Le 26/07/2012 15:00, Michel Moriniaux a écrit :
depuis que nous suivons vos interventions vous etes très evasif sur la
solution qui selon vous sauverait le monde.
Il me semble avoir déjà donné les principes qui guident ma démarche.
Elle consiste juste à rappeler que si un opérateur se doit de vendre des
routes à ses clients, ses clients attendent que des circuits se ferment
correctement au travers de son infra. Même si le client n'utilise qu'une
fraction du circuit, l'opérateur se doit de vendre des circuits qui se
ferment.
Alors je me dis que si le circuit mis à disposition du client a été
vérifié avant, par un automate, la vérification devrait répondre au
problème.
Vous semblez detenir une
verité que personne n'ici ne peut effleurer vu le ton de vos mails.
J'ai une expérience qui fait que si j'avais été actionnaire de Virgin
Mobile, j'aurais exigé la tête du pédégé pour ne pas avoir été capable
de pouvoir migrer en un claquement doigt tous mes utilisateurs de Orange
à SFR pour préserver le service que je vends à mes clients.
Et à ce conseil d'administration virtuel, on m'aurait répondu:
- mais nous avions demandé à la signature du contrat, mais on nous a
répondu "vous rigolez ?"
j'aurais ensuite répondu:
- c'est le moment d'aller taper du point sur la table de l'Arcep.
Alors, le rapport qu'il y a entre Virgin et Neo, c'est la même cause,
cette fameuse "lutte des classes qui n'est pas has been".
Du coup, je prend un peu de plaisir à remuer le couteau dans la plaie.
Il ne faut pas m'en vouloir, l'occasion était trop belle.
Je vous propose afin de calmer l'ambiance sur la ML de vous mettre a
votre plume et d'expliciter ces designs si resilients et de citer vos
sources plutot que de nous poser la question de ce que nous pensons
être la réponse.
ok, je vais tenter
Nous attendons toujours les docs demandées par
Stephane Bortzmeyer la derniere fois.
J'ai fini par trouver un document où il n'y a que 2 paragraphes à lire
d'intéressant:
http://www.gsma.com/newsroom/wp-content/uploads/2012/03/ir3470.pdf
Point 3.6
"Isolation between Service Communities on an Inter-Service Provider IP
Backbone network can be logical (for example by VPNs on an Inter-Service
Provider IP Backbone network) or physical (that is when the Service
Provider connects to separate Inter-Service Provider IP Backbone
networks, for example for GRX and an IPX Service)."
4.3
In order to maintain isolation between Service Communities where Inter
Service Provider Backbone networks are interconnected, separate VLANs
and separate routing tables must be used for each Service Community
Le reste des contraintes qui sont listés dans ce document vous pouvez
les jeter, on n'a pas besoin pour Internet.
La pluspart des membres actifs sur cette ML font vivre au jour le jour
des réseaux ayant presque tous des designs differents a toutes les
echelles, personellement j'ai connu un backbone tier 1 a budget
illimité satisfaisant votre laius sur les designs Sigtran mais il ne
permettait pas de se premunir des route-leak et hijack. Je suis
curieux de voir les differences de design entre votre modele et ceux
que je connais.
Est-ce qu'en lisant les 6 lignes, vous comprenez pourquoi votre tiers 1
à budget illimité n'a pas su être satisfait avec sa configuration
SIGTRAN sur un seul domaine de routage ?
Traduit en bon français, cette phrase anglaise demande que deux domaines
de routages coexistent dans un GRX et qu'ils soient logiquement ou
physiquement séparés. En ayant deux domaines de routage séparés, quand
un domaine subit un route-leak ou un hitjak, l'étanchéité des deux
domaines de routages offre une roue de secours sur le deuxième domaine
qui n'est pas contaminé.
Votre tiers 1 à budget illimité n'a su déployé deux domaines de routages
distincts dans son réseau, et c'est pour cette raison qu'il n'a pas été
satisfait de sa conf SIGTRAN. Le plus petit domaine de routage possible
utilisable est simplement un lien physique ou logique L2 à accoupler
avec son réseau normal. (et il ne faut que l’état du lien L2 logique ne
dépende pas de l'état du routing de son réseau. il faut preserver
l'isolation)
SCTP est un transport sur 4 ip distincts, pour pouvoir être déployé sur
des réseaux à deux domaines de routages distincts et étanches.
C'est l’étanchéité qui garanti la qualité.
C'est rappelé au point 4.3 du doc.
D'accord ou pas d'accord ?
bref soyons constructifs et apprenons tous ensemble!
Ben, je pose la question de savoir si cela sera utile. Voyez-vous, j'ai
beaucoup de mal à croire qu'il existe dans le monde un tiers 1 qui
déploie SIGTRAN sur un seul domaine de routing. Face à cette
information, je me dis:
- soit, on me ment éhonteusement pour me faire raconter n'importe quoi.
- soit c'est bien vrai, il existe bien un tiers 1 qui déploie SIGTRAN
sur un seul domaine de routing, et là, je suis scié. Incoyable et aucun
client qui l'utilise ne s'en est rendu compte.
Encore plus incroyable. Il est chanceux ce tiers 1 d'avoir des clients
si peu regardant et un réseau somme toute, de qualité. "ça passe" comme
on dit.
Je suis un peu dépité, parce que si même des experts IP d'un tiers 1 à
budget illimité décident de s’asseoir sur les design SCTP/SIGTRAN et
tous les efforts qui ont été fait dans SCTP, je comprends bien
volontiers pourquoi je suis perçu içi comme un "E.T. ... smartphone maison"
La prise de conscience de l’intérêt d'avoir deux domaines de routage
existant l'un à coté de l'autre, la notion de la vérification de
circuits, les mécanismes de failover SCTP, le fait que seul les AS qui
ne font pas de transit on le droit de mixer les deux domaines de routing
à leur convenance devraient, à moins à vous, esquisser l'idée de ce que
je vous propose de faire sur BGP.
Par contre, j'ai peur si des experts IP d'un tiers 1 n'aient vu aucun
intérêt à faire côtoyer deux domaines de routing pour leur conf SIGTRAN,
il y a encore moins de chance qu’ici on voit l’intérêt de cette conf
pour BGP. Avez-vous une idée de la taille qu'aurait ce second domaine de
routing s'il n'était que franco-français ?
Une autre solution "de pauvre" avec un seul domaine de routing (pas deux
parce que j'attends déjà les hurlements) est de faire un tunnel L3 sur
les IP d'interco des deux AS qui ont leurs circuits cassés. Si un tunnel
avait été préparé entre FT en NEO à l'avance mais laissé sans trafic, il
aurait suffit à NEO de router statiquement son trafic dans ce tunnel
pour récupérer sa connectivité 3215 malgré la présence de la fausse
annonce qui lui pourrissait potentiellement la totalité de ses borders.
Pour cette solution là, dans un monde sans lutte des classes, les deux
ont intérêts a préparer le tunnel à utiliser. Mais le monde où l'on vit,
seul NEO y trouve son intérêt, pour FT, c'est le moment de rappeler le
prix de la "distance" à NEO, FT est moins cher quand on est connecté
plus loin, mais aussi une connexion moins sûr, plus fragile, qui casse
plus souvent.
Je dirai qu'il faut savoir dans quel monde on veut vivre.
Est-ce que vous préférez améliorer le routing de l'Internet en payant
plus, ou en l'organisant autrement ?
Pour moi, ceux qui veulent payer plus prennent RPKI, les autres changent
l'architecture, et ils obtiennent mieux au même tarif qu'avant.
C'est pareil pour Virgin, actuellement, il est obligé de changer
physiquement la SIM pour changer l'opérateur d'un de ses abonnés.
Avec RPKI, à plus ou moins long terme, potentiellement, vous pouvez tous
être dans la situation d'un Virgin mais sur Internet, (et dans
l'impossibilité de faire un changement de conf, parce qu'il y a un
merdier administratif au milieu à passer et qu'il vaut mieux attendre
que le problème se résolve).
La crypto, c'est bien joli, c'est bien beau, mais c'est à double
tranchant. Il faut bien regarder de quel coté le couteau coupe le mieux.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
