Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Bonsoir, Je suis d'accord avec vous tous, c'est pas normal de se faire troller comme ca à partir d'un sujet aussi sérieux. /mode punishment ON Suite au troll, à l'incompréhensibilité d'un grand nombre de ses messages et au non-respect du tagging d'emails sur la mailing-list, je propose un BAN de 2 mois de Monseigneur Stéphane Lemen (ce qui lui laissera le temps de préparer ses archis bétons qui vont sauver Internet, voir faire un contre-rapport sur la résilience d'Internet :)). N'oubliez pas de me rappeler dans 2 mois d'enlever le filtre. Avertissement pour Jérôme Nicolle pour non respect du tagging et lancement de troll. Pour être clair : la prochaine fois tu prends mon pieds au cul et 2 mois fermes avec. Voilà, si ca en amuse d'autres de ne pas respecter la charte ou de faire perdre leur temps aux lecteurs, je suis chaud là, viendez! /mode punishment OFF Cdt, Philippe On 27 Jul 2012, at 19:03, Stephane Le Menstephane.le...@anycast-networks.com wrote: Le 27/07/2012 17:06, Radu-Adrian Feurdean a écrit : l'Internet c'est*UN SEUL* domaine de routage. Je vous ai bien compris. Ne vous en faites pas. La prochaine étape, c'est 1 seul disque, miroir interdit, et interdiction des clusters aussi, il y a plusieurs machines dans un cluster, la poisse, c'est mieux une seule machine. Et si on se mettez tous à utiliser un seul neurone, ce serait mieux n'est-ce pas ? Je vais être un peu méchant mais ça devient lourd tes conneries et tes trolls à longueur de journée. Y a littéralement des centaines/milliers de personnes qui lisent cette liste et la *grande majorité* ont autre chose à foutre que lire tes bêtises. Je bosse moi, je suis pas la pour regarder du spam dans des sujets sérieux. C'est au bas mot la 3ème réponse inepte que tu fais dans ce thread et ça commence à peser. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Philippe Bourcier web : http://sysctl.org/ blog : http://zsysctl.blogspot.com --- Liste de diffusion du FRnOG http://www.frnog.org/
[MISC] Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 30/07/2012 22:47, /mode punishment ON Hum, on peut savoir pour qui tu te prends là ? Non, sans blague, je réponds avec des éléments constructifs, on se fait prendre de haut et insulter par messieurs les gigobits, et c'est moi qui me fait basher ? Pour rappel, la mailing list a un but d'échange et de partage. Qui a joué le jeu sur ce thread où tu débarques après la bataille ? Et ne me parles pas de troll, à part Le Men il n'y en a pas eu sur ce thread. Si tu connaissais le sujet tu saurais qu'il n'y avais rien de déplacé à parler de filtres dans ce cas précis. Maintenant on va arrêter de jouer 5 minutes : t'as toujours pas ouvert le débat sur le montage de l'association et l'ouverture aux renforts pour éviter les boulettes d'organisations et de gouvernance à l'avenir. Vaut peut être mieux plancher là dessus que d'agiter les BAN pour rien. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
On 27 Jul 2012, at 19:03, Stephane Le Men stephane.le...@anycast-networks.com wrote: Le 27/07/2012 17:06, Radu-Adrian Feurdean a écrit : l'Internet c'est*UN SEUL* domaine de routage. Je vous ai bien compris. Ne vous en faites pas. La prochaine étape, c'est 1 seul disque, miroir interdit, et interdiction des clusters aussi, il y a plusieurs machines dans un cluster, la poisse, c'est mieux une seule machine. Et si on se mettez tous à utiliser un seul neurone, ce serait mieux n'est-ce pas ? Je vais être un peu méchant mais ça devient lourd tes conneries et tes trolls à longueur de journée. Y a littéralement des centaines/milliers de personnes qui lisent cette liste et la *grande majorité* ont autre chose à foutre que lire tes bêtises. Je bosse moi, je suis pas la pour regarder du spam dans des sujets sérieux. C'est au bas mot la 3ème réponse inepte que tu fais dans ce thread et ça commence à peser. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 13:18, Stephane Le Men a écrit : Je pense que si 99% de votre trafic ne se fait qu'avec 1 seul autre AS, cet AS mérite 99% de votre attention. Wow, ca c'est du bullshit ! Tu ne fais que 2% de mon traffic, on s'en fout si il y une rupture pendant 24h. Avec ce genre de raisonnements, je suis sûr qu'on va beaucoup avancer ... Je propose même qu'on applique le même principe sur les posts de frnog : ton AS ne fait que 300 Mbps, tes posts sont retardés de 15h, tu fais 2 Gbps, retardés de 3h, 25 Gbps écoulés, c'est post immédiat. Ca revient à : t'es petit ? Ta gueule. Tiens, vous écoulez combien chez anycast-networks ? J'ai la croyance qu'il vaut mieux diviser le problème de résilience pour y régner dessus, et je crois que la résilience globale obtenue d'un système ou d'un réseau n'est que la réunion de chacun de petits morceaux individuels de résilience du système. Ouais, allé, enfonçons des portes ouvertes. Et normalement dans un réseau résilient, avant de perdre un service, on a perdu la résilience. Dis donc, qu'est ce que tu l'aimes ce mot, hein ? Julien --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 27/07/2012 10:40, Julien Escario a écrit : Le 26/07/2012 13:18, Stephane Le Men a écrit : Je pense que si 99% de votre trafic ne se fait qu'avec 1 seul autre AS, cet AS mérite 99% de votre attention. Wow, ca c'est du bullshit ! Tu ne fais que 2% de mon traffic, on s'en fout si il y une rupture pendant 24h. Avec ce genre de raisonnements, je suis sûr qu'on va beaucoup avancer ... Je propose même qu'on applique le même principe sur les posts de frnog : ton AS ne fait que 300 Mbps, tes posts sont retardés de 15h, tu fais 2 Gbps, retardés de 3h, 25 Gbps écoulés, c'est post immédiat. Ca revient à : t'es petit ? Ta gueule. Ca n'est pas déjà le cas? C'est pas comme çà que ca marche dans la vrai vie??? Tiens, vous écoulez combien chez anycast-networks ? J'ai la croyance qu'il vaut mieux diviser le problème de résilience pour y régner dessus, et je crois que la résilience globale obtenue d'un système ou d'un réseau n'est que la réunion de chacun de petits morceaux individuels de résilience du système. Ouais, allé, enfonçons des portes ouvertes. Et normalement dans un réseau résilient, avant de perdre un service, on a perdu la résilience. Dis donc, qu'est ce que tu l'aimes ce mot, hein ? Julien --- Liste de diffusion du FRnOG http://www.frnog.org/ attachment: s_lesimple.vcf signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Ca revient à : t'es petit ? Ta gueule. Ca n'est pas déjà le cas? C'est pas comme çà que ca marche dans la vrai vie??? Notre ex-president peut le prouver : pas toujours (et dans notre cas, heureusement). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 15:00, Michel Moriniaux a écrit : depuis que nous suivons vos interventions vous etes très evasif sur la solution qui selon vous sauverait le monde. Il me semble avoir déjà donné les principes qui guident ma démarche. Elle consiste juste à rappeler que si un opérateur se doit de vendre des routes à ses clients, ses clients attendent que des circuits se ferment correctement au travers de son infra. Même si le client n'utilise qu'une fraction du circuit, l'opérateur se doit de vendre des circuits qui se ferment. Alors je me dis que si le circuit mis à disposition du client a été vérifié avant, par un automate, la vérification devrait répondre au problème. Vous semblez detenir une verité que personne n'ici ne peut effleurer vu le ton de vos mails. J'ai une expérience qui fait que si j'avais été actionnaire de Virgin Mobile, j'aurais exigé la tête du pédégé pour ne pas avoir été capable de pouvoir migrer en un claquement doigt tous mes utilisateurs de Orange à SFR pour préserver le service que je vends à mes clients. Et à ce conseil d'administration virtuel, on m'aurait répondu: - mais nous avions demandé à la signature du contrat, mais on nous a répondu vous rigolez ? j'aurais ensuite répondu: - c'est le moment d'aller taper du point sur la table de l'Arcep. Alors, le rapport qu'il y a entre Virgin et Neo, c'est la même cause, cette fameuse lutte des classes qui n'est pas has been. Du coup, je prend un peu de plaisir à remuer le couteau dans la plaie. Il ne faut pas m'en vouloir, l'occasion était trop belle. Je vous propose afin de calmer l'ambiance sur la ML de vous mettre a votre plume et d'expliciter ces designs si resilients et de citer vos sources plutot que de nous poser la question de ce que nous pensons être la réponse. ok, je vais tenter Nous attendons toujours les docs demandées par Stephane Bortzmeyer la derniere fois. J'ai fini par trouver un document où il n'y a que 2 paragraphes à lire d'intéressant: http://www.gsma.com/newsroom/wp-content/uploads/2012/03/ir3470.pdf Point 3.6 Isolation between Service Communities on an Inter-Service Provider IP Backbone network can be logical (for example by VPNs on an Inter-Service Provider IP Backbone network) or physical (that is when the Service Provider connects to separate Inter-Service Provider IP Backbone networks, for example for GRX and an IPX Service). 4.3 In order to maintain isolation between Service Communities where Inter Service Provider Backbone networks are interconnected, separate VLANs and separate routing tables must be used for each Service Community Le reste des contraintes qui sont listés dans ce document vous pouvez les jeter, on n'a pas besoin pour Internet. La pluspart des membres actifs sur cette ML font vivre au jour le jour des réseaux ayant presque tous des designs differents a toutes les echelles, personellement j'ai connu un backbone tier 1 a budget illimité satisfaisant votre laius sur les designs Sigtran mais il ne permettait pas de se premunir des route-leak et hijack. Je suis curieux de voir les differences de design entre votre modele et ceux que je connais. Est-ce qu'en lisant les 6 lignes, vous comprenez pourquoi votre tiers 1 à budget illimité n'a pas su être satisfait avec sa configuration SIGTRAN sur un seul domaine de routage ? Traduit en bon français, cette phrase anglaise demande que deux domaines de routages coexistent dans un GRX et qu'ils soient logiquement ou physiquement séparés. En ayant deux domaines de routage séparés, quand un domaine subit un route-leak ou un hitjak, l'étanchéité des deux domaines de routages offre une roue de secours sur le deuxième domaine qui n'est pas contaminé. Votre tiers 1 à budget illimité n'a su déployé deux domaines de routages distincts dans son réseau, et c'est pour cette raison qu'il n'a pas été satisfait de sa conf SIGTRAN. Le plus petit domaine de routage possible utilisable est simplement un lien physique ou logique L2 à accoupler avec son réseau normal. (et il ne faut que l’état du lien L2 logique ne dépende pas de l'état du routing de son réseau. il faut preserver l'isolation) SCTP est un transport sur 4 ip distincts, pour pouvoir être déployé sur des réseaux à deux domaines de routages distincts et étanches. C'est l’étanchéité qui garanti la qualité. C'est rappelé au point 4.3 du doc. D'accord ou pas d'accord ? bref soyons constructifs et apprenons tous ensemble! Ben, je pose la question de savoir si cela sera utile. Voyez-vous, j'ai beaucoup de mal à croire qu'il existe dans le monde un tiers 1 qui déploie SIGTRAN sur un seul domaine de routing. Face à cette information, je me dis: - soit, on me ment éhonteusement pour me faire raconter n'importe quoi. - soit c'est bien vrai, il existe bien un tiers 1 qui déploie SIGTRAN sur un seul domaine de routing, et là, je suis scié. Incoyable et aucun client qui l'utilise ne s'en est rendu compte. Encore plus
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
On Fri, Jul 27, 2012, at 03:14 PM, Stephane Le Men wrote: Traduit en bon français, cette phrase anglaise demande que deux domaines de routages coexistent dans un GRX et qu'ils soient logiquement ou physiquement séparés. En ayant deux domaines de routage séparés, quand un domaine subit un route-leak ou un hitjak, l'étanchéité des deux domaines de routages offre une roue de secours sur le deuxième domaine qui n'est pas contaminé. On est clairement vendredi. l'Internet c'est *UN SEUL* domaine de routage. Et oui, il y en a d'autres (pas internet). MPLS-VPN (a.k.a IP-VPN, pas confondre avec IPSec-VPN) t'as jamais entendu parler ? MPLS en general tu connais ? Votre tiers 1 à budget illimité n'a su déployé deux domaines de routages distincts dans son réseau, et c'est pour cette raison qu'il n'a pas été satisfait de sa conf SIGTRAN. Le plus petit domaine de routage possible ?? Mode smoking the carpet ??? SCTP est un transport sur 4 ip distincts, pour pouvoir être déployé sur des réseaux à deux domaines de routages distincts et étanches. Quand tu auras fini la moquette en cours, essaye de faire un modele ou quelques 4 reseaux doivent s'interconnecter de tel facon que chacun arrive a joindre tous les autres en meme temps. Si tu arrives a avoir un modele un peu pres potable, tu reviens ici pour qu'on te le demonte avec des arguments de la vie reele, OK ? Je suis un peu dépité, parce que si même des experts IP d'un tiers 1 à budget illimité décident de s’asseoir sur les design SCTP/SIGTRAN et tous les efforts qui ont été fait dans SCTP, je comprends bien volontiers pourquoi je suis perçu içi comme un E.T. ... smartphone maison E.T. pas trouve reseau SIGTRAN pour appeler maison. E.T. bloque sur terre pour troller sur FRnOG. Une autre solution de pauvre avec un seul domaine de routing (pas deux Il y a aussi des solutions du pas si pauvre que ca, qui n'ont pas besoin de SIGTRAN. aurait suffit à NEO de router statiquement son trafic dans ce tunnel On te laisse gerer seul un table de ~400K routes avec du routage statique. Ca me rappelle BGP over LRAR et BGP via valise diplomatique qui se pratiquent dans le monde telephonique (non, il n'y a pas de BGP dedans, juste la LRAR ou la valise diplomatique). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Stephane Le Men stephane.le...@anycast-networks.com a écrit : Le 27/07/2012 17:06, Radu-Adrian Feurdean a écrit : l'Internet c'est*UN SEUL* domaine de routage. Je vous ai bien compris. Ne vous en faites pas. La prochaine étape, c'est 1 seul disque, miroir interdit, et interdiction des clusters aussi, il y a plusieurs machines dans un cluster, la poisse, c'est mieux une seule machine. Et si on se mettez tous à utiliser un seul neurone, ce serait mieux n'est-ce pas? Encore 5h et trolldi sera fini... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Encore 5h et trolldi sera fini... Clair, je peine à cerner le cheminement intellecuel du monsieur. On ne doit pas travailler dans la même instance Internet... --- Liste de diffusion du FRnOG http://www.frnog.org/
RE : Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
La vache, encore 5h à tenir... Allez, tous en token ring ! Laurent Caron (Mobile) lca...@unix-scripts.info a écrit : Et si on se mettez tous à utiliser un seul neurone, ce serait mieux n'est-ce pas? Encore 5h et trolldi sera fini... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 27 juillet 2012 19:21, David Ramahefason r...@netfacile.net a écrit : Encore 5h et trolldi sera fini... Clair, je peine à cerner le cheminement intellecuel du monsieur. On ne doit pas travailler dans la même instance Internet... Certains se servent de l'instance actuelle d'Internet pour monter des réseaux parallèles privés avec du BGP, services et tout... Il y a bien des internets // --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le vendredi 27 juillet 2012 à 21:04 +0200, David Ramahefason a écrit : Le 27 juil. 2012 20:56, Pascal Rullier pas...@rullier.net a écrit : Le 27 juillet 2012 19:21, David Ramahefason r...@netfacile.net a écrit : Encore 5h et trolldi sera fini... Certains se servent de l'instance actuelle d'Internet pour monter des réseaux parallèles privés avec du BGP, services et tout... Il y a bien des internets // Ah zut on m aurait menti décidément je suis largué par toutes ces nouvelles technologies, santé c'est vraiment bluffant le réseaux merci de me remettre sur le droit chemin. En fait j'étais un peu ironique hein. Mais bon sur Frtroll il faut toujours la petite phrase pour montrer qu on en est Bref bon trolldi à vous. Voilà, bien trop complexe pour moi, un faux grenouille de la Suède :) Bon weekend, et peut-être vacances à tous ! Je laisse mes trolls aux norvégiens -- e grieg les font mieux ;) mh --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Il est trolldi passé depuis 1h. Pour etre sur que ca venait pas de moi, il y a trois heures j'ai fait une experience : on mel Le vendredi 27 juillet 2012 à 21:04 +0200, David Ramahefason a écrit : Le 27 juil. 2012 20:56, Pascal Rullier pas...@rullier.net a écrit : Le 27 juillet 2012 19:21, David Ramahefason r...@netfacile.net a écrit : Encore 5h et trolldi sera fini... Certains se servent de l'instance actuelle d'Internet pour monter des réseaux parallèles privés avec du BGP, services et tout... Il y a bien des internets // Ah zut on m aurait menti décidément je suis largué par toutes ces nouvelles technologies, santé c'est vraiment bluffant le réseaux merci de me remettre sur le droit chemin. En fait j'étais un peu ironique hein. Mais bon sur Frtroll il faut toujours la petite phrase pour montrer qu on en est Bref bon trolldi à vous. Voilà, bien trop complexe pour moi, un faux grenouille de la Suède :) Bon weekend, et peut-être vacances à tous ! Je laisse mes trolls aux norvégiens -- e grieg les font mieux ;) mh --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 27 juillet 2012 15:14, Stephane Le Men stephane.le...@anycast-networks.com a écrit : il aurait suffit à NEO de router statiquement son trafic dans ce tunnel pour récupérer sa connectivité 3215 malgré la présence de la fausse annonce qui lui pourrissait potentiellement la totalité de ses borders. Entre configurer plusieurs dizaines (voire centaines) de routes statiques et filtrer/couper 3 sessions de peeringsnous avons préféré couper 3 sessions de peering. On doit être mauvais, merci pour votre conseil. Mais sinon, l'expression What the fuck ? résume assez bien ce que j'ai pensé en lisant votre mail. -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
2012/7/26 Stephane Bortzmeyer bortzme...@nic.fr: On Thu, Jul 26, 2012 at 10:57:34AM +0200, Nicolas Strina nicolas.str...@jaguar-network.com wrote a message of 54 lines which said: Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être capable de vous expliquer où est le SPOF de votre conf BGP via à vis de 3215. C'est quoi le rapport ? Je trouve les messages de Stéphane Le Men extrêmement nébuleux, voire incompréhensibles. C'est pourtant devenu la norme sur FRnOG, les OP expérimentés qui se font faire la leçon. Je suis surpris de voir encore et toujours des courageux continuer à poster même s'ils ne sont plus légions sur la ML. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Je pense que tu as raison, je vais cesser d'expliquer quoique ce soit, surtout vu la deuxieme reponse. :) Le 26 juil. 2012 11:21, Sidney Boumendil sidney.boumen...@gmail.com a écrit : 2012/7/26 Stephane Bortzmeyer bortzme...@nic.fr: On Thu, Jul 26, 2012 at 10:57:34AM +0200, Nicolas Strina nicolas.str...@jaguar-network.com wr... C'est pourtant devenu la norme sur FRnOG, les OP expérimentés qui se font faire la leçon. Je suis surpris de voir encore et toujours des courageux continuer à poster même s'ils ne sont plus légions sur la ML. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 11:32, Raphael Maunier a écrit : Je pense que tu as raison, je vais cesser d'expliquer quoique ce soit, surtout vu la deuxieme reponse.:) Vous n'avez rien à expliquer, nous n'avons qu'à constater. Ce qui est visible de l’extérieur décrit en partie ce qui se passe à l’intérieur. C'est comme quand on est médecin et qu'on ne peut pas se permettre d'ouvrir la patient juste pour voir à l’intérieur. En allant au bout du raisonnement que je vous propose d'avoir sur la résilience de votre réseau, et pourquoi elle n'est pas au niveau attendue ou espérée, je pense que vous identifierez mieux à qui profitera réellement le déploiement de RPKI, par exemple, dans le but d'essayer d'améliorer cette résilience plutôt que de faire ce qui aurait du être fait au niveau de son architecture. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Bonjour, On Thu, 26 Jul 2012 11:48:14 +0200, Stephane Le Men stephane.le...@anycast-networks.com wrote: Le 26/07/2012 11:32, Raphael Maunier a écrit : Je pense que tu as raison, je vais cesser d'expliquer quoique ce soit, surtout vu la deuxieme reponse.:) Vous n'avez rien à expliquer, nous n'avons qu'à constater. Ce qui est visible de l’extérieur décrit en partie ce qui se passe à l’intérieur. C'est comme quand on est médecin et qu'on ne peut pas se permettre d'ouvrir la patient juste pour voir à l’intérieur. En allant au bout du raisonnement que je vous propose d'avoir sur la résilience de votre réseau, et pourquoi elle n'est pas au niveau attendue ou espérée, je pense que vous identifierez mieux à qui profitera réellement le déploiement de RPKI, par exemple, dans le but d'essayer d'améliorer cette résilience plutôt que de faire ce qui aurait du être fait au niveau de son architecture. Concernant RPKI : Premier point : Orange n'a pas signé ses préfixes. Ils auront donc la même validation que les préfixes émis (erreur ou non) par un autre AS. Second point : Orange ne peer pas en direct (ou très peu). L'AS path d'Orange officiel est donc potentiellement plus long que l'AS Path des routes annormales. Troisième point : Les signatures RPKI sont validées par des équipements tiers (autres que les routeurs). Donc rien ne m'oblige à vérifier les signatures en temps réel. Vu les trois points, RPKI ou non, le résultat est le même. L'important reste donc (encore) la réactivité des équipes techniques, et en l'occurence, 25 minutes c'est plus que raisonnable. Concernant la résilience : Orange n'est qu'une partie d'internet (certes importante pour le marché Francophone), mais une partie d'internet, et un AS parmis tant d'autres. (et encore, pas tout 3215 n'a été impacté à priori). Est ce qu'il y a eu une coupure Internet ? Non. Il y a eu un incident sur une partie d'internet. La résilience doit être mesurée sur quelle partie d'internet? Enfin, mode avocat du diable : Le problème viens du fait qu'un AS a émis des routes vérreuses. Avec moins de résilience (aucun peering uniquement des upstreams), l'impact aurai été moins visible. Là encore, la résillience ne peut être mesurée sur des données aussi faibles, un acteur donné. Allez, le troll est nourri :) Cordialement, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Ok, Alors, il faudrait avant tout avoir un peu d'experience dans les reseaux doperateurs internationaux. Les gens comme vient de le dire Sidney, les gens qui ne savent pas ce que cest qu'un reseau, se permettent de donner des conseils qui ne veulent rien dire et impossible a mettre en prod dans la vrai vie. Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Pour info, il faut se renseigner un peu, neo fait preuve de transparence et donne beaucoup d'info. Alors, les conseils ou denigrement de gens n'ayant aucune exp live ou recente (ou meme jamais), comment dire mv /dev/null Voila, ce sera ma derniere reponse a la base, cetait pour prevenir et ca a pu aider des gens :) Sidney, je vais ecouter ton conseil et cesser de faire comprendre aux donneurs de lecons qui ne savent pas ce que c'est le vis ma vie :) Le 26 juil. 2012 11:48, Stephane Le Men stephane.le...@anycast-networks.com a écrit : Le 26/07/2012 11:32, Raphael Maunier a écrit : Je pense que tu as raison, je vais cesser d'expliquer quoique ce soit, surtout vu la deuxieme... Vous n'avez rien à expliquer, nous n'avons qu'à constater. Ce qui est visible de l’extérieur décrit en partie ce qui se passe à l’intérieur. C'est comme quand on est médecin et qu'on ne peut pas se permettre d'ouvrir la patient juste pour voir à l’intérieur. En allant au bout du raisonnement que je vous propose d'avoir sur la résilience de votre réseau, et pourquoi elle n'est pas au niveau attendue ou espérée, je pense que vous identifierez mieux à qui profitera réellement le déploiement de RPKI, par exemple, dans le but d'essayer d'améliorer cette résilience plutôt que de faire ce qui aurait du être fait au niveau de son architecture. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 12:57, Raphael Maunier a écrit : Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu as le plus gros réseau, tout ça, mais en attendant c'est celui là qui s'est taulé ce matin. Pas les miens. C'est pas un reproche, pas une critique, on a tous des problèmes d'exploitation. Mais voilà, il se pourrait que les best-practices comme le filtrage sur prefix-list et as-path sur certaines sessions aident à limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire pour éviter le problème, si tant est que ce soit possible. Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te plaît. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 12:09, Richard DEMONGEOT a écrit : Vu les trois points, RPKI ou non, le résultat est le même. Ma compréhension est que dans l'hypothèse où RPKI est déployé et activé, il aurait du couvrir ce problème d'annonces erronées. D'où l'invitation au troll de l'OP. L'important reste donc (encore) la réactivité des équipes techniques, et en l'occurence, 25 minutes c'est plus que raisonnable. C'est selon les jugements excellent ou lamentable. Si personne n'a rien vu, il n'y a rien à dire, si cela a été le tsunami au support, le responsable du support donnera sa propre appréciation de l'incident. Concernant la résilience : Orange n'est qu'une partie d'internet (certes importante pour le marché Francophone), mais une partie d'internet, et un AS parmis tant d'autres. (et encore, pas tout 3215 n'a été impacté à priori). Un AS parmi tant d'autre dans la table des ASN, mais quelle fraction trafic de l'AS, 1%, 10% , 30% ? Il n'y a que le propriétaire de l'AS qui peut répondre. Et cette fraction de trafic, c'est une fraction de son service qu'il vend, et non pas 1 divisé par nombre d'AS de la table des ASN de l'Internet. Est ce qu'il y a eu une coupure Internet ? Non. Il y a eu un incident sur une partie d'internet. La résilience doit être mesurée sur quelle partie d'internet? Sur chaque fraction de son trafic. A priori, rares sont les AS qui discutent uniformément en terme de volumétrie avec le reste de la planète. Chaque AS a son profil volumétrique. Je pense que si 99% de votre trafic ne se fait qu'avec 1 seul autre AS, cet AS mérite 99% de votre attention. Je suis partisan de cette répartition plutôt que d'une répartition qui consiste à se préoccuper de toutes les AS, y compris celles avec qui on n'a pas ou très peu de trafic. Enfin, mode avocat du diable : Le problème viens du fait qu'un AS a émis des routes vérreuses. Avec moins de résilience (aucun peering uniquement des upstreams), l'impact aurai été moins visible. Là encore, la résillience ne peut être mesurée sur des données aussi faibles, un acteur donné. J'ai la croyance qu'il vaut mieux diviser le problème de résilience pour y régner dessus, et je crois que la résilience globale obtenue d'un système ou d'un réseau n'est que la réunion de chacun de petits morceaux individuels de résilience du système. Du coup, quand il y a un problème avec une destination, ce problème dit quelque chose sur un petit morceau de résilience du réseau. Et normalement dans un réseau résilient, avant de perdre un service, on a perdu la résilience. Perdre un service, c'est une double faute. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi on parle et donner des conseils qui ne veulent mais rien dire ! Est-ce que je donne mon avis sur du dns, du Linux, du ftth ? Non, alors, quand on sait pas , on dit/fait pas OU on apprend. C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Raphael On Jul 26, 2012, at 13:12, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 12:57, Raphael Maunier a écrit : Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu as le plus gros réseau, tout ça, mais en attendant c'est celui là qui s'est taulé ce matin. Pas les miens. C'est pas un reproche, pas une critique, on a tous des problèmes d'exploitation. Mais voilà, il se pourrait que les best-practices comme le filtrage sur prefix-list et as-path sur certaines sessions aident à limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire pour éviter le problème, si tant est que ce soit possible. Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te plaît. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
On 7/26/12 1:18 PM, Stephane Le Men wrote: Sur chaque fraction de son trafic. A priori, rares sont les AS qui discutent uniformément en terme de volumétrie avec le reste de la planète. Chaque AS a son profil volumétrique. Je pense que si 99% de votre trafic ne se fait qu'avec 1 seul autre AS, cet AS mérite 99% de votre attention. Je suis partisan de cette répartition plutôt que d'une répartition qui consiste à se préoccuper de toutes les AS, y compris celles avec qui on n'a pas ou très peu de trafic. Alors je vais être un peu sec mais c'est une réponse très conne. Encore heureux que Neo ne nous accorde pas de l'attention qu'en fonction de notre *trafic* parce que ce qui peut représenter 3% pour eux, pour nous c'est de la *prod* et notre gagne-pain. J'attends avec impatience le moment où ta boîte fera 1% de trafic avec ton upstream et où ce dernier mettra 1 semaine pour faire refonctionner ta prod qui est intégralement coupée. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
+1. A force d'avoir des reactions aussi constructives, ca va se finir que plus personne n'osera poster sur la ML, sauf les masochistes qui posteront par esprit de contradictions. Nan mais relisez le thread, c'est juste énorme : Je vous previens qu'il y a eu un flap BGP ce matin, du à un probleme externe booouuuh tu sais meme pas configurer correctement tes routeurs pour pas avoir de flap Seul point positif : le pdf de Sarah sur les best-practices envoyé par mail, ça évite d'avoir à le rechercher. Ca fait leger comme point positif ! Le 26 juillet 2012 13:25, Raphael MAUNIER rmaun...@neotelecoms.com a écrit : Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi on parle et donner des conseils qui ne veulent mais rien dire ! Est-ce que je donne mon avis sur du dns, du Linux, du ftth ? Non, alors, quand on sait pas , on dit/fait pas OU on apprend. C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Raphael On Jul 26, 2012, at 13:12, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 12:57, Raphael Maunier a écrit : Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu as le plus gros réseau, tout ça, mais en attendant c'est celui là qui s'est taulé ce matin. Pas les miens. C'est pas un reproche, pas une critique, on a tous des problèmes d'exploitation. Mais voilà, il se pourrait que les best-practices comme le filtrage sur prefix-list et as-path sur certaines sessions aident à limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire pour éviter le problème, si tant est que ce soit possible. Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te plaît. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 13:25, Raphael MAUNIER a écrit : C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Faudrait que tu m'expliques pourquoi tu t'es senti attaqué, moi je n'ai fait que citer un papier que je trouves intéressant, dont les préconisations marchent à mon échelle, et je ne fais que te poser une question : pourquoi ça ne marcherait pas chez toi ? Sinon comme l'a dit Richard, 25 minutes, c'est un joli score, c'est indéniable. Mais si on veut tous progresser, la bonne question à se poser, c'est comment on peut l'éviter à l'avenir. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
2012/7/26 Richard DEMONGEOT rich...@demongeot.biz: Concernant RPKI : Premier point : Orange n'a pas signé ses préfixes. Ils auront donc la même validation que les préfixes émis (erreur ou non) par un autre AS. En fait si, il existe des ROAs pour une partie des préfixes de l'AS3215 depuis quelques mois. Cependant, comme aucun AS n'applique concrètement de filtres sur routes invalid --peut-être un AS d'après le RIPE, sans doute pour du test/recherche--, elles ont été tout autant touchées que les routes sans ROAs ou d'ailleurs que les routes sans route-object. Cdlt, -- sarah --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 13:33, Guillaume Barrot a écrit : Ca fait leger comme point positif ! Si tu relis mieux, on était justement en train de lancer une discussion sur la façon d'éviter ça, jusqu'à ce que Raphael parte en troll. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Mattes mieux ma réponse ! Tu bosses chez un opérateur, tu comprendras donc que tu n'es pas concerné :) Même si on est pas d'accord sur ce point, tu sais comment ça marche, après, c'est l'expérience dans la construction et la gestion d'un backbone qui aide. Donc, ne te sent pas concerné, si je dois te dire un truc, je te choppe sur irc :) Raphael On Jul 26, 2012, at 13:32, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 13:25, Raphael MAUNIER a écrit : C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Faudrait que tu m'expliques pourquoi tu t'es senti attaqué, moi je n'ai fait que citer un papier que je trouves intéressant, dont les préconisations marchent à mon échelle, et je ne fais que te poser une question : pourquoi ça ne marcherait pas chez toi ? Sinon comme l'a dit Richard, 25 minutes, c'est un joli score, c'est indéniable. Mais si on veut tous progresser, la bonne question à se poser, c'est comment on peut l'éviter à l'avenir. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Le 26/07/2012 13:32, Damien Fleuriot a écrit : Alors je vais être un peu sec mais c'est une réponse très conne. Encore heureux que Neo ne nous accorde pas de l'attention qu'en fonction de notre*trafic* parce que ce qui peut représenter 3% pour eux, pour nous c'est de la*prod* et notre gagne-pain. A supposé qu'un opérateur n'ait de résilience nul part, et qu'il cherche en acquérir une, est-ce que ses investissements seront proportionnels à son trafic ou l'opposé, est-ce qu'il va consacrer 6% de son budget résilience à 3% de son trafic ? Pour que votre opérateur ne soit neutre vis à vis de votre trafic, et qu'il le discrimine par rapport autres, je pense qu'il va falloir payer, et payer plus que les autres clients. La disponibilité, c'est comme le filtrage de paquets, elle peut être plus ou moins neutre. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Si je puis me permettre une toute petite remarque: dans le mail initial, que je trouve plutot utile j'aurai bien aimer voir les prefix hijackes et l'AS en question histoire d'etre un poil plus utile que de juste dire grosso modo y a un probleme ca vient d'ailleurs, ne m'appelez pas Mais sinon oui, utile. 2012/7/26 Raphael MAUNIER rmaun...@neotelecoms.com: Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi on parle et donner des conseils qui ne veulent mais rien dire ! Est-ce que je donne mon avis sur du dns, du Linux, du ftth ? Non, alors, quand on sait pas , on dit/fait pas OU on apprend. C'est pénible de systématiquement se prendre des mails de conseils ou on se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 ! Raphael On Jul 26, 2012, at 13:12, Jérôme Nicolle jer...@ceriz.fr wrote: Le 26/07/2012 12:57, Raphael Maunier a écrit : Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment dire Passez votre chemin. Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu as le plus gros réseau, tout ça, mais en attendant c'est celui là qui s'est taulé ce matin. Pas les miens. C'est pas un reproche, pas une critique, on a tous des problèmes d'exploitation. Mais voilà, il se pourrait que les best-practices comme le filtrage sur prefix-list et as-path sur certaines sessions aident à limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire pour éviter le problème, si tant est que ce soit possible. Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te plaît. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )
Stephane, depuis que nous suivons vos interventions vous etes très evasif sur la solution qui selon vous sauverait le monde. Vous semblez detenir une verité que personne n'ici ne peut effleurer vu le ton de vos mails. Je vous propose afin de calmer l'ambiance sur la ML de vous mettre a votre plume et d'expliciter ces designs si resilients et de citer vos sources plutot que de nous poser la question de ce que nous pensons être la réponse. Nous attendons toujours les docs demandées par Stephane Bortzmeyer la derniere fois. La pluspart des membres actifs sur cette ML font vivre au jour le jour des réseaux ayant presque tous des designs differents a toutes les echelles, personellement j'ai connu un backbone tier 1 a budget illimité satisfaisant votre laius sur les designs Sigtran mais il ne permettait pas de se premunir des route-leak et hijack. Je suis curieux de voir les differences de design entre votre modele et ceux que je connais. bref soyons constructifs et apprenons tous ensemble! Pour la discussion annexe, si on ne peut plus dire sur FRNOG: eh les gars j'ai un truc bizarre, pouvez vous confirmer? ou heads up! Pakistan telecom refait des siennes je ne vois plus l'utilité operationelle de la ML. Michel Moriniaux 2012/7/26 Stephane Le Men stephane.le...@anycast-networks.com: Le 26/07/2012 12:09, Richard DEMONGEOT a écrit : Vu les trois points, RPKI ou non, le résultat est le même. Ma compréhension est que dans l'hypothèse où RPKI est déployé et activé, il aurait du couvrir ce problème d'annonces erronées. D'où l'invitation au troll de l'OP. L'important reste donc (encore) la réactivité des équipes techniques, et en l'occurence, 25 minutes c'est plus que raisonnable. C'est selon les jugements excellent ou lamentable. Si personne n'a rien vu, il n'y a rien à dire, si cela a été le tsunami au support, le responsable du support donnera sa propre appréciation de l'incident. Concernant la résilience : Orange n'est qu'une partie d'internet (certes importante pour le marché Francophone), mais une partie d'internet, et un AS parmis tant d'autres. (et encore, pas tout 3215 n'a été impacté à priori). Un AS parmi tant d'autre dans la table des ASN, mais quelle fraction trafic de l'AS, 1%, 10% , 30% ? Il n'y a que le propriétaire de l'AS qui peut répondre. Et cette fraction de trafic, c'est une fraction de son service qu'il vend, et non pas 1 divisé par nombre d'AS de la table des ASN de l'Internet. Est ce qu'il y a eu une coupure Internet ? Non. Il y a eu un incident sur une partie d'internet. La résilience doit être mesurée sur quelle partie d'internet? Sur chaque fraction de son trafic. A priori, rares sont les AS qui discutent uniformément en terme de volumétrie avec le reste de la planète. Chaque AS a son profil volumétrique. Je pense que si 99% de votre trafic ne se fait qu'avec 1 seul autre AS, cet AS mérite 99% de votre attention. Je suis partisan de cette répartition plutôt que d'une répartition qui consiste à se préoccuper de toutes les AS, y compris celles avec qui on n'a pas ou très peu de trafic. Enfin, mode avocat du diable : Le problème viens du fait qu'un AS a émis des routes vérreuses. Avec moins de résilience (aucun peering uniquement des upstreams), l'impact aurai été moins visible. Là encore, la résillience ne peut être mesurée sur des données aussi faibles, un acteur donné. J'ai la croyance qu'il vaut mieux diviser le problème de résilience pour y régner dessus, et je crois que la résilience globale obtenue d'un système ou d'un réseau n'est que la réunion de chacun de petits morceaux individuels de résilience du système. Du coup, quand il y a un problème avec une destination, ce problème dit quelque chose sur un petit morceau de résilience du réseau. Et normalement dans un réseau résilient, avant de perdre un service, on a perdu la résilience. Perdre un service, c'est une double faute. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/