RE: [FRnOG] [TECH] Numericable L2TP
Merci a tous pour vos réponses, En fait, j'ai oublié de mentionné dans mon message précédent que nous avons déjà pris en compte la modification du MTU à cause de ce tunnel LT2P. Ces changements de MTU ont été réalisés sur les postes clients internes et non sur les interfaces externes sur notre CISCO 871. Merci aussi pour tous les commentaires et conseils. Vous nous avez donné quelques idées à étudier. Cordialement, Mario -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Mario Valetti Sent: 30 January 2012 17:30 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Numericable L2TP Bonsoir a tous, Nous avons des connexions ADSL internet via Numéricâble. Sur ces lignes, nous avons demandé à notre provider des adresses IP statiques et apparemment la seule façon d'obtenir des adresses IP fixes est l'utilisation d'un tunnel L2TP. Donc, nous nous connectons tout d'abord à un serveur DHCP pour récupérer une adresse IP publique qui change à chaque connexion et ensuite nous montons un tunnel L2TP pour obtenir une adresse IP fixe. Du fait que nous utilisons ces accès pour des connexions site à site avec nos filiales, nous avons remplacé les modems Numéricâble fourni par nos propres équipements Cisco (la connexion site à site n'étant pas possible avec les modems Numericable). Dans notre cas, nous utilisons des routeurs Cisco 871. La configuration fonctionne bien mais on remarque une perte importante de paquets dès que le tunnel LT2P est monté (pas ou peu de perte de paquet sans le tunnel). C'est la cas avec le Cisco 871 mais aussi avec les modems Numericable. Nous avons du trafic limitées sur les lignes et le processeur n'est pas utilisé de manière excessif. Nous avons seulement remarqué que nous avions plus de perte de paquets la journée que pendant la nuit -Pour information, des paquets sont perdus pour des connexions à des sites internationaux ainsi que pour des connexions à des sites situés en France. Quelqu'un a-t-il une expérience sur ce sujet ? Est-il normal que des paquets soient perdus dès que l'ont utilisent une connexion avec un tunnel L2TP? La configuration de notre routeur Cisco 871 est détaillée ci-dessous. Avez vous des remarques sur la configuration? pseudowire-class ISP encapsulation l2tpv2 ip local interface FastEthernet4 interface FastEthernet4 description $ETH-WAN$ ip address dhcp zone-member security outside speed 100 full-duplex interface Virtual-PPP1 description L2TP dialer to ISP ip address negotiated ip nat outside ip virtual-reassembly zone-member security outside ppp pap sent-username x password 7 x pseudowire x.x.x.x1 pw-class ISP crypto map SDM_CMAP_1 ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 ip nat inside source route-map SDM_RMAP_1 interface Virtual-PPP1 overload Cordialement, Mario Valetti The Kyte Group Ltd Paris 10 Rue de la Paix, 75002, Paris, France Tel: +33 (0)1.42.60.00.95 http://www.kytegroup.com http://www.kytegroup.com/ The content of this communication is not intended for any other person. If you are not the intended recipient please notify the sender immediately, delete this message from your system and do not copy, transfer or disclose this message or its contents to any third party. Please go to http://www.kytegroup.com/emaildisclaimers/GENERAL for full disclaimers and important information. We reserve the right to monitor and record all electronic messages whether received or sent by us. --- Liste de diffusion du FRnOG http://www.frnog.org/ The content of this communication is not intended for any other person. If you are not the intended recipient please notify the sender immediately, delete this message from your system and do not copy, transfer or disclose this message or its contents to any third party. Please go to http://www.kytegroup.com/emaildisclaimers/GENERAL for full disclaimers and important information. We reserve the right to monitor and record all electronic messages whether received or sent by us. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Numericable L2TP
Salut, On Mon, Jan 30, 2012 at 08:15:37PM +0100, Guillaume Barrot wrote: Certes, les sessions applicatives, je parlais de la notion de session couche basse TCP, et donc de la fiabilité des communications / pertes de paquets. La fiabilité des communications / pertes de paquets c'est la partie congestion, qui s'appuie sur une nécessité d'identifier les sessions. Certes grâce aux collectes et leurs MTU en général a 4470b, on a pas de soucis sur la collecte ... jusqu'au premier switch de collecte. A voir si c'est le cas chez NCC, mais je connais des FAI ou la MTU des switchs de collecte est a 1500... Humm, j'ai surtout expérimenté de la collecte à 1500, sauf si je me trompe mais il me semble que c'est le cas sur les collectes FT/SFR, insérer ici une excuse sur le fait que j'ai pas touché à ça depuis longtemps, et les ~trames~ L2TP qui se promènent sont fragmentées dans plusieurs paquets IP. De plus la fragmentation sur IP, aussi naturelle et maîtrisée soit elle a quand même des beaux effets de bord. Pas plus tard que la semaine dernière j'ai pu expérimenter le NFS dans des cas de MTU mixtes (1500 cote client, 9000 cote réseau et serveur), et une stabilité plus qu'aléatoire au final. Ouaip, si tout est bien fragmenté par le routeur intermédiaire, il reste toujours le détail qui tue: Certaines implémentations offload UDP tx/rx de cartes réseaux sont buggées jusqu'à l'os (B..m pour ne pas le citer par exemple, sans surprise), et ne sont pas capable de gérer correctement les paquets UDP fragmentés dans plusieurs paquets IP. (Comment ça ça sent le vécu ?) Sylvain signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Numericable L2TP
Bon je vais dire comme les autres : - Prendre quelques IP fixe en premier, - lier les différents sites (on en sait pas combien il y en a) via VPN. Ainsi les personnes sur sites n'ont pas besoin de passer par un quelconque vpn ou autres et au pire leur mettre un dhcp pour ne pas avoir à jongler avec leurs ip. Déja ça simplifie pas mal et permettra de monitorer tout ça. Et s'il y a des externes aux sites, mettre un simple vpn (gérer en interne) pour qu'il puisse se connecter. Voilou, sinon tu ne donnes pas de retour c'est quoi les messages d'erreurs sur les pertes de paquets parce que là ça peut être un peu tout et n'importe quoi http://www.informit.com/library/content.aspx?b=Troubleshooting_VPNsseqNum=36 ? Le Tue, 31 Jan 2012 09:51:49 +0100, Mario Valetti m.vale...@kytegroup.com a écrit: Merci a tous pour vos réponses, En fait, j'ai oublié de mentionné dans mon message précédent que nous avons déjà pris en compte la modification du MTU à cause de ce tunnel LT2P. Ces changements de MTU ont été réalisés sur les postes clients internes et non sur les interfaces externes sur notre CISCO 871. Merci aussi pour tous les commentaires et conseils. Vous nous avez donné quelques idées à étudier. Cordialement, Mario -Original Message- From: frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] On Behalf Of Mario Valetti Sent: 30 January 2012 17:30 To: frnog-t...@frnog.org Subject: [FRnOG] [TECH] Numericable L2TP Bonsoir a tous, Nous avons des connexions ADSL internet via Numéricâble. Sur ces lignes, nous avons demandé à notre provider des adresses IP statiques et apparemment la seule façon d'obtenir des adresses IP fixes est l'utilisation d'un tunnel L2TP. Donc, nous nous connectons tout d'abord à un serveur DHCP pour récupérer une adresse IP publique qui change à chaque connexion et ensuite nous montons un tunnel L2TP pour obtenir une adresse IP fixe. Du fait que nous utilisons ces accès pour des connexions site à site avec nos filiales, nous avons remplacé les modems Numéricâble fourni par nos propres équipements Cisco (la connexion site à site n'étant pas possible avec les modems Numericable). Dans notre cas, nous utilisons des routeurs Cisco 871. La configuration fonctionne bien mais on remarque une perte importante de paquets dès que le tunnel LT2P est monté (pas ou peu de perte de paquet sans le tunnel). C'est la cas avec le Cisco 871 mais aussi avec les modems Numericable. Nous avons du trafic limitées sur les lignes et le processeur n'est pas utilisé de manière excessif. Nous avons seulement remarqué que nous avions plus de perte de paquets la journée que pendant la nuit -Pour information, des paquets sont perdus pour des connexions à des sites internationaux ainsi que pour des connexions à des sites situés en France. Quelqu'un a-t-il une expérience sur ce sujet ? Est-il normal que des paquets soient perdus dès que l'ont utilisent une connexion avec un tunnel L2TP? La configuration de notre routeur Cisco 871 est détaillée ci-dessous. Avez vous des remarques sur la configuration? pseudowire-class ISP encapsulation l2tpv2 ip local interface FastEthernet4 interface FastEthernet4 description $ETH-WAN$ ip address dhcp zone-member security outside speed 100 full-duplex interface Virtual-PPP1 description L2TP dialer to ISP ip address negotiated ip nat outside ip virtual-reassembly zone-member security outside ppp pap sent-username x password 7 x pseudowire x.x.x.x1 pw-class ISP crypto map SDM_CMAP_1 ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 ip nat inside source route-map SDM_RMAP_1 interface Virtual-PPP1 overload Cordialement, Mario Valetti The Kyte Group Ltd Paris 10 Rue de la Paix, 75002, Paris, France Tel: +33 (0)1.42.60.00.95 http://www.kytegroup.com http://www.kytegroup.com/ The content of this communication is not intended for any other person. If you are not the intended recipient please notify the sender immediately, delete this message from your system and do not copy, transfer or disclose this message or its contents to any third party. Please go to http://www.kytegroup.com/emaildisclaimers/GENERAL for full disclaimers and important information. We reserve the right to monitor and record all electronic messages whether received or sent by us. --- Liste de diffusion du FRnOG http://www.frnog.org/ The content of this communication is not intended for any other person. If you are not the intended recipient please notify the sender immediately, delete this message from your system and do not copy, transfer or disclose this message or its contents to any third party. Please go to http://www.kytegroup.com/emaildisclaimers/GENERAL for full
Re: [FRnOG] [TECH] Numericable L2TP
Bonjour, Le 30 janv. 2012 à 17:29, Mario Valetti a écrit : Nous avons des connexions ADSL internet via Numéricâble. Sur ces lignes, nous avons demandé à notre provider des adresses IP statiques et apparemment la seule façon d'obtenir des adresses IP fixes est l'utilisation d'un tunnel L2TP. Petite précision à ce sujet puisque certains de mes clients utilisent Numéricable. Il existe une offre « pro » chez eux, pas spécialement plus chère et qui propose une IP publique fixe. Par contre il faut faire attention à une chose, Numéricable interdit contractuellement l’hébergement de serveur sur ses lignes, y compris avec l’offre « pro ». Il n’est pas inutile de rappeler au client que malgré le bas cout et la pseudo bande passante annoncée par ce FAI cela resta un opérateur fait pour madame Michu… Yoann smime.p7s Description: S/MIME cryptographic signature
