du
 nombre de personnes pour s'en occuper versus le budget d'une solution
 toute faite avec support. Et également de calculer le risque en cas de
 problème et l'impact sur la santé financière de la société. Quand je
 vois quelqu'un parler de suicide dans un titre de sujet sur le FRnOG
 parce qu'il n'a aucune solution pour se protéger, ça me donne
 l'impression d'un mec qui n'a aucune assurance et qui voit sa boutique
 bruler, avec juste un verre d'eau à la main pour l'éteindre sans jamais
 s'être posé la question avant.
 
 
 Pour finir quand on a des clients derrière sa solution, on n'a pas le
 droit à l'erreur. Si on se plante et qu'on a fait le truc soi même, on
 se fait torpiller par ses clients. Quand on a un constructeur derrière,
 on gagne une certaine crédibilité et on n'est moins coupable si la
 solution est connue/réputée (ça n'empêche pas qu'il y a des gens très
 doués pour ne pas savoir les implémenter parfois). Alors faire joujou
 c'est sympa, mais faut être sûr de maitriser tous les cas, de tenir les
 pics et de pouvoir assumer face à ses clients.
 
 
 Bref, le débat est nuancé par l'activité à protéger, par l'impact, par
 l'équipe derrière la gestion de l'infra et par ce qu'on veut faire de sa
 boîte.
 
 Claquer des gros chèques chez un constructeur ça fonctionne souvent, ça
 ne sert à rien parfois aussi. Chercher à réinventer la roue quand on
 peut s'appuyer sur des fournisseurs/partenaires qui savent mieux le
 faire (techniquement ou financièrement), ça n'est pas forcément
 intelligent non plus.
 
 Bien s'entourer mène souvent bien

Re: [FRnOG] [TECH] Prefix-list out bgp

2013-10-13 Par sujet Raphael Maunier

!
ip prefix-list ipv4-AS62713 permit 1.2.3.0/24
!
route-map ipv4-transit-AS-out permit 5
 description Export routes to AS - Super Mega Upstream
 match ip address ipv4-AS62713
 match as-path 1
 set community none
!

Le plus important c'est le IN, c'est la qu'il y du boulot à faire :)

On Oct 13, 2013, at 2:01 PM, Antoine Durant antoine.duran...@yahoo.fr wrote:

 Bonjour,
  
 Je suis en train de faire le ménage sur mes route-map et prefix-list, j'ai 
 une question concernant ma prefix-list OUT.
  
 Actuellement j'ai :
  
 ip prefix-list PL_OUT seq 5 permit 1.1.1.0/24
 ip prefix-list PL_OUT seq 10 deny 0.0.0.0/0
 ip prefix-list PL_OUT seq 15 deny 0.0.0.0/8 le 32
 ip prefix-list PL_OUT seq 20 deny 10.0.0.0/8 le 32
 ip prefix-list PL_OUT seq 25 deny 127.0.0.0/8 le 32
 ip prefix-list PL_OUT seq 30 deny 169.254.0.0/16 le 32
 ip prefix-list PL_OUT seq 35 deny 172.16.0.0/12 le 32
 ip prefix-list PL_OUT seq 40 deny 192.0.2.0/24 le 32
 ip prefix-list PL_OUT seq 45 deny 192.168.0.0/16 le 32
 ip prefix-list PL_OUT seq 50 deny 224.0.0.0/3 le 32
 ip prefix-list PL_OUT seq 500 deny 0.0.0.0/0 le 32
  
 Est-ce que je peux synthétiser en :
  
 ip prefix-list PL_OUT seq 5 permit 1.1.1.0/24
 ip prefix-list PL_OUT seq 10 deny any
  
 Même chose pour prefix-list IPV6 :
  
 ipv6 prefix-list PL_OUT seq 5 permit :::/31 ge 32
 ipv6 prefix-list PL_OUT seq 10 deny any
  
 J'ai presque envie de dire que cela doit fonctionner, mais je préfère être 
 sur avant d'appliquer la configuration...
  
 A++
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] LAN2LAN explication(s)

2013-10-12 Par sujet Raphael Maunier


On Oct 12, 2013, at 11:30 AM, Antoine Durant antoine.duran...@yahoo.fr wrote:

 Bonjour à tous !
  
 Merci pour les informations, je comprends beaucoup mieux maintenant. Ma 
 question portée uniquement sur la technique et utilisation, à ce jour je n'ai 
 pas besoin de devoir monter un L2...
  
 Mais personellement si je dois en monter un, ce sera pour aller me connecter 
 sur un point d'échange et essayer de chopper un transit en plus... 
 Donc par exemple mettre un switch sur un datacenter à Paris et me connecter 
 sur le FR-IX, cabler un RJ45 entre mon switch et le transitaire secondaire...
  
 Peut être même qu'il sera possible de chopper le transitaire via le FR-IX non 
 ?

Selon les IXP, tu peux faire des vlans privés et faire ce que tu veux dedans ( 
comme acheter du transit par exemple ).

  
 J'ai bien compris que le lieu du site principal à une incidence sur le cout 
 du L2… 

Il ne suffit pas d'acheter de la capacité, il faut prendre en considération 
certains points :

L'hébergement de l'équipement distant avec par exemple un événement simple :  
si le switch plante à 3H du mat :

- Qui j'appelle ? 
- Comment ouvrir un ticket ?  
- Comment je fais pour y accéder ?  
- Comment je tire des rocades vers mon switch ? 
- Combien coute le tirage de rocade ? Est-ce qu'il y a du réccurent ?

Ensuite des choses aussi basique que :

- Mon switch crame : Est-ce que j'ai un spare ?
- Mon switch a cramé et a cramé toute la baie , Est-ce que je suis 
assuré pour ça ...

  
 En tout cas merci pour les explications !!!
  
 Bon week.
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/

On Oct 11, 2013, at 5:21 PM, Leland Vandervort lel...@gandi.net wrote:

 
 La plupart des propositions Lan-2-Lan aujourd'hui sont plutôt du style AToM 
 (Layer 2 sur MPLS), et souvent ces offres permettent des MTU jumbo vers 9000 
 octets aussi, et sans vraiment des limitations du payload non plus.
 
 Il n'en reste que très peu qui font ça sur un VLAN dot1q sur leur réseau 
 simplement car les réseaux MPLS peuvent être nettement plus larges que des 
 infrastructures purement L2, et aussi parce-que les clients ont des exigences 
 qu'une simple connexion dans un VLAN ne permet pas de faire…

Ça existe encore les gens ayant qui fournissent un service aussi basique ? Vu 
la multiplicité des opérateurs qui fournissent des services type pseudowire, 
j'ai du mal à comprendre que l'on aille encore acheter du layer2 basique.
Bon après si on cherche à faire du cheap qui marche quand il fait 25,2 degrés 
et que la lune est alignée avec Jupiter, ok.

Ensuite quand on a un business avec un business plan ou 1/2k annuel de 
différence met tout en péril, je crois que le pb est finalement ailleurs :)


 
 
 
 Leland Vandervort
 Gandi SAS
 63-65 Boulevard Massena
 75013 Paris, France
 
 WWW: http://www.gandi.net/
 
 T: +33 1 70 39 37 59
 M: +33 6 31 15 15 07
 
 
 
 
 
 On 11 Oct 2013, at 17:12, Eric Fourage wrote:
 
 Plus qu'un câble réseau, c'est un vlan, lui-même (souvent) tagué 802.1q: tu
 auras certainement des contraintes sur les trames ethernet que tu pourras
 envoyer:
 - transparence aux vlans (tags 802.1q) ou non
 - taille (MTU)
 - voire filtrage/limiting de certains protocoles de couche réseau (ARP,
 BOOTP, IGMP,...)
 
 Attention au cas (vécu) où la boucle locale est celle d'une DSP: les
 limitations/contraintes sur les trames ne sont pas forcément identiques ou
 même connues de l'opérateur final !!
 
 
 Eric
 
 
 Le 9 octobre 2013 19:48, Bruno CAVROS / SKIWEBCENTER
 br...@skiwebcenter.fra écrit :
 
 Un lan to lan passe à travers un operateur tiers, il en revient que c'est
 le
 plus souvent un VLAN qui traverse un réseau tiers, tout simplement.
 
 -Message d'origine-
 De : Julien OHAYON [mailto:j.oha...@xoxo.fr]
 Envoyé : mercredi 9 octobre 2013 19:39
 À : Bruno CAVROS / SKIWEBCENTER
 Cc : Antoine Durant; frnog-t...@frnog.org
 Objet : Re: [FRnOG] [TECH] LAN2LAN explication(s)
 
 Bonjour,
 
 Quel est l'intérêt de ne pas illuminer la fibre directement alors ?
 
 Moi aussi je ne connais pas trop désolé
 
 Julien
 
 Le 9 oct. 2013 à 19:27, Bruno CAVROS / SKIWEBCENTER
 br...@skiwebcenter.fr a écrit :
 
 Pour symboliser c'est un long câble réseau, c'est tout..
 
 -Message d'origine-
 De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part
 de Antoine Durant
 Envoyé : mercredi 9 octobre 2013 19:12
 À : frnog-t...@frnog.org
 Objet : [FRnOG] [TECH] LAN2LAN explication(s)
 
 Bonjour,
 J’entends de plus en plus parler d’interco Lan2Lan (L2) pour
 aller chercher par exemple des peerings et transit ailleurs que ou est
 situé le
 fournisseur de transit principal.
 Ne connaissant pas du tout cette techno je m’en remets
 entièrement à vous et à vos connaissances …
 Quel est globalement le cout d’un L2 (disons de 100M) ?
 Comment chiffre t'on cela ?
 Admettons que je monte un L2 entre mon site principal et un
 site secondaire pour aller

RE: [FRnOG] [TECH] Juniper NSM

2013-10-05 Par sujet Raphael Maunier

Bah la réputation de fw le plus pourrie pour les ASA ne se limitent pas 
qu'à notre système solaire :)



Le 2013-10-05 05:53, Michel Py a écrit :

Raphael Maunier a écrit:
Sauf sur Cisco, ou le cli est pire :) Ah l'Asa,
cette infame bouse intercosmique !


Je ne saisis pas bien la partie intercosmique. La partie infâme
bouse, oui. Dans le temps on appelait ça a Pix of shit :-(

Michel


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Juniper NSM

2013-10-04 Par sujet Raphael Maunier


Désolé mais le cli tu n'y coupera pas vraiment avec du Juniper.

Le Jweb (individuel donc ) sera avec le cli la meilleure méthode pour 
administrer tes Junipers ( comme l'a indiqué Raphael également )


C'est pour cela qu'à l'époque, Juniper n'avait pas gagné l'AO sécu 
managé au profit de Stonesoft.


Maintenant, un firewall fait vraiment beaucoup plus de choses qu'il y a 
des années, donc le full CLI est pour les admin obsolètes :)


Si pour un routeur je ne jure que par le cli, pour un FW, une gui 
efficace est pour moi un critère de choix.


Après ce qui est bien chez Juniper, c'est le cli et sa flexibilité, 
après un FW avec beaucoup de règles, en cli, c'est compliqué. Un jour 
les mecs du cli comprendront qu'on est plus en 1998 ... ( c'est vendredi 
)


Bref, tu peux demander à essayer Junospace, je ne l'ai pas utilisé 
depuis 1 an , je pense que ça a bien évolué en tout cas à l'époque à 
chaque version c'était prometteur (et ça allait dans le bon sens )



Le 2013-10-04 09:54, Raphael Mazelier a écrit :

Le 03/10/2013 23:40, Duga a écrit :

Quels types d'équipements souhaites tu administrer ?
SRX ? M Series ? EX ? Netscreen ?

Pour du netscreen, j'ai envie de dire que l'interface Web embarquée 
se suffit à elle même.
Pour les autres, la solution proposée par Juniper actuellement est 
JunoSpace (qui ne vaut pas l'investissement financier demandé).
Les choix de techno sont encore très mauvais (A quand l'éradication 
de Flash et Java). Les serveurs nécessitent des ressources énormes (8 
go de RAM ).

Et les fonctionnalités manquent.
J'avoue ne pas connaître (Est ce que cela existe) d'outils graphique 
alternatifs pour gérer un parc Juniper.


PS : Sans lancer de débat, j'ai bien peur que Juniper et interface 
graphique ne fassent pas bons ménage….

Leur communication réside tout de même autour de leur CLI.




Tout à fait d'accord.
A noter que pour les SRX l'interface J-WEB est vaguement utilisable.
C'est pas génial mais elle a moins le mérite de respecter
l'arborescence de la configuration cli.

Cdt,



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [BIZ] : descriptif prestation informatique

2013-10-04 Par sujet Raphael Maunier

Mais tu n'as pas pensé au droit à l'oubli numérique :)



Bruno CAVROS / SKIWEBCENTER br...@skiwebcenter.fr wrote:

Ce sera surtout à vie sur mail archive...

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de
Christophe
Envoyé : jeudi 3 octobre 2013 19:23
À : frnog@frnog.org
Objet : Re: [FRnOG] [BIZ] : descriptif prestation informatique

Bonsoir,

Le 03/10/2013 19:11, Emmanuel Thierry a écrit :

 Le 3 oct. 2013 à 18:43, David Frnog a écrit :

 Si c'est quelqu'un de la liste c'est juste honteux !!!

 Position intéressante. Une autre position serait de dire que c'est à la
limite de la faute professionnelle que de communiquer sur un nom que tu n'as
pas encore déposé, que ce soit un nom de domaine, une marque, etc...

 Cordialement.
 Emmanuel Thierry


+1

Ce que je trouve déplacé, c'est la demande de départ, sans avoir 
offusqué un minimum le nom du client.

Que la demande soit faite sur FRnOG, pourquoi pas. Mais un brutal 
forward avec pièce jointe au format Word, je trouve ca un peu limite .

Un simple message Je cherche un prestataire pour les actions suivantes 
... blabla ... blabla ... Contactez moi en privé si cela vous interesse 
me semble bien plus sain comme démarche.

L'auteur n'a au final que ce qu'il merite. Mais qu'il ne s'inquiète pas 
: ca ne sortira pas d'Internet ;) .

@+
Christophe.


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Juniper NSM

2013-10-04 Par sujet Raphael Maunier


Le 2013-10-04 11:48, Duga Duga a écrit :

(Puisquon est Vendredi)Mouais question de point de vue concernant la
cli pour les Firewall.
Une cli bien foutue telle que celle de Junos permet dadministrer les
fonctions les plus avancées des FW.


+1
Ah mais on est entièrement d'accord, la cli est pour moi indispensable 
pour du debug ou faire de l'optimisation d'implémentation.
Sauf sur Cisco, ou le cli est pire :) Ah l'Asa, cette infame bouse 
intercosmique !




En revanche, la GUI devient indispensable pour avoir une vue 
densemble

de son parc : Le monitoring, le provisionning, capacity planning, etc
...


Voila, exactement :)


Et sur ce point, Juniper a été incapable de me convaincre. 


A bah, c'est leur plus gros problème sur le srx ( avec l'utm )
Apres pour de la perf pure et un cli sympa, je prend direct du srx sans 
regarder la gui



Les beta auxquelles jai participé concernant, Junospace et security
design mont laissé plus que perplexe sur leur stratégie et leur
capacité à développer de tels produits.


== C'est pour ça qu'ils ont racheté Contrail. Il ont pas le mindset en 
interne pour le faire, du coup, ils intègrent, c'est au final moins cher 
et surement plus rapide


Plutôt que prometteur jaurais dit peut mieux faire.
Linstallation est une catastrophe. Les ressources consommées à cause
des choix de techno (Le flash en 2013, WTF ! ) sont énormes.
Lintégration dans un parc existant est juste une blague.

Je ne vois pas comment ce produit pourra séduire.


Pas lui en direct, car il faut savoir que la BU qui s'occupait de 
Junospace, est maintenant sous la direction du fondateur de Contrail ( 
que j'ai pu rencontré et qui est extrêmement compétent ) , donc je lui 
prévois un bel avenir à ce produit.






Julien.

Le 4 octobre 2013 10:59, Raphael Maunier raph...@maunier.net [2] a
écrit :


Désolé mais le cli tu ny coupera pas vraiment avec du Juniper.

Le Jweb (individuel donc ) sera avec le cli la meilleure méthode
pour administrer tes Junipers ( comme la indiqué Raphael également
)

Cest pour cela quà lépoque, Juniper navait pas gagné lAO sécu
managé au profit de Stonesoft.

Maintenant, un firewall fait vraiment beaucoup plus de choses quil
y a des années, donc le full CLI est pour les admin obsolètes :)

Si pour un routeur je ne jure que par le cli, pour un FW, une gui
efficace est pour moi un critère de choix.

Après ce qui est bien chez Juniper, cest le cli et sa
flexibilité, après un FW avec beaucoup de règles, en cli, cest
compliqué. Un jour les mecs du cli comprendront quon est plus en
1998 ... ( cest vendredi )

Bref, tu peux demander à essayer Junospace, je ne lai pas utilisé
depuis 1 an , je pense que ça a bien évolué en tout cas à
lépoque à chaque version cétait prometteur (et ça allait dans le
bon sens )

Le 2013-10-04 09:54, Raphael Mazelier a écrit :


Le 03/10/2013 23:40, Duga a écrit :


Quels types déquipements souhaites tu administrer ?
SRX ? M Series ? EX ? Netscreen ?

Pour du netscreen, jai envie de dire que linterface Web
embarquée se suffit à elle même.
Pour les autres, la solution proposée par Juniper actuellement
est JunoSpace (qui ne vaut pas linvestissement financier
demandé).
Les choix de techno sont encore très mauvais (A quand
léradication de Flash et Java). Les serveurs nécessitent des
ressources énormes (8 go de RAM ).
Et les fonctionnalités manquent.
Javoue ne pas connaître (Est ce que cela existe) doutils
graphique alternatifs pour gérer un parc Juniper.

PS : Sans lancer de débat, jai bien peur que Juniper et
interface graphique ne fassent pas bons ménage….
Leur communication réside tout de même autour de leur CLI.

Tout à fait daccord.
A noter que pour les SRX linterface J-WEB est vaguement
utilisable.
Cest pas génial mais elle a moins le mérite de respecter
larborescence de la configuration cli.

Cdt,


---
Liste de diffusion du FRnOG
http://www.frnog.org/ [1]




Links:
--
[1] http://www.frnog.org/
[2] mailto:raph...@maunier.net



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Juniper NSM

2013-10-03 Par sujet Raphael Maunier

Juniper et gratuit dans la même phrase, c'est parce que demain c'est vendredi ? 
:)

Il faudrait plutôt s'orienter vers la suite space et bientôt contrail !

Nsm, j'ai testé et ... Bah j'ai testé .


Guillaume Tournat guilla...@ironie.org wrote:

Le 03/10/2013 19:15, Philippe Marrot a écrit :
 Bonjour,

 Je cherche à mettre la main sur le soft de gestion graphique de Juniper
 (Network Security Manager).

 Est-ce un produit livré avec les équipements ou un produit sur demande ou
 encore payant ?.

 Des infos d'un spécialiste Juniper ?.

C'est téléchargeable sur le support de Juniper, avec un compte client.
Si besoin, je dois avoir une version qui traine, d'il y a 1-2 ans. Mais
c'est clairement en fin de vie ce produit.

gu!llaume


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Choix d'une appliance Firewall

2013-09-23 Par sujet Raphael Maunier


Le 2013-09-21 10:46, Xavier Beaudouin a écrit :

Hello,

Le 20 sept. 2013 à 11:53, Leslie-Alexandre DENIS m...@ladenis.fr a 
écrit :



#include reply.h

Je vais pas aller dans les détails, je parle pour moi et c'était le 
sujet (migrer depuis pfSense et pas vers pfSense) donc sentiments de 
côté pfSense est un bon produit base BSD donc stable mais faut pas 
trop cumuler les services d'une part, d'autre part les packages c'est 
confus, les migrations et autres upgrades c'est pas fait pour la 
grosse prod, et tu peux avoir des phénomènes particuliers sur des VLAN 
qui montent pas, des trunks qui tombent, du Snort qui boit beaucoup.


Comme tout logiciels opensource, ceci dépends très sérieusement de
ton matériel. Si tu fais des VLAN / Lagg (trunk) sur des cartes 
réseau

à l'eau bénite (ou en mousse, au choix), comme des realtek ou autres
chipset a la con (broadcom...), là tu es sûr d'avoir des emmerdes.

Alors avec du matériel sérieux : Chipset intel / Cpu Intel / carte
réseau intel, j'ai jamais eu le moindre problème.

Donc évites de dénigrer des soft qui sont aussi utilisé dans des truc
comme juniper (pour info une série J chez JunOS c'est un pauvre CPU -
P4 je crois - et des cartes réseaux intel, sur une base FreeBSD avec
quelques modules low level) ou Netapp (idem c'est du FreeBSD 7... +
logiciels proprios dans des modules).


Un barbu qui s'enflamme :)
Je ne pense pas qu'il dise du mal de bsd. Je le rejoins sur la partie 
Pfsense, c'est pas vraiment pour de la grosse prod. Ceci étant, il faut 
que les barbus s'enflamment, sinon, les valeurs se perdraient !


J'utilise beaucoup Pfsense, Srx et un peu de Fortinet, et pour chaque 
FW un type d'utilisation.


Pfsense pour de l'oob,ou la maison ou un truc pas super critique ok, 
pour de la prod, je partirais plutôt sur un constructeur ( apliance ou 
soft dans une vm )


Si tu ne fais pas d'UTM, Go SRX. par contre, si tu fais de l'utm, je 
partirais plutôt sur du Stonesoft ou Fortinet ( ça me fait mal de dire 
ça pour le dernier :) ).


Je suis pro Juniper, mais bon tant qu'ils n'auront pas de GUI digne de 
ce nom pour éviter de faire le debug en cli pour tout ce qui est sécu ce 
ne sera qu'un outsider et encore. ( je suis bon pour un coup de tel de 
Juniper maintenant :) )


Attention, le CLI est inexistant sur ces deux derniers, c'est 
clickodrome. Mais pour du firewall, très franchement, le tout cli je 
crois que c'est dépassé


Pour un déploiement avec une centaine de FW avec corrélation des logs, 
sans hésiter == Stonesoft.


Si c'est une boîte en cluster pour protéger une plateforme, sans utm, 
je ferais juste un POC avec un injecteur de trafic ( Ex Breaking point ) 
et aussi un test avec des tables de nat bien full, j'ai vu des trucs 
marrant avec des machines vérolés qui ont détruit de l'ASA par exemple.


Ensuite, les trucs genre Checkpoint, Cisco ASA leaders du marché ... 
Je passerais mon chemin. Je me demande meme comment les trucs comme ASA 
se vendent encore, jamais vu un truc aussi pénible à administrer. 
Checkpoint, bah checkpoint :) CQFD.


Après, si tu es joueur, j'ai vu un test sur le firewall F5



Si FreeBSD tenais pas le pavé, je pense que ces 2 marques auraient
des soucis.

Après je l'utilise aussi en gw vpn ssl, avec un peu de routage/fw, 
ça va super bien oui.


Evidement si tu mets 20 règles de firewall c'est que tu as un
problème de fond : est-ce que tu utilises bien ton firewall...

Perso je préfère avoir 3 firewalls successifs que un seul avec 90
interfaces / vlan.

Xavier


Le 20/09/2013 11:04, Xavier Beaudouin a écrit :

Hello,

Le 20 sept. 2013 à 10:53, Leslie-Alexandre DENIS m...@ladenis.fr a 
écrit :


Pour l'avoir essayé en VM une fois, le produit est plutôt bien 
fait et complet en terme de fonctionnalités. C'est plus corporate 
que pfSense, je dirais que c'est du Netasq/Fortinet like.

Heu j'utilise pfsense pour pas mal de choses là où je bosse...

#define corporate pour un firewall...

Parce que un pfSense 2.1 bien configuré c'est plus pratique que un 
netscreen out the box... (pas taper on est vendredi).


Rien que pour l'openvpn intégré qui tape sur mon annuaire LDAP, 
déjà c'est un *bien* infini avec le wizard qui fait le binaire 
autoconf pour les windows box ou le fichier de conf pour Viscosity ca 
m'as permis d'avoir la paix romaine avec les gens qui se baladent 
un peu partout (y compris dans les UE ou les VPN IPsec sont souvent 
mouillés on vas dire).


Xavier

---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Choix d'une appliance Firewall

2013-09-23 Par sujet Raphael Maunier


Le 2013-09-23 12:27, Raphael Mazelier a écrit :

Le 23/09/2013 12:09, Raphael Maunier a écrit :


Un barbu qui s'enflamme :)
Je ne pense pas qu'il dise du mal de bsd. Je le rejoins sur la 
partie Pfsense, c'est pas vraiment pour de la grosse prod. Ceci étant, 
il faut que les barbus s'enflamment, sinon, les valeurs se perdraient 
!



Il faudra retester avec la sortie de Freebsd 10 et pf qui est
maintenant SMP aware. Niveau performance cela devrait commencer à 
être

intéressant avec du bon matos, type les appliances Apligo.

J'utilise beaucoup Pfsense, Srx et un peu de Fortinet, et pour 
chaque FW un type d'utilisation.


Pfsense pour de l'oob,ou la maison ou un truc pas super critique ok, 
pour de la prod, je partirais plutôt sur un constructeur ( apliance ou 
soft dans une vm )


Si tu ne fais pas d'UTM, Go SRX. par contre, si tu fais de l'utm, je 
partirais plutôt sur du Stonesoft ou Fortinet ( ça me fait mal de dire 
ça pour le dernier :) ).


Je suis pro Juniper, mais bon tant qu'ils n'auront pas de GUI digne 
de ce nom pour éviter de faire le debug en cli pour tout ce qui est 
sécu ce ne sera qu'un outsider et encore. ( je suis bon pour un coup 
de tel de Juniper maintenant :) )



Entièrement d'accord. Je suis pro Juniper aussi, mais mon avis sur
les Srx est mitigés.
Les Srx fonctionne raisonnablement bien (modulo quelques soucis
habituels avec les Alg). Niveau performance c'est OK.
Mais alors la ou la CLI Juniper est généralement un avantage sur un
routeur, sur la partie règles c'est beaucoup trop verbeux.
On peut un petit peu améliorer les choses avec les apply-groups, mais
si tu dépasse les 500 règles ça devient illisible.


Attention, le CLI est inexistant sur ces deux derniers, c'est 
clickodrome. Mais pour du firewall, très franchement, le tout cli je 
crois que c'est dépassé



L'approche Netscreen avec NSM était un compromis acceptable.
Maintenant NSM fonctionne vraiment très mal avec les SRX.


Ensuite, les trucs genre Checkpoint, Cisco ASA leaders du marché 
... Je passerais mon chemin. Je me demande meme comment les trucs 
comme ASA se vendent encore, jamais vu un truc aussi pénible à 
administrer. Checkpoint, bah checkpoint :) CQFD.



Checkpoint le seul gros/énorme avantage est leur GUI. ASA j'ai beau
chercher ?


bah go Stonesoft alors, c'est 100 fois mieux :)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Choix d'une appliance Firewall

2013-09-23 Par sujet Raphael Maunier


Le 2013-09-23 14:22, Radu-Adrian Feurdean a écrit :

On Mon, Sep 23, 2013, at 12:09, Raphael Maunier wrote:


Attention, le CLI est inexistant sur ces deux derniers, c'est
clickodrome. Mais pour du firewall, très franchement, le tout cli je
crois que c'est dépassé


Cote Fortinet, le CLI existe bel et bien, il est juste pas pratique 
pour

la gestion des regles. Par contre, pour faire du debug ou utiliser
certaines fonctionalites, il *FAUT* passr par la casse CLI.


Donc pour moi inexistant :)  Quand tu peux pas vraiment l'utiliser car 
il faut avoir le pdf à porté de main, c'est que c'est pas fait pour être 
utilisé




marrant avec des machines vérolés qui ont détruit de l'ASA par 
exemple.


Je me demande meme comment les trucs comme ASA se vendent encore, 
jamais vu un truc aussi pénible à administrer.


Ce ne sont pas les boities ASA qui se vendent, mais l'etiquette 
Cisco
collee au boitier. Les ASA classiques sont totalement obsoletes, les 
ASA

series -X ont juste un prix totalement delirant (meme apres minimum
50% de remise) pour ce qu'ils offrent.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Probleme electrique A TH2 ?

2013-09-19 Par sujet Raphael Maunier

A partir d'une moment tu es quand même obligé d'avoir un point de 
concentration.


Ensuite que ce point ai au impact aussi important, c'est souvent un pb 
de conf / bug.


Donc lié à l'humain.

Raphael




Le 2013-09-19 13:04, Pascal Rullier a écrit :

Le 2013-09-19 12:56, VIGNEAU Martin a écrit :
On a effectivement un gros impact sur Néo même ici. Cela semble 
revenu.

Ca va être sympa d'expliquer à nos clients que leurs problèmes sur
internet vient d'une panne électrique boulevard Voltaire, Paris X...


Ce qui montre, hélas encore une fois, la faiblesse des points de
concentrations.

Avez-vous eu aussi une explication de TH2 ?

Cdlt,



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Probleme electrique A TH2 ?

2013-09-19 Par sujet Raphael Maunier


On est d'accord :) donc la concentration n'est pas l'unique débat .

Raphael

Le 2013-09-19 14:24, VIGNEAU Martin a écrit :

Cela dépend également du type de problème.

Dans notre cas, on a plusieurs transitaires, un seul a été touché.
S'il était tombé proprement on n'aurait pas eu d'impact client, 
mais

il continuait à annoncer nos routes (phénomène de trou noir), d'où
l'impact

La sécurisation/redondance//délocalisation ne focntionne pas à tout 
coup


 
 

Martin VIGNEAU
Directeur Technologies
ZEOP - REUNICABLE
T +262 262 010 008 | M +262 692 721 912
39, r. Pierre Brossolette 97420 Le Port
www.zeop.re – www.zeop.biz



-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la
part de Raphael Maunier
Envoyé : 19 September, 2013 16:17
À : Pascal Rullier
Cc : frnog@frnog.org
Objet : RE: [FRnOG] [TECH] Probleme electrique A TH2 ?

A partir d'une moment tu es quand même obligé d'avoir un point de
concentration.

Ensuite que ce point ai au impact aussi important, c'est souvent un
pb de conf / bug.

Donc lié à l'humain.

Raphael




Le 2013-09-19 13:04, Pascal Rullier a écrit :

Le 2013-09-19 12:56, VIGNEAU Martin a écrit :

On a effectivement un gros impact sur Néo même ici. Cela semble
revenu.
Ca va être sympa d'expliquer à nos clients que leurs problèmes sur
internet vient d'une panne électrique boulevard Voltaire, Paris 
X...


Ce qui montre, hélas encore une fois, la faiblesse des points de
concentrations.

Avez-vous eu aussi une explication de TH2 ?

Cdlt,



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Question BGP suite coupure TH2

2013-09-19 Par sujet Raphael Maunier


Ou sinon tu as des solutions comme Border6 :)

http://www.border6.com

Raphael

Le 2013-09-19 22:18, Yann Vercucque a écrit :

En admettant que la session BGP ne tombe pas, je pencherai sur la
mise en place de Track IP (IP SLA) sur une ip de Neo Telecom. Ce lien
répondra à votre question :

http://blog.ipspace.net/2011/09/shut-down-bgp-session-based-on-tracked.html,
il faudrait changer le tracking interface en tracking ip.

J'ai n'ai pas testé mais la solution est viable je pense.

Yann V.


Le 19 sept. 2013 à 21:31, Antoine Durant antoine.duran...@yahoo.fr
a écrit :


Bonsoir,

Une question au pro du BGP concernant l'incident électrique qui est 
arrivé aujourd'hui à TH2 impactant Neo telecom.


Peut être ma demande va vous paraître HS, mais, j'aime bien 
comprendre !


Admettons que mon fournisseur de transit soit interconnecté avec Neo 
telecom et que pour X raisons mon transitaire ne coupe pas la liaison 
BGP défectueuse de Néo.


Que puis-je faire de mon coté niveau BGP afin d'éviter de faire 
rentrer/sortir du traffic vers l'AS de Néo ?
Existe t'il une régle que je peux mettre en place afin de 
prioritiser n'importe quelle route pour vue qu'elle ne passe pas par 
l'AS défecteux ?


Quel est la solution enviseageable de mon coté ??

Merci à ceux qui prendront la peine de me réponse.

Bonne soirée.
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] FranceIX : Renouvellement du comité de direction

2013-09-12 Par sujet Raphael Maunier


Le 2013-09-12 15:00, Pierre Col - p...@9online.fr a écrit :
Allez, je suis le candide de l'histoire alors je pose deux questions 
bêtes :

- En quoi est-ce que FranceIX existe grâce à la communauté Frnog ?


Parce que c'est grâce au soutien de nombreuses personnes faisant partie 
de la communauté que nous avons continué Maurice et moi.
C'est parce que la communauté existe que par exemple le Panap a été 
crée et que nous avons continuer ce projet en le rendant indépendant et 
neutre.
Donc, bien sur il a fallu de le soutien des membres fondateurs, mais 
clairement, nous n'aurions pas continué si nous avions reçu un non ferme 
de la plupart des gens de la liste :)



- Pourquoi FranceIX s'appelle-t-il ainsi (je veux dire avec le
préfixe France), alors qu'il est, si j'ai bien compris,
essentiellement parisien et marseillais et pourrait s'appeler
ParMarsIX ? :-)


Parce qu'il faut bien un nom. Et il y a des accords avec justement des 
IX sur Lyon, Toulouse par ex.

Et le but de Franceix est toujours de fédérer !



S'il y a un concours de celui qui a la plus grosse, j'ai proposé à
mes amis de LyonIX de se rebaptiser UniversIX :-)

--
Pierre Col





Message du : 12/09/2013 13:33
De : raph...@maunier.net
A : frnog@frnog.org
Copie à :
Sujet : [FRnOG] [MISC] FranceIX : Renouvellement du comité de 
direction



 Bonjour à tous,

Un petit rappel ici pour parler un peu de Franceix et de son 
assemblée

générale qui se déroulera la semaine prochaine

Lorsque nous avons crée FranceIX, nous avions prévu qu'au bout de 3
ans, nous devions soumettre aux membres un nouveau vote pour élire 2
nouveaux membres du comité, ou maintenir en place les sièges 
existant.


Deux sièges sont donc à pourvoir ou maintenir pour les 3 prochaines
années. La date limite de candidature est fixée au 15 septembre.

Les informations pour présenter sa candidature sont ici :


https://www.franceix.net/fr/events-and-news/news/france-ix-calls-applications-join-its-board/

Vous devez avoir une autorisation de votre entreprise ( si c'est la
votre c'est plus simple ), car les 2 sièges sont liés à des individus
représentant leur entreprise.

FranceIX existe grâce à la communauté Frnog qui a fait confiance à 2
individus qui sont arrivés avec une idée. C'est FrNog qui a fait de 
ce

projet un succès.

Si vous souhaitez vous impliquer dans FranceIX et participer à cette
aventure humaine incroyable, je ne peux que vous encourager à 
postuler.
Il est important d'apporter votre expérience, car un peu de sang neuf 
ne
pourra qu'apporter de nouvelles idées et des évolutions qui ne 
pourront

être que bénéfique.

FranceIX appartient à ses membres et le renouvellement du comité de
direction est la pour garantir sa neutralité et des le départ avec
Maurice, nous avions cette volonté, et ce moment est arrivé.

Voici donc un extrait du site :

Pour postuler, les candidats soumettront avant le 15 Septembre 2013 à
l’adresse board-candidates_at_franceix.net les éléments suivants en
anglais:

+ Curriculum vitae
+ Lettre de motivation expliquant quelles compétences le candidat
apportera au comité


Il reste donc moins de 2 jours pour vous présenter.

Si vous avez des questions, vous savez ou me trouver , ou sinon
directement à FranceIX :)

A bientôt,

Raphael Maunier


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] FranceIX : Renouvellement du comité de direction

2013-09-12 Par sujet Raphael Maunier


Forcement il fallait que ça dérape :)

Outre une discussion des plus intéressante sur le nom de Franceix, il 
s'agit vraiment de trouver des membres du board qui s'impliquent dans la 
vie de Franceix.
Franceix est une association qui appartient à ses membres et qui a 
besoin d'eux pour évoluer et s'améliorer.


J'ai eu pas mal de questions en off, je vais y répondre sur la liste :)

1/ Pourquoi se présenter ? L'intérêt pour mon entreprise ?

Etre membre du board, n'est pas un juste titre qui sert à bien faire 
voir son entreprise et en faire du marketing.
Il s'agit plutôt d'une occasion d'apporter son expérience ( perso et 
celle de son entreprise ) à une équipe dynamique qui est passionnée par 
ce projet.


2/ La fréquence

Comme indiqué sur le site de Franceix, il s'agit de 2 réunions 
téléphonique / mois, et d'une ou deux / ans. L'assiduité des membres du 
comité de direction est notée, je vous invite à prendre cela en 
considération, afin d'éviter des membres qui ne viennent jamais ou 
presque pas.


3/ Et on gagne combien ?

Toute l'estime des membres. Franceix ne paie pas les membres du board 
:)


4/ Ça parle de quoi ?

De la vie du point d'échange, des évolutions commerciales , marketing ( 
des événements genre beer events  :) ) , et aussi on y parle des soucis 
rencontrés .


5/ On sert à quoi ?

Comme un comité de direction dans une entreprise :) Exactement pareil.


Je ferais une sélection des questions trolls plus tard :)

Raphael


Le 2013-09-12 15:18, frede...@perrod.org a écrit :

La + grosse... pas la + longue...

Vercingétor-IX, fils de Celtill-OS, pour rester dans le gaulois ???
http://fr.wikipedia.org/wiki/Vercing%C3%A9torix

Fred


VIGNEAU Martin martinvign...@zeop.re a écrit :



MarsuPilamIX ?


 
 

Martin VIGNEAU


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la  
part de Pierre Col - p...@9online.fr

Envoyé : 12 September, 2013 17:01
À : frnog@frnog.org
Cc : strio...@lyonix.net; raph...@maunier.net
Objet : Re: [FRnOG] [MISC] FranceIX : Renouvellement du comité de 
direction


Allez, je suis le candide de l'histoire alors je pose deux questions 
bêtes :

- En quoi est-ce que FranceIX existe grâce à la communauté Frnog ?
- Pourquoi FranceIX s'appelle-t-il ainsi (je veux dire avec le  
préfixe France), alors qu'il est, si j'ai bien compris,  
essentiellement parisien et marseillais et pourrait s'appeler  
ParMarsIX ? :-)


S'il y a un concours de celui qui a la plus grosse, j'ai proposé à  
mes amis de LyonIX de se rebaptiser UniversIX :-)


--
Pierre Col





Message du : 12/09/2013 13:33
De : raph...@maunier.net
A : frnog@frnog.org
Copie à :
Sujet : [FRnOG] [MISC] FranceIX : Renouvellement du comité de 
direction



 Bonjour à tous,

Un petit rappel ici pour parler un peu de Franceix et de son 
assemblée

générale qui se déroulera la semaine prochaine

Lorsque nous avons crée FranceIX, nous avions prévu qu'au bout de 3
ans, nous devions soumettre aux membres un nouveau vote pour élire 2
nouveaux membres du comité, ou maintenir en place les sièges 
existant.


Deux sièges sont donc à pourvoir ou maintenir pour les 3 prochaines
années. La date limite de candidature est fixée au 15 septembre.

Les informations pour présenter sa candidature sont ici :


https://www.franceix.net/fr/events-and-news/news/france-ix-calls-applications-join-its-board/

Vous devez avoir une autorisation de votre entreprise ( si c'est la
votre c'est plus simple ), car les 2 sièges sont liés à des 
individus

représentant leur entreprise.

FranceIX existe grâce à la communauté Frnog qui a fait confiance à 2
individus qui sont arrivés avec une idée. C'est FrNog qui a fait de 
ce

projet un succès.

Si vous souhaitez vous impliquer dans FranceIX et participer à cette
aventure humaine incroyable, je ne peux que vous encourager à 
postuler.
Il est important d'apporter votre expérience, car un peu de sang 
neuf ne
pourra qu'apporter de nouvelles idées et des évolutions qui ne 
pourront

être que bénéfique.

FranceIX appartient à ses membres et le renouvellement du comité de
direction est la pour garantir sa neutralité et des le départ avec
Maurice, nous avions cette volonté, et ce moment est arrivé.

Voici donc un extrait du site :

Pour postuler, les candidats soumettront avant le 15 Septembre 2013 
à

l?adresse board-candidates_at_franceix.net les éléments suivants en
anglais:

+ Curriculum vitae
+ Lettre de motivation expliquant quelles compétences le candidat
apportera au comité


Il reste donc moins de 2 jours pour vous présenter.

Si vous avez des questions, vous savez ou me trouver , ou sinon
directement à FranceIX :)

A bientôt,

Raphael Maunier


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de

Re: [FRnOG] [ALERT] FranceIX

2013-07-16 Par sujet Raphael Maunier

Pb en cours sur Interxion2 avec effet de bord sur le backbone.

Un but est identifié, une résolution est prévu dans les prochaines minutes

Raphaël

Le mardi 16 juillet 2013, Julien Follenfant a écrit :

 Oui il est fort probable que les firewalls soient concernés par le souci :(


 Le 16 juillet 2013 10:47, Fabrice fabric...@gmail.com javascript:; a
 écrit :

  Bonjour à tous,
 
  Notre opérateur est COLT, nos sites Parisiens et Toulousains sont coupés
  vers les services Microsoft (Office 365, hotmail) uniquement les autres
  sites fonctionnent correctement.
  Le technicien COLT nous demande de vérifier la config de nos firewall.
 
  Pensez-vous que c'est un effet de bord possible ?
 
  Fabrice
 
 
  Le 16 juillet 2013 10:25, Jérémy Martin li...@freeheberg.comjavascript:;
 a écrit :
 
  Probablement une carte qui a besoin d'un reboot ou d'un spare :)
  On change le routage. Merci pour vos retours.
 
  Cordialement,
  Jérémy Martin
 
  Le 16/07/2013 10:11, Julien Follenfant a écrit :
 
   Ah non pour moi ça marche formidablement bien.
 
 
 
 
  Le 16 juillet 2013 10:04, Jérémy Martin 
  li...@freeheberg.comjavascript:;
 a écrit :
 
   On a 80% de pertes, le site de FranceIX est down.
  Idem pour tout le monde ?
 
 
  --
  Cordialement,
  Jérémy Martin
  Directeur Technique FirstHeberg.com
 
  Contacts téléphoniques (Lun-Ven / 9h30-12h00 - 14h00-17h30)
  Standard Services Généraux :09 72 125 539 (tarif local)
  Standard Support :  08 92 494 490 (0.34€ / mn)
  Mail : j.martin AT techcrea.fr
  Web : http://www.firstheberg.com
 
  __
  FreeHeberg.com : Osez l'hébergement gratuit de qualité
 professionnelle !
  PHP + Mysql + Espace 2 à 20 Go
 
 
  ---
  Liste de diffusion du FRnOG
  http://www.frnog.org/
 
 
 
 
 
 
  ---
  Liste de diffusion du FRnOG
  http://www.frnog.org/
 
 
 


 --
 Julien Follenfant
 jfollenf...@gmail.com javascript:;
 Tel: +33 6 47 56 22 48

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Passer LIR

2013-06-21 Par sujet Raphael Maunier

Le vendredi 21 juin 2013, frederic a écrit :

 Le 21/06/2013 05:45, Raphael Maunier a écrit :

 Le vendredi 21 juin 2013, Yohann QUINTON a écrit :

  Le 20/06/13 23:11, Raphael Maunier a écrit :

  On Jun 20, 2013, at 10:23 PM, fredericfrede...@placenet.org  wrote:

   bonsoir,

 un peu facile l'amalgame...

 mais on notera que la rareté des Ipv4 aura fait vite fait de mettre en
 place un tarif pour ce debarasser des petits…

  2k annuel pour passer LIR ..

  On est bien d'accord, 2k de trop ^^


 En France, quand on est propriétaire on paie des impôts locaux pour avoir
 le droit d'habiter chez soit.


 tu confonds avec la taxe fonciere...

Dsl il manquait justement et foncier ( je viens de la payer donc je me
souviens encore ) merci de l'avoir soulevé

mais si tu n'a pas de revenu tu ne payes pas d'impot... tu peux en demander
 l'exonération. Mais si tu as des revenus tu dois rendre à césar...


  Ces impôts servent à la commune pour le bienêtre des concitoyens on va
 dire. Et c'est normal de les payer, à moins que l'on me prouve le
 contraire.

d'oublier que l'on impose pas unilittéralement un contrat à ce qui n'en

 avait pas.

  Donc passer d'un mode bordélique à un mode géré c'est pas bien ?

  Géré ??? un bien grand mots ... imposé plus déjà, sinon il n'y aurai
 pas
 d'IPv4 inutilisé au quatre coin de cette belle planète bleu... Et on
 aurai
 déja sans doute fait le pas de l'IPv6 depuis une/deux/belle lurette ^^


 Nié ? Donc le fait que l'ipv6 n'est pas déployé, c'est de la faute des
 rir ?
 Trop gros passera pas !

 ce n'est pas la faute exclusive, ils y participent.


Sérieux ? Mais sans déconner .

Et tu fais quoi avec les clochards du net qui ont des équipements qui sont
aussi vieux y que ma première dent de lait ? Qui ne supporte pas déjà la
full route ( mais on est capable de s'en accommoder ) et pas l'ipv6 ?
Tu fais quoi des constructeurs qui ne supportent pas ipv6 en hw ou qui
facturent une licence supplémentaire pour avoir le droit de l'utiliser ?
Tu fais quoi des profs de bts ou dut qui ne savent pas non plus ce que
c'est ?





on comprendra que l'Icann voyant qu'en 2006 , les accords sur la

 gouvernance de l'Internet ne vont pas dans le sens qu'ils veulent et
 donc
 on cree un contrat sur les ipv4 existantes pour en prendre le controle
 au
 détriment des négociation en cours... qui demande plus de liberalité
 la
 possiblité d'avoir des concurents au ripe en europe par exemple...

 l'europe demande que le citoyen soit dans la décision et non pas
 seulement les professionnels.

  Bonjour Mister fils de Mme Michue.

 Comme ta maman Madame Michue ne sait pas comment fonctionne Internet,
 entre 2 partie de Call of Duty, tu pourrais donner ton avis sur la
 gestion
 des adresses ipv4 et surtout, tu crois qu'on doit toujours filer des
 /24 PI
 à des mecs qui ont un business et ne peuvent pas payer 2k annuel pour le
 sécuriser ?

  Faire une partie peu parfois détendre... j'vous sent tendu sur FRNog
 en ce
 moment ^^


 Ça ira, je suis plutôt Diablo3, les jeux ou il fait jouer 8h par jour pour
 améliorer sa technique, très peu pour moi :)

 Et je ne suis pas tendu, mais sérieusement, voir les gens systématiquement
 remettre en cause un système sans jamais prendre d'action, c'est pénible.

 A bon ? affirmation gratuite...


Non, simple constatation !



  Donc quand j'ai du temps, je réponds , et ça tombe bien hier soir j'en
 avais !


19Meuros pour le ripe et 16Mde dollard pour l'arin, pour gérer une base

 d'ips qui d'ailleurs sont attribuées sans aucune garanti, je t'imagine
 bien
 accepter de payer un service tout les mois sans garanti…

  Ben tous les mois, j'ai un truc qui s'appelle retraite sur ma fiche de
 paie ...

  Le système est mal géré rajoutons une couche ! logique imparable,
 j'approuve.


 Je n'ai pas dis que j'approuve :) je préparais vendredi sur celle la, rien
 à voir !

 c'est trolldi... :)




et le fonctionnement du Ripe n'est pas un vote démocratique, c'est une

 plutocratie, la question voulez vous vous faire plus de fric ? et la
 réponse, sans surprise, est toujours oui…

  Dire que le ripe ne sert qu'à prendre du pognon est bien réducteur. Tu
 crois vraiment qu'Internet se construit sans organisation un tant soit
 peu
 fédératrice ? Qu'une communauté n'a pas besoin de se créer / financer
 pour
 faire avancer les choses ?
 Il n'y aurait pas eu ces organisations, ton business n'existerait
 probablement pas

  Quelle légitimité du RIPE dans un pouvoir fédérateur ? On parle plutôt
 d’asservissement et de délégation de contrôle sur un bout du monde
 (virtuel
 quand même) comme un autre.


 Parce que la gestion entre potes des @ip c'est un truc scalable ?




  C'était presque comme cela au début, et justement les /8 qui étaient
 affectés au début , c'était par email entre potes pour simplifier.

 La phase d'un des mecs de l'infra de Google maintenant chez Microsoft : If
 it does not scale change the way you are doing it !

 Donc la gestion par le ripe en EU

Re: [FRnOG] [MISC] Utilité des adresses peering@

Hello,

Lorsque tu es membre du Linx, et que tu signes le contrat pour être membre,
tu t'engages à répondre aux demandes de peering.
J'ai effectivement eu un membre du Linx qui me l'a rappelé une fois,
lorsque je n'avais pas répondu à sa 3 eme demande de peering.

Donc, tu peux le rajouter dans le contrat, mais à l'étape embryonnaire ,
petit, en croissance, je doute que ce soit une superbe idée.

Pour moi, et je pense que c'est la bonne démarche, le point d'échange doit
créer une communauté / la renforcer et s'associer à des groupes plus gros (
genre Euro-IX ) pour que cela fonctionne et que les gens ne prennent pas
cela à la légère.
C'était le principe de base de FranceIX et jusqu'à preuve du contraire, ça
fonctionne plutôt bien.


Mettre des la création du point d'échange, des contraintes réglementaires
n'est pas du tout bien vu et aura tendance à faire fuir les gros opérateurs
qui n'auront pas envie de négocier avec leur service juridique.

Donc keep it simple, keep it open !

Raphael


2013/6/20 Jérôme Nicolle jer...@ceriz.fr

 Le 20/06/2013 17:10, Phibee Network Operation Center a écrit :
  En gros si je comprends bien, c'est que l’opérateur devra vendre du
  transit avec un AS
  ainsi qu'un lien niveau 2 vers le point d'echange a la collectivité ;)

 C'est une possibilité technique qui devrait être conforme aux specs, en
 effet.

  et cela, en masquant le cout en augmentant légèrement les autres presta

 Ah en terme de coût, le code des marchés publics s'applique toujours, et
 si le critère prix est pondéré assez lourdement, alors cette approche ne
 sera pas forcement retenue ;)

 Par contre il y a un énorme avantage dans le dépouillement des réponses
 : pour avoir proposé une offre techniquement conforme, le
 soumissionnaire aura du travailler sur le dossier avec suffisamment de
 compétence technique et d'attention.

 Du coup, tu es certain de pouvoir éliminer rapidement les dossiers
 baclés par des droïdes-à-propales qui n'auraient pas suivi correctement
 la mise en prod et le SAV ;)

 --
 Jérôme Nicolle
 06 19 31 27 14


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Utilité des adresses peering@

2013/6/20 Jérôme Nicolle jer...@ceriz.fr

 Salut Raphaël,

 Le 20/06/2013 18:45, Raphael Maunier a écrit :
  Mettre des la création du point d'échange, des contraintes
  réglementaires n'est pas du tout bien vu et aura tendance à faire fuir
  les gros opérateurs qui n'auront pas envie de négocier avec leur service
  juridique.
 
  Donc keep it simple, keep it open !

 Ah mais bien entendu, il n'y a aucune contrainte de ce type sur le
 TOUIX, et les opérateurs cités n'en sont pas (encore ?) membres.

 L'incitation au peering envisagé par les collectivités dans leurs appels
 d'offres ne sont qu'un moyen pour eux de bénéficier de services plus
 souples et de meilleure qualité, et ce en totale décorrélation avec la
 présence d'un GIX local. Ce dernier peut faciliter la tâche, c'est tout.


Je pense pas que ce soit une bonne idée.
Pour le moment,  le CSA, pardon l'Arcep , ne fait que des mesures et n'est
pas aujourd'hui Compétent pour obliger / conseiller / inciter de peerer,
et ce n'est pas non-plus son rôle.



 L'expression des besoins techniques ne permettant pas d'imposer une
 solution, les interconnexions souhaitées peuvent se faire en PNI ou via
 une plate-forme mutualisée, et c'est nécessairement au choix des
 opérateurs souhaitant se positionner sur le marché.

 Par contre la densité des interconnexions et la longueur des routes,
 plus ou moins liées à la politique de peering, peuvent être prises en
 compte dans l'évaluation technique du soumissionnaire, c'est là la
 grosse avancée, et espérons que ça devienne la norme dans les marchés
 publics.


Donc si je comprends bien ton propos, tu veux nous faire croire que les
mecs des collectivités seront en mesure de faire une analyse fine de tout
ce boxon ?
Ok, On verra une armada de consultants , dont la plupart ne savent pas ce
que c'est que le Bien Gentil Protocole ( copyright Sbol ), proposer leurs
services aux différentes collectivités .

Si ton truc passe, dans un monde non futuriste, je deviens consultant et je
vais faire le tour de France direct !



 --
 Jérôme Nicolle
 06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Utilité des adresses peering@

En avance sur Vendredi :)

Bon je modifie : si ça généralise, je me fais payer pour ça

À bientôt,
Raphael

PS : et ça fait bien longtemps que je ne l'ai pas fait :)

Le jeudi 20 juin 2013, Sidney Boumendil a écrit :

 2013/6/20 Raphael Maunier raph...@franceix.net javascript:_e({},
 'cvml', 'raph...@franceix.net');


 Si ton truc passe, dans un monde non futuriste, je deviens consultant et
 je
 vais faire le tour de France direct !


 C'est pas ce que tu fais deja ? :)

 Amicalement,
 Sidney


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Utilité des adresses peering@

Le jeudi 20 juin 2013, Jérôme Nicolle a écrit :

 Le 20/06/2013 20:35, Raphael Maunier a écrit :
  Je pense pas que ce soit une bonne idée.
  Pour le moment,  le CSA, pardon l'Arcep , ne fait que des mesures et
  n'est pas aujourd'hui Compétent pour obliger / conseiller / inciter de
  peerer, et ce n'est pas non-plus son rôle.

 Qui te parle de l'ARCEP ?



 Moi !

 Ils n'ont aucun pouvoir sur les marchés
 publics des collectivités ou administrations, et ne peuvent qu'être
 consultés par une cour administrative en cas de litige relevant de
 modalités d'interconnexions impliquant une personne publique.


Parce que tu crois qu'un opérateur qui rend déjà des comptes à l'arcep va
s'exposer 2 fois ?


 La on parle juste des cahier des charges techniques des appels d'offres
 émis par des collectivités, et ces critères font sens pour certaines
 d'entre elles qui se sont penchés sur la question.

  Donc si je comprends bien ton propos, tu veux nous faire croire que les
  mecs des collectivités seront en mesure de faire une analyse fine de
  tout ce boxon ?

 Les critères de lecture sont simples : des traceroute, des listes de
 points de présence, une carte de membre pour les IX cités... La liste
 des pièces à fournir et la façon de les lire est assez simple à faire
 passer dans une circulaire telles que les conseils généraux les
 diffusent aux mairies, par exemple.


Tu y crois vraiment ? Les cartes de réseau bullshit et des traceroutes
foireux, je connais des opérateurs qui maintenant le pratique !


  Ok, On verra une armada de consultants , dont la plupart ne savent pas
  ce que c'est que le Bien Gentil Protocole ( copyright Sbol ), proposer
  leurs services aux différentes collectivités .

 Ah alors ça, c'est un autre problème. Je ferais bien un quizz en ligne
 pour que les collectivités puissent tester les compétences des
 soumissionaires, et distinguer les gens serieux des suceurs de fonds
 publics. Non, il ne suffira pas de savoir ce qu'st un GBIC, sinon les
 enseignant chercheurs pourraient se faire passer pour des consultants
 maintenant :O


Vendredi c'est dans 3h :)


  Si ton truc passe, dans un monde non futuriste, je deviens consultant et
  je vais faire le tour de France direct !

 Ah ben si ça te dit, il y a du boulot pour déniaiser les collectivités
 sur ce genre de sujets techniques (de la tranchée au routeur). Et pas
 que dans le public, d'ailleurs. C'est l'occasion de voir du pays :D

 --
 Jérôme Nicolle
 06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Utilité des adresses peering@

2013/6/20 JC j...@igwan.net

 Bonjour,

 On 2013-06-20 14:35, Raphael Maunier wrote:

 2013/6/20 Jérôme Nicolle jer...@ceriz.fr [1]

 [...]

 Pour le moment,  le CSA, pardon lArcep , ne fait que des mesures et
 nest pas aujourdhui Compétent pour obliger / conseiller / inciter
 de peerer, et ce nest pas non-plus son rôle.



 Le CPCE lui donne pourtant ces compétences (L.34-8 du CPCE).

 l'autorité peut imposer, de manière objective, transparente, non
 discriminatoire et proportionnée, les modalités de l'accès ou de
 l'interconnexion


Define peering / Define Transit / Defined Paid Peering ...
Pourquoi tel ou tel ratio ?  etc etc.

Pourquoi tu crois que l'Arcep fait des mesures depuis peu ?

Les contrats de transit / peering ne sont pas encore réglementés. On verra
plus tard, pour le moment, c'est du pure commerce !

==  Le peering n'est PAS réglementé !


 Les exploitants de réseaux ouverts au public font droit aux demandes
 d'interconnexion des autres exploitants de réseaux ouverts au public


Ben encore heureux :

Bonjour je veux me connecter, selon l'article machin bidule ...
Mais pas de pb monsieur, selon l'article X de mon contrat d'interco c'est
XXX$

On ne travaille pas pour la gloire hein ...


 --
 JC







 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Passer LIR


On Jun 20, 2013, at 10:23 PM, frederic frede...@placenet.org wrote:

 
 bonsoir,
 
 un peu facile l'amalgame...
 
 mais on notera que la rareté des Ipv4 aura fait vite fait de mettre en place 
 un tarif pour ce debarasser des petits…

2k annuel pour passer LIR ..

 d'oublier que l'on impose pas unilittéralement un contrat à ce qui n'en avait 
 pas.

Donc passer d'un mode bordélique à un mode géré c'est pas bien ?

 on comprendra que l'Icann voyant qu'en 2006 , les accords sur la gouvernance 
 de l'Internet ne vont pas dans le sens qu'ils veulent et donc on cree un 
 contrat sur les ipv4 existantes pour en prendre le controle au détriment des 
 négociation en cours... qui demande plus de liberalité la possiblité 
 d'avoir des concurents au ripe en europe par exemple...
 
 l'europe demande que le citoyen soit dans la décision et non pas seulement 
 les professionnels.

Bonjour Mister fils de Mme Michue.

Comme ta maman Madame Michue ne sait pas comment fonctionne Internet, entre 2 
partie de Call of Duty, tu pourrais donner ton avis sur la gestion des adresses 
ipv4 et surtout, tu crois qu'on doit toujours filer des /24 PI à des mecs qui 
ont un business et ne peuvent pas payer 2k annuel pour le sécuriser ?

 
 19Meuros pour le ripe et 16Mde dollard pour l'arin, pour gérer une base d'ips 
 qui d'ailleurs sont attribuées sans aucune garanti, je t'imagine bien 
 accepter de payer un service tout les mois sans garanti…

Ben tous les mois, j'ai un truc qui s'appelle retraite sur ma fiche de paie ...
 
 et le fonctionnement du Ripe n'est pas un vote démocratique, c'est une 
 plutocratie, la question voulez vous vous faire plus de fric ? et la réponse, 
 sans surprise, est toujours oui…

Dire que le ripe ne sert qu'à prendre du pognon est bien réducteur. Tu crois 
vraiment qu'Internet se construit sans organisation un tant soit peu 
fédératrice ? Qu'une communauté n'a pas besoin de se créer / financer pour 
faire avancer les choses ?
Il n'y aurait pas eu ces organisations, ton business n'existerait probablement 
pas

 
 le danger de contractualiser formellement tous les réseaux est un danger,

Ah ? Donc par exemple un pays pourrait fonctionner sans faire de carte 
d'identité à ses ressortissants ?
Tres bien, je t'invite à essayer de te rendre dans un pays qui n'est pas dans 
l'espace Schengen sans passeport en invoquant ta liberté d'individu

 le coté opérationnel qui arrive avec le ROA centralisé est aussi très 
 dangereux.
 
 les noms de domaine sont un bon exemple: on segmente pour créer des marchés: 
 .a .b .c etc…

Ah ok, j'avais oublié le concept : trop de redondance tue la redondance …

 alors que faire des noms de domaines sans dot kelkechose c'est pas dans 
 l'air du temps...
 
 
 les Provider indépendant c'est TERMINé, et aucune réaction…

Si, ENFIN !

 
 a+
 
 
 
 
 
 
 Le 20/06/2013 21:31, Radu-Adrian Feurdean a écrit :
 On Thu, Jun 20, 2013, at 14:30, Frédéric wrote:
 
 en droit européen et français le ripe et consort... n'ont semble t-il
 pour le moment aucune légitimité (sauf celle qu'on semble vouloir leur
 Tout comme les billets de banque emis par la BCE, BoE, Fed, ...
 Il suffit juste de voir ce qu'on peut (pas) faire en France avec un
 billet de 200 ou 500 EUR.
 D'ailleurs c'est pareil pour les gouvernements.troll  Il suffir de
 faire un tour dans le 93 profond ou dans certaines zones a
 Marseille./troll
 
 donner), et leur politique d'obliger unilittéralement d'avoir un contrat
 sur des ressources qui en avaient pas, serait assimilable à un abus.
 Je trouve aussi que c'est un abus le fait de m'obliger a payer des
 impots (autant d'impots).
 Pour revenir a la realite, je prefere l'autorite d'une entite ouverte,
 ou en plus j'ai un vote parmi moins de 9000 au total et ou il y a un
 vote tous les 12 MOIS au pire, plutot que l'autorite d'un
 quelque-chose opaque, ferme, et qui laisse choisir une seule fois
 tous les 5 ans, avec un choix parmis plusieurs millions.
 
 En ce qui concerne le contrat pour utiliser des numeros, encore une
 fois, je prefere les policies RIPE plutot que la reglementation (et pire
 encore, la jurisprudence = loi faite par des non-elus) en matiere de
 propriete intellectuelle.
 
 Disons juste qu'avoir un reseau visible uniquement par les FAI qui se
 ont fait obliger a accepter tes annonces suite a une decision de la
 justice nationale (peu importe le pays) n'est pas du tout l'idee que je
 me fais d'Internet.
 Tant qu'on y est, on pourra toujours (mais je n'ai PAS dit facilement))
 touver un juge sufisamment a cote pour se voir attribuer 10.0.0.0/8
 (avec visibilite Internet) par decision de justice. C'est ca que tu
 cherches ?
 
 le danger de la hiérarchisation des adresses est un véritable danger
 pour la neutralité de l'Internet.
 ???
 Parce-que chacun qui prend ce qu'il a envie de prendre est un modele
 viable ?
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG

Re: [FRnOG] [MISC] Passer LIR

Le vendredi 21 juin 2013, Yohann QUINTON a écrit :

 Le 20/06/13 23:11, Raphael Maunier a écrit :

 On Jun 20, 2013, at 10:23 PM, frederic frede...@placenet.org wrote:

  bonsoir,

 un peu facile l'amalgame...

 mais on notera que la rareté des Ipv4 aura fait vite fait de mettre en
 place un tarif pour ce debarasser des petits…

 2k annuel pour passer LIR ..

 On est bien d'accord, 2k de trop ^^


En France, quand on est propriétaire on paie des impôts locaux pour avoir
le droit d'habiter chez soit.
Ces impôts servent à la commune pour le bienêtre des concitoyens on va
dire. Et c'est normal de les payer, à moins que l'on me prouve le contraire.


  d'oublier que l'on impose pas unilittéralement un contrat à ce qui n'en
 avait pas.

 Donc passer d'un mode bordélique à un mode géré c'est pas bien ?

 Géré ??? un bien grand mots ... imposé plus déjà, sinon il n'y aurai pas
 d'IPv4 inutilisé au quatre coin de cette belle planète bleu... Et on aurai
 déja sans doute fait le pas de l'IPv6 depuis une/deux/belle lurette ^^


Nié ? Donc le fait que l'ipv6 n'est pas déployé, c'est de la faute des rir ?
Trop gros passera pas !


  on comprendra que l'Icann voyant qu'en 2006 , les accords sur la
 gouvernance de l'Internet ne vont pas dans le sens qu'ils veulent et donc
 on cree un contrat sur les ipv4 existantes pour en prendre le controle au
 détriment des négociation en cours... qui demande plus de liberalité la
 possiblité d'avoir des concurents au ripe en europe par exemple...

 l'europe demande que le citoyen soit dans la décision et non pas
 seulement les professionnels.

 Bonjour Mister fils de Mme Michue.

 Comme ta maman Madame Michue ne sait pas comment fonctionne Internet,
 entre 2 partie de Call of Duty, tu pourrais donner ton avis sur la gestion
 des adresses ipv4 et surtout, tu crois qu'on doit toujours filer des /24 PI
 à des mecs qui ont un business et ne peuvent pas payer 2k annuel pour le
 sécuriser ?

 Faire une partie peu parfois détendre... j'vous sent tendu sur FRNog en ce
 moment ^^


Ça ira, je suis plutôt Diablo3, les jeux ou il fait jouer 8h par jour pour
améliorer sa technique, très peu pour moi :)

Et je ne suis pas tendu, mais sérieusement, voir les gens systématiquement
remettre en cause un système sans jamais prendre d'action, c'est pénible.
Donc quand j'ai du temps, je réponds , et ça tombe bien hier soir j'en
avais !


  19Meuros pour le ripe et 16Mde dollard pour l'arin, pour gérer une base
 d'ips qui d'ailleurs sont attribuées sans aucune garanti, je t'imagine bien
 accepter de payer un service tout les mois sans garanti…

 Ben tous les mois, j'ai un truc qui s'appelle retraite sur ma fiche de
 paie ...

 Le système est mal géré rajoutons une couche ! logique imparable,
 j'approuve.


Je n'ai pas dis que j'approuve :) je préparais vendredi sur celle la, rien
à voir !



  et le fonctionnement du Ripe n'est pas un vote démocratique, c'est une
 plutocratie, la question voulez vous vous faire plus de fric ? et la
 réponse, sans surprise, est toujours oui…

 Dire que le ripe ne sert qu'à prendre du pognon est bien réducteur. Tu
 crois vraiment qu'Internet se construit sans organisation un tant soit peu
 fédératrice ? Qu'une communauté n'a pas besoin de se créer / financer pour
 faire avancer les choses ?
 Il n'y aurait pas eu ces organisations, ton business n'existerait
 probablement pas

 Quelle légitimité du RIPE dans un pouvoir fédérateur ? On parle plutôt
 d’asservissement et de délégation de contrôle sur un bout du monde (virtuel
 quand même) comme un autre.


Parce que la gestion entre potes des @ip c'est un truc scalable ?
C'était presque comme cela au début, et justement les /8 qui étaient
affectés au début , c'était par email entre potes pour simplifier.

La phase d'un des mecs de l'infra de Google maintenant chez Microsoft : If
it does not scale change the way you are doing it !

Donc la gestion par le ripe en EU est un modèle qui est scalable et qui
permet que tout le beau petit microcosme fonctionne. La gestion entre potes
ou communiste, ça ne marche pas.
J'aimerais bien voir à ce que l'on me prouve le contraire !


 Encore une fois ^^ je pense que le business de pas mal de gens sur cette
 liste n'existerai pas...


Je dirais même que les rir devraient être encore plus restrictifs sur
l'affectation de ressources !
Pour conduire sur une autoroute, il faut un permis de conduire avant de le
faire. Pour construire une autoroute il faut une concession et un permis !
 ( attention phrase pour market eux ou journalistes ) Et bien pour construire
les l'autoroutes de l'information, il faut aussi un permis ! :)


  Une petite partie de Call of ?


Toujours pas !


  le danger de contractualiser formellement tous les réseaux est un danger,

 Ah ? Donc par exemple un pays pourrait fonctionner sans faire de carte
 d'identité à ses ressortissants ?
 Tres bien, je t'invite à essayer de te rendre dans un pays qui n'est pas
 dans l'espace Schengen sans passeport en invoquant ta liberté

Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit

2013-06-11 Par sujet Raphael Maunier

Hello,

J'utiliserais du Adva FSP avec les cartes bonnes cartes d'encryption.

C'est leur plus gros marché entreprise ce type de solution

Cordialement,
-- 
Raphael MAUNIER
Jaguar Network France


On Jun 11, 2013, at 10:24 AM, Rémi Laurent remi.laurent-fr...@conostix.com 
wrote:

 Bonjour la liste,
 
 est-ce que certains d'entres vous ont des recommendations ou pistes à
 suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit
 intersite ?
 
 Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau
 d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de
 chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis
 livré au deux extrêmités en 1000BASE-LX 1310nm.
 
 J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin
 mais si je lis bien cela implique d'avoir un support end to end; dans ce
 cas cela rendrait trop compliquée la mise en oeuvre sur mon infra
 existante.
 
 Si vous avez des recommendations au niveau matériel qui supporte ce
 genre de chose, je suis également preneur.
 
 -- 
 Rémi Laurent
 
  GPG FP: 27F4 6810 2B0E 1AA0 CDAE  7C7B 3DC9 085A 0FA0 0601


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ethtool et carte Ethernet 1000mbps

2013-06-07 Par sujet Raphael Maunier

rohhh :)

Pour moi c'est pas du troll et tu as bien raison de le souligner. 
presque 10 ans après, il est temps d'upgrader le matos hein :)

Cordialement,
-- 
Raphael MAUNIER
Jaguar Network France


On Jun 7, 2013, at 3:41 PM, Leslie-Alexandre DENIS - DCforDATA 
lade...@dcfordata.com wrote:

 trollOn est vendredi c'est bon, MDI-X, le croisement/décroisement est 
 auto-géré, on est plus en 2004 comme dirait l'autre.../troll
 Le 07/06/2013 14:30, Michael LESTOQUOY a écrit :
 Bonjour,
 accessoirement, tu as un câble croisé ?
 
 
 Date: Thu, 6 Jun 2013 15:43:26 +0200
 From: michel.hostett...@telecom-paristech.fr
 To: ashe...@hotmail.fr
 CC: frnog-t...@frnog.org
 Subject: Re: [FRnOG] [TECH]  ethtool et carte Ethernet 1000mbps
 
 Bonjour,
 
 Un point au moins, le 1000Base-T fonctionne obligatoirement avec 
 autonégociation : l'une des 2 extrémités doit prendre la fonction de 
 maître, pour raison de synchronisation. J'ai aussi souvenir que 
 l'embrouilleur maître doit être distinct de l'embrouilleur esclave, compte 
 tenu de la propagation Tx / Rx en différentiel sur les 4 paires.
 
 Ensuite intervient le câblage. Si le taux d'erreur est important, rien ne 
 fonctionne.
 
 Cordialement,
 Michel Hostettler
 
 
 
 - Mail original -
 De: ashemta ochenta ashe...@hotmail.fr
 À: frnog-t...@frnog.org
 Envoyé: Jeudi 6 Juin 2013 14:48:35
 Objet: [FRnOG] [TECH]  ethtool et carte Ethernet 1000mbps
 
 Bonjour a tous.
 j'ai donc un problème avec ethtool sous debian
 
 je n'arrive pas a forcer ma carte Ethernet en 1gbps.
 pourtant bien supporter.
 
 Supported link modes:   10baseT/Half 10baseT/Full
  100baseT/Half 100baseT/Full
  1000baseT/Full
 
 je fait donc :
 ethtool -s eth0 autoneg off
 ethtool -s eth0 speed 1000 ( et la plus de net )
 
 es possible que le routeur derrière bloque la connexion ?
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
  
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 -- 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] ethtool et carte Ethernet 1000mbps

2013-06-06 Par sujet Raphael Maunier

BCP = auto nego hein :)

On est plus en 2004 

Cordialement,
-- 
Raphael MAUNIER
Jaguar Network France


On Jun 6, 2013, at 3:23 PM, Laurent Caron (Mobile) lca...@unix-scripts.info 
wrote:

 
 ashemta ochenta ashe...@hotmail.fr a écrit :
 Bonjour a tous.
 j'ai donc un problème avec ethtool sous debian
 
 je n'arrive pas a forcer ma carte Ethernet en 1gbps.
 pourtant bien supporter.
 
 Supported link modes:   10baseT/Half 10baseT/Full
100baseT/Half 100baseT/Full
1000baseT/Full
 
 je fait donc :
 ethtool -s eth0 autoneg off
 ethtool -s eth0 speed 1000 ( et la plus de net )
 
 es possible que le routeur derrière bloque la connexion ?
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 Bonjour
 Comment est paramétré le port du routeur?
 1000 full, auto?
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Peering et attaques

2013-05-16 Par sujet Raphael Maunier - Jaguar Network

Et pourquoi un opérateur prendrait la charge de rate-limit sur son backbone 
juste comme ça pour faire plaisir à un client :)

L'impact sur la charge des routeurs est significatif. C'est pour cela que les 
opérateurs prennent des solutions qu'ils facturent.

Apres speed - price - quality, pick any two

Cordialement,
-- 
Raphael MAUNIER
Jaguar Network France

On May 16, 2013, at 9:28 AM, Jérémy Martin li...@freeheberg.com wrote:

 De manière plus générale, une communauté rate-limit avec les upstream et une 
 simple règle qui dit
 rate-limit DNS SNMP à 50 Mb/s
 
 Ca serais largement suffisant. Non ?
 Chez Cogent, on a reçu une fin de non recevoir quand on leur a demandé 
 d'arrêter de nous bombarder avec leur root-server :(
 
 Cordialement,
 Jérémy Martin
 
 Le 16/05/2013 09:23, David Ramahefason a écrit :
 ah my bad j'ai mal lu donc Nicolas a raison, pour la partie CS il n'y a
 pour le moment pas de solution si l'upstream ne gère pas la fonctionalité.
 
 Pour en revenir au post initial, s'il y a déjà un TMS en place il serait
 peut être intéressant de tester l'ajout d'un pravel (Mathieu ?? :p) pour la
 partie services (en coupure) non ?? De ma compréhension du produit c'est
 exactement ce pour quoi il est fait.
 Apres je ne sais pas si le CS du coup en local est utile par contre.
 
 
 
 Le 16 mai 2013 09:09, David Ramahefason r...@netfacile.net a écrit :
 
 Salut Nicolas :)
 
 ah oui sur l'upstream ne gère pas de CS cela peut poser problème  mais il
 y a des fournisseurs de service de CS en remote (après je ne connais pas
 l'efficacité d'une telle utilisation):
 
 http://www.arbornetworks.com/products/cloud-signaling-coalition
 
 A+
 
 
 
 Le 16 mai 2013 07:29, Nicolas Strina nicolas.str...@jaguar-network.coma 
 écrit :
 
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1
 
 Bonjour,
 
 Bonsoir,
 
 Pour les attaques applicatives c'est le Pravel de chez Arbor (qui se
 met en coupure) qu'il faut avec un Cloud signaling sur les Peak Flow des
 upstream ou sur le sien.
 
 Sauf que dans son cas il faut que son upstream provider supporte le cloud
 signaling. On est 1 ou 2 en France à pouvoir le faire.
 Sans ça tu satures quand même tes liens .. De mémoire Cogent ne fait pas
 ça .. C'est la seule alternative viable pour le moment (pour bien avoir
 bossé sur le sujet).
 On avait déjà signalié ce type d'attaque lors d'une présentation avec
 Arbor à un des derniers FRNOG. Ca n'a pas évolué .. (ou peu).
 
 A+
 
 
 Cordialement
 
 David R.
 
 
 -Original Message- From: frnog-requ...@frnog.org [mailto:
 frnog-requ...@frnog.org] On Behalf Of Jérémy Martin Sent: mercredi 15
 mai 2013 23:01 To: Moncef ZID Cc: frnog-t...@frnog.org Subject: Re:
 [FRnOG] [TECH] Peering et attaques
 
 Pas les moyens pour le moment. De plus, si le port 1Gb/s est saturé en
 amont, Arbor ne sert plus à rien à part faire un blackhole. Ca, on sait
 déjà le faire nous même automatiquement.
 
 Cordialement, Jérémy Martin
 
 Le 15/05/2013 22:51, Moncef ZID a écrit :
 Une solution : Arbor Networks Peak Flow SP et TMS Une solution
 efficace pour le Peering et pour le DDOS
 
 Moncef ZID Manaraway Consulting Co-Founder and Strategic Developement
 Manager Phone 0033169301734 Mobile 0033616232730 Moncef ZID Website :
 www.manaraway.com Email: zmon...@manaraway.com ConsultingAudit
  and Training Data Center , Security , Cloud , Application Delivery
 
 
 
 -Original Message- From: frnog-requ...@frnog.org [mailto:
 frnog-requ...@frnog.org] On Behalf
 Of
 Jérémy Martin Sent: mercredi 15 mai 2013 22:35 To:
 frnog-t...@frnog.org Subject: [FRnOG] [TECH] Peering et attaques
 
 Bonjour,
 
 On est confronté à un problème qui nous embarrasse pas mal ces temps
 ci. On a la chance de pouvoir utiliser plusieurs points de peerings : -
 FranceIX - Sfinx -Equinix - Amsix
 
 Le problème c'est qu'on se prend souvent des attaques par amplification
 DNS
 et que tout cumulé, bah ça coince à un moment donné (même en 10G)...
 Du coup, on regarde si certains ont la possibilité d'appliquer des
 rate-limit port 53 de manière drastique sur les ports de livraisons. Mais
 ça ne semble pas possible (ce qu'on peut comprendre parla défense
 d'une
 certaine neutralité).
 
 Cependant, pour ceux qui gèrent un IX ici, personne n'y a pensé ? (ou
 les moyens de le proposer sur ceux cité) ?
 
 Coté transitaire, évidemment, on est obligé de se débrouiller
 autrement (blackhole, ou autre), mais seul Cogent nous bombarde du 10Gb/s
 d'ampli
 DNS
 et considère ça normal (sachant que le Root de Cogent est juste
 derrière à Londres...).
 
 Merci pour vos remarques et commentaires pertinents,
 
 -- Cordialement, Jérémy Martin
 
 
 __ FreeHeberg.com : Osez l'hébergement
 gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go
 
 
 --- Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 --- Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 
 --- Liste de diffusion

Re: [FRnOG] [TECH] Switch 10G pour cohabitation 10G/1G

2013-05-14 Par sujet Raphael Maunier - Jaguar Network

Hello Romain,

J'avais vu ces équipements il y a 3 ou 4 ans ( juste avant que Juniper ne sorte 
la gamme EX ) pour la partie MPLS.

Sur le papier ça avait l'air pas mal et les mecs avec qui j'en avais parlé en 
était très content.

Apres, la suite …. J'aime bien les EX :)

Cordialement,
-- 
Raphael MAUNIER
Jaguar Network France

On May 14, 2013, at 11:30 AM, Romain DEGEZ romain.de...@smartjog.com wrote:

 On 05/14/2013 09:20 AM, Moncef ZID wrote:
 Bonjour
 
 Les équipements Dowslake supportent  bien IPV6 :)  , je cherche l'info et je
 la poste
 
 Merci
 
 Jamais entendu parler de ces trucs avant et 2 minutes de googling plus loin 
 je trouve assez peu rassurant le manque de visibilité de ces équipements... 
 Absolument personne n'en parle :-)
 
 Curieux de savoir quel OS ils utilisent.
 Ils ont complètement re-développé une stack logicielle complète 
 (OSPF/BGP/MPLS/EAPS) eux-même ?
 
 -- 
 RD
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switch 10G pour cohabitation 10G/1G

2013-05-14 Par sujet Raphael Maunier - Jaguar Network

Pour rester HS et alimenter le troll : Acheter un switch qui a un nom de médoc, 
c'est un peu étrange :)

Cordialement,
-- 
Raphael MAUNIER
Jaguar Network France

On May 14, 2013, at 4:52 PM, Michel Moriniaux moriniaux.li...@gmail.com wrote:

 Bonjour,
 qqun a-t'il déjà évalué des Mellanox? (HS car pas de support 1G)
 le sx1016 (64 ports 10G) par ex?
 http://www.mellanox.com/page/ethernet_switch_overview
 
 
 2013/5/14 Raphael Maunier - Jaguar Network 
 raphael.maun...@jaguar-network.com
 
 Hello Romain,
 
 J'avais vu ces équipements il y a 3 ou 4 ans ( juste avant que Juniper ne
 sorte la gamme EX ) pour la partie MPLS.
 
 Sur le papier ça avait l'air pas mal et les mecs avec qui j'en avais parlé
 en était très content.
 
 Apres, la suite …. J'aime bien les EX :)
 
 Cordialement,
 --
 Raphael MAUNIER
 Jaguar Network France
 
 On May 14, 2013, at 11:30 AM, Romain DEGEZ romain.de...@smartjog.com
 wrote:
 
 On 05/14/2013 09:20 AM, Moncef ZID wrote:
 Bonjour
 
 Les équipements Dowslake supportent  bien IPV6 :)  , je cherche l'info
 et je
 la poste
 
 Merci
 
 Jamais entendu parler de ces trucs avant et 2 minutes de googling plus
 loin je trouve assez peu rassurant le manque de visibilité de ces
 équipements... Absolument personne n'en parle :-)
 
 Curieux de savoir quel OS ils utilisent.
 Ils ont complètement re-développé une stack logicielle complète
 (OSPF/BGP/MPLS/EAPS) eux-même ?
 
 --
 RD
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switch 10G pour cohabitation 10G/1G

2013-05-14 Par sujet Raphael Maunier - Jaguar Network

Ah bah, 

Les EX au début ça ne fonctionnait juste pas on est tous d'accord sur le sujet

Cependant, c'est la qu'on voit la force d'un constructeur comme Juniper, car 
ils n'ont pas passé 40 ans pour faire tomber en marche et vraiment bien.


Cordialement,
-- 
Raphael MAUNIER
Jaguar Network France

On May 14, 2013, at 6:33 PM, Moncef ZID zmon...@manaraway.com wrote:

 Raphael 
 Rappelle-toi des premières versions des switchs EX malgré que le Vendor
 s'appelait Juniper 
 
 Moncef ZID 
 Manaraway Consulting 
 Co-Founder and Strategic Developement Manager 
 Phone 0033169301734
 Mobile 0033616232730
 Moncef ZID
 Website : www.manaraway.com
 Email: zmon...@manaraway.com
 ConsultingAudit  and Training  
 Data Center , Security , Cloud , Application Delivery  
 
 
 
 -Original Message-
 From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of
 Raphael Maunier - Jaguar Network
 Sent: mardi 14 mai 2013 17:02
 To: Michel Moriniaux
 Cc: frnog@frnog.org
 Subject: Re: [FRnOG] [TECH] Switch 10G pour cohabitation 10G/1G
 
 Pour rester HS et alimenter le troll : Acheter un switch qui a un nom de
 médoc, c'est un peu étrange :)
 
 Cordialement,
 --
 Raphael MAUNIER
 Jaguar Network France
 
 On May 14, 2013, at 4:52 PM, Michel Moriniaux moriniaux.li...@gmail.com
 wrote:
 
 Bonjour,
 qqun a-t'il déjà évalué des Mellanox? (HS car pas de support 1G) le 
 sx1016 (64 ports 10G) par ex?
 http://www.mellanox.com/page/ethernet_switch_overview
 
 
 2013/5/14 Raphael Maunier - Jaguar Network  
 raphael.maun...@jaguar-network.com
 
 Hello Romain,
 
 J'avais vu ces équipements il y a 3 ou 4 ans ( juste avant que 
 Juniper ne sorte la gamme EX ) pour la partie MPLS.
 
 Sur le papier ça avait l'air pas mal et les mecs avec qui j'en avais 
 parlé en était très content.
 
 Apres, la suite …. J'aime bien les EX :)
 
 Cordialement,
 --
 Raphael MAUNIER
 Jaguar Network France
 
 On May 14, 2013, at 11:30 AM, Romain DEGEZ 
 romain.de...@smartjog.com
 wrote:
 
 On 05/14/2013 09:20 AM, Moncef ZID wrote:
 Bonjour
 
 Les équipements Dowslake supportent  bien IPV6 :)  , je cherche 
 l'info
 et je
 la poste
 
 Merci
 
 Jamais entendu parler de ces trucs avant et 2 minutes de googling 
 plus
 loin je trouve assez peu rassurant le manque de visibilité de ces 
 équipements... Absolument personne n'en parle :-)
 
 Curieux de savoir quel OS ils utilisent.
 Ils ont complètement re-développé une stack logicielle complète
 (OSPF/BGP/MPLS/EAPS) eux-même ?
 
 --
 RD
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Switch 10G pour cohabitation 10G/1G

2013-05-10 Par sujet Raphael Maunier - Jaguar Network

Ouais les super ICX , c'est pas ceux les lags recalculent quand un membre du 
channel est déconnecté ?

La dernière fois que j'ai eu le support brocarde sur ce sujet ( via un client ) 
: Bug qui sera potentiellement corrigé en Q4 …

A fuir comme la peste :)

Cordialement,
-- 
Raphael MAUNIER
Jaguar Network France


On May 10, 2013, at 12:01 PM, Romain MAZET - BSO Network Solutions 
romain.ma...@bsonetwork.com wrote:

 Hello,
 
 Chez Brocade plutôt que les TurboIron, tu as aussi les ICX6450-24 avec 2 
 ports 10G SFP+ intégrés + 2 Ports SFP.
 Les 2 ports SFP peuvent se tranformer en port SFP+ sous activation d'une 
 licence.
 Je ne connais pas ton budget mais les 6450-24 sont vraiment abordables.
 
 Les ports SFP+ peuvent être utilisés soit pour monter un stack, soit pour 
 monter des liens 10G vers tes uplinks.
 Ca fait du dual mode SFP et SFP+.
 
 Sinon si tu recherches plus de ports 10G, tu as les ICX6610 (8 ports 10G 
 SFP+).
 
 Tu peux trouver facilement des optiques compatibles pour Brocade, tous les 
 vendeurs d'optiques peuvent les coder.
 
 http://www.brocade.com/products/all/switches/product-details/icx-6430-and-6450-switches/specifications.page
 
 http://www.brocade.com/products/all/switches/product-details/icx-6610-switch/specifications.page
 
 Romain
 
 
 De : frnog-requ...@frnog.org [frnog-requ...@frnog.org] de la part de Julien 
 Escario [esca...@azylog.net]
 Date d'envoi : vendredi 10 mai 2013 10:13
 À : frnog@frnog.org
 Objet : Re: [FRnOG] [TECH] Switch 10G pour cohabitation 10G/1G
 
 Le 07/05/2013 15:00, David BERARD a écrit :
 Bonjour à tous,
 
 Je suis à la recherche de switch pour évoluer progressivement vers du 10G
 (cohabitation 1G SFP /cuivre et 10G).
 
 C'est les premiers matériels en 10G que je dois mettre en place, je me pose
 quelques questions :
 
  - Les ports SFP+ sont'-ils compatibles avec des SFP (certaines
 spécifications le précise d'autre non) ?
  - Il y a t'il des compatibilités SFP+ / switch à respecter ?
 
 Je n'ai besoin que de fonctionnalité très basique (VLAN / access-list
 L2-L4), niveau nombre de ports il me faut au moins 4 ports 10G SFP+, 4
 ports SFP et 2 ports cuivre.
 
 Je suis habitué à SMC mais ils n'ont pas de référence correspondant à ce
 besoin.
 Avez-vous des conseils sur le choix de ces matériels ?
 J'ai une référence chez DLINK (DGS-3420-28TC) qui semble correspondre mes
 besoins (et au budget), peut-être avez-vous des retours d'expérience sur
 cette marque pour des équipements 10G ?
 
 Bonjour,
 On déploie pas mal de Netgear :
 http://www.netgear.fr/business/products/switches/smart-switches/smart-switches-stackables/GS752TXS.aspx
 
 Ca fait pas tout mais le support est assez bon : faut juste passer le niveau 1
 en balançant des trucs techniques sans forcément un rapport.
 
 Et oui, le SFP+ accepte du SFP de manière transparente. On a mis du optech,
 aucun problème.
 
 Julien
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] SDN et la neutralité du réseau

2013-03-27 Par sujet Raphael Maunier

Tout à fait d'accord avec toi sur tes derniers points, et merci pour tes 
remarques qui sont claires et précises !

On a la révolution du cloud avec la virtualisation ( que nous faisons tous par 
ailleurs depuis des années), et maintenant on a la révolution SDN avec 
l'automatisation de certaines taches et le pilotage du HW par le soft.
Pour en avoir discuté avec pas mal de monde au dernier Mpls/Sdn Forum, SDN est 
à la mode pour permettre aux constructeurs de HW de se faire une reconversion 
sans trop de mal :)

Cela permettra aux grands comme Cisco, Juniper, et même Brocade ( s'ils 
arrivent à sauter dans la barque ) de gagner de l'argent  ou d'en perdre un peu 
moins.
Certains pensent que d'ici à quelques années, le HW sera générique et qu'il ne 
sera question que de soft bien intégré. Les asics seront directement intégrés 
dans des composants standardisés et il ne restera que 2 ou 3 grands fondeurs 
et ces puces seront intégrés par défaut dans les serveurs and cie.

Les constructeurs en tout cas prennent le pas avec par exemple Juniper qui a 
racheté Contrail en décembre , et avec Cisco c'est encore plus violent (mais 
bon y a un peu plus de retard au niveau soft),dont  les 5 dernières 
acquisitions sont liés au soft. 
Attention à Cisco quand meme avec leurs gammes de serveurs ou ça va devenir 
très simple pour eux de proposer un all in the box :)

La différence que nous voyons maintenant est une intégration des fluxs 
directement dans/par le soft. Mais bon effectivement, c'est le cas depuis des 
années avec par exemple les boitiers Arbor ou avec BGP et Netflow tu écoutes le 
réseau et sur lequel tu peux agir en fonction des événements du X, Y ou Z
Donc déjà à ce niveau, les opérateurs de coeur de réseau, voient beaucoup de 
choses ( sans meme parler de neutralité, tu peux parler de confidentialité )

Pour reprendre, ce qu'à dit Sylvain avec qui pour une fois je suis tout à fait 
d'accord, ce sont les décisions stratégiques / politiques qui portent un coup 
de massue à la neutralité :)

Par contre, en s'écartant un peu du sujet, on va voir des choses super 
intéressante avec des bugs SDN vs des bugs des OS des routeurs. Pour avoir 
trollé récemment sur le bug flowspec de Cloudflare, avec la dernière personne 
avec laquelle nous avons abordé ce sujet ( Hi Martin ) la conclusion est qu'il 
s'agit bien d'un bug SDN (lié à un humain qq part dans la chaine) 

Bref, on va sortir les popcorns très bientôt :)

-- 
Raphael MAUNIER
Jaguar Network France

Le 28 mars 2013 à 00:24, Gunther Ozerito a écrit :

 Openflow : methodologie pour qu'un control plane disctinct du fabric plane
 puissent communiquer ensemble. Si le control plane openflow fait du routage
 classique, ce n'est pas du SDN...
 
 Openflow permet juste de simplifier certaines implementation de SDN. On
 peut intervenir en amont du peuplement de la RIB avec des regles custom et
 pousser le resultat sur le fabric plane. On peut s'intercaler plus
 facilement entre un process BGP et la RIB, ou entre la RIB et la FIB (pour
 mettre un dispositif de proxy transparent par exemple).
 Le 26 mars 2013 09:39, Alexis Savin alexis.sa...@gmail.com a écrit :
 
 Bonjour,
 
 Pour revenir à la notion de neutralité, il me semble, d'après mes lectures,
 qu'openflow et le concept de sdn en général sont plus destinés à gérer des
 flux backbones (où dans tous les cas la notion de neutralité est toute
 relative) et pas forcément du trafic public (internet). L'effet sur la
 neutralité de l'internet me paraît donc relativement faible.
 
 L'exemple de qui me vient à l'esprit est un papier de Google (
 http://www.wired.com/wiredenterprise/2012/04/going-with-the-flow-google/)
 sur leur utilisation d'openflow, principalement utilisé pour gérer les
 lourds flux applicatifs et de réplication. Le trafic public, autrement dit
 le trafic internet reste géré de façon classique.
 
 Je vois mal openflow être utilisé frontalement sur des réseaux publics.
 L’intérêt me semble limité pour un trafic disparate.
 
 Cordialement.
 
 
 
 2013/3/26 Stephane Bortzmeyer bortzme...@nic.fr
 
 On Mon, Mar 25, 2013 at 07:19:42PM +0100,
 Olivier Cochard-Labbé oliv...@cochard.me wrote
 a message of 24 lines which said:
 
 Si j'ai bien compris, dans un SDN on ne route plus un paquet en
 fonction de son IP de destination mais en fonction de plusieurs
 paramètres tel que: IP source, IP dest, TCP source, TCP dest, etc…
 
 D'autres techniques permettent de faire cela, par exemple FlowSpec
 http://www.bortzmeyer.org/5575.html. Je dirais que c'est comme la
 QoS, tout dépend de qui l'utilise (réseau privé ? Ouvert au public ?)
 et comment.
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 
 --
 Alexis Savin
 Ingénieur Systèmes/Réseaux/Sécurité
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG

Re: [FRnOG] [TECH] Email du RIPE

2013-03-26 Par sujet Raphael Maunier

Je pense plutôt, qu'il se sent frustré qu'il faille répondre à une autorité 
supérieure pour la gestion de ses ip. 

Franchement, les RIR et les règles sont mises en place justement pou éviter le 
chaos et que l'on ai plus des /8 et des /16 qui trainent dans la nature. 
Lorsque dans 1 an, tu auras besoin d'ip tu seras bien content que le ripe ai pu 
récupérer des @ip d'une société qui n'existe plus depuis 5 ans et dont les ip 
étaient soient inutilisées soit utilisées scrupuleusement par son ancien LIR.

Par ailleurs, comme l'a indiqué Matoa, le ripe est une association qui est 
dirigé par ses membres . Donc, comme demandé Nous estimons que cela doit 
rester communautaire et non centralisé, c'est déjà le cas pour la partie 
communautaire.
Si la base du ripe tombe, le routage ne va pas stopper d'un seul coup de 
baguette magique ( bon , certains updates de routes ne passeront plus pour ceux 
qui scriptent sur la base du ripe en direct ), car ce n'est que déclaratif.
Cependant, si tu ne déclares pas tes objets route par exemple, tu pourrais ne 
pas avoir beaucoup de trafic in via certain transitaire qui filtrent sur ces 
objets :)


-- 
Raphael MAUNIER
Jaguar Network France


Le 26 mars 2013 à 08:51, s.lesim...@b-and-c.net a écrit :

 Il me semble avoir lu quelque part que part que le fournisseur du /22 
 incriminé était Completel.
 Ne serait-il pas plus judicieux de demander à Cptl de mettre tout ca a jour 
 au lieu de vouloir en faire une question de principe avec le RIPE?
 Parceque là la question de principe elle serait plutot enver le fournisseur 
 qui fait défaut sur la bonne tenue de ses infos avec le RIPE qu'envers le 
 RIPE qui essaye de faire le ménage...
 Enfin si l'on a du temps et de l'argent à perdre pourquoi pas.
 
 
 Le 2013-03-26 00:52, Fréderic a écrit :
 Le 25/03/2013 23:06, Clement Cavadore a écrit :
 On Mon, 2013-03-25 at 22:58 +0100, Radu-Adrian Feurdean wrote:
 On Mon, Mar 25, 2013, at 12:14, Fréderic wrote:
 
 Nous avons un bloc PI et nous n'avons jamais eu de relation avec le RIPE.
 
 Quelqu'un a bien eu cette relation pour votre compte.
 Have fun a jouer le con avec eux :)
 
 C'est vraiment bête d'avoir un /22 en PI, et de vouloir jouer au con
 pour tenter d'économiser 50€/an.
 
 ce n'est pas une question d'economiser 50 euros/an puis que nous payons
 déjà un avocat pour préparer notre défense, c'est donc principalement
 une question de principe.
 
 
 Cordialement.
 
 
 
 
 
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Email du RIPE

Hello,

Il suffit de trouver un LIR Sponsor qui voudra bien faire la partie 
contractuelle et ne facturer que la partie service Ripe

Je suis sûr que des commerciaux ne vont pas tarder à te contacter et te 
proposer du transit comme add-on :)

Raphael

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
ke...@dubourg.info
Envoyé : lundi 25 mars 2013 11:20
À : Phibee Network Operation Center; frnog@frnog.org
Objet : RE: [FRnOG] [TECH] Email du RIPE

Bonjour,



Le mot posséder était tout à fait mal choisi :-).



Au premier abord nous sommes PI (quelques-uns d'entre vous m'ont aidé à le 
définir).



Notre fournisseur d'accès apparait dans notre WHOIS, je pense que nous avons ou 
avions une adhérence avec eux au niveau du /24 (je n'ai pas l'historique 
d'attribution de celui-ci).



Je vais donc tenter ma chance auprès du RIPE (S.Bortzmeyer m'a signalé que ca 
risquait d'être un chemin de croix) afin de clarifier la situation et savoir si 
nous devons nous mettre à jour vis à vis de notre prestataire internet qui me 
semblait être notre LIR (surement la rédaction d'un contrat) ou devenir LIR 
nous même.



Être LIR n'est pas vraiment une finalité pour nous.



Cordialement,



Kevin

-Message initial-

 De:Phibee Network Operation Center n...@phibee.net mailto:n...@phibee.net 

 Envoyé: lundi 25 mars 2013 10:58

 À: frnog@frnog.org mailto:frnog@frnog.org 

 Sujet: Re: [FRnOG] [TECH] Email du RIPE

 

 Le 25/03/2013 09:51, ke...@dubourg.info mailto:ke...@dubourg.info  a écrit :

  Bonjour la liste,

 

 

 

  J'ai reçu récemment un email du RIPE car nous possédons un /24. Ils nous 
  demandent de devenir LIR ou signer un accord avec un LIR existant 
  (Completel nous fournis cette plage).

 

 Attention, posséder est un grand mot ;=) on nous a attribué plutot ... 

 on joue sur les mots.

 

  Nous utilisons cet adressage pour de l'hébergement interne.

 

 

 

  Que doit-on répondre au RIPE et quel justificatif fournir ? Leur donner 
  l'information que Completel nous fournit ce /24 est-il suffisant ?

 

 En faite je dirais cela dépends vraiment de comment c'est déclaré .. 

 Vous avez quoi, un P.I ? un P.A ?

 

 P.I je pense, car si c’était un P.A, ils ne demanderaient rien vu que 

 c'est une attribution via un LIR justement

 

 Et si c'est un P.I, il doit être obligatoirement rattaché a un LIR donc 

 je pencherais pour deux possibilités:

  1- Le LIR actuel a décidé de ne plus le gérer, et donc en a informé 

 le RIPE qui vous contact afin que vous

  preniez les mesures au niveau transfert ou que vous deveniez LIR 

 directement

 

  2- Un P.I sans LIR, probleme de base ? Disparition du LIR ? et donc 

 le RIPE essaye de mettre a jour ses informations

  et corriger les erreurs

 

 a+

 Jerome

 

 

 

 

 

 

 

  Merci de votre aide.

 

 

 

 

  ---

  Liste de diffusion du FRnOG

  http://www.frnog.org http://www.frnog.org /

 

 

 

 

 ---

 Liste de diffusion du FRnOG

 http://www.frnog.org http://www.frnog.org /

 




---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Email du RIPE

Heu ….

Mis à part ceux qui ont obtenus leurs blocs il y a genre très longtemps, tu ne 
peux pas comme tu le dis refuser l'autorité de ton RIR.

Ton LIR, si tu ne l'es pas, ne va pas risquer d'avoir des soucis parce que tu 
fais ta mauvaise tête.

-- 
Raphael MAUNIER
Jaguar Network France


Le 25 mars 2013 à 14:29, Fréderic a écrit :

 Le 25/03/2013 14:16, Frederic Dhieux a écrit :
 A priori c'est déjà le cas, j'ai vu des préfixes d'anciens clients qui
 ont été réclamés et réattribués.
 
 Frédéric
 
 
 car elles ont été restituées, mais pas confisquées.
 
 Pour les possesseurs de blocs qui REFUSENT l'autorité/le contrat du RIPE
 et dont la légitimité n'est pas remis en cause car historiquement ils
 sont bien les detenteurs legitimes du bloc.
 
 c'est une autre paires de manches...
 
 Cordialement.
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Email du RIPE

Et tu paie pas des impots pour avoir le droit de voter en France ?


-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Fréderic
Envoyé : lundi 25 mars 2013 14:55
À : Mathieu Paonessa
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Email du RIPE


 
 Ca s'appelle la démocratie...

Pour etre membre il faut payer, cela s'appele la ploutocratie...

a+

 
 Mathieu
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] Re: [TECH] Email du RIPE

Techniquement tout le monde doit payer :)  ( tu dois payer pour avoir le droit 
d'habiter chez toi que tu sois locataire ou propriétaire)
Ensuite y a les barèmes, le truc c'est que le ripe a supprimé ces barèmes car 
nous sommes en temps de crise (plus d'ipv4).
A situation exceptionnelle, mesure exceptionnelle, cela ne me choque pas du tout



-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Stephane Bortzmeyer
Envoyé : lundi 25 mars 2013 15:12
À : Raphael Maunier
Cc : 'Fréderic'; 'Mathieu Paonessa'; frnog@frnog.org
Objet : [FRnOG] Re: [TECH] Email du RIPE

On Mon, Mar 25, 2013 at 02:55:26PM +0100,  Raphael Maunier 
raphael.maun...@jaguar-network.com wrote  a message of 34 lines which said:

 Et tu paie pas des impots pour avoir le droit de voter en France ?

Heureusement non. Les gens qui ne paient pas d'impôt (par exemple parce que 
leurs revenus sont trop bas) ont quand même le droit de vote, et des gens qui 
paient leurs impôts (les étrangers) ne l'ont pas.

Tu confonds avec le Second Empire :-)


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [TECH] Email du RIPE


Le 25 mars 2013 à 15:44, Francois Demeyer a écrit :

 Le 25/03/13 15:16, Raphael Maunier a écrit :
 Techniquement tout le monde doit payer :)  ( tu dois payer pour avoir le 
 droit d'habiter chez toi que tu sois locataire ou propriétaire)
 Ensuite y a les barèmes, le truc c'est que le ripe a supprimé ces barèmes 
 car nous sommes en temps de crise (plus d'ipv4).
 A situation exceptionnelle, mesure exceptionnelle, cela ne me choque pas du 
 tout
 En période de crise, on aurait donc le droit de ne plus appliquer les
 règles ?

ben si justement. On les renforce et on devient plus strict sur ces règles et 
on cesse le laxisme :)

 Souhaitons que ce genre de principe ne se propage pas vers d'autres
 formes de principes plus physiques, sinon on va avoir du monde dans les
 rues ;-)

Bah on est en France, c'est malheureusement dans notre culture :)

 
 
 
 -Message d'origine-
 De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
 Stephane Bortzmeyer
 Envoyé : lundi 25 mars 2013 15:12
 À : Raphael Maunier
 Cc : 'Fréderic'; 'Mathieu Paonessa'; frnog@frnog.org
 Objet : [FRnOG] Re: [TECH] Email du RIPE
 
 On Mon, Mar 25, 2013 at 02:55:26PM +0100,  Raphael Maunier 
 raphael.maun...@jaguar-network.com wrote  a message of 34 lines which said:
 
 Et tu paie pas des impots pour avoir le droit de voter en France ?
 Heureusement non. Les gens qui ne paient pas d'impôt (par exemple parce que 
 leurs revenus sont trop bas) ont quand même le droit de vote, et des gens 
 qui paient leurs impôts (les étrangers) ne l'ont pas.
 
 Tu confonds avec le Second Empire :-)
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Comment SFR viole délibérément la neutralité du Net, et pourquoi c'est grave

2013-03-19 Par sujet Raphael Maunier

Ouais,

Mais bon pour le métro , en France, c'est pas que la vie privée hein :)

-- 
Raphael MAUNIER


Le 19 mars 2013 à 10:20, Frédéric GANDER a écrit :

 http://www.robindestoits.org/
 
 apres dans certain de ces pays tu as une chance sur 2 que ces gens sont dans 
 un goulag 
 apres est ce c'est forcement un mal que c'est gens la existe chez nous ? 
 C'est pas un signe de sous développement 
 mais de democratie et de respect de la propriété privée. Mais oui c'est plus 
 dur de deployer un réseau mobile qui couvre bien.
 
 
 
 - Mail original -
 De: Xavier Beaudouin k...@oav.net
 À: Rémi Bouhl remibo...@gmail.com
 Cc: frnog@frnog.org FRNOG frnog@frnog.org
 Envoyé: Mardi 19 Mars 2013 10:09:02
 Objet: Re: [FRnOG] [MISC] Comment SFR viole délibérément la neutralité du 
 Net, et pourquoi c'est grave
 
 
 Le 16 mars 2013 à 19:08, Rémi Bouhl remibo...@gmail.com a écrit :
 
 Finlande, Corée.. il faut voir les densités de population, aussi.
 La
 boucle locale a un sacré poids sur le coût d'une connexion.
 
 Je vais donc parler de la Corée du Sud et une petite ville qui
 s'appelle Séoul que je vais comparer a Paris (capitale vs
 capitale...).
 
 Dans cette ville, Séoul, comparons un truc utile : la téléphonie
 mobile dans les transports en communs.
 
 Dans tous les métros de Séoul même au -5eme sous sol (qui en passant
 est propre comparé à la porcherie parisienne) le sigle 3G de mon 4S
 est a fond. Je n'ai jamais perdu un appel (en roaming Free) la bas.
 Le Wifi dans les rames de métro marche a 100% et des fois tu accès
 un hotspot gratos.
 
 Prenons une station de métro et RER equivalente : la Défense... Je
 vous demande juste d'essayer de faire un appel, sur le quais de la
 gare RER la Défense avec un tél... Déjà si on y a arrive c'est déjà
 pas mal (Orange et SFR selon l'humeur), après charger une page
 web... La... Si on est en Edge c'est déjà pas mal.
 
 Donc des fois j'ai la très nette impression que le pays en voie de
 développement n'est pas celui qui est sur papier... dans ces
 domaines.
 
 Mais est-ce peut-être parce que je suis un étranger et on fait de la
 QoS quand on est étranger ?
 
 Je prendrais la meme remarque avec une carte prépayée a Shanghai...
 Bon le réseau 3G est moins bon mais la voix/sms, jamais un
 soucis...
 
 Donc non le pays sous développé en terme de réseau mobile n'est pas
 celui qu'on crois...
 
 /Xavier
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Comment SFR viole délibérément la neutralité du Net, et pourquoi c'est grave

2013-03-19 Par sujet Raphael Maunier

J'aime bien quand tu dis signer un accord :)

Tu peux juste dire : Faire un gros cheque pour payer le monopole 
supaire/ultra/mega cher :)


-- 
Raphael MAUNIER

Le 19 mars 2013 à 10:55, Frédéric GANDER a écrit :

 
 
 - Mail original -
 De: Raphael Maunier raphael.maun...@jaguar-network.com
 À: Frédéric GANDER fgan...@corp.free.fr
 Cc: Xavier Beaudouin k...@oav.net, frnog@frnog.org FRNOG 
 frnog@frnog.org, Rémi Bouhl remibo...@gmail.com
 Envoyé: Mardi 19 Mars 2013 10:28:46
 Objet: Re: [FRnOG] [MISC] Comment SFR viole délibérément la neutralité du 
 Net, et pourquoi c'est grave
 
 Ouais,
 
 
 Mais bon pour le métro , en France, c'est pas que la vie privée hein
 :)
 
 
 oui mais tu na pas le droit d'emettre a 200v/m dans le metro
 tu dois signer un accord avec la ratp / telcite 
 avoir des autorisation
 valider que tes antennes ne vont pas faire dérailler la ligne 14 etc etc etc
 
 ca va moins vite que dans d'autre pays 
 
 
 --
 Raphael MAUNIER
 
 
 
 
 Le 19 mars 2013 à 10:20, Frédéric GANDER a écrit :
 
 
 
 http://www.robindestoits.org/
 
 apres dans certain de ces pays tu as une chance sur 2 que ces gens
 sont dans un goulag
 apres est ce c'est forcement un mal que c'est gens la existe chez
 nous ? C'est pas un signe de sous développement
 mais de democratie et de respect de la propriété privée. Mais oui
 c'est plus dur de deployer un réseau mobile qui couvre bien.
 
 
 
 - Mail original -
 
 
 De: Xavier Beaudouin k...@oav.net
 
 
 À: Rémi Bouhl remibo...@gmail.com
 
 
 Cc: frnog@frnog.org FRNOG frnog@frnog.org
 
 
 Envoyé: Mardi 19 Mars 2013 10:09:02
 
 
 Objet: Re: [FRnOG] [MISC] Comment SFR viole délibérément la
 neutralité du Net, et pourquoi c'est grave
 
 
 
 
 
 
 
 
 Le 16 mars 2013 à 19:08, Rémi Bouhl remibo...@gmail.com a écrit :
 
 
 
 
 
 
 
 Finlande, Corée.. il faut voir les densités de population, aussi.
 
 
 
 
 La
 
 
 
 
 boucle locale a un sacré poids sur le coût d'une connexion.
 
 
 
 
 
 Je vais donc parler de la Corée du Sud et une petite ville qui
 
 
 s'appelle Séoul que je vais comparer a Paris (capitale vs
 
 
 capitale...).
 
 
 
 
 
 Dans cette ville, Séoul, comparons un truc utile : la téléphonie
 
 
 mobile dans les transports en communs.
 
 
 
 
 
 Dans tous les métros de Séoul même au -5eme sous sol (qui en passant
 
 
 est propre comparé à la porcherie parisienne) le sigle 3G de mon 4S
 
 
 est a fond. Je n'ai jamais perdu un appel (en roaming Free) la bas.
 
 
 Le Wifi dans les rames de métro marche a 100% et des fois tu accès
 
 
 un hotspot gratos.
 
 
 
 
 
 Prenons une station de métro et RER equivalente : la Défense... Je
 
 
 vous demande juste d'essayer de faire un appel, sur le quais de la
 
 
 gare RER la Défense avec un tél... Déjà si on y a arrive c'est déjà
 
 
 pas mal (Orange et SFR selon l'humeur), après charger une page
 
 
 web... La... Si on est en Edge c'est déjà pas mal.
 
 
 
 
 
 Donc des fois j'ai la très nette impression que le pays en voie de
 
 
 développement n'est pas celui qui est sur papier... dans ces
 
 
 domaines.
 
 
 
 
 
 Mais est-ce peut-être parce que je suis un étranger et on fait de la
 
 
 QoS quand on est étranger ?
 
 
 
 
 
 Je prendrais la meme remarque avec une carte prépayée a Shanghai...
 
 
 Bon le réseau 3G est moins bon mais la voix/sms, jamais un
 
 
 soucis...
 
 
 
 
 
 Donc non le pays sous développé en terme de réseau mobile n'est pas
 
 
 celui qu'on crois...
 
 
 
 
 
 /Xavier
 
 
 
 
 
 
 
 
 
 
 
 ---
 
 
 Liste de diffusion du FRnOG
 
 
 http://www.frnog.org/
 
 
 
 
 
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Cave à Momo : serveurs Supermicro, Sun, HP d'occaze

2013-03-04 Par sujet Raphael Maunier

Tu as pensé à monter un partenariat avec les ouf du 93 ?

http://ouf-du-93.skyrock.com/

On avait un trademark sur la cave à momo geek :)

-- 
Raphael MAUNIER
Jaguar Network France


Le 4 mars 2013 à 12:03, Frédéric VANNIÈRE a écrit :

 Bonjour,
 
 Le soleil revient pour annoncer le printemps et c'est donc le bon moment pour 
 faire le ménage dans les serveurs.
 
 http://www.cave-a-momo.fr/ version 2013 est en ligne, il s'agit de matériel 
 serveur d'occasion
 
 Cette année on a :
  - des serveurs Supermicro 1U châssis court (SC512L avec rails) ou longs 
 (SC813MT)
  - des serveurs Sun Fire X2100 M2 (Opteron Dual-Core) avec leurs rails
  - des serveurs HP Proliant DL320 G5 et G5p (Xeon Dual-Core et Quad-Core)
  - des pièces détachées (CPU, RAID, disques ...)
 
 Les prix sont approximatifs et négociables. Une facture sera fournie 
 systématiquement.
 
 Le matériel est disponible en région parisienne (Alfortville, 94).
 
 Frédéric.
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] - IPv6 chez OBS

2013-02-26 Par sujet Raphael Maunier

C'est une blague ?

Tu as indiqué à ton interlocuteur que le premier Avril c'était … en avril ?


-- 
Raphael MAUNIER
Jaguar Network France

81 Avenue Edouard Vaillant
92100 Boulogne Billancourt

More Than Your Hosting Company

Le 26 févr. 2013 à 15:02, Laurent CARON a écrit :

 Préparant mon (celui de $JOB) déménagement, je consulte différents opérateurs 
 pour une problématique très simple:
 
 - Fourniture d'une FO (éclairée) avec ~100Mb/s de commit sur boulogne 
 billancourt (inutile de m'envoyer des offres en
 
 L'offre OBS revient avec un supplément de 70€/HT/mois pour l'IPv6 et un 1310€ 
 de FAS pour activation de l'IPv6
 
 Avec de telles pratiques IPv6 ne va pas décoller rapidement...
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Recherche IP

2013-01-22 Par sujet Raphael Maunier

Ah, merci … :)

J'osais pas dire à Jérémy RTFM :)

-- 
Raphael MAUNIER
Jaguar Network France

On Jan 22, 2013, at 5:15 PM, Simon Morvan gar...@zone84.net wrote:

 Le RIPE a mis en place un marketplace pour cela, non ?
 
 Le 22/01/2013 17:05, Jérémy Martin a écrit :
 Bon, apparemment, y en a qui font les autistes sur la liste :)
 
 Donc en gros, on cherche un opérateur, broker, entreprise,
 particulier, geek ou homme tout simplement qui accepterais de nous
 donner / vendre :
 - Des informations concernant quelqu'un qui vend des IPv4
 - Les coordonnées d'un broker
 - Le prix qu'il me propose pour un /21 ou un /22.
 
 Je ne communiquerais évidemment pas de proposition de prix d'achat ici.
 Merci d'éviter les troll, on est pas vendredi.
 
 Cordialement,
 Jérémy Martin
 
 Le 22/01/2013 16:43, Jérémy Martin a écrit :
 Bonjour,
 
 Je lance une bouteille à la mer comme d'autres ont pu le faire ici...
 Nous, petit hébergeur en croissance qui essaye de faire des choses dans
 le Nord :
 
 On cherche des IPv4...
 
 On a un petit budget qu'on a établit selon les bruits de couloir qu'on a
 pu capter à gauche à droite... Dans l'idéal, on voudrais un /22 ou /21.
 
 Merci pour vos retours, ou vos pistes !
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Frnog et profs/chercheurs/écoles [Was: Le routage, enjeu de cyberstratégie]

2013-01-10 Par sujet Raphael Maunier

Ouais :) Je plussoie

Le seul truc qui m'a aidé dans ce genre de bouquin c'est le spanning-tree ! 
Le reste c'est surtout dans les labs et sur le terrain !

-- 
Raphael MAUNIER
Jaguar Network France

On Jan 10, 2013, at 12:08 PM, David Ramahefason r...@netfacile.net wrote:

 Bonjour,
 
 Oui oui c'est vrai qu'avec ces deux bouquins on avait tout ce qu'il fallait
 pour monter un réseaux.
 Franchement faut arrêter de dire des conneries ... ok ces bouquins sont
 super pour apprendre les fondamentaux réseau mais de la à savoir comment
 monter un backbone faut pas déconner hein à moins que tu y sois arrivé
 gràce à ces ouvrages et la je dis respect.
 En ce qui me concerne c’était très bien pour faire les TP de dev réseau
 (socket/sémaphores and co).
 Mais il y a un  moment ou faut passer de la théorie à la pratique non ??
 
 L'époque 95 environ le Pays la Fronce.
 
 Le 10 janvier 2013 12:02, Fréderic frede...@placenet.org a écrit :
 
 
 
 Je trouve plutôt que vous nous prenez de haut... en imaginant que nous
 ne
 restons que sur nos acquis sans jamais nous poser de question... comment
 croyez-vous que la plupart d'entre nous ont fait à leurs débuts lorsqu'il
 n'y avait aucun enseignement orienté réseau IP ?
 
 
 quelle époque ? pt quel pays ?
 
 le Tanenbaum existe depuis 1981, le Pujole , sans parler du
 macchi-guilbert
 
 a+
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 
 -- 
 David Ramahefason
 r...@netfacile.net
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Mieux que l'HADOPI, Free !

2013-01-04 Par sujet Raphael Maunier

Heu …

Comment dire ? C'est quand même super réducteur et Je ne suis pas du tout 
d'accord avec ce point. C'est super facile de le dire haut et fort quand on 
maitrise les technologies et que nous sommes tout de même un public averti.

Je vois autour de moi, genre mon père et mon frère ( ou j'ai un autre frère ) 
pour qui Internet et un outil formidable et il s'en contrefiche de savoir 
comment ça fonctionne.
Ils paient tous les deux un abonnement à Internet et ils entendent bien 
profiter d'un accès complet sans modifications.

S'ils souhaitent une modif, ils appellent leur Hotline,  souvent mon frère ( 
oui celui que vous connaissez ) ou moi  pour savoir comment faire.
Bien souvent quand ils appellent c'est pour dire : Avant ça marchait, 
maintenant ça marche plus, je veux que ça revienne tout pareil !

Pour moi le rapport entre le trafic de YT et les ads n'ont clairement pas de 
rapport. Je ne vois pas en quoi parce que Google fait de l'argent avec les ads 
que ça impacterait le business model de Free.
Que le trafic YT vs les FAI soit un pb bon ok ( bien que ça en devient 
complètement ridicule les proportions que cela prend ), mais toucher un service 
qui ne consomme pas et pire qui fait en sorte que des gens comme Free existe, 
je trouve ça limite.

Pour rappel, nous sommes dans une société de consommation, si je veux 
consommer, j'entend qu'on me laisse le droit de le faire, car d'une part je 
paie pour et d'autres part, j'ai signé pour. Si je veux un service en plus, 
comme le blocage de pun, ou le contrôle parental, si mon FAI ne le propose pas 
( et pas par défaut, mais sur ma propre initiative), je vais trouver une pub 
sur le net qui m'aidera à obtenir le produit qui me convient !


-- 
Raphael MAUNIER
Jaguar Network France

On Jan 4, 2013, at 4:41 PM, Pierre Col - p...@9online.fr p...@9online.fr 
wrote:

 Si demain un mécanisme similaire proposait, par défaut, de bloquer
 les pubs sur la télé, c'est tout un pan de l'économie qui en 
 pâtirait.
 
 tu veux dire que les programmes sont les pubs, et que les trucs au 
 milieu ne sont la que pour attirer le chaland ?
 
 Rappel : Si un service est gratuit, c'est que c'est vous qui êtes la 
 marchandise :-)
 
 -- 
 Pierre 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Activités étrange a SFR Courbevoie.

2012-11-17 Par sujet Raphael Maunier

Alors la, je ne peux pas ne pas répondre avec ma casquette FranceIX :)

2012/11/17 Solarus sola...@ultrawaves.fr

 Le 17/11/2012 16:32, Frederic Dhieux a écrit :


 Il y a des tas d'opérateurs pour qui ne pas être sur TH1 (ahah) ou TH2
 est très pénalisant.

 Être présent sur TH2 est effectivement un obligation pour beaucoup d'AS
 pour des questions de peering.


Plus vraiment pour le peering. TH2, c'est plutôt :

- Acheter du transit à bon prix
- Acheter des waves à bon prix
- Acheter de la fibre à bon prix
- Avoir des clients / Avoir un potentiel client important
- Acheter de la fibre vers tes clients à bon prix
- Acheter ses collectes sans transport vers un autre Data ( Collecte des
DSP par exemple )
- [...]

Maintenant, les autres datacenters sont quasi au meme niveau que les TH2,
la différence est clairement pour les opérateurs internationaux ou
historiques. Soit ils ne connaissent que TH2, ou n'ont vraiment pas envie
de se prendre la tete dans une migration.
L'argent économisé sur le hosting serait perdu dans les frais de migration
( contrat en double pendant x mois , matos en double ... ). Ne pas oublier
que pour un opérateur, migrer, ce n'est pas une soirée entre pote à la
Saporita ou au Mac do de la place, c'est bien plus complexe que ça :)


Mais Paris étant une horreur sur le plan architectural et génie civil,
 peut-être faudrait t'il s'orienter vers des villes moins encombrées et
 mieux situées d'un point de vue européen comme Lille ou Strasbourg. (il me
 semble qu'un opérateur/hébergeur en 3 lettres a déjà fait ce choix).


Pour ses besoins :) Il n'y a pas masses ( si ce n'est pas zero) de vente
pour des clients housings / xxx ( sur RBX j'entends ).
Ce choix est  fait en fonction de sa cible clients. OVH, ce n'est plus le
hosting de baies, ou le transit ou le transport.

Il a fait le choix ( et vu la progression, IMO il ne s'est pas trompé ) de
privilegier des services et de ne pas agrandir les sites de GS et son site
historique.


 Mais le problème c'est la centralisation des échanges en un point unique,
 et le problème se pose autant pour Paris que pour Amsterdam.
 Parce qu'au final c'est quoi un IX sinon un gros switch ?


Heu, pas du tout :)

Un IX, c'est .. ses membres.
Un IX, c'est une réseau de fibre maillé
un IX, c'est une présence d'opérateurs de transports à prix compétitif
un IX, c'est une communauté de gens qui le font vivre.
un IX, c'est aussi un team et une direction stratégique, marketing ...

Bref, ce n'est pas qu'un switch sinon, ça se saurait :)

Y'a besoin d'être à Paris pour ça ? ;)
 La dizaine d'IX régionaux attendent vos SFP et vos AS, pour vous laisser
 peerer avec des gentils voisins et clients.


Pour le moment, il n'y a pas une dynamique autour de la fibre en région qui
permettrait d'avoir des IX compétitifs. Les infrastructures ne sont pas
encore disponible, et la plupart des nouveaux datacenters qui sortent de
terre ne sont pas neutre, donc bon :)


 Et la résilience d'Internet ne restera pas qu'une légende.


C'est deja resilient, c'est juste un peu saturé, c'est pas le meme débat !
( non svp pas de troll la dessus )


 Cordialement,
 Solarus


A bientôt,
Raphael




 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Le routage, enjeu de cyberstratégie

2012-11-05 Par sujet Raphael Maunier



On Nov 5, 2012, at 2:40 PM, Michael Hallgren m.hallg...@free.fr wrote:

 Le lundi 05 novembre 2012 à 13:31 +0100, Raphaël Maunier a écrit :
 On 5 nov. 2012, at 11:25, Kavé Salamatian kave.salamat...@gmail.com wrote:
 
 Bonjour,
 
 
 Date: Mon, 5 Nov 2012 10:10:09 +0100
 De: Raphaël Maunier raphael.maun...@jaguar-network.com
 À: Stephane Bortzmeyer bortzme...@nic.fr
 Cc: frnog-m...@frnog.org frnog-m...@frnog.org, Dominique Lacroix 
 d...@panamo.eu, Rafik Dammak rafik.dam...@gmail.com
 Sujet: Re: [FRnOG] [MISC] Le routage, enjeu de cyberstratégie
 
 
 Un point ou il a parfaitement raison est que ITU ne sert plus à rien. Lors 
 de réunion d'opérateurs, tous le disent bas et pas fort :)
 
 Merci :-)
 
 La ou l'analyse n'est soit pas correcte , ou soit simplifiée et sur le 
 fait que la régulation ne permettra pas le hijack de préfixes.
 
 En effet, la régulation ne permettra pas de supprimés le hijack de préfixe, 
 mais l'absence de régulation, ne le permet pas aussi. 
 
 Que l'on oblige ou pas à X, Y où Z de préférer entre eux, n'empêchera pas 
 aux opérateurs qui ne filtrent pas les préfixes de recevoir des préfixes 
 pourris de la part de leurs clients.
 
 Pourquoi reçoit on des préfixes pourri de ses voisins ! parce qu'il y'a pas 
 de régulation.
 
 Plutôt parce qu'il n'y a pas de mécanismes d'annuaire dans BGP qui n'est 
 qu'un simple vecteur de distance.
 
 RPKI, sans forcement vouloir en ce moment lancer un débat pour vs.
 contre. Bon sujet pour autre mail thread. :)
 
Pas trop fort, notre monsieur DNS va se réveiller :)

 mh
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Routeurs BGP : Conseil de topologie

2012-11-04 Par sujet Raphael Maunier


On Nov 4, 2012, at 1:49 PM, Laurent CARON lca...@unix-scripts.info wrote:

 On Sun, Nov 04, 2012 at 01:19:18PM +0100, Raphaël Maunier wrote:
 Tout simplement parce que ça fonctionne pour 99,99% des autres clients. Ceux 
 qui cherchent à faire des économies de bout de chandelles, ils en paient les 
 conséquences.
 
 Appelles Level3, Tata, Telia et dit que ton routeur bgp Linux déconne et 
 qu'ils doivent vérifier leur config, on va voir ce qu'il se passe.
 
 Les routeurs d'entrée de gamme ne coûte plus x milliers de k euros, les 
 constructeurs font beaucoup d'efforts pour proposer des solutions de plus en 
 plus compacte et compétitive.
 
 Tout le monde va devoir upgrader ses routeurs prochainement, la table ipv6 
 est en train de croître assez rapidement, les routeurs avec les limitations 
 tcam ( non non, je ne parle pas les MLX et des 6500/7600 ) auront des gros 
 problèmes.
 Je connais des commerciaux des revendeurs de HW qui viennent de voir des $ 
 devant leurs yeux :) . C'est cadeau les mecs :)
 
 Tu met en évidence un des gros (je n'ai pas dit seul) avantages des
 routeurs soft (*BSD, Linux, ...) pour lesquels il suffit d'augmenter
 la quantité de RAM.

Je parle de gros routeurs  sur ce point précis la :) Je savais que ça allait 
rebondir sur ce point.
J'attends de voir comment se comporte un routeur soft avec N*10G et un ddos qui 
lui est destiné. Avec un Juniper, tu regarde gentiment et tu va te prendre un 
café :)
Un routeur type MX, la force, c'est que ça scale, sans broncher, t'as pas 
besoin d'avoir un CPU de la mort qui tue pour faire en sorte que ça commute 
assez. T'as pas à optimiser l'OS quand tu rajoutes des cartes dans le bousin.
 
 Tu parles de grand public la, ça n'a rien à voir. 
 Et je parle en connaissance de cause, j'ai fais la Noteline de Wanadoo comme 
 premier job, alors quand tu as 6 min pour traiter l'appel, et que ton homme 
 camembert ( le superviseur qui voit les stats en temps réel ) vient de taper 
 sur l'epaule pour que tu te magnes, ben le mec avec le Linux, tu lui dis : 
 pas d'incidents chez nous, votre compte est bien actif, maintenant : use the 
 force Luc !
 
 De plus, maintenant, ce n'est plus trop le cas, car la plupart des isp ont 
 des box, donc le temps ou tu avais ton modem Adsl sur ton Linux en direct 
 c'est ( quasi ) terminé .
 
 Ce phénomène existe malheureusement toujours quand tu appelle
 $ISP_NATIONAL pour déclarer que ton modem ne synchronise plus. Pourquoi
 un modem ? Car tu souhaite disposer de l'IP publique sur ton routeur,
 ...et là chez $ISP_NATIONAL tu es seul et dois bien souvent mentir au
 tech que tu as au tel. Le dit tech ne comprenant (pour la grande
 majorité) rien à ce qu'il fait.

Nan, mais ok, on parle de combien de % du marché ? 0,001%. La belle affaire.
Juste pour casser un mythe car visiblement les gens pensent encore que les ISP 
grand public gagnent vraiment de l'argent sur l'accès IP. Les clients qui n'ont 
que l'ADSL en direct sans utiliser les services de téléphonie et de télévion ( 
VOD entre autre ) ne sont pas les clients que recherchent les FREE / Bouygues / 
SFR / Numericable / XXXGRANDPUBLIC.
Donc :)

 
 Notre industrie a sérieusement besoin de se professionnaliser, et on va 
 aller vers de plus en plus de concentration dans le monde des Telecoms, 
 c'est un fait.
 Donc, faire tout pour ne pas être dans une configuration acceptée et 
 supportée par l'industrie n'est pas la bonne démarche.
 
 Le but ici n'étant pas de se tirer une balle dans le pied en ayant
 *volontairement* un Frankenstein non supporté, mais une solution
 alternative répondant à un besoin. Je comprend que ce besoin ne soit pas
 le même selon la position (ne dérapez pas SVP): ISP, PME, …

troll
Soit, dans ce cas, un groupe de standardisation autour de cette solution devra 
se créer et valider du matis supporté et accepté lors de debug avec un 
opérateur. Au bout d'un moment, il y a aura 2 constructeurs de validés et bam … 
On aura une solution constructeur :)
/troll 

Quoiqu'il en soit  t'as pas forcément envie de te battre avec ton opérateur à 
18h de l'aprem pendant ton rush d'audience, et quand bien même que l'erreur 
soit chez lui, tu aura perdu des $$$ car ton activité en dépend directement.
Le propos est la. Que ça marche mieux ou pas, clairement on s'en tamponne . Ce 
qui compte, c'est comment ton archi est supportée en interne et surtout en 
externe avec tes fournisseurs / clients.

 
 Ne me faites pas dire ce que je n'ai pas dis : Il y a une différence 
 fondamentale entre innover et bidouiller.
 Il ne faut pas faire comme les autres, mais mieux ... Tout en restant un 
 minimum pro.
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Routeurs BGP : Conseil de topologie

2012-11-04 Par sujet Raphael Maunier


On Nov 4, 2012, at 2:14 PM, Julien Boussu d...@xgs-france.com wrote:

 Quoiqu'il en soit  t'as pas forcément envie de te battre avec ton opérateur 
 à 18h de l'aprem pendant ton rush d'audience, et quand bien même que 
 l'erreur soit chez lui, tu aura perdu des $$$ car ton activité en dépend 
 directement.
 Le propos est la. Que ça marche mieux ou pas, clairement on s'en tamponne . 
 Ce qui compte, c'est comment ton archi est supportée en interne et surtout 
 en externe avec tes fournisseurs / clients.
 
 Ce qui compte c'est de savoir dans quelle mesure tu vas être capable de gérer 
 ton archi.
 Soit tu es compétent et tu dois pouvoir faire à peu près ce que tu veux.
 Soit tu n'as aucune compétence et là tu es soumis au bon vouloir de ton 
 prestataire.

Voila, tu as tout bien résumé :)

 
 Bref, la compétence reste le point centrale quelle que soit la solution 
 retenue.

Pas que, aussi de sérieux dans l'industrie. Tu veux vendre des services à des 
clients, montrer des routeurs constructeurs vs un serveur de routage sous Linux 
… 
Je dois être le seul couillon qui ne ferait pas confiance, aux barbus du 
routage.
Par contre, un bon barbu qui vient me dire qu'il va optimiser mon 
infrastructure linux et tout automatiser pour que mon déploiement scale, je 
signe de suite.

 Ce qui est aussi une affaire de stratégie.
 

Vi, prendre le risque de se voir refuser des contrats parce que pas assez 
sérieux, c'est une stratégie ( troll detected )

 
 Julien.
 
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Routeurs BGP : Conseil de topologie

2012-11-04 Par sujet Raphael Maunier



On Nov 4, 2012, at 2:23 PM, Julien Boussu julien.bou...@xgs-france.com wrote:

 Pas que, aussi de sérieux dans l'industrie. Tu veux vendre des services à 
 des clients, montrer des routeurs constructeurs vs un serveur de routage 
 sous Linux … 
 Je dois être le seul couillon qui ne ferait pas confiance, aux barbus du 
 routage.
 Par contre, un bon barbu qui vient me dire qu'il va optimiser mon 
 infrastructure linux et tout automatiser pour que mon déploiement scale, je 
 signe de suite.
 
 Bizarre. 
 Tu dis non puis oui.
Je parle de mon archi Linux ( serveur ouebe, mail, ou autre), surtout pas de 
routage :)
Sur ce genre de problématique, je ferais plus confiance à la petite PME de 
barbus qu'aux grosses SSII

 J'ai aussi peu confiance en un barbus  qui se contente de me dire que Linux 
 c'est bien qu'en un intégrateur qui m'explique qu'avec Ciscper je suis 
 tranquille et qui me présente une conf en défault-factory ….
 
 
 
 Vi, prendre le risque de se voir refuser des contrats parce que pas assez 
 sérieux, c'est une stratégie ( troll detected )
 
 Trop facile, je plongerai pas :-)
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeurs BGP : Conseil de topologie



On Oct 29, 2012, at 6:26 PM, Jérôme Nicolle jer...@ceriz.fr wrote:

 On 29/10/2012 18:11, Simon Morvan wrote:
 La question qui se pose : est-il pertinent/souhaitable/découragé de
 mettre en place un lien direct back-to-back entre les deux routeurs ou
 faut-il mieux se reposer sur le L2 qu'ils ont en commun pour servir de
 default gw au LAN ?
 
 Pas besoin de deuxième lien physique si tu ne compte pas atteindre la limite 
 du premier, mais l'interco des deux ASBR edoit se faire sur un VLAN différent 
 de la patte LAN
 
 Question subsidiaire : quel est l'apport de demander, aux transitaires,
 la possibilité de mettre en place deux sessions BGP, soit une par
 routeur. Un réel intérêt en terme de HA par rapport à la complexité
 induite ?
 
 Intérêt très faible. Quand tu dois shutter un transit c'est plus souvent 
 parce qu'ils se sont complètement chié dessus que pour une simple panne 
 d'interface. Et quand tu perds un routeur, t'as probablement d'autres 
 priorités que maintenir des routes optimales, tant que ça marche à peu près.
 
 Par contre, rien ne t'interdit de monter du CARP sur tes liens WAN, tant que 
 tu as un switch sérieux en frontal (qui devient le SPOF, donc compte plutôt 
 deux switchs et deux pates WAN physiques sur tes routeurs) pour filtrer les 
 merdes de L2 qui peuvent se propager.
 

Heu, t'es sérieux la ? 

Wan pour toi c'est bien vers le transitaire ? Ou tu es plutôt WAN vers le LAN 
du mec ou il ferait du VRRP / HSRP ?

Parce que si tu es plutôt dans la conception du WAN vers le transitaire avec du 
CARP c'est … sale !


 @+
 
 -- 
 Jérôme Nicolle
 06 19 31 27 14
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeurs BGP : Conseil de topologie

Comment tu peux baser une architecture avec  Mais, ça marche bien quand c'est 
bien fait ?

Keep it simple : BGP avec N ports avec /30 , /31 classique, ça juste marche est 
compatible avec tous les providers du monde.

Cessez de faire les Geo Trouvetou  avec des architectures non standardisées 
et complètement non supportées par les opérateurs !


On Oct 29, 2012, at 6:46 PM, Jérôme Nicolle jer...@ceriz.fr wrote:

 On 29/10/2012 18:43, Raphael Maunier wrote:
 Heu, t'es sérieux la ?
 
 Oui.
 
 Wan pour toi c'est bien vers le transitaire ? Ou tu es plutôt WAN vers
 le LAN du mec ou il ferait du VRRP / HSRP ?
 
 WAN coté upstream, LAN coté serveurs ou eyeballs
 
 Parce que si tu es plutôt dans la conception du WAN vers le transitaire
 avec du CARP c'est … sale !
 
 Waip. Mais ça marche bien quand c'est bien fait.
 
 -- 
 Jérôme Nicolle
 06 19 31 27 14
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeurs BGP : Conseil de topologie


On Oct 29, 2012, at 7:13 PM, Jérôme Nicolle jer...@ceriz.fr wrote:

 On 29/10/2012 19:04, Raphael Maunier wrote:
 Comment tu peux baser une architecture avec  Mais, ça marche bien quand 
 c'est bien fait ?
 
 Parce que c'est le cas de toutes les architectures. Les meilleures machines 
 et designs by the book, avec une conf pourrie, ça marche pas bien.
 
 Keep it simple : BGP avec N ports avec /30 , /31 classique, ça juste marche 
 est compatible avec tous les providers du monde.
 
 Quand le provider facture 50 ou 100€ de plus pour la deuxième sessions sur le 
 même port physique c'est du foutage de gueule. Mais c'est courant.


Speed, price quality, pick two

 
 Cessez de faire les Geo Trouvetou  avec des architectures non 
 standardisées et complètement non supportées par les opérateurs !
 
 (prise de haut détectée)

Nan, pas du tout. Juste d'expérience, les trucs bidouillés, on passe des nuits 
et des mois à les virer 2 ans apres, parce que Jean-Paul s'est barré !

 Un mec qui annonce son réseau en BGP opère un réseau IP au même titre que ses 
 upstreams, il est donc tout aussi opérateur que toi. Et s'il décide de la 
 supporter, c'est son problème.

Et dans la vrai vie, c'est Jean-Paul qui maitrise, et c'est Jean-Pierre qui 
debug un soir à 4h du mat. Ils ont tous les 2 JEAN dans leur prénom, mais pas 
le même background.

Donc, Murphy étant notre pote, le wiki ce soir la est down, donc Jean-Pierre 
n'aura pas la doc, et il faudra comprendre ce qui a été fait.
Donc le mec va passer 3h à debug et l'impact sera plus important que de ne 
pas avoir cette superbe redondance bidouillée.

Trop de redondance, tue la redondance surtout quand c'est de la bidouille
 
 Techniquement, monter du HSRP/VRRP/CARP vers un upstream n'est pas sensé être 
 visible pour cet upstream, à condition que le switch soit bien configuré. 
 C'est donc totalement transparent.

C'est MAL et c'est SALE :)
 
 Il se trouve que pour ce besoin particulier, c'est superflu. Surtout vu la 
 complexité ajoutée. Mais ça reste techniquement possible.

Encore une fois, keep it simple ! IT DOES NOT SCALE !
 
 -- 
 Jérôme Nicolle
 06 19 31 27 14
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeurs BGP : Conseil de topologie