Re: [FRnOG] [TECH] Thermomètre IP
Hello, En effet c'est super bête :-) C'est comme d'acheter un blouson à 3 poches et de n'en utiliser que 2... (température hygrométrie et pas la valeur pression...) SBU - Original Message - From: Bensay 1 bensam...@hotmail.com To: frnog-t...@frnog.org Sent: Monday, April 13, 2015 4:33 PM Subject: Re: [FRnOG] [TECH] Thermomètre IP Question sans doute bête mais quel intérêt de mesurer une pression en salle ? Benjamin L Le 13 avr. 2015 à 12:10, Sylvain Busson sbu12...@gmail.com a écrit : Hello, J'ai acheté une dizaine de celle-ci pour le boulot et chez moi. Trop bien! Et moins cher c'est difficile. http://www.ebay.fr/itm/Internet-thermometer-hygrometer-barometer-IP-LAN-Web-SNMP-Telnet-Remote-Log-/251898432127?pt=LH_DefaultDomain_0hash=item3aa6510a7f SBU -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de SD76 Envoyé : samedi 11 avril 2015 21:54 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Thermomètre IP Bonjour, Je suis à la recherche d'un thermomètre IP pour un petit local technique. Ceux que j'ai pû trouver sont très chère pour mon besoin. Je peux m'adapter à la façons de collecter les données (SNMP, HTTP,...) Avez-vous des références inférieur à 100€ ? Dans le pire des cas, je me retournerai sur une sonde en USB. Si vous avez également des conseils, je suis preneur. Merci, sd --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Thermomètre IP
Hello, J'ai acheté une dizaine de celle-ci pour le boulot et chez moi. Trop bien! Et moins cher c'est difficile. http://www.ebay.fr/itm/Internet-thermometer-hygrometer-barometer-IP-LAN-Web-SNMP-Telnet-Remote-Log-/251898432127?pt=LH_DefaultDomain_0hash=item3aa6510a7f SBU -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de SD76 Envoyé : samedi 11 avril 2015 21:54 À : frnog-t...@frnog.org Objet : [FRnOG] [TECH] Thermomètre IP Bonjour, Je suis à la recherche d'un thermomètre IP pour un petit local technique. Ceux que j'ai pû trouver sont très chère pour mon besoin. Je peux m'adapter à la façons de collecter les données (SNMP, HTTP,...) Avez-vous des références inférieur à 100€ ? Dans le pire des cas, je me retournerai sur une sonde en USB. Si vous avez également des conseils, je suis preneur. Merci, sd --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
fare un dump du trafic n'existe pas à ma connaissance sur les SRX). Ca existe sur SRX dans tous les sens, par interface, par flux etc etc, c'est un de leur gros avantage aux bestios SBU - Original Message - From: Louis luigi.1...@gmail.com To: Raphael Mazelier r...@futomaki.net Cc: frnog@frnog.org Sent: Tuesday, March 24, 2015 10:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
ha oui, moi je cause des branch, je n'ai pas essayer ca que sur un 100 210 240 550. Les ACL+log ne fonctionne pas non plus? SBU - Original Message - From: Louis To: Sylvain Busson Cc: Raphael Mazelier ; frnog@frnog.org Sent: Tuesday, March 24, 2015 11:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW j'avais essayé cette commande à l'époque mais elle ne fonctionnait pas sur un SRX 3600 avec de l'ASIC. De quelle gamme parles-tu? Le 24 mars 2015 11:18, Sylvain Busson sbu12...@gmail.com a écrit : La commande monitor interface Ou une ACL statless avec log SBU - Original Message - From: Louis To: Sylvain Busson Cc: Raphael Mazelier ; frnog@frnog.org Sent: Tuesday, March 24, 2015 10:51 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Je serais intéressé par avoir une procédure pour faire ça sur SRX car j'arrivais (en 2012) à avoir que les paquets SYN, ce qui me faisait une belle jambe. Juniper n'avait pas su me répondre. La réponse que j'avais eu était que les paquets une fois passés à l'ASIC n'étaient plus visibles. Le 24 mars 2015 10:41, Sylvain Busson sbu12...@gmail.com a écrit : fare un dump du trafic n'existe pas à ma connaissance sur les SRX). Ca existe sur SRX dans tous les sens, par interface, par flux etc etc, c'est un de leur gros avantage aux bestios SBU - Original Message - From: Louis luigi.1...@gmail.com To: Raphael Mazelier r...@futomaki.net Cc: frnog@frnog.org Sent: Tuesday, March 24, 2015 10:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. www.avast.com --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
La commande monitor interface Ou une ACL statless avec log SBU - Original Message - From: Louis To: Sylvain Busson Cc: Raphael Mazelier ; frnog@frnog.org Sent: Tuesday, March 24, 2015 10:51 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Je serais intéressé par avoir une procédure pour faire ça sur SRX car j'arrivais (en 2012) à avoir que les paquets SYN, ce qui me faisait une belle jambe. Juniper n'avait pas su me répondre. La réponse que j'avais eu était que les paquets une fois passés à l'ASIC n'étaient plus visibles. Le 24 mars 2015 10:41, Sylvain Busson sbu12...@gmail.com a écrit : fare un dump du trafic n'existe pas à ma connaissance sur les SRX). Ca existe sur SRX dans tous les sens, par interface, par flux etc etc, c'est un de leur gros avantage aux bestios SBU - Original Message - From: Louis luigi.1...@gmail.com To: Raphael Mazelier r...@futomaki.net Cc: frnog@frnog.org Sent: Tuesday, March 24, 2015 10:25 AM Subject: Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW Bonjour, Fortigate est un bon produit à tout faire qui en plus est très pratique pour faire du debug (la fonction diagnose sniffer packet pour faire un dump du trafic n'existe pas à ma connaissance sur les SRX). Ceci-dit, j'aurais un peu peur de faire du BGP sur ce genre de boîtier alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Louis Le 24 mars 2015 09:29, Raphael Mazelier r...@futomaki.net a écrit : Le 24/03/2015 08:02, Pierre LANCASTRE a écrit : Bonjour, Il y a les entrées de gamme fortinet (60 a 90D). Sinon pour du port sfp, il faut la gamme 100-D mini (sauf erreur) La GUI est très sympa (le cli pas du tout, compare a du Juniper). En tout cas le rapport features/perf/prix est très intéressant. Fortinet en complément de SRX peut être intéressant oui. Dans les dernières versions la stabilité s'est largement amélioré et en effet la gui est très agréable. Pour moi il s'agit des deux fw constructeurs les plus crédibles. (qui d'autres d'ailleurs ? il y avait bien stonesoft avant le rachat par mcaffe, mais sinon ?) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Nous avons des SRX qui font le boulot et des SSG qui le font presque, connaissez vous d'autre boite qui savent faire ca, pour diversifier nos techno? (Hors course : Stonesoft et Palo Alto = pas de bridg et encore moins de switching natif à ma connaissance) Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Si quelqu'un connait la ou les boites magiques, commerciaux acceptés ? SBU --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] FREE HS? (78)
Hello, Depuis 10 minutes j'ai une dizaines de freebox qui sont HS (au moins dans le 78 Saint Quentin en Yvelines) D'autres constate le souci? SBU --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur pour PME
Juniper SRX 2x0 c'est scalable manque plus que le café. Et en prime t'as un switch. SBU - Original Message - From: Guillaume Tournat guilla...@ironie.org To: Alexis Lameire alexis.lame...@gmail.com Cc: frnog-t...@frnog.org Sent: Tuesday, January 20, 2015 12:00 PM Subject: Re: [FRnOG] [TECH] Routeur pour PME FortiGate (firewall Fortinet) ça le fait. Pleins de modèles pour trouver la combinaison nécessaire. Le 20 janv. 2015 à 10:59, Alexis Lameire alexis.lame...@gmail.com a écrit : Bonjour, Dans le cadre d'une PME, on cherche à remplacer le routeur principale du réseau. Celui-ci doit pouvoir faire : - Vlan - Firewall basique (filtrage par port, NAT et restriction entre VLAN) - DHCP - Relais DNS (si possible pouvoir gérer les nom interne aussi) - FailOver basique (si une ligne tombe internet tombe, switcher sur l'autre) - PPPoE - 3 pattes minimum - rackable ou non, peut importe Après mon retour d'expérience sur plusieurs équipements, je ne peut conseiller OpenWRT, en éffet sur deux matèriel physique différent j'ai rencontrer des bugs aléatoire malgré une conf correcte (vlan foireux, routing qui déconne, port non détecter, ...) Que peut t’ont suggérer dans ce cas là : - Cisco ? Juniper and Co ? mais à quel prix ? dans le cadre d'une PME ceci n'est pas négligeable - PFsense : des gens ont du retex dessus ? - TPLINK, DLink Netgear ? des truc orienté PME qui feraient le boulot ? - Du matériel d'occasion ? Cordialement Alexis Lameire --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Conseil switches
Hello, Qu'entend tu par Le point négatif : un SPOF applicatif. Cela arrive rarement mais cela arrive.? J'ai pô compris SBU - Original Message - From: Raphael Mazelier r...@futomaki.net To: frnog@frnog.org Sent: Monday, January 05, 2015 11:38 AM Subject: Re: [FRnOG] [TECH] Conseil switches Le 05/01/15 10:38, Frederic Dhieux a écrit : Je pense qu'il parle du cas où un stack bug ou part en vrille et je trouve la question légitime, j'ai déjà vu des stacks partir en vrille et crasher l'ensemble de ses éléments par le passé et là ta redondance elle fait un peu une sale tête. Pour de l'agrégation je trouve que c'est bien, si vraiment ce sont 2 switchs centraux d'une redondance, je ne trouve pas que ce soit une bonne idée même si avec du Juniper tu as une meilleure gestion de la capacité réseau (mais aussi du coup un mode dégradé quand l'un tombe) J'ai la même expérience que Frédéric. Le stacking (ou virtual chassis chez Juniper) apporte : - une facilité/simplicité d'administration (une seule configuration pour X switch) - la possibilité de faire du LACP multi-switch (et donc de la redondance + scaling). - la possibilité de faire des configurations spanning tree less. Le point négatif : un SPOF applicatif. Cela arrive rarement mais cela arrive. De mon côté je trouve l'idée de prendre des bons vieux Cisco 2960G plutôt bonne. C'est un bon produit plus très cher, robuste et éprouvé (sans licences ajoutées) depuis des années et qui ne souffre pour moi que d'un réel défaut : être mono-alimenté. Avec du budget sinon monter sur une génération plus moderne et double alimentée. J'ai un bon retour d'expérience avec les 2960G avec flex-stack. (j'ai en depuis 4 ans en production dans taff -1) J'ai aussi un non retour d'expérience avec des EX2200 en virtual chassis aussi (en production depuis 3ans). Niveau obsolescence on sera, je pense, dans les même durées que les anciennes génération de switch. Concernant le double attachement, la question reste : as tu besoin de plus de 1G in/out vers tes serveurs ? - si oui tu es obligé de faire du stacking avec du lacp, - si non tu peux faire des agrégats statiques, ce qui élimine le besoin du stacking. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Conseil switches
ok merci - Original Message - From: David Ponzone To: Sylvain Busson Cc: Raphael Mazelier ; frnog@frnog.org Sent: Thursday, January 08, 2015 2:32 PM Subject: Re: [FRnOG] [TECH] Conseil switches Qu’en stackant, tu prends le risque qu’un bug dans la partie stacking du soft mette en vrac les 2 switchs. Le 8 janv. 2015 à 14:26, Sylvain Busson sbu12...@gmail.com a écrit : Hello, Qu'entend tu par Le point négatif : un SPOF applicatif. Cela arrive rarement mais cela arrive.? J'ai pô compris SBU - Original Message - From: Raphael Mazelier r...@futomaki.net To: frnog@frnog.org Sent: Monday, January 05, 2015 11:38 AM Subject: Re: [FRnOG] [TECH] Conseil switches Le 05/01/15 10:38, Frederic Dhieux a écrit : Je pense qu'il parle du cas où un stack bug ou part en vrille et je trouve la question légitime, j'ai déjà vu des stacks partir en vrille et crasher l'ensemble de ses éléments par le passé et là ta redondance elle fait un peu une sale tête. Pour de l'agrégation je trouve que c'est bien, si vraiment ce sont 2 switchs centraux d'une redondance, je ne trouve pas que ce soit une bonne idée même si avec du Juniper tu as une meilleure gestion de la capacité réseau (mais aussi du coup un mode dégradé quand l'un tombe) J'ai la même expérience que Frédéric. Le stacking (ou virtual chassis chez Juniper) apporte : - une facilité/simplicité d'administration (une seule configuration pour X switch) - la possibilité de faire du LACP multi-switch (et donc de la redondance + scaling). - la possibilité de faire des configurations spanning tree less. Le point négatif : un SPOF applicatif. Cela arrive rarement mais cela arrive. De mon côté je trouve l'idée de prendre des bons vieux Cisco 2960G plutôt bonne. C'est un bon produit plus très cher, robuste et éprouvé (sans licences ajoutées) depuis des années et qui ne souffre pour moi que d'un réel défaut : être mono-alimenté. Avec du budget sinon monter sur une génération plus moderne et double alimentée. J'ai un bon retour d'expérience avec les 2960G avec flex-stack. (j'ai en depuis 4 ans en production dans taff -1) J'ai aussi un non retour d'expérience avec des EX2200 en virtual chassis aussi (en production depuis 3ans). Niveau obsolescence on sera, je pense, dans les même durées que les anciennes génération de switch. Concernant le double attachement, la question reste : as tu besoin de plus de 1G in/out vers tes serveurs ? - si oui tu es obligé de faire du stacking avec du lacp, - si non tu peux faire des agrégats statiques, ce qui élimine le besoin du stacking. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
Hello, - Original Message - From: Stephane Bortzmeyer bortzme...@nic.fr To: frnog-m...@frnog.org Sent: Wednesday, November 26, 2014 10:18 AM Subject: [FRnOG] [MISC] C'est nous qu'on est les meilleurs http://www.vanityfair.fr/actualites/france/articles/rani-assaf-l-associe-fantome-de-xavier-niel/16660 « le forum du French Networks Operators Group (FRnOG), un site fréquenté par à peine 250 informaticiens, les meilleurs » Ben.. si on lit bien 2 -3 ligne lus haut, c'était dans le milieu des années 2000, depuis l'adjectif a pu shifter :-) SBU --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Saturation Level / Orange ?
Bonjour, Il semble qu'il y est des attaques très bien distribué en court. Peut être en relation? SBU - Original Message - From: Fabien V. list-fr...@beufa.net To: Frederic Dhieux frede...@syn.fr; frnog@frnog.org Sent: Thursday, September 04, 2014 12:19 PM Subject: Re: [FRnOG] [ALERT] Saturation Level / Orange ? Bonjour, A cette heure ci, y a aussi des grosses différences. Et oui on est pas encore vendredi, mais depuis MegaUpload a disparu, on peut de nouveau faire ca non, 3215 = COGENT ? :p A noter sans troll, qu'on ne sait pas vraiment depuis quand ca date, mais depuis le début nous n'avions jamais constaté une aussi grosse perte de perfs sur le 3215 depuis 3356 ;) Fabien V. 4 septembre 2014 12:10 Frederic Dhieux frede...@syn.fr a écrit: Bonjour, A cette heure ci ou le soir ? Frederic Le 04/09/14 12:02, Fabien V. a écrit : Bonjour, Suite à plusieurs incidents, nous avons identifié des lenteurs provenant de notre transitaire Level 3 vers Orange/3215. Nous avons rerouté par Cogent le 3215 et avons constaté la disparition des lenteurs / débits faibles. Quelqu'un sur la liste aurait des informations qui nous permettrait de confirmer ce comportement ? Merci d'avance pour toute aide ou information ;) Fabien VINCENT ___ ___ Liste de diffusion du FRnOG http://www.frnog.org/ ___ Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] TH2 Down?
Bonjour, Nos sessions avec nos operateurs de transit et IX (pas seulement France-IX) sont down. D'autres ont le souci? SBU --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] TH2 Down?
Pour moi Neo est KO en IPv4 pas IPv6. Equinix semble OK, SFINX et reUP et francIX en difficulté. - Original Message - From: David Ponzone david.ponz...@gmail.com To: Sylvain Busson sbu12...@gmail.com Cc: frnog@frnog.org Sent: Monday, August 18, 2014 4:19 PM Subject: Re: [FRnOG] [ALERT] TH2 Down? J’ai un lien ethernet NeoTelecoms vers TH2 qui fonctionne normalement. Si coupure il y a, elle n’est pas générale. Le 18 août 2014 à 16:15, Sylvain Busson sbu12...@gmail.com a écrit : Bonjour, Nos sessions avec nos operateurs de transit et IX (pas seulement France-IX) sont down. D'autres ont le souci? SBU --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Coupure service sewan
Je pencherais plutôt pour: quiquabouché l'tuyo? SBU - Original Message - From: Alexis Lameire alexis.lame...@gmail.com To: Eric ROLLAND roll...@artefact.fr Cc: frnog@frnog.org Sent: Monday, August 18, 2014 4:29 PM Subject: Re: [FRnOG] Re: [ALERT] Coupure service sewan oups, qui a coupé le dijo ! alexis lameire Le 18 août 2014 16:27, Eric ROLLAND roll...@artefact.fr a écrit : Le 18/08/2014 16:23, David Ponzone a écrit : Ils ont allumé les serveurs Netflix ? :) On me souffle que Jean-Kevin est en stage au FranceIx;-) Cordialement, Eric ROLLAND AS42929 - RE515-RIPE *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07 Info réseau : @AS42929 https://twitter.com/AS42929 - NOC Artewan https://noc.artewan.net/ *artefact *Communication Interactive www.artefact.fr http://www.artefact.fr*artewan* Opérateur de réseaux et de services www.artewan.fr http://www.artewan.fr *arteone* Datacenter, Informatique Services IT www.arteone.fr http://www.arteone.fr --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] TH2 Down?
Yeap, c'est tout re-bon! (même FranceIX) Sauf pour LU-CIX :-P SBU - Original Message - From: Erik LE VACON e...@levacon.net To: Sylvain Busson sbu12...@gmail.com Cc: David Ponzone david.ponz...@gmail.com; frnog@frnog.org Sent: Monday, August 18, 2014 5:06 PM Subject: Re: [FRnOG] [ALERT] TH2 Down? L2 Neo (1G) vers TH2 OK IP-Transit Cogent TH2 (1G) OK Juste pour info. E. Le 2014-08-18 16:29, Sylvain Busson a écrit : Pour moi Neo est KO en IPv4 pas IPv6. Equinix semble OK, SFINX et reUP et francIX en difficulté. - Original Message - From: David Ponzone david.ponz...@gmail.com To: Sylvain Busson sbu12...@gmail.com Cc: frnog@frnog.org Sent: Monday, August 18, 2014 4:19 PM Subject: Re: [FRnOG] [ALERT] TH2 Down? J’ai un lien ethernet NeoTelecoms vers TH2 qui fonctionne normalement. Si coupure il y a, elle n’est pas générale. Le 18 août 2014 à 16:15, Sylvain Busson sbu12...@gmail.com a écrit : Bonjour, Nos sessions avec nos operateurs de transit et IX (pas seulement France-IX) sont down. D'autres ont le souci? SBU --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
- Original Message - From: Laurent CARON lca...@unix-scripts.info To: frnog@frnog.org Sent: Tuesday, August 12, 2014 6:12 PM Subject: Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX On 12/08/2014 18:02, Raphael Mazelier wrote: Personnellement j'ai eu zero soucis avec ipv6 sur srx. Quel version ? Que ce soit avec la version recommandée JTAC ou la toute dernière pas sèche (JUNOS 12.1X46-D20.5 built 2014-05-14 20:00:03 UTC) c'est pareil. Quesqui ne fonctionne(ait) pas ou mal en IPv6? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
- Original Message - From: Laurent CARON lca...@unix-scripts.info To: frnog@frnog.org Sent: Tuesday, August 12, 2014 6:34 PM Subject: Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX On 12/08/2014 18:24, Sylvain Busson wrote: Quesqui ne fonctionne(ait) pas ou mal en IPv6? VRRPv3 sur des aggregats (LACP). Même sur des interfaces ge toutes simples il faut les mettre en promisc pour que ça fonctionne Que dit le support ( Comme d'hab que tu es le seul a vouloir faire ca:-) ?) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] ipam-dns-dhcpbind
- Original Message - From: Raphaël Jacquot sxp...@sxpert.org To: frnog@frnog.org Sent: Thursday, August 07, 2014 10:01 AM Subject: Re: [FRnOG] [TECH] ipam-dns-dhcpbind On 07.08.2014 07:52, Jerome Lien wrote: à EfficientIP àflexible ? A-t-on accès aux sources ? Bonjour, Réponse d'une collègue qui à vendu/développée/formée etc … sur le produit: Efficient IP est flexible mais on ne peut pas faire grand chose, faut payer pour avoir des modifications un peu spécifiques non prévues depuis l'interface graphique. On a accès aux sources si on se connecte sur la machine mais on ne peut pas les modifier sous peine de ne plus avoir de support ou de casser quelque chose C'est du PHP et la base était en postgresql, ils l'ont peut-être changée pour du mysql depuis. SBU --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] coupure voltaire
Bonjour, Quelle genre de coupure? Alim, résal? SBU - Original Message - From: Xavier Lemaire xav...@zelites.org To: frnog@FRnOG.org frnog@frnog.org Sent: Monday, July 07, 2014 5:44 PM Subject: [FRnOG] [tech] coupure voltaire Bonjour, Je viens de voir ds coupure chez TH2 à voltaire? Des infos ? durée 5 minutes tout est up pour nous -- Xavier Lemaire Fax 33 244 84 05 15 TEL FR 33 2 22 06 41 02 GSM Morocco 212 6 58 30 01 81 xav...@zelites.org --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Nouvelle faille openssl
Et n'oublié pas les Secure Acces game SA en CO... largement deployés... SBU - Original Message - From: Stephane Bortzmeyer bortzme...@nic.fr To: Arthur Fernandez - Liazo arthur.fernan...@liazo.fr Cc: frnog-al...@frnog.org Sent: Tuesday, April 08, 2014 9:56 PM Subject: [FRnOG] Re: [ALERT] Nouvelle faille openssl On Tue, Apr 08, 2014 at 12:12:53AM +0200, Arthur Fernandez - Liazo arthur.fernan...@liazo.fr wrote a message of 20 lines which said: il semblerait qu'une faille inquiétante vient d'être découverte dans openssl... Et n'oubliez pas que vos routeurs Juniper ont OpenSSL... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] [Clim] Ce qui s'est vraiment passé à TH2
Bonjour, Pas besoin d'aller si loin, à Telehouse Londres(Docklands) ils fouillent dans ta valise, ils te font sortir tes pesli pour peu que tu y soit pour plusieurs jours, si t'es pas d'accord tu rentres pas. N'y a-t-il pas une histoire de législation la dessous qqun sait si demander à ouvrir un sac c'est légale en France pour un datacenter. Ou même le scanner comme dans les ambassades. Je dis bien demander à se faire ouvrir le sac pas ouvrir soit même? Comme l'histoire des empreintes digitale, tout le monde ne peux pas faire ce qu'il veut avec, en tout cas en France. J'imaginer que certain ont déjà dû travailler sur la question :-) SBU Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Raphael Maunier Envoyé : lundi 7 avril 2014 14:56 À : Jérôme Nicolle Cc : frnog@frnog.org Objet : Re: [FRnOG] [TECH] [Clim] Ce qui s'est vraiment passé à TH2 Je ne parle pas de TH2 en particulier, mais de lensemble des datacenters. Tu peux rentrer facilement avec nimporte quoi dans ton sac sans être inquiété. Sur le datacenter de Terremark Miami ( NOTA, maintenant Verizon ), tu as un scan des sacs ( comme si tu allais prendre lavion ) avec un portique de sécurité. Tu as aussi la detection dexplosifs ou autres substances non autorisés en dc ( du moins quand jy suis allé cétait en place ) Le soucis, cest que en France on est tellement super bien organisé pour rentrer dans les datas que mettre ça en place, ça va juste rallonger de 40 minutes ton inter. Cependant au 111, 8th sur NY tu fais ce que tu veux, tu peux meme limite y faire un bbq sans que les mecs te voient :) Je nai pas dit quon était à la dernière place, je dis juste quil faudrait que les datacenters rajoutent un niveau de sécurité supplémentaires tout en formant le personnel daccueil pour fluidifier tout ça. Raphael On 07 Apr 2014, at 14:46, Jérôme Nicolle jer...@ceriz.fr wrote: Le 05/04/2014 12:13, Raphael Maunier a écrit : Par contre la partie sur la menace terroriste reste entière et pour le coup , il a raison de sinterroger sur ce point. Heuu... Tu préfères qu'on aie un périmètre de sécurité autour du centre névralgique d'Internet en France, avec fouille rectale au checkpoint ? Non parce que le fond du problème reste le manque de redondance de _certains_ réseaux, et probablement pas les plus critiques. Soit faute de moyens, soit par pure inconscience. Je reste curieux de voir ce qu'il se passera le jour ou TH2 tombera sans crier gare, mais je doute qu'on en entende parler au delà de la rubrique chiens écrasés et du FRnOG pour autant. Sauf peut être si les services publics clefs (SDIS, prefs...) n'ont pas réalisé à quel point ils se font arnaquer par leurs RIPs d'ici là... -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
A priori c'est a peu pres les memes que ceux qui gerent l'IXP. Si tu n'a pas confiance en eux ca a l'air un peu plus complique (800 PNI ca doit changer les idees). Bonjour, je copie colle : C'est ton point de vu, tu ne connais pas mon activité et mes obligation politico technico cliento etc ...et les 15 années de ces même paramètres de peering derrières. SBU - Original Message - From: Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net To: Sylvain Busson sbu12...@gmail.com Cc: frnog@frnog.org Sent: Thursday, March 06, 2014 2:36 PM Subject: Re: [FRnOG] [TECH] Gamme Juniper ? On Wed, Mar 5, 2014, at 17:20, Sylvain Busson wrote: Je ne peux et ne doit pas faire confiance à un poigné de gars qui opère les routes serveur. (Je n’ai rien personnellement contre eux) A priori c'est a peu pres les memes que ceux qui gerent l'IXP. Si tu n'a pas confiance en eux ca a l'air un peu plus complique (800 PNI ca doit changer les idees). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
Bonjour, Mes 5 centimes sur le MX80 : Nous avions un MX80 avec 800 peering V6 V4 et 4 transits V6 V4 et moins de 150Mb/s de trafic, il fallait plus d'1h30 pour que le routeur arrive à annoncer nos préfixes V4 pas de souci pour V6. Donc presque 2 h lors d'un upgrade? La perte de perf est exponentiel et pas proportionnel, plus tu rajoutes de peering avec au moins une route apprise, plus c'est lent. Apres des mois d'upgrade d'OS et de modif de confs (sans effet), on est arrivé à 45 minutes le vent dans le dos, puis on à acheté un Mx240 2x1800Mhz... 14 minutes de non dispo (boot compris...pour ceux qui connaisse le 240...). Moins de 5 minutes pour un clear simple de toutes les sessions BGP. On a dû faire des POC MX80 vs MX240 avec notre fournisseur pour arriver à cette conclusion. On avait regardé Cisco à l'époque et pour nos besoins ils n'avaient pas mieux, en tous cas rapport perf/prix. Une subtilité c'est que Juniper était cachotier sur ces abaques précis, contrairement à Cisco qui nous a directement dit c'est au minimum 250k€ pour faire ça. Si j'avais eu ce genre de mail à l'époque je n'aurrais pas perdu autant de temps. SBU - Original Message - From: noruja...@gmail.com To: frnog@frnog.org Sent: Tuesday, March 04, 2014 11:01 PM Subject: Re: [FRnOG] [TECH] Gamme Juniper ? Salut Pour ma part, j'ai eu le choix il y a peu de temps entre le MX80 et Cisco. Finalement j'ai opté pour l'ASR9000 de Cisco, aussi puissant que le MX80, mais bien moins cher. Noru Le 04/03/2014 22:06, Pierre-Yves Maunier a écrit : La gamme MX5-MX80 de Juniper est vraiment pas mal, j'en avait chez Neo, puis chez Iguane et j'en ai quelques uns chez Daily et correspond tout à fait à la gamme ASR100x. Ca fait le job, le seul inconvénient c'est le PowerPC asthmatique qui lui sert de CPU qui fait que la descente de la full view en RIB puis en FIB n'est pas des plus rapide. Ca s'améliore un peu sur le MX104 de ce qu'on m'a dit (j'ai pas testé) mais peut mieux faire. Mais une fois que c'est dedans ça marche très bien. Les RE du MX104 c'est toujours du PowerPC et j'espère que Juniper prévoit une version Intel de ces RE ou bien un futur Junos plus adapté aux configs PowerPC. Cependant si tu veux faire du subscriber management, passe ton chemin :-) Le 2 mars 2014 12:21, Bouzemarene, Farid (ATS) farid.bouzemar...@avnet.coma écrit : Effectivement le MX80 voir 104 ( support de 2 RE ) semble indique Et le srx branch est un equivalent des isr G2 et n'est pas uniquement un firewall puisqu on peut aussi l'utiliser bien que déconseiller pour ce besoin : srx550 est a 11k en prix liste et le ticket d'entrée pour un MX80 ( en verssion 5G et ports 10g desactive ) c'est 30K. La limite raisonnable est de 3 ou 4 peer sur srx ... - Message d'origine - De : Olivier CALVANO [mailto:o.calv...@gmail.com] Envoyé : Sunday, March 02, 2014 11:41 AM W. Europe Standard Time À : frnog-t...@frnog.org frnog-t...@frnog.org Objet : [FRnOG] [TECH] Gamme Juniper ? Bonjour, J'ai un peu de mal a comprendre les gammes de routeur chez Juniper. M Series, ACS, SRX etc .. ;=) Quelqu'un sait qu'elle est l'equivalent du Cisco ASR100x ? Mon objectifs est de comparer un routeur qui serait connecté a mes 2 routes serveurs (2x la full table IPv4/IPv6) et qui fournirait a ~10 sessions BGP client la full table (~400 mbits de flux) Merci d'avance pour vos conseils Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
Bonjour, C'est ton point de vu, tu ne connais pas mon activité et mes obligation politico technico cliento etc ...et les 15 années de ces même paramètres de peering derrières. Ce qu'on me demande c'est de peerer avec tout le monde sans aucune restriction. Je suis même payé pour ca. :-) Et je suis bien conscient que pour certain comme toi apparemment , cela peut paraitre, de loin, bizarre d'acheter un bazooka pour tirer sur une mouche. SBU - Original Message - From: Pierre-Yves Maunier To: Sylvain Busson Cc: frnog@frnog.org Sent: Wednesday, March 05, 2014 2:24 PM Subject: Re: [FRnOG] [TECH] Gamme Juniper ? 800 sessions BGP pour 150 Mbits/sec de traf ? Soit une moyenne de 187.5 kbits/sec par peer BGP ? Le problème est dans la politique de peering plus que dans le CPU là je pense. Après peu importe le CPU être un peering slut ça a des désavantages. Mon précédent employeur et mon actuel sont open peering policy c'est pas pour autant que je peere avec tout le monde. Si le niveau de trafic est représentatif, je monte une session, sinon la personne peut toujours avoir mes routes via les route serveurs. Ils sont aussi là pour faire plaisir à ton CPU. Si pour des raisons autres que trafic il y a un intérêt à monter une session (un root DNS, un truc de stats, le mec veut pouvoir m'envoyer des MEDs pour lequel il y a un intérêt) je re-considère la chose, mais monter une session BGP pour 0.01kb/sec de trafic, même en étant open peering policy, je trouve ça inutile (et pourtant j'ai aujourd'hui des routeurs qui ont aucun pb de CPU, MX480 avec des RE-S-1800X4) Le 5 mars 2014 13:16, Sylvain Busson sbu12...@gmail.com a écrit : Bonjour, Mes 5 centimes sur le MX80 : Nous avions un MX80 avec 800 peering V6 V4 et 4 transits V6 V4 et moins de 150Mb/s de trafic, il fallait plus d'1h30 pour que le routeur arrive à annoncer nos préfixes V4 pas de souci pour V6. Donc presque 2 h lors d'un upgrade? La perte de perf est exponentiel et pas proportionnel, plus tu rajoutes de peering avec au moins une route apprise, plus c'est lent. Apres des mois d'upgrade d'OS et de modif de confs (sans effet), on est arrivé à 45 minutes le vent dans le dos, puis on à acheté un Mx240 2x1800Mhz... 14 minutes de non dispo (boot compris...pour ceux qui connaisse le 240...). Moins de 5 minutes pour un clear simple de toutes les sessions BGP. On a dû faire des POC MX80 vs MX240 avec notre fournisseur pour arriver à cette conclusion. On avait regardé Cisco à l'époque et pour nos besoins ils n'avaient pas mieux, en tous cas rapport perf/prix. Une subtilité c'est que Juniper était cachotier sur ces abaques précis, contrairement à Cisco qui nous a directement dit c'est au minimum 250k€ pour faire ça. Si j'avais eu ce genre de mail à l'époque je n'aurrais pas perdu autant de temps. SBU - Original Message - From: noruja...@gmail.com To: frnog@frnog.org Sent: Tuesday, March 04, 2014 11:01 PM Subject: Re: [FRnOG] [TECH] Gamme Juniper ? Salut Pour ma part, j'ai eu le choix il y a peu de temps entre le MX80 et Cisco. Finalement j'ai opté pour l'ASR9000 de Cisco, aussi puissant que le MX80, mais bien moins cher. Noru Le 04/03/2014 22:06, Pierre-Yves Maunier a écrit : La gamme MX5-MX80 de Juniper est vraiment pas mal, j'en avait chez Neo, puis chez Iguane et j'en ai quelques uns chez Daily et correspond tout à fait à la gamme ASR100x. Ca fait le job, le seul inconvénient c'est le PowerPC asthmatique qui lui sert de CPU qui fait que la descente de la full view en RIB puis en FIB n'est pas des plus rapide. Ca s'améliore un peu sur le MX104 de ce qu'on m'a dit (j'ai pas testé) mais peut mieux faire. Mais une fois que c'est dedans ça marche très bien. Les RE du MX104 c'est toujours du PowerPC et j'espère que Juniper prévoit une version Intel de ces RE ou bien un futur Junos plus adapté aux configs PowerPC. Cependant si tu veux faire du subscriber management, passe ton chemin :-) Le 2 mars 2014 12:21, Bouzemarene, Farid (ATS) farid.bouzemar...@avnet.coma écrit : Effectivement le MX80 voir 104 ( support de 2 RE ) semble indique Et le srx branch est un equivalent des isr G2 et n'est pas uniquement un firewall puisqu on peut aussi l'utiliser bien que déconseiller pour ce besoin : srx550 est a 11k en prix liste et le ticket d'entrée pour un MX80 ( en verssion 5G et ports 10g desactive ) c'est 30K. La limite raisonnable est de 3 ou 4 peer sur srx ... - Message d'origine - De : Olivier CALVANO [mailto:o.calv...@gmail.com] Envoyé : Sunday, March 02, 2014 11:41 AM W. Europe Standard Time À : frnog-t...@frnog.org frnog-t...@frnog.org Objet : [FRnOG] [TECH] Gamme
Re: [FRnOG] [TECH] Gamme Juniper ?
Merci Xavier - Original Message - From: Xavier Beaudouin k...@oav.net To: frnog@frnog.org Sent: Wednesday, March 05, 2014 4:04 PM Subject: Re: [FRnOG] [TECH] Gamme Juniper ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
Bonjour, En tous cas je rejoins M. Strina qui disait dans un précédent thread que c'est dommage de devoir trier des égaux plutôt que des infos. SBU - Original Message - From: Pierre-Yves Maunier pymaunier+li...@gmail.com To: Xavier Beaudouin k...@oav.net Cc: frnog@frnog.org Sent: Wednesday, March 05, 2014 4:26 PM Subject: Re: [FRnOG] [TECH] Gamme Juniper ? Le 5 mars 2014 16:04, Xavier Beaudouin k...@oav.net a écrit : Salut Pierre-Yves, Salut Xavier, Le 5 mars 2014 à 14:24, Pierre-Yves Maunier pymaunier+li...@gmail.com a écrit : 800 sessions BGP pour 150 Mbits/sec de traf ? Et donc ? il fait ce qu'il veux avec ses équipements non ? Il fait ce qu'il veut c'est son pognon et son activité mais je me pose des questions hormis cas particuliers (ce qui semble être son cas), en général les sessions BGP je les monte pour ne pas dépendre d'un route serveur pour du trafic important pour moi (que ce soit 1 kbps ou 10Gbps). Si son trafic important ce n'est que des petites sessions c'est juste du coup chiant à gérer. Après peu importe le CPU être un peering slut ça a des désavantages. Oui et non ca dépends des services qu'on propose. Si on propose un service critique (hint cherches dans peeringdb), et bien c'est pas du peering pour de la DB mais du peering pour de la résilience d'un service assez critique pour pas mal de monde... Il y a quand meme des désavantages à monter x centaines de sessions : hormis le CPU que ça bouffe et donc convergence à tout remonter en cas de pépin, c'est de la configuration à maintenir, à monitorer etc). Mon précédent employeur et mon actuel sont open peering policy c'est pas pour autant que je peere avec tout le monde. Si le niveau de trafic est représentatif, je monte une session, sinon la personne peut toujours avoir mes routes via les route serveurs. Ils sont aussi là pour faire plaisir à ton CPU. Des fois le traffic n'est pas tout. Tu as des machins qui sont utilisés par mr et mme michu qui s'en rendent pas comptent quand il vont sur youtube/porn / google/ dailymotion etc... qui sont à la base de ce que tu mets dans ton brouteur en haut... Si ces gens font qu'un peering avec juste un gars qui fait du traffic (par ex...) et bien suffit que ce gars se banane pour 90% des requêtes prennent trop de temps... et terminent en timeout. Tout le monde ici n'as pas le même modèle économique c'est a dire envoyer de Gbps et se foutre de la latence. Bah on est d'accord, le trafic ne fait pas tout (voir plus haut et même voir mon mail initial). S'il y a des besoins spécifiques autres que le trafic une session directe peut toujours être montée. Après ne pas monter des sessions ne veut pas dire ne pas s'échanger des routes. Les routes serveurs sont là pour ça du coup je ne comprend pas l'objet de ton paragraphe. Monter une session directe ou passer par un route serveur ça revient dans 95% des cas au même. Dans un des deux cas tu fais confiance a un tiers pour recevoir les routes mais dans ta RIB et dans ta FIB le next-hop est le même. Juste tu soulages ton CPU. Quant à ton commentaire sur le modèle économique sur envoyer du Gbps et se foutre de la latence je ne comprends pas non plus, en tout cas ce modèle n'est pas le mien. Et surtout je ne vois pas le rapport avec le fait de ne pas monter de sessions directes. /Xavier Pierre-Yves --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
Mais effectivement, pour moins de 0.5-1 Mbps, les route-serveurs sont une bonne alternative. Justement pas pour moi, je ne peux/doit pas me contenter des routes serveur. Rien à voir avec le volume du trafic. Je ne peux et ne doit pas faire confiance à un poigné de gars qui opère les routes serveur. (Je n’ai rien personnellement contre eux) Si un jour on me demande de deepirer des routes serveurs pour gérer peer par peer mes échanges je suis bien dans la mouise si je n'ai aucun peering direct. SBU --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
Si tu connais un binux qui connait la commande: #Met toi à jour et reboot (et fonctionne bien après et sans coupure de service) Je prend SBU - Original Message - From: Frédéric GANDER fgan...@corp.free.fr To: Pierre-Yves Maunier pymaunier+li...@gmail.com Cc: frnog@frnog.org; Sylvain Busson sbu12...@gmail.com Sent: Wednesday, March 05, 2014 5:20 PM Subject: Re: [FRnOG] [TECH] Gamme Juniper ? un pc avec un quagga ca devrait le fait non ? ok ok je sors - Mail original - De: Pierre-Yves Maunier pymaunier+li...@gmail.com À: Sylvain Busson sbu12...@gmail.com Cc: frnog@frnog.org Envoyé: Mercredi 5 Mars 2014 14:24:25 Objet: Re: [FRnOG] [TECH] Gamme Juniper ? 800 sessions BGP pour 150 Mbits/sec de traf ? Soit une moyenne de 187.5 kbits/sec par peer BGP ? Le problème est dans la politique de peering plus que dans le CPU là je pense. Après peu importe le CPU être un peering slut ça a des désavantages. Mon précédent employeur et mon actuel sont open peering policy c'est pas pour autant que je peere avec tout le monde. Si le niveau de trafic est représentatif, je monte une session, sinon la personne peut toujours avoir mes routes via les route serveurs. Ils sont aussi là pour faire plaisir à ton CPU. Si pour des raisons autres que trafic il y a un intérêt à monter une session (un root DNS, un truc de stats, le mec veut pouvoir m'envoyer des MEDs pour lequel il y a un intérêt) je re-considère la chose, mais monter une session BGP pour 0.01kb/sec de trafic, même en étant open peering policy, je trouve ça inutile (et pourtant j'ai aujourd'hui des routeurs qui ont aucun pb de CPU, MX480 avec des RE-S-1800X4) Le 5 mars 2014 13:16, Sylvain Busson sbu12...@gmail.com a écrit : Bonjour, Mes 5 centimes sur le MX80 : Nous avions un MX80 avec 800 peering V6 V4 et 4 transits V6 V4 et moins de 150Mb/s de trafic, il fallait plus d'1h30 pour que le routeur arrive à annoncer nos préfixes V4 pas de souci pour V6. Donc presque 2 h lors d'un upgrade? La perte de perf est exponentiel et pas proportionnel, plus tu rajoutes de peering avec au moins une route apprise, plus c'est lent. Apres des mois d'upgrade d'OS et de modif de confs (sans effet), on est arrivé à 45 minutes le vent dans le dos, puis on à acheté un Mx240 2x1800Mhz... 14 minutes de non dispo (boot compris...pour ceux qui connaisse le 240...). Moins de 5 minutes pour un clear simple de toutes les sessions BGP. On a dû faire des POC MX80 vs MX240 avec notre fournisseur pour arriver à cette conclusion. On avait regardé Cisco à l'époque et pour nos besoins ils n'avaient pas mieux, en tous cas rapport perf/prix. Une subtilité c'est que Juniper était cachotier sur ces abaques précis, contrairement à Cisco qui nous a directement dit c'est au minimum 250k EURO pour faire ça. Si j'avais eu ce genre de mail à l'époque je n'aurrais pas perdu autant de temps. SBU - Original Message - From: noruja...@gmail.com To: frnog@frnog.org Sent: Tuesday, March 04, 2014 11:01 PM Subject: Re: [FRnOG] [TECH] Gamme Juniper ? Salut Pour ma part, j'ai eu le choix il y a peu de temps entre le MX80 et Cisco. Finalement j'ai opté pour l'ASR9000 de Cisco, aussi puissant que le MX80, mais bien moins cher. Noru Le 04/03/2014 22:06, Pierre-Yves Maunier a écrit : La gamme MX5-MX80 de Juniper est vraiment pas mal, j'en avait chez Neo, puis chez Iguane et j'en ai quelques uns chez Daily et correspond tout à fait à la gamme ASR100x. Ca fait le job, le seul inconvénient c'est le PowerPC asthmatique qui lui sert de CPU qui fait que la descente de la full view en RIB puis en FIB n'est pas des plus rapide. Ca s'améliore un peu sur le MX104 de ce qu'on m'a dit (j'ai pas testé) mais peut mieux faire. Mais une fois que c'est dedans ça marche très bien. Les RE du MX104 c'est toujours du PowerPC et j'espère que Juniper prévoit une version Intel de ces RE ou bien un futur Junos plus adapté aux configs PowerPC. Cependant si tu veux faire du subscriber management, passe ton chemin :-) Le 2 mars 2014 12:21, Bouzemarene, Farid (ATS) farid.bouzemar...@avnet.coma écrit : Effectivement le MX80 voir 104 ( support de 2 RE ) semble indique Et le srx branch est un equivalent des isr G2 et n'est pas uniquement un firewall puisqu on peut aussi l'utiliser bien que déconseiller pour ce besoin : srx550 est a 11k en prix liste et le ticket d'entrée pour un MX80 ( en verssion 5G et ports 10g desactive ) c'est 30K. La limite raisonnable est de 3 ou 4 peer sur srx ... - Message d'origine - De : Olivier CALVANO [mailto:o.calv...@gmail.com] Envoyé : Sunday, March 02, 2014 11:41 AM W. Europe Standard Time À : frnog-t...@frnog.org frnog-t...@frnog.org Objet : [FRnOG] [TECH] Gamme Juniper ? Bonjour, J'ai un peu de mal a comprendre les gammes de routeur chez Juniper. M Series, ACS, SRX etc .. ;=) Quelqu'un sait qu'elle est l'equivalent du Cisco ASR100x ? Mon objectifs est de
Re: [FRnOG] [TECH] Gamme Juniper ?
ios-xe ? ;) existait pas à l'époque. :-) - Original Message - From: Frédéric GANDER fgan...@corp.free.fr To: Sylvain Busson sbu12...@gmail.com Cc: frnog@frnog.org; Frédéric GANDER fgan...@corp.free.fr; Pierre-Yves Maunier pymaunier+li...@gmail.com Sent: Wednesday, March 05, 2014 5:36 PM Subject: Re: [FRnOG] [TECH] Gamme Juniper ? - Mail original - De: Sylvain Busson sbu12...@gmail.com À: Frédéric GANDER fgan...@corp.free.fr, Pierre-Yves Maunier pymaunier+li...@gmail.com Cc: frnog@frnog.org Envoyé: Mercredi 5 Mars 2014 17:26:42 Objet: Re: [FRnOG] [TECH] Gamme Juniper ? Si tu connais un binux qui connait la commande: #Met toi à jour et reboot (et fonctionne bien après et sans coupure de service) Je prend ios-xe ? ;) ca pourrais etre pire on aurai pu utiliser un qnx bon j'arrete sinon au prix du pc tu met 2 pc ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
comme le 7206 le fut en son temps le MX80 est une super boite, ça dépend de ce que l'on veut lui faire faire. + 1 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
quel est la part du bgp dans 150 mbit/s de traf avec 800 peers ? Moins de 0.01% en mode croisiere bien sur. SBU --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
Business qui t'a parlé de business on ne vend rien nous ? On est dans les 5% qu'on t'as dit :-) - Original Message - From: Pierre-Yves Maunier To: Sylvain Busson Cc: frnog@frnog.org FRnoG Sent: Wednesday, March 05, 2014 5:30 PM Subject: Re: [FRnOG] [TECH] Gamme Juniper ? Le 5 mars 2014 17:20, Sylvain Busson sbu12...@gmail.com a écrit : Mais effectivement, pour moins de 0.5-1 Mbps, les route-serveurs sont une bonne alternative. Justement pas pour moi, je ne peux/doit pas me contenter des routes serveur. Rien à voir avec le volume du trafic. Je ne peux et ne doit pas faire confiance à un poigné de gars qui opère les routes serveur. (Je n'ai rien personnellement contre eux) Si un jour on me demande de deepirer des routes serveurs pour gérer peer par peer mes échanges je suis bien dans la mouise si je n'ai aucun peering direct. SBU C'est vraiment pas top à gérer un business qui impose ce genre de contraintes du coup et pour le coup le MX80 est vraiment pas le bon choix, mais je te jette pas la pierre, je dis juste que Juniper te l'a bien vendu :-) Pierre-Yves --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Gamme Juniper ?
Comment? Trompé de liste tu t'es? NOG - Network Operator Group + tag : [TECH] SBU - Original Message - From: Guillaume Barrot To: Sylvain Busson Cc: Pierre-Yves Maunier ; frnog@FRnOG.org Sent: Wednesday, March 05, 2014 10:40 PM Subject: Re: [FRnOG] [TECH] Gamme Juniper ? Ce qu'on me demande c'est de peerer avec tout le monde sans aucune restriction. Je suis même payé pour ca. :-) Donc le use case est je bosse à la NSA ? Le 5 mars 2014 16:01, Sylvain Busson sbu12...@gmail.com a écrit : Bonjour, C'est ton point de vu, tu ne connais pas mon activité et mes obligation politico technico cliento etc ...et les 15 années de ces même paramètres de peering derrières. Ce qu'on me demande c'est de peerer avec tout le monde sans aucune restriction. Je suis même payé pour ca. :-) Et je suis bien conscient que pour certain comme toi apparemment , cela peut paraitre, de loin, bizarre d'acheter un bazooka pour tirer sur une mouche. SBU - Original Message - From: Pierre-Yves Maunier To: Sylvain Busson Cc: frnog@frnog.org Sent: Wednesday, March 05, 2014 2:24 PM Subject: Re: [FRnOG] [TECH] Gamme Juniper ? 800 sessions BGP pour 150 Mbits/sec de traf ? Soit une moyenne de 187.5 kbits/sec par peer BGP ? Le problème est dans la politique de peering plus que dans le CPU là je pense. Après peu importe le CPU être un peering slut ça a des désavantages. Mon précédent employeur et mon actuel sont open peering policy c'est pas pour autant que je peere avec tout le monde. Si le niveau de trafic est représentatif, je monte une session, sinon la personne peut toujours avoir mes routes via les route serveurs. Ils sont aussi là pour faire plaisir à ton CPU. Si pour des raisons autres que trafic il y a un intérêt à monter une session (un root DNS, un truc de stats, le mec veut pouvoir m'envoyer des MEDs pour lequel il y a un intérêt) je re-considère la chose, mais monter une session BGP pour 0.01kb/sec de trafic, même en étant open peering policy, je trouve ça inutile (et pourtant j'ai aujourd'hui des routeurs qui ont aucun pb de CPU, MX480 avec des RE-S-1800X4) Le 5 mars 2014 13:16, Sylvain Busson sbu12...@gmail.com a écrit : Bonjour, Mes 5 centimes sur le MX80 : Nous avions un MX80 avec 800 peering V6 V4 et 4 transits V6 V4 et moins de 150Mb/s de trafic, il fallait plus d'1h30 pour que le routeur arrive à annoncer nos préfixes V4 pas de souci pour V6. Donc presque 2 h lors d'un upgrade? La perte de perf est exponentiel et pas proportionnel, plus tu rajoutes de peering avec au moins une route apprise, plus c'est lent. Apres des mois d'upgrade d'OS et de modif de confs (sans effet), on est arrivé à 45 minutes le vent dans le dos, puis on à acheté un Mx240 2x1800Mhz... 14 minutes de non dispo (boot compris...pour ceux qui connaisse le 240...). Moins de 5 minutes pour un clear simple de toutes les sessions BGP. On a dû faire des POC MX80 vs MX240 avec notre fournisseur pour arriver à cette conclusion. On avait regardé Cisco à l'époque et pour nos besoins ils n'avaient pas mieux, en tous cas rapport perf/prix. Une subtilité c'est que Juniper était cachotier sur ces abaques précis, contrairement à Cisco qui nous a directement dit c'est au minimum 250k€ pour faire ça. Si j'avais eu ce genre de mail à l'époque je n'aurrais pas perdu autant de temps. SBU - Original Message - From: noruja...@gmail.com To: frnog@frnog.org Sent: Tuesday, March 04, 2014 11:01 PM Subject: Re: [FRnOG] [TECH] Gamme Juniper ? Salut Pour ma part, j'ai eu le choix il y a peu de temps entre le MX80 et Cisco. Finalement j'ai opté pour l'ASR9000 de Cisco, aussi puissant que le MX80, mais bien moins cher. Noru Le 04/03/2014 22:06, Pierre-Yves Maunier a écrit : La gamme MX5-MX80 de Juniper est vraiment pas mal, j'en avait chez Neo, puis chez Iguane et j'en ai quelques uns chez Daily et correspond tout à fait à la gamme ASR100x. Ca fait le job, le seul inconvénient c'est le PowerPC asthmatique qui lui sert de CPU qui fait que la descente de la full view en RIB puis en FIB n'est pas des plus rapide. Ca s'améliore un peu sur le MX104 de ce qu'on m'a dit (j'ai pas testé) mais peut mieux faire. Mais une fois que c'est dedans ça marche très bien. Les RE du MX104 c'est toujours du PowerPC et j'espère que Juniper prévoit une version Intel de ces RE ou bien un futur Junos plus adapté aux configs PowerPC. Cependant si tu veux faire du subscriber management, passe ton chemin :-) Le 2 mars 2014 12:21, Bouzemarene, Farid (ATS) farid.bouzemar...@avnet.coma écrit
Re: [FRnOG] [TECH] Un exemple d'attaque NTP par réflexion
Bonjour, snmp est rarement un service ouvert sur tout Internet par défaut... Sur les boites en général le service ne démarre pas en écoute pour toute la planète par défaut (en tous cas pour ceux que je connais, il y a direct une ACL à appliquer pour les clients) contrairement au ntp (sous Juniper notamment, mais pas qu'eux). Les sysAdmin ou netAdmin sont plus parano sur les risques liés à la confidentialité des infos que peut sortir un snmpwalk plutôt que l'info que donne un serveur NTP. Enfin de mon point de vu J A mon avis il y aura bien moins de relayeur inopiné, de par l'utilisation du snmp. SBU - Original Message - From: Adrien Pestel To: Sylvain Busson Cc: frnog-t...@frnog.org Sent: Thursday, February 27, 2014 11:49 PM Subject: Re: [FRnOG] [TECH] Un exemple d'attaque NTP par réflexion Bonsoir, Je suis vraiment inquiet avec les futurs attaques par amplification snmp... On parle de ratio x250 :( Adrien Le 27 février 2014 17:18, Sylvain Busson sbu12...@gmail.com a écrit : Bonjour, Une petite étude de cas concrète et fraiche, qui pourrait vous intéresser, aujourd'hui ou bientôt :-) : http://www.bortzmeyer.org/attaque-ntp-en-vrai.html SBU --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Un exemple d'attaque NTP par réflexion
Bonjour, Une petite étude de cas concrète et fraiche, qui pourrait vous intéresser, aujourd'hui ou bientôt :-) : http://www.bortzmeyer.org/attaque-ntp-en-vrai.html SBU --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Feedback sur des switches L3
Bonjour, Si tu n'as pas peur de la cli srx (branch) y a plein de port par defaut. Et à part l'IPSEC 6inx je ne vois pas bien ce qu'il ne sais pas faire. SBU Le 08/10/2013 14:46, Guillaume Fort a écrit : Salut à tous, J'étudie les possibilités d'achat d'une belle boite magique multi-fonction qui ferait routeur / switch / FW , entre autre pour avoir un peer solide en prévision d'une ou plusieurs intercos L2L avec différent(s) opérateur(s) télécom (et également une refonte de notre backbone). Il est indispensable aussi de pouvoir gérer finement la QoS et il y a de fortes chances qu'on y branche un softswitch. Je me suis renseigné sur de nombreuses marques à différents tarifs (cisco et juniper évidemment, mais aussi westermo, redfox, mikrotik...), mais le budget n'aidant pas (disons 3k max) et l'erreur n'étant pas permise je me permets de venir profiter de l'expérience de chacun(e). Avez-vous déjà procédé à l'installation d'un tel routeur pour une utilisation vaguement similaire ? Si oui, puis-je connaitre la marque et l'utilisation que vous en faites ? Merci d'avance ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Feedback sur des switches L3
2/ srx mais ca tient pas dans ton budget pour un prospect je suis sur qu'on est en dessous des 3k. :-) Le 09/10/2013 18:28, michel besnard a écrit : quel est la bande passante à gérer et nombre d'utilisateurs ou interco ? les éléments qui feront la différence pour brancher ta boite magique à ton softswitch : switch - support LAG avec bonne répartition des paquets sur les différentes interfaces - support interface optique giga et10Ge routeur - routage statique et dynamique BGP, IS-IS - table de routage multiples - gestion QoS firewall / vpn gw - gestion d'IPv6 à perf identque à IPv4 - ALG FW (SIP , SIP-I ou autre trunk SIP) - filtrage statefull - vpn gw pour utilisateur finaux ou remote office ? perf - en fonction de ton modèle de traffic (à priori voix donc paquet de 150 octects max) - bande passante - nombre des sessions - latence - PPM (paquet par seconde) pour le système et par interface voir en fonction du sample rate et nombre d'utilisateur voix à 20 ms de sample rate (échantillonnage voix) : 100 pps ! à budget réduit et techniquement et dans l'ordre de préférence : 1/ Fortinet OS 5.0.x peu couteux, très petit, très puissant, conso électrique moindre : table de routage=VDOM, BGP/IS-IS, QoS, firewalling, Switching de base et plein de ports par défaut, latence très très réduite ; le modèle à choisir dépend de la bande passante 2/ srx mais ca tient pas dans ton budget 3/ pouquoi pas l'open source ? un blade center ou un serveur puissant avec http://openvswitch.org/ des VM Firewall openbsd / pf et VM de routage... à voir en fonction de ton traffic si c'est possible Cdt, Le 9 octobre 2013 13:15, Sylvain Busson bus...@nic.fr mailto:bus...@nic.fr a écrit : Bonjour, Si tu n'as pas peur de la cli srx (branch) y a plein de port par defaut. Et à part l'IPSEC 6inx je ne vois pas bien ce qu'il ne sais pas faire. SBU Le 08/10/2013 14:46, Guillaume Fort a écrit : Salut à tous, J'étudie les possibilités d'achat d'une belle boite magique multi-fonction qui ferait routeur / switch / FW , entre autre pour avoir un peer solide en prévision d'une ou plusieurs intercos L2L avec différent(s) opérateur(s) télécom (et également une refonte de notre backbone). Il est indispensable aussi de pouvoir gérer finement la QoS et il y a de fortes chances qu'on y branche un softswitch. Je me suis renseigné sur de nombreuses marques à différents tarifs (cisco et juniper évidemment, mais aussi westermo, redfox, mikrotik...), mais le budget n'aidant pas (disons 3k max) et l'erreur n'étant pas permise je me permets de venir profiter de l'expérience de chacun(e). Avez-vous déjà procédé à l'installation d'un tel routeur pour une utilisation vaguement similaire ? Si oui, puis-je connaitre la marque et l'utilisation que vous en faites ? Merci d'avance ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Feedback sur des switches L3
et entre le SRX 240 et le 550 je crois qu'il n'y rien et surtout 8k€ de diff ;-) Un 240H tu le touche a environ 2,5k€ pour le mauvais negocieure, et un 550 10K€ prix public. SBU Le 09/10/2013 18:36, michel besnard a écrit : tout dépend de la bande passante à gérer Le 9 octobre 2013 18:32, Sylvain Busson bus...@nic.fr mailto:bus...@nic.fr a écrit : 2/ srx mais ca tient pas dans ton budget pour un prospect je suis sur qu'on est en dessous des 3k. :-) Le 09/10/2013 18:28, michel besnard a écrit : quel est la bande passante à gérer et nombre d'utilisateurs ou interco ? les éléments qui feront la différence pour brancher ta boite magique à ton softswitch : switch - support LAG avec bonne répartition des paquets sur les différentes interfaces - support interface optique giga et10Ge routeur - routage statique et dynamique BGP, IS-IS - table de routage multiples - gestion QoS firewall / vpn gw - gestion d'IPv6 à perf identque à IPv4 - ALG FW (SIP , SIP-I ou autre trunk SIP) - filtrage statefull - vpn gw pour utilisateur finaux ou remote office ? perf - en fonction de ton modèle de traffic (à priori voix donc paquet de 150 octects max) - bande passante - nombre des sessions - latence - PPM (paquet par seconde) pour le système et par interface voir en fonction du sample rate et nombre d'utilisateur voix à 20 ms de sample rate (échantillonnage voix) : 100 pps ! à budget réduit et techniquement et dans l'ordre de préférence : 1/ Fortinet OS 5.0.x peu couteux, très petit, très puissant, conso électrique moindre : table de routage=VDOM, BGP/IS-IS, QoS, firewalling, Switching de base et plein de ports par défaut, latence très très réduite ; le modèle à choisir dépend de la bande passante 2/ srx mais ca tient pas dans ton budget 3/ pouquoi pas l'open source ? un blade center ou un serveur puissant avec http://openvswitch.org/ des VM Firewall openbsd / pf et VM de routage... à voir en fonction de ton traffic si c'est possible Cdt, Le 9 octobre 2013 13:15, Sylvain Busson bus...@nic.fr mailto:bus...@nic.fr mailto:bus...@nic.fr mailto:bus...@nic.fr a écrit : Bonjour, Si tu n'as pas peur de la cli srx (branch) y a plein de port par defaut. Et à part l'IPSEC 6inx je ne vois pas bien ce qu'il ne sais pas faire. SBU Le 08/10/2013 14:46, Guillaume Fort a écrit : Salut à tous, J'étudie les possibilités d'achat d'une belle boite magique multi-fonction qui ferait routeur / switch / FW , entre autre pour avoir un peer solide en prévision d'une ou plusieurs intercos L2L avec différent(s) opérateur(s) télécom (et également une refonte de notre backbone). Il est indispensable aussi de pouvoir gérer finement la QoS et il y a de fortes chances qu'on y branche un softswitch. Je me suis renseigné sur de nombreuses marques à différents tarifs (cisco et juniper évidemment, mais aussi westermo, redfox, mikrotik...), mais le budget n'aidant pas (disons 3k max) et l'erreur n'étant pas permise je me permets de venir profiter de l'expérience de chacun(e). Avez-vous déjà procédé à l'installation d'un tel routeur pour une utilisation vaguement similaire ? Si oui, puis-je connaitre la marque et l'utilisation que vous en faites ? Merci d'avance ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Juniper NSM
Bonjour, Mes 10c sur Junospace. Le probleme c'est que c'est toujours en court d’être prometteur... et entre le changement de nom des Applications Security design, security diector, le séquencement des upgrade du bouzin, upgrade qui prend 3 heure (réel). Sinon hormis la maintenance calamiteuse du produit lui même. C'est vrai que c'est super prometteur et en avance par rapport à la concurrence, mais le produit est loin d’être finit. Le probleme c'est que ça semble prendre le chemin de la NSM malheureusement. SBU Le 04/10/2013 10:59, Raphael Maunier a écrit : Désolé mais le cli tu n'y coupera pas vraiment avec du Juniper. Le Jweb (individuel donc ) sera avec le cli la meilleure méthode pour administrer tes Junipers ( comme l'a indiqué Raphael également ) C'est pour cela qu'à l'époque, Juniper n'avait pas gagné l'AO sécu managé au profit de Stonesoft. Maintenant, un firewall fait vraiment beaucoup plus de choses qu'il y a des années, donc le full CLI est pour les admin obsolètes :) Si pour un routeur je ne jure que par le cli, pour un FW, une gui efficace est pour moi un critère de choix. Après ce qui est bien chez Juniper, c'est le cli et sa flexibilité, après un FW avec beaucoup de règles, en cli, c'est compliqué. Un jour les mecs du cli comprendront qu'on est plus en 1998 ... ( c'est vendredi ) Bref, tu peux demander à essayer Junospace, je ne l'ai pas utilisé depuis 1 an , je pense que ça a bien évolué en tout cas à l'époque à chaque version c'était prometteur (et ça allait dans le bon sens ) Le 2013-10-04 09:54, Raphael Mazelier a écrit : Le 03/10/2013 23:40, Duga a écrit : Quels types d'équipements souhaites tu administrer ? SRX ? M Series ? EX ? Netscreen ? Pour du netscreen, j'ai envie de dire que l'interface Web embarquée se suffit à elle même. Pour les autres, la solution proposée par Juniper actuellement est JunoSpace (qui ne vaut pas l'investissement financier demandé). Les choix de techno sont encore très mauvais (A quand l'éradication de Flash et Java). Les serveurs nécessitent des ressources énormes (8 go de RAM ). Et les fonctionnalités manquent. J'avoue ne pas connaître (Est ce que cela existe) d'outils graphique alternatifs pour gérer un parc Juniper. PS : Sans lancer de débat, j'ai bien peur que Juniper et interface graphique ne fassent pas bons ménage…. Leur communication réside tout de même autour de leur CLI. Tout à fait d'accord. A noter que pour les SRX l'interface J-WEB est vaguement utilisable. C'est pas génial mais elle a moins le mérite de respecter l'arborescence de la configuration cli. Cdt, --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Probleme electrique A TH2 ?
Je confirme. SBU Le 19/09/2013 12:00, Pierre LEONARD a écrit : Il semblerait que cela vienne de retomber ? Pierre -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Sylvain Charron (LASOTEL) Envoyé : jeudi 19 septembre 2013 11:36 À : Arthur Fernandez - Liazo; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Probleme electrique A TH2 ? Impacte en zone 22 sur une seule voie. Quelques machines mono alim sans STS impactees ;-) Sylvain Arthur Fernandez - Liazoarthur.fernan...@liazo.fr a écrit : Salut, pour nous, nous n'avons pas eu d'impact en 12 et 31, mais perdu un des deux feed en 21. par contre comme d'autres, beaucoup de baies clientes en zone 22 impactées. courage pour les équipes sur place A+ -- Arthur Fernandez - Directeur / CEO Liazo - Solutions sur mesure pour opérateurs et entreprises exigeantes. Mobile:+33.6.61.66.89.54, Fixe:+33.1.82.28.82.80, Fax:+33.1.82.28.82.70. siège : 3/7 rue Albert Marquet, 75020 Paris antenne : 35 rue des jeuneurs, 75002 Paris Le 19/09/2013 11:02, Fabien Thapon a écrit : Salut, Pas d'impact au 3 ème étage en 31E (coté EST). Fabien -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Frederic Dhieux Envoyé : jeudi 19 septembre 2013 10:44 À : frnog@frnog.org Objet : Re: [FRnOG] [TECH] Probleme electrique A TH2 ? Hello, Le 9/19/13 10:30 AM, Clement Cavadore a écrit : Oui, au deuxième étage, un de mes routeurs a redémarré. Pas de redémarrage au 1er, ni au 3e (tout au moins pour mes équipements) Pas de problème au 1er de notre côté ni au 3eme. Merci d'avoir précisé l'étage/zone, parce que coupure électrique TH2 sans préciser l'étage c'est très flou vu l'indépendance de ceux ci ;) Frédéric --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Envoyé de mon téléphone Android avec K-9 Mail. Excusez la brièveté. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Problème de communication TCP/IP avec Free mobile
Bonjour, P'tete un rapport? Car nous avons le même genre de souci depuis hier soir pour accéder à certaine de nos ressource depuis 2 freebox différente mais dans la même zone géographique (78). Un souci de paquet fragmenté on dirait. SBU Le 22/08/2013 17:56, Gabriel Linder a écrit : Bonjour à tous, Nous avons des utilisateurs qui ne parviennent pas à joindre notre site web depuis un smartphone sur le réseau Free mobile. Un tcpdump sur nos load-balancers voit bien arriver les SYN (une seule connexion peut envoyer une douzaine de SYN en quelques secondes, d'ailleurs)/ACK/SYNACK puis plus rien - aucune donnée n'est échangée, et les connexions se terminent ensuite normalement ou avec un RST. À noter qu'un PC connecté via un portable Free mobile en tethering peut surfer sans problème :/ Le même portable connecté en wifi via une Freebox fonctionne également sans problème. Quelqu'un aurait il plus d'informations à ce sujet ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] 10G l3/l4 firewall
Je n'ai pas testé mais ce qui remonte souvent c'est que lorsqu’on empile l’utilisation des fonctionnalités IDS/IPS/L7 le Fortinet lâche rapidement prise. Si quelqu'un a de l'info la dessus? SBU Le 26/06/2013 15:15, Romain GUICHARD a écrit : Sur une batterie de tests de plusieurs éditeurs il y a quelques jours, Fortinet s'en est le mieux sorti notamment sur la détection AV (quasi 100%) et IDS/IPS. PaloAlto et Stonesoft suivaient derrière. En L3/L4, j'ai pas retenu les perfs mais tout le monde s'en sortait bien à gamme égale. Les ingés CheckPoint avaient apparemment utilisé une nouvelle version du firmware et le firewall est devenu une vraie passoire... Le 26 juin 2013 14:58, Adrien Pestel pestoui...@gmail.com mailto:pestoui...@gmail.com a écrit : De ce que j'ai entendu PaloAlto meilleur analyse L7 mais très cher pour les volumes importants. Pour ma part je suis fan de stonesoft :) Adrien Le 26 juin 2013 14:22, Sylvain Busson bus...@nic.fr mailto:bus...@nic.fr a écrit : Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) PaloAlto le fait super bien (le meilleure à mon avis en l7/IDS/IPS/Antivirus). Mais faut sortir les Sesterces... Et se blinder coté CNIL car les rapport sont touffu. Mais la gestion des droits et prévu pour. Le 26/06/2013 14:16, Youssef Ghorbal a écrit : Chez Fortinet, les perfs dependent des fonctionalites effectivement utilises, sachant que l'utilisation d'une certaine fonctionalite impacte uniquement les regles l'utilisant. Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste traite en ASIC, avec des perfs qu'on voit pas chez grand monde. Interessante remarque. En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic (de l'ordre du giga dans le meilleurs de cas) Je pensais initialement partir sur deux boitiers, un gros debit mais filtrage classique et l'autre bas debit mais fonctions de securite plus avancees. Avec fortigate je pourrais du coup faire tout avec le meme boitier, identifier les flux ayant besoin de fonctions de filrage avancee sans penaliser les capa de filtrage classiques des autres flux. Vous savez si d'autres constructeurs sont capables de faire la meme chose ? (Les SRX par exemple) Merci de vos retours instructifs. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Avec 2 bon vieux M7i re 850 avec une multiservice 100 pour le chiffrement. avec une encap Ethernet cross-connect. Normalement on peut monter a environ 800Mo SBU Le 11/06/2013 10:24, Rémi Laurent a écrit : Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. Si vous avez des recommendations au niveau matériel qui supporte ce genre de chose, je suis également preneur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Switch 10G pour cohabitation 10G/1G
Bonjours, Zieute du coté de chez Force10 (Dell Networking le S Series) Pour le coté budget. Sinon les 4500 Juniper fonctionne bien et sont plutôt ouvert coté SFP+ mais ce n'ai pas le même prix :-) SBU Le 07/05/2013 15:00, David BERARD a écrit : Bonjour à tous, Je suis à la recherche de switch pour évoluer progressivement vers du 10G (cohabitation 1G SFP /cuivre et 10G). C'est les premiers matériels en 10G que je dois mettre en place, je me pose quelques questions : - Les ports SFP+ sont'-ils compatibles avec des SFP (certaines spécifications le précise d'autre non) ? - Il y a t'il des compatibilités SFP+ / switch à respecter ? Je n'ai besoin que de fonctionnalité très basique (VLAN / access-list L2-L4), niveau nombre de ports il me faut au moins 4 ports 10G SFP+, 4 ports SFP et 2 ports cuivre. Je suis habitué à SMC mais ils n'ont pas de référence correspondant à ce besoin. Avez-vous des conseils sur le choix de ces matériels ? J'ai une référence chez DLINK (DGS-3420-28TC) qui semble correspondre mes besoins (et au budget), peut-être avez-vous des retours d'expérience sur cette marque pour des équipements 10G ? D'avance merci pour vos retours. -- David --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] PSN-2013-01-823 Juniper
Bonjour, Quelqu’un d'entre vous a vu ce bultin juniper : PSN-2013-01-823 qui vient de tomber. Ils disent que si la RE est bien protégé en V6 V4 on risque rien. Mais sauf erreur de ma part (et heureusement) ils ne disent pas quel(s) genre de paquet il faut filter exactement. Quelqu’un à de l'info? Ou on est bon pour une tournée de JunOSupdate? SBU --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Collecteur NetFlow ?
Ce n'est sortie que sur les nouveaux codes (donc pas sec), mais ce n'est pas supporter par tous les hardware, et pour certain ce n'est pas prévu de l’être... Le 06/07/2012 09:24, Raphael MAUNIER a écrit : Dis ça à nos amis les constructeurs:) -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 On Jul 6, 2012, at 9:23 AM, Stephane Bortzmeyer wrote: On Thu, Jul 05, 2012 at 02:00:37PM +0200, Adrien Pestelpestoui...@gmail.com wrote a message of 129 lines which said: J'ai développé un collecteur Netflow v9 en C. Je vais troller un peu mais on en est à la version 10 depuis quatre ans (renommée IPFIX).http://www.bortzmeyer.org/5101.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] DLink ça vaut quoi ?
Bonjour, Je ne peux que déconseillé aujourd'hui (en tout cas le modele Ex-4200, nous en avons une quinzaine), nous avons toujours plusieurs problèmes avec, apparemment insoluble par le support Juniper depuis plus d'un an pour certains. Module 10 Ge qui ne fonctionne pas, message étrange lors de commit, plus grave, comportement étrange sur le stormcontrol etc etc... Loin d'etre sec de mon point de vu. Les seules bon commentaire que je lis viennent du revendeur France Juniper, peut crédible donc... Sylvain Le 19/03/2012 23:22, Guillaume Barrot a écrit : EX teste et pas approuve. L'OS corrompu lors d'un reboot électrique (et pas un cas isole, mais globalement un sur trois environ ...), les stacks pas stables, et autres joyeusetés ... pas encore sec la gamme, de mon point de vue. Apres faut aussi voir ce qu'il y a autour du produit (support, évolution soft, etc), et la Juniper France, autant cote routeurs y a du monde, autant cote secu / switchs, j'ai toujours ete très déçus. Maintenant c’était il y a presque 2 ans, on peut espérer que ça ait change depuis. Le 19 mars 2012 22:39, Olivier Benghozi olivier.benghozi+fr...@gmail.coma écrit : Pas convaincu par les Dlink, pour ma part... Fiabilité douteuse (le soft ou le hard d'ailleurs), CLI vraiment pas top (quand ce n'est pas qu'un clickotron), fonctions limitées... Bon, c'est vraiment pas cher. Les petits Brocade, ça fait moins de choses qu'un Cisco ou qu'un Juniper mais ça le fait convenablement, et les prix sont moins élevés que du Cisco (et ça boot en 1 minute), garanti à vie etc. Les Juniper EX, juste testé un coup, ça avait l'air pas mal du tout (mais pas d'expérience dessus), garanti à vie aussi. Les Cisco SG, connais pas vraiment, mais il me semblait que c'était grosso modo du Linksys rebrandé avec un OS CLIisé façon IOS? Olivier Le 19 mars 2012 à 17:13, William Gacquer a écrit : Et surtout, il faut mettre à jour les SG300 avant l'insertion dans un réseau contenant des switchs HP Procurve. Sinon, galère. William Gacquer Le 19 mars 2012 à 14:35, Mathieu Poussin a écrit : Hello, Je confirme les SG300 fonctionnent très bien, j'ai la version 8 ports + 2 combo SFP, c'est relativement complet, et la CLI ressemble plus ou moins a de l'IOS a quelques exceptions prêt. J'ai jamais eu la moindre indispo ou bug. Les seuls défauts je dirais que c'est l'interface web assez lente (Bon c'est pas pire que les Catalyst 2950) et le temps de boot (plusieurs minutes). Le lundi 19 mars 2012 13:55:38, Laurent Slysz a écrit : Salut, Pour rester dans les Cisco, il y a aussi la gamme Small Business 300 Series Managed Switch. http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps10898/data_sheet_c78-610061.html Le SG300-28 par exemple propose 26 ports GigaEthernet + 2 ports SFP, une CLI Cisco classique et sont fanless pour 450€ (au hasard chez Misco). On y pense pour nos bureaux :) A+ Laurent -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Guillaume Barrot Envoyé : lundi 19 mars 2012 12:52 À : Gaëtan Duchaussois Cc : frnog-m...@frnog.org Objet : Re: [FRnOG] [MISC] DLink ça vaut quoi ? Un Cisco 2960S, 48 ports giga + POE 15w sur tous les ports, ca me revient a 1200€ piece. En plus c'est stackable. A voir si le dlink / netgear est reellement rentable a ce prix la. Le 19 mars 2012 12:47, Gaëtan Duchaussois gaetan.duchauss...@laposte.net a écrit : Salut, Je dis ça sans vérifier de mémoire mais c'est du web administrable. Préfère les dgs3100 qui sont administrables en cli et avec un meilleurs fond de panier. On utilise ça par stack de deux 48 ports sur 3 étages sans soucis depuis presque deux ans Gaëtan Le 19 mars 2012 à 11:52, Guillaumeguilla...@ophane.net a écrit : Bonjour, Cette question est quelque peut hors sujet car elle ne concerne par des switchs d'opérateurs réseaux. Nous réfléchissons à refaire notre réseau interne, 3 étages de bureaux. Le câblage date de 10 ans, quelques horreurs (téléphone sur une paire du cat.5, ou câble en cat.4, passage à côté du 220V, etc) et l'absence de plan nous incite à repartir de zéro. L'idée serait d'avoir à chaque étage un sous répartiteur avec un switch 24 ports giga et de remonter vers un coeur de réseau en fibre: une jolie étoile. Remonter toutes les prises à un seul point serait compliqué à cause de l'ancienneté du bâtiment. Un de nos fournisseur nous propose des switch Dlink, par exemple le DGS-1210-24. Sur la papier ça semble faire tout ce que l'on recherche (trunk, vlan, etc, bref du basique). Cependant je n'ai jamais travaillé avec cette marque (mais principalement Cisco). D'où ma question en sujet :) Sinon quelle marque conseillerez-vous ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Des soucis avec Tata sur PA2 ?
J'ai un Mx80 en 10.4 même problème, par contre pas de souci sur des M7i en 10.3. Sylvain Le 07/11/2011 15:54, Sébastien Namèche a écrit : Le 7 nov. 2011 à 15:45, Stephane Bortzmeyer a écrit : Core dump sur les Juniper ? https://twitter.com/#!/fgabut/status/133551858768805890 Il semble qu'une annonce BGP ait crashé tous les routeurs Juniper en version 10.3 et 10.2. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: Des soucis avec Tata sur PA2 ?
en court :-) Le 07/11/2011 16:38, Martin-Zack Mekkaoui a écrit : Faut en profiter pour faire une upgrade de vos versions non ? :) Le 7 novembre 2011 16:18, Sylvain Busson bus...@nic.fr mailto:bus...@nic.fr a écrit : 10.4R1.9 Le 07/11/2011 16:17, Pierre-Yves Maunier a écrit : Le 7 novembre 2011 16:10, Sylvain Busson bus...@nic.fr mailto:bus...@nic.fr mailto:bus...@nic.fr mailto:bus...@nic.fr a écrit : J'ai un Mx80 en 10.4 même problème, par contre pas de souci sur des M7i en 10.3. Sylvain Quelle 10.4 ? Nos 10.4R7.5 n'ont pas été affectées. -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/