from:"Youssef Ghorbal"

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

2023-04-28 Par sujet Youssef Ghorbal

On Fri, Apr 28, 2023, at 15:31, Yann wrote:
> Bonjour,
>
> Le 27/04/2023 à 18:50, Youssef Ghorbal a écrit :
>>  https://dl.pasteur.fr/fop/AFRqq4EX/50M
>
> https://i.ibb.co/XJQ7bXK/pb-conf-wndscale-dl-pasteur-fr.png
>
> Le TCP window scale semble désactivé sur ce serveur, ce qui limite la
> fenêtre TCP à 64 Ko et bride fortement le débit dès lors que le BDP
> est élevé.
> En prenant l'exemple du site de Madagascar qui a un RTT avec
> dl.pasteur.fr de 213ms environ d'après les traceroutes fournis, on
> obtient bien un débit max théorique de 64 Ko / 0.213s = 300 Ko/s.

EUREKA! C'etait bien ca ! Le reverse proxy en face du service avait bien des 
regles limitant le windows scaling a 1 !

Merci Yann \o/

Youssef

PS : moi aussi je suis interesse par l'outil que tu utilises (dans le 
screenshot)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

2023-04-28 Par sujet Youssef Ghorbal

C'est entendu pour la boulette sur filtrage RFC1918 en sortie de l'AS29110 
(Pasteur) Je ne peux pas me prononcer sur Cogent ni Telecom Malagasy.

Moi aussi, je ne vois pas ce que ca pourrais engendrer en terme de debit. Si 
c'etait un probleme de "reachability" (genre le truc n'etait meme pas 
accessible) la j'aurais a la limite creuser plus cette piste, mais la c'est 
joignable et y'a tres peu de perte de dechets TCP (selon les pcap)

Pour moi le mystere reste entier, a la lecture des traceroutes (PAsteur -> Mada 
et de Mada -> Pasteur) j'ai comme l'impression que ce n'est pas le meme 
"chemin" en terme de hops surtt dans le reseau de Telecom Malagasy.

Tiens, je vais tester un "upload" vers la meme target, peut etre que le chemin 
alle est moins encombre !

Youssef

On Fri, Apr 28, 2023, at 09:47, David Ponzone wrote:
> Je ne suis pas convaincu que ça ait un rapport.
>
> Pasteur a choisi d’utiliser des IP RFC1918 sur des intercos internes. 
> Parce que c’est toujours l’IP de l’interface egress qui est utilisée 
> pour la réponse à un paquet, il arrive qu’une IP RFC1918 soit utilisée 
> dans une réponse de traceroute.
> Idéalement, tous les transitaires, et aussi Pasteur, devraient filtrés 
> les paquets qui sortent ou entrent de leur réseau avec une RFC1918 
> comme source (et on aurait * * * dans le traceroute), et il semble 
> qu’aucun des 3 ne le fasse, ce qui est assez surprenant.
> Mais j’ai du mal à voir comment ça pourrait expliquer un problème de 
> débit.
>
>> Le 28 avr. 2023 à 09:23, Daniel via frnog  a écrit :
>> 
>> 
>> Comme l'a fait remarqué David, je cite:
>> 
>> "Hmm si le paquet avec une RFC1918 comme source arrive jusqu’à l’émetteur du 
>> traceroute, on peut s’inquiéter sur le filtrage de tous les opérateurs entre 
>> la source et Pasteur "
>> 
>> Cette Ip ne devrait jamais apparaitre sur le traceroute. Je suppose 
>> également qu'un traitement est fait en entrée de réseau sur la/les IPs 
>> sources de Madagascar -si non, tout le monde passerait par cette IP- et 
>> c'est là qu'est le problème.
>> 
>> Il y a à minima 2 problèmes à régler sur le réseau pasteur.fr
>> 
>> -- 
>> Daniel
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

2023-04-27 Par sujet Youssef Ghorbal




On Thu, Apr 27, 2023, at 22:55, Daniel via frnog wrote:
> Le 27/04/2023 à 22:49, Youssef Ghorbal a écrit :
>>
>> On Thu, Apr 27, 2023, at 22:44, Daniel via frnog wrote:
>>> Le 27/04/2023 à 21:04, Youssef Ghorbal a écrit :
>>>> Je rappelle que la target 157.99.21.75 n’est « lente » que depuis la 
>>>> source situee a Madagascar. Ca marche tres bien de partout !
>>> Oui, mais il n'y a qu'à partir de Madagascar que l'IP 10.5.3.99 apparait
>>> dans un traceroute, ceci explique peut être cela.
>>>
>>> Cogent est il l'opérateur de pasteur.fr ?
>> Oui c’est bien le cas !
>
> L'ip 10.5.3.99 -qui à mon avis est le noeud du problème- est elle du 
> réseau interne pasteur ?

Ca l’est. C’est des IPs d’interconde routeurs.

> Si oui, problème sur le réseau pasteur,

Dans quel mesure ? Genre quel phenome se produit qui fait intervenir ces IPs 
intermediaires et qui pourrais expliquer le debit pourris ?

 si non, elle est interne à 
> Cogent et il faut voir avec eux.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

2023-04-27 Par sujet Youssef Ghorbal




On Thu, Apr 27, 2023, at 22:44, Daniel via frnog wrote:
> Le 27/04/2023 à 21:04, Youssef Ghorbal a écrit :
>> Je rappelle que la target 157.99.21.75 n’est « lente » que depuis la source 
>> situee a Madagascar. Ca marche tres bien de partout !
>
> Oui, mais il n'y a qu'à partir de Madagascar que l'IP 10.5.3.99 apparait 
> dans un traceroute, ceci explique peut être cela.
>
> Cogent est il l'opérateur de pasteur.fr ?

Oui c’est bien le cas !

Youssef


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

2023-04-27 Par sujet Youssef Ghorbal

Je rappelle que la target 157.99.21.75 n’est « lente » que depuis la source 
situee a Madagascar. Ca marche tres bien de partout !

Youssef

On Thu, Apr 27, 2023, at 20:53, David Ponzone wrote:
> Hmm si le paquet avec une RFC1918 comme source arrive jusqu’à 
> l’émetteur du traceroute, on peut s’inquiéter sur le filtrage de tous 
> les opérateurs entre la source et Pasteur :)
>
> D’ailleurs, pour ma part, j’ai:
>
> traceroute to (157.99.21.75), 30 hops max, 60 byte packets
>  1  31-193-131-162.static.as29550.net (31.193.131.162)  2.300 ms  2.287 
> ms  2.280 ms
>  2  92-48-64-97.static.as29550.net (92.48.64.97)  0.479 ms  0.466 ms  
> 0.456 ms
>  3  ae1-cr0.the.as29550.net (91.186.5.249)  1.579 ms  1.596 ms  1.567 ms
>  4  ldn-b7-link.ip.twelve99.net (62.115.185.60)  1.550 ms  1.538 ms  
> 1.598 ms
>  5  ldn-bb1-link.ip.twelve99.net (62.115.138.150)  2.120 ms  2.110 ms  
> 2.172 ms
>  6  ldn-b3-link.ip.twelve99.net (62.115.120.75)  2.080 ms  2.182 ms  
> 1.799 ms
>  7  * * *
>  8  be2871.ccr42.lon13.atlas.cogentco.com (154.54.58.185)  9.817 ms  
> 9.698 ms  9.549 ms
>  9  be12489.ccr42.par01.atlas.cogentco.com (154.54.57.70)  9.772 ms  
> 9.899 ms  10.007 ms
> 10  be3184.ccr31.par04.atlas.cogentco.com (154.54.38.158)  9.865 ms  
> 9.864 ms  9.851 ms
> 11  be3169.agr21.par04.atlas.cogentco.com (154.54.37.238)  9.836 ms  
> 10.189 ms  10.176 ms
> 12  149.11.175.98 (149.11.175.98)  9.805 ms  9.782 ms  9.779 ms
> 13  * * *
> 14  * * *
> 15  * * *
> 16  * * *
> 17  * * *
> 18  * * *
> 19  * * *
> 20  * * *
> 21  * * *
> 22  * * *
>
>
>> Le 27 avr. 2023 à 19:53, Paul Rolland (ポール・ロラン)  a 
>> écrit :
>> 
>> Bonjour,
>> 
>> On Thu, 27 Apr 2023 19:49:03 +0200
>> Daniel via frnog  wrote:
>> 
 15  * * *  
>>> ??? Cogent vers 10.5.3.99 et plus rien. Je pense que le problème est 
>>> chez Cogent
>> 
>> A moins que 10.5.x.y, ca soit la sauce interne de Pasteur, qui utiliserait
>> ca pour adresser ses routeurs internes avant d'arriver sur ses lans
>> serveurs ?
>> 
>> Paul
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

2023-04-27 Par sujet Youssef Ghorbal

   0.0   0.0   0.0   0.0
  8.|-- tgn.149.9.192.dts.mg   0.0%25   12.0  12.6  11.3  21.4   1.9
  9.|-- mx-10-2-tul-ae0-to-mx-10-  0.0%25   18.9  18.6  17.4  19.9   0.7
 10.|-- tgn.126.82.122.tgn.mg  4.0%25  215.8 215.9 214.8 219.2   1.0
 11.|-- hu0-0-0-10.ccr31.par04.at  0.0%25  210.2 212.3 210.1 226.8   4.0
 12.|-- be2067.ccr32.par04.atlas.  0.0%25  188.6 188.1 186.9 190.4   0.8
 13.|-- iliad.demarc.cogentco.com  0.0%25  187.5 187.7 186.7 188.7   0.7
 14.|-- p19-49m-1-v912.intf.nra.p  0.0%25  193.0 193.6 192.5 194.6   0.7
 15.|-- bzn-9k-2-sys-be2001.intf.  0.0%25  194.5 193.6 192.7 194.5   0.5
 16.|-- ftp.proxad.net 0.0%25  194.5 194.4 193.5 195.4   0.6

Traceroute depuis Pasteur :

traceroute to 102.16.125.26 (102.16.125.26), 64 hops max, 40 byte packets
 1  vlan64.feta.net.pasteur.fr (157.99.64.1)  0.372 ms  0.757 ms  0.254 ms
 2  10.5.3.65 (10.5.3.65)  1.085 ms  1.201 ms  1.058 ms
 3  10.5.3.57 (10.5.3.57)  1.210 ms  1.362 ms  1.197 ms
 4  10.5.3.98 (10.5.3.98)  1.403 ms  1.527 ms  1.390 ms
 5  te0-6-0-1-6.agr21.par04.atlas.cogentco.com (149.11.175.97)  1.695 ms  2.320 
ms  2.049 ms
 6  be3169.ccr31.par04.atlas.cogentco.com (154.54.37.237)  2.399 ms  2.091 ms  
10.124 ms
 7  149.6.178.186 (149.6.178.186)  1.861 ms  2.199 ms  1.753 ms
 8  tgn.126.82.123.tgn.mg (154.126.82.123)  176.465 ms
7710src12-1-1-1-to-mx-480-par.tgn.mg (41.188.60.215)  9.993 ms  10.314 ms
 9  pau2-reu-man-reu.tgn.mg (154.126.82.150)  213.055 ms
tgn.16.3.193.tgn.mg (102.16.3.193)  209.848 ms
tgn.16.86.4.tgn.mg (102.16.86.4)  9.825 ms
10  mou-reu-pau1-reu.tgn.mg (154.126.82.141)  210.229 ms
tgn.16.35.105.tgn.mg (102.16.35.105)  182.578 ms  183.172 ms
11  tgn.149.9.193.dts.mg (197.149.9.193)  198.629 ms
gal-er-1-gal-cr-1.tgn.mg (154.126.77.22)  189.094 ms
slh-reu-spi-reu.tgn.mg (154.126.82.158)  212.806 ms
12  spi-reu-pth-reu.tgn.mg (154.126.82.162)  213.281 ms
mar-reu-pop1-reu.tgn.mg (154.126.82.217)  210.172 ms
gal-er-1-gal-er-1-sdv-1.tgn.mg (154.126.77.58)  194.563 ms
13  pth-reu-con-reu.tgn.mg (154.126.82.166)  215.306 ms
tgn.16.35.41.tgn.mg (102.16.35.41)  194.368 ms  190.057 ms
14  con-reu-pop2-reu.tgn.mg (154.126.82.181)  213.250 ms *
gal-cr-1-tmm-cr-1.tgn.mg (154.126.77.173)  210.686 ms
15  gal-er-1-gal-cr-1.tgn.mg (154.126.77.22)  194.528 ms  210.462 ms  194.614 ms
16  * * gal-er-1-gal-er-1-sdv-1.tgn.mg (154.126.77.58)  194.855 ms
17  * * *
18  * * *

 (vu les noms des hops, j'ai l'impression qu'il passe pas mal de temps a La 
Reunion ?)

Les pcaps (cote Mada lors des wget) sont ici :
 fast.pcap : 
https://ln5.sync.com/dl/0b45075b0/a7v3n9uw-vheq2d6e-7grt3enk-4ch3hdu4
 slow.pcap : 
https://ln5.sync.com/dl/935daee30/u94xhvkc-54u7mghc-nqgpdsjj-hkrrqpx3

 Je prend tt ce que vous pouvez trouvez !
 Merci.

Youssef
--
On Wed, Apr 12, 2023, at 13:53, Youssef Ghorbal wrote:
> Bonjour la liste,
>
>  Merci pour tous ces elements, je collecte les differents elements et 
> je vous envoie ca dans les prochains jours.
>
> Youssef
>
> On Tue, Apr 11, 2023, at 13:33, Pavel Polyakov wrote:
>> "Youssef Ghorbal"  wrote:
>>
>>> Je voudrais savoir quel serait la meilleure approche pour aller plus
>>> loin et collecter les bons elements a presenter aux supports des deux
>>> operateurs pour qu'ils soient en mesure de creuser de leurs cote ?
>>
>> Faire d'abord les tests en UDP pour voir à partir de quel débit ça
>> commence à merder et voir si la limitation est stable ou si il y a de la
>> gigue.
>>
>> Ensuite je pense que Telecom Malagasy n'a que très peu de capacité avec
>> Cogent. On peut voir que seuls certains réseaux de Telecom Malagasy
>> sont annoncés directement à Cogent.
>>
>> Peux-tu fournir une adresse ou au moins le réseau dans lequel se trouve
>> ton adresse ?
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

2023-04-12 Par sujet Youssef Ghorbal

Bonjour la liste,

 Merci pour tous ces elements, je collecte les differents elements et je vous 
envoie ca dans les prochains jours.

Youssef

On Tue, Apr 11, 2023, at 13:33, Pavel Polyakov wrote:
> "Youssef Ghorbal"  wrote:
>
>> Je voudrais savoir quel serait la meilleure approche pour aller plus
>> loin et collecter les bons elements a presenter aux supports des deux
>> operateurs pour qu'ils soient en mesure de creuser de leurs cote ?
>
> Faire d'abord les tests en UDP pour voir à partir de quel débit ça
> commence à merder et voir si la limitation est stable ou si il y a de la
> gigue.
>
> Ensuite je pense que Telecom Malagasy n'a que très peu de capacité avec
> Cogent. On peut voir que seuls certains réseaux de Telecom Malagasy
> sont annoncés directement à Cogent.
>
> Peux-tu fournir une adresse ou au moins le réseau dans lequel se trouve
> ton adresse ?
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

2023-04-10 Par sujet Youssef Ghorbal

Bonjour,

 Je suis entrain de tracker un probleme de debit entre un site A a Paris et un 
site B a Madagascar.
 Le site A est raccorde a Cogent
 Le site B est raccorde a Telecom Malagasy (Telma)

 Le site B ne peut pas depasser un debit de ~300KB/s avec un bete curl HTTPS 
vers le site A (c'est reproductible quelque soit l'heure du test)
 Le site B peut atteindre des debits x10 avec des curl HTTPS vers plusieurs 
destinations en France (OVH par exemple) ou en Allemagne (Hetzner) ou divers 
tests de debits en ligne.
 Le curl HTTPS vers le site A depuis des sources en France/Allemagne ne montre 
aucun probleme de debit.
 Les points d'entrees/sorties/filtrages des sites A et B ont ete largement 
inspectes/verifies (pas de traffic shaping specifique ou des acrobaties du 
genre)
 
 Comme les sites sont en fin de compte joignables, je ne me vois pas engager 
les supports des deux operateurs. En tt cas pas sans d'autres elements pour 
pointer qu'il y'a un probleme qq part sur le chemin.

 Je voudrais savoir quel serait la meilleure approche pour aller plus loin et 
collecter les bons elements a presenter aux supports des deux operateurs pour 
qu'ils soient en mesure de creuser de leurs cote ?
 - Faire des traceroute de A vers B et de B vers A ?
 - Faire des captures de traffic pendant les curl (qui pourrais peut etre 
demontrer de la perte de packet et de la retransmissions ?)
 - Dumper l'ensemble des elements ici (dans la liste) et esperer qu'une ame 
charitable pourrais pointer du doigt un truc ?

 Toute idee de tests ou de pistes a explorer est la bienvenue !

 Merci !

Youssef
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] [FRnOG] [TECH] Vitesses DAC vs fibre

2020-04-24 Par sujet Youssef Ghorbal

>
>
> >> Cuivre 10Gb/s RJ45
> > a éviter a tout prix
> >
> Il y a 9 ans, j'ai câblé mon réseau en 6a pour qu'il soit compatible 10
> Gb/s en
> me disant que je pourrais profiter du 10G lorsque les switchs 10G aurait
> un
> tarif abordable. J'ai mal anticipé ?
>
> Pourquoi le cuivre 10 Gb/s RJ45 est-il à éviter à tout prix ?
>

Moi aussi ca m'interpelle : avec des switchs 10G RJ45, des serveurs avec
des ports 10G RJ45 integre, et les bons cordons ?

Youssef

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Cloudfail

2019-07-30 Par sujet Youssef Ghorbal

Une refrence (pr cette annonce) a partager ?

Youssef

On Tue, Jul 30, 2019 at 4:21 PM David Ponzone  wrote:
>
> Annonce de la fermeture de Cloudwatt.
> Quelqu’un peut me rappeler quelle somme a été engloutie dans ce truc ?
>
> David Ponzone
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Poste d'administration multi-niveaux

2019-07-01 Par sujet Youssef Ghorbal

En effet, il n'y a pas de bonnes solutions, l'administrateur va
"souffir" (en comparaison a un setup moins secure selon le ref ANSSI)
Dans tt les versions il y'a deux systemes 1 d'admin, 1 de bureatique.
Le poste d'admin est forcement physique, le poste bureautique est soit
physique soit une VM. L'acces est uniquement autorise depuis le poste
d'admin vers le poste bureautique.
La version la moins penible, je trouve, est un bureau distant depuis
le poste d'admin vers le poste bureautique qui autorise le
copier/coller, mais il faut accepter la perte de qq fonctionnalites
"attendu" d'un poste bureautique (la video avec son dans le cadre de
visioconf par exemple) Il faudra dans ce cas fournir un poste nomade
pr la visio pr les admins en question.
Dans tous les cas, il reste a traiter les problemes de teletravail ds
ce contexte ainsi que la telemaintenance :)

Youssef

On Mon, Jul 1, 2019 at 1:16 PM Thierry Del-Monte  wrote:
>
> Bonjour,
>
> Merci à tous pour vos échanges et vos idées.
> Comme je m'y attendais, le sujet est loin d'être simple.
>
> La R9-- propose l'utilisation d'un VDI pour accéder à l'internet mais le 
> déconseille pour administrer des Hyperviseurs et des Annuaires.
> La R9- est a solution la plus sexy (utilisation de poste multi-niveaux) mais 
> peu de solutions sur le marché, l'ANSSI développe Clip-OS depuis 2006 mais en 
> 2019 toujours pas de version utilisable en production et SEDUCS en lisant le 
> PDF je n'ai pas compris ce que cela faisait exactement.
> La R9 demande d'avoir deux PC physiques différents (là je vais perdre tous 
> mes ingénieurs ...)
>
> S'il y a des personnes de l'ANSSI sur la liste, il serait intéressant qu'ils 
> puissent partager dans les grandes lignes la solution mise en place chez eux.
>
> Thierry
>
>
>
>
> Le 29/06/2019 à 17:22, Stéphane Rivière a écrit :
>
> Le 29/06/2019 à 16:51, Florent CARRÉ a écrit :
>
> Bonjour tout le monde,
>
> Je plussoie ton approche, y compris l'excellent saltstack. Xen a une
> empreinte bien plus faible qu'un nux. Enfin, on va pas détailler, suffit
> d'aller voir sur le site de Qubes ou mater leurs ML...
>
> Maintenant, comme tu dis, bon courage... (et n'oublions pas la "cape de
> zorro" pour taper les credentials, de boucher/briquer tous les ports
> pour la "femme de chambre", etc...).
>
> Sans compter le hardware. Un PC sans hardware certifié, il sert à quoi
> l'OS ultra sécurisé ? À rester bien au chaud dans un intranet blindé.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Recherche Problématique à Étudier

2019-05-25 Par sujet Youssef Ghorbal

IPv6

On Sat 25 May 2019 at 11:59, Diogo MDS  wrote:

> Bonjour à toutes et tous,
>
> Actuellement en Master  Réseau System, Cloud, je suis à la recherche d'une
> problématique à étudier dans le monde de l'IT.
>
> Je sais que pas mal de personne se posent des questions sur pas mal de
> sujet et j'aimerai donc profiter de FRnog afin de choisir un sujet
> intéressant que je pourrai développer avec mon binôme au mois de Mars
> l'année prochaine et aussi une soutenance à laquelle vous pourrez
> participer et faire parti du Jury  si je sujet vous tient à cœur.
>
> Je suis à l'écoute de vos idées, de vos interrogations.
>
> En vous remerciant,
> Un excellent week à toutes et à tous,
> Diogo
> 
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

2019-02-09 Par sujet Youssef Ghorbal

> Pour moi la best practice sur un AD (car j'ai l'impression que c'est de cela 
> dont on parle) c'est :
> 1 - partir d'un domaine "racine" publique (example.com), sinon ca va être 
> compliqué/impossible d'utiliser les produits Cloud de Microsoft
> 2 - avoir des DNS pub en DMZ ou chez n'importe quel hébergeur ou vendeur de 
> domaines... idéalement sur des AS différents
> 3 - avoir une zone interne, type corp.example.com pour ton AD et tes Linux, 
> etc... donc en IP privées
> 4 - ne surtout pas avoir de copie de ta zone pub (example.com) sur ton DNS 
> interne sinon il faut faire les modifs sur tes DNS pub et sur ton DNS interne
> 5 - si besoin d'un record dans corp.example.com en IP pub, côté Internet, 
> alors tu crées corp.example.com sur le DNS pub et tu crées uniquement le 
> record nécessaire
>
> Voilà, là c'est propre et safe...

Jusqu'au jour ou tu installes Lync/Skype For Business (ou son future
nom quand un marketeux aura change d'avis) Ce machin oblige pour
fonctionner d'avoir des enregistrements sur la zone racine example.com
avec des contraintes a la con :
- ceux qui doivent l'etre de l'extreieur et pas de l'interieur.
- ceux qui doivent l'etre de l'interieur et pas de l'exterieur
- ceux qui sont visible de l'intereiur et de l'exterieur mais avec des
IPs differentes.

Un enfer sans nom et qui casse le modele (notamment de la regle 4) Il
devrait y avoir des lois contre ca.

On a ete oblige d'introduire un split DNS rien que pr ca (et qui
depuis n'a servi que pour ca)

Youssef Ghorbal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G

2018-12-18 Par sujet Youssef Ghorbal

Merci pour tout ces retours mais concretement pour la question initiale :
Ca a du sens l'autoneg sur des liens 10G/40G fibre ? (j'imagine que
oui, vu les optiques dual speed et le flowcontrol ?)
C'est grave docteur d'avoir de l'autoneg d'un cote et du force de l'autre ?
Quels sont les risques/problemes ?

Youssef

On Tue, Dec 18, 2018 at 5:35 PM Philippe Bolle
 wrote:
>
> Cher Michel,
>
> Pas de problème car transparent dans les deux modules car pas de CDR.
>
> Philippe Bolle
> Managing Director
>
>
>
>
>
> Rue du Moulin, 18 | B-5650 Fraire
> Tél.: +32 (0) 71 61 06 40 | Mobile: +32 (0) 498 88 34 00
> Web: https://www.skylaneoptics.com
>
>
>
>
>
>
>
> -Original Message-
> From: Michel Hostettler 
> Sent: 18 December 2018 17:32
> To: Philippe Bolle 
> Cc: Hugues Voiturier ; Manuel Guesdon 
> ; Youssef Ghorbal ; Alarig 
> Le Lay ; frnog 
> Subject: Re: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G
>
> OK pour le budget.
>
> Mais... sapristoche... le R de LR désigne un codage de canal 64B/66B... ce 
> qui n'existe pas en 1G !
>
> Cordialement,
> Michel
>
> - Mail original -
> De: "Philippe Bolle" 
> À: "Michel Hostettler" , "Hugues 
> Voiturier" 
> Cc: "Manuel Guesdon" , "Youssef Ghorbal" 
> , "Alarig Le Lay" , "frnog" 
> 
> Envoyé: Mardi 18 Décembre 2018 17:15:55
> Objet: RE: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G
>
> Oui mais le budget optique sera différent entre le 10G et le 1G.
>
> SFP+ 10G LR est avec un budget optique de 6,2 dB
> SFP 1G LR est avec un budget optique de 11 dB.
> Donc en fonction du budget nécessaire il y a une différence entre 1G et 10G 
> car le TIA du récepteur ne sera pas optimisé pour 1G sur le 10G.
>
> BR
>
> Philippe Bolle
> Managing Director
>
>
>
>
>
> Rue du Moulin, 18 | B-5650 Fraire
> Tél.: +32 (0) 71 61 06 40 | Mobile: +32 (0) 498 88 34 00
> Web: https://www.skylaneoptics.com
>
>
>
>
>
>
>
> -Original Message-
> From: Michel Hostettler 
> Sent: 18 December 2018 16:52
> To: Hugues Voiturier 
> Cc: Philippe Bolle ; Manuel Guesdon 
> ; Youssef Ghorbal ; Alarig 
> Le Lay ; frnog 
> Subject: Re: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G
>
> Bonjour,
>
> > Quelle est cette sorcellerie ? :D
>
> Comme le SFP+ doit intégrer la totalité de la couche physique (et pas 
> seulement la couche PMD, il faut, à mon humble avis :
>
> (1) que les fenêtres optiques pour 1G et 10G soient identiques,
> (2) que les codages de canal soient identiques c'est à dire 8B/10B.
>
> Donc forcer un membre de la famille 10GBase-LX en un membre de la famille 
> 1000Base-LX ne doit pas trop surprendre.
>
> Cordialement, Michel
>
> - Mail original -
> De: "Hugues Voiturier" 
> À: "Philippe Bolle" 
> Cc: "Manuel Guesdon" , "Youssef Ghorbal" 
> , "Alarig Le Lay" , "frnog" 
> 
> Envoyé: Mardi 18 Décembre 2018 16:24:45
> Objet: Re: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G
>
> Merci Philippe !
>
> Sur Mikrotik, tu peux sans souci mettre un SFP+ 10G quelconque, et le forcer 
> en 1G, sous réserve que celui d’en face soit configuré pareil, le lien monte…
>
> Quelle est cette sorcellerie ? :D
>
> Hugues
> AS57199 - AS50628
>
> > On 18 Dec 2018, at 16:22, Philippe Bolle  
> > wrote:
> >
> > Cher vous tous,
> >
> > Philippe de Skylane optics.
> >
> > SFP TRX peuvent tous travailler à FE et GBE SFP copper qui utilise un
> > phy Marvell peuvent autoneg avec 10/100/1000
> > SFP+ 10G ne fonctionne qu'à partir de 8 FC jusque 10G OTU mais normalement 
> > testé jusque 10GBE.
> > Il existe des SFP+ qui sont bi-rate 1G/10G mais très rare dans le marché et 
> > plus cher.
> >
> > Mon petit message pour vous.
> >
> > Philippe Bolle
> > Managing Director
> >
> >
> >
> >
> >
> > Rue du Moulin, 18 | B-5650 Fraire
> > Tél.: +32 (0) 71 61 06 40 | Mobile: +32 (0) 498 88 34 00
> > Web: https://www.skylaneoptics.com
> >
> >
> >
> >
> >
> >
> >
> > -Original Message-
> > From: frnog-requ...@frnog.org  On Behalf Of
> > Hugues Voiturier
> > Sent: 18 December 2018 16:08
> > To: Manuel Guesdon 
> > Cc: Youssef Ghorbal ; Alarig Le Lay
> > ; frnog@frnog.org
> > Subject: Re: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G
> > et 40G
> >
> > Il me semble qu’en 1/10G t’

Re: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G

2018-12-18 Par sujet Youssef Ghorbal

On Tue, Dec 18, 2018 at 2:44 PM Alarig Le Lay  wrote:
>
> Bonjour,
>
> On mar. 18 déc. 11:34:10 2018, Youssef Ghorbal wrote:
> > Bonjour,
> >
> >  Je ne trouve pas une reponse satisfaisante a une question somme toute
> > assez simple :
> >  Entre deux equipements avec des liens 10G (ou 40G), si l'un des cotes
> > du lien a une conf manuelle force a 10G Full (ou 40G full) et que
> > l'autre est en autoneg, est ce que c'est "grave" ? Qu'est ce qui peut
> > ne pas bien se passe une fois le lien etabli ?
>
> L’autoneg n’a de sens qu’en cuivre. Comme il y a peu de chances que tu
> fasses du 10G en cuivre et que le 40G est forcément en optique, y’a pas
> de raison que tu l’utilises.

Y'a une reference qq part comme quoi l'autoneg n'a pas de sens en
dehors du cuivre ? Je suis preuneur !
Oui en effet, ma question est a prendre dans le contexte de lien fibre
pas cuivre.

Youssef


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G

2018-12-18 Par sujet Youssef Ghorbal

Bonjour,

 Je ne trouve pas une reponse satisfaisante a une question somme toute
assez simple :
 Entre deux equipements avec des liens 10G (ou 40G), si l'un des cotes
du lien a une conf manuelle force a 10G Full (ou 40G full) et que
l'autre est en autoneg, est ce que c'est "grave" ? Qu'est ce qui peut
ne pas bien se passe une fois le lien etabli ?

 Les interwebs et la sagesse collective a etabli depuis longtemps
qu'il faut soit autoneg des deux cotes, soit conf manuel (et
identique) des deux cotes.

 Plus concretement, si j'ai un port reseau avec autoneg d'un cote et
force a 10G Full de l'autre cote, et que le lien est bien etabli, est
ce un fonctionnement nominal ou bien c'est foireux (dans le sens "oui
ca marche mais ce n'est pas bien") et auquel cas quels sont les
problemes qui peuvent arriver.

 Merci de vos retours.

Youssef Ghorbal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Poste ingénieur réseau / coordinateur de pôle @Institut Pasteur

2017-11-22 Par sujet Youssef Ghorbal

Bonjour,

 La DSI de l'Institut Pasteur cherche un ingénieur réseau confirmé
pour coordonner le pôle « réseau et infrastructure » qui assure la
gestion des réseaux IP, des matériels filtrants (pare-feu, Reverse
proxy) avec une équipe de 4 personnes ingénieurs et techniciens.

 Le détail de l'offre est ici :
 
https://emploi.pasteur.fr/offre-de-emploi/emploi-ingenieur-reseau-coordinateur-de-pole-h-f_8.aspx

 Quelques chiffres sur le réseau de l'IP :
 - quelques 18000 prises réseaux réparties sur un campus de ~50
bâtiments (technologie Extreme Networks, personne n'est parfait hein)
 - plus de 250 bornes wifi (technologie Ruckus)
 - un coeur de réseau 40G (technologie Arista)
 - deux niveaux de Firewalls (technologie Palo Alto et Fortinet)
 - Reverse Proxy (technologie F5)
 - un réseau 10G/40G de Datacenter ~30 baies (précablage fibre Corning
et équipements actifs Arista)
 - accès Internet par Fibre noire via TH2.

 Environnement de travail riche et équipe sympathique. Je peux fournir
plus de détails sur demande directe.

Youssef Ghorbal

PS : je n'ai pas la main sur la rémunération, je me contenterais donc
du classique "rémunération selon profil"


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Gestion DNS et rDNS

2017-07-03 Par sujet Youssef Ghorbal

Bonjour,

 Est ce que vous connaissez (ou avez deja utilise) des boites de
gestion de service DNS ?
 Je cherche a gerer le service DNS d'une centaine de nom de domaine.
 Je veux aussi que le service soit capable de gerer les delegations de reverse.
 L'aspect resgistrar n'est pas dans le scope.

 J'ai deja regarde cote Dyn, Route53 ou DNS Made Easy, techniquement
ca colle, mais le modele ne semble pas concorder au process classique
que je dois suivre (devis, commande, facture, paiement mensuel/annuel
par virement etc) De plus, je ne cherche pas forcement des perfs a la
microsconde ou une localisation globale, ni meme des algo de
repartition de traffic elabores.

 Merci de votre retour.

Youssef Ghorbal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Bonding Linux et Cisco LACP

2017-06-26 Par sujet Youssef Ghorbal

Bonjour,

 Sans vouloir detourner le thread, mais une interrogation qui m'a
toujours trotte dans la tete concernant le fonctionnement du channel
bonding (surtout avec TCP) :
 - Est ce que la spec (802.3ax ?) impose le fait que tt les packets
d'une meme session TCP partent sur le meme lien physique ? Je ne
trouve rien de clairement explicite. Je vois quelque chose concernant
l'algo de hash qui doit respecter l'order des packets mais rien de
plus.
 - Dans l'autre sens, est ce que les stacks reseaux (kernel, drivers,
etc) s'attendent a voir atterir les packets TCP d'une meme session sur
le meme port physique ?! Comment c'est sens se comporter si ce n'est
pas le cas ?

Youssef Ghorbal
-
2017-06-26 18:49 GMT+02:00 Michel Py <mic...@arneill-py.sacramento.ca.us>:
>> Franck LABBE a écrit :
>> Je n'ai jamais fait le test entre un Cisco et un Linux, mais normalement,
>> la méthode de hash d'un LACP est uniquement pour l'émetteur..
>
> Je plussoie; c'est donc très possible et même probable d'avoir du 
> load-balancing assymétrique. J'ai çà sur mon réseau en ce moment.
>
> Coté Cisco j'ai :
> port-channel hash-distribution adaptive
>
> catalyst(config)#port-channel load-balance ?
>   dst-ip Dst IP Addr
>   dst-macDst Mac Addr
>   dst-mixed-ip-port  Dst IP Addr and TCP/UDP Port
>   dst-port   Dst TCP/UDP Port
>   mpls   Load Balancing for MPLS packets
>   src-dst-ip Src XOR Dst IP Addr
>   src-dst-macSrc XOR Dst Mac Addr
>   src-dst-mixed-ip-port  Src XOR Dst IP Addr and TCP/UDP Port
>   src-dst-port   Src XOR Dst TCP/UDP Port
>   src-ip Src IP Addr
>   src-macSrc Mac Addr
>   src-mixed-ip-port  Src IP Addr and TCP/UDP Port
>   src-port   Src TCP/UDP Port
>
> J'ai tendance à choisir src-dst-mixed-ip-port mais çà dépend vachement des 
> besoins.
>
> Attention piège à con : quand tu changes le hash sur Cisco çà peut se 
> traduire par un lag de plusieurs secondes, à faire à 3 heures du mat quand 
> personne regarde.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] EMC VNXe3200

2016-10-16 Par sujet Youssef Ghorbal

Au dela des IOPS, attend toi a souffir le martyre avec l'interface
d'admin Unispehere (si tu part sur l'option EMC VNX)
La moindre MAJ de Java (cote client) et ce machin arrete de fonctionner !
Nous avons fini par dedier une VM rien que pour ca avec une version
figee de Java et un bon IE qui tache pour etre sure de pouvoir prendre
la main tout le temps.

Youssef


2016-10-15 19:02 GMT+02:00 MERCKEL Aurélien :
> Bonjour à tous.
>
> Est-ce que certain d'entre vous utilise des SAN EMC VNXe3200 ?
>
> En êtes-vous satisfait ?
> Quel est la capacité d'IOPS sur ce modèle ?
> Ou se place cette solution par rapport à DataCore ?
>
> Merci d'avance pour vos retours.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

2016-06-12 Par sujet Youssef Ghorbal

[...]

> Pour ce qui est du Broadcast et des applis qui fontionnent avec... Cela
> devrait pas trop poser de problèmes parce qu'on a toujours fait "la chasse"
> à ce type de fonctionnement.. Les protocoles qui broadcast tout le réseau
> sans trop de raison, on essayé de les désactiver au maximum sur les postes,
> applis, imprimantes, etc...

Tant mieux, si vous pouvez le faire :)

> Je vois que vous utilisez une attribution dynamique en fonction de l'adresse
> mac..
> Pourquoi pas utiliser des outils connectés à l'AD ?

Je parle d'un reseau ou il y'a a peu pres ~3000 postes dont 60% sont
des MACs (et le users sont admins dessus), donc AD...
Rajoutez a ca, le bring your own bidule :)

> En effet, pour ce qui est du 802.1x nous avons déjà mis en place la
> solution, elle est juste pas très utilisée en attendant la division réseau.
> Nous après une étude, on a decidé d'utiliser NPS de Windows Serveur. Cela a
> l'avantage d'être connecté et complètement integré à l'Active Directory.
> Ainsi nous pourrons filtrer et attribuer un vlan en fonction du groupe de
> l'utilisateur ou de l'ordinateur par exemple.
> Pour ce qui est des peripheriques non compatibles 802.1x, nous utilisons des
> comptes "fantomes" créé dans l'AD avec l'adresse mac du peripherique et
> ensuite c'est le switch qui va generer une demande d'authentification en
> utilisant que l'adresse MAC. Si ça match c'est OK => accès au réseau et vlan
> attribué.

En effet, a partir du moment ou on maitrise les postes, on a plus de lattitudes.

Youssef


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

2016-06-12 Par sujet Youssef Ghorbal

La ou je travaille actuellement on a traite exactement la meme
problematique. Plusieurs entites (services/departements,) plusieurs
batiments, des stacks par batiment et un coeur qui relient tous ces
batiments. Avec la subtilite qu'une entite peut etre eclatee sur un ou
plusieurs batiments.

On s'est pose les memes questions en terme de decoupage reseau : par
batiment ? par entite ?

- Decoupage par batiment : comme ca a deja ete aborde, on peut faire
du L3 par batiment, pas la peine de se prende la tete avec des LANs
etendus, on a l'avantage de toute la flexibilite des protocoles de
routages etc. Par contre, il faut accepter (et faire accepter) que les
protocoles en broadcast ne vont pas fonctionner (entre batiment
j'entend). Exemple, dans l'entite machin, ils ont un petit NAS ou un
serveur de licence ou une Time Capsule, etc etc. Ce truc va tres bien
marche pour les membres de l'entite qui sont dans le meme batiment
mais pas pour les autres, ca peut creer de la confusion (et de
l'incomprehension des utilisateurs) Il faut aussi prendre en compte
que ds ce scenario si tu envisage de faire qq filtrage par IP (genre
authoriser le service bidule a acceder au site machin, ou interdire le
service truc a acceder au serveur toto) la il faut avoir un sous
reseau par entite par baitment. Si tu as 3 entites et 4 batiments ca
passe, mais si tu as 250 entites et 50 batiments la gymnastique
devient complexe. Autre piste, tu met tous les postes du batiment A ds
le meme VLAN
(et tu passes sur un filtrage par utilisateur, groupes, ce qui est un
autre debat)

- Decoupage par entite/service : ca necessite un LAN etendu sur tous
le "campus", tous les vlans sont sur toutes les stacks. Les protocoles
de broadcasts fonctionnent, mais tu a tous les incovenhients du LAN
(etendu). Ca fonctionne chez nous avec des plus de 300 vlans et plus
de 50 batiments. Le plus important ici, est que tu dois gerer un
protocle d'attribution de VLAN dynamique pour que les postes
atterissent dans le bon VLAN quand ils accedent au reseau (802.1x ou
du MAC based vlan etc) ceci necessiste de connaitre les adresses MAC
de tous les postes, gerer une base radius avec etc etc (PacketFence &
consors). Pareil, si tu gere que des postes fixes, tu peux faire les
confs sur les switchs en statiques et a la mimine, mais des que tu as
une grande volatilite (des postes et des entites) ca devient
ingerable.

Qq remarques :
- L'experience montre que tot ou tard tu vas tomber sur un use case ou
ton decoupage par batiment ne fera pas l'affaire et que tois le
"porcifier" pour avoir un LAN etendu entre batiment. C'est rare mais
ca peut arriver. Je peux donner par exemple les reseaux d'alarmes
temperature par exemple ou les gens qui ont imagine le soft ne se sont
pas pose la question et partent du principe que toutes les sondes
doivent etre ds le meme reseau (un exemple parmi d'autres)
- 802.1x necessite une tres grande maitrise des postes. Sur le papier
c'est "supporte" par les OS du marche mais quand on rentre ds les
details, c'est l'enfer. Pareil, tot ou tard, tu vas tomber sur ZE
equipement qui ne sais pas faire et tu vas devoir enforcer le port en
statique sur le switch (ou tu vas te rendre compte que les 250
imprimantes recemment achete ne font pas de 802.1x :) ) L'alternative
est de se contenter de l'adresse MAC et des fonctionnlite des swicths
de type "MAC Authentication Bypass sur Cisco, ou Netlogin sur Extreme
etc)
- Le fait de devoir creer les VLANs sur tous les switchs peut etre
alleger par les fonctionnalites que peuvent proposer les swicths. Par
exemple, il y'a des switchs qui proposent d'auto creer le VLAN (et lui
coller les uplinks) quand un poste est authorise sur le reseau (le
Radius envoie cette infos) mais ca creer une adherence par rapport au
constructeur ce qui n'est pas toujours souhaitable si tu as un mix de
constructeur sur ton reseau.

Pour le moment, nous somme dans le scenario 2 (decoupage par entite)
on a un LAN etendu et de l'attribution dynamique de  VLAN base sur
adresse MAC (et de l'auto creation de VLAN parce que le constructeur
sais faire) On ne fais pas de 802.1x parce qu'on ne maitrise pas la
totalite du parc. On utilise des outils maison pour gere cette base
d'adresse MAC ce qui n'est pas tres confortable. Les outils du marche
de type IPAM ne gerent malheureusement pas ce use case (aucun ne
supporte du L2, les VLANs, Radius etc)

Bon courage !

Youssef Ghorbal


2016-06-12 12:44 GMT+02:00 Bruno LEAL DE SOUSA <bruno.ld.so...@gmail.com>:
> Merci beaucoup pour ces réponses.
>
> Oui effectivement on est plus dans un mode office-mobile où les gens
> bougent assez souvent et les services déménagent souvent de bureaux..
> En gros si je veux pas avoir trop de soucis et faire un découpage par
> service, il faudrait que je mette en place du 802.1x et que je propage mes
> vlans bureautiques sur toutes les piles.. Ce qui m'embête un peu..
> C'est pas top quand même de devoir pr

[FRnOG] [MISC] API Contact Everyone d'Orange

2016-06-07 Par sujet Youssef Ghorbal

Bonjour la liste,

 Est ce que par hasard des gens dans la liste utilisent l'API Contact
Everyone d'Orange pour envoyer des SMS (dans le cadre d'alerte de
supervision par exemple)
 J'ai la doc sous la main avec plein de XML de WSDL, ca pique les
yeux. Et je n'arrive pas a trouver l'ombre d'une SDK dans les
interwebs.

 Avant de me lancer corps & ame dans les meandres de SOAP, je me
demandais si quelqu'un a des scripts maison a partager (meme
imparfaits).

 Merci !

Youssef Ghorbal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Choix d'une appliance Firewall

2013-09-24 Par sujet Youssef Ghorbal

J'en profite pour demande si vous avez eu la possibilite de jouer avec
Palo Alto.
Est ce que vous avez des retour la dessus ?

Youssef

2013/9/23 Raphael Maunier raph...@maunier.net:
 Le 2013-09-23 14:22, Radu-Adrian Feurdean a écrit :

 On Mon, Sep 23, 2013, at 12:09, Raphael Maunier wrote:

 Attention, le CLI est inexistant sur ces deux derniers, c'est
 clickodrome. Mais pour du firewall, très franchement, le tout cli je
 crois que c'est dépassé


 Cote Fortinet, le CLI existe bel et bien, il est juste pas pratique pour
 la gestion des regles. Par contre, pour faire du debug ou utiliser
 certaines fonctionalites, il *FAUT* passr par la casse CLI.


 Donc pour moi inexistant :)  Quand tu peux pas vraiment l'utiliser car il
 faut avoir le pdf à porté de main, c'est que c'est pas fait pour être
 utilisé



 marrant avec des machines vérolés qui ont détruit de l'ASA par exemple.

 Je me demande meme comment les trucs comme ASA se vendent encore, jamais
 vu un truc aussi pénible à administrer.


 Ce ne sont pas les boities ASA qui se vendent, mais l'etiquette Cisco
 collee au boitier. Les ASA classiques sont totalement obsoletes, les ASA
 series -X ont juste un prix totalement delirant (meme apres minimum
 50% de remise) pour ce qu'ils offrent.



 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 10G l3/l4 firewall

2013-06-26 Par sujet Youssef Ghorbal

 Chez Fortinet, les perfs dependent des fonctionalites effectivement
 utilises, sachant que l'utilisation d'une certaine fonctionalite impacte
 uniquement les regles l'utilisant.
 Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste
 traite en ASIC, avec des perfs qu'on voit pas chez grand monde.

Interessante remarque.
En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais
aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic
(de l'ordre du giga dans le meilleurs de cas) Je pensais initialement
partir sur deux boitiers, un gros debit mais filtrage classique et
l'autre bas debit mais fonctions de securite plus avancees.

Avec fortigate je pourrais du coup faire tout avec le meme boitier,
identifier les flux ayant besoin de fonctions de filrage avancee sans
penaliser les capa de filtrage classiques des autres flux.

Vous savez si d'autres constructeurs sont capables de faire la meme
chose ? (Les SRX par exemple)

Merci de vos retours instructifs.

Youssef


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 10G l3/l4 firewall

2013-06-25 Par sujet Youssef Ghorbal

Par curiosite quand vous parlez de limitations en mode cluster vous
avez des exemples precis/concrets ?

Je suis tombe sur ce post en googlant SRX :
http://forums.juniper.net/t5/SRX-Services-Gateway/Convince-me-to-stay-with-SRX-vs-Fortinet-Honest-input-requested/td-p/186575

Youssef

2013/6/25 Duga dug...@gmail.com:
La gamme SRX est effectivement jeune et souffre de quelques limitations
regrettable. Surtout lors du passage en mode cluster.
Cependant, le hardware est très bien foutu et performant. Les performances
sont largement au rendez vous.
Les limitations sont levées à un rythme satisfaisant. Entre les versions 10.x
et 12.x de Junos c'est le jour et la nuit.
Par rapport aux besoins exprimés, ils répondent parfaitement et constituent
un bon investissement sur la durée je pense.

Ma petite expérience est d'avoir implémenté du 100, 210, 240, 650 et 3600 sur
2 Datacenters et une vingtaine de sites.
Avec tout l'éventail que cela nécessite : Firewalling, IPSEC, OSPF ….
Bref, peut encore mieux mais beaucoup de potentiel.

Julien.

Le 24 juin 2013 à 22:17, Mattieu Baptiste mattie...@gmail.com a écrit :

Le 24 juin 2013 21:41, Raphael Mazelier r...@futomaki.net a écrit :

Même si on met de côté les limitations stupides de la HA pour les modèles
=650, le SRX n'est pas un produit au niveau.

Peux tu détailler s'il te plait ?
Parce que même si je dois reconnaitre que si les SRX sont loin d'être
parfait (configuration trop verbeuse, Alg qui déconnent, limitations
stupides en mode cluster) ce sont les firewalls matériels les moins pire
que je connaisse (à égalité avec les Netscreen, la CLI junos en plus, la
Gui en moins).

J'ai des fois les envois syslog qui plantent. Faut redémarrer le service,
c'est comme ça, et plutôt ballot quand tu perds plusieurs heures/jours de
logs.
Ou la feature qui t'oblige à rebooter le nœud quand tu perds le control
link. D'ailleurs, le switching non recommandé sur le control link (quelque
soit les modèles), sur quelle planète ils vivent Juniper ? Et puis
récemment, j'ai eu droit à un SRX650 qui ne redémarrait pas. Au début,
notre support m'a dit c'est normal, c'est la carte flash qui doit avoir
des problèmes, il suffit (sic) de réinstaller l'OS. Après 1h30 à tenter de
réinstaller JunOS, on a fini par changer le châssis.

Honnêtement, de l'avis d'un certain nombre d'intégrateurs, je suis loin
d'être le seul à avoir des soucis sur SRX. La gamme est jeune, ça
s'améliore avec le temps mais clairement ils ont encore un wagon de retard.

Bien mieux en tout cas que Cisco et Checkpoint par exemple.
Je ne connais pas Fortinet en revanche, il y a un consensus pour dire que
c'est bien ?

Perso, aucune idée pour Fortinet, mais tant que tu te limites à du filtrage
L4, ils ont pas mauvaise réputation.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] 10G l3/l4 firewall

2013-06-23 Par sujet Youssef Ghorbal

Bonjour,

 Est ce que c'est possible de trouver dans la nature des statefull firewall
l3/l4 only. Des boitiers avec quelques ports 10G sans tout ce qui est
 filtrage l7, antivirus antispam applicationID machin chose
capables d'encaisser du ~20/30G avec du traffic de mr tout le monde en
terme de pps (web, mail applications metiers)

 La seule option que je vois aujourd'hui c'est de prendre un boitier qui
fait tout et d'ignorer les fonctionnalites qui ne servent pas mais je
n'aime pas trop l'approche. Les fonctionnalites de filtrages dites avancees
sont generalement inclues d'office dans les boiboites et shiftent les prix
dangereusement vers le haut.

Youssef

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Sponsoring LIR

2013-05-29 Par sujet Youssef Ghorbal

Bonjour,

 Suite a un changement de FAI (qui faisait office de LIR) nous sommes
amene a trouver un autre (LIR)
 Nos 2 autres FAIs ont soit cordialement refuse de gerer cet aspect
(Renater) ou bien n'ont toujours pas donne suite a nos sollicitations
(et celle du RIPE NCC) (SFR)

 RIPE NCC nous met la pression avec un ultimatum (remise du numero
d'AS dans le pool public) et ils refusent meme de nous donner un delai
supplementaire (ce que je trouve assez surprenant comme attitude de la
part du RIPE, d'habitude ils sont plus conciliant)

 Pour finir, RIPE NCC a arrete son programme Direct Assignement User :
 
http://www.ripe.net/lir-services/resource-management/faq/direct-assignment-users

 Je sollicite donc de l'aide :
 - Si quelqu'un de chez SFR pourrais faire activer les choses en
interne. Ou bien me donner des contacts pour que mon commercial puisse
les solliciter.
 - Est ce qu'il y'a parmi vous des LIRs qui soient pret a devenir
Sponsoring LIR meme s'ils ne sont pas FAI. De memoire, j'ai toujours
vu les deux aller un peu ensemble (en tout cas de point de vu End
User)

 Reste a devenir LIR, mais je trouve ca overkill pour juste un
numero d'AS et une allocation PI.

 Toute aide/conseil est la bienvenue.

Youssef Ghorbal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Sponsoring LIR

2013-05-29 Par sujet Youssef Ghorbal

En effet, j'ai deja pas mal de reponses.
J'ai des taris en ressources par an.
Qu'est ce qui est appele exactement ressources dans le commerce.
Juste les numeros d'AS et les allocations d'IP ? Est ce qu'il y'a une
correspondance avec les autres objets annexes de la base RIPE (les
delegations de reverses, etc)

Merci encore de votre aide a tous.

Youssef

2013/5/29 Solarus sola...@ultrawaves.fr:
 On Wed, 29 May 2013 10:34:22 +0200, Youssef Ghorbal
 youssef.ghor...@gmail.com wrote:

  - Est ce qu'il y'a parmi vous des LIRs qui soient pret a devenir
 Sponsoring LIR meme s'ils ne sont pas FAI. De memoire, j'ai toujours
 vu les deux aller un peu ensemble (en tout cas de point de vu End
 User)

 Il y a sur la liste quelques sociétés pouvant proposer une prestation
 de LIR, c'est le meilleur choix il me semble, je les laisse vous
 répondre.

 Cordialement.

 --
 Solarus
 www.ultrawaves.fr


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Acces au 100.40.0.0/17 depuis SFR

2013-03-26 Par sujet Youssef Ghorbal

Bonjour,

 Nous avons du mal a atteindre le 100.40.0.0/17 depuis un acces SFR.
L'annonce BGP arrive correctement, mais nous n'arrivons pas a joindre un
site heberge dans cette plage (www.grc.org pour ceux que ca interesse)

 D'ailleurs ce meme site n'est pas joignable de n'importe quel acces SFR
grand public (ADSL, 3G, etc)

 Depuis notre autre fournisseur (Renater) l'acces se passe bien. C'est
aussi le cas des 2/3 acces grand public que nous avons pu tester (Free,
Orange)

 Nous avons un ticket en cours chez SFR (ouvert depuis pres de 3 semaines
maintenant) et je souhaitait savoir si d'autres parmi vous ont constate des
problemes d'acces a ce prefix depuis vos differents reseaux.

 Outre la gene que ca induit, j'essaie de voir quel types de scenarios
peuvent aboutir a ce genre de trou noir du moins tres selectif.

 Merci de vos retours.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base SQL)

2012-12-01 Par sujet Youssef Ghorbal

En regle generale je dirais oui, il s'agit de deux offres differentes mais
dans mon use case, avoir les deux au meme endroit est un avantage.
Je ne suis pas dans le contexte operateur mais plutot dans une logique
campus. J'ai un ensemble de departement et de de services a qui j'alloue
des ss-reseaux (et des vlans) ainsi que des sous domaines et pour lesquel
je declare des terminaux (PC, MAC, imprimantes etc) Jusque la une solution
IPAM/DNS/DHCP fait tres bien l'affaire. J'arrive a voir le decoupage de mon
plan d'adressage et tout est nickel cote DNS.
Par contre, si je veux effectuer de l'allocation dynamique de VLAN au
niveau des switchs d'acces, et que je me retrouve a utiliser un autre
outil, je vais etre amener a dupliquer les donnees (la liste des adresses
MAC des postes et leur association aux VLANs) entre les deux outils. Avoir
tout au meme endroit est tres avantageux.

Je vais jeter un oeil sur Infoblox.

Youssef




2012/12/1 vincent clement clement.vincen...@yahoo.fr

 Pour moi ce n'est pas la même gamme de produit, et il n'y a pas à ma
 connaissance de tout en un avec ces 2 offres.

 Pour ce type de besoin, tu as des solutions dédiées type GreatBay Software
 qui inventorisent ton parc et le catégorise par type de devices (pc
 windows, pc linux, imprimante, téléphone) et qui range tout ca dans une
 base LDAP, donc accessible nativement par ta solution de contrôle d'accès
 (Juniper, Cisco...) qui se charge de faire l'alloc dynamqiue de vlan et
 l'authentification MAC sur cet annuaire.

 Vincent


   --
 *De :* Youssef Ghorbal youssef.ghor...@gmail.com
 *À :* Raphaël Maunier raphael.maun...@jaguar-network.com
 *Cc :* frnog-t...@frnog.org frnog-t...@frnog.org
 *Envoyé le :* Samedi 1 décembre 2012 1h56
 *Objet :* Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base SQL)

 Bonjour,

 J'en profite pour demander si vous connaissez des solutions integree type
 EfficientIP/Infoblox qui gere en plus le niveau 2, a savoir
 authentification par MAC et allocation dynamique de VLAN.

 Youssef
 --
 2012/11/30 Raphaël Maunier raphael.maun...@jaguar-network.com

  Pour ma part, je partirais vraiment sur des solutions constructeurs.
 
  Gérer du home-made est plus flexible, mais coûte bien plus cher qu'une
  solution packagé.
 
  Il y a eu un fil de discussion sur le sujet récemment, le libre, ne veut
  pas dire low-cost.
 
  Dans le cas de Sébastien, il faut voir s'il a l'équipe staffée pour
  maîtriser la mise en prod, l'optimisation et le débug.
 
  Pour les constructeurs / fournisseurs, je suis plus pour Efficient IP
  parce que ce n'est pas la grosse boite américaine :)
 
  --
  Raphaël Maunier
 
  Sent from my iPad
 
  On 30 nov. 2012, at 14:17, Guillaume Barrot guillaume.bar...@gmail.com
  wrote:
 
   Si tu cherches une solution toute intégrée, efficient IP, sans aucun
  doute
   - Webservices déjà intégrés, interfaces sympas, etc.
  
  
   + Infoblox. Deux solutions concurrentes qui ont les défauts de leur
   qualité.
   Ca tourne en VM pour des tests ou du lab, mais ça vaudra jamais du
 fait
   maison pour ce genre de besoin.
  
   ---
   Liste de diffusion du FRnOG
   http://www.frnog.org/
  
 
 
  ---
  Liste de diffusion du FRnOG
  http://www.frnog.org/
 

 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base SQL)

2012-12-01 Par sujet Youssef Ghorbal

Un AD et les services DNS/DHCP (et meme le composant IPAM de 2012) ne vont
pas dans tous les cas me gerer le niveau 2 (provisionning de VLANs et
association d'equipements a des VLANs dynamiquement)
Pour le moment au niveau repartition des produit sur le marche, je pense
qu'il y'a deux domaines :
- Gestion d'IPs / DNS / DHCP (et plus si affinite) : tous les produits type
DDI
- Provisionning de VLANs et association d'equipements a des VLANs
dynamiquement : tous les produits de type NAC. Sachant que meme dans ce
cas, il s'agit d'une sous utilisation d'un produits qui fait un millard
d'autres choses

Ce que je cherche est en fait un produit qui fait les deux et ce qui ne
semble exister dans la nature.

Ce que je trouve dommage c'est qu'il suffit de peu pourqu'un produit tel
que EfficientIP ou Infoblox supporte du vlan provisionning ainsi que la
fourniture du dynamic vlan provisionning (dans les cas que j'ai vu c'est
des VSA a positionner au niveau Radius)

Youssef
--
2012/12/1 Guillaume Barrot guillaume.bar...@gmail.com

 Pense aussi tout simplement à Windows si tu es dans un contexte Campus,
 sans trop de contraintes.
 Ca me coute de le dire, mais en général, activer le service DHCP et DNS
 sur l'AD est amplement suffisant (je me deteste pour avoir dit ça).
 Il semblerait aussi que dans la version Win2012, les deux services aient
 pas mal évolués, et il y a aussi un service IPAM intégré mais j'ai pas tout
 testé donc c'est à regarder.

 Bon ça sera jamais au niveau d'un produit dédié, et encore moins au niveau
 d'un fait maison en terme de tunning, et d'interop, mais bien souvent, ça
 suffit bien.

 A+


 Le 1 décembre 2012 19:07, Youssef Ghorbal youssef.ghor...@gmail.com a
 écrit :

 En regle generale je dirais oui, il s'agit de deux offres differentes mais
 dans mon use case, avoir les deux au meme endroit est un avantage.
 Je ne suis pas dans le contexte operateur mais plutot dans une logique
 campus. J'ai un ensemble de departement et de de services a qui j'alloue
 des ss-reseaux (et des vlans) ainsi que des sous domaines et pour lesquel
 je declare des terminaux (PC, MAC, imprimantes etc) Jusque la une solution
 IPAM/DNS/DHCP fait tres bien l'affaire. J'arrive a voir le decoupage de
 mon
 plan d'adressage et tout est nickel cote DNS.
 Par contre, si je veux effectuer de l'allocation dynamique de VLAN au
 niveau des switchs d'acces, et que je me retrouve a utiliser un autre
 outil, je vais etre amener a dupliquer les donnees (la liste des adresses
 MAC des postes et leur association aux VLANs) entre les deux outils. Avoir
 tout au meme endroit est tres avantageux.

 Je vais jeter un oeil sur Infoblox.

 Youssef




 2012/12/1 vincent clement clement.vincen...@yahoo.fr

  Pour moi ce n'est pas la même gamme de produit, et il n'y a pas à ma
  connaissance de tout en un avec ces 2 offres.
 
  Pour ce type de besoin, tu as des solutions dédiées type GreatBay
 Software
  qui inventorisent ton parc et le catégorise par type de devices (pc
  windows, pc linux, imprimante, téléphone) et qui range tout ca dans une
  base LDAP, donc accessible nativement par ta solution de contrôle
 d'accès
  (Juniper, Cisco...) qui se charge de faire l'alloc dynamqiue de vlan et
  l'authentification MAC sur cet annuaire.
 
  Vincent
 
 
--
  *De :* Youssef Ghorbal youssef.ghor...@gmail.com
  *À :* Raphaël Maunier raphael.maun...@jaguar-network.com
  *Cc :* frnog-t...@frnog.org frnog-t...@frnog.org
  *Envoyé le :* Samedi 1 décembre 2012 1h56
  *Objet :* Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base
 SQL)

 
  Bonjour,
 
  J'en profite pour demander si vous connaissez des solutions integree
 type
  EfficientIP/Infoblox qui gere en plus le niveau 2, a savoir
  authentification par MAC et allocation dynamique de VLAN.
 
  Youssef
  --
  2012/11/30 Raphaël Maunier raphael.maun...@jaguar-network.com
 
   Pour ma part, je partirais vraiment sur des solutions constructeurs.
  
   Gérer du home-made est plus flexible, mais coûte bien plus cher qu'une
   solution packagé.
  
   Il y a eu un fil de discussion sur le sujet récemment, le libre, ne
 veut
   pas dire low-cost.
  
   Dans le cas de Sébastien, il faut voir s'il a l'équipe staffée pour
   maîtriser la mise en prod, l'optimisation et le débug.
  
   Pour les constructeurs / fournisseurs, je suis plus pour Efficient IP
   parce que ce n'est pas la grosse boite américaine :)
  
   --
   Raphaël Maunier
  
   Sent from my iPad
  
   On 30 nov. 2012, at 14:17, Guillaume Barrot 
 guillaume.bar...@gmail.com
   wrote:
  
Si tu cherches une solution toute intégrée, efficient IP, sans
 aucun
   doute
- Webservices déjà intégrés, interfaces sympas, etc.
   
   
+ Infoblox. Deux solutions concurrentes qui ont les défauts de leur
qualité.
Ca tourne en VM pour des tests ou du lab, mais ça vaudra jamais du
  fait
maison pour ce genre de besoin

Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base SQL)

2012-12-01 Par sujet Youssef Ghorbal

Je pense que je me suis mal exprime. Loin de moi l'idee de faire faire a
DHCP/DNS le boulot d'un serveur Radius.
Le sens de ma remarque est que les EfficientIP/Infoblox ont des solutions
integrees plugplay et font en sorte que differents composants logiciels
fonctionnent en harmonie. J'utilise une belle interface, je charcute mes
sous reseaux comme je veux, je colle des sous domaines dessus, je peux
tracker une adresse MAC, je fais des stats, etc.
Ce que je regrette c'est qu'il ny'ai pas justement un Radius qui soit aussi
integre dans ces solution et une sourcouche logicielle pour faire du
provisioning de VLAN et faire en sorte que je sois capable non seulement de
mettre des machine dans des sous reseaux ou des sous domaines mais aussi
dans des vlans et d'associer des sous reseau a des vlans... etc.

Youssef


2012/12/1 Guillaume Barrot guillaume.bar...@gmail.com



 - Provisionning de VLANs et association d'equipements a des VLANs
 dynamiquement : tous les produits de type NAC. Sachant que meme dans ce
 cas, il s'agit d'une sous utilisation d'un produits qui fait un millard
 d'autres choses


 C'est pas vraiment le boulot d'un DNS/DHCP/IPAM ça, plus d'un radius ou
 équivalent.
 A ce niveau tu es déjà dans de l'AAA, et bon, un AD c'est un peu
 son rôle aussi.
 Mais le mieux, c'est encore un bon vieux radius (Radiator en perl, ça se
 bidouille bien à priori)


 Ce que je trouve dommage c'est qu'il suffit de peu pourqu'un produit tel
 que EfficientIP ou Infoblox supporte du vlan provisionning ainsi que la
 fourniture du dynamic vlan provisionning (dans les cas que j'ai vu c'est
 des VSA a positionner au niveau Radius)


 La encore, c'est pas le role d'un DNS/DHCP, et tout mettre dans le même
 soft, ça veut dire maintenance plus compliqué et probabilité de bugs plus
 grande.
 == radius, c'est son role. En prime Radiator peut se baser sur une base
 de données externe, donc rien ne t'empeche de repiquer les infos de ton
 appliance favorite au format SQL (sous réserve qu'elle supporte les
 connexions externes).
 Enfin, un annuaire LDAP en central est censé reprendre toutes ces infos,
 et tu peux connecter tes appliances DNS/DHCP et ton Radius directement sur
 ton annuaire, donc une seule base à maintenir.

 A+


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base SQL)

2012-11-30 Par sujet Youssef Ghorbal

Bonjour,

 J'en profite pour demander si vous connaissez des solutions integree type
EfficientIP/Infoblox qui gere en plus le niveau 2, a savoir
authentification par MAC et allocation dynamique de VLAN.

Youssef
--
2012/11/30 Raphaël Maunier raphael.maun...@jaguar-network.com

 Pour ma part, je partirais vraiment sur des solutions constructeurs.

 Gérer du home-made est plus flexible, mais coûte bien plus cher qu'une
 solution packagé.

 Il y a eu un fil de discussion sur le sujet récemment, le libre, ne veut
 pas dire low-cost.

 Dans le cas de Sébastien, il faut voir s'il a l'équipe staffée pour
 maîtriser la mise en prod, l'optimisation et le débug.

 Pour les constructeurs / fournisseurs, je suis plus pour Efficient IP
 parce que ce n'est pas la grosse boite américaine :)

 --
 Raphaël Maunier

 Sent from my iPad

 On 30 nov. 2012, at 14:17, Guillaume Barrot guillaume.bar...@gmail.com
 wrote:

  Si tu cherches une solution toute intégrée, efficient IP, sans aucun
 doute
  - Webservices déjà intégrés, interfaces sympas, etc.
 
 
  + Infoblox. Deux solutions concurrentes qui ont les défauts de leur
  qualité.
  Ca tourne en VM pour des tests ou du lab, mais ça vaudra jamais du fait
  maison pour ce genre de besoin.
 
  ---
  Liste de diffusion du FRnOG
  http://www.frnog.org/
 


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Avis sur Traffic Sentinel (inMon)

2012-11-29 Par sujet Youssef Ghorbal

Bonjour,

 Je cherche un retour d'experience sur l'analyseur de traffic Traffic
Sentinel (inMon)
 Sur le papier il a l'air de correspondre au besoin et nous l'avons
installe pour le tester a petite echelle.

 Je voulais juste savoir si quelqu'un l'a deja deploye a plus grande
echelle pour savoir comment ca se comporte.

 Nous sommes en fait a la recherche d'un outil d'analyse de traffic a base
de sFlow sur un reseau type Campus ( ~100 de switchs et quelques routeurs)
L'idee est d'etre capable d'identifier des goulets d'etranglement,
optimiser le traffic, capacity planning, detecter les anomalies... Donc si
vous avez d'autres suggestions n'hesitez pas.

 Merci pour vos conseils avises.

Youssef Ghorbal

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6

2012-08-24 Par sujet Youssef Ghorbal

 Sinon vous déployez ça comment en v6 ?
 - one armed et IPv6 globale sur les serveurs
 - one armed et IPv6 linklocal sur les serveurs
 - standard, le Loadbalancer route le scope v6 des serveurs
 - etc.

Des retours sur du l3 DSR ? (a la Y! avec DCSP ou a la Facebook en
IP-to-IP tunneling)

Youssef


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: Chassis VS stack

2011-03-23 Par sujet Youssef Ghorbal

2011/3/22 Youssef Ghorbal youssef.ghor...@gmail.com:

[...]

  Est ce que vous des retours du terrain sur des solutions en stack,
 est ce que ca passe a l'echelle correctement (on parle de quelques
 centaines de prises) Quels types de problemes avez vous rencontrez
 dessus.

Pour recentrer un peu le debat :)
Je ne suis pas a la recherche d'une marque ou d'un contrcuteur precis.
Ce qui m'interesse c'est de savoir si les gens qui ont mis en place la
techno stack  recemment en sont content (ou pas) quels sont les
avantages, les ecueils qu'ils ont rencontre. Est ce qu'ils ont ete
confronte a des difficultes particulieres et se sont dis a un moment
avec des chassis on n'aurais pas eu ceci ou cela

Le contexte est un contexte Campus, il s'agit de la couche d'acces
avec Giga+PoE a la prise. avec une concentration de type 400 a 800
prises par local technique.

Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: Chassis VS stack

2011-03-23 Par sujet Youssef Ghorbal

2011/3/23 Clement Cavadore clem...@cavadore.net:
 La question à se poser est plutôt dans quel sens seront les matrices de
 flux réseaux.

 S'ils sont de type prise-à-prise, ou plutot prise-à-uplink (ou
 serveur).

 Dans le premier cas, ma préférence irait plutôt au chassis (car tu n'as
 pas de problematique de backplane en chassis digne de ce nom)
 Dans le deuxième cas, un stack éventuellement pourait le faire, quitte à
 uplinker le chassis (si nécessaire) en LACP avec un membre du
 lacp/stack.

Il s'agit d'un traffic plutot prise-a-uplink, mais je ne peux pas me
permettre de tirer de fibres a gogo entre les batiments. je suis en
moyenne a un tiroire de 12 fibres par local.

Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: Chassis VS stack

2011-03-23 Par sujet Youssef Ghorbal

On Wed, Mar 23, 2011 at 6:37 PM, Radu-Adrian Feurdean r...@ftml.net wrote:
 On Wed, 23 Mar 2011 18:08:38 +0100, Youssef Ghorbal
 youssef.ghor...@gmail.com said:

 couche d'acces, qu'il faut faire gaffe aux parametres tel que conso
 electrique et disspation en chaleur.

 Aussi a la multiplication par 10 ou plus !
 A ce niveau la les solutions qui semblent delirantes pour quelques
 dizaines de ports commencent a prendre un sens

Dans un contexte Campus, ca arrive tres rarement, une fois le batiment
construit et cable, les prises se rajoutent par 10aines sur une
periode de temps assez longue.

Mais je suis d'accord sur le principe.

Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Chassis VS stack

2011-03-22 Par sujet Youssef Ghorbal

Bonjour,

 Je ne sais pas s'il s'agit du bon endroit pour poser la question
parce qu'il s'agit d'un envirennement reseau type campus et non
operateur.
 Je suis entrain d'etudier la possibilite de remplacer les
commutateurs de quelques batiements du campus et j'ai des
propostions selon deux modeles :
 - Des commutateurs en chassis : le truc habituel, des cartes, alims
consolidee etc
 - Des stacks 1U : un certain nombre de 1U stacke avec une notion de
consolidation logicielle pour voir le truc comme un seul gros switch

 Je suis assez familier avec les chassis mais ma seule experience avec
les stack remonte un peu dans le temps et n'etait pas tres conculante
(des Nortel de memoire)

 Est ce que vous des retours du terrain sur des solutions en stack,
est ce que ca passe a l'echelle correctement (on parle de quelques
centaines de prises) Quels types de problemes avez vous rencontrez
dessus.

 Merci de vos retours

Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Chassis VS stack

2011-03-22 Par sujet Youssef Ghorbal

2011/3/22 Jérôme Nicolle jer...@ceriz.fr:
 Le mardi 22 mars 2011 à 19:06 +0100, Radu-Adrian Feurdean a écrit :
 Pour la marque C, c'est surtout flagrant au niveau prix. Pour moins
 de
 200 prises, c'est clairement le stack qui gagne (surtout avec le
 2960S).
 Entre 200 et 400 prises le 4500 commence a voir du sens. Le 6500, je
 dirai que c'est a partir de 400 prises (que tu veux sous aucun prix
 diviser dans 2 x 200).

 En cherchant bien chez nos amis broker, un gros châssis avec des cartes
 fast ethernet sans POE, ça coute quasiment rien. C'est autre chose en
 gigabit, mais si ce n'est pas un prérequis, autant en profiter.

Bah en fait la situation que tu decris est la situation qu'on voudrait
changer. On veut avoir du Giga a la prise/POE.

Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Appliance NTP

2010-05-22 Par sujet Youssef Ghorbal

Bonjour la liste,

 Est ce que vous connaissez/utilisez des appliances NTP Stratum 1 qui
peuvent fonctionner a l'interieur d'une salle machine en beton :)
 Un equipement qui peut se synchroniser avec des sources autre que GPS
(Longues ondes... etc) et une bonne horloge atomique pour prendre le
relais en cas de perte momentanee du signal.

Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] MTU et InterLan

2009-11-11 Par sujet Youssef Ghorbal

2009/11/11 gui!llaume guilla...@ironie.org:
 Jules-Henri Gavetti a écrit :
 Ce qui nous manque c’est l’ « Equipement de redécoupage de paquets ».

 un firewall iptables pourrait faire l'affaire, en forcant le MSS sur les
 paquets :
 *iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o
 eth0 -j TCPMSS --set-mss 1460


Et qui dit qu'il ne veut pas faire de l'UDP ou tout autre protocole sur IP ?

Nous avons deja eu un probleme similaire avec un interlan Interoute. A
cette epoque, le support a suspecte que c'etait le driver vlan sous
FreeBSD qui tronquait les paquets (de mon cote) parce que l'interface
parente n'etait pas vlan aware (ce qui est le cas de certaines
cartes reseaux... mais pas la notre)

Dans tous les cas, il faut s'adresser a l'operateur et voir avec eux.

Youssef
-
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] De la gestion des fichiers de configuration

2009-10-11 Par sujet Youssef Ghorbal

Bonjour,

Nous sommes une equipe qui travaille sur plusieurs serveurs de types
*NIX (du GNU/Linux, du *BSD et du Solaris) Nous souhaitons mettre en
place un mecanisme qui permet de versionner les fichiers de
configuration tout en gardant la trace de qui a modifie quoi et quand.
Certain preconise l'utilisation d'outils telque CVS/SVN... Ce que je
reproche a ces outils est :
 - La non gestion native des permissions et de l'ownership des
fichiers maintenu dans le repository (qu'il soit local ou distant)
pour des fichiers de configuration ceci est tout simplement
necessaire.
 - La plupart de ces outils suivent le paradigme copy-modify-merge
tres utile dans le developpement logiciel mais tres peu pratique pour
des fichiers de conf qui sont edite sur place. Ce qui est adapte aux
fichiers de configuration est plutot le lock-modify-unlock (tres peu
supporte par ces outils)

 Qu'est ce que vous utilisez vous autres admin/sys de la liste. Est ce
qu'il existe un gestionnaire de version oriente fichier de conf ou
bien est ce que vous utilisez d'autres techniques ou bien vous avez
developpez vos propres outils ?

Bon dimanche,
Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Outil de gestion de certificats

2009-09-16 Par sujet Youssef Ghorbal

Bonjour,

 Je cherche un soft (avec GUI) qui permet de gerer un trousseau de
certificats SSL.
 Un soft qui permet de generer des CSR, d'exporter/importer des cles,
qui permet a quelqu'un de relativement peu technique de voir quand
expire chaque certificat, ou bien de generer un nouveau certificat
pour un nouveau site.

 J'ai trouve ceci mais je ne sais pas ce que ca vaut :
http://portecle.sourceforge.net/

Youssef Ghorbal

PS : soft payant ou pas.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Comment mon switch a exploser

2009-07-29 Par sujet Youssef Ghorbal

Bonjour,

 Certain d'entre vous l'ont peut etre remarque, Interoute a eu un
incident sur son backbone Parisien vers midi hier.
 Au meme moment, un de mes switch qui acceuille une Interlan (Service
FastEthernet) a commence a souffrir le martyr et dropper des paquets
(80% de perte de paquets) Le probleme est que le drop des paquetes ne
concernais pas uniquement le traffic venant ou a destinantion de ce
port en particulier mais sur tout le traffic qui traverse ce switch
(Meme le reboot de l'equipement n'as pas eu d'effet, il ne s'est calme
que quand on a vire le cable de l'Interlan)
 J'essaye donc de glaner quelques infos sur la nature exacte de
l'incident Interoute qui pourrais expliquer pourquoi mon switch est
parti en live et surtout comment me premenir contre ce genre de
situation a l'avenir. Le switch en lui meme peut etre en cause (bug ou
mauvaise implementation d'une fonction, ce qui ne m'etonne pas, vu
qu'il s'agit apres tout d'un PowerConnect de chez Dell)
 Si vous avez eu des cas similaires je suis aussi preneur de vos
retour d'experience.

Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re : Re: [FRnOG] Comment mon switch a exploser

2009-07-29 Par sujet Youssef Ghorbal

Bonjour,

 En effet, c'est visiblement une tempete de broadcast ethernet qu'on
s'est pris. D'apres les graphes, au moment du probleme le nombre de
paquet sur les ports explose.
 Sur Cisco y'a t'il des commandes pour limiter le broadcast ethetnet
par interface ou par VLAN. Un rate-limiting pour les paquets
ff:ff:ff:ff:ff:ff en quelque sorte.

Youssef Ghorbal
---

2009/7/29 marc celier marc.cel...@gmx.fr:
 normalement quand une trame est corrompue et que le CRC est faux, cette
 trame est purement est simplement supprimee.

 Je pense qu'il s'agit de broadcasts, qui ont ete recus sur le port interoute
 est retransmis aux autres ports du meme vlan.

 as tu des VLAN configures sur ton switch, ou bien tous les ports sont sur le
 meme VLAN. compare les courbes de trafic des ports appartenants aux meme
 VLAN que celui ou est configure le port interoute.

 Durant ce probleme, nous avons recu jusqu'a 800 mbits de trafic venant de
 interoute au lieu de 300 mbits habituellement.

 - Message d'origine -

 De : Thomas Mangin

 Envoyés : 29.07.09 11:43

 À : Youssef Ghorbal

 Objet : Re: [FRnOG] Comment mon switch a exploser



 pourquoi mon switch est
 parti en live et surtout comment me premenir contre ce genre de
 situation a l'avenir. Le switch en lui meme peut etre en cause (bug ou
 mauvaise implementation d'une fonction, ce qui ne m'etonne pas, vu
 qu'il s'agit apres tout d'un PowerConnect de chez Dell)

 Sans infos specifiques, dur a dire. Tu devais surement recevoir des
 frames corrompues sur le port.
 Cela peux causer le switch a enregister plus de MAC sur ce port que le
 switch supporte.
 Google MAC filtering :) ...

 Thomas


 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Monitoring de serveur web mutualisé s

2009-04-27 Par sujet Youssef Ghorbal


Bonjour,

	Nous fesons ce genre d'accounting via NetFlow sur les routeurs  
d'entree de la plate-forme.
	Les routeur envoient les infos de traffic vers un collecteur NetFlow.  
Le collecteur eclate les infos par ACL (par client, par IP source, par  
IP destination etc) et les stocke dans des RRD.

L'affichage des graphes s'effectue via les RRDTools classique.

	Bien entendu, il faut avoir la main sur les equipements de routage et  
surtout il faut que les dis equipements supportent NetFlow.


	Cette solution ne permet pas de limiter la bande passante par IP/ 
serveur/site... Ca ne sert que pour l'accounting.


Youssef Ghorbal
---
On Apr 27, 2009, at 2:20 PM, Gwenole Le bris wrote:


Bonjour,

Sur ma plateforme d'hébergement j'ai plusieurs serveurs  
d'hébergement web mutualisés mais aucune solution satisfaisante pour  
surveiller la bande passante par site.
Je recherche une appliance ou un logiciel qui surveille la bande  
passante par site (en ne passant pas par un javascript ou les logs  
apache) plutôt au niveau 7 OSI.


J'ai essayé les solutions suivantes mais aucune ne convient:
- Awstats
- Mod_watch + cacti
- MRTG
- Webalizer

J'ai vu aussi Packet Shaper et NetEnforcer mais ce sont des produits  
chers, n'y aurai-t-il pas des solutions moins couteuse voir gratuite ?


Merci d'avance,

Cordialement,

PS: Je ne sais pas si ça rentre dans les sujets de la liste, désolé  
si c'est HS.

--
Gwenole Le bris -- Epitech 2009
Sent from Paris, France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Soft de plan de baie

2009-04-10 Par sujet Youssef Ghorbal


Bonjour,

	Est ce que vous connaissez des soft qui permettent de dessiner des  
plans de baie.
	Un soft qui gere diffrents types de serveurs (en U horizontal) ou des  
chassis avec des serveur en vertical.


	Il y'a de gens qui le font en Excel, d'autres en Visio mais soit  
c'est penible a maintenir, soit on n'a pas le bon niveau de detail  
(typiquement pour les chassis, on ne peut pas supprimer des serveurs a  
l'interieur)


	J'aimerais avoir vos retour, ce que vous utilisez avant de me lancer  
dans l'aventure


Merci a vous.

Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re : Re: [FRnOG] [BGP] Pourquoi ce chemin a ete selectionne ?

2009-04-03 Par sujet Youssef Ghorbal


Bonjour,

Merci a tous pour vos reponses.
Je confirme que bgp always-compare-med n'est pas actif.

	Comme je le pensais le fait d'avoir choisi comme best la route Telia 
plutot qu'Interoute se base uniquement sur un critere de type plus 
petite IP ou plus petit num d'AS.


	Ce que je veux mettre en place maintenant est un critere qui previlegie 
l'un ou l'autre une fois que les critere important (AS Path, Metric, 
LocalPREF) se revelent identiques. Quels sont les best practices a ce 
niveau.


	Je ne suis pas parano du routage symetrique, mais j'estime que si BGP 
arrive a un stade ou il est oblige de comparer les adresses IPs des 
Next-Hop pour decider quel chemin choisir, je peux intervenir et lui 
proposer d'aller vers l'un plutot que vers l'autre (parce que j'estime 
que c'est moins cher ou bien que j'ai des amis chez Interoutes ou... 
ou... ou... )


Youssef Ghorbal
-
Radu-Adrian Feurdean a écrit :

On Fri, 03 Apr 2009 09:11:50 +0200, David Wilde li...@aciernet.com
said:

Normalement un routeur Cisco suit la liste à
http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a0080094431.shtml

6. puis, on choisit le route avec le MED le plus bas...

A mon avis le choix se fait ici...
La route via AS1299 n'a pas de MED spécifié, donc il me semble que c'est
considéré comme 0 sur un routeur Cisco.
La route via AS8928 a un MED de 10 (dans sh ip bgp c'est le metric),
donc c'est moins préféré comme chemin.


Selon le meme point 6, uniqement si bgp always-compare-med est active
(il ne l'est pas par default).
Sinon:
12. La route originee par le plus petit router-id
13. La route originee par le plus petit neighbor-address

--
Radu-Adrian Feurdean
 raf (a) ftml ! net



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Perturbation de transit IP

2009-03-16 Par sujet youssef . ghorbal


Bonjour,

Y'a moyen de les avoirs ces graphes ? ca m'interesse.
De mon cote j'ai perdu Cogent pendant un moment.

Youssef

On Mar 16, 2009, at 5:19 PM, Splio - Benjamin BILLON wrote:



On les a reçues, incident sur le routeur HXR-BzVkr07[2] *. Ce qui  
est clair,
c'est qu'on a tout pas bien compris le hoquet, ni l'ampleur de  
l'impact...
C'est triste ca manque cruellement de clarté depuis que c'est du  
chinois, ou

pas très loin.

Problème de conf, routage par circuit sous-dimensionné (bien vu,  
Sébastien).


Ca fait pas beau dans les graph =(
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Le site de Cisco down ?

2009-02-05 Par sujet Youssef . Ghorbal


C'est revenu vers 11h.

Merci a tous.

Youssef Ghorbal
--
On Feb 5, 2009, at 2:28 PM, Leland E. Vandervort wrote:



ca marche pour moi, meme si c'est un peu lent (mais c'est normal  
pour le

site web de Cisco quand meme...)

Leland


On Thu, 5 Feb 2009 youssef.ghor...@netplus.fr wrote:


Bonjour,

 J'essai d'acceder depuis ce matin au site Web de Cisco sans  
succes

(timeout)
 J'ai essaye depuis plusieurs operateurs mais c'est le meme  
constat.


 Est ce que vous constatez la meme chose ? C'est en maintenance ?

Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [HS] Vente de matériel

2009-01-10 Par sujet youssef . ghorbal

Je rejoint Steven dans son avis, c'est vraiment revoltant ce qui vous  
arrive...

Bon courage.

++
Youssef
--
On Jan 10, 2009, at 1:49 AM, Steven Le Roux wrote:


2009/1/9 Valentin SURREL valen...@wizzgo.com:

Re-Bonsoir,

Ayant beaucoup de questions identiques en privé, voici les  
réponses pour tout le monde :


- Le matériel date de avril-mai 2008 pour la grosse majorité. 2  
XServe datent de juillet 2008. Le routeur et le lot de 6 DELL date  
d'octobre 2008 environ. Tous les éléments sont coupés  
électriquement depuis mi-décembre, sauf les 4 DELL (qui ne font  
pas parti du lot des 6*2970) et le routeur qui seront coupés lundi.
- Pour le prix, vu la situation dans laquelle nous nous trouvons,  
nous n'avons PAS le DROIT de le brader. De ce que j'ai compris, ca  
sera notre prix d'achat moins la partie amortie. J'essayerai de  
faire en début de semaine un tableau avec la date d'achat et le  
prix de vente possible. Si des éléments ne partent pas à ce prix,  
c'est l'administrateur judiciaire nommé par le tribunal de commerce  
qui décidera (baisse du prix ou vente aux enchères par exemple)
- Pour les contrats de maintenance, je ne sais pas s'ils sont  
cessibles. Je me renseignerai, mais je vois pas pourquoi cela ne  
serait pas le cas.


Valentin




C'est hors-sujet, mais vu que l'activité de la liste n'est pas à son
comble en ce moment, ça ne fera pas de mal de dérouiller mailman et
les fetchmail :)

C'est dommage ce qui vous arrive. Pour une fois qu'une boite propose
un service utile en B2C en france amener à faire un carton (sans  
poser

de question business model), qu'elle aurait une chance de se
développer à l'international, on la saborde pour conserver les
petits intérêts des ayants droits (je ne dis pas les copains du prez
;) donc je reste dans la charte)... afin qu'ils gardent la main sur
tout le marché. C'est clairement anti-concurrentiel et leur discours
hyprocrite qui consite à dire qu'ils font tout pour proposer une  
offre
légal afin de mettre fin aux vilaines choses... preuve en est que  
non.


Bon courrage pour la suite.

(Pour réponse en privé : tu estimes à combien la durée  
d'amortissement

d'une EyeTV 410 ? et donc la date d'achat ? si ça figure dans le
tableau que tu érriges, mets moi juste en copie avec les intéressés
quand tu l'auras fait)


--
Steven Le Roux
Jabber-ID : ste...@jabber.fr
0x39494CCB ste...@le-roux.info
2FF7 226B 552E 4709 03F0  6281 72D7 A010 3949 4CCB
��^u�b}ݸTg8hm �z ��?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Modifcation de Glue Records chez l'AFNIC

2009-01-08 Par sujet Youssef . Ghorbal


Bonjour,

	Quelqu'un connaitrais LA methode pour proceder au changement de  
Glue Records au niveau de l'AFNIC.
	Nous avons change les IPs de nos DNS sauf que les anciennes IPs sont  
encore enregistre en Glue Records sur les serveurs de l'AFNIC.


Cordialement,
Youssef Ghorbal

PS : Nous somme membre de l'AFNIC et nous avons un compte Registrar  
mais a priori rien dans l'interface de gestion ne permet de faire  
cette operation...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Modifcation de Glue Records chez l'AFNIC

2009-01-08 Par sujet Youssef . Ghorbal


Bonjour,

Ca n'a pas trop l'air de marcher.
	Je recois un mail de l'AFNIC me disant que la demande a ete traite  
mais j'ai pas l'impression que fasse quoique ce soit...


	Je viens d'envoyer un mail a supp...@afnic.fr a ce sujet et ils ont  
promi de me repondre dans les plus brefs delais... (fear...)


Youssef Ghorbal

On Jan 8, 2009, at 11:30 AM, Frédéric VANNIÈRE wrote:


Bonjour,

youssef.ghor...@netplus.fr a écrit :

   Quelqu'un connaitrais LA methode pour proceder au changement de
Glue Records au niveau de l'AFNIC.
   Nous avons change les IPs de nos DNS sauf que les anciennes IPs
sont encore enregistre en Glue Records sur les serveurs de l'AFNIC.


Ce qui a fonctionné pour nous a été de modifier les serveurs DNS d'un
des domaines en .fr (opération T) en spécifiant la nouvelle IP du
serveur DNS dans le formulaire. Le changement de DNS a ensuite été
appliqué automatiquement au GLUE record pour tous les autres domaines
utilisant les mêmes DNS (ns-list).

Cordialement,

--
Frédéric VANNIÈRE
Directeur Technique

PLANET-WORK
231 rue Saint-Honoré
75001 PARIS - FRANCE

Tél : 01 41 79 78 60
Fax : 01 41 79 78 61
Web : http://www.planet-work.fr/

Planet-Work, vecteur de votre image sur Internet




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Ferme de serveurs IIS

2008-11-03 Par sujet youssef . ghorbal


Bonjour tout le monde,

	Dans le monde UNIX, pour monter une ferme de serveur WEB avec le meme  
contenu la reponse est simple : NFS.
	Dans le monde Microsoft pour monter une ferme de serveur WEB IIS avec  
le meme contenu il faut faire comment ? CIFS ?


	Actuellement, ce qui en place chez nous est une replication de  
donnees (avec DFS) une tehcnologie Microsoft qui repose sur l'AD. La  
solution comme vous pouvez l'imaginer ne passe pas a l'echelle (rajout  
de serveur) et atteint rapidement ses limites au fur et a mesure que  
le nombre de fichier augmente (sans parler de la perte d'espace due a  
la duplication de donnees)


	Je voudrais savoir s'il y'a des gens qui ont des serveurs WEB IIS qui  
partagent du contenu en CIFS. Quel est le retour ? les trucs qui  
peuvent marcher ou pas ? Est ce qu'il y'a de probleme de locks ?


	Ou bien je suis curieux de savoir ce que recommende Microsoft a ce  
sujet, parce que j'avoue que je ne trouve rien dans la litterature  
(publique)


Merci pour vos retours.

Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Backup de prod multi-site

2008-10-30 Par sujet youssef . ghorbal


Le sujet m'interesse aussi.
Est ce qu'on peut avoir un lien vers cette note 1047 ?

Youssef
--
On Oct 30, 2008, at 9:40 AM, Steven Le Roux wrote:

Tu peux lire la note 1047 de radware... tu verras la lumière :) .  
Elle décrit exactement ton besoin.


2008/10/30 Denis Alligand [EMAIL PROTECTED]
Bonjour,

je gère pour l'un de mes clients son infra prod. Aujourd'hui il y a  
une baie complête dans un datacenter avec des clusters web, sql,  
fichiers, tout cela en HA gérer par des solutions de réplications et  
de basculement de serveur en cas de soucis sur un serveur.


Jusque là, pas de problème. Hors le soucis est que c'est bien beau  
de tout mettre dans une seule baie, mais en cas de coupure de cette  
baie (courant électrique/reseaux ...), malgré les beaux système HA,  
plus rien ne répond.



Donc je dois répliquer cette solution sur un autre datacenter, et  
pourvoir rediriger de facon la plus transparente possible le traffic  
en cas de failure de l infra principale.


Le traffic a diriger est uniquement du HTTP et du HTTPS sur  
plusieurs dizaine de M/s avec des pointes a 150/200 M/s


Pour cela plusieurs solutions envisageable:

1: avoir un redirecteur HA dans un endroit neutre et rediriger le  
flux vers un datacenter ou un autre, et secourir ce redirecteur HA  
sur un autre site indemendant au cas ou.


Probleme: point faible si le reseau ou se trouve le le redirecteur  
HA tombe, tout tombe, meme si la prod ou le site de secours est OK.


Probleme:
-soit le traffic est remonté totalement au redirecteur qui se charge  
de répondre aux requettes des clients directement, donc il faut  
imaginer un systeme de tunelling pour atteindre le datacenter 1 ou 2  
(prod ou secours), et dans ce cas, on double l'utilisation de la  
bande passante (BP sorti datcenter vers redirecteur et bp sorti  
redirecteur vers client)


-soit les machines repondent directement aux requettes vers le  
client. Cela pose une interrogation: il faut que le systeme indique  
comme adresse source: le redirecteur, mais le systeme qui repondra  
sera le serveur reel. C'est ce qui est implémenté aujourd'hui par  
des solutions type LVS tun. Re probleme: on tombe dans la RFC2267   
et on prend le risque de se faire bloquer nos ips pour probleme de  
spoof.
Question: est-ce que on peut controler cela si on se met d'accord  
uniquement avec nos fournisseurs de BP qui ne sont pas des carrier-1  
et qui peuvent odnc par consequent peut etre se faire bloquer eux  
meme par leur carrier.


2: on met le redirecteur sur site A avec IP site A. L'ensemble des  
sites webs pointe sur un cname qui lui meme pointe sur IP A. Un  
redirecteur sur site B avec IP B


Ce record Cname a un ttl agresssif genre 5 minutes tel que peut l  
utiliser aujourd'hui des dyndsn et compagnie.


En prod normal on pointe sur redirecteur A, en prod backupé on  
pointe sur redirecteur B.


Question: certains ISP semblent utliser de facon massive le cache  
dns sur leur reseau: donc est-ce que la propag est quand meme  
envisageable rapidement pour passer de A vers B ?



3: On fait pointer les sites web vers un redirecteur de type 301 ou  
303, et on redirect les demande du type:


www.dc1.site.com ou www.dc2.site.com (dc1=datacenter 1, dc2 =  
datacenter 2): pas forcement terrible pour le referencement mais on  
parle bien d un mode de secours pour dc2 au cas ou. Bien entendu le  
point faible est toujours sur le fait que le redirecteur doit etre  
disponible et on revient un peu au cas 1.



Autre possibilité: mixe d'un peu de ces 3 solutions, en jouant sur  
les dns, sur les propags et sur l emplacement des redirecteur.



Question: quel type de produit proposent aujourd'hui de la dispo  
multi-site, faut-il passer par des solution type HAproxy ou type  
LVS, sachant que nous sommes sur du 100% LAMP.


Chaque cas de figure a ses points faibles et ses avantages. Avez- 
vous eu deja ce genre de problematique et quelle a été votre choix  
la dessus.


Cordialement,

Denis Alligand



--
Steven Le Roux
Jabber-ID : [EMAIL PROTECTED]
0x39494CCB [EMAIL PROTECTED]
2FF7 226B 552E 4709 03F0  6281 72D7 A010 3949 4CCB


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Firewall actif/actif

2008-08-28 Par sujet youssef . ghorbal



On Aug 28, 2008, at 12:02 PM, Steven Le Roux wrote:

De plus n'étant pas du tout familier avec les *BSD, je ne compte pas  
me diriger sur cette voie : je préfère pour l'instant rester sur un  
système que je connais bien, surtout pour des firewalls !


C'est un choix, mais j'ai sauté le pas car c'est assez facile de  
monter un openBSD pour ça. Je viens juste de maqueter deux openbsd  
qui font du 802.1q, tu utilises carp sur tes interfaces vlan, puis  
pfsync pour le maintiens des sessions quand l'un ou l'autre tombe  
(et ça c'est top car totalement transparent même au niveau des  
sessions utilisateurs lorsqu'un équipement tombe)


Pour ce que j'ai testé CARP, je trouve ça vraiment très performant,  
(aucune perte de paquet, presque pas de latence de convergence (bcp  
moins d'une seconde)


Ajouté à celà, ceux qui utiliseront la solution ne sont pas plus  
familier avec netfilter qu'avec packetfilter, donc l'apprentissage  
de pf me semble bien plus simple et lisible que netfilter.


Je rajouterais aussi que la configuration de PF (sur FreeBSD ou  
OpenBSD) s'effectue a un seul niveau (un seul fichier) qui permet de  
definir les regles de filtrage, de nat et du traffic shaping (avec ALTQ)
Le seule probleme que j'ai personellement avec PF c'est que c'est du  
last match ce qui a toujours tendence  a me perturber (et je en suis  
pas le seul) pour l'ecriture des regles.


Personellement a votre place je n'abondonnerais pas les appliances  
pour du firewall applicatif. Parce que chez nous on a fait exatement  
l'inverse... pour differentes raisons parmis lesquelles :
1 - Les procedures de gestion des firewall applicatifs (type  
netfilter, pf ou autre) doivent etre tres tres tres strictes et  
suivies a la lettre pour ne pas se retrouver dans des situations tres  
difficiles (rajout des regles a la volee dans le firewall a la ligne  
de commande, sans les mettres dans la conf ou les confs dans le cas  
d'un cluster..  des OS qui refusent de booter pour des histoires de  
raids ou betement de BIOS. Ou des interfaces rajoutee a coup de  
ifconfig et pas mis dans les scripts de demarrages, ou avec une erreur  
de syntax qui ne peut etre verifiee qu'au boot... etc etc)
Mettre en place un Firewall applicatif et faire en sort que sa conf et  
sa gestion soient bullet proof prend beaucoup de temps et sur ce  
genre de brique essentielle d'une plate-forme une fois que c'est en  
PROD plus moyen d'y toucher...
2 - Dans notre cas, il fallais que le Firewall fasse passerelle VPN  
aussi... ce qui est assez complique a mettre en place de facon  
industrielle (avec les procedures qui vont avec aussi...)


Pour moi, si vous avez la possibilite (et le budget surtout) d'avoir  
des appliances (le choix de la techno/constructeur est un autre debat)  
faites le. On peut tout faire avec des firewalls applicatif mais ca  
prend beaucoup de temps et les gerer au jour le jour est tres  
complique s'il s'agit d'une equipe.


Youssef




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Mise à jour BIND

2008-07-10 Par sujet Youssef Ghorbal



On Jul 10, 2008, at 10:27 AM, [EMAIL PROTECTED] wrote:




| Sur la façon dont est sorti le patch, la synchro part d'une bonne
| intention mais il me semble que les projets des différents OS  
n'ont pas
| été mis dans la confidence. Hier en quittant le boulot, FreeBSD  
n'avait
| pas sorti de patch pour le BIND de son base system. Je ne connais  
pas la

| situation sur les autres os/distrib.
== Oui en effet, certains éditeurs d'OS semblent ne pas réagir à  
temps.



En même temps le bind du base system n'est là que pour la forme ...
On utilise le port pour être à jour, et perso j'ai eu l'update y a  
quelques jours.


Comme l'a explique Domonique Rousseau, il ne suffit pas de patcher le  
serveur. Le resolver local (libc) est aussi vulnerable et necessite  
un patch aussi !
FreeBSD a pendu a rapide patch du bind9 des ports. on attend le patch  
de la libc.

http://docs.freebsd.org/cgi/getmsg.cgi?fetch=168510+0+current/freebsd-security

Youssef
-


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Telia/Cogent split

2008-03-29 Par sujet Youssef Ghorbal


Je confirme,
J'ai recu un mail a ce sujet de la part du service consommateur  
Telia. Par contre aucune allusion au peering de Londres.


++
Youssef
-
On Mar 29, 2008, at 1:15 PM, Paul Rolland (ポール・ロラン) wrote:
Aux dernieres nouvelles, ce serait rentre dans l'ordre, avec en  
plus un

peering entre les deux a Londres qui n'etait pas la avant...

Paul

On Sat, 15 Mar 2008 13:41:03 +0100
Nicolas DEFFAYET [EMAIL PROTECTED] wrote:


On Sat, 2008-03-15 at 02:46 +0100, Manuel Guesdon wrote:

FYI, récupéré de nanog:
http://gigaom.com/2008/03/14/the-telia-cogent-spat-could-ruin-web- 
for-many/


Effectivement, on ne reçoit plus d'annonces telia de cogent...

Qui joue le gros méchant ? Les 2 ?


Chez Cogent, il arrive que le peering manager s'engage sur quelque  
chose
qui au final ne fait pas (par exemple: upgrade d'un peering). De  
plus si
ce dernier est contrarier (escalade à son supérieur), il  
n'hésite pas à
dépeerer. Je parle de cela en connaissance de cause, car c'est du  
vécu.






--
Paul RollandE-Mail : rol(at)witbe.net
Witbe.net SATel. +33 (0)1 47 67 77 77
Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99
F-92057 Paris La DefenseRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un  
navigateur
Some people dream of success... while others wake up and work hard  
at it


I worry about my child and the Internet all the time, even though  
she's too
young to have logged on yet. Here's what I worry about. I worry  
that 10 or 15
years from now, she will come to me and say 'Daddy, where were you  
when they

took freedom of the press away from the Internet?'
--Mike Godwin, Electronic Frontier Foundation
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Question Spanning Tree

2008-03-28 Par sujet Youssef Ghorbal


Bonjour tout le monde,

J'ai un petit casse tete spanning tree a vous soumettre.
	La situation est la suivante : j'ai deux switchs cisco 3600 relies  
entre eux (cisco1 et cisco2)
	J'ai un 3eme switch Dell (embedded dans un chassis) C'est un switch  
d'acces (les serveurs sont relie a ce switch)
	Le but c'est de redonder l'acces a ces serveurs en reliant le switch  
Dell au deux Cisco.
	Pour s'affranchir des boucles il faut utiliser du spanning tree et  
du Rapid Spanning tree de preference (a cause des temps de convergence)


Mon probleme se stitue au niveau de Rapid Spanning Tree :
	- D'un cote les cisco ne font que du Per Vlan Rapid Spanning Tree  
(ou du MSTP ou SP classique)
	- De l'autre cote le Dell ne fait que du Rapid Sapnning Tree (ou du  
MSTP ou du SP classique)


Les questions que je me pose sont les suivantes :
	- Comment se comporte les switchs Cisco quand l'un des peer ne fait  
que du Rapid Spanning Tree (et non par Vlan) ?
	- Est ce que le simple fait de desactiver le spanning tree sur tout  
les vlans a part le Vlan1 permet d'emuler un rapid spanning tree ?


	Que suggerez vous pour mon cas ? sachant que ma toplogie est tres  
simple pour utiliser du MSTP et je veux eviter au maximum  
l'utilisation de Spannig Tree Classique.


Youssef Ghorbal
Netplus Communication
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Question reseau

2008-03-03 Par sujet Youssef Ghorbal


Bonjour,

J'ai deux equipements reseau a relier (un cisco 3600 et un modem ADSL)
Le modem ADSL a une interface Fast Ethernet qui fait du 10/100
Le Cisco a une WIC Ethernet qui ne fait que du 10 Half

	La question est simple, est ce que je dois garder le modem ADSL en  
AutoNeg ou est ce que je dois force sa carte a 10 Half (pour  
accomoder l'interface du Cisco)


	Ce que je veux eviter c'est de forcer d'un cote et pas de l'autre  
(je concidere que la carte du cisco ne fait pas de l'auto neg puisque  
de toute facon elle ne fait que du 10 half)


Youssef
---


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Question options DHCP

2008-02-07 Par sujet Youssef Ghorbal


Bonjour,

J'ai un vieux cisco qui fait serveur DHCP.
	La conf contient des informations de BOOTP (pour faire du PXE boot  
sur certaine mahines)
	Je voudrais retranscrire cette conf sur un autre equipement et pour  
ca j'ai un petit probleme de traduction.
	Dans le nouvel equipement je peux specifier des numeros d'options et  
des valeurs associees.


Les deux directives que je dois traduire sont :
next-server 172.16.0.9
bootfile pxelinux.0

	Je voudrais savoir a quel numero d'options correspondent ces deux  
directives. Je pense que bootfile est l'option 66 mais pour l'autre  
je n'ai pas de reponses (peut etre la 67 ?) (cf http://www.iana.org/ 
assignments/bootp-dhcp-parameters)


Merci de votre retour.

Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Modele Modem ADSL 2+

2008-02-01 Par sujet Youssef Ghorbal


Bonjour,

Je cherche un modele grand public d'un modem ADSL 2+
	Tout ce que je trouve c'est des modems routeurs (ou la fonction  
routeur n'est pas desactivable) Ce qui me faut c'est tout betement  
une paserelle IP/ATM.


	En gros je veux mettre un equipement derrire qui fera du PPPoE et  
qui recupera l'IP publique.


Merci de votre retour

++
Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Modele Modem ADSL 2+

2008-02-01 Par sujet Youssef Ghorbal


Bonjour,

	J'ai un DSL-320T de chez D-Link. Je ne sais pas si c'est la meme  
chose ou pas...
	En tout cas celui que j'ai sous la main il sait faire bridge (RFC  
1483) mais quand je le met dans ce mode, la synchro se fait bien mais  
c'est tout...


	En fait le petit boitier est sympa mais quand je fait du DHCP sur  
l'equipement derrire il ne relaye pas les requete a l'ISP...


++
Youssef

---
On Feb 1, 2008, at 12:18 PM, Manuel Guesdon wrote:


Bonjour,

On Fri, 1 Feb 2008 10:18:35 +0100
Youssef Ghorbal [EMAIL PROTECTED] wrote:
YG |Je cherche un modele grand public d'un modem ADSL 2+
YG |Tout ce que je trouve c'est des modems routeurs (ou la
YG | fonction routeur n'est pas desactivable) Ce qui me faut c'est  
tout

YG | betement une paserelle IP/ATM.
YG |
YG |En gros je veux mettre un equipement derrire qui fera du PPPoE
et YG | qui recupera l'IP publique.

Le DSL-300T D-Link fait bridge.


Manuel

--
__
Manuel Guesdon - OXYMIUM [EMAIL PROTECTED]
14 rue Jean-Baptiste Clement  -  93200 Saint-Denis  -  France
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Modele Modem ADSL 2+

2008-02-01 Par sujet Youssef Ghorbal



On Feb 1, 2008, at 5:38 PM, Manuel Guesdon wrote:


On Fri, 1 Feb 2008 15:50:58 +0100
Youssef Ghorbal [EMAIL PROTECTED] wrote:

YG |J'ai un DSL-320T de chez D-Link. Je ne sais pas si c'est la
YG | meme chose ou pas...
YG |En tout cas celui que j'ai sous la main il sait faire
YG | bridge (RFC 1483) mais quand je le met dans ce mode, la  
synchro

YG | se fait bien mais c'est tout...
YG |
YG |En fait le petit boitier est sympa mais quand je fait du DHCP
YG | sur l'equipement derrire il ne relaye pas les requete a l'ISP...

C'est bien un 320T que j'ai. Il est en mode bridge avec un linux  
qui fait du

pppoe. Il recupere bien l'ip, gateway  co



C'est quel type de Bridge ? Bridged IP LLC ou Bridged IP VC-MUX ?

Youssef
-

Manuel

--
__
Manuel Guesdon - OXYMIUM [EMAIL PROTECTED]
14 rue Jean-Baptiste Clement  -  93200 Saint-Denis  -  France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Modele Modem ADSL 2+

2008-02-01 Par sujet Youssef Ghorbal


Derniere question c'est avec quel FAI ? Free/Neuf /Wanadoo-orange ?

Youssef
-
On Feb 1, 2008, at 6:20 PM, Manuel Guesdon wrote:


On Fri, 1 Feb 2008 18:14:29 +0100
Youssef Ghorbal [EMAIL PROTECTED] wrote:
YG | On Feb 1, 2008, at 5:38 PM, Manuel Guesdon wrote:
YG |  C'est bien un 320T que j'ai. Il est en mode bridge avec un  
linux

YG |  qui fait du
YG |  pppoe. Il recupere bien l'ip, gateway  co
YG | 
YG |
YG | C'est quel type de Bridge ? Bridged IP LLC ou Bridged IP VC- 
MUX ?


Heu, la je ne peux plus dire sans couper la connection mais plutot  
IP LLC je

crois...

Manuel

--
__
Manuel Guesdon - OXYMIUM [EMAIL PROTECTED]
14 rue Jean-Baptiste Clement  -  93200 Saint-Denis  -  France
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Question filtrage BGP

2007-12-12 Par sujet Youssef Ghorbal


Bonjour,

	Je souhaite mettre en place un filtrage basique sur les annonces  
BGP que je recois de mes peer (les peer nous envoies toutes les  
routes d'Internet)

Le routeur est un Cisco 7200 VXR avec un IOS 12.3

J'ai vu qu'il y'a 3 methodes :
	- via redistribute-list avec une access list avec les prefix  
authorises/rejets.

- via filter-list avec une regexp sur les AS_PATH.
- via prefix-filter avec un prefix-list.

Ce que je voudrais savoir c'est
	- Est ce que tous ces 3 methodes sont complementaires ? ou il y'en a  
qui font pas bon menages.

- C'est quoi l'ordre de precedence ?
	- C'est quoi la reelle difference entre prefix-filter et distribute- 
list ? parce que d'apres ce que j'ai compris ca fait la meme chose...


Merci de votre aide.

Bonne journee.

Youssef Ghorbal
Netplus Communnication




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Outils d'accounting/billing

2006-09-29 Par sujet Youssef Ghorbal


Bonjour,

	Je cherche une solution pour faire de l'accounting (qui serviras a  
faire de la facturation de traffic et de bande passante)
	Pour l'instant j'ai des scripts maison qui tournenent a droites et  
a gauche mais qui commencent a s'essoufler.


	Je veux que le systeme me permette de calculer la bande passante  
(percentile 95) et le traffic global vers des sous reseau ou des ips,  
et eventuellement de faire des graphes.


J'ai pense a une solution du genre :

	- Un sensor sur le firewall (par ou passe tout le traffc) qui  
balance du Netflow. Pour ca, IPCAD a l'air pas mal.
	- Un collecteur sur une machine d'accounting, qui vas recuperer le  
flux Netflow et le stocker sous un format ou un autre, j'ai pense a  
flowscan de caida.org qui a l'air pas mal, il stocke les donnees dans  
des RRD ce qui est pratique.
	- Un outil de reporting, qui permettrai de recuperer des donnees de  
traffic mensuelles et de faires des calculs de percentile etc. Et a  
ce niveau, je n'ai pas trouve un un bon outil.


	Est ce que vous avez d'autres solutions a propser ou des retours  
d'experiences sur l'un ou l'autre des outils que j'ai cite.


Cordialement,
Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Outils d'accounting/billing

2006-09-29 Par sujet Youssef Ghorbal


Oui c'est exactement un truc du genre que je cherche a mettre en place.
Comment vous faites pour recuperer ces donnees et les grapher ?

++
Youssef
--
On 29 sept. 06, at 17:09, Leland Vandervort wrote:



Voulez-vous dire qqc pareil?  (nos adresses publiques masquees)

gw1#sh ip accounting
   Source   Destination  Packets
Bytes

 X.X.X.X 10.101.1.62258  452264
 10.101.1.6   X.X.X.X  2722  545873
 X.X.X.X 88.109.85.16 1  48
 X.X.X.X  10.101.1.22243  448932
 10.101.1.2   X.X.X.X   1814  508109
 X.X.X.X 129.2.63.24114 686
 192.168.75.1 69.3.254.16 28 
1344
 192.168.88.1 69.3.254.16 28 
1344

 X.X.X.X 66.249.65.103   58   73830

A+

Leland



At 15:51 29/09/2006, Youssef Ghorbal wrote:


Bonjour,

Le probleme des poller RRD qui interroge en SNMP est  
qu'ils ne me

permettent pas d'avoir un accounting granulaire au niveau IP. Je ne
pourrais pas par exepmle avec la quantite de traffic vers un sous
reseau de bureautique ou vers une IP d'un site, et c'est la ou est
mon probleme.

Sinon, visibleme cacti a l'air pas mal s'il propose des  
plugins de

calcul de percentile 95 et de nb de giga transfere.

++
Youssef
--
On 29 sept. 06, at 16:40, Amiel David wrote:


Bonjour,

Tes solutions me paraissent bien compliquées, une solution possible
est
d'utiliser cacti (http://cacti.net/), ou 1 poller rrd similaire,
qui va
interroger en snmp les interfaces de tes routeurs/firewalls, et de
rajouter
les plugins dont tu as besoin (95% percentile, nb de gigas
transferés etc
etc)

++

David

-Message d'origine-
De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la
part de
Youssef Ghorbal
Envoyé : vendredi 29 septembre 2006 14:09
À : frnog@frnog.org
Objet : [FRnOG] Outils d'accounting/billing

Bonjour,

Je cherche une solution pour faire de l'accounting (qui  
serviras a

faire de la facturation de traffic et de bande passante)
Pour l'instant j'ai des scripts maison qui tournenent a  
droites et


a gauche mais qui commencent a s'essoufler.

Je veux que le systeme me permette de calculer la bande  
passante
(percentile 95) et le traffic global vers des sous reseau ou des  
ips,

et eventuellement de faire des graphes.

J'ai pense a une solution du genre :

- Un sensor sur le firewall (par ou passe tout le traffc)  
qui

balance du Netflow. Pour ca, IPCAD a l'air pas mal.
- Un collecteur sur une machine d'accounting, qui vas  
recuperer le

flux Netflow et le stocker sous un format ou un autre, j'ai pense a
flowscan de caida.org qui a l'air pas mal, il stocke les donnees  
dans

des RRD ce qui est pratique.
- Un outil de reporting, qui permettrai de recuperer des  
donnees de


traffic mensuelles et de faires des calculs de percentile etc. Et a
ce niveau, je n'ai pas trouve un un bon outil.

Est ce que vous avez d'autres solutions a propser ou des  
retours

d'experiences sur l'un ou l'autre des outils que j'ai cite.

Cordialement,
Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

70 matches

Mail list logo