Re: [FRnOG] [TECH] Process qui sature 1 coeur sur ASR 1001-X Cisco

[Jean-Edouard Babin]

On 11 Dec 2016, at 10:21, Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net> 
wrote:
> 
> On Sat, Dec 10, 2016, at 20:32, Jean-Edouard Babin wrote:
>> 
>> Il n'y a pas de recommanded version quand on télécharge l'IOS mais il y a un 
>> doc:
>> http://www.cisco.com/c/en/us/products/collateral/routers/asr-1000-series-aggregation-services-routers/bulletin-c25-737919.html
> 
> ... qui recommande la version qui nous a empeche de dormir plusieurs
> nuits d'afillee. Tres constructif.
> A la limite de prefere "pas de version reccomandee" plutot que
> recommander une version avec des bugs majeurs.

^^ Il faut dire ca à Cisco.
C'est comme à l'époque ou pour les 3750 les versions recommandées était pleine 
de bugs.
Après chaque version à son lot de bug qui impacts certain environnement et pas 
d'autres.

En parlant d'ASR, pour ceux qui sont en 3.13.* ou inférieur, attention il y un 
risque avec la leap second du 31/12 si vous utilisez NTP:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvb01730
Ca peut vous éviter un mauvais réveillon.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Trunk SIP - quels providers sur l'Europe ?

[Jean-Edouard Babin]

Pour optimiser les couts, dans la grande majorité des cas, faire un appel local 
(FR->FR, DE->DE) coutera bien moins cher qu'un appel internationale (DE->FR ou 
FR->DE, etc..)
Mais ca ne veut pas forcement dire plusieurs fournisseurs. Tu as des 
fournisseurs qui sont capable de te fournir un SIP Trunk par pays (mais avec un 
seul lien physique dans le pays de ton choix) ou un seul SIP Trunk et 
l'opérateur te facture quand meme une com local dans tout les cas (n° FR->n° DE 
par ex) (l'opérateur se débrouille pour sortie en local sans que tu es à sortir 
sur un trunk particulier).
Pour la présentation des numéros, ca depend des lois de pays, il y a des pays 
en Europe ou il est interdit de presenter un n° qui n'est pas "entrant" sur le 
Trunk en question (dans les pays ou il n'y a pas de restriction, un opérateurs 
sérieux filtrera par default pour n'afficher que les n° du Trunk mais pourra 
autoriser des n° supplémentaires si tu prouve qu'il est à toi)
Quelques exemple de fournisseurs qui font du SIP Trunk sur un scope de pays 
European assez large (par ordre alphabétique..): Colt, Interoute, OBS, 
Telefonica, Verizon, Vodafone. (liste non exhaustive)


> On 30 Aug 2016, at 13:01, Frederic Dumas  wrote:
> 
> 
> Bonjour à tous,
> 
> quels sont les fournisseurs de trunk SIP à regarder (outre OVH bien connu) 
> pour écouler du traffic sortant en Europe (10.000 minutes/mois à la louche) ? 
> Chercher un fournisseur par pays pour les premières destinations (c.a.d. les 
> mobiles) permet-il d’optimiser franchement les prix ou c’est une illusion ?
> 
> La personnalisation du caller ID (ne pas présenter les appels avec un numéro 
> letton sous prétexte que le provider serait basé là-bas) est-elle la règle ou 
> l'exception ?
> 
> En remerciant d’avance les personnes qui ont cette expérience pour leurs 
> conseils.
> 
> Frédéric.
> 
> 
> --
> Frédéric Dumas
> f.du...@ellis.siteparc.fr
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Jean-Edouard Babin]

J'en profite puisqu'on parle de shape average et voix..
Est-ce que quelqu'un à déjà testé la difference d'effet entre les deux config 
ci dessous.
C'est à dire:
Si on a un lien 40M
 - faire un priority 3M et shaper le reste a 37M 
ou
 - shaper tout à 40M et reserver 3M dedans.

On pourrait se dire que le fait d'avoir un priority 3M "permanent" rend un 
meilleurs service que l'activer uniquement en cas de congestion.
Notament en cas de micro burst créant du queuing en sortie, les paquets voice 
sortirait plus vite que les autres.
En pratique avec après quelques test, j'ai jamais réussi à faire une simulation 
qui montre une difference.
Je suis donc preneur de vos avis et experience!


policy-map QoS_Shaping_T40M
 class QoS_Voice
  priority 3000
 class class-default
  shape average 3700
   service-policy QoS_Queuing

policy-map QoS_Queuing
 class QoS_...
  bandwidth percent 60
...

et

policy-map QoS_Shaping_T40M
 class class-default
  shape average 4000
  service-policy QoS_Queuing

policy-map QoS_Queuing
 class QoS_Voice
  priority 3000
 class QoS_...
  bandwidth remaining percent 60
.


> On 03 Nov 2015, at 19:42, David Ponzone  wrote:
> 
> Sur le switch, je pense que je me contenterais de faire du trust cos sur tous 
> les postes, si bien entendu les flux SIGNALING et AUDIO sont correctement 
> taggés par tes endpoints.
> Ensuite sur le routeur, je ferais du « shape average » de la data en output 
> sur le lien WAN afin de garder X% pour la voix, et de même sur le port qui va 
> vers le switch (ce qui correspond à l’INPUT du WAN).
> Ca ne résistera pas à un bombardement massif en UDP (Torrent par exemple).
> Pour ça, il faut que tu contrôles le routeur de l’autre côté du WAN pour 
> mettre la même règle, ou que le FAI te le fasse.
> 
> 
>> Le 3 nov. 2015 à 19:20, Antoine Durant  a écrit :
>> 
>> "-tu fais du policy en INPUT, alors que c’est là que c’est le plus délicat, 
>> voir impossible sur du trafic UDP"
>> Parceque sur le switch il n'est pas possible de faire en OUPUT...
>> 
>> "-tu « polices »  l’AUDIO ? Généralement, l’idée est plutôt de « policer »  
>> le reste pour être sur que l’audio ait de la place"
>> Oui, j'ai lu cela à plusieurs reprise sur des configurations Donc à la 
>> place de POLICE il faut utiliser quoi alors ? une réservation de bande 
>> passante ?
>> 
>> De : David Ponzone 
>> À : Antoine Durant  
>> Cc : frnog-tech  
>> Envoyé le : Mardi 3 novembre 2015 19h15
>> Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
>> 
>> 2 commentaires:
>> -tu fais du policy en INPUT, alors que c’est là que c’est le plus délicat, 
>> voir impossible sur du trafic UDP
>> -tu « polices »  l’AUDIO ? Généralement, l’idée est plutôt de « policer »  
>> le reste pour être sur que l’audio ait de la place
>> 
>> 
>> 
>>> Le 3 nov. 2015 à 19:06, Antoine Durant >> > a écrit :
>>> 
>>> Bonsoir :)
>>> Voici la configuration que je pense être "bonne", est-ce que pour vous cela 
>>> semble OK pour la QOS VOIX ??
>>> Le port fa0/1 est un uplink connecté à un switch non managable (sur 
>>> celui-ci il ya des postes + téléphone IP non cisco)le port fa0/10 est 
>>> l'uplink vers le routeur internet
>>> 
>>> !mls qos
>>> !
>>> class-map match-all SIGNALING
>>> match access-group name SIGNALING
>>> class-map match-all AUDIO
>>> match access-group name AUDIO
>>> !
>>> policy-map QOS
>>> class AUDIO
>>>   set ip dscp ef
>>>   police 48000 8000 exceed-action drop
>>> class SIGNALING
>>>   set ip dscp af31
>>>   police 1 8000 exceed-action drop
>>> !
>>> interface FastEthernet0/1
>>> description * uplink sous-switch *
>>> switchport access vlan 10
>>> switchport mode access
>>> switchport nonegotiate
>>> mls qos trust cos
>>> spanning-tree portfast
>>> service-policy input QOS
>>> !
>>> interface FastEthernet0/10
>>> description * uplink vers ROUTEUR WAN *
>>> switchport trunk allowed vlan 10,11
>>> switchport mode trunk
>>> mls qos trust cos ??
>>> spanning-tree portfast
>>> service-policy input QOS
>>> !
>>> ip access-list extended AUDIO
>>> permit udp any any range 16384 32767
>>> ip access-list extended SIGNALING
>>> permit tcp any any range 2000 2002
>>> permit tcp any any range 5060 5061
>>> !
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/ 
>> 
>> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] RIPE NCC et legacy ressources

[Jean-Edouard Babin]

On 04 Apr 2015, at 15:49, Jérôme Nicolle jer...@ceriz.fr wrote:
 
 Le 04/04/2015 14:53, Clement Cavadore a écrit :
 Je te conseille de devenir LIR (deuxième option), et d'intégrer la
 ressource dans le nouveau LIR. Je n'ai pas d'expérience quant à
 l'obligation (ou pas) de changer l'allocation en autre chose que du
 EARLY-REGISTRATION, mais poser la question au RIPE avant de devenir LIR
 ne t'engage à rien.
 
 J'abonde dans ce sens, et te recommande de solliciter du RIPE la
 transformation d'ERX à PA, afin de pouvoir la sous-diviser en cas de besoin.
 
 Attention : tes fournisseurs de connectivité pourraient t'inviter à
 réaliser des économies en leur confiant l'ERX dans leur LIR. Ne le
 fait surtout pas si tu tiens à garder le plein contrôle de ce /16.
 
 Si tu as du mal à obtenir le budget (adhésion et cotisation) de la part
 de la tutelle, c'est un autre problème. Il faudrait peut être trouver un
 autre LIR universitaire ami pour reprendre ta ressource en en restant
 MNT. Gaffe alors à la convention pour qu'ils n'allouent rien dans ce
 bloc sans ton approbation.
 
 En tant que LIR, tu auras toute liberté d'allouer des ressources par
 exemple à des associations étudiantes sur ces plages pour qu'ils
 assument la responsabilité des abuse@ dessus. Très pratique pour un FAI
 associatif des résidences étudiantes par exemple.

J'abonde aussi dans le sens de devenir LIR et de prendre le controle de vos 
IP/votre AS.
Sinon la seconde option serait de demandé à renater (qui visiblement, gère déjà 
votre AS) de prendre votre /16 (avec les précautions décrite par Jérôme)
En revanche je ne comprend pas le EARLY-REGISTRATION, le status de votre 
allocation est LEGACY, il restera LEGACY.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Adresses ipv4 PI

[Jean-Edouard Babin]

 On 25 Feb 2015, at 10:07, Romain GUESDON r.gues...@nnx.com wrote:
 
 On Wed, Feb 25, 2015 at 09:59:48AM +0100, Vincent Bernat wrote:
 ??? 25 février 2015 09:36 +0100, Romain GUESDON r.gues...@nnx.com :
 
 Est-ce qu'en pratique, cela change quelque chose ? Qui utilise ce
 critère au niveau de leur routage (genre, dropper les annonces provenant
 d'IP PA) ?
 
 Avec un PA, tu pourra diffilement être multihomé et tu ne pourra facilement
 changer d'opérateur (car il faudra renumerotter à chaque changement) c'est
 vite galère :)
 
 Ça, c'est si tu n'es pas propriétaire du PA. Mais tu peux être LIR et
 avoir des PA et a priori, les multihomer sans soucis. Enfin, je pense
 (mais je posais la question initial pour confirmer). Par exemple :
 
 Ah oui ok bien sur, si tu es LIR, tu aura tes PA à toi 
 
 Mais il faut passer le cap d'être LIR , c'est ce qui est le plus lourd
 administrativement à gérer

De ma petite experience, ca à été (presque) plus simple de passer LIR et 
demander nos AS/IP que de remplir les documents que nous demandait nos ISP pour 
avoir des petits bout de réseau miniscule.
Pour moi le plus gros frein peut-être le coût - 
https://www.ripe.net/ripe/docs/ripe-620 - qui peut être non négligeable pour 
une petite boite, et l'investissement en temps pour comprendre comment remplir 
la RIPE DB  cie (mais il y a les webinars 
https://www.ripe.net/lir-services/training/e-learning/webinars)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Analyseur de pcap.

[Jean-Edouard Babin]

 On 26 Nov 2014, at 18:53, Hackcurly hackcu...@gmail.com wrote:
 
 Bonjour à tous,
 
 Je ne sais pas si cela a déjà été évoqué ici, mais est-ce que vous connaissez 
 un soft qui permet de réaliser des analyses de pcap avec des beaux graphiques 
 sur :
 - Code HTTP (404/302 etc etc)
 - Flags TCP (RST etc)
 - Temps moyen d'un session tcp
 - top ip
 - top application etc...
 
 Wireshark permet d'avoir ce genre de chose mais il manque partie beau 
 graphique
 
 Et idéalement qui permet d'ajouter une clé privée pour pouvoir déchiffrer du 
 SSL/TLS :))
 
 Gratuit ou payant peu importe, mais qui fonctionne... :))
 
 Yann,

Salut,

Regarde Splunk App for Stream tu pourras faire (presque) toutes les stats du 
monde sur tes paquets
http://www.splunk.com/view/splunk-introduces-the-splunk-app-for-stream/SP-CAAANBR
http://www.splunk.com/view/stream/SP-CAAAM9M
https://apps.splunk.com/app/1809/

A+


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Statut adresses IPv4 .0

[Jean-Edouard Babin]

Sur IOS XE ya quelques infos dans la doc: 
http://www.cisco.com/c/en/us/td/docs/ios/ios_xe/ipaddr/configuration/guide/xe_3s/iad_xe_3s_book/iad_config_ipadd_xe.html#wp1055316

Le 21 juil. 2014 à 21:28, David Ponzone david.ponz...@gmail.com a écrit :

 Exactement.
 Après, ça dépend quel genre de cibles on a.
 On sait bien que certains FAI grand public se moquent complètement d’un 
 client qui ne peut pas accéder à certaines ressources (d’autant plus si il 
 est encore en IP dynamique).
 Quand on a des clients pro, il est toujours un peu délicat d’expliquer 
 pourquoi ils ne peuvent pas accéder à un site internet, alors qu’ils peuvent 
 depuis leur mobile.
 Donc on évite les ennuis, parce qu’on bosse déjà avec des technos pas 
 complètement fiables, si on rajoute ça comme problème, on perd un peu en 
 crédibilité.
 
 Suite à ce que j’ai dit plus tôt, j’ai eu l’impression après coup d’avoir dit 
 une énormité, car je demandais si certains utilisaient des /31 sur des 
 liaisons type SDSL.
 Or sur un media point à point, pas de problème, mais sur un media broadcast, 
 ça coinçait il y a quelques années. Et donc l’EFM serait une espèce de retour 
 en arrière à ce niveau.
 Après vérifications:
 En ATM, à priori, Cisco par exemple le gère bien depuis l’IOS 12.4(T) (à peu 
 près).
 Et en Ethernet, j’ai pas trouvé (encore) la moindre source d’informations à 
 ce sujet, à part le Warning du Cisco quand on met un /31 sur une Subint de 
 GigE.
 Dans la pratique par contre, ça semble marcher parfaitement, mais j’ai pas 
 passé le lien en prod. Les ping en tout cas sont nickel.
 
 Quelqu'un a un peu de retour d’expérience sur ça ?
 
 Le 21 juil. 2014 à 20:06, David CHANIAL david.chan...@davixx.fr a écrit :
 
 Bonjour,
 
 Le 21 juil. 2014 à 20:04, fr...@jack.fr.eu.org a écrit :
 
 Donc, pour résumer, si je comprends bien, parcqu'une bande de dirigeants
 ont une turpitude hideuse et on décidés de donner la gestion des
 boiboites à des developpeurs en dilettante, il faut jeter quelque 16
 millions d'IP tout à fait valide pour le reste ? C'est bien cela ?
 
 C'est cher payé l'incompétence, m'est avis, m'enfin, chacun voit midi à
 sa porte, j'imagine ..
 
 
 Pour résumer, il faut faire avec la réalité des choses.
 Bien sûr si elles sont idiotes, il faut tout faire pour les changer.
 Mais les nier n’est pas une solution...
 
 Cordialement,
 -- 
 David CHANIAL
 
 
 
 
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Scripts TCL / Cisco IOS

[Jean-Edouard BABIN]

Le 1 mars 2014 à 06:22, Michel Py a écrit :

 Jean-Edouard BABIN a écrit :
 option 2, tu écris un fichier sur la flash quand tu blacklist avec le 
 timestamp
 dans le nom set fd [open flash:/timestamp_blacklist.txt w] puts $fd 
 1.2.3.4
 
 C'est précisément pour éviter cette abomination monstrueuse que dans mon 
 billet original je demandais des idées pour quelque chose plus proche d'une 
 base de données. C'est rassurant de voir que je ne suis pas le seul à avoir 
 des velléités de programmation de goret; je te ferai néanmoins remarquer 
 qu'étant moi-même un gros porc qui fait çà depuis 40 ans je n'avais pas 
 besoin de ta suggestion :P

Je veux pas savoir quel cochonnerie tu fessais y'a 40 ans :P
Si tu veux une BDD change tes Cisco par des Arista ;)
Mais bon écrire des fichiers sur la flash/dd c'est pas forcement monstrueux.. 
tout dépend de la fréquence et du hardware

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Scripts TCL / Cisco IOS

[Jean-Edouard BABIN]

Le 28 févr. 2014 à 02:06, Michel Py a écrit :

 C'est bien l'idée que j'avais derrière la tête. Par contre, ce que je ne sais 
 pas encore faire, c'est comment dé-lister automatiquement après une certaine 
 période. Pour çà, il faudrait stocker quelque part la date à laquelle l'IP en 
 question a été listée et mouliner un script de dé-listage à intervalles 
 réguliers. Et-ce qu'on peut faire çà avec l'EEM ? Je suis en train de lire la 
 doc et je n'ai pas encore vu quelque chose comme çà, d'où ma demande.

Si tu lances un script TCL tu peux faire une pause dedans et donc enchaîner les 
deux commandes dans le même script, c'est simple mais si ta pause est longue 
et/ou que tu fais beaucoup de blacklistage, quid d'avoir X scripts TCL en pause 
sur l'équipement (CPU, RAM) et je sais pas si une applet EEM peut se relancer 
tant qu'elle est pas fini (a tester)

option 2, tu écris un fichier sur la flash quand tu blacklist avec le timestamp 
dans le nom
set fd [open flash:/timestamp_blacklist.txt w]
puts $fd 1.2.3.4
close $fd

Avec EEM ou kron tu peux lancer un autre script TCL a intervalle régulière qui 
cherche les fichiers *_blacklist.txt et qui va lire le lire et deblacklister 
l'ip qui est dedans si le timestamps dans le nom du fichier assez vieux à ton 
gout (y'a peut-être même moyen de récupérer la date de création du fichier sur 
la flash plutôt que lire le nom)

Une autre idée pourrait être de déporter l'intelligence sur un serveur. Ton 
EEM/TCL envoie un syslog type Blacklist 1.2.3.4, et sur ton serveur syslog tu 
as une moulinette qui mémorise ça et fait un ssh vers ton équipement pour 
deblacklister quand c'est necessaire (tu peux faire des trucs bien plus 
compliqué comme condition de deblacklistage du coup..).

Y'a surement d'autres options ;)
D'une manière général, attention quand même au TCL, selon les équipements et la 
complexité des scripts, il peut y avoir des impacts CPU à rapidement prendre en 
compte.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Scripts TCL / Cisco IOS

[Jean-Edouard Babin]

Le 27 févr. 2014 à 20:43, Pierre Emeriaud petrus...@gmail.com a écrit :

 Le but étant d'injecter une route /32 dans BGP qui pointe vers un trou noir 
 en fonction de certains critères des messages syslog.
 
 C'est un boulot pour l'EEM[0] ça :)
 
 event manager applet mereMichel
 event syslog pattern Interface Ethernet0/0.* down period 1
 action 2.0 cli command enable
 action 2.1 cli command config t
 action 2.2 cli command ip route 192.0.2.1 255.255.255.255 null0 tag 666
 action 2.3 syslog msg annonce de la route vers null(e) part
 
 
 Y'a plein de conditions utilisables autre que le message syslog, et
 plein d'actions possible, comme par exemple lancer un tcl ou
 désactiver une commande[1] sans AAA.
 
 [0] 
 https://supportforums.cisco.com/community/netpro/network-infrastructure/eem
 [1] 
 http://routerjockey.com/2010/06/14/working-with-the-embedded-event-manager-eem/

J'ajoute un exemple de script TCL qui permet de changer de la config, c'est 
rapidement plus pratique d'avoir les actions dans un script qu'on peut 
facilement éditer plutôt que de jouer avec les actions x.x
Exemple qui prend en paramètre on/off/show et shut/unshut/affiche deux 
interfaces avec une pause entre les deux

set operation_value  [lindex $argv 0]

if {[string equal $operation_value on]} {
ios_config interface GigabitEthernet0/3/1 no shutdown
after [expr {int(3 * 1000)}]
ios_config interface GigabitEthernet0/3/2 no shutdown
} elseif {[string equal $operation_value off]} {
ios_config interface GigabitEthernet0/3/1 shutdown
after [expr {int(3 * 1000)}]
ios_config interface GigabitEthernet0/3/2 shutdown
} elseif {[string equal $operation_value show]} {
set result [ exec sh ip interface brief | include 
GigabitEthernet0/3/1|GigabitEthernet0/3/2 ]
foreach line [split $result \n] {
puts -nonewline $line
}
} else {
puts This script bla bla, it need 'on', 'off' or 'show' as parameter
}

Un autre moyen de tracker une interface en EEM (sans syslog) et de notifier par 
mail

track 101 interface GigabitEthernet0/3/1 line-protocol

event manager applet int-up authorization bypass
 event track 101 state up
 action 1.0 info type routername
 action 2.0 cli command who
 action 3.0 mail server 1.2.3.4 to somebody@somewhere from 
somebody@somewhere subject Gi0/3/1 has been activated on $_info_routername 
body Logged users: $_cli_result source-interface Loopback0


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Proxy Réseaux WebSense ou Bluecoat

[Jean-Edouard Babin]

Bonsoir,

Comme souvent les performances vont dépendre du modèle d'appliances que tu 
prends.
Reste à comparer les prix de deux boitiers donnée à perf égale...
Les besoins étant très basique je pense que les deux solutions répondrons au 
besoin sans soucis.
La question à se poser, je pense, est de savoir quel est le but d'installer un 
proxy pour le client ? Authentification des accès ? Analyse des usages ? Cache 
pour réduire la bande passante ? Cache pour augmenter les temps de réponse ? 
etc..
A moins d'avoir des besoins très pointus sur certain aspect technique des proxy 
(modification de page à la volé, caching de contenue particulier, etc..) les 
differences seront plus sur la partie management, le reporting et la qualité du 
support.
Reste à savoir si le management est important (s'il n'y a qu'un boitier et que 
de très rare changement..), pareil pour le reporting..

Je ne connais pas Websense mais pour BlueCoat:
- Je regrette que la policy (les regles) ne puisse pas être modifié à la fois 
en CLI et en GUI (il faut choisir) (tout le reste de la conf peut-être fait en 
CLI)
- L'interface est en Java (il ya une aussi interface flash qui permet moins de 
chose) ...
- Leurs solutions de reporting scale assez mal sur des gros déploiement, mais 
il est tout a fait possible d'utiliser un autre outils pour analyser les log
- Les logs peuvent être très complets si on active tout les champs
- Ca fonctionne plutôt très bien avec une version de l'os qui a eu le temps de 
sécher
- On peut monitorer assez finement ce qui se passe via SNMP
- C'est très souple et on peut faire des choses très très tordue si on a des 
besoins particulier
- Le temps de prise en compte des ticket par le support n'est pas extra mais 
ensuite la prise en charge est plutôt efficace

Cordialement,

Le 13 janv. 2014 à 16:29, mikael lelouch mikael.lelo...@orange.fr a écrit :

 Bonjour,
 
 
 Je travaille sur un projet de migration proxy (isa) chez un client
 actuellement et je suis en train d'hésiter et de comparer les solutions
 websenses et bluecoat
 
 
 J'aurai aimé savoir si d'autres personnes auraient eu un retour
 d'expérience sur ces solutions et leurs différences de prix.
 
 
 Après plusieurs recherches sur le web, on peut voir que les deux solutions
 apportent l'une comme l'autre des fonctionnalités quasi identiques. En
 revanche j'aurai aimé trouver des benchmarks ou des tests récents entre ces
 solutions afin d'opter pour la plus performance et sécurisé.
 
 
 Mes besoins de base sont :
 
 - proxy transparent ou explicite
 
 - intégration ldap + sso avec traçabilité des utilisateurs
 
 - proxy cache
 
 
 En vous remerciant de votre retour d'expérience
 
 
 Cordialement,
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Collocation Orange

[Jean-Edouard Babin]

Le 4 déc. 2013 à 21:25, m3g4g0lG0t|-| megagolg...@altern.org a écrit :

 Neutralité tout ça, ils sont peut-être obligé de dire on est OK pour la 
 coloc, mais ils mettent des conditions qui sont dissuasives, et même 
 impossible à combler dans le cas de l'assurance...
 
 Il y en a qui ont réussi à s'installer en coloc avec Orange? Et qui ont, de 
 fait, remplit les conditions d'assurance?

Je suis sur que si tu veux faire de la colloc pour faire du hosting de server 
il demande (étrangement) beaucoup moins de garantie...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] En tant que FAI, preferez vous beaucoup de connexion courtes, ou du keepalive?

[Jean-Edouard Babin]

Le 10 nov. 2012 à 17:07, Thomas Barandon t.baran...@gmail.com a écrit :

 Hi,
 
 Le 10 novembre 2012 16:29, Pierre Emeriaud petrus...@gmail.com a écrit :
 Coté OBS en revanche, l'ipv6 n'est pas activé par défaut, mais c'est
 possible. Je n'ai pas vu beaucoup de vpn clients dual stack mais il y
 en a, cf [0], et les accès internet sont également compatibles (cf
 [1]).
 
 Je confirme et ça juste marche (tant en MPLS qu'en Internet).
 
 Et s'il n'y a pas plus de VRF en dual stack c'est que la demande n'est
 semble il pas forcement foudroyante pour le moment.
 Pour la partie Internet mon petit doigt me dit que J. Nicolle a
 surement son mot à dire.

Puisqu'on parle d'Internet OBS et d'IPv6, est-ce que quelqu'un a des soucis de 
perf vers google (notamment visible sur youtube et gmail) ?
En IPv4 ca fonctionne très bien mais en IPv6 c'est souvent lent... :/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Étiquetage des cables en datacenter

[Jean-Edouard Babin]

Je déterre le sujet

La boite qui fait ceux que je connais est SES, 
http://www.ses-sterling.com/Catalogue.html?index=b
Il y a beaucoup de produits différents, je connais pliosnap 
(http://www.ses-sterling.com/pages/f_section_b/b08/b08_02.pdf) 


Le 26 juin 2012 à 00:56, Jean-Edouard Babin j...@jeb.com.fr a écrit :

 En version pas cher tu as ce genre de chose
 
 http://www.aliexpress.com/product-gs/289949747-Free-shipping-by-China-Air-Post-200-RJ45-RJ11-RJ12-Color-Numeric-Cable-Label-Mark-8002-wholesalers.html
 Cela on l'air assez pourri, Il y en a des bien mieux adapté pour câble 
 ethernet avec un système pour pouvoir les poser simplement par contre je ne 
 connais pas la marque
 
 L'avantage: ca coute pas cher, tu peux en avoir un peu partout plutôt que de 
 courir après la dymo (ou autre), si tu as une grosse densité de câble et que 
 les numéros ne sont pas visible tu as toujours le code couleur visible (alors 
 que si tu vois pas ton étiquette, t'es mal..)
 
 
 Le 25 juin 2012 à 16:01, Benjamin SCHILZ a écrit :
 
 Vous êtes pas mal à me conseiller les étiquetteuses BRADY. Je vais regarder 
 ça.
 
 Pour les cables PatchSee c'est pas mal effectivement mais le cout au cable 
 semble assez important.
 
 Merci de vos retours.
 
 
 -Message d'origine-
 De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
 Renaud Chaput
 Envoyé : lundi 25 juin 2012 15:33
 À : frnog-m...@frnog.org
 Objet : Re: [FRnOG] [MISC] Étiquetage des cables en datacenter
 
 Le Mon, 25 Jun 2012 15:24:28 +0200,
 Benjamin SCHILZ benja...@whd-rs.com a écrit :
 Je suis tombé par hasard la dessus :
 http://www.rawrgv.com/images/2012/06/15/ABqEt.jpg
 Ça semble pas mal mais je n'arrive pas à trouver la machine permettant 
 de le faire... (avec la protection plastique autour de l'étiquette).
 
 On utilise des étiquettes similaires, avec une imprimante de marque Brady 
 (http://www.fr.bradyeurope.com/bradyeurope/pfv/300237/BRADYEUR_FR_110889/Imprimantes-et-Accessoires/Imprimantes-Portables/Etiqueteuse-BMP21/Produits.html).
 Ils proposent un modèle plus gros également, et des étiquettes type 
 drapeau,mais toujours avec une protection plastique qui vient recouvrir 
 l'étiquette une fois en place. Ce sont les étiquettes vinyle auto-protégé 
 spéciales cables.
 
 Rien à redire dessus, ça tient parfaitement, c'est lisible, et ça ne se 
 décolle pas avec la clim/ventilation/...
 
 Renaud
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Choix de routeur

[Jean-Edouard Babin]

En restant sur du routeur, un ASR 1001 est up to 7.5 Mpps
Je connais pas les tarif exact mais faut compter dans 10k à 15k euro (remisé à 
~50%) selon la licence

http://www.cisco.com/en/US/products/ps10878/index.html

Le 30 juil. 2012 à 17:32, Surya ARBY arbysu...@yahoo.fr a écrit :

 En passant sur la branche Catalyst la datasheet du 4948 donne 72 mpps
 
 http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps6021/product_data_sheet0900aecd8017a72e.html
 
 Je n'ai par contre aucune idée du prix.
 
 Le 30/07/2012 17:22, Benjamin BILLON a écrit :
 http://www.cisco.com/web/partners/downloads/765/tools/quickreference/routerperformance.pdf
  
 
 Pour dépasser les 4.7Mpps il faut commencer à taper dans les 7600
 Les 7200 NPE-G2 plafonnent à 2Mpps, et c'est dommage parce qu'on en trouve 
 en refurb à bon prix
 
 Le 30/07/2012 17:01, Julien Escario a écrit :
 Le 30/07/2012 15:45, Surya ARBY a écrit :
 Je ne pense pas qu'il y ait d'équipements capables de traiter en soft
 100 Mbps ou plus (à cause des interruptions générées sur la CPU tout
 simplement).
 
 Tu peux prendre du switch qui va traiter le L3 en hard; mais si c'est
 une attaque en broadcast L2; ça va remonter à la CPU aussi.
 
 Après si tu veux te protéger il faut choisir des switchs avec du hard
 pour assurer la protection du control plane mais en général on commence
 à taper le moyen de gamme quelque soit le constructeur.
 
 Bon, un rapide calcul (que j'aurais dû faire avant) :
 Le soft en question balance des paquets UDP de 38 bytes (header compris).
 Ca fait, en gigabit : 1000*1024*1024/8/38=~3.5Mpps
 Encore mieux, avec un payload à 0byte : ~4.7Mpps
 
 En gros, je ne trouverait jamais de routeur qui saura me protéger contre ça 
 à moins d'y mettre 5 chiffres (voir 6).
 
 Du coup, faut p'têt effectivement que je cherche ailleurs pour la 
 protection contre un truc comme ça, non ?
 
 Corrigez-moi si je dis trop de conneries.
 
 Julien
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Étiquetage des cables en datacenter

[Jean-Edouard Babin]

En version pas cher tu as ce genre de chose

http://www.aliexpress.com/product-gs/289949747-Free-shipping-by-China-Air-Post-200-RJ45-RJ11-RJ12-Color-Numeric-Cable-Label-Mark-8002-wholesalers.html
Cela on l'air assez pourri, Il y en a des bien mieux adapté pour câble ethernet 
avec un système pour pouvoir les poser simplement par contre je ne connais pas 
la marque

L'avantage: ca coute pas cher, tu peux en avoir un peu partout plutôt que de 
courir après la dymo (ou autre), si tu as une grosse densité de câble et que 
les numéros ne sont pas visible tu as toujours le code couleur visible (alors 
que si tu vois pas ton étiquette, t'es mal..)


Le 25 juin 2012 à 16:01, Benjamin SCHILZ a écrit :

 Vous êtes pas mal à me conseiller les étiquetteuses BRADY. Je vais regarder 
 ça.
 
 Pour les cables PatchSee c'est pas mal effectivement mais le cout au cable 
 semble assez important.
 
 Merci de vos retours.
 
 
 -Message d'origine-
 De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
 Renaud Chaput
 Envoyé : lundi 25 juin 2012 15:33
 À : frnog-m...@frnog.org
 Objet : Re: [FRnOG] [MISC] Étiquetage des cables en datacenter
 
 Le Mon, 25 Jun 2012 15:24:28 +0200,
 Benjamin SCHILZ benja...@whd-rs.com a écrit :
 Je suis tombé par hasard la dessus :
 http://www.rawrgv.com/images/2012/06/15/ABqEt.jpg
 Ça semble pas mal mais je n'arrive pas à trouver la machine permettant 
 de le faire... (avec la protection plastique autour de l'étiquette).
 
 On utilise des étiquettes similaires, avec une imprimante de marque Brady 
 (http://www.fr.bradyeurope.com/bradyeurope/pfv/300237/BRADYEUR_FR_110889/Imprimantes-et-Accessoires/Imprimantes-Portables/Etiqueteuse-BMP21/Produits.html).
 Ils proposent un modèle plus gros également, et des étiquettes type 
 drapeau,mais toujours avec une protection plastique qui vient recouvrir 
 l'étiquette une fois en place. Ce sont les étiquettes vinyle auto-protégé 
 spéciales cables.
 
 Rien à redire dessus, ça tient parfaitement, c'est lisible, et ça ne se 
 décolle pas avec la clim/ventilation/...
 
 Renaud
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] certification CCNA SP Ops

[Jean-Edouard Babin]

Le 19 sept. 2011 à 15:26, Pierre Emeriaud a écrit :

 Le 19 septembre 2011 14:15, Bastien Migette
 bastien.mige...@gmail.com a écrit :
 Salut,
 Je ne peux pas te dire ce que vaux la certif, mais pour les pré reqs:
 http://www.cisco.com/web/learning/le3/le2/le0/le6/learning_certification_typ
 e_home.html
 
 CCNA Service Provider Operations Prerequisites
 Valid Cisco CCENT, CCNA, or any CCIE certification can act as a
 prerequisite.
 
 J'avais en effet vu cela. Mais je trouve le passage CCIE - CCNA SP
 quelque peu bizarre ;)

C'est par ce que tu peux être CCIE direct sans passer par CCNA/CCNP
Donc si t'es CCIE Wireless, tu peux passer le CCNA/CCNP SP sans avoir a 
repasser le CCNA/CCENT


 Et le fait qu'ils demandent un CCNA semblerait indiquer que le CCNA SP
 est un approfondissement en marge du cursus normal.
 
 Je penses que c'est surtout intéressant si tu comptes passer le CCNP SP Ops
 
 
 Justement, c'est une question que je me posait :
 
 CCNA - CCNP - CCIE RS
 CCNA SP - CCNP SP - CCIE SP ?
 
 Ou bien ce n'est pas comme ça que ça marche ?

Si le but c'est de passer des certifications SP et non pas spécialement suivre 
une formation (en clair, tu as le niveau et tu veux valider) je pense qu'il 
faut mieux faire

CCENT - CCNA SP - CCNP SP - CCIE SP (ou CCIE SP direct….)

Dans le CCENT ya que l'ICND1 alors que dans le CCNA tu dois passer aussi 
l'ICND2… je suis pas spécialiste des certifications mais les ICND il me semble 
que c'est un peu du bachotage.. pas forcement interessant
Avoir CCNA SP et pas CCNA ça peux surement faire moins bien pour certaine 
personne, mais si tu arrives a CCNP SP je pense que ce n'est plus un problème.

Il me semble (a vérifier) que tu peux aussi passer direct le module qui compose 
le CCNA SP (640-760 SSPO) par contre t'as pas le droit de dire que t'es CCNA 
SP… t'as juste réussi l'examen 640-760 (ça fait moins bien sur le CV, mais si 
t'as quelqu'un qui cherche pas sur un gros CCNA ou CCNP sur le CV

Donc je dirais que tout dépend de ce que tu cherches à 
faire..---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG]Cables Sous-Marins en Photos

[Jean-Edouard Babin]

Le 13 juil. 2011 à 00:44, Nicolas STEFANI a écrit :

 Le 07/07/2011 15:20, acido...@free.fr a écrit :
 Bonjour à tous,
 
 Un ami travaille sur un bateau de FT qui déroule les câbles de 
 télécommunication
 entre les continents.
 
 Pour ceux qui sont curieux de voir comment ça se passe :
 http://gallery.me.com/foulon#101547
 
 
 Cordialement,
 Daniel
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 
 Bonsoir,
 
 En googlant un peu  j'ai trouvé une vidéo qui va avec
 http://www.viddler.com/explore/antourtan/videos/998/68.545/
 
 En attendant le passage dans Thalassa ;-)


Pour ceux qui serait fan il y a quelques videos (à la fin des chapitres) plus 
ou moins intéressante ici : 
http://www.orange.com/sirius/dossiers_anim/cables_sous_marins/index_fr.html---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Problème de bande passante su r un HWIC Cisco

[Jean-Edouard Babin]

Salut,

The HWIC provides Gigabit Ethernet connectivity but will not support line rate 
since the throughput is limited by the platforms
Ca veut dire que bien que tu es des ports Giga sur la carte, le débit entre la 
carte est le reste du routeur est pas aussi élevé (limitation du bus coté carte 
et/ou coté routeur)

En l'occurrence le bus des HWIC est limité a 400mbps, information que tu peux 
trouver ici : (entre autre)
http://www.cisco.com/en/US/prod/collateral/routers/ps5854/prod_qas0900aecd80169bf0_ps5855_Products_Q_and_A_Item.html

A+

Le 21 déc. 2010 à 16:54, Pierre Gaxatte a écrit :

 Salut à tous,
 
 Je cherche une explication à un résultat de tests que nous menons en ce 
 moment sur un routeur Cisco 3845.
 
 Le test qui m'inquiète consiste à utiliser iperf (en TCP) et mesurer la bande 
 passante.
 
 Le schéma de test est le suivant :
 
 --
 | CLIENT |
 +-
|
| Gigabit Ethernet
|
 +--
 | Gi0/1   |
 | |
 |[3845]   |
 | |
 | Gi0/0 (SFP) Gi0/0/0 Gi0/1/0 |
 +-+---+
|
| Fibre
|
 +---
 | Gi0/8 (SFP)  |
 |  |
 | [WS-2960-8-TC-L] |
 |  |
 | Gi0/1  Gi0/2 |
 +--+
|  |
| GE   \--- Portable management
|
 +--
 | SERVEUR |
 ---
 
 Description du 3845 :
  - Gi0/0 : SFP fibre
  - Gi0/1 : Gigabit Ethernet
  - Gi0/0/0 et Gi0/1/0 : HWIC-SFP-1GE
 
 On constate qu'en utilisant les interfaces intégrées, on arrive à ~940Mbps 
 alors qu'avec les HWIC, on arrive faiblement à ~370Mbps (en branchant la 
 fibre sur Gi0/0/0 ou Gi0/1/0 au lieu de Gi0/0).
 
 Sur le site de Cisco, ils indiquent ça :
  Note: The HWIC provides Gigabit Ethernet connectivity but will not
  support line rate since the throughput is limited by the platforms
 
 (src: 
 http://www.cisco.com/en/US/prod/collateral/routers/ps5854/product_data_sheet0900aecd8016be8d_ps5949_Products_Data_Sheet.html)
 
 Mais je vois pas trop ce qu'ils entendent par là...
 
 On a essayé avec :
 - une autre fibre,
 - d'autres machines,
 - des autres SFP (Cisco originals ou pas)
 
 ... et le résultat est identique.
 
 Une idée ?
 C'est quand même un peu bête d'avoir un beau routeur refurbished si c'est 
 pour pas pouvoir l'utiliser au max...  :(
 
 Si besoin, je peux envoyer des confs et des détails supplémentaires.
 
 Merci d'avance pour vos réponses.
 Pierre
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] M6 replay depuis Bouygues Telecom : pourquoi on arrive aux USA ?

[Jean-Edouard Babin]

Le 20 oct. 2010 à 22:52, Vivien GUEANT a écrit :

 Bonsoir,
 
 J'ai fait une capture Wireshark pour voir quel réseau utilise M6 replay.
 Surprise, le serveur utilisé, 4.23.55.125, est aux USA comme le montre le 
 traceroute :
 
 # traceroute-nanog -A 4.23.55.125
 traceroute to 4.23.55.125 (4.23.55.125), 30 hops max, 60 byte packets
 2  V113.TenGEC5-10G.core03-t2.club-internet.fr (62.34.0.169) [AS5410]  0.204 
 ms  0.210 ms  0.196 ms
 3  V210.TenGEC1-20G.core04-t2.club-internet.fr (62.34.0.166) [AS5410]  0.265 
 ms  0.225 ms  0.217 ms
 4  213.242.111.61 (213.242.111.61) [AS3356/AS9057]  0.442 ms  0.447 ms  0.479 
 ms
 5  ae-33-51.ebr1.Paris1.Level3.net (4.69.139.193) [AS3356]  0.908 ms  1.095 
 ms  1.323 ms
 6  ae-47-47.ebr1.London1.Level3.net (4.69.143.109) [AS3356]  7.837 ms  7.822 
 ms  7.787 ms
 7  ae-100-100.ebr2.London1.Level3.net (4.69.141.166) [AS3356]  8.071 ms  
 7.555 ms  7.610 ms
 8  ae-43-43.ebr1.NewYork1.Level3.net (4.69.137.74) [AS3356]  76.582 ms  
 76.616 ms  76.313 ms
 9  ae-4-4.ebr1.NewYork2.Level3.net (4.69.141.18) [AS3356]  76.458 ms  76.379 
 ms  76.510 ms
 10  ae-1-51.edge3.NewYork2.Level3.net (4.69.138.196) [AS3356]  118.055 ms  
 76.514 ms  76.340 ms
 11  * * *
 12  * * *
 
 Le flux regardé était le suivant : 
 http://www.m6replay.fr/#/info/enquete-exclusive/18690 La capture a été fait 
 pendant le contenu, pas pendant la publicité.
 
 Le pb est commun à tous les FAI ou c'est uniquement pour l'AS5410 (Bouygues 
 Telecom FAI) ?
 Quel intérêt pour M6 d'héberger du contenu réservé aux français, 
 outre-atlantique, chez Level3 ?

Parceque c'était le provider le moins cher et que le délais est pas du tout 
gênant quand on fait du streaming ?

 Il me semble que si on demande le flux depuis une IP non française on est 
 jeté (après la publicité qui elle passe bien à l'étranger).

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Programme Netflow

[Jean-Edouard Babin]

Manage Engine est un très bon produit pour qui est près à dépenser un  
peu d'argent pour avoir un logiciel.

Concernant netflow, un vieux thread : 
http://www.mail-archive.com/frnog@frnog.org/msg05583.html

Le 23 sept. 2009 à 15:53, marc celier a écrit :

ce manage engine ressemble a une usine a gaz, tu devrais pouvoir  
trouver ton bonheur avec tous les outils open source.

- Original Message -
From: Mickaël Bourneuf [Celeonet]
Sent: 09/23/09 02:48 pm
To: Nicolas Strina
Subject: Re: [FRnOG] Programme Netflow

Bonjour,

Merci pour vos pistes, je vais regarder tout ça.

Concernant de manage engine, j'ai effectivement testé mais il semble
patiner par moment.

Cordialement,

Nicolas Strina a écrit :
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1

 Hello,

 nfsen/nfdump.sourceforge.net

 Cordialement,


 Bonjour,

 Nous utilisons ipflow chez nous.

 Avantages :
 - Extrêmement configurable (par fichiers textes)
 - Ne fait qu'une chose mais le fait bien
 - Plus maintenu depuis quelques années (à titre d'exemple,  
dernière

 version compilée pour FreeBSD 5.4)

 Inconvénients :
 - Pas sous licence libre et pas de sources (j'ai contacté le  
développeur
 plusieurs fois, mais pas de réponse. Si quelqu'un à fait ses  
études à

 l'UTC Compiègne, il peut peut-être faire avancer les choses)
 - Ne dispose d'aucune interface graphique/web pour visualiser  
les graphs
 (j'ai hésité à le mettre en inconvénient car ce n'en est pas  
vraiment un).
 - Logique de filtrage des paquets un peu complexe à maitriser au  
début
 (mais c'est peut-être un inconvénient commun à tous les outils  
Netflow)


 Voila le lien : http://www.ipflow.utc.fr/index.php/Main_Page

 Mais sinon, je suis aussi intéressé par des solutions libres,  
aussi
 complètes que ce que permet ipflow et qui dispose d'une  
interface web

 conviviale.

 Florian Coulmier



 Le 23 sept. 2009 à 15:26, Mickaël Bourneuf [Celeonet] a écrit :


 Bonjour,

 Je suis actuellement à la recherche d'un bon programme netflow  
pour

 cisco.

 Quelqu'un aurait-il une piste ?

 Cordialement,
 Mickaël Bourneuf
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/





 - --
 Nicolas STRINA

 Jaguar Network Switzerland
 5 route de Chene
 Case Postale 6298
 CH - 1211 Geneva 6

 More Than Your Hosting Company

 Tel : +33 4 88 00 65 16
 Gsm : +33 6 18 20 49 55

 Std : +41 8 40 65 61 11
 Fax : +33 4 88 00 65 25

 URL:
 Support 24+7 : supp...@jaguar-network.ch
 -BEGIN PGP SIGNATURE-
 Version: GnuPG v1.4.7 (Darwin)
 Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

 iD8DBQFKuiTOhVupqbmzoscRAlaPAJ4mE8KT0NiOewouNt6ksqQwqpOE+gCgiUxY
 tEPxZzaBD80B39Zw13jcAIg=
 =/X0S
 -END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re : Re: [FRnOG] Comment mon switch a exploser

[Jean-Edouard Babin]

Le 29 juil. 09 à 15:00, Youssef Ghorbal a écrit :


Bonjour,

En effet, c'est visiblement une tempete de broadcast ethernet qu'on
s'est pris. D'apres les graphes, au moment du probleme le nombre de
paquet sur les ports explose.
Sur Cisco y'a t'il des commandes pour limiter le broadcast ethetnet
par interface ou par VLAN. Un rate-limiting pour les paquets
ff:ff:ff:ff:ff:ff en quelque sorte.


Il y a le storm control qui permet de faire ca :
http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_50_se/configuration/guide/swtrafc.html#wp1063295

Ca fonctionne très bien :)---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Outil netflow

[Jean-Edouard Babin]

Salut,

Comme je l'utilise aussi, je te répond également.
J'utilise le produit depuis 1 an avec 50 interfaces au début, plus de  
150 maintenant. J'ai une 30aine de groupes et 550 flow/s actuellement,  
mais c'est le WE... il faudrait que je regarde en semaine, mais au vu  
de la difference de traffic on doit atteindre au moins 5000 flow/s.


Concernant la stabilité, depuis bientôt un an d'utilisation, j'ai eu  
un crash de l'application (avec la version 6), il a suffit de relancer  
le soft (en revanche il n'y a pas un process de collect, un pour  
l'interface web, etc... donc si la partie Web fait planter  
l'application, tu ne collecte plus rien). Après l'upgrade en version 7  
j'ai eu un petit problème et les graphs n'était plus du tout cohérent.  
J'ai pu tester le support qui est d'une efficacité irreprochable de  
mon point de vue ; en 2h c'était corrigé avec un patch et une serie de  
requêtes SQL, le tout sans perte de data. En revanche il y a pas mal  
de petit bug ou de défaut, par exemple dans la version 7 sans patch,  
un guest peut voir les communautés snmp des équipements. Et il y des  
défaut du type liste des devices non triés par ordre alphabétique dans  
la gestion des groupes. (mais la encore, en 1h le support envoie le  
patch qui va bien).


Concernant les performances , j'ai du augmenter les valeurs par défaut  
du MySQL integré. Avec la BDD qui prend 2Go en ram c'est rapide. La  
machine a un Dual Xeon 2.6Ghz et le cpu dépasse jamais les 30% (et  
encore, j'ai une autre application sur la machine...).
Niveau disque, j'ai 7000 fichiers de données pour 2Go avec une  
retention de 6 mois des données a 1 minutes. La base prend 10Go. J'ai  
pas mesuré l'I/O disque mais je pense qu'entre les fichiers de données  
et la base c'est plutôt haut. Les prerequis ram/cpu que donne ME sont  
à mon avis bien pessimiste. Je ferais plus attention à avoir un disque  
qui supporte un bon nombre d'I/O (et quand tu parles de VM ca me fait  
un peu peur) plutôt que d'avoir un gros CPU.


Pour les droits tu peux faire des groupes d'interfaces et associer un  
groupe a un utilisateur. (Device groups - interface group)
Il faut juste verifier que ton PE puisse bien exporter du netflow par  
sous interface.
Entre collecte sur le PE ou CE. La question ne se pose pas dans mon  
cas. Mais je vois une grande difference, le sens des flux. Si tu  
collectes sur ton PE ton client aura peut-être du mal à comprendre  
pourquoi 'in' c'est son upload et 'out' le download.


Les prix publique sont la : 
https://store.adventnet.com/jsp/fp.jsp?filter=10014p=ManageEngine%20Netflow%20%20Analyzer

Le 17 mai 09 à 10:44, ci...@etbweb.net a écrit :


Je viens de monter rapidement une maquette, ce produit est étonnant de
simplicité. J'ai rapidement pu collecter les informations d'un  
routeur,
obtenir les infos CBWQ... L'interface n'est pas fouilli, simple à  
prendre en

main.
De prime abord, ce produit semble être correspondre à mon besoin,  
par contre

je souhaitais avoir ton retour d'expérience sur ce produit :
* Stabilité ?
* Performance après plusieurs mois de statistiques et plusieurs  
centaines

d'interface monitorées (suite à ma mauvaise expérience de Crannog)
* Au niveau des droits, on peut fournir accès à un utilisateur à  
certain
groupe IP et Interface, as-tu l'expérience de placer une sonde sur  
un PE et
de donner accès à quelques dizaines de sous interface ATM à un  
utilisateur ?

* Au niveau pricing, cela reste raisonnable ?

En tout cas merci de m'avoir découvrir ce produit, je vois déjà  
d'autres

applications pour chez nous :)

Eric


-Message d'origine-
De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part  
de

Leland Vandervort
Envoyé : samedi 16 mai 2009 19:07
À : eberkut
Cc : frnog FRnoG
Objet : Re: [FRnOG] Outil netflow


Voila ce que j'utilise:

http://www.manageengine.com/products/netflow/



eberkut wrote:


Le 16 mai 09 à 17:18, Mathieu Goessens a écrit :


Bonjour,

Bien que je ne l'ai jamais utilisé pour cet usage ntop  
(www.ntop.org)

à un support du Netflow,
et permet de générer pas mal de stats différentes. Il existe
également un outils nProbe (payant
et sur lequel je n'ai aucun retour).


Pas de retour non plus sur nProbe. Par contre, la dernière que j'ai
essayé d'utiliser NTop en collecteur Netflow c'était vraiment pas
conçu pour recevoir de plus d'un seul exporteur Netflow. Du coup la
solution c'était une instance NTop par exporteur. A 50 exporteurs  
et à
300 Mo de RAM par instance, ça devient problématique. Sans compter  
que

ça veut dire une interface web par instance... La solution la plus
propre en open source ça consiste à se trouver un collecteur assez
léger qui gère bien plusieurs exporteurs (genre flow-tools) et qui
dump ça par exemple dans des RRD. Derrière il y a quelques outils pas
mal pour visualiser ces données comme flow-scan ou flowviewer. Sinon
il suffit de grapher soi-même ces RRD par exemple avec Cacti. Ca
marche bien.

Du coup si le but est 

Re: [FRnOG] Outil netflow

[Jean-Edouard Babin]

Le 16 mai 09 à 10:06, Eric a écrit :


Bonjour à tous,

Dans le cadre du déploiement pour un gros client, j'ai besoin de  
mettre à
disposition un accès à des stats Netflow, la volumétrie des sondes  
est de

l'ordre de 50.
Pour anticiper, la question : je ne peux pas utiliser mes PE car ils  
sont
mutualisés pour des autres clients sauf si le produit peux gérer des  
acls

par sous interface (et non interface comme crannog).

L'outil Whatsup est sympa (il me permettrait d'inclure les latentes et
conso)  mais est très couteux, avez-vous des retours d'expérience  
sur ce

sujet ?


En continuant dans les soft payant il y a 
http://www.manageengine.com/products/netflow/
Tu peux faire des groupes par IP ce qui peut potentiellement résoudre  
ton problème d'interface mutualité.
Sinon des soft NetFlow y'en a pas mal, après ca depend quel type de  
stats tu veux.

smime.p7s
Description: S/MIME cryptographic signature

Re: [FRnOG] Contact technique opentransit

[Jean-Edouard BABIN]

Le 24 nov. 08 à 22:31, Guillaume de Lafond a écrit :


-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1


Guillaume de Lafond a écrit :
Je recherche un contact technique chez opentransit pour un  
problème de

routage IP.


Toi aussi t'as tes paquets qui font le tour de l'europe pour toucher
5511/3215 ? =)


Hum moi j'ai des paquets qui ne ressortent pas de 5511.

Merci à tous pour les réponses.

Cordialement,


J'avais un soucis entre 5511/3215 également (depuis vendredi à priori,  
mais sans certitude), mais ca semble refonctionner... pareil pour vous ?

Quelqu'un à des infos supplémentaires ?

Bonne soirée,

smime.p7s
Description: S/MIME cryptographic signature

Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Filtrage d'UR L via BGP shunt : quelle fai sabilité ? (+ présentation )

[Jean-Edouard Babin]

Le 26 juil. 08 à 02:27, Rani Assaf a écrit :

Et  que dire  de  ceux qui  spoofe carrément  les  serveurs POP?   
J'étais
halluciné hier  à Orly:  ma copine  allume son  PC portable  en  
attendant
l'embarquement et  chope du  coup le  réseau WIFI  de HUBTELECOM  et  
elle
avait son Outlook d'ouvert. Comme ce  dernier fait un fetchmail dès  
qu'il
a une connectivité,  qu'elle n'a été sa surprise de  voir apparaître  
dans
sa boite un  mail... de HUBTELECOM (lui expliquant qu'il  faut payer  
pour

surfer, etc.).

Le mec qui a  fait peut se faire une belle  collection de login/ 
passwd de
la  moitié des  BAL  françaises...  et surtout  celles  de quelques   
gros

décideurs de ce pays qui passent leur tps entre 2 avions...


Mais non, les gros décideurs utilisent du POPs, utilisent un client  
email qui les prévient si le certificat n'est plus le même.
Et comme lors de leur formation sécurité on leurs à dit de ne pas  
accepter quand le certificat change il n'y a aucune risque.


Pardon ca m'a échappé ;)

--
C'est beau l'utopie non ?---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Free, ou comment répondre vite a un e demande

[Jean-Edouard Babin]

Le 12 déc. 07 à 20:10, Vassili Tchersky a écrit :


2007/12/12, Romain Tournier [EMAIL PROTECTED]:

c'est pour cela que ce n'est pas du 6to4
en plus d'autres subtilitées liées au 6to4...


Ça ressemble à du 6to4 en circuit fermé, c'est à dire à l'intérieur du
réseau de Free, entre la FreeBox et quelques routeurs à Paris
configurés pour. RD comme reduced domain ? Ou comme Recherche 
Développement , car ça m'a l'air de toute façon d'un nom «marketing».


ou rd comme Rémi Desprès ? ;)
D'après les informations que j'ai pu recueillir, mais sans aucune  
certitude, il serait possible que le protocole utilisé pour acheminer  
l'ipv6 soit L2TP. A voir... c'est sur que si quelqu'un de free pouvais  
juste dire 2 mots :)


Bonne journée,---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [FRnOG] Co ntent Delivery Network (CDN) à la francaise

[Jean-Edouard BABIN]

on 30/11/06 21:17, « Spyou » [EMAIL PROTECTED] wrote:

 At 16:52 30/11/2006, Xavier Nicollet wrote:
 Le 30 novembre 2006 à 11:36, Philippe Bourcier a écrit:
 [CDN + bittorent]
 
 On pourrait imaginer une topo BitTorrent propre à chaque ISP en
 anycast pour que chaque région ou département favorise les échanges
 géographiquement proches...
 [...]
 
 Effectivement, dans le même ordre d'idées, pourquoi pas une sorte
 de proxy/cache pour les P2P chez les fournisseurs d'accès ?
 
 C'est un coup a leur refaire tomber les majors
 sur le dos qui auront tot fait de dire que les
 FAI hebergent des contenus piratés malgré la
 prétendue innocence de l'intermediaire technique selon la LCEN :)

Justement, kazaa avait pas un système de cache comme ça chez certain ISP ?
Je me souvient d'un histoire avec Wanadoo pays-bas...
Il me semble que c'était kazaa, mais bon ça date...

-- 
Jean-Edouard BABIN
IRC : Jeb @ Undernet


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Radars P2P

[Jean-Edouard BABIN]

on 14/03/05 13:12, « Pascal Gloor » [EMAIL PROTECTED] wrote:

 Téléchargez vos MP3 sans limitation
 (c'était pas ca, la pub d'un gros FAI Français ... ?)
 
 ehh ouais, et c'est même légal maintenant!!

Ca va dépendre de la décision de la cour de cassation en définitive, et à
mon avis il va y avoir beaucoup de pression... Affaire à suivre donc

Pour ce qui ne serait pas au courant universal à été condamné a payer 43k
euros d'amende pour ne pas avoir reversé les droits d'auteur des achats de
mp3 sur son site de music en ligne. Comment peuvent-il critiquer les
téléchargement illégal après ça...

-- 
Jean-Edouard BABIN
Mail: [EMAIL PROTECTED]
Web : www.Jeb.com.fr
IRC : Jeb @ Undernet



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Que se passe t-il ?

[Jean-Edouard BABIN]

on 16/02/05 16:19, « Octave » [EMAIL PROTECTED] wrote:

 C'est justement le contraire. Ovh evolue trop vite et FT pour proteger des
 interets d'opentransit doit avoir des regles de peering comme c'est le cas
 maintenant. Car certains acteurs du net ils doivent rester payant.
[...]
 ce matin nous avons modifié le routage entrant entre ft et ovh. ça ne passe
 plus par opentransit et miracle les emails arrivent à nouveau ! Plus de
 probleme ! Qui se lance ? Attendez quand meme les articles sur le net
 parceque l'histoire n'est pas finie ... le pain arrive :)

Alors la je ne suis plus !
FT veut pas peer pour que OT gagne des sous, mais OT bloquerai (?!) les
mails vers OVH, donc pour que tu passe plus par eux mais via la concurence.
C'est pas un peu contradictoire ?

-- 
Jean-Edouard BABIN
Mail: [EMAIL PROTECTED]
Web : www.Jeb.com.fr
IRC : Jeb @ Undernet



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] FW: Allocation de 70/8

[Jean-Edouard BABIN]

Bonjour

Je me permet de vous forwarder un email de Rob Thomas concernant
l'Allocation du 15 Janvier de 70/8 a l'ARIN

Voir http://www.cymru.com/Bogons/

-- 
Jean-Edouard BABIN
Mail: [EMAIL PROTECTED]
Web : www.Jeb.com.fr
IRC : Jeb @ Undernet

-- Message transféré
De : Rob Thomas [EMAIL PROTECTED]
Date : Fri, 16 Jan 2004 13:59:23 -0600 (CST)
À : Bogon Announcement List [EMAIL PROTECTED]
Objet : [bogon-announce] IANA IPv4 allocations and bogon update: 70/8

Hi, team.

The numerous Team Cymru bogon projects have been updated as of 15 JAN
2004 to reflect the following IANA allocation made on 15 JAN 2004:

   70/8   Jan 04   ARIN

IANA allocations change over time, so please check regularly to ensure
you have the latest filters if you are not using the bogon BGP feed(s).
We do announce updates to the bogon projects to sundry lists, such as
the bogon-announce list.  We can not stress this point strongly
enough - these allocations change. If you do not adjust your filters,
you will be unable to access perhaps large portions of the Internet.
Worse yet, you may end up blocking access for people who transit
through you.

Please do not blindly apply any filters or blocks to your network
without carefully considering the ramifications of doing so.

As a point of reference, the Team Cymru master Bogon Reference Page can
be found here:

   http://www.cymru.com/Bogons/

A quick summary of the documents and projects that have been updated
include the following:

   HTTP
  The Bogon List
  The Text Bogon List, Unaggregated
  The Text Bogon List, Aggregated
  Secure BIND Template
  Secure IOS Template (Cisco)
  Secure BGP Template (Cisco)
  Secure JUNOS Template (Juniper)
  Secure JUNOS BGP Template (Juniper)
  Ingress Prefix Filter Templates, Loose and Strict (Cisco)
  Ingress Prefix Filter Template, Loose (Juniper)
  Ingress Prefix Filter Template, Strict (Juniper)
   BGP
  Bogon route-server *

   RADb
  fltr-unallocated
  fltr-martian
  fltr-bogons
   DNS
  Bogon (bogons.cymru.com) zone

   Monitoring
  Bogon prefix monitoring

* All of the bogon peers have received the appropriate BGP prefix
updates.

Please feel free to contact Team Cymru with any comments, questions, or
concerns.

Thanks!
Rob, for Team Cymru.
-- 
Rob Thomas
http://www.cymru.com
ASSERT(coffee != empty);

___
bogon-announce mailing list
[EMAIL PROTECTED]
https://puck.nether.net/mailman/listinfo/bogon-announce


-- Fin du message transféré



Liste de diffusion du FRnOG
http://www.frnog.org/
---
Archives :
http://www.frnog.org/archives.php
---