Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Bonjour, Le 16/09/2013 22:57, Alexandre PIERRET a écrit : Bonjour, Je m’intéresse à l'IPv6 et après avoir fais quelques tests en labs, je me pose des questions: 1/ Routage Bien qu'il soit possible de configurer les routes de ses équipements vers des ip publiques ou faisant parti du scope global, j'ai l'impression que le best practice est d'envoyer son trafic à l’adresse link local du prochain routeur. Suis-je dans le vrai? car je n'arrive pas à trouver de documentation sur les best practice. Effectivement, le best-practice est d'utiliser les link-local pour faire le routage mais ce n'est pas forcement la réalité du terrain... beaucoup préfèrent utiliser les globales car on se rapproche un peu du fonctionnement/découpage d'IPv4. Dans tous les cas, les deux méthodes sont fonctionnelles. Si c'est le cas, étant donné que les adresses link local sont définies par les équipements eux même, comment se passe le changement d'un routeur? faut il, du coup, redéfinir toutes ses routes? Il est également possible de choisir toi-même les link-local, le choix n'est pas à laisser obligatoirement l'équipement lui-même (routeur dans notre cas). Cela simplifie les actions en cas de changement de matériel. 2/ Dual WAN Comment ça se passe si on souhaite avoir 2 liaisons wan de deux opérateurs différents? Est-on obligé de demander un range PI, et s'annoncer en BGP? ou finalement, doit on revenir au bon vieux NAT des chaumières? ou y'a t'il simplement d'autres méthodes propres? Pour l'heure, je vois deux méthodes : - PI avec annonce BGP - NPTv6 Merci et bonne soirée. Bonne journée, Sébastien Cordialement, Alexandre Pierret --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Double alimentation
Le 15/09/2013 13:04, Alarig Le Lay a écrit : Le 14/09/2013 13:32, Thomas Frezouls a écrit : Salut, Je sais quil existe des modules électriques qui permettent de gérer 2 arrivés et de basculer de lune à lautre en cas de coupure. Si quelque a compris de quoi je parle et quil a des références, je suis preneur ! Salut, Si jamais tu as la possibilité de prendre des serveurs avec deux alimentations, je pense que c’est plus simple. Tu auras également deux arrivée et tu seras en plus protégé de la panne de l’une des deux alimentations ; le basculement de lune à l’autre est directement géré au niveau hardware dans le serveur. Après ça sans doute être plus cher. Pour avoir longuement pesé le pour et le contre, nous avons fait le choix de serveur mono alim avec un STS en frontal + PDU. Au final, nous n'avons JAMAIS eu de panne sur une alim (que du Supermicro chez nous) et cela nous revient nettement moins cher d'acheter un STS + modules d'alim de spare que de mettre de la double alim sur chaque machine. Une exception : les serveurs de fichiers (filer), le reste peut tomber sans réelle incidence. Sans compter la place que l'on gagne sur les PDU : la plupart des DC fournissent de l'APC avec 21 prises C13 ce qui limite le contenu de la baie à 21 serveurs avec de la double alim (un PDU par voie). En 2U, ça marche mais dès qu'on met une machine 1U, il y aura du vide dans la baie (à moins de rajouter de la multiprise). Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Merci à vous pour ces réponses. Utilisation des globales pour le routage = satanées habitudes. Pour le NPTv6 (alias Network Prefix Translation), si ça intéresse du monde: - RFC: http://tools.ietf.org/html/rfc6296 - Très bonne lecture: http://www.bortzmeyer.org/6296.html - Exemple d'application: https://doc.pfsense.org/index.php/Multi-WAN_for_IPv6 Alexandre 2013/9/17 Sebastien DIEFENBRONN sdiefenbr...@interdata.fr Bonjour, Le 16/09/2013 22:57, Alexandre PIERRET a écrit : Bonjour, Je m’intéresse à l'IPv6 et après avoir fais quelques tests en labs, je me pose des questions: 1/ Routage Bien qu'il soit possible de configurer les routes de ses équipements vers des ip publiques ou faisant parti du scope global, j'ai l'impression que le best practice est d'envoyer son trafic à l’adresse link local du prochain routeur. Suis-je dans le vrai? car je n'arrive pas à trouver de documentation sur les best practice. Effectivement, le best-practice est d'utiliser les link-local pour faire le routage mais ce n'est pas forcement la réalité du terrain... beaucoup préfèrent utiliser les globales car on se rapproche un peu du fonctionnement/découpage d'IPv4. Dans tous les cas, les deux méthodes sont fonctionnelles. Si c'est le cas, étant donné que les adresses link local sont définies par les équipements eux même, comment se passe le changement d'un routeur? faut il, du coup, redéfinir toutes ses routes? Il est également possible de choisir toi-même les link-local, le choix n'est pas à laisser obligatoirement l'équipement lui-même (routeur dans notre cas). Cela simplifie les actions en cas de changement de matériel. 2/ Dual WAN Comment ça se passe si on souhaite avoir 2 liaisons wan de deux opérateurs différents? Est-on obligé de demander un range PI, et s'annoncer en BGP? ou finalement, doit on revenir au bon vieux NAT des chaumières? ou y'a t'il simplement d'autres méthodes propres? Pour l'heure, je vois deux méthodes : - PI avec annonce BGP - NPTv6 Merci et bonne soirée. Bonne journée, Sébastien Cordialement, Alexandre Pierret --- Liste de diffusion du FRnOGhttp://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Proxy L2TP avec Orange SFR
Bonjour, Le 17/09/2013 06:28, Olivier CALVANO a écrit : Bonjour, Je reçois actuellement mes connexions Adsl en L2TP/LNS (comme tous le monde). J'ai donc trois sessions BGP dont une me sert a recevoir les annonces d'orange (~900 IP de tête) Pour certaine ligne, je les termine sur mon routeur, pour d'autres je les renvoi vers un client ce qui a nécessité la mise en place aussi d'une session BGP avec lui pour que je lui renvoi les annonces de Orange SFR. Je voudrais changer cela et faire en sorte d'envoyer a mon client que 3 a 4 IP qui seraient des Proxy L2TP mais mon fournisseur me dit que cela ne fonctionne pas avec Orange. Quelqu'un a déjà mis cela en place de façon stable ? Cela nécessite une réécriture des requêtes radius a la volé ? (j'utilise FreeRadius sous linux) Tu as ici un fork de l2tpns pouvant faire LNS/LAC et serveur PPPOE (actuellement utilisé en Prod): http://git.sameswireless.fr/l2tpns.git http://chiliproject.tetaneutral.net/projects/tetaneutral/wiki/ADSL#Collecte-L2TP http://www.ffdn.org/wiki/doku.php?id=documentation:collecte_fai_local Cordialement, Fernando Alves --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Proxy L2TP avec Orange SFR
Le 17/09/2013 06:28, Olivier CALVANO a écrit : Bonjour, Je reçois actuellement mes connexions Adsl en L2TP/LNS (comme tous le monde). J'ai donc trois sessions BGP dont une me sert a recevoir les annonces d'orange (~900 IP de tête) Pour certaine ligne, je les termine sur mon routeur, pour d'autres je les renvoi vers un client ce qui a nécessité la mise en place aussi d'une session BGP avec lui pour que je lui renvoi les annonces de Orange SFR. Je voudrais changer cela et faire en sorte d'envoyer a mon client que 3 a 4 IP qui seraient des Proxy L2TP mais mon fournisseur me dit que cela ne fonctionne pas avec Orange. Quelqu'un a déjà mis cela en place de façon stable ? Cela nécessite une réécriture des requêtes radius a la volé ? (j'utilise FreeRadius sous linux) J'ai pas trop compris ton setup. Tu termines déjà des sessions L2TP sur un routeur client ? Tu as plusieurs server-end-point ? je comprends pas trop le besoin de monter une session BGP avec ton client ? -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Le 2013-09-16 22:57, Alexandre PIERRET a écrit : Je m’intéresse à l'IPv6 et après avoir fais quelques tests en labs, je me pose des questions: 1/ Routage Bien qu'il soit possible de configurer les routes de ses équipements vers des ip publiques ou faisant parti du scope global, j'ai l'impression que le best practice est d'envoyer son trafic à l’adresse link local du prochain routeur. Suis-je dans le vrai? car je n'arrive pas à trouver de documentation sur les best practice. Une très bon survol des avantages/inconvénients ici: https://tools.ietf.org/html/draft-ietf-v6ops-design-choices-00#section-2.2 En général, les opérateurs préfèrent numéroter leurs liens point-à-point avec des adresses globales. C'est d'ailleurs pourquoi ce draft a été abandonné: https://tools.ietf.org/html/draft-ietf-opsec-lla-only-03 Si c'est le cas, étant donné que les adresses link local sont définies par les équipements eux même, comment se passe le changement d'un routeur? faut il, du coup, redéfinir toutes ses routes? 2/ Dual WAN Comment ça se passe si on souhaite avoir 2 liaisons wan de deux opérateurs différents? Est-on obligé de demander un range PI, et s'annoncer en BGP? ou finalement, doit on revenir au bon vieux NAT des chaumières? ou y'a t'il simplement d'autres méthodes propres? Pareil comme en IPv4, avec la différence que tu as l'option d'utiliser NPTv6, qui est une version moins méchante du NAT que l'on connaît. Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Bonjour à tous, Le 17/09/2013 08:48, Sebastien DIEFENBRONN a écrit : 2/ Dual WAN Comment ça se passe si on souhaite avoir 2 liaisons wan de deux opérateurs différents? Est-on obligé de demander un range PI, et s'annoncer en BGP? ou finalement, doit on revenir au bon vieux NAT des chaumières? ou y'a t'il simplement d'autres méthodes propres? Pour l'heure, je vois deux méthodes : - PI avec annonce BGP - NPTv6 Ce sujet tombe très bien ;) . Savez vous si une implémentation de NPTv6 existe sur OpenBSD ? Ca fait un moment que je cherche, sans succès jusqu'à présent :( , il est vaguement question de NPF (probable successeur de PF), mais sans plus. @+ Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
* Christophe - 17-09-2013 à 12h42: Bonjour à tous, Le 17/09/2013 08:48, Sebastien DIEFENBRONN a écrit : 2/ Dual WAN Comment ça se passe si on souhaite avoir 2 liaisons wan de deux opérateurs différents? Est-on obligé de demander un range PI, et s'annoncer en BGP? ou finalement, doit on revenir au bon vieux NAT des chaumières? ou y'a t'il simplement d'autres méthodes propres? Pour l'heure, je vois deux méthodes : - PI avec annonce BGP - NPTv6 Ce sujet tombe très bien ;) . Savez vous si une implémentation de NPTv6 existe sur OpenBSD ? Ca fait un moment que je cherche, sans succès jusqu'à présent :( , il est vaguement question de NPF (probable successeur de PF), mais sans plus. Si j'ai bien compris le princi de NPTv6 je pense que ce genre de règle devrait faire l'affaire match in on $if inet6 from any to $pfx1/64 rdr-to $pfx2/64 bitmask match out on $if inet6 from any to $pfx2/64 nat-to $pfx1/64 bitmask -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Le 2013-09-17 13:37, Rémi Laurent a écrit : Si j'ai bien compris le princi de NPTv6 je pense que ce genre de règle devrait faire l'affaire match in on $if inet6 from any to $pfx1/64 rdr-to $pfx2/64 bitmask match out on $if inet6 from any to $pfx2/64 nat-to $pfx1/64 bitmask Pas tout à fait. Le matching doit être inversé, et il manque l'option static-port avec la règle nat-to pour éviter de NATer les ports. match in on $if inet6 from any to $pfx1/64 rdr-to $pfx2/64 bitmask match out on $if inet6 from $pfx2/64 to any nat-to $pfx1/64 bitmask static-port Ou plus simple, en utilisant binat-to et en éliminant les termes redondants: match on $if from $pfx2/64 binat-to $pfx1/64 bitmask (static-port est implicite avec binat-to.) Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Le 17 sept. 2013 à 14:05, Simon Perreault a écrit : Le 2013-09-17 13:37, Rémi Laurent a écrit : Si j'ai bien compris le princi de NPTv6 je pense que ce genre de règle devrait faire l'affaire match in on $if inet6 from any to $pfx1/64 rdr-to $pfx2/64 bitmask match out on $if inet6 from any to $pfx2/64 nat-to $pfx1/64 bitmask Pas tout à fait. Le matching doit être inversé, et il manque l'option static-port avec la règle nat-to pour éviter de NATer les ports. match in on $if inet6 from any to $pfx1/64 rdr-to $pfx2/64 bitmask match out on $if inet6 from $pfx2/64 to any nat-to $pfx1/64 bitmask static-port Ou plus simple, en utilisant binat-to et en éliminant les termes redondants: match on $if from $pfx2/64 binat-to $pfx1/64 bitmask (static-port est implicite avec binat-to.) Normalement le NPTv6 est sensé swapper les adresses de manière à préserver le checksum intact. Est-ce que l'implémentation d'OpenBSD le fait ? Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Le 2013-09-17 14:15, Emmanuel Thierry a écrit : Normalement le NPTv6 est sensé swapper les adresses de manière à préserver le checksum intact. Est-ce que l'implémentation d'OpenBSD le fait ? Le but de préserver le checksum intact est d'avoir une implémentation plus rapide. C'est une optimisation pure et simple. OpenBSD n'exploite pas cette possible optimisation: il va toujours recalculer le checksum, même si on fait attention de choisir $pfx1/64 et $pfx2/64 de façon à ce que le checksum ne change pas. Le fait est que la performance en forwarding d'un routeur logiciel est limitée par l'I/O réseau, pas par la puissance CPU dépensée pour recalculer des checksums. Implémenter l'optimisation dans OpenBSD serait donc inutile et même nuisible si on considère les coûts engendrés par la complexité additionnelle du code. Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Le 17 sept. 2013 à 14:21, Simon Perreault a écrit : Le 2013-09-17 14:15, Emmanuel Thierry a écrit : Normalement le NPTv6 est sensé swapper les adresses de manière à préserver le checksum intact. Est-ce que l'implémentation d'OpenBSD le fait ? Le but de préserver le checksum intact est d'avoir une implémentation plus rapide. C'est une optimisation pure et simple. OpenBSD n'exploite pas cette possible optimisation: il va toujours recalculer le checksum, même si on fait attention de choisir $pfx1/64 et $pfx2/64 de façon à ce que le checksum ne change pas. Le fait est que la performance en forwarding d'un routeur logiciel est limitée par l'I/O réseau, pas par la puissance CPU dépensée pour recalculer des checksums. Implémenter l'optimisation dans OpenBSD serait donc inutile et même nuisible si on considère les coûts engendrés par la complexité additionnelle du code. Le but à mon sens est également de n'avoir pas à toucher au protocole de transport, notamment s'il est inconnu du routeur. Est-ce que je me trompe ? Cordialement Emmanuel Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Bonjour, Le 17/09/2013 14:05, Simon Perreault a écrit : Le 2013-09-17 13:37, Rémi Laurent a écrit : Si j'ai bien compris le princi de NPTv6 je pense que ce genre de règle devrait faire l'affaire match in on $if inet6 from any to $pfx1/64 rdr-to $pfx2/64 bitmask match out on $if inet6 from any to $pfx2/64 nat-to $pfx1/64 bitmask Pas tout à fait. Le matching doit être inversé, et il manque l'option static-port avec la règle nat-to pour éviter de NATer les ports. match in on $if inet6 from any to $pfx1/64 rdr-to $pfx2/64 bitmask match out on $if inet6 from $pfx2/64 to any nat-to $pfx1/64 bitmask static-port Ou plus simple, en utilisant binat-to et en éliminant les termes redondants: match on $if from $pfx2/64 binat-to $pfx1/64 bitmask (static-port est implicite avec binat-to.) Simon Je n'avais pas connaissance de ce mot-clé bitmask ... C'est récent ? En tous cas, un grand merci pour ces réponses, ça donne des perspectives ;) . @+ Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Le 2013-09-17 15:34, Christophe a écrit : Je n'avais pas connaissance de ce mot-clé bitmask ... C'est récent ? Oui. C'est apparu dans OpenBSD 3.3, il n'y a que 10 ans. :) Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Le 17/09/2013 16:09, Simon Perreault a écrit : Le 2013-09-17 15:34, Christophe a écrit : Je n'avais pas connaissance de ce mot-clé bitmask ... C'est récent ? Oui. C'est apparu dans OpenBSD 3.3, il n'y a que 10 ans. :) Simon Ah ... oui, en effet ;) La je suis vraiment passé à côté ! @+ Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] trunk layer 2 backup internet
Pour la carte sup, oui c'est supporté, par contre pour les line card il faut passer apparemment sur des es+ : http://www.cisco.com/en/US/prod/collateral/routers/ps368/data_sheet_c78-49152.html En recherchant des infos sur le l2tpv3, j'ai également vu que le vpls semblait offrir les fonctionnalités L2 avec la possibilité de faire du multipoint. Certains d'entre vous l'utilisent ou ont essayé ? Merci ! Le 13 septembre 2013 22:15, michel besnard mic...@besnard.in a écrit : d'après le cisco feature navigator http://tools.cisco.com/ITDIT/CFN/jsp/by-feature-technology.jsp en prenant en compte comme fonction : L2TPv3 et le modèle de ta carte sup RSP720-3CLX-GE http://www.cisco.com/en/US/prod/collateral/routers/ps368/product_data_sheet0900aecd8057f3b6.htmlqui contient un MSCF4 ca fonctionnerais avec les images et mémoire suivantes : Image List Searched For Features Name L2TP Extended Failover,L2TPv3 - Layer-2 Tunneling Protocol Version 3 Release Number Platform Name 7600-RSP720/MSFC4 Image List Train Name Release Number Life Cycle EoL Info Avl Platform Name FeatSet/License OR Supervisor(NX-OS specific) DRAM Flash Orderable Image Name 15.0S 15.0(1)S1 ED No 7600-RSP720/MSFC4 ADVANCED ENTERPRISE SERVICES SSH 1024 256 No c7600rsp72043-adventerprisek9-mz.150-1.S1.bin 15.0S 15.0(1)S1 ED No 7600-RSP720/MSFC4 ADVANCED IP SERVICES 1024 256 No c7600rsp72043-advipservices-mz.150-1.S1.bin 15.0S 15.0(1)S1 ED No 7600-RSP720/MSFC4 ADVANCED IP SERVICES SSH 1024 256 No c7600rsp72043-advipservicesk9-mz.150-1.S1.bin 15.0S 15.0(1)S1 ED No 7600-RSP720/MSFC4 ADVANCED ENTERPRISE SERVICES SSH 1024 256 No rsp72043-adventerprisek9-mz.150-1.S1.bin 15.0S 15.0(1)S1 ED No 7600-RSP720/MSFC4 ADVANCED IP SERVICES 1024 256 No rsp72043-advipservices-mz.150-1.S1.bin 15.0S 15.0(1)S1 ED No 7600-RSP720/MSFC4 ADVANCED IP SERVICES SSH 1024 256 No rsp72043-advipservicesk9-mz.150-1.S1.bin 15.1S 15.1(1)S ED Yes 7600-RSP720/MSFC4 ADVANCED ENTERPRISE SERVICES SSH 1024 256 No c7600rsp72043-adventerprisek9-mz.151-1.S.bin 15.1S 15.1(1)S ED Yes 7600-RSP720/MSFC4 ADVANCED IP SERVICES 1024 256 No c7600rsp72043-advipservices-mz.151-1.S.bin 15.1S 15.1(1)S ED Yes 7600-RSP720/MSFC4 ADVANCED IP SERVICES SSH 1024 256 No c7600rsp72043-advipservicesk9-mz.151-1.S.bin 15.0S 15.0(1)S2 ED No 7600-RSP720/MSFC4 ADVANCED ENTERPRISE SERVICES SSH 1024 256 No c7600rsp72043-adventerprisek9-mz.150-1.S2.bin 15.0S 15.0(1)S2 ED No 7600-RSP720/MSFC4 ADVANCED IP SERVICES 1024 256 No c7600rsp72043-advipservices-mz.150-1.S2.bin 15.0S 15.0(1)S2 ED No 7600-RSP720/MSFC4 ADVANCED IP SERVICES SSH 1024 256 No c7600rsp72043-advipservicesk9-mz.150-1.S2.bin 15.1S 15.1(1)S1 ED Yes 7600-RSP720/MSFC4 ADVANCED ENTERPRISE SERVICES SSH 1024 256 No c7600rsp72043-adventerprisek9-mz.151-1.S1.bin 15.1S 15.1(1)S1 ED Yes 7600-RSP720/MSFC4 ADVANCED IP SERVICES 1024 256 No c7600rsp72043-advipservices-mz.151-1.S1.bin 15.1S 15.1(1)S1 ED Yes 7600-RSP720/MSFC4 ADVANCED IP SERVICES SSH 1024 256 No c7600rsp72043-advipservicesk9-mz.151-1.S1.bin 15.1S 15.1(1)S2 ED Yes 7600-RSP720/MSFC4 ADVANCED ENTERPRISE SERVICES SSH 1024 256 No c7600rsp72043-adventerprisek9-mz.151-1.S2.bin 15.1S 15.1(1)S2 ED Yes 7600-RSP720/MSFC4 ADVANCED IP SERVICES 1024 256 No c7600rsp72043-advipservices-mz.151-1.S2.bin 15.1S 15.1(1)S2 ED Yes 7600-RSP720/MSFC4 ADVANCED IP SERVICES SSH 1024 256 No c7600rsp72043-advipservicesk9-mz.151-1.S2.bin 15.0S 15.0(1)S3a MD No 7600-RSP720/MSFC4 ADVANCED ENTERPRISE SERVICES SSH 1024 256 No c7600rsp72043-adventerprisek9-mz.150-1.S3a.bin 15.0S 15.0(1)S3a MD No 7600-RSP720/MSFC4 ADVANCED IP SERVICES 1024 256 No c7600rsp72043-advipservices-mz.150-1.S3a.bin 15.0S 15.0(1)S3a MD No 7600-RSP720/MSFC4 ADVANCED IP SERVICES SSH 1024 256 No c7600rsp72043-advipservicesk9-mz.150-1.S3a.bin 15.2S 15.2(1)S ED No 7600-RSP720/MSFC4 ADVANCED ENTERPRISE SERVICES SSH 1024 256 No c7600rsp72043-adventerprisek9-mz.152-1.S.bin 15.2S 15.2(1)S ED No 7600-RSP720/MSFC4 ADVANCED IP SERVICES 1024 256 No c7600rsp72043-advipservices-mz.152-1.S.bin 15.2S 15.2(1)S ED No 7600-RSP720/MSFC4 ADVANCED IP SERVICES SSH 1024 256 No c7600rsp72043-advipservicesk9-mz.152-1.S.bin 15.0S 15.0(1)S4 MD No 7600-RSP720/MSFC4 ADVANCED ENTERPRISE SERVICES SSH 1024 256 No c7600rsp72043-adventerprisek9-mz.150-1.S4.bin 15.0S 15.0(1)S4 MD No 7600-RSP720/MSFC4 ADVANCED IP SERVICES 1024 256 No c7600rsp72043-advipservices-mz.150-1.S4.bin 15.0S 15.0(1)S4 MD No 7600-RSP720/MSFC4 ADVANCED IP SERVICES SSH 1024 256 No c7600rsp72043-advipservicesk9-mz.150-1.S4.bin 15.1S 15.1(3)S ED Yes 7600-RSP720/MSFC4 ADVANCED ENTERPRISE SERVICES SSH 1024 256 No c7600rsp72043-adventerprisek9-mz.151-3.S.bin 15.1S 15.1(3)S ED Yes 7600-RSP720/MSFC4 ADVANCED IP SERVICES 1024 256 No c7600rsp72043-advipservices-mz.151-3.S.bin 15.1S 15.1(3)S ED Yes 7600-RSP720/MSFC4 ADVANCED IP SERVICES SSH 1024 256 No
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Bonsoir tout le monde, Le 17/09/2013 14:05, Simon Perreault a écrit : match in on $if inet6 from any to $pfx1/64 rdr-to $pfx2/64 bitmask match out on $if inet6 from $pfx2/64 to any nat-to $pfx1/64 bitmask static-port Ou plus simple, en utilisant binat-to et en éliminant les termes redondants: match on $if from $pfx2/64 binat-to $pfx1/64 bitmask (static-port est implicite avec binat-to.) Simon Pour avoir testé rapidement (OpenBSD , v4.8 en ce qui concerne le cas présent) , ca presque marche : Ca sort bien avec la bonne IPv6 , translatée du LAN vers le WAN, mais le soucis suivant tient en une ligne qui apparait sur le WAN (je pense que les plus avertis d'entre vous vont vite comprendre ou je veux en venir ;) ) : fe80::9e4e:20ff:fe3a:858e ff02::1:ffef:2510: icmp6: neighbor sol: who has 2a01:abcd:::dcad:beff:feef:2510 [class 0xe0] Et la , le routeur n'est pas en mesure de répondre , vu qu'il n'a pas cette adresse IPv6 lui même. La problématique est plus ou moins la même qu'avec IPv4 , ou le routeur doit normalement posséder les adresses , pour pouvoir y répondre. et je me vois mal aliaser toutes les IPv6 sur l'interface concernée. (je m'en suis un peu douté avant de faire la manip). Y'a t'il du coup une technique pour que le routeur réponde systématiquement sur l'interface donnée : oui c'est moi qui ai ça ... envoie ca par ici ? Encore un grand merci, car c'est un énorme pas en avant que j'ai fait ce soir grâce à vous. @+ Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Double alimentation
Hello, Expérience de mon côté dans le sens contraire : - Panne de STS (rencontré plusieurs fois même si c'est rare, avec 3 modèles différents MGE et APC) - Disjonction de STS sur un problème de bascule d'arrivée électrique (baie chargée à 12A sur feed 16A, reliée à la terre, mais incident entrainant une surchauffe tout de même. Bon le DC n'était pas forcément innocent dans l'histoire mais la conséquence est là, tout à terre) - Panne d'une alim (Dell) entrainant disjonction du feed A puis du feed B suite à la bascule du STS (plusieurs fois aussi). Du coup la politique : - Tout en double alim, ou du moins en redondance totale sans SPOF (le STS est un SPOF malgré tout) - STS pour juste quelques éléments mono alimentés et particuliers (CPE fourni par un opérateur pour un lien spécial, produits particuliers) et sur des intensités faibles. Après forcément tout est question de coût et de quantité, mais pour avoir vécu l'expérience jadis sur des grandes salles d'hébergement, je ne le recommande pas. Je préfère même 2 switchs mono alim sans STS/ATS et des serveurs avec une patte sur chacun en redondance qu'un STS pour pas voir les switchs tomber en cas de coupure d'un feed. My 2 cents, Frédéric Le 9/17/13 7:32 PM, Xavier Beaudouin a écrit : Hello, Le 17 sept. 2013 à 08:53, Julien Escario esca...@azylog.net a écrit : (...) Si jamais tu as la possibilité de prendre des serveurs avec deux alimentations, je pense que c’est plus simple. Tu auras également deux arrivée et tu seras en plus protégé de la panne de l’une des deux alimentations ; le basculement de lune à l’autre est directement géré au niveau hardware dans le serveur. Après ça sans doute être plus cher. Pour avoir longuement pesé le pour et le contre, nous avons fait le choix de serveur mono alim avec un STS en frontal + PDU. Au final, nous n'avons JAMAIS eu de panne sur une alim (que du Supermicro chez nous) et cela nous revient nettement moins cher d'acheter un STS + modules d'alim de spare que de mettre de la double alim sur chaque machine. Une exception : les serveurs de fichiers (filer), le reste peut tomber sans réelle incidence. Je fais les mêmes exceptions que toi, avec celle en plus : les gros serveurs de virtu (ceux qui ont 30 ou 40 vm) Sans compter la place que l'on gagne sur les PDU : la plupart des DC fournissent de l'APC avec 21 prises C13 ce qui limite le contenu de la baie à 21 serveurs avec de la double alim (un PDU par voie). En 2U, ça marche mais dès qu'on met une machine 1U, il y aura du vide dans la baie (à moins de rajouter de la multiprise). L'autre avantage, aussi c'est que du double alim dans un serveur c'est pas loin de 20% de consommation de plus... Donc ça se paye aussi largement sur le prix de la baie... /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
On Tue, Sep 17, 2013, at 20:50, Christophe wrote: La problématique est plus ou moins la même qu'avec IPv4 , ou le routeur doit normalement posséder les adresses , pour pouvoir y répondre. et je me vois mal aliaser toutes les IPv6 sur l'interface concernée. (je m'en suis un peu douté avant de faire la manip). En v4, ca s'appelle proxy arp et ca marche pas mal. En v6, ca s'appelle ND proxy, mais je ne peux pas dire ce que ca donne dans la vie reele car pas teste. Y'a t'il du coup une technique pour que le routeur réponde systématiquement sur l'interface donnée : oui c'est moi qui ai ça ... envoie ca par ici ? Il y a 15 ans, j'avais trouve l'outil magique qui repondait (en userland) a des requetes ARP pour un subnet specifie manuellement (et arbitrairement, pas necesairement en lien avec la table de routage). De nos jours, les deux sont integres (d'une certain facon) dans le stack IP de Linux (net.ipv6.conf.all.proxy_ndp + ip -6 nei proxy pour NDP) Pour les BSD, aucune idee... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Incident AS3215/SFR
Bonsoir, RAS ici. ca s'écoule normalement et je dirais même que nous on en passe beaucoup ce soir vers 3215... Bien cordialement, -- Thibaud GRANGIER PHPNET France Tel: (+33) 04 82 53 02 10 Fax: (+33) 04 38 12 86 48 http://www.phpnet.fr/ Le 17/09/2013 19:18, Romain a écrit : Bonjour, il semble y avoir y problème sérieux pour accéder au contenu délivré par le réseau SFR depuis l'AS 3215(Orange). Quelqu'un a de la visibilité sur cet incident. Romain. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IPv6: questions sur le routage et le dual wan
Bonsoir Radu-Adrian, Le 17/09/2013 21:12, Radu-Adrian Feurdean a écrit : On Tue, Sep 17, 2013, at 20:50, Christophe wrote: La problématique est plus ou moins la même qu'avec IPv4 , ou le routeur doit normalement posséder les adresses , pour pouvoir y répondre. et je me vois mal aliaser toutes les IPv6 sur l'interface concernée. (je m'en suis un peu douté avant de faire la manip). En v4, ca s'appelle proxy arp et ca marche pas mal. En v6, ca s'appelle ND proxy, mais je ne peux pas dire ce que ca donne dans la vie reele car pas teste. Y'a t'il du coup une technique pour que le routeur réponde systématiquement sur l'interface donnée : oui c'est moi qui ai ça ... envoie ca par ici ? Il y a 15 ans, j'avais trouve l'outil magique qui repondait (en userland) a des requetes ARP pour un subnet specifie manuellement (et arbitrairement, pas necesairement en lien avec la table de routage). De nos jours, les deux sont integres (d'une certain facon) dans le stack IP de Linux (net.ipv6.conf.all.proxy_ndp + ip -6 nei proxy pour NDP) Pour les BSD, aucune idee... Je pense que tu as effectivement parfaitement cerné la situation : Je pensais me tromper en parlant de ND proxy dans le cas présent, mais au final , ce n'est peut être pas si loin de ca. Ce truc la, je l'ai effectivement mis en place sous linux : en statique sur un serveur OVH pour utiliser le /56 fourni avec un serveur dédié (avec les commandes qui tu as citées), et en dynamique sur un routeur perso qui fait du router-advertisement sur le LAN, et avec un truc qui s'appelle *ndppd* : pas de soucis à déplorer jusque la. (ca reste de l'installation perso tout de même , aucun retour à faire sur ce truc en vraie prod ... ) A première vue, on est donc dans la même problématique, mais à appliquer sur OpenBSD, et si possible en dynamique ;) . Je me demandais si il n'y avait pas ca d'intégré directement dans la distrib de base. Mais à défaut , un truc à installer ou à compiler, ça me va aussi ;) . @+ Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Incident AS3215/SFR
Bsoir, Perturbations de 19h10 à 20h25 et de 21h à... avec 3 à 18% de pertes de packets Pareil la veille. Problème vu depuis NTT, SFR n'est donc pas le seul impacté, ce qui indique que le problème est intra FT 3215. Bonne soirée Bruno -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Romain Envoyé : mardi 17 septembre 2013 20:13 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Incident AS3215/SFR OBS a confirmé la résolution de l'incident il y a 10 minutes environ. Le 2013-09-17 19:32, Thibaud GRANGIER a écrit : Bonsoir, RAS ici. ca s'écoule normalement et je dirais même que nous on en passe beaucoup ce soir vers 3215... Bien cordialement, -- Thibaud GRANGIER PHPNET France Tel: (+33) 04 82 53 02 10 Fax: (+33) 04 38 12 86 48 http://www.phpnet.fr/ Le 17/09/2013 19:18, Romain a écrit : Bonjour, il semble y avoir y problème sérieux pour accéder au contenu délivré par le réseau SFR depuis l'AS 3215(Orange). Quelqu'un a de la visibilité sur cet incident. Romain. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Double alimentation
Hello, Le 17 sept. 2013 à 08:53, Julien Escario esca...@azylog.net a écrit : (...) Si jamais tu as la possibilité de prendre des serveurs avec deux alimentations, je pense que c’est plus simple. Tu auras également deux arrivée et tu seras en plus protégé de la panne de l’une des deux alimentations ; le basculement de lune à l’autre est directement géré au niveau hardware dans le serveur. Après ça sans doute être plus cher. Pour avoir longuement pesé le pour et le contre, nous avons fait le choix de serveur mono alim avec un STS en frontal + PDU. Au final, nous n'avons JAMAIS eu de panne sur une alim (que du Supermicro chez nous) et cela nous revient nettement moins cher d'acheter un STS + modules d'alim de spare que de mettre de la double alim sur chaque machine. Une exception : les serveurs de fichiers (filer), le reste peut tomber sans réelle incidence. Je fais les mêmes exceptions que toi, avec celle en plus : les gros serveurs de virtu (ceux qui ont 30 ou 40 vm) Sans compter la place que l'on gagne sur les PDU : la plupart des DC fournissent de l'APC avec 21 prises C13 ce qui limite le contenu de la baie à 21 serveurs avec de la double alim (un PDU par voie). En 2U, ça marche mais dès qu'on met une machine 1U, il y aura du vide dans la baie (à moins de rajouter de la multiprise). L'autre avantage, aussi c'est que du double alim dans un serveur c'est pas loin de 20% de consommation de plus... Donc ça se paye aussi largement sur le prix de la baie... /Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/