[FRnOG] [TECH] Retours d’expérience sur FabricPath Cisco
Bonjour à tous, Je cherche à avoir des retours d’expériences sur la version propriétaire Cisco de TRILL qu'est FabricPath. Sur le papier, ca a l'air bien, en lab avec du nexus 5500 ça semble marcher, mais avant d'aller plus loin je suis preneur de vos retours pour m’éviter de mauvaises surprises lors de la mise en prod (style la version XXX de NexusOS est bugée, ou ) Je compte déployer une archi super simple avec une dizaine de leafs et deux spines sur des nexus 5548. Merci d'avance. Salim --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: connectivité temporaire pour site isolé
Bruit/Oups … j’avais répondu en direct, pas sur la ML :-o/findebruit De base non, mais y’a déjà pas mal de « merdouilles » bloquées. J’utilise les blacklistages DNS avec « Always Block » customisable. Faut jongler un peu, mais ça le fait bien. Frank ALEXIS Je l'utilise aussi mais je me rappelle pas qu'ils filtrent les ad-provider. Les gros phishers et autres sites frauduleux mais pas plus dans la version gratuite. Ou alors j'ai raté un truc :) David Ponzone Le 10 oct. 2014 à 08:30, Frank ALEXIS alexisfr...@gmail.com a écrit : Mes 2cts ... Je passe par opendns gratuit pour bloquer les plus gros ad-provider (par le DNS bien sur). Une ip publique par compte, c'est simple à gérer et ça marche très bien. Frank ALEXIS Le 9 oct. 2014 à 21:03, David Ponzone david.ponz...@gmail.com a écrit : Le 9 oct. 2014 à 18:46, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Sans aucun doute. Questions supplémentaires : - T'as fait quoi pour bloquer les VPN ? Une fois le VPN ouvert, adieu tes contrôles. - T'as fait quoi pour bloquer les pubs ? (grosses consommatrices de bande passante). Pour les pubs, avec un Squid, c’est facile de faire un truc efficace même si pas parfait à 100%: http://virtualitsupport.wordpress.com/2014/05/13/squid-anti-ad-server-blocker/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Le 10 oct. 2014 à 08:30, Frank ALEXIS alexisfr...@gmail.com a écrit : Mes 2cts ... Je passe par opendns gratuit pour bloquer les plus gros ad-provider (par le DNS bien sur). Une ip publique par compte, c'est simple à gérer et ça marche très bien. Frank ALEXIS Le 9 oct. 2014 à 21:03, David Ponzone david.ponz...@gmail.com a écrit : Le 9 oct. 2014 à 18:46, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Sans aucun doute. Questions supplémentaires : - T'as fait quoi pour bloquer les VPN ? Une fois le VPN ouvert, adieu tes contrôles. - T'as fait quoi pour bloquer les pubs ? (grosses consommatrices de bande passante). Pour les pubs, avec un Squid, c’est facile de faire un truc efficace même si pas parfait à 100%: http://virtualitsupport.wordpress.com/2014/05/13/squid-anti-ad-server-blocker/ --- Liste de diffusion du FRnOG http://www.frnog.org/ Je l'utilise aussi mais je me rappelle pas qu'ils filtrent les ad-provider. Les gros phishers et autres sites frauduleux mais pas plus dans la version gratuite. Ou alors j'ai raté un truc :) David Ponzone Le 10 oct. 2014 à 08:30, Frank ALEXIS alexisfr...@gmail.com a écrit : Mes 2cts ... Je passe par opendns gratuit pour bloquer les plus gros ad-provider (par le DNS bien sur). Une ip publique par compte, c'est simple à gérer et ça marche très bien. Frank ALEXIS Le 9 oct. 2014 à 21:03, David Ponzone david.ponz...@gmail.com a écrit : Le 9 oct. 2014 à 18:46, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Sans aucun doute. Questions supplémentaires : - T'as fait quoi pour bloquer les VPN ? Une fois le VPN ouvert, adieu tes contrôles. - T'as fait quoi pour bloquer les pubs ? (grosses consommatrices de bande passante). Pour les pubs, avec un Squid, c’est facile de faire un truc efficace même si pas parfait à 100%: http://virtualitsupport.wordpress.com/2014/05/13/squid-anti-ad-server-blocker/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Retours d’expérience sur FabricPath Cisco
Bonjour Salim, Tes leafs, c'est des FEX ? Il y aurait quoi autour ? Ou serait implémenté le routage ? Salutations, 2014-10-10 9:59 GMT+02:00 Salim Gasmi sa...@sdv.fr: Bonjour à tous, Je cherche à avoir des retours d’expériences sur la version propriétaire Cisco de TRILL qu'est FabricPath. Sur le papier, ca a l'air bien, en lab avec du nexus 5500 ça semble marcher, mais avant d'aller plus loin je suis preneur de vos retours pour m’éviter de mauvaises surprises lors de la mise en prod (style la version XXX de NexusOS est bugée, ou ) Je compte déployer une archi super simple avec une dizaine de leafs et deux spines sur des nexus 5548. Merci d'avance. Salim --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Matthieu MICHAUD --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
Bonjour à la liste,Voilà, je vais devoir mettre en place une petite infra de serveurs quips chacun de 2 ports rseau Gigabit.J'aimerais, pour amliorer la disponibilit et maximiser la capacit rseau, les connecter à 2 switchs diffrents (de marque diffrente donc non-stackables).Si je veux donc faire du bonding, je vais devoir grer ça côt logiciel sur mon OS Linux.En lisant la doc sur le bonding (https://www.kernel.org/doc/Documentation/networking/bonding.txt), on constate qu'il ne semble pas y avoir de mode permettant à la fois la haute disponibilit ET l'aggrgation des liens. Ils conseillent les modes "active-backup" ou "broadcast" pour du HA, et "balance-rr" pour de l'aggrgation.Pourtant, mais je ne m'y connait peut-être pas suffisamment pour voir le problème, le mode "balance-alb" semble faire ce que je veux. Je n'arrive pas à voir le problème que je pourrais rencontrer dans cette situation.En fait, vous allez surement me dire "pourquoi tu ne prends pas 2 switchs stackables et basta ?", et bien parce que pour moi, prendre 2 switchs identiques (ou presque), fabriqus à la même priode avec du matriel quasi-identique ne me met pas en confiance dans l'ventualit d'une panne matrielle (idem pour le logiciel qui est identique sur les 2).Voilà pourquoi je prfère 2 switchs de 2 marques diffrentes. Et pour l'instant à ma connaissance, il n'existe pas un protocole assez rpandu pour faire du LACP sur plusieurs switchs.Quelle(s) solution(s) envisageriez-vous à ma place ? Ou qu'avez-vous djà mis en place dans une telle situation ?Merci par avance.Cordialement,FlorianThe Free Email with so much more!= http://www.MuchoMail.com =
Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
Bonjour, Et pourquoi pas le mode 4, le bond-mode 802.3ad (lacp) ? Agrégation de lien de base et en soit ça fait HA. Techniquement, il me semble que le stackage de switch sur du modèle relativement récent ne pose aucun problème, bien au contraire, à moins d'utiliser des fonctions très exotiques. De mon côté j'ai du stack de Juniper EX4200 (en 2 ou en 3) et je fais du 802.3ad en 2 x 1Gbits ou 4 x 1Gbits sous Debian/Centos et VMware. Gurvan. Le 10 octobre 2014 12:56, Florian Taboul fl...@muchomail.com a écrit : Bonjour à la liste, Voilà, je vais devoir mettre en place une petite infra de serveurs équipés chacun de 2 ports réseau Gigabit. J'aimerais, pour améliorer la disponibilité et maximiser la capacité réseau, les connecter à 2 switchs différents (de marque différente donc non-stackables). Si je veux donc faire du bonding, je vais devoir gérer ça côté logiciel sur mon OS Linux. En lisant la doc sur le bonding (https://www.kernel.org/doc/Documentation/networking/bonding.txt), on constate qu'il ne semble pas y avoir de mode permettant à la fois la haute disponibilité ET l'aggrégation des liens. Ils conseillent les modes active-backup ou broadcast pour du HA, et balance-rr pour de l'aggrégation. Pourtant, mais je ne m'y connait peut-être pas suffisamment pour voir le problème, le mode balance-alb semble faire ce que je veux. Je n'arrive pas à voir le problème que je pourrais rencontrer dans cette situation. En fait, vous allez surement me dire pourquoi tu ne prends pas 2 switchs stackables et basta ?, et bien parce que pour moi, prendre 2 switchs identiques (ou presque), fabriqués à la même période avec du matériel quasi-identique ne me met pas en confiance dans l'éventualité d'une panne matérielle (idem pour le logiciel qui est identique sur les 2). Voilà pourquoi je préfère 2 switchs de 2 marques différentes. Et pour l'instant à ma connaissance, il n'existe pas un protocole assez répandu pour faire du LACP sur plusieurs switchs. Quelle(s) solution(s) envisageriez-vous à ma place ? Ou qu'avez-vous déjà mis en place dans une telle situation ? Merci par avance. Cordialement, Florian The Free Email with so much more! = http://www.MuchoMail.com = --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
Bonjour Gurvan et merci de ta réponse. Si je ne m'abuse, le mode 802.3ad (lacp) n'est pas utilisable en multi-switch. Bien sur ça peut fonctionner selon la marque en stack, mais justement je ne souhaite pas utiliser une seule et unique marque de switchs, mais différentes marques qui ne supportent pas le stackage entre elles. C'est là qu'est le problème :) --- inulo...@gmail.com wrote: From: Inulogic - Free-H inulo...@gmail.com To: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ? Date: Fri, 10 Oct 2014 13:22:24 +0200 Bonjour, Et pourquoi pas le mode 4, le bond-mode 802.3ad (lacp) ? Agrégation de lien de base et en soit ça fait HA. Techniquement, il me semble que le stackage de switch sur du modèle relativement récent ne pose aucun problème, bien au contraire, à moins d'utiliser des fonctions très exotiques. De mon côté j'ai du stack de Juniper EX4200 (en 2 ou en 3) et je fais du 802.3ad en 2 x 1Gbits ou 4 x 1Gbits sous Debian/Centos et VMware. Gurvan. Le 10 octobre 2014 12:56, Florian Taboul fl...@muchomail.com a écrit : Bonjour à la liste, Voilà, je vais devoir mettre en place une petite infra de serveurs équipés chacun de 2 ports réseau Gigabit. J'aimerais, pour améliorer la disponibilité et maximiser la capacité réseau, les connecter à 2 switchs différents (de marque différente donc non-stackables). Si je veux donc faire du bonding, je vais devoir gérer ça côté logiciel sur mon OS Linux. En lisant la doc sur le bonding (https://www.kernel.org/doc/Documentation/networking/bonding.txt), on constate qu'il ne semble pas y avoir de mode permettant à la fois la haute disponibilité ET l'aggrégation des liens. Ils conseillent les modes active-backup ou broadcast pour du HA, et balance-rr pour de l'aggrégation. Pourtant, mais je ne m'y connait peut-être pas suffisamment pour voir le problème, le mode balance-alb semble faire ce que je veux. Je n'arrive pas à voir le problème que je pourrais rencontrer dans cette situation. En fait, vous allez surement me dire pourquoi tu ne prends pas 2 switchs stackables et basta ?, et bien parce que pour moi, prendre 2 switchs identiques (ou presque), fabriqués à la même période avec du matériel quasi-identique ne me met pas en confiance dans l'éventualité d'une panne matérielle (idem pour le logiciel qui est identique sur les 2). Voilà pourquoi je préfère 2 switchs de 2 marques différentes. Et pour l'instant à ma connaissance, il n'existe pas un protocole assez répandu pour faire du LACP sur plusieurs switchs. Quelle(s) solution(s) envisageriez-vous à ma place ? Ou qu'avez-vous déjà mis en place dans une telle situation ? Merci par avance. Cordialement, Florian The Free Email with so much more! = http://www.MuchoMail.com = --- Liste de diffusion du FRnOG http://www.frnog.org/ _ The Free Email with so much more! = http://www.MuchoMail.com = --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
Je crois que Florian avait précisé sa préférence pour avoir des switchs de marques différentes. Le 10 oct. 2014 à 13:22, Inulogic - Free-H inulo...@gmail.com a écrit : Bonjour, Et pourquoi pas le mode 4, le bond-mode 802.3ad (lacp) ? Agrégation de lien de base et en soit ça fait HA. Techniquement, il me semble que le stackage de switch sur du modèle relativement récent ne pose aucun problème, bien au contraire, à moins d'utiliser des fonctions très exotiques. De mon côté j'ai du stack de Juniper EX4200 (en 2 ou en 3) et je fais du 802.3ad en 2 x 1Gbits ou 4 x 1Gbits sous Debian/Centos et VMware. Gurvan. Le 10 octobre 2014 12:56, Florian Taboul fl...@muchomail.com a écrit : Bonjour à la liste, Voilà, je vais devoir mettre en place une petite infra de serveurs équipés chacun de 2 ports réseau Gigabit. J'aimerais, pour améliorer la disponibilité et maximiser la capacité réseau, les connecter à 2 switchs différents (de marque différente donc non-stackables). Si je veux donc faire du bonding, je vais devoir gérer ça côté logiciel sur mon OS Linux. En lisant la doc sur le bonding (https://www.kernel.org/doc/Documentation/networking/bonding.txt), on constate qu'il ne semble pas y avoir de mode permettant à la fois la haute disponibilité ET l'aggrégation des liens. Ils conseillent les modes active-backup ou broadcast pour du HA, et balance-rr pour de l'aggrégation. Pourtant, mais je ne m'y connait peut-être pas suffisamment pour voir le problème, le mode balance-alb semble faire ce que je veux. Je n'arrive pas à voir le problème que je pourrais rencontrer dans cette situation. En fait, vous allez surement me dire pourquoi tu ne prends pas 2 switchs stackables et basta ?, et bien parce que pour moi, prendre 2 switchs identiques (ou presque), fabriqués à la même période avec du matériel quasi-identique ne me met pas en confiance dans l'éventualité d'une panne matérielle (idem pour le logiciel qui est identique sur les 2). Voilà pourquoi je préfère 2 switchs de 2 marques différentes. Et pour l'instant à ma connaissance, il n'existe pas un protocole assez répandu pour faire du LACP sur plusieurs switchs. Quelle(s) solution(s) envisageriez-vous à ma place ? Ou qu'avez-vous déjà mis en place dans une telle situation ? Merci par avance. Cordialement, Florian The Free Email with so much more! = http://www.MuchoMail.com = --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
Oui effectivement ça dépend des switchs et ne doit être possible que sur du matériel évolué. (SMLT pour Nortel/Avaya, pour les autres marques je ne sais pas le nom). Donc l'alb semble la meilleur solution. A voir si ce n'est pas gênant sur de l'arp inspection sur tu as cette fonction. Gurvan. Le 10 octobre 2014 13:45, Florian Taboul fl...@muchomail.com a écrit : Bonjour Gurvan et merci de ta réponse. Si je ne m'abuse, le mode 802.3ad (lacp) n'est pas utilisable en multi-switch. Bien sur ça peut fonctionner selon la marque en stack, mais justement je ne souhaite pas utiliser une seule et unique marque de switchs, mais différentes marques qui ne supportent pas le stackage entre elles. C'est là qu'est le problème :) --- inulo...@gmail.com wrote: From: Inulogic - Free-H inulo...@gmail.com To: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ? Date: Fri, 10 Oct 2014 13:22:24 +0200 Bonjour, Et pourquoi pas le mode 4, le bond-mode 802.3ad (lacp) ? Agrégation de lien de base et en soit ça fait HA. Techniquement, il me semble que le stackage de switch sur du modèle relativement récent ne pose aucun problème, bien au contraire, à moins d'utiliser des fonctions très exotiques. De mon côté j'ai du stack de Juniper EX4200 (en 2 ou en 3) et je fais du 802.3ad en 2 x 1Gbits ou 4 x 1Gbits sous Debian/Centos et VMware. Gurvan. Le 10 octobre 2014 12:56, Florian Taboul fl...@muchomail.com a écrit : Bonjour à la liste, Voilà, je vais devoir mettre en place une petite infra de serveurs équipés chacun de 2 ports réseau Gigabit. J'aimerais, pour améliorer la disponibilité et maximiser la capacité réseau, les connecter à 2 switchs différents (de marque différente donc non-stackables). Si je veux donc faire du bonding, je vais devoir gérer ça côté logiciel sur mon OS Linux. En lisant la doc sur le bonding (https://www.kernel.org/doc/Documentation/networking/bonding.txt), on constate qu'il ne semble pas y avoir de mode permettant à la fois la haute disponibilité ET l'aggrégation des liens. Ils conseillent les modes active-backup ou broadcast pour du HA, et balance-rr pour de l'aggrégation. Pourtant, mais je ne m'y connait peut-être pas suffisamment pour voir le problème, le mode balance-alb semble faire ce que je veux. Je n'arrive pas à voir le problème que je pourrais rencontrer dans cette situation. En fait, vous allez surement me dire pourquoi tu ne prends pas 2 switchs stackables et basta ?, et bien parce que pour moi, prendre 2 switchs identiques (ou presque), fabriqués à la même période avec du matériel quasi-identique ne me met pas en confiance dans l'éventualité d'une panne matérielle (idem pour le logiciel qui est identique sur les 2). Voilà pourquoi je préfère 2 switchs de 2 marques différentes. Et pour l'instant à ma connaissance, il n'existe pas un protocole assez répandu pour faire du LACP sur plusieurs switchs. Quelle(s) solution(s) envisageriez-vous à ma place ? Ou qu'avez-vous déjà mis en place dans une telle situation ? Merci par avance. Cordialement, Florian The Free Email with so much more! = http://www.MuchoMail.com = --- Liste de diffusion du FRnOG http://www.frnog.org/ _ The Free Email with so much more! = http://www.MuchoMail.com = --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
Le 10/10/2014 12:56, Florian Taboul a écrit : Quelle(s) solution(s) envisageriez-vous à ma place ? Ou qu'avez-vous déjà mis en place dans une telle situation ? Perso, pour du multi-switchs, je set le bonding en active-backup. C'est brutal mais ça fonctionne bien quelque que soit les équipements (carte réseau, switch...), et il n'y aucune config à faire côté switch donc ça ne risque pas de déconner à ce niveau là. On n'a pas plus de débit qu'avec un seul port mais stable/économique/suffisant pour de la HA. Mes 0,01€ :) -- Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
Le 10/10/2014 13:46, David Ponzone a écrit : Je crois que Florian avait précisé sa préférence pour avoir des switchs de marques différentes. Le 10 oct. 2014 à 13:22, Inulogic - Free-H inulo...@gmail.com a écrit : Je penses personnellement que choisir deux switchs de marque différentes t'apportera plus de problème que le contraire, mais bon ça peut se comprendre. Donc dans ton cas tu peux utiliser seulement le load balacing en sortie de ton serveur. Les modes 0, 2, 5 du driver bond linux sont bon pour cela. Ou sinon si tu es joueur tu peux essayer le mode 6 qui réécrit les mac, l'avantage c'est que théoriquement ça load balance aussi en entrée. Après je trouve ça personnellement dégueu, et a part si tu as des problèmes de débit (aka tu fait rentrer plus d'1G) je ne l'utiliserais pas. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
Sinon, pour le MSLACP (le LAG/LACP dans une grappe de switchs hétérogènes), il y a eu un peu de travail: http://www.ieee802.org/1/files/public/docs2011/bq-rick-van-t-spijker-mslacp-final-31-05-2010-1104.pdf Mais à priori, ça n’a rien donné niveau implémentation. Le 10 oct. 2014 à 14:12, Raphael Mazelier r...@futomaki.net a écrit : Le 10/10/2014 13:46, David Ponzone a écrit : Je crois que Florian avait précisé sa préférence pour avoir des switchs de marques différentes. Le 10 oct. 2014 à 13:22, Inulogic - Free-H inulo...@gmail.com a écrit : Je penses personnellement que choisir deux switchs de marque différentes t'apportera plus de problème que le contraire, mais bon ça peut se comprendre. Donc dans ton cas tu peux utiliser seulement le load balacing en sortie de ton serveur. Les modes 0, 2, 5 du driver bond linux sont bon pour cela. Ou sinon si tu es joueur tu peux essayer le mode 6 qui réécrit les mac, l'avantage c'est que théoriquement ça load balance aussi en entrée. Après je trouve ça personnellement dégueu, et a part si tu as des problèmes de débit (aka tu fait rentrer plus d'1G) je ne l'utiliserais pas. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
Déjà que le MC-LAG sur des switchs de même marque c'est complexe :) Le 10/10/2014 14:16, David Ponzone a écrit : Sinon, pour le MSLACP (le LAG/LACP dans une grappe de switchs hétérogènes), il y a eu un peu de travail: http://www.ieee802.org/1/files/public/docs2011/bq-rick-van-t-spijker-mslacp-final-31-05-2010-1104.pdf Mais à priori, ça n’a rien donné niveau implémentation. Le 10 oct. 2014 à 14:12, Raphael Mazelier r...@futomaki.net a écrit : Le 10/10/2014 13:46, David Ponzone a écrit : Je crois que Florian avait précisé sa préférence pour avoir des switchs de marques différentes. Le 10 oct. 2014 à 13:22, Inulogic - Free-H inulo...@gmail.com a écrit : Je penses personnellement que choisir deux switchs de marque différentes t'apportera plus de problème que le contraire, mais bon ça peut se comprendre. Donc dans ton cas tu peux utiliser seulement le load balacing en sortie de ton serveur. Les modes 0, 2, 5 du driver bond linux sont bon pour cela. Ou sinon si tu es joueur tu peux essayer le mode 6 qui réécrit les mac, l'avantage c'est que théoriquement ça load balance aussi en entrée. Après je trouve ça personnellement dégueu, et a part si tu as des problèmes de débit (aka tu fait rentrer plus d'1G) je ne l'utiliserais pas. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Le pare-feu du geek barbu
Bonjour,
La difference entre les deux est la suivante:
- home edition limité à 50 adresses IP et integre toutes les
fonctionnalités (FW, IDS, VPN, filtrage WEB, mail etc.) pour un usage à la
maison
- essential dans sa version gratuite (y compris pour un usage
commercial) n'integre que la partie firewal mais inclut le gestionnaire de
cluster. Les autres modules restant activables en version d'eval 30 jours (ou
en commande)
Cdlt,
Philippe.
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de
David Ponzone
Envoyé : vendredi 10 octobre 2014 07:53
À : Michel Py
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Celui-là est pas plus intéressant ?
http://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx
La co-existence de ces 2 produits est assez déroutante...
Le 10 oct. 2014 à 04:03, Michel Py mic...@arneill-py.sacramento.ca.us a écrit
:
Salut la liste,
Est-ce que quelqu'un déployé Sophos UTM 9.1 gratuit ?
http://www.sophos.com/en-us/products/free-tools/sophos-utm-essential-f
irewall.aspx Quelqu'un qui a essayé en mode bridge transparent sans
NAT ?
Des avis ? { bon | mauvais | simple | usine à gaz | pour les nuls |
pour les dieux de linux }
Merci
Michel.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Sophos Sarl, 80 Quai Voltaire, 95870 Bezons, France
Sarl au capital de 4 841 051.50 Euros, RCS Pontoise B 431 462 720, NAF 5829A
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Philippe,
vous pouvez définir quel genre de maison utilise 50 IP internes ? :)
Le 10 oct. 2014 à 15:29, Philippe Dufour philippe.duf...@sophos.fr a écrit :
Bonjour,
La difference entre les deux est la suivante:
- home edition limité à 50 adresses IP et integre toutes les
fonctionnalités (FW, IDS, VPN, filtrage WEB, mail etc.) pour un usage à la
maison
- essential dans sa version gratuite (y compris pour un usage
commercial) n'integre que la partie firewal mais inclut le gestionnaire de
cluster. Les autres modules restant activables en version d'eval 30 jours (ou
en commande)
Cdlt,
Philippe.
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de
David Ponzone
Envoyé : vendredi 10 octobre 2014 07:53
À : Michel Py
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Celui-là est pas plus intéressant ?
http://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx
La co-existence de ces 2 produits est assez déroutante...
Le 10 oct. 2014 à 04:03, Michel Py mic...@arneill-py.sacramento.ca.us a
écrit :
Salut la liste,
Est-ce que quelqu'un déployé Sophos UTM 9.1 gratuit ?
http://www.sophos.com/en-us/products/free-tools/sophos-utm-essential-f
irewall.aspx Quelqu'un qui a essayé en mode bridge transparent sans
NAT ?
Des avis ? { bon | mauvais | simple | usine à gaz | pour les nuls |
pour les dieux de linux }
Merci
Michel.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Sophos Sarl, 80 Quai Voltaire, 95870 Bezons, France
Sarl au capital de 4 841 051.50 Euros, RCS Pontoise B 431 462 720, NAF 5829A
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Une colloc de geek et/ou une baraque avec la fibre qui sert de endpoint VPN
pour les potes :)
Le 10 octobre 2014 16:03, David Ponzone david.ponz...@gmail.com a écrit :
Philippe,
vous pouvez définir quel genre de maison utilise 50 IP internes ? :)
Le 10 oct. 2014 à 15:29, Philippe Dufour philippe.duf...@sophos.fr a
écrit :
Bonjour,
La difference entre les deux est la suivante:
- home edition limité à 50 adresses IP et integre toutes les
fonctionnalités (FW, IDS, VPN, filtrage WEB, mail etc.) pour un usage à la
maison
- essential dans sa version gratuite (y compris pour un usage
commercial) n'integre que la partie firewal mais inclut le gestionnaire de
cluster. Les autres modules restant activables en version d'eval 30 jours
(ou en commande)
Cdlt,
Philippe.
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la
part de David Ponzone
Envoyé : vendredi 10 octobre 2014 07:53
À : Michel Py
Cc : frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Celui-là est pas plus intéressant ?
http://www.sophos.com/en-us/products/free-tools/sophos-utm-home-edition.aspx
La co-existence de ces 2 produits est assez déroutante...
Le 10 oct. 2014 à 04:03, Michel Py mic...@arneill-py.sacramento.ca.us
a écrit :
Salut la liste,
Est-ce que quelqu'un déployé Sophos UTM 9.1 gratuit ?
http://www.sophos.com/en-us/products/free-tools/sophos-utm-essential-f
irewall.aspx Quelqu'un qui a essayé en mode bridge transparent sans
NAT ?
Des avis ? { bon | mauvais | simple | usine à gaz | pour les nuls |
pour les dieux de linux }
Merci
Michel.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Sophos Sarl, 80 Quai Voltaire, 95870 Bezons, France
Sarl au capital de 4 841 051.50 Euros, RCS Pontoise B 431 462 720, NAF
5829A
---
Liste de diffusion du FRnOG
http://www.frnog.org/
--
Nathan Delhaye
06 69 27 64 25
0805 696 494
---
Liste de diffusion du FRnOG
http://www.frnog.org/
RE: [FRnOG] [MISC] Le pare-feu du geek barbu
Ah si je regarde chez moi, entre les 3 bornes wifi, les webcams, le NAS, les
macs, les 2 imprimantes, chromecasts, ipads et téléphones de toute la famille,
ça grimpe vite :)
(ajoutez à ça les copains/copines des enfants!)
-Message d'origine-
De : David Ponzone [mailto:david.ponz...@gmail.com]
Envoyé : vendredi 10 octobre 2014 16:03
À : Philippe Dufour
Cc : Michel Py; frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Philippe,
vous pouvez définir quel genre de maison utilise 50 IP internes ? :)
Le 10 oct. 2014 à 15:29, Philippe Dufour philippe.duf...@sophos.fr a écrit :
Bonjour,
La difference entre les deux est la suivante:
- home edition limité à 50 adresses IP et integre toutes les
fonctionnalités (FW, IDS, VPN, filtrage WEB, mail etc.) pour un usage à la
maison
- essential dans sa version gratuite (y compris pour un usage
commercial) n'integre que la partie firewal mais inclut le
gestionnaire de cluster. Les autres modules restant activables en version
d'eval 30 jours (ou en commande) Cdlt, Philippe.
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la
part de David Ponzone Envoyé : vendredi 10 octobre 2014 07:53 À :
Michel Py Cc : frnog@frnog.org Objet : Re: [FRnOG] [MISC] Le pare-feu
du geek barbu
Celui-là est pas plus intéressant ?
http://www.sophos.com/en-us/products/free-tools/sophos-utm-home-editio
n.aspx
La co-existence de ces 2 produits est assez déroutante...
Le 10 oct. 2014 à 04:03, Michel Py mic...@arneill-py.sacramento.ca.us a
écrit :
Salut la liste,
Est-ce que quelqu'un déployé Sophos UTM 9.1 gratuit ?
http://www.sophos.com/en-us/products/free-tools/sophos-utm-essential-
f irewall.aspx Quelqu'un qui a essayé en mode bridge transparent sans
NAT ?
Des avis ? { bon | mauvais | simple | usine à gaz | pour les nuls |
pour les dieux de linux }
Merci
Michel.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Sophos Sarl, 80 Quai Voltaire, 95870 Bezons, France Sarl au capital de
4 841 051.50 Euros, RCS Pontoise B 431 462 720, NAF 5829A
Sophos Sarl, 80 Quai Voltaire, 95870 Bezons, France
Sarl au capital de 4 841 051.50 Euros, RCS Pontoise B 431 462 720, NAF 5829A
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Bonjour, On Fri, Oct 10, 2014 at 04:03:28PM +0200, David Ponzone wrote: vous pouvez définir quel genre de maison utilise 50 IP internes ? :) Perso, entre mes machines, mon firewall, mes APs, mes VM pour mon labs perso, les laptops des enfants, de ma femme, la tablette, les smartphones, je dois déjà bien être à 25 / 30 IPs à la maison. Bon c'est sûr que tout le monde n'a pas des serveurs dans son garage avec KVM dessus ;) Si on ajoute de la domotique full-IP + station meteo + station de releve conso electrique, on doit pouvoir atteindre facile les 50 IPs. Allez voir chez Spyou et sa maison qui tweete pour un exemple (qui n'est pas un cas isolé chez les geeks fous furieux) : http://blog.spyou.org ++ Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Blague à part, c’est quoi votre incentive pour pousser un client à régulariser
avec une licence payante, sachant qu’avec 50 IP, on couvre les besoins de 94%
des sociétés françaises ? :)
Le 10 oct. 2014 à 16:12, Philippe Dufour philippe.duf...@sophos.fr a écrit :
Ah si je regarde chez moi, entre les 3 bornes wifi, les webcams, le NAS, les
macs, les 2 imprimantes, chromecasts, ipads et téléphones de toute la
famille, ça grimpe vite :)
(ajoutez à ça les copains/copines des enfants!)
-Message d'origine-
De : David Ponzone [mailto:david.ponz...@gmail.com]
Envoyé : vendredi 10 octobre 2014 16:03
À : Philippe Dufour
Cc : Michel Py; frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Philippe,
vous pouvez définir quel genre de maison utilise 50 IP internes ? :)
Le 10 oct. 2014 à 15:29, Philippe Dufour philippe.duf...@sophos.fr a écrit :
Bonjour,
La difference entre les deux est la suivante:
- home edition limité à 50 adresses IP et integre toutes les
fonctionnalités (FW, IDS, VPN, filtrage WEB, mail etc.) pour un usage à la
maison
- essential dans sa version gratuite (y compris pour un usage
commercial) n'integre que la partie firewal mais inclut le
gestionnaire de cluster. Les autres modules restant activables en version
d'eval 30 jours (ou en commande) Cdlt, Philippe.
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la
part de David Ponzone Envoyé : vendredi 10 octobre 2014 07:53 À :
Michel Py Cc : frnog@frnog.org Objet : Re: [FRnOG] [MISC] Le pare-feu
du geek barbu
Celui-là est pas plus intéressant ?
http://www.sophos.com/en-us/products/free-tools/sophos-utm-home-editio
n.aspx
La co-existence de ces 2 produits est assez déroutante...
Le 10 oct. 2014 à 04:03, Michel Py mic...@arneill-py.sacramento.ca.us a
écrit :
Salut la liste,
Est-ce que quelqu'un déployé Sophos UTM 9.1 gratuit ?
http://www.sophos.com/en-us/products/free-tools/sophos-utm-essential-
f irewall.aspx Quelqu'un qui a essayé en mode bridge transparent sans
NAT ?
Des avis ? { bon | mauvais | simple | usine à gaz | pour les nuls |
pour les dieux de linux }
Merci
Michel.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Sophos Sarl, 80 Quai Voltaire, 95870 Bezons, France Sarl au capital de
4 841 051.50 Euros, RCS Pontoise B 431 462 720, NAF 5829A
Sophos Sarl, 80 Quai Voltaire, 95870 Bezons, France
Sarl au capital de 4 841 051.50 Euros, RCS Pontoise B 431 462 720, NAF 5829A
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
'jour vous pouvez définir quel genre de maison utilise 50 IP internes ? :) Une maison avec deux ados et deux adultes... un smartphone par personne 4 une tablette par personne 4 un laptop par personne 4 un ordinateur fixe par adulte, en plus 2 deux ordis fixes en plus (*) 2 deux filers 2 deux imprimantes2 trois AP3 deux switches 2 quatre media players4 quelques trucs domotiques (*)12 Il suffit que les copains des ados débarquent avec leurs smartphones et leur bardas (tablettes, laptops, fixes pour une LAN) et pan. (*) Les ordis fixes en plus, ça peut être un AiO dans la cuisine, un vieux laptop dans le garage pour les RTA, etc Les trucs domotiques, ça va des capteurs à la centrale d'éclairage. Toute ressemblance avec la réalité, tout ça. Et encore, ne sont pas comptabilisés tous les trucs de passage (routeurs, AP, serveurs) avant livraison... David --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Le pare-feu du geek barbu
Sur ce plan, le home edition est uniquement pour un usage privé et non
commercial (comme l'antivirus mac par exemple).
Au dela de ca (sans vouloir faire de pub) les boitiers d'entrées de gamme pour
TPE ne sont pas chers (similaire à un serveur lowcost), mais je vous laisse juge
Cdlt
Philippe
De : David Ponzone [mailto:david.ponz...@gmail.com]
Envoyé : vendredi 10 octobre 2014 16:17
À : Philippe Dufour
Cc : Michel Py; frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Blague à part, c'est quoi votre incentive pour pousser un client à régulariser
avec une licence payante, sachant qu'avec 50 IP, on couvre les besoins de 94%
des sociétés françaises ? :)
Le 10 oct. 2014 à 16:12, Philippe Dufour
philippe.duf...@sophos.frmailto:philippe.duf...@sophos.fr a écrit :
Ah si je regarde chez moi, entre les 3 bornes wifi, les webcams, le NAS, les
macs, les 2 imprimantes, chromecasts, ipads et téléphones de toute la famille,
ça grimpe vite :)
(ajoutez à ça les copains/copines des enfants!)
-Message d'origine-
De : David Ponzone [mailto:david.ponz...@gmail.com]
Envoyé : vendredi 10 octobre 2014 16:03
À : Philippe Dufour
Cc : Michel Py; frnog@frnog.orgmailto:frnog@frnog.org
Objet : Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Philippe,
vous pouvez définir quel genre de maison utilise 50 IP internes ? :)
Le 10 oct. 2014 à 15:29, Philippe Dufour
philippe.duf...@sophos.frmailto:philippe.duf...@sophos.fr a écrit :
Bonjour,
La difference entre les deux est la suivante:
- home edition limité à 50 adresses IP et integre toutes les
fonctionnalités (FW, IDS, VPN, filtrage WEB, mail etc.) pour un usage à la
maison
- essential dans sa version gratuite (y compris pour un usage
commercial) n'integre que la partie firewal mais inclut le
gestionnaire de cluster. Les autres modules restant activables en version
d'eval 30 jours (ou en commande) Cdlt, Philippe.
-Message d'origine-
De : frnog-requ...@frnog.orgmailto:frnog-requ...@frnog.org
[mailto:frnog-requ...@frnog.org] De la
part de David Ponzone Envoyé : vendredi 10 octobre 2014 07:53 À :
Michel Py Cc : frnog@frnog.orgmailto:frnog@frnog.org Objet : Re: [FRnOG]
[MISC] Le pare-feu
du geek barbu
Celui-là est pas plus intéressant ?
http://www.sophos.com/en-us/products/free-tools/sophos-utm-home-editio
n.aspx
La co-existence de ces 2 produits est assez déroutante...
Le 10 oct. 2014 à 04:03, Michel Py
mic...@arneill-py.sacramento.ca.usmailto:mic...@arneill-py.sacramento.ca.us
a écrit :
Salut la liste,
Est-ce que quelqu'un déployé Sophos UTM 9.1 gratuit ?
http://www.sophos.com/en-us/products/free-tools/sophos-utm-essential-
f irewall.aspx Quelqu'un qui a essayé en mode bridge transparent sans
NAT ?
Des avis ? { bon | mauvais | simple | usine à gaz | pour les nuls |
pour les dieux de linux }
Merci
Michel.
---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Sophos Sarl, 80 Quai Voltaire, 95870 Bezons, France Sarl au capital de
4 841 051.50 Euros, RCS Pontoise B 431 462 720, NAF 5829A
Sophos Sarl, 80 Quai Voltaire, 95870 Bezons, France
Sarl au capital de 4 841 051.50 Euros, RCS Pontoise B 431 462 720, NAF 5829A
Sophos Sarl, 80 Quai Voltaire, 95870 Bezons, France
Sarl au capital de 4 841 051.50 Euros, RCS Pontoise B 431 462 720, NAF 5829A
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Je ne crois pas que Sophos visait trop les geeks fou-furieux en définissant une limite assez haute pour couvrir les besoins des TPE :) Le 10 oct. 2014 à 16:20, David Touitou da...@network-studio.com a écrit : 'jour vous pouvez définir quel genre de maison utilise 50 IP internes ? :) Une maison avec deux ados et deux adultes... un smartphone par personne 4 une tablette par personne 4 un laptop par personne 4 un ordinateur fixe par adulte, en plus 2 deux ordis fixes en plus (*) 2 deux filers 2 deux imprimantes2 trois AP3 deux switches 2 quatre media players4 quelques trucs domotiques (*)12 Il suffit que les copains des ados débarquent avec leurs smartphones et leur bardas (tablettes, laptops, fixes pour une LAN) et pan. (*) Les ordis fixes en plus, ça peut être un AiO dans la cuisine, un vieux laptop dans le garage pour les RTA, etc Les trucs domotiques, ça va des capteurs à la centrale d'éclairage. Toute ressemblance avec la réalité, tout ça. Et encore, ne sont pas comptabilisés tous les trucs de passage (routeurs, AP, serveurs) avant livraison... David --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
Hello, Personnellement, le mode active active sortant (et surtout entrant), je ne le recommande pas pour plusieurs raisons : Quand on dit redondance, on dit 1 pour 1. Et pas 1+1. Donc si tu veux redonder 1G, il te faut 1G en 'passif'. Si tu veux faire 2G de BP, tu fais 2x2G en active passif sur 2 agrégats LACP ? Sinon, le jour ou tu as une panne, ton best effort sera difficilement supportable si tu utilises le max de capa à 1+1. En bref, je recommande toujours l'active-backup dans mon cas sur N5K+FEX, sinon en balance-rr, tu te retrouves avec la mac de ton interface qui se balade entre les 2 nexus. Ca fonctionne, mais pour le debug L2, ca peut être très chiant ! Dis nous ce que tu as choisi et ce que ca donne ;) Fabien V. 10 octobre 2014 16:11 Florian Taboul fl...@muchomail.com a écrit: Merci à tous pour vos réponses. Je vais essayer de répondre à tous ici. Lilian : quand tu dis pas trop mal, tu as eu des difficultés à quel niveau ? Gurvan : je n'ai pas d'arp inspection prévu sur cette infra donc ça devrait le faire. Olivier : effectivement le active-backup est ma solution de repli si je n'arrive pas à faire ce que je veux. Mais je trouve que c'est dommage de perdre la moitié de la capacité lorsque ça fonctionne. Dans cette situation là, il vaut mieux donc un switch de backup de moins bonne qualité que le principal, c'est à voir. David, Raphael : c'est bien ce qu'il me semblait, le LACP sur plusieurs switch n'est pas mature, ou trop propriétaire à mon gout pour les marques où ça tourne bien. --- lil...@devclic.fr wrote: From: Lilian - Devclic lil...@devclic.fr To: fl...@muchomail.com Subject: Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ? Date: Fri, 10 Oct 2014 13:50:26 +0200 Bonjour, J'ai déjà essayé du mode 6 et ça fonctionne pas trop mal. Le trafic est bien géré globalement. Le 10/10/2014 13:45, Florian Taboul a écrit : Bonjour Gurvan et merci de ta réponse. Si je ne m'abuse, le mode 802.3ad (lacp) n'est pas utilisable en multi-switch. Bien sur ça peut fonctionner selon la marque en stack, mais justement je ne souhaite pas utiliser une seule et unique marque de switchs, mais différentes marques qui ne supportent pas le stackage entre elles. C'est là qu'est le problème :) --- inulo...@gmail.com wrote: From: Inulogic - Free-H inulo...@gmail.com To: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ? Date: Fri, 10 Oct 2014 13:22:24 +0200 Bonjour, Et pourquoi pas le mode 4, le bond-mode 802.3ad (lacp) ? Agrégation de lien de base et en soit ça fait HA. Techniquement, il me semble que le stackage de switch sur du modèle relativement récent ne pose aucun problème, bien au contraire, à moins d'utiliser des fonctions très exotiques. De mon côté j'ai du stack de Juniper EX4200 (en 2 ou en 3) et je fais du 802.3ad en 2 x 1Gbits ou 4 x 1Gbits sous Debian/Centos et VMware. Gurvan. Le 10 octobre 2014 12:56, Florian Taboul fl...@muchomail.com a écrit : Bonjour à la liste, Voilà, je vais devoir mettre en place une petite infra de serveurs équipés chacun de 2 ports réseau Gigabit. J'aimerais, pour améliorer la disponibilité et maximiser la capacité réseau, les connecter à 2 switchs différents (de marque différente donc non-stackables). Si je veux donc faire du bonding, je vais devoir gérer ça côté logiciel sur mon OS Linux. En lisant la doc sur le bonding (https://www.kernel.org/doc/Documentation/networking/bonding.txt), on constate qu'il ne semble pas y avoir de mode permettant à la fois la haute disponibilité ET l'aggrégation des liens. Ils conseillent les modes active-backup ou broadcast pour du HA, et balance-rr pour de l'aggrégation. Pourtant, mais je ne m'y connait peut-être pas suffisamment pour voir le problème, le mode balance-alb semble faire ce que je veux. Je n'arrive pas à voir le problème que je pourrais rencontrer dans cette situation. En fait, vous allez surement me dire pourquoi tu ne prends pas 2 switchs stackables et basta ?, et bien parce que pour moi, prendre 2 switchs identiques (ou presque), fabriqués à la même période avec du matériel quasi-identique ne me met pas en confiance dans l'éventualité d'une panne matérielle (idem pour le logiciel qui est identique sur les 2). Voilà pourquoi je préfère 2 switchs de 2 marques différentes. Et pour l'instant à ma connaissance, il n'existe pas un protocole assez répandu pour faire du LACP sur plusieurs switchs. Quelle(s) solution(s) envisageriez-vous à ma place ? Ou qu'avez-vous déjà mis en place dans une telle situation ? Merci par avance. Cordialement, Florian The Free Email with so much more! = http://www.MuchoMail.com = --- Liste de diffusion du FRnOG http://www.frnog.org/ _ The Free Email with so much
RE: [FRnOG] [MISC] Le pare-feu du geek barbu
On a aussi nos geeks chez Sophos :) (apres verification 42 IPs ici, a 6) -Message d'origine- De : David Ponzone [mailto:david.ponz...@gmail.com] Envoyé : vendredi 10 octobre 2014 16:35 À : David Touitou Cc : Philippe Dufour; Michel Py; frnog@frnog.org Objet : Re: [FRnOG] [MISC] Le pare-feu du geek barbu Je ne crois pas que Sophos visait trop les geeks fou-furieux en définissant une limite assez haute pour couvrir les besoins des TPE :) Le 10 oct. 2014 à 16:20, David Touitou da...@network-studio.com a écrit : 'jour vous pouvez définir quel genre de maison utilise 50 IP internes ? :) Une maison avec deux ados et deux adultes... un smartphone par personne 4 une tablette par personne 4 un laptop par personne 4 un ordinateur fixe par adulte, en plus 2 deux ordis fixes en plus (*) 2 deux filers 2 deux imprimantes2 trois AP3 deux switches 2 quatre media players4 quelques trucs domotiques (*)12 Il suffit que les copains des ados débarquent avec leurs smartphones et leur bardas (tablettes, laptops, fixes pour une LAN) et pan. (*) Les ordis fixes en plus, ça peut être un AiO dans la cuisine, un vieux laptop dans le garage pour les RTA, etc Les trucs domotiques, ça va des capteurs à la centrale d'éclairage. Toute ressemblance avec la réalité, tout ça. Et encore, ne sont pas comptabilisés tous les trucs de passage (routeurs, AP, serveurs) avant livraison... David Sophos Sarl, 80 Quai Voltaire, 95870 Bezons, France Sarl au capital de 4 841 051.50 Euros, RCS Pontoise B 431 462 720, NAF 5829A --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
'Jour, Le 10 oct. 2014 à 16:20, David Touitou da...@network-studio.com a écrit : 'jour vous pouvez définir quel genre de maison utilise 50 IP internes ? :) Une maison avec deux ados et deux adultes... une maison avec 2 adultes (dont un très geek): 17 ip utilisées: firewall1 smartphone 2 tablette2 ordis fixe 6 ordi portable 1 switch manageable 6 AP 2 smarttv 2 raspberry 1 esxi1 + 4 imprimantes 2 blueray 1 filer 2 trucs domotiques4 camera 1 Total: 38 Et encore je compte pas les copains qui viennent... Ni le mini lab que je fais sur un autre ESX... Comme quoi 50 ca passe vite... Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Re- Et encore je compte pas les copains qui viennent... Ni le mini lab que je fais sur un autre ESX... J'ai oublié de compter les VM qui tournent sur les fixes (VirtualBox) ! Pas d'ESX ou assimilé en ce moment... David --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] time4popcorn passe de .EU à .COM...
Hello la liste, Dans l'esprit trollesque du vendredi, time4popcorn viens de changer d'extension à la suite d'une fermeture a la hussarde par EURid. Moi j'aimerai bien qu'EURid fasse de meme avec tous les rigolos qui ne maintiennent pas leurs données a jour histoire de pas etre emmerdé quand ils sont a l'origine des ennuis techniques... http://www.numerama.com/magazine/30871-popcorn-time-ne-fonctionne-plus-voici-pourquoi.html Bon WE! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
A ce stade là, ça vaut pas le coup de passer en 10G, actif/passif pour pallier au problème ? Le 10 oct. 2014 à 16:34, Fabien V. list-fr...@beufa.net a écrit : Hello, Personnellement, le mode active active sortant (et surtout entrant), je ne le recommande pas pour plusieurs raisons : Quand on dit redondance, on dit 1 pour 1. Et pas 1+1. Donc si tu veux redonder 1G, il te faut 1G en 'passif'. Si tu veux faire 2G de BP, tu fais 2x2G en active passif sur 2 agrégats LACP ? Sinon, le jour ou tu as une panne, ton best effort sera difficilement supportable si tu utilises le max de capa à 1+1. En bref, je recommande toujours l'active-backup dans mon cas sur N5K+FEX, sinon en balance-rr, tu te retrouves avec la mac de ton interface qui se balade entre les 2 nexus. Ca fonctionne, mais pour le debug L2, ca peut être très chiant ! Dis nous ce que tu as choisi et ce que ca donne ;) Fabien V. 10 octobre 2014 16:11 Florian Taboul fl...@muchomail.com a écrit: Merci à tous pour vos réponses. Je vais essayer de répondre à tous ici. Lilian : quand tu dis pas trop mal, tu as eu des difficultés à quel niveau ? Gurvan : je n'ai pas d'arp inspection prévu sur cette infra donc ça devrait le faire. Olivier : effectivement le active-backup est ma solution de repli si je n'arrive pas à faire ce que je veux. Mais je trouve que c'est dommage de perdre la moitié de la capacité lorsque ça fonctionne. Dans cette situation là, il vaut mieux donc un switch de backup de moins bonne qualité que le principal, c'est à voir. David, Raphael : c'est bien ce qu'il me semblait, le LACP sur plusieurs switch n'est pas mature, ou trop propriétaire à mon gout pour les marques où ça tourne bien. --- lil...@devclic.fr wrote: From: Lilian - Devclic lil...@devclic.fr To: fl...@muchomail.com Subject: Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ? Date: Fri, 10 Oct 2014 13:50:26 +0200 Bonjour, J'ai déjà essayé du mode 6 et ça fonctionne pas trop mal. Le trafic est bien géré globalement. Le 10/10/2014 13:45, Florian Taboul a écrit : Bonjour Gurvan et merci de ta réponse. Si je ne m'abuse, le mode 802.3ad (lacp) n'est pas utilisable en multi-switch. Bien sur ça peut fonctionner selon la marque en stack, mais justement je ne souhaite pas utiliser une seule et unique marque de switchs, mais différentes marques qui ne supportent pas le stackage entre elles. C'est là qu'est le problème :) --- inulo...@gmail.com wrote: From: Inulogic - Free-H inulo...@gmail.com To: frnog-t...@frnog.org Subject: Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ? Date: Fri, 10 Oct 2014 13:22:24 +0200 Bonjour, Et pourquoi pas le mode 4, le bond-mode 802.3ad (lacp) ? Agrégation de lien de base et en soit ça fait HA. Techniquement, il me semble que le stackage de switch sur du modèle relativement récent ne pose aucun problème, bien au contraire, à moins d'utiliser des fonctions très exotiques. De mon côté j'ai du stack de Juniper EX4200 (en 2 ou en 3) et je fais du 802.3ad en 2 x 1Gbits ou 4 x 1Gbits sous Debian/Centos et VMware. Gurvan. Le 10 octobre 2014 12:56, Florian Taboul fl...@muchomail.com a écrit : Bonjour à la liste, Voilà, je vais devoir mettre en place une petite infra de serveurs équipés chacun de 2 ports réseau Gigabit. J'aimerais, pour améliorer la disponibilité et maximiser la capacité réseau, les connecter à 2 switchs différents (de marque différente donc non-stackables). Si je veux donc faire du bonding, je vais devoir gérer ça côté logiciel sur mon OS Linux. En lisant la doc sur le bonding (https://www.kernel.org/doc/Documentation/networking/bonding.txt), on constate qu'il ne semble pas y avoir de mode permettant à la fois la haute disponibilité ET l'aggrégation des liens. Ils conseillent les modes active-backup ou broadcast pour du HA, et balance-rr pour de l'aggrégation. Pourtant, mais je ne m'y connait peut-être pas suffisamment pour voir le problème, le mode balance-alb semble faire ce que je veux. Je n'arrive pas à voir le problème que je pourrais rencontrer dans cette situation. En fait, vous allez surement me dire pourquoi tu ne prends pas 2 switchs stackables et basta ?, et bien parce que pour moi, prendre 2 switchs identiques (ou presque), fabriqués à la même période avec du matériel quasi-identique ne me met pas en confiance dans l'éventualité d'une panne matérielle (idem pour le logiciel qui est identique sur les 2). Voilà pourquoi je préfère 2 switchs de 2 marques différentes. Et pour l'instant à ma connaissance, il n'existe pas un protocole assez répandu pour faire du LACP sur plusieurs switchs. Quelle(s) solution(s) envisageriez-vous à ma place ? Ou qu'avez-vous déjà mis en place dans une telle situation ? Merci par avance. Cordialement, Florian The Free Email with so much more! =
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Hey messieurs, c’est à celui qui aura la plus grosse ? :) Ok c’est sûr qu’il y a des cas extrêmes. Mais je vous assure, vous n’êtes pas représentatifs :) Mais Sophos a bien vu le coup: c’est pour rendre les geeks accros :) Le 10 oct. 2014 à 17:08, Xavier Beaudouin k...@oav.net a écrit : 'Jour, Le 10 oct. 2014 à 16:20, David Touitou da...@network-studio.com a écrit : 'jour vous pouvez définir quel genre de maison utilise 50 IP internes ? :) Une maison avec deux ados et deux adultes... une maison avec 2 adultes (dont un très geek): 17 ip utilisées: firewall 1 smartphone2 tablette 2 ordis fixe6 ordi portable 1 switch manageable 6 AP2 smarttv 2 raspberry 1 esxi 1 + 4 imprimantes 2 blueray 1 filer 2 trucs domotiques 4 camera1 Total:38 Et encore je compte pas les copains qui viennent... Ni le mini lab que je fais sur un autre ESX... Comme quoi 50 ca passe vite... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] time4popcorn passe de .EU à .COM...
On Fri, Oct 10, 2014 at 05:17:30PM +0200, Sebastien Lesimple slesim...@laposte.net wrote a message of 19 lines which said: Moi j'aimerai bien qu'EURid fasse de meme avec tous les rigolos qui ne maintiennent pas leurs données a jour histoire de pas etre emmerdé quand ils sont a l'origine des ennuis techniques... La question est, je crois, « le domaine en question a-t-il été suspendu à cause des fausses données d'enregistrement ? » (faute qu'il n'est certainement pas le seul à commettre), ou bien à cause des pressions de l'industrie du divertissement (et les fausses données n'étaient qu'un prétexte) ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] time4popcorn passe de .EU à .COM...
Hellon Le 10 oct. 2014 à 17:17, Sebastien Lesimple slesim...@laposte.net a écrit : Hello la liste, Dans l'esprit trollesque du vendredi, time4popcorn viens de changer d'extension à la suite d'une fermeture a la hussarde par EURid. Moi j'aimerai bien qu'EURid fasse de meme avec tous les rigolos qui ne maintiennent pas leurs données a jour histoire de pas etre emmerdé quand ils sont a l'origine des ennuis techniques... http://www.numerama.com/magazine/30871-popcorn-time-ne-fonctionne-plus-voici-pourquoi.html J'ai eu la meme chose avec un client qui faisait delete des mails provenant du registrar... :D Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
[FRnOG] Re: [MISC] time4popcorn passe de .EU à .COM...
Le 10/10/2014 17:29, Stephane Bortzmeyer a écrit : On Fri, Oct 10, 2014 at 05:17:30PM +0200, Sebastien Lesimple slesim...@laposte.net wrote a message of 19 lines which said: Moi j'aimerai bien qu'EURid fasse de meme avec tous les rigolos qui ne maintiennent pas leurs données a jour histoire de pas etre emmerdé quand ils sont a l'origine des ennuis techniques... La question est, je crois, « le domaine en question a-t-il été suspendu à cause des fausses données d'enregistrement ? » (faute qu'il n'est certainement pas le seul à commettre), ou bien à cause des pressions de l'industrie du divertissement (et les fausses données n'étaient qu'un prétexte) ? Certes, j'irais même jusqu'à m'interroger sur la pertinence d'un .com en remplacement d'un .eu lorsque l'on est en délicatesse avec ces messieurs d'Hollywood et autres PCA a gros cigare cubain... Mais l'idée de base était quand même de dire que tant qu'à vouloir faire péter les gallons, autant le faire pour tous le monde, il me semble que cela fait aussi partie de leur job. Un peu comme les Greffes de Tribunaux de Commerce qui n'imposent jamais le respect de l'obligation d'enregistrement des comptes sociaux prévue par la loi. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] Le pare-feu du geek barbu
Histoire de troller un peu... Y'a pas une incohérence entre geek-barbu et Sophos ? Parce que bon, le geek-barbu, le vrai, il va pas vouloir partir sur une de l'open source (Linux ou BSD), le FW qui va bien, et maitriser son firewall jusqu'au bout ? Et ne m'avancez pas l'argument de la GUI, le geek-barbu-le-vrai n'aime pas les clicodromes et ne jure que par la CLI... :) Joel -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of David Ponzone Sent: vendredi 10 octobre 2014 17:21 To: Xavier Beaudouin Cc: frnog-m...@frnog.org Subject: Re: [FRnOG] [MISC] Le pare-feu du geek barbu Hey messieurs, c'est à celui qui aura la plus grosse ? :) Ok c'est sûr qu'il y a des cas extrêmes. Mais je vous assure, vous n'êtes pas représentatifs :) Mais Sophos a bien vu le coup: c'est pour rendre les geeks accros :) Le 10 oct. 2014 à 17:08, Xavier Beaudouin k...@oav.net a écrit : 'Jour, Le 10 oct. 2014 à 16:20, David Touitou da...@network-studio.com a écrit : 'jour vous pouvez définir quel genre de maison utilise 50 IP internes ? :) Une maison avec deux ados et deux adultes... une maison avec 2 adultes (dont un très geek): 17 ip utilisées: firewall 1 smartphone2 tablette 2 ordis fixe6 ordi portable 1 switch manageable 6 AP2 smarttv 2 raspberry 1 esxi 1 + 4 imprimantes 2 blueray 1 filer 2 trucs domotiques 4 camera1 Total:38 Et encore je compte pas les copains qui viennent... Ni le mini lab que je fais sur un autre ESX... Comme quoi 50 ca passe vite... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
Le Fri, Oct 10, 2014 at 03:50:23PM +, Joël DEREFINKO [joel.derefi...@118218.fr] a écrit: Histoire de troller un peu... Y'a pas une incohérence entre geek-barbu et Sophos ? Parce que bon, le geek-barbu, le vrai, il va pas vouloir partir sur une de l'open source (Linux ou BSD), le FW qui va bien, et maitriser son firewall jusqu'au bout ? Bah, quand je vois passer ceux qui parlent d'ESX ou autre technos propriétaires, je pense qu'ils sont pas à une près ;) -- Dominique Rousseau Neuronnexion, Prestataire Internet Intranet 21 rue Frédéric Petit - 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
C'est à dire que Geek Barbu quand il est en couple, il fini par se tailler la barbe bien nickel, avoir des horaires civilisés, et plus forcément le temps de bidouiller le truc tip top maison tout en cli dans le garage... Y'a le robinet de la cuisine qui goutte a réparer, les courses, le ménage, éventuellement les enfants a prendre a la sortie de l'école, les fringues de Mme. Geek Barbu a déposer au pressing parce-qu’elle a pas eu le temps avec son rendev chez l’esthéticienne et le WE chez Beau Papa et Belle Maman... Du coups vite fait comme ca pour voir, ben il regarde le truc offtheshelf clicodrome histoire de se faire une idée en se disant qu'il pourrait faire pareil voir mieux s'il avait le temps... Le temps, ce foutu truc qu'on a jamais assez en réserve pour faire tout ce que l'on a envie! Tiens, y'a pas un Geek Barbu qui a travaillé sur une solution open source pour faire qu'une heure dure 120 secondes? ;) Le 10/10/2014 17:50, Joël DEREFINKO a écrit : Histoire de troller un peu... Y'a pas une incohérence entre geek-barbu et Sophos ? Parce que bon, le geek-barbu, le vrai, il va pas vouloir partir sur une de l'open source (Linux ou BSD), le FW qui va bien, et maitriser son firewall jusqu'au bout ? Et ne m'avancez pas l'argument de la GUI, le geek-barbu-le-vrai n'aime pas les clicodromes et ne jure que par la CLI... :) Joel -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of David Ponzone Sent: vendredi 10 octobre 2014 17:21 To: Xavier Beaudouin Cc: frnog-m...@frnog.org Subject: Re: [FRnOG] [MISC] Le pare-feu du geek barbu Hey messieurs, c'est à celui qui aura la plus grosse ? :) Ok c'est sûr qu'il y a des cas extrêmes. Mais je vous assure, vous n'êtes pas représentatifs :) Mais Sophos a bien vu le coup: c'est pour rendre les geeks accros :) Le 10 oct. 2014 à 17:08, Xavier Beaudouin k...@oav.net a écrit : 'Jour, Le 10 oct. 2014 à 16:20, David Touitou da...@network-studio.com a écrit : 'jour vous pouvez définir quel genre de maison utilise 50 IP internes ? :) Une maison avec deux ados et deux adultes... une maison avec 2 adultes (dont un très geek): 17 ip utilisées: firewall1 smartphone 2 tablette2 ordis fixe 6 ordi portable 1 switch manageable 6 AP 2 smarttv 2 raspberry 1 esxi1 + 4 imprimantes 2 blueray 1 filer 2 trucs domotiques4 camera 1 Total: 38 Et encore je compte pas les copains qui viennent... Ni le mini lab que je fais sur un autre ESX... Comme quoi 50 ca passe vite... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
On Fri, Oct 10, 2014, at 14:08, Olivier Le Cam wrote: Perso, pour du multi-switchs, je set le bonding en active-backup. C'est brutal mais ça fonctionne bien quelque que soit les équipements (carte réseau, switch...), et il n'y aucune config à faire côté switch donc ça ne risque pas de déconner à ce niveau là. On n'a pas plus de débit qu'avec un seul port mais stable/économique/suffisant pour de la HA. sauf si cote serveur tu te trouves avec une carte qui passe au driver link-up des qu'il y a un cable branche (meme si l'autre bout du cable toujours debrnache !!!). J'ai eu droit a ca il y a quelques annees. --- Liste de diffusion du FRnOG http://www.frnog.org/
