> David Ponzone a écrit : > Exemple simple fictif: Des route-map pour router des /32 de force vers leur > anti-DDOS. > Erreur sur la route-map, tous les subnets internes se retrouvent router vers > l’anti-DDoS.
Apparemment c'est ce qui est arrivé. > Renaud Chaput a écrit : > Après peut-être qu'il y a des moyens plus propres de changer une conf > Cisco que de copier/coller une config ligne par ligne hein ;) Ben pas vraiment, voir plus bas. > David Ponzone a écrit : > Le vrai problème, c’est: > -pourquoi l’humain ne savait pas qu’il est opportun de coller ses commandes > dans un éditeur avec assez > de colonnes pour être certain qu’il y a pas un \n qui se balade... mais > l’erreur est humaine, ok > - pourquoi ils utilisent pas des outils type Ansible ou autre pour faire les > modifs de conf, avec éventuellement un contrôle > de syntaxe, vu la taille du réseau. Ca doit se trouver un analyseur > syntaxique pour Cisco, au moins pour la base. Les gros doigts, ça arrive quel que soit le système. Les trucs automagiques, c'est encore pire : quand du déploies un changement sur des dizaines ou des centaines de routeurs, et que ça va pas, là t'es vraiment dans la m... dont il va falloir plus qu'1/2 heure pour retomber sur ses pieds. Les trucs automagiques, il faut qu'il y ait une certaine échelle pour les utiliser; créer et surtout tester l'automatisation pour 1 ou 2 routeurs, ça prend beaucoup trop de temps. Ce qui te laisse avec la ligne de commande. > -à la limite, pourquoi y avait pas un autre être humain pour vérifier le > copier/coller du premier, vu le risque Justement, tout dépend de la perception du risque. Chaque fois que j'ai planté quelque chose, c'était avec un truc de routine prouvé être sans risque. Quand ça sent pas bon, on est souvent deux; parfois, un est dans la cage, au cas-ou. Mais on ne fait pas ça quand le risque perçu est faible. Bon clairement, le mec il aurait pu faire "reload in 5" avant de faire son copier/coller mais même ça, il y a un danger : le téléphone sonne, c'est important, et tu oublies de faire le "reload cancel" et ton truc reboote alors que la manip était bonne, c'est pas glop non plus. > Et le mec qui a fait la boulette, il ne s'en est pas aperçu de suite pour > revenir en arrière ? Même moi, > à mon petit niveau, j'ai plein de voyants "OVH" qui sont tous passés du vert > au rouge en même temps... Je pense qu'il a du s'en apercevoir, mais que sa session a du se planter et que l'OOB a du se barrer en même temps. Je ne lui trouve pas d'excuses car il n'y en a pas, mais je compatis. Il y a 100 manières différentes de vautrer un réseau. Quand tu travailles sur un routeur distant : "reload in 5". Ca va planter pareil, mais 5 minutes après ça va revenir. Leçon apprise par le kilométrage en pleine nuit, il y a longtemps. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
