Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Thomas Mangin]

On 18 Jan 2012, at 05:59, Michel Py wrote:

 Michel Py a écrit :
 Je crois que j'ai saisi maintenant; tu sépares control-plane et
 forwarding-plane, tu fais ta control-plane et ta moulinette dans
 un PC avec de la RAM et c'est le switch qui fait la forwarding
 plane et qui pousse les paquets.
 
 C'est suffisamment tordu comme idée pour être intéressant :P

C'est le principe d'OpenFlow, ce n'est pas tordu.
http://en.wikipedia.org/wiki/OpenFlow
http://www.openflow.org/

 En théorie, ça peut marcher. Ceci dit, Le RR et le switch n'ont pas la même 
 IP, donc va falloir changer le next-hop des routes que tu annonces et 
 remplacer l'IP du RR par l'IP du switch, mais bon c'est pour ça que route-map 
 a été inventé.
 Au niveau codage, je ne vois pas quelle autre solution tu as que de modifier 
 un des bgpd opensource.

Sinon BIRD est le daemon BGP utilisé par les IX pour leurs route servers, donc 
le code est bien testé.

Mais c'est le genre de magouille pour lesquelles ExaBGP a reçu tant de petits 
soins récemment : regarde la dernière version pour prendre conscience de toutes 
clownerie possibles : ton code, tes magouilles.
Tu peux lire les routes (forme textuelle) reçues des peers en STDIN, faire ce 
que tu veux et diffuser le résultat au même (au d'autres peers) via STDOUT.

http://code.google.com/p/exabgp/source/browse/#hg%2Fetc%2Fexabgp%2Fprocesses

 Au niveau pratique, ça fait quand même un peu usine à gaz sur les bords. 2 
 boites, 2 fois le risque de panne, 3 fois la complexité...

Plutot, usine nucléaire en zone sismique :D

 Va falloir avoir un budget Stroh important

Il va vraiment falloir que je découvre le Stroh, il semble que j'ai toutes le 
prédispositions pour aimer :p

 J'ai plus confiance en un speaker BGP opensource que dans
 les implémentations de cisco et juniper, en tout cas pour
 des choses simples comme ça.
 
 Pas moi, surtout quand c'est un clown de mon genre qui pisse du code de porc 
 qui modifie un opensource.

C'est clairement le cas, mais on trouve les même codeurs chez Juniper/Cisco/... 
:D

 Plus tu as de next-hop *en transit*, car les routes des
 peers sont peu ou pas modifiées finalement.
 
 Oui, les routes des peers on essaie de ne pas toucher, merci pour la 
 précision.

Centraliser BGP avec des serveurs qui ne font que route reflector est un design 
assez déployé.
C'est pour cela que les operateurs poussent 
http://tools.ietf.org/html/draft-ietf-idr-bgp-multisession-06
Afin qu'un bug sur une session BGP IPv6 (par exemple) ne fassent pas tomber 
leur réseau MPLS avec SLA.

Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Emmanuel Thierry]

Bonjour,

 Tu construis ton propre DIY Juniper-like avec le control-plane (PC avec une 
 cargaison d'el-cheapo DDR) et le forwarding-plane (L3 switch avec pas trop de 
 TCAM) que tu peux acheter à pas cher et, tu utilises iBGP comme protocole de 
 transmission de la RIB.
 
 En théorie, ça peut marcher. Ceci dit, Le RR et le switch n'ont pas la même 
 IP, donc va falloir changer le next-hop des routes que tu annonces et 
 remplacer l'IP du RR par l'IP du switch, mais bon c'est pour ça que route-map 
 a été inventé.
 
 Au niveau codage, je ne vois pas quelle autre solution tu as que de modifier 
 un des bgpd opensource. A moins que tu n'aies envie de réinventer la roue, il 
 te faut au minimum une session BGP solide entre le RR et le switch, ce qui 
 implique entre autres de bien comprendre comment fonctionne la FSM BGP et 
 autres concepts importants. La solution à court terme est que ta moulinette 
 tagges les préfixes de la RIB réduite à l'intérieur de la RIB complète dans 
 le RR et d'avoir une route-map en sortie vers le switch qui n'annonce que 
 celles-là.

N'est-ce pas possible d'ajouter les routes directement sur le switch 
(j'entends, sans passer par BGP) ?
On pourrait arriver à une vraie isolation du control plane et du forwarding 
plane:
 - Le PC s'occupe de BGP, génère les routes, les charge dans le routeur
 - On désactive tout le control plane sur le switch (y compris BGP, 
contrairement à ce que tu proposes), lequel ne s'occupe *que* de routage

Question dans le même esprit: N'y a-t-il pas des moyens de charger ses propres 
routes dans les switchs Cisco, Juniper, ..., sans utiliser l'interface cli ? 
SNMP ne sait pas faire ça ?
Bref, je ne comprends pas la nécessité de maintenir une session BGP si tout 
cela est possible.

 
 Au niveau pratique, ça fait quand même un peu usine à gaz sur les bords. 2 
 boites, 2 fois le risque de panne, 3 fois la complexité... Va falloir avoir 
 un budget Stroh important pour que les gens mettent ça en prod au lieu d'une 
 prefix-list ou de quelques malheureux milliers de galacticredits pour acheter 
 une PFC3BXL toute neuve qui te donne 1 million de routes.

Pas nécessairement. Après tout dans un routeur tu as déjà cette archi: un 
système pour le control plane, un système pour le forwarding plane. C'est juste 
qu'ils le cachent et ils vendent un bouzin tout intégré. Je ne suis pas admin 
réseau, mais ce monde gagnerait peut être en flexibilité à permettre 
l'utilisation de composants de constructeurs différents ? (On prend le 
forwarding plane chez X parce qu'il est plus rapide, et le control plane chez Y 
qui a les fonctionnalités que l'on veut (par exemple, IPv6 dans la version de 
base de l'OS ! ;) ) )



 
 
 Faut avoir vraiment confiance dans le PC et dans le système
 entier; j'avais dans l'idée de recevoir le feed sur le switch,
 en le filtrant.
 
 J'ai plus confiance en un speaker BGP opensource que dans
 les implémentations de cisco et juniper, en tout cas pour
 des choses simples comme ça.
 
 Pas moi, surtout quand c'est un clown de mon genre qui pisse du code de porc 
 qui modifie un opensource.

C'est le principe de l'opensource. Ton code de porc, s'il est intéressant, il 
sera testé et débuggé (si tant est que tu aies implémenté des bugs :) ).



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Thomas Mangin]

 N'est-ce pas possible d'ajouter les routes directement sur le switch 
 (j'entends, sans passer par BGP) ?

La presentation est demain :D
http://www.uknof.org.uk/uknof21/King-SDN.pdf

Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Jérôme Nicolle]

Le 18/01/12 10:22, Emmanuel Thierry a écrit :

N'est-ce pas possible d'ajouter les routes directement sur le switch 
(j'entends, sans passer par BGP) ?


dans le cas présent, on ne se sert de BGP que pour une session et pour 
un nombre limité de routes. C'est le cas d'utilisation le plus simple 
possible de BGP, donc ça ne pose pas de problème. Si FORCES était 
implémenté sur ce genre d'équipements on aurait pu l'utiliser à la place 
mais c'est trop rare pour être considéré pour l'instant.


--
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[PILAT Bastien]

 Le seul inconvénient de ce montage, c'est qu'il n'est pas simple
 d'être transparent pour les peers. Il n'y a pas de proxy BGP
 sur les GroSwitchs, au mieux une capacité limitée de faire du
 NAPT. C'est suffisant, mais c'est moche :(

 J'ai pas percuté sur cette partie-là, èsseupliques?

 Michel.

Je pense qu'il pointe le fait qu'un setup pareil oblige à monter ses sessions 
BGP d'une manière particulière avec tes peers/transitaires, ie vers ton RR en 
multihop, avec route vers le RR nécessaire sur le border router de ton 
peer/transitaire.
C'est un des petits inconvénients en tout cas que je vois à l'idée.
Sinon, vue la taille des tables possibles sur les switches actuels, il faut 
quand même que statistiquement, le gain soit gros. On est pas dans les 20k 
routes possibles max sur des switches 10G?

Bastien Pilat


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Jérôme Nicolle]

Le 18/01/12 11:48, PILAT Bastien a écrit :

Je pense qu'il pointe le fait qu'un setup pareil oblige à monter ses sessions 
BGP d'une manière particulière avec tes peers/transitaires, ie vers ton RR en 
multihop, avec route vers le RR nécessaire sur le border router de ton 
peer/transitaire.
C'est un des petits inconvénients en tout cas que je vois à l'idée.


Dans une optique de transparence vis à vis des peers, j'ai envisagé une 
méthode très crade de NAT statique du 179/TCP de l'IP d'interco du 
switch vers le RR, sur le papier ça marche pour le v4.


Pour le v6, les subnets d'intercos sont plus souvent des /64 que des 
/126, mais je n'ai pas trouvé de feedback sur un fonctionnement à la 
fois L2 et L3 sur la plupart des switchs L3, donc je vais encore me 
gratter la tête un moment : le suport du NAPT 66 sur du vieux matos 
risque d'être problématique.



Sinon, vue la taille des tables possibles sur les switches actuels, il faut 
quand même que statistiquement, le gain soit gros. On est pas dans les 20k 
routes possibles max sur des switches 10G?


Je n'ai pas considéré les limites de matos récents vu que j'avais plus 
dans l'idée de faciliter la survie de petits réseaux fauchés que de 
faire faire des économies de bout de chandelles à quelques grosses 
infras. C'est plus les 256k routes de quelques papy-routers ou les 32 à 
128k routes de quelques switchs gigabit L3 faciles à trouver en broke 
qui m'intéresse en premier lieu.


Après tu as une notion de résolution de la table qui peut être défini 
comme parametre de l'algorithme de factorisation. C'est surtout valable 
dans le cas d'un load-balancing relativement naïf entre plusieurs 
transitaires. Tu peux vouloir tout splitter au /24 pour répartir de 
façon aussi homogène que possible, dans quel cas tu vas te retrouver 
avec quelques millions de routes, ou au contraire splitter au /8 et 
avoir une base de 200 routes à laquelle tu rajoutes les prefixes de 
peers reçus par certaines sessions, façon guirlande dans un sapin de noel.




--
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Michel Py]

 Jérôme Nicolle a écrit:
 Dans une optique de transparence vis à vis des peers, j'ai
 envisagé une méthode très crade de NAT statique du 179/TCP
 de l'IP d'interco du switch vers le RR, sur le papier ça
 marche pour le v4.

C'est plus que crade, c'est innommable. En général je suis plutôt pro-NAT, mais 
faire passer un full-feed à travers NAT pour le mouliner et réinjecter les 
routes dans le même routeur qui fait NAT, sur ce coup-là tu vas au bûcher 
direct. Est-ce que ça marche, en plus? Faudrait pas un ALG BGP pour NAT des 
fois?

 
 vu que j'avais plus dans l'idée de faciliter la survie de petits
 réseaux fauchés que de faire faire des économies de bout de
 chandelles à quelques grosses infras. C'est plus les 256k routes
 de quelques papy-routers ou les 32 à 128k routes de quelques
 switchs gigabit L3 faciles à trouver en broke qui m'intéresse
 en premier lieu.

J'avais bien saisi cette part-là, je suis d'accord.

 Après tu as une notion de résolution de la table qui peut être
 défini comme parametre de l'algorithme de factorisation. C'est
 surtout valable dans le cas d'un load-balancing relativement
 naïf entre plusieurs transitaires. Tu peux vouloir tout splitter
 au /24 pour répartir de façon aussi homogène que possible, dans
 quel cas tu vas te retrouver avec quelques millions de routes,
 ou au contraire splitter au /8 et avoir une base de 200 routes
 à laquelle tu rajoutes les prefixes de peers reçus par certaines
 sessions, façon guirlande dans un sapin de noel.

Gardes tes yeux sur le ballon, et attention à ne pas succomber au syndrome IETF 
et à créer une usine à gaz simplement parce que c'est possible. Revenons à 
l'objectif: la survie du routeur de papy dans un petit réseau.

Explique moi en quoi ton système est supérieur à la prefix-list classique telle 
que décrite par Clément ou Radu. Faut au moins 1 avantage, et le trafic 
sortant est un peu moins sous-optimisé ça pèse rien comparé à la complexité, 
aux emmerdes consistant à avoir un /29 sur les liens au lieu d'un /30, ou aux 
bidouilles goret genre NAT.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Michel Py]

 Michel Py a écrit :
 Je crois que j'ai saisi maintenant; tu sépares control-plane et
 forwarding-plane, tu fais ta control-plane et ta moulinette dans
 un PC avec de la RAM et c'est le switch qui fait la forwarding
 plane et qui pousse les paquets. Donc le switch n'a même pas de
 session BGP avec les transits, c'est le PC qui lui donne
 directement la RIB réduite.

 Jérôme Nicolle a écrit:
 C'est ça, et c'est pourquoi j'étais en train de me grater la
 tête en comprenant pourquoi tu parlais de prefix-list.

C'est suffisamment tordu comme idée pour être intéressant :P

Tu construis ton propre DIY Juniper-like avec le control-plane (PC avec une 
cargaison d'el-cheapo DDR) et le forwarding-plane (L3 switch avec pas trop de 
TCAM) que tu peux acheter à pas cher et, tu utilises iBGP comme protocole de 
transmission de la RIB.

En théorie, ça peut marcher. Ceci dit, Le RR et le switch n'ont pas la même IP, 
donc va falloir changer le next-hop des routes que tu annonces et remplacer 
l'IP du RR par l'IP du switch, mais bon c'est pour ça que route-map a été 
inventé.
 
Au niveau codage, je ne vois pas quelle autre solution tu as que de modifier un 
des bgpd opensource. A moins que tu n'aies envie de réinventer la roue, il te 
faut au minimum une session BGP solide entre le RR et le switch, ce qui 
implique entre autres de bien comprendre comment fonctionne la FSM BGP et 
autres concepts importants. La solution à court terme est que ta moulinette 
tagges les préfixes de la RIB réduite à l'intérieur de la RIB complète dans le 
RR et d'avoir une route-map en sortie vers le switch qui n'annonce que 
celles-là.

Au niveau pratique, ça fait quand même un peu usine à gaz sur les bords. 2 
boites, 2 fois le risque de panne, 3 fois la complexité... Va falloir avoir un 
budget Stroh important pour que les gens mettent ça en prod au lieu d'une 
prefix-list ou de quelques malheureux milliers de galacticredits pour acheter 
une PFC3BXL toute neuve qui te donne 1 million de routes.
http://www.router-switch.com/ws-f6k-pfc3bxl=-p-2085.html
La vérité dans la pub: c'est une config que je n'ai pas encore faite, 
d'ailleurs. Est-ce que quelqu'un ici a déjà remplacé une PFC3B par une PFC3BXL 
sur un SUP720? En théorie c'est field-upgradable.


 Faut avoir vraiment confiance dans le PC et dans le système
 entier; j'avais dans l'idée de recevoir le feed sur le switch,
 en le filtrant.

 J'ai plus confiance en un speaker BGP opensource que dans
 les implémentations de cisco et juniper, en tout cas pour
 des choses simples comme ça.

Pas moi, surtout quand c'est un clown de mon genre qui pisse du code de porc 
qui modifie un opensource.


 Pour du MPLS ou du LISP, ils sont surement plus avancés.

Pour ce que tu veux faire ça n'a pas vraiment d'importance. Même si ton transit 
est MPLS, c'est transparent pour toi.

 Quand au PC, qu'il soit dans le route-processour ou dans le rack
 d'à coté, c'est bien la même chose, non ?

Oui, surtout avec une carte réseau dédiée à ça.


 Bertrand Yvain a écrit:
 J'imagine que le gain dépend largement du nombre
 de peers eBGP (de next-hops en fait).

 En partie seulement; c'est clair que plus tu as de
 next-hops moins de gain, ceci dit.

 Plus tu as de next-hop *en transit*, car les routes des
 peers sont peu ou pas modifiées finalement.

Oui, les routes des peers on essaie de ne pas toucher, merci pour la précision.


 Ca ne me semble pas être une bonne idée de n'avoir qu'une
 seule route par défaut. Si tu ne fais pas comme Clement
 (avoir chaque transit qui te l'annonce) il faut au moins
 avoir une ou plusieurs floating-static, AMHA.

 Pas grave, puisqu'elle est crée par le RR ;

Pas convaincu.


 La fullbogons sur un PE, bof, plutot sur un RR qui distribue
 entre tes upstream et tes PE.

 Je ne vois pas ce que ça change? Ou alors j'ai pas bien compris
 ce que tu suggères.

 Je crois que c'est plus clair maintenant, non ?

Même dans cette nouvelle lumière, le cas des fulllbogons est spécial: non 
seulement ils sont déjà complètement agrégés (aucun gain possible) mais en plus 
l'idée c'est précisément de les mettre dans les PE pour stopper la merde le 
plus rapidement possible. Les fullbogons ce sont des routes qui servent à 
envoyer le trafic vérolé dans Null0.

troll
Evidemment ça serait mieux si tout le monde (et en particulier tes FAI ET celui 
du PC zombie qui est en train de te DDOSser avec un bogon) avaient une 
route-map pour dégager les saloperies dans Null0 au lieu que ça soit toi qui le 
fasse.
/troll

 Le seul inconvénient de ce montage, c'est qu'il n'est pas simple
 d'être transparent pour les peers. Il n'y a pas de proxy BGP
 sur les GroSwitchs, au mieux une capacité limitée de faire du
 NAPT. C'est suffisant, mais c'est moche :(

J'ai pas percuté sur cette partie-là, èsseupliques?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Jérôme Nicolle]

Le 15 janvier 2012 23:33, Serge Marienon smarie...@gmail.com a écrit :
 En quoi c'est sale ???
 C'est inévitable et nécessaire.

Si tu reçoit tous les préfixes désagrégés et que tes policies les font
au final toutes passer par le même hop, non, tu n'en as pas besoin. Tu
réagrèges et tu met ton upstream en next-hop, et tu gagnes quelques
centaines de routes.

Le 15 janvier 2012 22:55, Michel Py
mic...@arneill-py.sacramento.ca.us a écrit :
 Pour le faire proprement il faut rajouter 49000 fullbogons, ça fait 56k soit 
 l'équivalent de la consommation TCAM de 112k routes IPv4.

La fullbogons sur un PE, bof, plutot sur un RR qui distribue entre tes
upstream et tes PE.

 Question pour tout le monde qui filtre les routes: qu'est ce que vous avez 
 comme routeur? Ces jours-ci pour un Cisco 7600 un SUP720-3BXL qui prend 1 
 million de routes ça ce trouve pour $25k. Juniper j'ai aucune idée des prix.

Un MX80 sort à partir de 8k€, comme un CER2024 à peu près.

 La partie qui injecte ça dans le routeur je n'ai pas ça en stock, ceci dit. 
 Il y a des gens avec du temps pour se pencher sur ce genre de chose? Ca 
 pourrait être un projet sympa.

Ben je me gratte la tête là dessus en ce moment, mais je code trop mal
pour l'implémenter, j'ai besoin d'aide.

L'idée est de construire une RIB complète puis de la factoriser sous
forme d'arbre binaire dont on colorie les branches en fonction du
next-hop. A la lecture, on reconstruit une RIB factorisée sur les
couleurs (ou next-hops) et ça correspond au strict minimum
d'informations dont le control-place a besoin pour que les décisions
de forwarding correspondent aux policies du control-plane. Fait en
soft sur un route-reflector, ça consomme que de la RAM et ça permet
(en rabottant un peu la FIB résultante si nécessaire) de se contenter
de switchs L3 en edge (avec des TCAM  200k routes). De quoi faire de
sacrés économies sur le hardware pour des petits réseaux...

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Michel Py]

 L'idée est de construire une RIB complète puis de la factoriser
 sous forme d'arbre binaire dont on colorie les branches en
 fonction du next-hop. A la lecture, on reconstruit une RIB
 factorisée sur les couleurs (ou next-hops) et ça correspond au
 strict minimum d'informations dont le control-place a besoin
 pour que les décisions de forwarding correspondent aux policies
 du control-plane.

Si je comprends ce que tu veux dire, ce n'est pas suffisant.

Ce que je comprends: à partir de la RIB complète tu construis la RIB réduite en 
enlevant les préfixes longs qui ont le même next-hop qu'un préfixe plus court 
(ou en copiant dans la RIB réduite uniquement les préfixes courts qui ont le 
même next-hop qu'un préfixe plus long).

Ce qu'il faut construire, c'est non pas la RIB de taille réduite mais la 
préfix-list d'une taille raisonnable qui permet de filtrer le full-feed. Si 
pour réduire ta RIB de 100k routes il te faut une prefix-list de 50k lignes, tu 
as perdu la bataille.

Ceci se complique encore plus quand tu as plusieurs prefix-list en utilisation 
(une par peer-group); donc dans ta FIB il faut incorporer la notion de 
catégorie de next-hop et autoriser que le même préfixe long soit filtré sur une 
catégorie de next-hop et pas sur l'autre.

Donc oui la RIB de taille réduite est l'objectif final mais, à moins que le 
processus soit incorporé dans le code BGP (qu'en disent Cisco et Juniper?), ce 
que ta moulinette doit produire c'est la configuration de filtrage du 
full-feed, avec plusieurs peer-groups, et en tenant compte de contraintes du 
genre taille de la NVRAM et autres.


 Stephane Bortzmeyer a écrit:
 L'idée me parait excellente et je ne sais pas pourquoi elle
 n'a jamais été faite.

Ce n'est pas la première fois qu'on a parle. Il y a 10 ans, quand on a commencé 
à réaliser que les tentatives de garder la table IPv6 agrégée allaient toutes 
foirer, il y a quelques personnes qui ont discuté cette idée.

 Quelqu'un a-t-il fait des simulations avec une vraie table de
 routage d'un vrai routeur pour voir combien exactement on gagnait ?

C'est vachement variable en fonction de la topologie, mais on peut espérer une 
division par 3 comme idée de base; mes chiffres sont démodés, ceci dit. Mais là 
encore on parle de gain théorique.
 

 Jérôme Nicolle a écrit:
 Sur AS197422, en simulation, je tombe à 70k routes sur le routeur
 parisien. Mais mon algo est loin d'être optimisé et je n'ai pas
 testé sur un replay pour l'instant.

Avec une préfix-list de combien de long, ou est-ce que c'est le minimum 
théorique de la RIB requise sans considération de comment tu la construis?


 Bertrand Yvain a écrit:
 J'imagine que le gain dépend largement du nombre
 de peers eBGP (de next-hops en fait).

En partie seulement; c'est clair que plus tu as de next-hops moins de gain, 
ceci dit.

 Dans le cas trivial d'un AS stub avec
 un seul upstream, tu devrais tomber à 1 route.

Seulement si tu inclus 0.0.0.0/0 dans les calculs, ce qui ne me semble pas être 
une bonne idée.


 Jérôme Nicolle a écrit:
 Le problème, c'est le cas ou on perde le next-hop
 correspondant à la route par defaut.

Ca ne me semble pas être une bonne idée de n'avoir qu'une seule route par 
défaut. Si tu ne fais pas comme Clement (avoir chaque transit qui te l'annonce) 
il faut au moins avoir une ou plusieurs floating-static, AMHA.


 La fullbogons sur un PE, bof, plutot sur un RR qui distribue
 entre tes upstream et tes PE.

Je ne vois pas ce que ça change? Ou alors j'ai pas bien compris ce que tu 
suggères.


Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Michel Py]

 Jérôme Nicolle a écrit:
 Fait en soft sur un route-reflector, ça consomme que de la RAM
 et ça permet (en rabottant un peu la FIB résultante si nécessaire)
 de se contenter de switchs L3 en edge (avec des TCAM  200k routes).

Je crois que j'ai saisi maintenant; tu sépares control-plane et 
forwarding-plane, tu fais ta control-plane et ta moulinette dans un PC avec de 
la RAM et c'est le switch qui fait la forwarding plane et qui pousse les 
paquets. Donc le switch n'a même pas de session BGP avec les transits, c'est le 
PC qui lui donne directement la RIB réduite.

Faut avoir vraiment confiance dans le PC et dans le système entier; j'avais 
dans l'idée de recevoir le feed sur le switch, en le filtrant.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Michel Py]

 Pascal Rullier a écrit:
 Friday, December 23, 2011 8:24 AM
 - Passer en ipv6 :)  ~7700 routes ipv6 vs ~38 routes ipv4

Pour le faire proprement il faut rajouter 49000 fullbogons, ça fait 56k soit 
l'équivalent de la consommation TCAM de 112k routes IPv4.


 Radu-Adrian Feurdean a écrit:
 Friday, December 23, 2011 8:52 AM
 Sinon, filtrer tous les more specifics dans quelques /8
 provider-based (4, 8, 12, 38, ...) ca elimine quand-meme
 una utre paquet de routes.

Tu as un exemple de config de çà?


 Raymond Caracatamatere a écrit:
 Friday, December 23, 2011 9:18 AM
 J'aime l'idée du more specifics car cela n'oblige pas
 l'utilisation d'une default GW

Tu pourrais expliquer en détail pourquoi? J'ai écrit le mois dernier que ça ne 
me semblait pas être une bonne idée, et je ne vois pas de solution pratique 
pour que ça marche.


Question pour tout le monde qui filtre les routes: qu'est ce que vous avez 
comme routeur? Ces jours-ci pour un Cisco 7600 un SUP720-3BXL qui prend 1 
million de routes ça ce trouve pour $25k. Juniper j'ai aucune idée des prix.


 Xavier Beaudouin a écrit:
 Dans la série boite à outil, il serait assez intéressant de créer
 une sorte de moulinette pour filtrer les gens qui ont de grosses
 allocations genre : Je suis GroTélécom j'ai un a.v.0.0/16 et je
 suis sale, alors je casse mes prefixes

http://www.cidr-report.org/as2.0/

La partie qui injecte ça dans le routeur je n'ai pas ça en stock, ceci dit. Il 
y a des gens avec du temps pour se pencher sur ce genre de chose? Ca pourrait 
être un projet sympa.

Michel.
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Serge Marienon]

 Xavier Beaudouin a écrit:
  Dans la série boite à outil, il serait assez intéressant de créer
  une sorte de moulinette pour filtrer les gens qui ont de grosses
  allocations genre : Je suis GroTélécom j'ai un a.v.0.0/16 et je
  suis sale, alors je casse mes prefixes


En quoi c'est sale ???
C'est inévitable et nécessaire.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Raymond Caracatamatere]

Merci pour vos réponses à tous.
A vrai dire, je ne comptais pas upgrader du tout pour le moment (ce n'est
pas du tout prévu).
Pour vous en dire plus, j'ai plusieurs upstream avec des full-view répartis
sur plusieurs routeurs et le nombre de routes commence donc à être trop
élevé pour ma configuration.
Si je résume vos idées :

 - filtrer les préfixes plus spécifiques.
   * Avantages : pas besoin d'utiliser de default GW, je garde mes stats
sflow
   * Inconvénients : compliqué à mettre en place et à maintenir.

 - filtrer tous les /24 (par exemple)
   * Avantages : fastoche à mettre en place
   * Inconvénients : utilisation de default GW et plus de stats sflow


Ray

Le 24 décembre 2011 07:19, Michel Py mic...@arneill-py.sacramento.ca.us a
écrit :

  Nicolas DEFFAYET a écrit:
  Si tu filtre et que ton routeur n'a plus de full table BGP, il est
  impératif que tes transitaires t'annonces 0.0.0.0/0 en BGP. En effet,
  si tu ne fais pas cela, certaines destinations seront injoignables.

 Il n'y a aucune relation entre les deux. Quand on achète du transit, une
 des choses pour lesquelles on paie est que le transitaire achemine le
 trafic sortant vers l'ensemble de l'Internet, cela n'a rien à voir avec
 revoir un full-feed BGP, ou seulement 0.0.0.0/0, ou les deux, avoir 1 ou
 plusieurs transits, et même ne pas recevoir de routes du tout et configurer
 une route par défaut statique.

 La seule exception, c'est quand on est T1 ce qui n'est pas le cas de
 Raymond.

  Radu-Adrian Feurdean a écrit:
  Des upstreams qui annoncent la full-table *ET* le 0.0.0.0/0 (en
  meme temps), je ne connais pas des masses.

 Parce que c'est bien souvent un cas de figure inutile, mais c'est quelque
 chose qui ne pose aucun problème si tu le demandes.

  Par contre,  le 0.0.0.0/0 en statique marche tout aussi bien.

 Je suis d'accord.


  D'ailleurs, je ne crois pas qu'il y ait une solution universelle
  pour reduire la table de routage, applicable a tout le monde sans
  impact. Il faut toujours trouver la bonne composition des
   solutions deja decrites.

 +1
 J'allais écrire quelque chose de similaire. Raymond, sans plus de détails
 on peut pas te dire grand-chose.


  Il faut aussi rappeler que toutes ces solutions s'addressent
  uniquement aux stub AS, qui ne vit pas de la vente de transit.
  Pour ceux qui vendent du transit : upgradez !

 Sans empiéter sur les plates-bandes du troll en court que je nourrirai
 demain, force est de constater que l'échec d'IPv6 dans le domaine du
 multihoming va finir par déboucher par une sélection par le pognon pour
 opérer dans la DFZ. Pognon pour acheter le routeur monstrueux, tu continues
 à jouer; pas de pognon, tu deviens stub AS.



  Raymond Caracatamatere a écrit:
  Le père Noël ne veut pas que j'upgrade encore...

 C'est ennuyeux, car la meilleure solution que j'avais à te proposer était
 justement de lui écrire.


  J'aime l'idée du more specifics car cela n'oblige pas
  l'utilisation d'une default GW, mais comment je peux gérer
  simplement une telle ACL sur mes équipements sans que cela
  soit une usine ?

 C'est pas tellement l'aspect usine à gaz qui me ferait peur, mais plutôt
 le temps que tu vas y perdre. Combien de mois il faut que tu délaies
 l'upgrade?

 Michel.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Thomas Mangin]

 Sans empiéter sur les plates-bandes du troll en court que je nourrirai 
 demain, force est de constater que l'échec d'IPv6 dans le domaine du 
 multihoming va finir par déboucher par une sélection par le pognon pour 
 opérer dans la DFZ. Pognon pour acheter le routeur monstrueux, tu continues 
 à jouer; pas de pognon, tu deviens stub AS.

Quel problème de multihoming ? Il y a seulement un problème de mulithoming si 
tu appliques les pratiques v4 a v6 !

IPv6 est conçu pour que les machines aient plusieurs IPs.

La solution simple pour le multi-homing est d'avoir un réseau local en IP 
site-global (je devrais dire adresse locale unique - ULA ...)  ET plusieurs 
addresses globales (une par fournisseur). 
Tu addresses tes services internes (messagerie, serveur de docuementation, etc. 
) en ULA, pour être indépendant de tes fournisseurs et tu ajoutes ensuite des 
IP globales a tes machines pour la connectivite externe.

Evidement le controle de la politique de routage n'est plus la même qu'avec du 
NAT, et il ne faut pas avoir peur de le perdre (soupir) et avoir une 
configuration de pare-feu saine.
Ceci dit, pour les gens qui VEULENT du NAT, Il n'est pas impossible de 
concevoir un mapping 1-1 entre des IP ULA et globale mais en me demandez pas la 
recette.

Le problème est que la définition de site-local a change entre les premières 
RFC et maintenant, et que beaucoup de gens pensent que le concept n'est plus 
valide.
Je vous invide a lire la RFC 4193 et pour la version plus digeste de wikipedia 
en ces temps de fetes : http://en.wikipedia.org/wiki/Unique_local_address

Cela me rappelle que je dois moi-meme relire ces deux RFC avant de poster quoi 
que ce soit de plus  :p
http://tools.ietf.org/html/rfc4864 -  Local Network Protection for IPv6
http://tools.ietf.org/html/rfc3484 - Default Address Selection for Internet 
Protocol version 6 (IPv6)

Bonne fêtes,

Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Dominique Rousseau]

Le Mon, Dec 26, 2011 at 01:30:57PM +, Thomas Mangin 
[thomas.man...@exa-networks.co.uk] a écrit:
[...]
 
 IPv6 est conçu pour que les machines aient plusieurs IPs.

Zut.
Je ne savais pas qu'on ne pouvait avoir plusieurs ip que en IPv6, du
coup j'en mets en IPv4.

 La solution simple pour le multi-homing est d'avoir un réseau local en
 IP site-global (je devrais dire adresse locale unique - ULA ...)  ET
 plusieurs addresses globales (une par fournisseur). 
 Tu addresses tes services internes (messagerie, serveur de
 docuementation, etc. ) en ULA, pour être indépendant de tes
 fournisseurs et tu ajoutes ensuite des IP globales a tes machines pour
 la connectivite externe.

Tu ne résous, partiellement, que l'utilisation en « accès », et pas du
tout le problème du hosting, pour lequel je ne vois pas de solution
immédiate, équivalente au multihoming tel qu'il est fait en IPv4 pour
que tes services soient encore globalement accessibles quand tu perds
l'un de tes transits.

-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet  Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Thomas Mangin]

 IPv6 est conçu pour que les machines aient plusieurs IPs.
 
 Zut.
 Je ne savais pas qu'on ne pouvait avoir plusieurs ip que en IPv6, du
 coup j'en mets en IPv4.

:D

 La solution simple pour le multi-homing est d'avoir un réseau local en
 IP site-global (je devrais dire adresse locale unique - ULA ...)  ET
 plusieurs addresses globales (une par fournisseur). 
 Tu addresses tes services internes (messagerie, serveur de
 docuementation, etc. ) en ULA, pour être indépendant de tes
 fournisseurs et tu ajoutes ensuite des IP globales a tes machines pour
 la connectivite externe.
 
 Tu ne résous, partiellement, que l'utilisation en « accès », et pas du
 tout le problème du hosting, pour lequel je ne vois pas de solution
 immédiate, équivalente au multihoming tel qu'il est fait en IPv4 pour
 que tes services soient encore globalement accessibles quand tu perds
 l'un de tes transits.


Le multihoming BGP est bien sur possible en IPv6 ..
Donc je ne vois pas ce qu'IPv6 n'a pas qu'IPv4 a.

Thomas

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Aurélien Guillaume]

On 26 déc. 2011, at 16:34, Thomas Mangin thomas.man...@exa-networks.co.uk 
wrote:
 
 Le multihoming BGP est bien sur possible en IPv6 ..
 Donc je ne vois pas ce qu'IPv6 n'a pas qu'IPv4 a.
 

Une possibilité d'avoir une fragmentation de la DFZ beaucoup plus importante, 
et du coup avoir du PA only aurait pu permettre de limiter ça... Bon, il faudra 
qu' IPv6 décolle bien avant, on est d'accord. 

D'ailleurs, ça se filtre à quelle longueur, les annonces v6 ? :)

Cordialement,
-- 
Aurélien Guillaume

Envoyé depuis mon fax satellitaire


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Michel Py]

J'ai 2 autres commentaires:

1. Sur filtrer les préfixes plus spécifiques, je ne serais pas chaud à ne pas 
avoir de route par défaut. En théorie tu n'en as pas besoin, mais en théorie la 
théorie et la pratique sont identiques, alors qu'en pratique elles ne le sont 
pas.

Si ton système d'agrégation est parfait et qu'il marche en temps réel, pas de 
problème mais dès que tu dévies tu cours le risque d'une adresse inroutable.
Vérité dans la pub: je n'ai jamais fait cette méthode en prod, mais ma 
politique est que dès que tu commences à filtrer les routes que tu reçois (donc 
dès que tu n'acceptes plus le full-feed) il faut la route par défaut comme roue 
de secours.


2. Sur filtrer les /24:

Tu peux filtrer les /24 en provenance de certaines zones, par /8. Exemple: tu 
filtres les /24 qui sont dans un /8 alloué à APNIC, AfriNIC, LACNIC, ARIN ou 
LEGACY mais tu ne filtres pas les 24 qui sont dans un /8 alloué à RIPE NCC.

C'est pas parfait comme méthode (rien ne vaut un full-feed non filtré) mais ça 
te permet de garder une certaine granularité pour les préfixes Européens au 
prix de ne pas supprimer autant de routes que si tu supprimais tous les /24 
sans discrimination.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Pascal Rullier]

Le 23 décembre 2011 17:08, Raymond Caracatamatere
raymond.caracatamat...@gmail.com a écrit :
 Bonjour,

 Depuis la pénurie d'IPv4, la table BGP augmente chaque jours plus vite
 qu'avant, aujourd'hui à 38 routes les routeurs nous rappellent à
 l'ordre.
 Hormis la solution de filtrer les annoncent /24 et de poser une default gw
 vers les transitaires, avez-vous d'autres solutions ?


- faire que les routeurs supportent + de routes, = + de mémoire,
ressources hard++
- ré agréger des préfixes au lieu d'annoncer du /24 à tire larigot...
et pourquoi pas du /32 :)
- Passer en ipv6 :)  ~7700 routes ipv6 vs ~38 routes ipv4

 Merci pour votre aide et bonne fêtes.


pareillement.

Cdlt,

--
PR


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Radu-Adrian Feurdean]

On Fri, 23 Dec 2011 17:08:20 +0100, Raymond Caracatamatere
raymond.caracatamat...@gmail.com said:

 Depuis la pénurie d'IPv4, la table BGP augmente chaque jours plus vite
 qu'avant, aujourd'hui à 38 routes les routeurs nous rappellent à
 l'ordre.
 Hormis la solution de filtrer les annoncent /24 et de poser une default
 gw vers les transitaires, avez-vous d'autres solutions ?

Ce n'est pas forcement les /24 qu'il faut filtrer sauvagement.
Il y a quelque-part des listes avec les minimum allocation sizes, qui
peut etre un tres bon critere. Malhereusement, APNIC, la region avec les
pires des-aggregateurs est passe a une allocation minimal de /24
recemment.
Sinon, filtrer tous les more specifics dans quelques /8 provider-based
(4, 8, 12, 38, ...) ca elimine quand-meme una utre paquet de routes.

Sinon, changer le cam-profile peut te faire gagner encore 6-9 moins
avant upgrade.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Nicolas DEFFAYET]

On Fri, 2011-12-23 at 17:08 +0100, Raymond Caracatamatere wrote:
Bonsoir Raymond,

 Depuis la pénurie d'IPv4, la table BGP augmente chaque jours plus vite
 qu'avant, aujourd'hui à 38 routes les routeurs nous rappellent à
 l'ordre.
 Hormis la solution de filtrer les annoncent /24 et de poser une default gw
 vers les transitaires, avez-vous d'autres solutions ?

Si tu filtre et que ton routeur n'a plus de full table BGP, il est
impératif que tes transitaires t'annonces 0.0.0.0/0 en BGP. En effet, si
tu ne fais pas cela, certaines destinations seront injoignables.

Il faut garder à l'esprit qu'en filtrant, tu n'aura plus d'information
sur les AS dans les statistiques Netflow sur tes transitaires.

Tu as plusieurs possibilités de filtrage sur tes transits:


Option 1: Filtrer sur le minimum allocation size


Il ne faut pas oublier également que certains LIR annoncent leur
allocation uniquement de manière désagrégée (ex: /23) sans annoncer
l'allocation tel quel a été attribuée (ex: /19).

Inconvénients:
- Les RIR vont a terme mettre leur minimum allocation size à /24 ce qui
limitera l'efficacité de cette méthode. L'APNIC le fait depuis plus d'un
an déjà.
- Cette méthode ne permet pas de descendre en dessous de 200 000 routes
donc à oublier pour les SUP2, SUP32, SUP720(non XL),...
- prefix-list longue


Option 2: Filtrer sur /19 et accepter les prefixes critiques


Inconvénients:
- Les réseaux qui ont un bloc d'adresses IP de taille inférieur à /19
passe à la trappe. Les réseaux ne sont donc pas tous égaux car il peut y
avoir des petits réseaux très important mais qui ont uniquement un /23.
- La définition de prefixes critiques est sujet à de long débats: est-ce
uniquement les prefix des DNS root ? inclus-t-on les serveurs gérant les
CCTLD ?
- Il faut mettre en place un process pour mettre à jour la liste des
prefix critiques pour faire les choses proprement même si au pire des
cas, cela passe par la default-route.


Option 3: Accepter uniquement les prefixes critiques


Avantages:
- Tous les réseaux sont égaux, chacun est visible par une default route.

Inconvénients:
- Impossible de faire du traffic engineering et de répartir le traffic
sur différents transitaires.



Il ne faut pas oublier que pour gérer un grand nombre de routes, un
routeur n'a pas besoin uniquement de mémoire (RAM / TCAM) mais il a
besoin aussi de beaucoup de CPU pour que la convergence des routes soit
la plus rapide possible sans impacter les autres services du routeur.

Je ne connais pas beaucoup de réseaux prêt à investir dans des routeurs
haut de gamme pour supporter une full table de 1-2 millions de routes
IPv4 (en plus des 100 000 routes IPv6 quand chaque ASN annoncera son
bloc IPv6) avec un temps de convergence correct qui n'impacte pas les
autres services du routeur juste pour avoir le luxe d'avoir une full
table. De nombreux réseaux vont devoir se priver de full table pour des
raisons économiques.

La taille de la table de routage de Internet IPv4 peut être un long
débat.

-- 
Nicolas DEFFAYET


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Radu-Adrian Feurdean]

On Fri, 23 Dec 2011 21:55:23 +0100, Nicolas DEFFAYET
nicolas...@deffayet.com said:

 Si tu filtre et que ton routeur n'a plus de full table BGP, il est
 impératif que tes transitaires t'annonces 0.0.0.0/0 en BGP. En effet, si
 tu ne fais pas cela, certaines destinations seront injoignables.

Des upstreams qui annoncent la full-table *ET* le 0.0.0.0/0 (en meme
temps), je ne connais pas des masses. Par contre, le 0.0.0.0/0 en
statique marche tout aussi bien.

 - La définition de prefixes critiques est sujet à de long débats: est-ce

Chacun a ses propres prefixes critiques. Pour moi, presque moitie de mon
trafic externe va vers ~20 prefixes (pour empirer les choses, ce meme
50% de trafic va vers moins de 100 IPs).
Pour savoir ce qu'on peut filtrer (et evacuer via 0/0) il faut faire une
analyse de son trafic. 

D'ailleurs, je ne crois pas qu'il y ait une solution universelle pour
reduire la table de routage, applicable a tout le monde sans impact. Il
faut toujours trouver la bonne composition des solutions deja decrites.

Il faut aussi rappeler que toutes ces solutions s'addressent uniquement
aux stub AS, qui ne vit pas de la vente de transit. Pour ceux qui
vendent du transit : upgradez !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] augmentation table de routage BGP et gestion de celle-ci sur les routeurs

[Michel Py]

 Nicolas DEFFAYET a écrit:
 Si tu filtre et que ton routeur n'a plus de full table BGP, il est
 impératif que tes transitaires t'annonces 0.0.0.0/0 en BGP. En effet,
 si tu ne fais pas cela, certaines destinations seront injoignables.

Il n'y a aucune relation entre les deux. Quand on achète du transit, une des 
choses pour lesquelles on paie est que le transitaire achemine le trafic 
sortant vers l'ensemble de l'Internet, cela n'a rien à voir avec revoir un 
full-feed BGP, ou seulement 0.0.0.0/0, ou les deux, avoir 1 ou plusieurs 
transits, et même ne pas recevoir de routes du tout et configurer une route par 
défaut statique.

La seule exception, c'est quand on est T1 ce qui n'est pas le cas de Raymond.

 Radu-Adrian Feurdean a écrit:
 Des upstreams qui annoncent la full-table *ET* le 0.0.0.0/0 (en
 meme temps), je ne connais pas des masses.

Parce que c'est bien souvent un cas de figure inutile, mais c'est quelque chose 
qui ne pose aucun problème si tu le demandes.

 Par contre,  le 0.0.0.0/0 en statique marche tout aussi bien.

Je suis d'accord.


 D'ailleurs, je ne crois pas qu'il y ait une solution universelle
 pour reduire la table de routage, applicable a tout le monde sans
 impact. Il faut toujours trouver la bonne composition des
  solutions deja decrites.

+1
J'allais écrire quelque chose de similaire. Raymond, sans plus de détails on 
peut pas te dire grand-chose.


 Il faut aussi rappeler que toutes ces solutions s'addressent
 uniquement aux stub AS, qui ne vit pas de la vente de transit.
 Pour ceux qui vendent du transit : upgradez !

Sans empiéter sur les plates-bandes du troll en court que je nourrirai demain, 
force est de constater que l'échec d'IPv6 dans le domaine du multihoming va 
finir par déboucher par une sélection par le pognon pour opérer dans la DFZ. 
Pognon pour acheter le routeur monstrueux, tu continues à jouer; pas de pognon, 
tu deviens stub AS.



 Raymond Caracatamatere a écrit:
 Le père Noël ne veut pas que j'upgrade encore...

C'est ennuyeux, car la meilleure solution que j'avais à te proposer était 
justement de lui écrire.


 J'aime l'idée du more specifics car cela n'oblige pas
 l'utilisation d'une default GW, mais comment je peux gérer
 simplement une telle ACL sur mes équipements sans que cela
 soit une usine ?

C'est pas tellement l'aspect usine à gaz qui me ferait peur, mais plutôt le 
temps que tu vas y perdre. Combien de mois il faut que tu délaies l'upgrade?

Michel.



---
Liste de diffusion du FRnOG
http://www.frnog.org/