Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, 3 Jul 2011 20:57:58 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk said: MPPP est une option (nous l'offrons), mais il faut faire attention car si les paires de cuivre ne prennent pas les même ducts, la différence cause des problèmes ... C'est peut-etre pour ca que ce n'est pas offer plus souvent, trop de cout du cote debugging ... Et a ce moment-la on se pose la question : pourquoi une aggregation sauvage des liens chez different opperateurs marchera mieux ? Ou alors il y a quelqu'un qui oublie de dire a ces braves gens qu'en effet ca ne marche pas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Et a ce moment-la on se pose la question : pourquoi une aggregation sauvage des liens chez different opperateurs marchera mieux ? Ou alors il y a quelqu'un qui oublie de dire a ces braves gens qu'en effet ca ne marche pas MPPP (lier les lignes pour une faire une seule virtuelle) != Load balancing (une connexion par ici, une connexion par la). L'avantage de MPPP est d'améliorer l'upload, le LB de permettre de passer bcp de connexions (marche tres bien pour le web avec bcp de gens) Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Sun, 03 Jul 2011 23:46:28 +0200, e-t172 e-t...@akegroup.org said: À l'époque ou la plupart des gens avaient une adresse publique sur leur PC, les attaques se faisaient bien par connexion directe (exemple : Blaster). Si, avec IPv6, tout le monde récupère à nouveau des adresses publiques non protégées, je te parie ma chemise que la vermine va de nouveau exploiter ce vecteur de transmission. Parce qu'en v6 on peut toujours scanner tout l'espace d'addressage plusieurs fois par mois, comme en v4 ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Bonjour, 2011/7/3 e-t172 e-t...@akegroup.org Il est un peu facile cet argument. Si les attaques ne se font pas par connexion IP directe c'est justement parce que le pékin moyen (ou plutôt devrais-je dire « victime moyenne ») a une box de FAI qui, justement, fait du NAT et ne laisse donc pas passer par défaut les connexions entrantes. Il est possible de bloquer les connexions entrantes sans faire du NAT. Ca s'appelle du filtrage. Voir à ce sujet la RFC 6204 (Basic Requirements for IPv6 Customer Edge Routers) présentée ici il y a une paire de mois. À l'époque ou la plupart des gens avaient une adresse publique sur leur PC, les attaques se faisaient bien par connexion directe (exemple : Blaster). Si, avec IPv6, tout le monde récupère à nouveau des adresses publiques non protégées, je te parie ma chemise que la vermine va de nouveau exploiter ce vecteur de transmission. La plupart des systèmes modernes (supportant IPv6) utilisés par des particuliers fournissent en standard un pare-feu qui bloque par défaut les connexions entrantes. Quoique j'imagine qu'en IPv6 certains ports (partage de fichiers?) vont être ouvert sur le lien local ou aux connexions provenant du même préfixe. Le principal problème est que, apparemment, il subsiste des gens qui ne comprennent pas qu'un simple pare-feu qui filtre les connexions entrantes offre une sécurité exactement identique à un NAT IPv4 typique, mais avec des inconvénients en moins. Parce que même si le NAT permet de filtrer les connexions entrantes, le pare-feu offre des avantages en plus? Personnellement, je suis un fervent partisan du End-to-End Principle, et par conséquent, je milite pour que ce genre de filtrage de connexions se fasse sur la machine finale, pas sur un nœud du réseau, parce que ça permet d'utiliser un pare-feu applicatif qui est bien mieux placé pour prendre ces décisions qu'une boite noire branchée sur un câble. Et qu'on ne vienne pas me dire que c'est pas Michu-compliant : la configuration par défaut du pare-feu de Windows depuis XP SP2 offre une sécurité au moins équivalente à un NAT. Mais j'imagine que c'est là encore une idée à ranger dans le monde des bisounours. Comment peut-on être partisan du End-to-End Principle *et* du NAT? Est-ce que ce n'est pas antinomique? -- Cdlt B. Garcia --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Mon, Jul 04, 2011 at 08:37:47AM +0200, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote a message of 17 lines which said: Parce qu'en v6 on peut toujours scanner tout l'espace d'addressage plusieurs fois par mois, comme en v4 ? C'est plus dur en v6 mais pas impossible. RFC 5157 http://www.bortzmeyer.org/5157.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On 07/04/2011 08:45 AM, Benoit Garcia wrote: Personnellement, je suis un fervent partisan du End-to-End Principle, et par conséquent, je milite pour que ce genre de filtrage de connexions se fasse sur la machine finale, pas sur un nœud du réseau, parce que ça permet d'utiliser un pare-feu applicatif qui est bien mieux placé pour prendre ces décisions qu'une boite noire branchée sur un câble. Et qu'on ne vienne pas me dire que c'est pas Michu-compliant : la configuration par défaut du pare-feu de Windows depuis XP SP2 offre une sécurité au moins équivalente à un NAT. Mais j'imagine que c'est là encore une idée à ranger dans le monde des bisounours. Comment peut-on être partisan du End-to-End Principle *et* du NAT? Est-ce que ce n'est pas antinomique? C'est surtout que tu as lu totalement de travers mon message. Où est-ce que tu as lu que je suis partisan du NAT ? C'est exactement le contraire ! Je suis tout à fait opposé à toute forme de NAT, ça ne m'empêche pas de critiquer les arguments (comme celui de Stéphane) que je trouve invalides, même si ils vont dans mon sens. On ne peut pas avoir une discussion ici sans devoir choisir son camp ? Il est un peu facile cet argument. Si les attaques ne se font pas par connexion IP directe c'est justement parce que le pékin moyen (ou plutôt devrais-je dire « victime moyenne ») a une box de FAI qui, justement, fait du NAT et ne laisse donc pas passer par défaut les connexions entrantes. Il est possible de bloquer les connexions entrantes sans faire du NAT. Ca s'appelle du filtrage. Oui, c'est ce que j'ai dit deux paragraphes plus bas dans mon message. À l'époque ou la plupart des gens avaient une adresse publique sur leur PC, les attaques se faisaient bien par connexion directe (exemple : Blaster). Si, avec IPv6, tout le monde récupère à nouveau des adresses publiques non protégées, je te parie ma chemise que la vermine va de nouveau exploiter ce vecteur de transmission. La plupart des systèmes modernes (supportant IPv6) utilisés par des particuliers fournissent en standard un pare-feu qui bloque par défaut les connexions entrantes. C'est pour ça que j'ai précisé non protégées. Le principal problème est que, apparemment, il subsiste des gens qui ne comprennent pas qu'un simple pare-feu qui filtre les connexions entrantes offre une sécurité exactement identique à un NAT IPv4 typique, mais avec des inconvénients en moins. Parce que même si le NAT permet de filtrer les connexions entrantes, le pare-feu offre des avantages en plus? Le NAT a pour inconvénient principal de modifier les adresses source et destination des paquets qui passent par lui. Le pare-feu n'a pas cet inconvénient, tout en gardant la possibilité de filtrer les connexions entrantes. D'où pare-feu NAT. -- Etienne Dechamps / e-t172 - AKE Group Phone: +33 6 23 42 24 82 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Mon, 4 Jul 2011 09:04:31 +0200, Stephane Bortzmeyer bortzme...@nic.fr said: C'est plus dur en v6 mais pas impossible. RFC 5157 http://www.bortzmeyer.org/5157.html Sauf mour la mehtode P2P, ce n'est pas comme ca que l'ordi familial de la famille Michu fonctionne. Les privacy extensions sont utilises et abuses par default. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 02/07/2011 21:37, Jérôme Nicolle a écrit : Le 2 juillet 2011 21:16, Rémy Sanchezremy.sanc...@hyperthese.net a écrit : Sauf que, à ma connaissance on a : * De la fibre pro à 1500€+ Non, 100€ l'offre de base, avec 2k€ de FAS étalés et négociables (à l'époque) Je signe où ? Parceque moi en bout de ligne (à Toulouse) je suis plutot à 1,6KE + 2.5KE de FAS pour 10M en fibre ce qui est totalement hors budget. Je pense que jusqu'a 0.5kE je pourrais arriver à faire passer mais pas plus. Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Protocole de routage IS-IS
Bonjour, J'aimerais me renseigner au niveau d'IS-IS : 1°) L'utilisez-vous ? 2°) Quelles implémentations existent ? Je n'en ai vu qu'une pour le moment, Quagga, et encore... Le daemon isis est listé mais pas commenté dans la documentation (occurrence = 1) ! 3°) Le fait qu'IS-IS soit un protocole OSI, et que sont implémentation soit de fait multi-protocole, à l'heure de la transition IPv4-IPv6, cela ne peut-il être un réel avantage, plutôt que de se taper la config OSPF ou double (v2/v3) ? Si vous avez des infos/retours d'expérience, je prends ! --- *Bernard Rosset*
Re: [FRnOG] Protocole de routage IS-IS
Salut, Le 4 juil. 2011 à 11:10, Bernard Rosset a écrit : Bonjour, J'aimerais me renseigner au niveau d'IS-IS : 1°) L'utilisez-vous ? Oui. 2°) Quelles implémentations existent ? Je n'en ai vu qu'une pour le moment, Quagga, et encore... Le daemon isis est listé mais pas commenté dans la documentation (occurrence = 1) ! Sur du juniper ou cisco pas de soucis. 3°) Le fait qu'IS-IS soit un protocole OSI, et que sont implémentation soit de fait multi-protocole, à l'heure de la transition IPv4-IPv6, cela ne peut-il être un réel avantage, plutôt que de se taper la config OSPF ou double (v2/v3) ? Si vous avez des infos/retours d'expérience, je prends ! Mon expérience avec OSPF V3 m'as donné des raisons de prendre de l'ISIS... Déjà sur OSPF v3 on a un router id... en ipv4 (c'est quoi ce délire ?) donc l'OSPF converge en ipv6 si et seulement si l'OSPF ipv4 a convergé... bref... avec de l'ospf v3 vas faire un réseau ipv6 only (ou si quelqu'un a truc.. ?). ISIS peux faire du v6 en natif... sans le v4 :) Par contre les implémentation opensource... bah y a pas grand chose... Et Quagga est pour moi un don't... Alors que les outils d'openbsd... My 0,02€. /Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 2 juil. 2011 à 23:03, Guillaume Leclanche a écrit : Avoir naturellement plusieurs adresses sur la même iface est une différence essentielle entre IPv6 et IPv4 et je suis d'accord avec cette approche du multihoming pour internet. Les deux préfixes sont valables et routés proprement, donc peu importe lequel on utilise. D'ailleurs, il n'y aurait éventuellement même pas besoin de 2 vlans (faut juste éviter que chaque routeur écoute les RAs de l'autre :) En outre, pour la communication LAN-LAN locale, il est recommandé d'utiliser des ULAs. Guillaume Oui mais dans ce cas, comment mon ampoule sait laquelle de ses deux adresses (ou n adresses) elle doit utiliser pour sortir sur internet ? A+ -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr
Re: [FRnOG] Protocole de routage IS-IS
On Mon, 4 Jul 2011 11:27:19 +0200, Xavier Beaudouin wrote: Mon expérience avec OSPF V3 m'as donné des raisons de prendre de l'ISIS... Déjà sur OSPF v3 on a un router id... en ipv4 (c'est quoi ce délire ?) donc l'OSPF converge en ipv6 si et seulement si l'OSPF ipv4 a convergé... bref... avec de l'ospf v3 vas faire un réseau ipv6 only (ou si quelqu'un a truc.. ?). Le router ID, c'est juste un entier de 32 bits. On l'écrit sous forme d'IPv4 uniquement pour des raisons pratiques (et dans le cas d'IPv4, on essaie même de le deviner en prenant une IP de la machine). OSPFv3 ne fait que de l'IPv6. OSPFv2 ne fait que de l'IPv4. Ils ne peuvent pas se marcher sur les pieds. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Protocole de routage IS-IS
+1 par rapport a ce qu'il vient d'etre publié. OSPFv3 n'a pas besoin de OSPF pour IPV4 pour fonctionner. Mon expérience avec OSPF V3 m'as donné des raisons de prendre de l'ISIS... Déjà sur OSPF v3 on a un router id... en ipv4 (c'est quoi ce délire ?) donc l'OSPF converge en ipv6 si et seulement si l'OSPF ipv4 a convergé... bref... avec de l'ospf v3 vas faire un réseau ipv6 only (ou si quelqu'un a truc.. ?). Le router ID, c'est juste un entier de 32 bits. On l'écrit sous forme d'IPv4 uniquement pour des raisons pratiques (et dans le cas d'IPv4, on essaie même de le deviner en prenant une IP de la machine). OSPFv3 ne fait que de l'IPv6. OSPFv2 ne fait que de l'IPv4. Ils ne peuvent pas se marcher sur les pieds. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Nicolas MICHEL Ingenieur Réseaux CCIE #29410 Tel: +33 6 08 72 75 97
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 3 juil. 2011 à 10:01, Yoann Gini a écrit : Bah justement, c’est que je disais, sans le NAT je suis incapable de refaire cette config qui marche très bien en IPv4 et qui est utilisé par beaucoup de monde… et oui, c'est bien pourquoi ce NPT me semble intéressant. La solution idéale serait des adresses PI et du multi-homming, sauf que je vois mal les FAI accepter ça sur de l’ADSL grand publique d’une part, et d’autre part les clients ne comprendront pas pourquoi IPv6 fait « moins bien » qu’IPv4 et ne voudront pas faire la migration. et puis ça va être dur d'expliquer à M. Michu (pas de sexisme primaire !) qu'il faut payer pour un routeur BPG et une journée d'ingériéring pour le mettre en place correctement ! À mon avis il y a un vrai marché à prendre ici. Une offre packagé ADSL + SDSL (avec si possible des DSLAM différents) sur un bloc d’IPv6 identique et du load balacing / traffic selection entre les deux sans pour autant ruiner le client. Chez un même FAI, y'a pas de problème, je te le propose quand tu veux (en BGP). Même pas besoin d'adresses PI. Mais bon la redondance ADSL + SDSL est quand même bien illusoire quand on sait que l'on passe par le même chemin de cuivre... Cordialement, -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr
[FRnOG] Re: Protocole de routage IS-IS
On Mon, Jul 04, 2011 at 11:10:14AM +0200, Bernard Rosset bros...@april.org wrote a message of 51 lines which said: 3°) Le fait qu'IS-IS soit un protocole OSI, et que sont implémentation soit de fait multi-protocole, Quel rapport ? Il existe un protocole de routage IETF qui route v4 et v6 et c'est OSPF. RFC 5838 http://www.bortzmeyer.org/5838.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 4 juil. 2011 à 08:37, Radu-Adrian Feurdean a écrit : Parce qu'en v6 on peut toujours scanner tout l'espace d'addressage plusieurs fois par mois, comme en v4 ? si tu veux une adresse fiable, il te suffit de faire un spam avec une belle image : le client se fera un plaisir de venir chez toi chercher la belle image et te donner au passage une adresse ipv6 fiable... Bon d'accord, avec des adresses temporaires (RFC 3041), les adresses récupérées ont une durée de vie limitée (quand même une semaine), mais cela est bien suffisant pour une attaque. La sécurité par offuscation n'est pas, et n'a jamais été, une solution de sécurisation, et ce n'est pas les 2^64 adresses d'IPV6 qui vont changer ça. Cordialement, -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 E-Liance, Opérateur des entreprises et collectivités, Liaisons Fibre optique, SDSL et ADSL http://www.e-liance.fr
Re: [FRnOG] Protocole de routage IS-IS
Le 4 juil. 2011 à 11:40, Vincent Bernat a écrit : On Mon, 4 Jul 2011 11:27:19 +0200, Xavier Beaudouin wrote: Mon expérience avec OSPF V3 m'as donné des raisons de prendre de l'ISIS... Déjà sur OSPF v3 on a un router id... en ipv4 (c'est quoi ce délire ?) donc l'OSPF converge en ipv6 si et seulement si l'OSPF ipv4 a convergé... bref... avec de l'ospf v3 vas faire un réseau ipv6 only (ou si quelqu'un a truc.. ?). Le router ID, c'est juste un entier de 32 bits. On l'écrit sous forme d'IPv4 uniquement pour des raisons pratiques (et dans le cas d'IPv4, on essaie même de le deviner en prenant une IP de la machine). OSPFv3 ne fait que de l'IPv6. OSPFv2 ne fait que de l'IPv4. Ils ne peuvent pas se marcher sur les pieds. C'est ce que j'ai cru... mais... sur openospfd (openbsd) et certains ios cisco j'ai eu ces surprises... Du genre pourquoi cette saloperie ne convergeais pas ni même ne montais de session ospf... Jusqu'à ce que je mette du v4 (ospf + bgp) et la mgic c'est monté et convergé... J'ai tenté le même setup aussi avec du quagga mais pas eu le temps de debogger non plus :( Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Protocole de routage IS-IS
Bonjour, On 04/07/11 12:20, Xavier Beaudouin wrote: Le 4 juil. 2011 à 11:40, Vincent Bernat a écrit : On Mon, 4 Jul 2011 11:27:19 +0200, Xavier Beaudouin wrote: Mon expérience avec OSPF V3 m'as donné des raisons de prendre de l'ISIS... Déjà sur OSPF v3 on a un router id... en ipv4 (c'est quoi ce délire ?) donc l'OSPF converge en ipv6 si et seulement si l'OSPF ipv4 a convergé... bref... avec de l'ospf v3 vas faire un réseau ipv6 only (ou si quelqu'un a truc.. ?). Le router ID, c'est juste un entier de 32 bits. On l'écrit sous forme d'IPv4 uniquement pour des raisons pratiques (et dans le cas d'IPv4, on essaie même de le deviner en prenant une IP de la machine). OSPFv3 ne fait que de l'IPv6. OSPFv2 ne fait que de l'IPv4. Ils ne peuvent pas se marcher sur les pieds. C'est ce que j'ai cru... mais... sur openospfd (openbsd) et certains ios cisco j'ai eu ces surprises... Du genre pourquoi cette saloperie ne convergeais pas ni même ne montais de session ospf... Jusqu'à ce que je mette du v4 (ospf + bgp) et la mgic c'est monté et convergé... Nous avons fait une expérience de réseau full v6 à l'université avec des routeurs Cisco il y a 2 mois, et le réseau a bien convergé sans ajouter d'instance d'OSPF v4. Voilà la conf cisco que nous avons utilisé : ipv6 router ospf 1 router-id 200.0.0.1 no log-adjacency-changes redistribute connected redistribute static redistribute rip 10 Sans oublier la ligne suivante dans l'interface concernée : ipv6 ospf 1 area 50 L'ID est spécifié sous la forme d'une adresse v4 comme il a été dit avant, mais ne correspond à aucune IP assignée au routeur. J'ai tenté le même setup aussi avec du quagga mais pas eu le temps de debogger non plus :( Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/ Louis signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Protocole de routage IS-IS
Le 4 juil. 2011 à 12:10, Fregate84 a écrit : De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Bernard Rosset Envoyé : lundi 4 juillet 2011 11:10 À : FRnOG ML Objet : [FRnOG] Protocole de routage IS-IS Bonjour, J'aimerais me renseigner au niveau d'IS-IS : 1°) L'utilisez-vous ? Oui, et ca marche tres bien. Un des gros avantage, c’est justement que ce soit de l’ISO. Tu sais donc que ton ISIS est moins polluer par les conf ip. 2°) Quelles implémentations existent ? Je n'en ai vu qu'une pour le moment, Quagga, et encore... Le daemon isis est listé mais pas commenté dans la documentation (occurrence = 1) ! Aucune idée, mais je confirme que ca marche tres bien entre juniper et cisco. 3°) Le fait qu'IS-IS soit un protocole OSI, et que sont implémentation soit de fait multi-protocole, à l'heure de la transition IPv4-IPv6, cela ne peut-il être un réel avantage, plutôt que de se taper la config OSPF ou double (v2/v3) ? Si vous avez des infos/retours d'expérience, je prends ! Pour info tous les gros ISP sont en ISIS, donc il ne faut pas avoir peur d’ISIS. Après c’est vrais que si tu ne connais pas du tout le protocol, ca prend un peu de temps a apprendre. (Hello! ) Qui par exemple? --- Bernard Rosset
Re: [FRnOG] Protocole de routage IS-IS
Hello, Le 4 juil. 2011 à 12:26, Louis DURUFLÉ a écrit : Bonjour, [...] Jusqu'à ce que je mette du v4 (ospf + bgp) et la mgic c'est monté et convergé... Nous avons fait une expérience de réseau full v6 à l'université avec des routeurs Cisco il y a 2 mois, et le réseau a bien convergé sans ajouter d'instance d'OSPF v4. Voilà la conf cisco que nous avons utilisé : ipv6 router ospf 1 router-id 200.0.0.1 no log-adjacency-changes redistribute connected redistribute static redistribute rip 10 Sans oublier la ligne suivante dans l'interface concernée : ipv6 ospf 1 area 50 L'ID est spécifié sous la forme d'une adresse v4 comme il a été dit avant, mais ne correspond à aucune IP assignée au routeur. Bon alors, j'ai pas eu de chance... Surement un bug dans l'implémentation que j'ai eu. D'un autre coté, ça me rassure, car je trouvais le truc trop gros ... :) (bon j'ai pas retenté c'étais il y a un an aussi ou les implémentation ospf v3 sur de l'opensource commençaient à devenir utilisable ). Xavier--- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Protocole de routage IS-IS
Neuf (partie entreprise au moins), FT (sur au moins 3 de leur backbone), Apres je nai pas travaillé chez tout les opérateurs (je te cite les endroits ou jai bosser, donc ou je suis sur quil y en ait) , mais cest vraiment tres classique de mettre de lISIS sur les gros backbone, car la scalabilité est meilleurs. _ De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Bernard Rosset Envoyé : lundi 4 juillet 2011 11:10 À : FRnOG ML Objet : [FRnOG] Protocole de routage IS-IS Bonjour, J'aimerais me renseigner au niveau d'IS-IS : 1°) L'utilisez-vous ? Oui, et ca marche tres bien. Un des gros avantage, cest justement que ce soit de lISO. Tu sais donc que ton ISIS est moins polluer par les conf ip. 2°) Quelles implémentations existent ? Je n'en ai vu qu'une pour le moment, Quagga, et encore... Le daemon isis est listé mais pas commenté dans la documentation (occurrence = 1) ! Aucune idée, mais je confirme que ca marche tres bien entre juniper et cisco. 3°) Le fait qu'IS-IS soit un protocole OSI, et que sont implémentation soit de fait multi-protocole, à l'heure de la transition IPv4-IPv6, cela ne peut-il être un réel avantage, plutôt que de se taper la config OSPF ou double (v2/v3) ? Si vous avez des infos/retours d'expérience, je prends ! Pour info tous les gros ISP sont en ISIS, donc il ne faut pas avoir peur dISIS. Après cest vrais que si tu ne connais pas du tout le protocol, ca prend un peu de temps a apprendre. (Hello! ) Qui par exemple? --- Bernard Rosset
Re: [FRnOG] Protocole de routage IS-IS
J'ai souvent hésité en ISIS et OSPF. Du point de vue du routage, je ne vois pas de différence. L'avantage d'ISIS et justement de ne pas se mordre la queue. Est-ce qu'un ISIS-TE est en pratique réalisable pour MPLS-TE? Ou dois-je me satisfaire d'OSPF-TE? ( qui fonctionne de toute façon ) William Le 4 juil. 2011 à 12:34, Fregate84 a écrit : Neuf (partie entreprise au moins), FT (sur au moins 3 de leur backbone), … Apres je n’ai pas travaillé chez tout les opérateurs (je te cite les endroits ou j’ai bosser, donc ou je suis sur qu’il y en ait) , mais c’est vraiment tres classique de mettre de l’ISIS sur les gros backbone, car la scalabilité est meilleurs. De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Bernard Rosset Envoyé : lundi 4 juillet 2011 11:10 À : FRnOG ML Objet : [FRnOG] Protocole de routage IS-IS Bonjour, J'aimerais me renseigner au niveau d'IS-IS : 1°) L'utilisez-vous ? Oui, et ca marche tres bien. Un des gros avantage, c’est justement que ce soit de l’ISO. Tu sais donc que ton ISIS est moins polluer par les conf ip. 2°) Quelles implémentations existent ? Je n'en ai vu qu'une pour le moment, Quagga, et encore... Le daemon isis est listé mais pas commenté dans la documentation (occurrence = 1) ! Aucune idée, mais je confirme que ca marche tres bien entre juniper et cisco. 3°) Le fait qu'IS-IS soit un protocole OSI, et que sont implémentation soit de fait multi-protocole, à l'heure de la transition IPv4-IPv6, cela ne peut-il être un réel avantage, plutôt que de se taper la config OSPF ou double (v2/v3) ? Si vous avez des infos/retours d'expérience, je prends ! Pour info tous les gros ISP sont en ISIS, donc il ne faut pas avoir peur d’ISIS. Après c’est vrais que si tu ne connais pas du tout le protocol, ca prend un peu de temps a apprendre. (Hello! ) Qui par exemple? --- Bernard Rosset
Re: [FRnOG] Protocole de routage IS-IS
Sur des gros Backbone IP tu retrouveras de l' IS-IS. Dans les cursus de formation, ISIS n'est pas très présent, les constructeurs préférant former des gens sur OSPF ou EIGRP (!) Je te conseille ce bouquin écrit par une personne qui maitrise son sujet ;) http://www.amazon.fr/gp/product/0321168798/ref=oss_product Sinon celui ci est écrit lui aussi par quelqu'un qui touche ;) http://www.amazon.fr/--Deployment-IP-Networks/dp/0201657724/ref=sr_1_2?s=english-booksie=UTF8qid=1309778494sr=1-2 Stéphane te redirigera forcement vers ce lien : http://www.ietf.org/rfc/rfc1195.txt :D Cordialement Le 4 juillet 2011 12:46, William Gacquer w.gacq...@france-citevision.fr a écrit : J'ai souvent hésité en ISIS et OSPF. Du point de vue du routage, je ne vois pas de différence. L'avantage d'ISIS et justement de ne pas se mordre la queue. Est-ce qu'un ISIS-TE est en pratique réalisable pour MPLS-TE? Ou dois-je me satisfaire d'OSPF-TE? ( qui fonctionne de toute façon ) William Le 4 juil. 2011 à 12:34, Fregate84 a écrit : ** Neuf (partie entreprise au moins), FT (sur au moins 3 de leur backbone), … ** ** Apres je n’ai pas travaillé chez tout les opérateurs (je te cite les endroits ou j’ai bosser, donc ou je suis sur qu’il y en ait) , mais c’est vraiment tres classique de mettre de l’ISIS sur les gros backbone, car la scalabilité est meilleurs. ** ** ** ** -- *De :* owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] *De la part de * Bernard Rosset *Envoyé :* lundi 4 juillet 2011 11:10 *À :* FRnOG ML *Objet :* [FRnOG] Protocole de routage IS-IS ** ** Bonjour, J'aimerais me renseigner au niveau d'IS-IS : 1°) L'utilisez-vous ? ** ** Oui, et ca marche tres bien. Un des gros avantage, c’est justement que ce soit de l’ISO. Tu sais donc que ton ISIS est moins polluer par les conf ip. 2°) Quelles implémentations existent ? Je n'en ai vu qu'une pour le moment, Quagga, et encore... Le daemon isis est listé mais pas commenté dans la documentation (occurrence = 1) ! ** ** Aucune idée, mais je confirme que ca marche tres bien entre juniper et cisco. ** ** 3°) Le fait qu'IS-IS soit un protocole OSI, et que sont implémentation soit de fait multi-protocole, à l'heure de la transition IPv4-IPv6, cela ne peut-il être un réel avantage, plutôt que de se taper la config OSPF ou double (v2/v3) ? Si vous avez des infos/retours d'expérience, je prends ! ** ** ** ** Pour info tous les gros ISP sont en ISIS, donc il ne faut pas avoir peur d’ISIS. Après c’est vrais que si tu ne connais pas du tout le protocol, ca prend un peu de temps a apprendre. ** ** (Hello! ) Qui par exemple? ** ** ** --- *Bernard Rosset* ** ** ** ** -- Nicolas MICHEL Ingenieur Réseaux CCIE #29410 Tel: +33 6 08 72 75 97
Re: [FRnOG] Protocole de routage IS-IS
Pour info tous les gros ISP sont en ISIS, donc il ne faut pas avoir peur d’ISIS. Après c’est vrais que si tu ne connais pas du tout le protocol, ca prend un peu de temps a apprendre +1 de plus comme ce n'est pas IP, il n'y a aucun risque d'attaque de machines qui n'ont pas une connection en L2 vers le routeur, ce qui veut dire toutes les connections L2TP (DSL) et le reste d'internet. Pas de soucis d'ACL manquante ou mal configure :p La seule chose importante : faire attention a la taille du MTU des interfaces. Par défaut ISIS sur certain routeurs va padder pour remplir le MTU, si l'interface de réception a un MTU plus petit, le paquet ne va pas passer. Thomas
Re: [FRnOG] Protocole de routage IS-IS
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On Mon, Jul 04, 2011 at 11:27:19AM +0200, Xavier Beaudouin wrote: Déjà sur OSPF v3 on a un router id... en ipv4 (c'est quoi ce délire ?) Humm, pour moi le router-id c'est juste un identifiant sur 32 bits, affiché en dot quad par convenance. Yep, c'est ce que BGP a aussi, une IP aide a avoir un router_id unique. 67.65.70.69 est le meilleur routeur id au monde :D Thomas import socket socket.inet_pton(socket.AF_INET,'67.65.70.69') 'CAFE' -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (Darwin) iEYEARECAAYFAk4RqiAACgkQA/52wvuLgaFPVQCgojpJrJQ/O0ls926boOLxN9Yb UgEAni3CdztpgMKtTBZuPNNH+ADIGrfu =vexj -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Protocole de routage IS-IS
On 07/04/2011 12:46 PM, William Gacquer wrote: J'ai souvent hésité en ISIS et OSPF. Du point de vue du routage, je ne vois pas de différence. L'avantage d'ISIS et justement de ne pas se mordre la queue. Est-ce qu'un ISIS-TE est en pratique réalisable pour MPLS-TE? Ou dois-je me satisfaire d'OSPF-TE? ( qui fonctionne de toute façon ) ISIS a une extension TE qu'on utilise depuis des années, ça s'active en deux lignes sous IOS, plus une autre au minimum pour chaque interface concernée. Concernant la scalabilité, pas d'exemple impressionant à donner, chez nous on a un peu plus de 4000 préfixes vs. certains autres réseaux qui en ont des dizaines de milliers en OSPF mais dont la taille n'est pas comparable. Je n'ai pas d'élément pour comparer les deux sur un aspect temps de convergence; avec ISIS on descend aisément sous la seconde avec plusieurs milliers de préfixes. Concernant la MTU, un mismatch entre deux voisins empêche tout simplement l'adjacence de s'établir avec la config par défaut. Il y aussi le cas vicieux où l'adjacence est établie car la MTU des interfaces est cohérente des deux côtés, mais toujours trop faible pour laisser passer un LSP ! (donc, pas de routes pour le routeur monoconnecté) Bref, faire attention à la MTU, faire en sorte qu'elle soit homogène dans le réseau. -- Julien Lesaint. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Protocole de routage IS-IS
2011/7/4 William Gacquer w.gacq...@france-citevision.fr: Pour info tous les gros ISP sont en ISIS, donc il ne faut pas avoir peur d’ISIS. Après c’est vrais que si tu ne connais pas du tout le protocol, ca prend un peu de temps a apprendre. (Hello! ) Qui par exemple? Tiscali / Alice quand ca existait encore. Avec la couche MPLS-TE par dessus. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Monday 04 July 2011 11:35:50 Alain RICHARD wrote: Oui mais dans ce cas, comment mon ampoule sait laquelle de ses deux adresses (ou n adresses) elle doit utiliser pour sortir sur internet ? Cf le mail de Yves-Alexis Perez qui renvoie à la RFC kivabien http://www.mail-archive.com/frnog@frnog.org/msg15322.html -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 On 4 Jul 2011, at 15:38, Rémy Sanchez wrote: On Monday 04 July 2011 11:35:50 Alain RICHARD wrote: Oui mais dans ce cas, comment mon ampoule sait laquelle de ses deux adresses (ou n adresses) elle doit utiliser pour sortir sur internet ? Cf le mail de Yves-Alexis Perez qui renvoie à la RFC kivabien http://www.mail-archive.com/frnog@frnog.org/msg15322.html C'est “longest prefix match” (rule 8) a moins que l'OS ait une meilleure idée ... Donc le comportement n'est pas vraiment défini mais laissé aux implémentations. Très bonne nouvelle pour notre gateway qui peux décider d'utiliser le lien avec le moins de congestion :D Pour l'OS cependant, décider de la meilleure route va être plus dur.. mais cela veut aussi dire que le comportement peux être défini par l'utilisateur. Thomas - --- Rule 8: Use longest matching prefix. If CommonPrefixLen(SA, D) CommonPrefixLen(SB, D), then prefer SA. Similarly, if CommonPrefixLen(SB, D) CommonPrefixLen(SA, D), then prefer SB. Rule 8 may be superseded if the implementation has other means of choosing among source addresses. For example, if the implementation somehow knows which source address will result in the best communications performance. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (Darwin) iEYEARECAAYFAk4R00UACgkQA/52wvuLgaHoFgCfbbXBweu7ZCtmCb+4UixE9g5f 7WMAoPPjEOCOjd1KcQTkYMaHhPEKTV2r =kN9v -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On lun., 2011-07-04 at 15:50 +0100, Thomas Mangin wrote: C'est “longest prefix match” (rule 8) a moins que l'OS ait une meilleure idée ... Donc le comportement n'est pas vraiment défini mais laissé aux implémentations. Non, le comportement est défini. C'est longest prefix match, mais si l'OS a de bonnes raisons il peut faire autrement et on lui en voudra pas (du moment qu'il a respecté les règles précédentes). Très bonne nouvelle pour notre gateway qui peux décider d'utiliser le lien avec le moins de congestion :D Ceci dit, on rappelle que c'est uniquement le “source address selection”, donc pour le endpoint. Pour l'OS cependant, décider de la meilleure route va être plus dur.. mais cela veut aussi dire que le comportement peux être défini par l'utilisateur. Non c'est pas plus dur, il a une règle toute prête. Mais ça laisse de la place aux autres décisions. Quand on arrive à la règle 8, il n'y a pas plus vraiment de mauvaise décision, au moins en théorie, et donc ça dépend surtout du déploiement, de l'environnement, du jour de la semaine etc. -- Yves-Alexis --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Mon, 04 Jul 2011 20:24:16 +0200, Yves-Alexis Perez cor...@corsac.net said: Non, le comportement est défini. C'est longest prefix match, mais si Entre un /64 et un autre /64, lequel gagne selon le longest prefix match ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Non, le comportement est défini. C'est longest prefix match, mais si l'OS a de bonnes raisons il peut faire autrement et on lui en voudra pas (du moment qu'il a respecté les règles précédentes). Nous sommes d'accord c'est assez flou pour permettre ce qu'on veut :) Très bonne nouvelle pour notre gateway qui peux décider d'utiliser le lien avec le moins de congestion :D Ceci dit, on rappelle que c'est uniquement le “source address selection”, donc pour le endpoint. Avec deux gateways, choisir sa source IP c'est choisir sa gateway, sinon le routeur risque de ne pas laisser passer le paquet (voir RPF / RFC 2827) Non c'est pas plus dur, il a une règle toute prête. Mais ça laisse de la place aux autres décisions. Quand on arrive à la règle 8, il n'y a pas plus vraiment de mauvaise décision, au moins en théorie, et donc ça dépend surtout du déploiement, de l'environnement, du jour de la semaine La regle 8 est juste la pour fournir une solution - un peu bête mais qui marche. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
On Monday 04 July 2011 21:11:42 Radu-Adrian Feurdean wrote: Entre un /64 et un autre /64, lequel gagne selon le longest prefix match ? Ça veut pas plutôt dire que ça choisit en fonction du nombre de bits en commun dans le début du préfixe ? Genre :::ddde::/64 gagnerait contre :::::/64 pour joindre :::::/64 -- Rémy Sanchez signature.asc Description: This is a digitally signed message part.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Le 04/07/2011 21:53, Rémy Sanchez a écrit : On Monday 04 July 2011 21:11:42 Radu-Adrian Feurdean wrote: Entre un /64 et un autre /64, lequel gagne selon le longest prefix match ? Ça veut pas plutôt dire que ça choisit en fonction du nombre de bits en commun dans le début du préfixe ? Genre :::ddde::/64 gagnerait contre :::::/64 pour joindre :::::/64 Oui c'est ce que dit la règle 8, mais je pense que la question de Radu-Adrian était pour le cas où le nombre de bits est le même. Le RFC laisse le choix à l'implémentation : If the eight rules fail to choose a single address, some unspecified tie-breaker should be used. Patrick. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Salut, On Mon, Jul 04, 2011 at 11:35:50AM +0200, Alain RICHARD wrote: Le 2 juil. 2011 à 23:03, Guillaume Leclanche a écrit : Avoir naturellement plusieurs adresses sur la même iface est une différence essentielle entre IPv6 et IPv4 et je suis d'accord avec cette approche du multihoming pour internet. Les deux préfixes sont valables et routés proprement, donc peu importe lequel on utilise. D'ailleurs, il n'y aurait éventuellement même pas besoin de 2 vlans (faut juste éviter que chaque routeur écoute les RAs de l'autre :) En outre, pour la communication LAN-LAN locale, il est recommandé d'utiliser des ULAs. Guillaume Oui mais dans ce cas, comment mon ampoule sait laquelle de ses deux adresses (ou n adresses) elle doit utiliser pour sortir sur internet ? Les OS dignes de ce noms possèdent une IPv6 address selection policy table : http://www.davidc.net/networking/ipv6-source-address-selection-linux http://www.freebsd.org/cgi/man.cgi?query=ip6addrctlapropos=0sektion=0manpath=FreeBSD+8.2-RELEASEformat=html http://dlc.sun.com/osol/docs/content/SYSADV3/ipv6-admintasks-43.html -- Jeremie Le Hen Humans are born free and equal. But some are more equal than others. Coluche --- Liste de diffusion du FRnOG http://www.frnog.org/
