[FRnOG] [MISC] [TECH] VRRP
bonjour, j'ai entendu parler de Virtual Router Redundancy Protocol . Savez vous si c'est un protocole utilisable sur 2 sites distant ? Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Merci par avance de vos futurs réponses. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Il faut que les 2 routeurs se voient par un LAN. Après, ils peuvent être sur 2 sites distants, mais cela veut dire qu’il y suffisamment de capa L2 entre les 2 pour que les machines du site A puisse (en cas de failover) basculer sur le routeur du site B. Ca ne gère pas spécialement le load-balancing. Ca permet d’avoir une IP flottante entre les 2 routeurs, donc la passerelle par défaut du LAN peut passer d’un routeur à l’autre. Si tu en ajoutes une 2ème qui fait l’inverse, tu peux donc avoir: les machines du site A sortent par défaut par le routeur A les machines du site B sortent par défaut par le routeur B et en cas de failover (rupture du lien Internet de A ou B) on bascule tout le monde sur l’autre site par le lien L2 entre les 2 LAN. Ca va donc faire une sorte de load-balancing quand tout va bien. http://en.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol Le 16 janv. 2015 à 09:10, ay pierre aypierr...@gmail.com a écrit : bonjour, j'ai entendu parler de Virtual Router Redundancy Protocol . Savez vous si c'est un protocole utilisable sur 2 sites distant ? Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Merci par avance de vos futurs réponses. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
On Fri, 2015-01-16 at 09:10 +0100, ay pierre wrote: Savez vous si c'est un protocole utilisable sur 2 sites distant ? Oui, tu peux avoir une passerelle sur chacun de tes sites, dès l'instant que tu as un L2 entre les deux sites. Une topologie de type: [ROUTEUR-SITE1](vrrp)---[SWITCH-SITE2]---(vrrp)[ROUTEUR-SITE3] fonctionne parfaitement. Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Non, c'est de l'actif/passif, pas de la répartition de charge. En l'occurence, si tu reprends ma topo ci-dessus, tu n'as qu'un seul routeur actif à la fois, pour la passerelle des machines sur SWITCH-SITE2. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Agrégat de deux accès CEE ou CELAN
Bonjour, Tu peux aussi, toujours prendre deux liens indépendants et faire du multi-wan avec des équipements (des UTM par exemple) qui le font assez bien. Selon un message du fil de cette discussion de je ne sais plus de qui, voir selon le besoin : Soit du load balancing et failover : un seul boitier côté client Soit de l'agrégat de liens avec un boitier (Physique ou Virtuel) sur le backbone et boitier coté client. C'est très efficace, multi opérateur (type de lien identique c'est quand même important) et c'est compatible CE2O. Mais effectivement 2+2 ne donneront pas 4 Xavier -Message d'origine- De : Sebastien Lecomte [mailto:sebastien.leco...@pacwan.net] Envoyé : vendredi 16 janvier 2015 07:40 À : Sebastien Lesimple; Radu-Adrian Feurdean; David Ponzone; Xavier ROCA Cc : frnog-tech Objet : Re: [FRnOG] [TECH] Agrégat de deux accès CEE ou CELAN Salut, Si tu reprends le message d'origine, j'avais bien précisé qu'il s'agissait de cas particuliers ou rien d'autre de du cuivre en CEx était disponible. Je n'en ai pas l'impression... cf ton message d'origine ci-dessous. Seb -Message d'origine- From: Sebastien Lesimple Sent: Wednesday, January 14, 2015 5:04 PM To: frnog-tech Subject: [FRnOG] [TECH] Agrégat de deux accès CEE ou CELAN Bonjour tous! Je sais que le sujet a été abordé à maintes et maintes reprises mais je n'ai pas le souvenir d'une réponse spécifique à ces deux cas de figure. Donc ma question est, quelqu'un a-t-il déjà tenté une aggrégat sur: - deux acces identiques CEE ou - deux acces identiques CELAN Livrés sur un meme Raccordement. Quelle solution avez-vous utilisé (soft et hard) pour quel résultat? Et si c'était à refaire, le referiez-vous? Merci de vos réponses éclairées Seb -- View Sebastien LESIMPLE's profile on LinkedIn http://fr.linkedin.com/pub/sebastien-lesimple/0/6b/293 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
du coup cela veux dire que la bascule ce gère toute seul finalement ? Le 16 janvier 2015 09:18, David Ponzone david.ponz...@gmail.com a écrit : Il faut que les 2 routeurs se voient par un LAN. Après, ils peuvent être sur 2 sites distants, mais cela veut dire qu’il y suffisamment de capa L2 entre les 2 pour que les machines du site A puisse (en cas de failover) basculer sur le routeur du site B. Ca ne gère pas spécialement le load-balancing. Ca permet d’avoir une IP flottante entre les 2 routeurs, donc la passerelle par défaut du LAN peut passer d’un routeur à l’autre. Si tu en ajoutes une 2ème qui fait l’inverse, tu peux donc avoir: les machines du site A sortent par défaut par le routeur A les machines du site B sortent par défaut par le routeur B et en cas de failover (rupture du lien Internet de A ou B) on bascule tout le monde sur l’autre site par le lien L2 entre les 2 LAN. Ca va donc faire une sorte de load-balancing quand tout va bien. http://en.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol Le 16 janv. 2015 à 09:10, ay pierre aypierr...@gmail.com a écrit : bonjour, j'ai entendu parler de Virtual Router Redundancy Protocol . Savez vous si c'est un protocole utilisable sur 2 sites distant ? Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Merci par avance de vos futurs réponses. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
On Fri, 2015-01-16 at 09:51 +0100, ay pierre wrote: du coup cela veux dire que la bascule ce gère toute seul finalement ? Oui. Les deux routeurs se causent en permanence (en multicast), en annoncant leur priorité, et si le routeur passif ne voit plus causer le routeur actif (ou si les priorités changent), alors il préempte l'IP flottante. Cela dit, attention, car si le L2 est cassé entre les deux, les deux routeurs peuvent se mettre actif en même temps, et cela peut avoir des conséquences facheuses en fonction de la topologie de ton réseau, et du type de tes liens. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Ah ben oui, c’est le but :) Imaginons que l’IP flottante soit sur le routeur A. Quand le routeur B n’arrive plus à joindre le routeur A, il s’autoattribue le rôle de master, et active l’IP flottante. Et donc les machines du LAN basculent sur lui. En gros. Le 16 janv. 2015 à 09:51, ay pierre aypierr...@gmail.com a écrit : du coup cela veux dire que la bascule ce gère toute seul finalement ? Le 16 janvier 2015 09:18, David Ponzone david.ponz...@gmail.com a écrit : Il faut que les 2 routeurs se voient par un LAN. Après, ils peuvent être sur 2 sites distants, mais cela veut dire qu’il y suffisamment de capa L2 entre les 2 pour que les machines du site A puisse (en cas de failover) basculer sur le routeur du site B. Ca ne gère pas spécialement le load-balancing. Ca permet d’avoir une IP flottante entre les 2 routeurs, donc la passerelle par défaut du LAN peut passer d’un routeur à l’autre. Si tu en ajoutes une 2ème qui fait l’inverse, tu peux donc avoir: les machines du site A sortent par défaut par le routeur A les machines du site B sortent par défaut par le routeur B et en cas de failover (rupture du lien Internet de A ou B) on bascule tout le monde sur l’autre site par le lien L2 entre les 2 LAN. Ca va donc faire une sorte de load-balancing quand tout va bien. http://en.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol Le 16 janv. 2015 à 09:10, ay pierre aypierr...@gmail.com a écrit : bonjour, j'ai entendu parler de Virtual Router Redundancy Protocol . Savez vous si c'est un protocole utilisable sur 2 sites distant ? Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Merci par avance de vos futurs réponses. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Bonjour, Tu ne peux pas faire de répartition de charge avec VRRP seul. Tu penses peut-être à Linux Virtual Server (LVS) utilisé en combinaison avec keepalived (VRRP) pour faire de la haute disponibilité ? Cordialement, Nathan ANTHONYPILLAI Le 16 janvier 2015 09:21, Clement Cavadore clem...@cavadore.net a écrit : On Fri, 2015-01-16 at 09:10 +0100, ay pierre wrote: Savez vous si c'est un protocole utilisable sur 2 sites distant ? Oui, tu peux avoir une passerelle sur chacun de tes sites, dès l'instant que tu as un L2 entre les deux sites. Une topologie de type: [ROUTEUR-SITE1](vrrp)---[SWITCH-SITE2]---(vrrp)[ROUTEUR-SITE3] fonctionne parfaitement. Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Non, c'est de l'actif/passif, pas de la répartition de charge. En l'occurence, si tu reprends ma topo ci-dessus, tu n'as qu'un seul routeur actif à la fois, pour la passerelle des machines sur SWITCH-SITE2. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Non mais j'imaginé que de base il existait peut être un moyen effectivement de faire de la haute disponibilitée mais rester dans un environnement microsoft Cordialement Le 16 janvier 2015 09:59, Nathan Anthonypillai nathan.anthonypil...@gmail.com a écrit : Bonjour, Tu ne peux pas faire de répartition de charge avec VRRP seul. Tu penses peut-être à Linux Virtual Server (LVS) utilisé en combinaison avec keepalived (VRRP) pour faire de la haute disponibilité ? Cordialement, Nathan ANTHONYPILLAI Le 16 janvier 2015 09:21, Clement Cavadore clem...@cavadore.net a écrit : On Fri, 2015-01-16 at 09:10 +0100, ay pierre wrote: Savez vous si c'est un protocole utilisable sur 2 sites distant ? Oui, tu peux avoir une passerelle sur chacun de tes sites, dès l'instant que tu as un L2 entre les deux sites. Une topologie de type: [ROUTEUR-SITE1](vrrp)---[SWITCH-SITE2]---(vrrp)[ROUTEUR-SITE3] fonctionne parfaitement. Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Non, c'est de l'actif/passif, pas de la répartition de charge. En l'occurence, si tu reprends ma topo ci-dessus, tu n'as qu'un seul routeur actif à la fois, pour la passerelle des machines sur SWITCH-SITE2. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] [TECH] VRRP
On voit parfois des opérateurs qui proposent du GLBP (si routeur Cisco) à la place du VRRP. -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Nathan Anthonypillai Envoyé : vendredi 16 janvier 2015 10:00 À : ay pierre Cc : frnog-m...@frnog.org Objet : Re: [FRnOG] [MISC] [TECH] VRRP Bonjour, Tu ne peux pas faire de répartition de charge avec VRRP seul. Tu penses peut-être à Linux Virtual Server (LVS) utilisé en combinaison avec keepalived (VRRP) pour faire de la haute disponibilité ? Cordialement, Nathan ANTHONYPILLAI Le 16 janvier 2015 09:21, Clement Cavadore clem...@cavadore.net a écrit : On Fri, 2015-01-16 at 09:10 +0100, ay pierre wrote: Savez vous si c'est un protocole utilisable sur 2 sites distant ? Oui, tu peux avoir une passerelle sur chacun de tes sites, dès l'instant que tu as un L2 entre les deux sites. Une topologie de type: [ROUTEUR-SITE1](vrrp)---[SWITCH-SITE2]---(vrrp)[ROUTEUR-SITE3] fonctionne parfaitement. Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Non, c'est de l'actif/passif, pas de la répartition de charge. En l'occurence, si tu reprends ma topo ci-dessus, tu n'as qu'un seul routeur actif à la fois, pour la passerelle des machines sur SWITCH-SITE2. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ __ Information provenant d'ESET NOD32 Antivirus, version de la base des signatures de virus 11023 (20150116) __ Le message a �t� v�rifi� par ESET NOD32 Antivirus. http://www.eset.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
C'est un peut ce que fait hearthbeat au niveau équipement réseau quoi Cordialement Alexis Lameire Le 16 janvier 2015 10:19, Julien Schafer j.scha...@actilogie.com a écrit : On voit parfois des opérateurs qui proposent du GLBP (si routeur Cisco) à la place du VRRP. -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Nathan Anthonypillai Envoyé : vendredi 16 janvier 2015 10:00 À : ay pierre Cc : frnog-m...@frnog.org Objet : Re: [FRnOG] [MISC] [TECH] VRRP Bonjour, Tu ne peux pas faire de répartition de charge avec VRRP seul. Tu penses peut-être à Linux Virtual Server (LVS) utilisé en combinaison avec keepalived (VRRP) pour faire de la haute disponibilité ? Cordialement, Nathan ANTHONYPILLAI Le 16 janvier 2015 09:21, Clement Cavadore clem...@cavadore.net a écrit : On Fri, 2015-01-16 at 09:10 +0100, ay pierre wrote: Savez vous si c'est un protocole utilisable sur 2 sites distant ? Oui, tu peux avoir une passerelle sur chacun de tes sites, dès l'instant que tu as un L2 entre les deux sites. Une topologie de type: [ROUTEUR-SITE1](vrrp)---[SWITCH-SITE2]---(vrrp)[ROUTEUR-SITE3] fonctionne parfaitement. Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Non, c'est de l'actif/passif, pas de la répartition de charge. En l'occurence, si tu reprends ma topo ci-dessus, tu n'as qu'un seul routeur actif à la fois, pour la passerelle des machines sur SWITCH-SITE2. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ __ Information provenant d'ESET NOD32 Antivirus, version de la base des signatures de virus 11023 (20150116) __ Le message a �t� v�rifi� par ESET NOD32 Antivirus. http://www.eset.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Je ne sais pas si Microsoft possède sa propre solution logicielle pour faire de la répartition de charge. Confier cette tâche à un équipement spécialisé (e.g. Cisco/GLBP) comme cité précédemment peut-être une solution, si tu es prêt à y mettre le prix. Cordialement, Nathan ANTHONYPILLAI Le 16 janvier 2015 10:27, Alexis Lameire alexis.lame...@gmail.com a écrit : C'est un peut ce que fait hearthbeat au niveau équipement réseau quoi Cordialement Alexis Lameire Le 16 janvier 2015 10:19, Julien Schafer j.scha...@actilogie.com a écrit : On voit parfois des opérateurs qui proposent du GLBP (si routeur Cisco) à la place du VRRP. -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Nathan Anthonypillai Envoyé : vendredi 16 janvier 2015 10:00 À : ay pierre Cc : frnog-m...@frnog.org Objet : Re: [FRnOG] [MISC] [TECH] VRRP Bonjour, Tu ne peux pas faire de répartition de charge avec VRRP seul. Tu penses peut-être à Linux Virtual Server (LVS) utilisé en combinaison avec keepalived (VRRP) pour faire de la haute disponibilité ? Cordialement, Nathan ANTHONYPILLAI Le 16 janvier 2015 09:21, Clement Cavadore clem...@cavadore.net a écrit : On Fri, 2015-01-16 at 09:10 +0100, ay pierre wrote: Savez vous si c'est un protocole utilisable sur 2 sites distant ? Oui, tu peux avoir une passerelle sur chacun de tes sites, dès l'instant que tu as un L2 entre les deux sites. Une topologie de type: [ROUTEUR-SITE1](vrrp)---[SWITCH-SITE2]---(vrrp)[ROUTEUR-SITE3] fonctionne parfaitement. Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Non, c'est de l'actif/passif, pas de la répartition de charge. En l'occurence, si tu reprends ma topo ci-dessus, tu n'as qu'un seul routeur actif à la fois, pour la passerelle des machines sur SWITCH-SITE2. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ __ Information provenant d'ESET NOD32 Antivirus, version de la base des signatures de virus 11023 (20150116) __ Le message a �t� v�rifi� par ESET NOD32 Antivirus. http://www.eset.com --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Le 16/01/2015 10:29, Nathan Anthonypillai a écrit : Je ne sais pas si Microsoft possède sa propre solution logicielle pour faire de la répartition de charge. NLB, mais c'est une usine à gaz pas possible. Confier cette tâche à un équipement spécialisé (e.g. Cisco/GLBP) comme cité précédemment peut-être une solution, si tu es prêt à y mettre le prix. C'est même recommandé. Il y a aussi de l'opensource pour cela (Haproxy par exemple). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
On Fri, Jan 16, 2015, at 09:10, ay pierre wrote: j'ai entendu parler de Virtual Router Redundancy Protocol . Savez vous si c'est un protocole utilisable sur 2 sites distant ? Techniquement, oui, on peut imaginer des scenarios d'utilisation pareil, mais le mieux c'est de les eviter autant que possible (je dirai meme a tout prix). Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Non. VRRP c'est juste un protocole qui permet a deux equipements qui sont dans le meme broadcast domain de se mettre d'accord lequel des deux porte une adresse. il y a chez certains des systemes pour changer la priorite des equipements en fonction de certains evenements externes, mais ca ne change pas grand chose au protocole lui-meme. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Le 16/01/15 10:27, Alexis Lameire a écrit : C'est un peut ce que fait hearthbeat au niveau équipement réseau quoi Hearbeat c'est un logiciel complexe qui peut proposer un service d'IP flottante, entre autre. Vrrp, Hsrp et autre font partie de ce que l'on appelle les 'First-hop redundancy protocols'. Coté réseau on peut distinguer les protocoles propriétaire à chaque marque (hsrp, glbp, esrp, nsrp, j'en passe). Au final le seul standardisé est vrrp, qui est simple, qui marche bien. Coté serveur il existe plein de méthode pour arriver au même résultat. La première est d'utiliser une implémentation libre de vrrp, style keepalived. Un autre méthode est d'utiliser carp ou ucarp (clone sans patent de vrrp). Ou d'utiliser un logiciel 'usine à gaz' comme heartbeat. Au final le résultat et les principes restent peu ou prou les mêmes. Néanmoins je trouve qu'il s'agit d'un sujet ou il reste des améliorations à apporter. Coté protocole : bien que vrrp fasse le boulot, il n'est pas très flexbile, on pourrait rajouter des extensions. Coté serveur : a part sous *bsd ou carp est standard, c'est à chaque fois un choix difficile. Ucarp est pas mal; mais possède quelque problème aussi. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [JOBS] Recherche poste technicien d'exploitation Télécom et Hosting
Bonjour, Oceanet, opérateur télécom et hébergeur basé au Mans, recherche dans le cadre de son développement un(e) technicien(ne) d’exploitation télécoms et hébergement en CDI. Au sein d'une équipe d'expérience, vous serez chargé(e) de : • la surveillance active de l'ensemble des environnements • le déploiement et l‘exploitation de nos infrastructures opérateur et hébergeur et des solutions déployées chez nos clients • la gestion des sollicitations externes (appels / demandes de clients) • la prise en compte de tout incident (enregistrement, diagnostic, recherche de solutions...) • la résolution d'incidents selon consignes et procédures • l’escalade au niveau de compétences supérieur • l’exécution de check lists Ponctuellement vous pourrez être amené(e) à intervenir chez certains de nos clients pour des déploiements ou opérations de maintenance. De formation bac +3 ou expérience équivalente chez un opérateur télécom ou hébergeur, vous disposez d'une expertise des environnements Linux / LAMP, des protocoles réseaux, et des équipements Cisco. Une connaissance des environnements ToIP sous Asterisk serait un plus. Vous êtes autonome, et vous avez le sens du service et un bon relationnel ainsi qu’une forte sensibilité sécurité. Le poste est basé au Mans et est à pourvoir rapidement. Salaire selon profil et expérience. Envoyer LM + CV via le formulaire http://www.oceanet.com/oceanet-recrutement/ Cordialement, -- Yvan ROGER OCEANET 7 rue des Frênes ZAC de la Pointe 72190 SARGE LES LE MANS Google Maps: http://bit.ly/bolgU9 Tél. +33 (0) 2 43 50 26 49 Fax. +33 (0)2 43 72 21 14 http://www.oceanet.com --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [ALERT] Oxalide down (plein de sites de presse)
En panne depuis 10h00 environ, 20Minute, l'Express, le Parisien, Slate, Mediapart, Marianne2fr, Franceinfo (mais pas Charlie Hebdo). CloudFlare renvoie son habituel 504 Gateway Time-out nginx. Plus d'annonces BGP pour l'hébergeur Oxalide (AS 47841) par exemple pour leur 91.208.181.0/24. https://twitter.com/oxalide/status/556022185211756545 Avant-hier, Oxalide envoyait https://twitter.com/oxalide/status/555357808015597568 Numérama en a déjà parlé http://www.numerama.com/magazine/31894-de-nombreux-medias-francais-inaccessibles-tous-heberges-chez-oxalide.html --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Cela dit, attention, car si le L2 est cassé entre les deux, les deux routeurs peuvent se mettre actif en même temps, et cela peut avoir des conséquences facheuses en fonction de la topologie de ton réseau, et du type de tes liens. Oui, c'est un risque important quand on propage un L2 entre 2 sites (raison pour laquelle pour ma part, je ne suis pas fan). Avant de partir là dessus, il faut bien maitriser les conséquences en cas de coupure du lien (conséquences d'avoir un même subnet IP réparti sur 2 sites qui ne sont plus joignables via ce L2) qui n'a pas la même conséquence qu'une perte de site (par exemple panne électrique générale sur un site) ou mettre le paquet sur la fiabilité de ce L2. Tout cela est à étudier au préalable en fonction de l'utilisation qui est faite de l'infra. Seb --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Oxalide down (plein de sites de presse)
Les annonces sont de retour. Certaines des sites aussi. Le 16 janv. 2015 à 11:12, Stephane Bortzmeyer bortzme...@nic.fr a écrit : En panne depuis 10h00 environ, 20Minute, l'Express, le Parisien, Slate, Mediapart, Marianne2fr, Franceinfo (mais pas Charlie Hebdo). CloudFlare renvoie son habituel 504 Gateway Time-out nginx. Plus d'annonces BGP pour l'hébergeur Oxalide (AS 47841) par exemple pour leur 91.208.181.0/24. https://twitter.com/oxalide/status/556022185211756545 Avant-hier, Oxalide envoyait https://twitter.com/oxalide/status/555357808015597568 Numérama en a déjà parlé http://www.numerama.com/magazine/31894-de-nombreux-medias-francais-inaccessibles-tous-heberges-chez-oxalide.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
On Fri, 2015-01-16 at 11:15 +0100, Sebastien Lecomte wrote: Oui, c'est un risque important quand on propage un L2 entre 2 sites (raison pour laquelle pour ma part, je ne suis pas fan). Avant de partir là dessus, il faut bien maitriser les conséquences en cas de coupure du lien (conséquences d'avoir un même subnet IP réparti sur 2 sites qui ne sont plus joignables via ce L2) qui n'a pas la même conséquence qu'une perte de site (par exemple panne électrique générale sur un site) ou mettre le paquet sur la fiabilité de ce L2. Tout cela est à étudier au préalable en fonction de l'utilisation qui est faite de l'infra. Les seul endroit ou je me permets de faire du VRRP multisite (et que je préconise donc), c'est lorsque ce n'est pas un L2 qui raccorde les liens de routeurs portant le VRRP, mais un L1 (soit de la FON, soit des lambdas, etc...). = Au moins, si la liaison longue distance tombe, l'état de lien fait tomber le port côté routeur, et le VRRP ne fait pas chier et bascule correctement de l'autre côté. Il faut proscrire l'utilisation de liaisons type MPLS ou vlan par exemple, qui ne feront pas tomber le port de routeur en cas de coupure dans le réseau de transport. Le traffic inbound arrivant par ce routeur-là sera perdu. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Je suis complètement d'accord sur le fait que sur des L2 (en transport) le port peut rester UP alors que le L2 est cassé, mais c'est pour moi un autre problème (qui demande à détecter que le lien est tombé par une autre méthode qu'en regardant l'état du port ; heartbeat / multicast...). Bien que n'étant pas un spécialiste de son utilisation, je pense que cela ne doit rien changer en VRRP: le comportement doit être le même (que les ports du L2 tombent ou pas) , car les équipements (serveurs/routeurs) n'ont pas connaissance de l'état de ce port (et n'utilisent donc pas cette information pour détecter une coupure). L'état du port du L2 est uniquement connu par les switchs qui ne sont pas directement concerné par le VRRP. C'est du moins ma compréhension du fonctionnement du VRRP. Seb -Message d'origine- From: Clement Cavadore Sent: Friday, January 16, 2015 11:31 AM To: Sebastien Lecomte Cc: ay pierre ; frnog-m...@frnog.org Subject: Re: [FRnOG] [MISC] [TECH] VRRP On Fri, 2015-01-16 at 11:15 +0100, Sebastien Lecomte wrote: Oui, c'est un risque important quand on propage un L2 entre 2 sites (raison pour laquelle pour ma part, je ne suis pas fan). Avant de partir là dessus, il faut bien maitriser les conséquences en cas de coupure du lien (conséquences d'avoir un même subnet IP réparti sur 2 sites qui ne sont plus joignables via ce L2) qui n'a pas la même conséquence qu'une perte de site (par exemple panne électrique générale sur un site) ou mettre le paquet sur la fiabilité de ce L2. Tout cela est à étudier au préalable en fonction de l'utilisation qui est faite de l'infra. Les seul endroit ou je me permets de faire du VRRP multisite (et que je préconise donc), c'est lorsque ce n'est pas un L2 qui raccorde les liens de routeurs portant le VRRP, mais un L1 (soit de la FON, soit des lambdas, etc...). = Au moins, si la liaison longue distance tombe, l'état de lien fait tomber le port côté routeur, et le VRRP ne fait pas chier et bascule correctement de l'autre côté. Il faut proscrire l'utilisation de liaisons type MPLS ou vlan par exemple, qui ne feront pas tomber le port de routeur en cas de coupure dans le réseau de transport. Le traffic inbound arrivant par ce routeur-là sera perdu. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
On 16/01/2015 10:05, ay pierre wrote:
Non mais j'imaginé que de base il existait peut être un moyen
effectivement de faire de la haute disponibilitée mais rester dans un
environnement microsoft
Tu peux éventuellement faire du VRRP deux fois avec deux IP flottantes,
priorisées respectivement sur le serveur A et sur le serveur B, et
mettre deux A records sur ton entrée DNS en round robin.
Je fais ça avec du CARP et ça marche nickel.
Par contre c'est vraiment pas scalable (ça commence à être tordu si tu
rajoutes un 3eme site...) et il faut faire gaffe au split brain comme un
camarade l'a déjà mentionné.
M
--
Michel Blanc
{ :github = @leucos, :twitter = @b9m, :gpg = 0X24B35C22 }
---
Liste de diffusion du FRnOG
http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Clément, Je suis pas sûr d’avoir cerné ce que ça change. Si tu as un L1 ou L2, il est à priori entre les switches de chaque site. Il sert aussi bien aux serveurs d’un site pour voir le routeur de l’autre site si nécessaire, que pour les KA entre les 2 routeurs. S’il ne marche plus, chaque routeur se prend pour le master et devient la passerelle par défaut des serveurs locaux, avec les problèmes que ça peut éventuellement poser. Je vois pas en quoi utiliser un L1 évite un problème, mais ça m’intéresse! Merci Le 16 janv. 2015 à 11:31, Clement Cavadore clem...@cavadore.net a écrit : On Fri, 2015-01-16 at 11:15 +0100, Sebastien Lecomte wrote: Oui, c'est un risque important quand on propage un L2 entre 2 sites (raison pour laquelle pour ma part, je ne suis pas fan). Avant de partir là dessus, il faut bien maitriser les conséquences en cas de coupure du lien (conséquences d'avoir un même subnet IP réparti sur 2 sites qui ne sont plus joignables via ce L2) qui n'a pas la même conséquence qu'une perte de site (par exemple panne électrique générale sur un site) ou mettre le paquet sur la fiabilité de ce L2. Tout cela est à étudier au préalable en fonction de l'utilisation qui est faite de l'infra. Les seul endroit ou je me permets de faire du VRRP multisite (et que je préconise donc), c'est lorsque ce n'est pas un L2 qui raccorde les liens de routeurs portant le VRRP, mais un L1 (soit de la FON, soit des lambdas, etc...). = Au moins, si la liaison longue distance tombe, l'état de lien fait tomber le port côté routeur, et le VRRP ne fait pas chier et bascule correctement de l'autre côté. Il faut proscrire l'utilisation de liaisons type MPLS ou vlan par exemple, qui ne feront pas tomber le port de routeur en cas de coupure dans le réseau de transport. Le traffic inbound arrivant par ce routeur-là sera perdu. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [ALERT] Oxalide down (plein de sites de presse)
On Fri, Jan 16, 2015 at 11:30:13AM +0100, David Ponzone david.ponz...@gmail.com wrote a message of 27 lines which said: Les annonces sont de retour. Apparemment, début de la panne à 08:51:01 UTC. Des tas d'ANNOUNCE par les autres routeurs, puis le WITHDRAW: TIME: 01/16/15 08:51:01 TYPE: BGP4MP/MESSAGE/Update FROM: 195.66.224.21 AS6939 TO: 195.66.225.222 AS6447 ORIGIN: IGP ASPATH: 6939 8218 47841 NEXT_HOP: 195.66.224.21 ANNOUNCE 91.208.181.0/24 ... TIME: 01/16/15 08:51:10 TYPE: BGP4MP/MESSAGE/Update FROM: 195.66.224.175 AS13030 TO: 195.66.225.222 AS6447 WITHDRAW 149.126.86.0/24 212.30.246.0/24 82.221.2.0/24 212.30.245.0/24 212.30.244.0/24 178.19.48.0/20 91.208.181.0/24 95.131.136.0/21 91.220.110.0/24 149.126.80.0/21 146.185.40.0/21 82.221.4.0/24 Fin vers 10:20:13 UTC: TIME: 01/16/15 10:20:13 TYPE: BGP4MP/MESSAGE/Update FROM: 195.66.224.51 AS6453 TO: 195.66.225.222 AS6447 ORIGIN: IGP ASPATH: 6453 1299 47841 NEXT_HOP: 195.66.224.51 ANNOUNCE 95.131.136.0/21 146.185.40.0/21 91.208.181.0/24 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
On Fri, 2015-01-16 at 11:45 +0100, Sebastien Lecomte wrote: Bien que n'étant pas un spécialiste de son utilisation, je pense que cela ne doit rien changer en VRRP: le comportement doit être le même (que les ports du L2 tombent ou pas) , car les équipements (serveurs/routeurs) n'ont pas connaissance de l'état de ce port (et n'utilisent donc pas cette information pour détecter une coupure). L'état du port du L2 est uniquement connu par les switchs qui ne sont pas directement concerné par le VRRP. C'est du moins ma compréhension du fonctionnement du VRRP. D'ou le fait que j'aie indiqué: liens de *routeurs* portant le VRRP. Si le port tombe, le VRRP se coupe sur le routeur, et la route correspondante n'est plus annoncée par le routeur. Les serveurs n'en ont rien a faire, de l'état de lien, car leur passerelle aura basculé sur l'autre routeur. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Les seul endroit ou je me permets de faire du VRRP multisite (et que je préconise donc), c'est lorsque ce n'est pas un L2 qui raccorde les liens de routeurs portant le VRRP, mais un L1 (soit de la FON, soit des lambdas, etc...). = Au moins, si la liaison longue distance tombe, l'état de lien fait tomber le port côté routeur, et le VRRP ne fait pas chier et bascule correctement de l'autre côté. En complément, petit retour d'expérience sur le sujet : Il y a quelques années on avait monté une infra CWDM (sur ADVA, on en a été très content en dehors du point dont je parle là ; cela date, donc cela a pu être corrigé depuis) sur FON, on sortait des L2L GEth en optique (classique, en 1310nm SM) et cuivre. En cas de coupure, les optiques tombaient mais pas les cuivre. Seb --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Ok je comprends mieux mais cela suppose implicitement qu’il y a 2 liens entre les 2 sites, un pour les routeurs et un pour le LAN. Le 16 janv. 2015 à 11:50, Clement Cavadore clem...@cavadore.net a écrit : On Fri, 2015-01-16 at 11:45 +0100, Sebastien Lecomte wrote: Bien que n'étant pas un spécialiste de son utilisation, je pense que cela ne doit rien changer en VRRP: le comportement doit être le même (que les ports du L2 tombent ou pas) , car les équipements (serveurs/routeurs) n'ont pas connaissance de l'état de ce port (et n'utilisent donc pas cette information pour détecter une coupure). L'état du port du L2 est uniquement connu par les switchs qui ne sont pas directement concerné par le VRRP. C'est du moins ma compréhension du fonctionnement du VRRP. D'ou le fait que j'aie indiqué: liens de *routeurs* portant le VRRP. Si le port tombe, le VRRP se coupe sur le routeur, et la route correspondante n'est plus annoncée par le routeur. Les serveurs n'en ont rien a faire, de l'état de lien, car leur passerelle aura basculé sur l'autre routeur. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
On Fri, 2015-01-16 at 01:48 +0100, Emmanuel Thierry wrote: Le 15 janv. 2015 à 14:11, Florent Daigniere a écrit : On Thu, 2015-01-15 at 13:38 +0100, Swali 13 wrote: Bonjour, L'ANSSI vous parle http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-des-applications-web/recommandations-pour-la-securisation-des-sites-web.html --- La question c'est de savoir si ça vaut la peine de les écouter :) Certaines des recommandations tombent sous le sens.. d'autre sont complètement farfelues Au contraire ça me parait très équilibré, avec une approche aussi bien sur l'hébergement que sur le code en lui même. Le seul problème que je vois est qu'il ne sera probablement jamais lu par les gens qui en ont vraiment besoin... ça frustre les spécialistes et ça n'aide pas les gens qui n'y connaissent rien. Les recommendations devraient être plus simple: R19 - Les identifiants de session doivent être imprévisibles aléatoires il faut des notions de statistiques pour comprendre entropie il faut des notions de théorie de l'information R20 - TLS de partout Exemples : R19 Les identifiants de session doivent être aléatoires et d’une entropie d’au moins 128 bits. - 128bits pour une attaque en ligne... c'est beaucoup et complètement arbitraire Il faut bien placer une limite, qui par ailleurs soit durable dans le temps. En même temps 128bits d'entropie ce n'est pas vraiment compliqué à générer. Là n'est pas la question; quand on est aussi précis que ça dans une recommendation, qu'il y ait une bonne raison derrière. Là il n'y en a pas et le vocabulaire utilisé est un vocabulaire de spécialiste. Le bon contrôle contre les identifiants de session trop courts c'est de limiter la durée de vie de celle ci. R20 Il faut recourir à chaque fois que c’est possible au protocole HTTPS dès lors que l’on associe une session à des privilèges particuliers. - ce n'est pas réducteur du tout comme approche. C'est bien connu, l'authentification ça ne sert que dans un sens ;) L'idée dans ce cas est surtout de protéger les credentials de l'utilisateur et la confidentialité des informations. Et c'est bien ce que je reproche a cette recommendation. TLS ça sert avant tout a authentifier le site auquel on est connecte. TLS ça se déploie sur tout le site, pas uniquement post-authentification (pour la raison mentionnée au dessus) Je crois que c'est clair dans le texte : En chiffrant les communications au moyen de TLS, on empêche un attaquant qui « écoute » le réseau d’apprendre les identifiants de sessions. Certains sites ont recours à TLS uniquement pour la page d’authentification. Cela protège certes le mot de passe mais pas l’identifiant de session. Par ailleurs ils parlent des certificats client en R4, mais pour l'administration seulement, parce que ça parait compliqué de faire installer par chaque utilisateur un certificat. Cordialement Emmanuel Thierry signature.asc Description: This is a digitally signed message part
Re: [FRnOG] [MISC] [TECH] VRRP
En fait, je voyais plutot la chose comme une topologie ou les sites de routages ne sont pas les sites d'hébergement. J'ai un setup comme celui-ci dans mon réseau: Un rack avec un switch top of rack (qui ne fait *que* du L2), raccordé par deux lambdas DWDM remontant vers deux sites différents. Les LAN d'hébergement du rack remontent vers les deux sites via les lambdas, et le VRRP fait le reste. Si je perds un lambda ou l'autre, pas de problèmes, du coup, car le site de routage concerné voit son port tomber, et du coup l'autre site préempte l'IP s'il n'était pas master. -- Clément Cavadore On Fri, 2015-01-16 at 12:03 +0100, David Ponzone wrote: Ok je comprends mieux mais cela suppose implicitement qu’il y a 2 liens entre les 2 sites, un pour les routeurs et un pour le LAN. Le 16 janv. 2015 à 11:50, Clement Cavadore clem...@cavadore.net a écrit : On Fri, 2015-01-16 at 11:45 +0100, Sebastien Lecomte wrote: Bien que n'étant pas un spécialiste de son utilisation, je pense que cela ne doit rien changer en VRRP: le comportement doit être le même (que les ports du L2 tombent ou pas) , car les équipements (serveurs/routeurs) n'ont pas connaissance de l'état de ce port (et n'utilisent donc pas cette information pour détecter une coupure). L'état du port du L2 est uniquement connu par les switchs qui ne sont pas directement concerné par le VRRP. C'est du moins ma compréhension du fonctionnement du VRRP. D'ou le fait que j'aie indiqué: liens de *routeurs* portant le VRRP. Si le port tombe, le VRRP se coupe sur le routeur, et la route correspondante n'est plus annoncée par le routeur. Les serveurs n'en ont rien a faire, de l'état de lien, car leur passerelle aura basculé sur l'autre routeur. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: Réf.: Re: [FRnOG] [TECH] sdsl atm vs efm
Bonjour, Je profite de ce post sur les CPE SDSL, pour y aller de ma question pour bien comprendre l'offre CELAN. Ma compréhension pour une SDSL (CELAN): - Il faut un CPE compatible SDSL et SDSLbis suivant les cas ( débit du lien et Nbr de paires) - Est-ce que Orange communique lors de la commande sur le type de lien qu'ils vont livrer ? - Pour un raccordement SANS modem Orange - Faut-il systématiquement un routeur compatible EFM, ex Cisco 888EA, ou CISCO 888E ? - Ou peut-on continuer a utiliser d'autres CPE ATM, type Cisco 888/878, Comme le commercial Orange me l'a laissé entendre ? Il y aurait éventuellement une conversion ATM - Ethernet au niveau du DSLAM GE...? Bref, le cout du CPE n'est pas le meme si il faut du cisco derniere génération... Merci ! JPh -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Antoine Durant Envoyé : mercredi 14 janvier 2015 17:18 À : slesim...@laposte.net; frnog-t...@frnog.org Objet : Réf.: Re: [FRnOG] [TECH] sdsl atm vs efm Merci pour les retours je commence à comprendre !!! Donc en EFM il n'y pas besoin de routeur avec port SHDSL; un router de type 881 série fait largement l'affaire en connectant l'entrée RJ45 sur le port WAN puis en configurant le port comme normalement ? Donc aucune référence a du sdhdsl controller a faire en EFM sur le port WAN ? Donc en mode quadripaire cela ne fait qu'un seul RJ45 a brancher aussi sur le port WAN? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- L'absence de virus dans ce courrier électronique a été vérifiée par le logiciel antivirus Avast. http://www.avast.com --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution la plus efficace pour servir plusieurs clients fibre dans un batiment
On Thu, Jan 15, 2015, at 17:29, David Ponzone wrote: C’est pas moi qui parlait de S/XFP adaptables, mais peut-être parlait-il de SFP capable d’émettre sur des lambdas différents (par programmation) ? Dans ce cas: - soit il est re-programable une autre lambda via boitier externe, dans quel cas une fois insere dans un equipement L2/L3 ca se comporte comme un S/XFP ordinaire A noter que Solid Optics peut fournir maintenant un boitier qui permet entre autre : - de recoder le vendor des optics - de patcher quand l optique ne marche pas - de changer les chan d’émissions des optiques cdwm qui sont prévues pour (donc pour du spare c'est plutôt une bonne option) - bonus : ça fait aussi testeur du pauvre. J'ai pas d'action chez solid-optics, mais ils sont pas cher, et leur support est accessible, ce qui est un vrai plus. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Effectivement, dans ce type d'architecture, le fait de voir le port tomber fait toute la différence. Je n'avais pas pensé à cette topologie (j'étais resté sur une interco entre 2 sites avec prolongement du LAN), notamment car dans ce type d'architecture, j'aurais plutôt mis du L3, c'est à dire de quoi router à la place de ton switch L2 top of the rack, sans envisager cette possibilité. D'ailleurs, du coup, pourquoi ce choix d'architecture? (moins cher? mais quand on a 2 lambda DWDM, on ne doit pas être à cela près...) Seb -Message d'origine- From: Clement Cavadore Sent: Friday, January 16, 2015 12:06 PM To: David Ponzone Cc: Sebastien Lecomte ; ay pierre ; frnog-m...@frnog.org Subject: Re: [FRnOG] [MISC] [TECH] VRRP En fait, je voyais plutot la chose comme une topologie ou les sites de routages ne sont pas les sites d'hébergement. J'ai un setup comme celui-ci dans mon réseau: Un rack avec un switch top of rack (qui ne fait *que* du L2), raccordé par deux lambdas DWDM remontant vers deux sites différents. Les LAN d'hébergement du rack remontent vers les deux sites via les lambdas, et le VRRP fait le reste. Si je perds un lambda ou l'autre, pas de problèmes, du coup, car le site de routage concerné voit son port tomber, et du coup l'autre site préempte l'IP s'il n'était pas master. -- Clément Cavadore On Fri, 2015-01-16 at 12:03 +0100, David Ponzone wrote: Ok je comprends mieux mais cela suppose implicitement qu’il y a 2 liens entre les 2 sites, un pour les routeurs et un pour le LAN. Le 16 janv. 2015 à 11:50, Clement Cavadore clem...@cavadore.net a écrit : On Fri, 2015-01-16 at 11:45 +0100, Sebastien Lecomte wrote: Bien que n'étant pas un spécialiste de son utilisation, je pense que cela ne doit rien changer en VRRP: le comportement doit être le même (que les ports du L2 tombent ou pas) , car les équipements (serveurs/routeurs) n'ont pas connaissance de l'état de ce port (et n'utilisent donc pas cette information pour détecter une coupure). L'état du port du L2 est uniquement connu par les switchs qui ne sont pas directement concerné par le VRRP. C'est du moins ma compréhension du fonctionnement du VRRP. D'ou le fait que j'aie indiqué: liens de *routeurs* portant le VRRP. Si le port tombe, le VRRP se coupe sur le routeur, et la route correspondante n'est plus annoncée par le routeur. Les serveurs n'en ont rien a faire, de l'état de lien, car leur passerelle aura basculé sur l'autre routeur. -- Clément Cavadore --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution la plus efficace pour servir plusieurs clients fibre dans un batiment
Le 15/01/2015 17:29, Frédéric GANDER a écrit : tirer 4 jarretières multimode dans des gaines verte branchées sur 1 switch l2/l3 et branché de l'autre coté sur un switch l2 avec un port sfp fait le reste si tu a le temps de te pignoler ou bcp d'argent. Heu non Toz, le multimode c'est fini. Une paire d'optiques low-cost en BiDi monomode, c'est 30€. Pour 60€ tu as du DDM et garantie à vie. Les jarretières sont moins chères en monomode et le fait de pouvoir prendre du bidi te permet de tirer (délicatement) la jarretière dans une gaine non fendue. Enfin c'est quand même vachement moins casse gueule de ne pas mettre d'actif mutualisé en parties communes, ou pire, chez un client. @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Réf.: Re: [FRnOG] [TECH] sdsl atm vs efm
Le 16 janv. 2015 à 12:35, Marc Salvi marc.salvi@gmail.com a écrit : - Il faut un CPE compatible SDSL et SDSLbis suivant les cas ( débit du lien et Nbr de paires) Oui et compatible PTM (EFM). C'est un CPE avec modem intégré. - Est-ce que Orange communique lors de la commande sur le type de lien qu'ils vont livrer ? Tous les modem EFM supportent le SDSL et le bis, donc tu t'occupes pas de ça. Tu t'occupes juste du nombre de paires. Là, par contre, certains CPE supportent 1, 2 et 4 paires, d’autres supportent 1, 2 OU 4 paires (donc pénible côté sparing). - Pour un raccordement SANS modem Orange C'est ce dont tu parles depuis le début. - Faut-il systématiquement un routeur compatible EFM, ex Cisco 888EA, ou CISCO 888E ? Oui un CPE avec modem EFM. - Ou peut-on continuer a utiliser d'autres CPE ATM, type Cisco 888/878, Comme le commercial Orange me l'a laissé entendre ? Il y aurait éventuellement une conversion ATM - Ethernet au niveau du DSLAM GE...? Non. C'est un commercial OWF qui t'a dit ça ? L'EFM c'est du PTM le protocole, pas de l'ATM. Ou alors tu prends l'option livraison ethernet (modem Orange) et tu mets un routeur ethernet (à 40€). Bref, le cout du CPE n'est pas le meme si il faut du cisco derniere génération... Y a moins cher que Cisco ( 2 fois moins cher environ). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
Salut Le 16/01/2015 12:06, Florent Daigniere a écrit : Les recommendations devraient être plus simple: Y'a du cou plus récent comme guide/reco. 16 janvier 2015 http://www.ssi.gouv.fr/fr/menu/actualites/proteger-son-site-internet-des-cyberattaques.html Protéger son site Internet des cyberattaques Avec Fiche des bonnes pratiques en cybersécurité Fiche d’information pour les administrateurs de site Pour moi ça reste de bon outils de sensibilisations (et je connais pas mal de tpe/pme qui devrait effectivement lire ceci). M -- Manu Jacquet --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution la plus efficace pour servir plusieurs clients fibre dans un batiment
- Mail original - De: Jérôme Nicolle jer...@ceriz.fr À: frnog@frnog.org Envoyé: Vendredi 16 Janvier 2015 13:57:05 Objet: Re: [FRnOG] [TECH] Solution la plus efficace pour servir plusieurs clients fibre dans un batiment Le 15/01/2015 17:29, Frédéric GANDER a écrit : tirer 4 jarretières multimode dans des gaines verte branchées sur 1 switch l2/l3 et branché de l'autre coté sur un switch l2 avec un port sfp fait le reste si tu a le temps de te pignoler ou bcp d'argent. Heu non Toz, le multimode c'est fini. euh le multimode on te le donne gratos ;) si tu demande soit monomode si tu veux. Une paire d'optiques low-cost en BiDi monomode, c'est 30€. Pour 60€ tu as du DDM et garantie à vie. Les jarretières sont moins chères en monomode et le fait de pouvoir prendre du bidi te permet de tirer (délicatement) la jarretière dans une gaine non fendue. Enfin c'est quand même vachement moins casse gueule de ne pas mettre d'actif mutualisé en parties communes, ou pire, chez un client. euh si tu doit câbler uniquement 4 clients dans 1 bâtiment ... te lancer dans du cwdm implique un puissance mètre, des atténuateurs et 2 mux et des optiques spécifiques (et le spare qui va avec par couleurs soit 4 optiques de spare + 1 mux). coté client ils sont surement en cuivre donc tu a quand même un équipement a mettre. Et quand tu a un problème avec 1 client tu risque d'impacter tes 4 clients surtout si ta un pb dans les mux. donc 1 bâtiment 4 clients même si c'est sur la prise ménage je reste sur mon switch pour du cablage intra bâtiment. @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Yop Sebastien, Le 16 janv. 2015 à 11:15, Sebastien Lecomte sebastien.leco...@pacwan.net a écrit : Cela dit, attention, car si le L2 est cassé entre les deux, les deux routeurs peuvent se mettre actif en même temps, et cela peut avoir des conséquences facheuses en fonction de la topologie de ton réseau, et du type de tes liens. Oui, c'est un risque important quand on propage un L2 entre 2 sites (raison pour laquelle pour ma part, je ne suis pas fan). Avant de partir là dessus, il faut bien maitriser les conséquences en cas de coupure du lien (conséquences d'avoir un même subnet IP réparti sur 2 sites qui ne sont plus joignables via ce L2) qui n'a pas la même conséquence qu'une perte de site (par exemple panne électrique générale sur un site) ou mettre le paquet sur la fiabilité de ce L2. Tout cela est à étudier au préalable en fonction de l'utilisation qui est faite de l'infra. Sans compter que si tu veux que ca soit redondant il faut prévoir un 3eme lien qui ne sera jamais utilisé a cause du Spanning Tree... (et/ou les routage asymétriques vu que le routeurs font du hot potato, qui risquent en même temps de jouer au con avec les firewalls..) Bref, il faut mieux sur 2 sites utiliser du routage avec des MED (par ex sur BGP) que du L2 avec VRRP. Le VRRP (ou ses cousins : HSSRP, CARP, VRRP-E, NSRP...) sont à utiliser en local sur le même groupe d'équipements Pas entre 2 datacenters... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Xavier, Sans compter que si tu veux que ca soit redondant il faut prévoir un 3eme lien qui ne sera jamais utilisé a cause du Spanning Tree... (et/ou les routage asymétriques vu que le routeurs font du hot potato, qui risquent en même temps de jouer au con avec les firewalls..) Bref, il faut mieux sur 2 sites utiliser du routage avec des MED (par ex sur BGP) que du L2 avec VRRP. Tu veux dire aller mettre du BGP côté serveur ? Il y avait déjà eu un débat à ce sujet il y a quelques temps. C’est pas très universel quand même ? Si le serveur est sous Windows, sans hyperviseur en dessous, on fait comment ? Le VRRP (ou ses cousins : HSSRP, CARP, VRRP-E, NSRP...) sont à utiliser en local sur le même groupe d'équipements Pas entre 2 datacenters... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Hello David, Sans compter que si tu veux que ca soit redondant il faut prévoir un 3eme lien qui ne sera jamais utilisé a cause du Spanning Tree... (et/ou les routage asymétriques vu que le routeurs font du hot potato, qui risquent en même temps de jouer au con avec les firewalls..) Bref, il faut mieux sur 2 sites utiliser du routage avec des MED (par ex sur BGP) que du L2 avec VRRP. Tu veux dire aller mettre du BGP côté serveur ? Je le fais et l'as deja fait... pour faire de l'unicast. Il y avait déjà eu un débat à ce sujet il y a quelques temps. C’est pas très universel quand même ? Bof :) Si le serveur est sous Windows, sans hyperviseur en dessous, on fait comment ? Python existe sur Windows et Exabgp aussi... Donc... Mais bon c'est vrai que le monde Windows n'est pas encore très orienté réseau... :) Après rien n'empêche de faire des horreurs type : L2VPN over MPLS :) Xavier signature.asc Description: Message signed with OpenPGP using GPGMail
Re: [FRnOG] [MISC] [TECH] VRRP
j'ai du coup l'impression d'avoir lancé un méga débat :) et moi je me sens un peut perdu :) je sais toujours pas comment je vais mettre mon infra en place :D Cordialement Le 16 janvier 2015 15:23, Xavier Beaudouin k...@oav.net a écrit : Hello David, Sans compter que si tu veux que ca soit redondant il faut prévoir un 3eme lien qui ne sera jamais utilisé a cause du Spanning Tree... (et/ou les routage asymétriques vu que le routeurs font du hot potato, qui risquent en même temps de jouer au con avec les firewalls..) Bref, il faut mieux sur 2 sites utiliser du routage avec des MED (par ex sur BGP) que du L2 avec VRRP. Tu veux dire aller mettre du BGP côté serveur ? Je le fais et l'as deja fait... pour faire de l'unicast. Il y avait déjà eu un débat à ce sujet il y a quelques temps. C’est pas très universel quand même ? Bof :) Si le serveur est sous Windows, sans hyperviseur en dessous, on fait comment ? Python existe sur Windows et Exabgp aussi... Donc... Mais bon c'est vrai que le monde Windows n'est pas encore très orienté réseau... :) Après rien n'empêche de faire des horreurs type : L2VPN over MPLS :) Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Déjà, c’est quoi l’objectif de l’infra ? Pour du sortant ou de l’entrant ? Si sortant: 2000 serveurs ? 10 ? 1 ? Sous windows ? Linux ? Avec Hyperviseur ou pas ? Pour quelle raison tu cherches à éclater tout ça sur 2 sites (s’il y a une autre raison que la redondance) ? Le 16 janv. 2015 à 15:27, ay pierre aypierr...@gmail.com a écrit : j'ai du coup l'impression d'avoir lancé un méga débat :) et moi je me sens un peut perdu :) je sais toujours pas comment je vais mettre mon infra en place :D Cordialement Le 16 janvier 2015 15:23, Xavier Beaudouin k...@oav.net a écrit : Hello David, Sans compter que si tu veux que ca soit redondant il faut prévoir un 3eme lien qui ne sera jamais utilisé a cause du Spanning Tree... (et/ou les routage asymétriques vu que le routeurs font du hot potato, qui risquent en même temps de jouer au con avec les firewalls..) Bref, il faut mieux sur 2 sites utiliser du routage avec des MED (par ex sur BGP) que du L2 avec VRRP. Tu veux dire aller mettre du BGP côté serveur ? Je le fais et l'as deja fait... pour faire de l'unicast. Il y avait déjà eu un débat à ce sujet il y a quelques temps. C’est pas très universel quand même ? Bof :) Si le serveur est sous Windows, sans hyperviseur en dessous, on fait comment ? Python existe sur Windows et Exabgp aussi... Donc... Mais bon c'est vrai que le monde Windows n'est pas encore très orienté réseau... :) Après rien n'empêche de faire des horreurs type : L2VPN over MPLS :) Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
Le certificat personnel, j’y croirai quand il sera stocké sur un truc fiable qu’on a toujours sur soi (CNI, CB, …) et transmis au PC en NFC ou autre. L’usine à gaz que c’est aujourd’hui, surtout en cas de changement d’ordinateur, ce qui dans le cas du Grand Public est rarement un évènement qui a été souhaité mais plutôt un mauvais moment à passer. La priorité du Grand Public, c’est généralement de se lamenter sur les 47654 photos des enfants qui ont été perdus dans le crash de l’ancien PC, et pas trop de savoir comment on migre le certificat. Le 16 janv. 2015 à 15:39, Wallace wall...@morkitu.org a écrit : Le 16/01/2015 08:50, nico...@ncartron.org a écrit : On Fri Jan 16 01:48:21 2015 GMT+0100, Emmanuel Thierry wrote: [...] Par ailleurs ils parlent des certificats client en R4, mais pour l'administration seulement, parce que ça parait compliqué de faire installer par chaque utilisateur un certificat. C'est ce que faisait le site des impôts il y a quelques années, bonjour la galère en cas de réinstallation d'OS =) Heureusement ce n'est plus le cas. C'est bête mais je préférais ce système. Même au RIPE qui s'adresse à des personnes techniques à du le retirer. Sauvegarder un fichier et son mot de passe dans un trousseau et correctement le sauvegarder si des gens techniques savent pas faire ça de nos jours j'ai comme un doute sur leurs mots de passes. Ils doivent être tous facilement mémorisables donc faibles. Après que le tout à chacun trouve le certificat trop dur à installer / sauvegarder bon à la rigueur mais au moins qu'on laisse le choix aux gens. J'aimerais tellement un certificat pour mon interface banque / opérateur ... plutôt que ces mots de passe visuels où tout le monde derrière toi le voit ou la personne qui est volontairement à côté de toi pour travailler sur un élément va facilement le retenir à force de t'y connecter ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Déjà, c’est quoi l’objectif de l’infra ? vendre de l'espace de stockage de fichier en ligne . Pour du sortant ou de l’entrant ? les deux a vrais dire car il fonctionne dans les 2 sens. Si sortant: 2000 serveurs ? 10 ? 1 ? Sous windows ? Linux ? Avec Hyperviseur ou pas ? serveur Windows physique au nombre de 2 un sur chaque site mais pas sur même site physique. Pour quelle raison tu cherches à éclater tout ça sur 2 sites (s’il y a une autre raison que la redondance) ? oui je cherche de la redondance de chaque coté DFS-R avec redondance en cas de pannes Merci Le 16 janvier 2015 15:31, David Ponzone david.ponz...@gmail.com a écrit : Déjà, c’est quoi l’objectif de l’infra ? Pour du sortant ou de l’entrant ? Si sortant: 2000 serveurs ? 10 ? 1 ? Sous windows ? Linux ? Avec Hyperviseur ou pas ? Pour quelle raison tu cherches à éclater tout ça sur 2 sites (s’il y a une autre raison que la redondance) ? Le 16 janv. 2015 à 15:27, ay pierre aypierr...@gmail.com a écrit : j'ai du coup l'impression d'avoir lancé un méga débat :) et moi je me sens un peut perdu :) je sais toujours pas comment je vais mettre mon infra en place :D Cordialement Le 16 janvier 2015 15:23, Xavier Beaudouin k...@oav.net a écrit : Hello David, Sans compter que si tu veux que ca soit redondant il faut prévoir un 3eme lien qui ne sera jamais utilisé a cause du Spanning Tree... (et/ou les routage asymétriques vu que le routeurs font du hot potato, qui risquent en même temps de jouer au con avec les firewalls..) Bref, il faut mieux sur 2 sites utiliser du routage avec des MED (par ex sur BGP) que du L2 avec VRRP. Tu veux dire aller mettre du BGP côté serveur ? Je le fais et l'as deja fait... pour faire de l'unicast. Il y avait déjà eu un débat à ce sujet il y a quelques temps. C’est pas très universel quand même ? Bof :) Si le serveur est sous Windows, sans hyperviseur en dessous, on fait comment ? Python existe sur Windows et Exabgp aussi... Donc... Mais bon c'est vrai que le monde Windows n'est pas encore très orienté réseau... :) Après rien n'empêche de faire des horreurs type : L2VPN over MPLS :) Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
Le 16/01/2015 16:14, Wallace a écrit : Le 16/01/2015 16:02, David Ponzone a écrit : Le certificat personnel, j’y croirai quand il sera stocké sur un truc fiable qu’on a toujours sur soi (CNI, CB, …) et transmis au PC en NFC ou autre. Ce jour là j'arrêterais les certificats alors. Un objet fiable qu'on a sur soit oui mais où j'ai totalement le contrôle sinon non. Ma CB ou CNI c'est juste noway. Je précise car on va forcément poser la question. Si c'est un tiers qui fait ce token alors je n'ai pas confiance car rien ne me dit qu'il ne garde pas une copie des clefs générées avant de les stocker. Qu'on ne me parle pas de tiers de confiance (état, entreprise à certificat, association oeuvrant pour notre bonheur), non je n'ai pas confiance. C'est comme faire des clefs chez le serrurier et qu'il en fasse une copie pour lui tout en ayant votre adresse. Après tout personne ne génère de clef GPG ou SSH par des tiers alors pourquoi dans ce cas là passer par quelqu'un d'autre? signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Message ANSSI
Le 16 janv. 2015 à 16:02, David Ponzone david.ponz...@gmail.com a écrit : Le certificat personnel, j’y croirai quand il sera stocké sur un truc fiable qu’on a toujours sur soi (CNI, CB, …) et transmis au PC en NFC ou autre. L’usine à gaz que c’est aujourd’hui, surtout en cas de changement d’ordinateur, ce qui dans le cas du Grand Public est rarement un évènement qui a été souhaité mais plutôt un mauvais moment à passer. La priorité du Grand Public, c’est généralement de se lamenter sur les 47654 photos des enfants qui ont été perdus dans le crash de l’ancien PC, et pas trop de savoir comment on migre le certificat. Tellement vrai ce que tu dis... :) Le jour ou pourrais avoir son certificat numérique ayant la même fiabilité qu'une CNI (je ne dis pas la même sécurité hein, mais fiabilité)... Là on pourras parler de certificat personnel. Pour l'instant on n'as rien qui soit faible, facile pour Mme Michu, donc c'est mort. Surtout que lorsqu'on pose la question t'as sauvegardé tes trucs? lorsqu'on vient te voir avec puisque tu t'y connais en informatique...?, la réponse est non à 80% (bon on a gagné 10% depuis 10 ans, avant c'est 90% voire 99%...); donc le certificat à la con (vu de mme michu) évidement qu'il n'est jamais sauvegardé... Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
Bonjour, Il y avait eu une tentative de mettre en place une CNIe. Le Conseil Constitutionnel l'avait déclarée contraire à la Constitution au motif que la loi n'était pas assez protectrice de la vie privée (qui est un principe à valeur constitutionnelle (CC 18/01/1995)): 14. Considérant que l'article 3, d'une part, permet que la carte nationale d'identité comprenne des « fonctions électroniques » permettant à son titulaire de s'identifier sur les réseaux de communication électroniques et de mettre en oeuvre sa signature électronique et, d'autre part, garantit le caractère facultatif de ces fonctions ; que les dispositions de l'article 3 ne précisent ni la nature des « données » au moyen desquelles ces fonctions peuvent être mises en oeuvre ni les garanties assurant l'intégrité et la confidentialité de ces données ; qu'elles ne définissent pas davantage les conditions dans lesquelles s'opère l'authentification des personnes mettant en oeuvre ces fonctions, notamment lorsqu'elles sont mineures ou bénéficient d'une mesure de protection juridique ; que, par suite, le législateur a méconnu l'étendue de sa compétence ; qu'il en résulte que l'article 3 doit être déclaré contraire à la Constitution ; http://www.conseil-constitutionnel.fr/decision/2012/2012-652-dc/decision-n-2012-652-dc-du-22-mars-2012.105165.html Le communiqué de presse est également intéressant : http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2012/2012-652-dc/communique-de-presse.105166.html Voir également le rapport annuel du Conseil d'Etat au sujet du numérique et des droits fondamentaux : http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/144000541/.pdf Cordialement, Raphaël Le 16/01/2015 16:14, Wallace a écrit : Le 16/01/2015 16:02, David Ponzone a écrit : Le certificat personnel, j’y croirai quand il sera stocké sur un truc fiable qu’on a toujours sur soi (CNI, CB, …) et transmis au PC en NFC ou autre. Ce jour là j'arrêterais les certificats alors. Un objet fiable qu'on a sur soit oui mais où j'ai totalement le contrôle sinon non. Ma CB ou CNI c'est juste noway. Par contre que ça reste sur mes ordis où tous les disques sont chiffrés ça me pose pas de soucis. On l'utilise en interne pour accéder à des interfaces propres aux employés, tout le monde adore car plus de mot de passe à retenir / copier-coller. Révoquer un accès c'est juste super pratique pour le faire sur plusieurs interfaces en même temps. Par contre sur nos téléphones pour le moment on ne franchit pas le pas car on a pas entièrement la main dessus et les navigateurs mobiles aiment pas notre autorité de certification privée. L’usine à gaz que c’est aujourd’hui, surtout en cas de changement d’ordinateur, ce qui dans le cas du Grand Public est rarement un évènement qui a été souhaité mais plutôt un mauvais moment à passer. La priorité du Grand Public, c’est généralement de se lamenter sur les 47654 photos des enfants qui ont été perdus dans le crash de l’ancien PC, et pas trop de savoir comment on migre le certificat. Le coup des photos c'est malheureux mais faut que tout le monde y passe pour qu'il accepte les conseils de sauvegarde. Après que ça soit photo / doc super important / certificat / whatelse de valeur le restaurer n'est pas plus compliqué que de double clic dessus (en tout cas avec Firefox, j'ai pas testé les autres). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
Le problème de la CNI avec de la crypto embarquée tient surtout à l'usage qui en est fait. Si c'est correctement encadré, que les process sont propres, pour de la pure authentification institutionnelle (c'est ce qui importe à Mme Michu pour 95% de son usage de l'informatique, les mots de passe boîte mail Orange et Facebook sont les mêmes à 6 chiffres, le reste c'est payer ses impôts et consulter ses remboursements de sécu), le respect de la vie privée n'entre pas tellement en jeu et la sécurité n'en est que renforcée (j'aime bien recevoir mes mots de passe par la poste, mais va falloir arrêter un jour). Par contre, qui dit payer ses impôts avec sa CNI en 2015 (c'est déjà le cas dans plusieurs pays si je ne raconte pas de connerie) dit s'identifier auprès d'EDF, des gros FAI et de tous ceux qui auront le poids de négocier des assouplissements d'ici à 2016, c'est aussi envisager qu'en 2018 les paquets IP (v6 ? :D) pas signés deviendront suspects. J'avais déjà envisagé et causé un peu dans le milieu carte à puce d'un système dont l'utilisateur a le contrôle : carte à microproc quelconque (JCOP ou qui sait un OS national :) achetable en grande surface (ou un poil moins libéral, mais si possible pas trop gérée techniquement par le gouvernement) et où l'utilisateur peut autoriser l'installation des applications qu'on lui soumet. Il va chercher sa CNI à la mairie ? il n'a qu'à insérer sa carte dans la machine, saisir le PIN d'installation d'appli et les certifs officiels sont chargés. Il vient de s'abonner à la FNAC ou d'acheter un navigo ? même topo. Bien entendu, le schéma de gestion d'applets sur le carte devrait différer des classiques d'aujourd'hui qui ne sont pas trop orientés multiples applis de plusieurs niveaux de sécu, mais c'est tout à fait envisageable techniquement. Sur le plan utilisation par contre, pour le moment on m'a surtout ri au nez :) Alerte au passage : ce fil est à la dérive, heureusement qu'on est sur misc. On 01/16/15 16:25, Raphaël Stehli wrote: Bonjour, Il y avait eu une tentative de mettre en place une CNIe. Le Conseil Constitutionnel l'avait déclarée contraire à la Constitution au motif que la loi n'était pas assez protectrice de la vie privée (qui est un principe à valeur constitutionnelle (CC 18/01/1995)): 14. Considérant que l'article 3, d'une part, permet que la carte nationale d'identité comprenne des « fonctions électroniques » permettant à son titulaire de s'identifier sur les réseaux de communication électroniques et de mettre en oeuvre sa signature électronique et, d'autre part, garantit le caractère facultatif de ces fonctions ; que les dispositions de l'article 3 ne précisent ni la nature des « données » au moyen desquelles ces fonctions peuvent être mises en oeuvre ni les garanties assurant l'intégrité et la confidentialité de ces données ; qu'elles ne définissent pas davantage les conditions dans lesquelles s'opère l'authentification des personnes mettant en oeuvre ces fonctions, notamment lorsqu'elles sont mineures ou bénéficient d'une mesure de protection juridique ; que, par suite, le législateur a méconnu l'étendue de sa compétence ; qu'il en résulte que l'article 3 doit être déclaré contraire à la Constitution ; http://www.conseil-constitutionnel.fr/decision/2012/2012-652-dc/decision-n-2012-652-dc-du-22-mars-2012.105165.html Le communiqué de presse est également intéressant : http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2012/2012-652-dc/communique-de-presse.105166.html Voir également le rapport annuel du Conseil d'Etat au sujet du numérique et des droits fondamentaux : http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/144000541/.pdf Cordialement, Raphaël Le 16/01/2015 16:14, Wallace a écrit : Le 16/01/2015 16:02, David Ponzone a écrit : Le certificat personnel, j’y croirai quand il sera stocké sur un truc fiable qu’on a toujours sur soi (CNI, CB, …) et transmis au PC en NFC ou autre. Ce jour là j'arrêterais les certificats alors. Un objet fiable qu'on a sur soit oui mais où j'ai totalement le contrôle sinon non. Ma CB ou CNI c'est juste noway. Par contre que ça reste sur mes ordis où tous les disques sont chiffrés ça me pose pas de soucis. On l'utilise en interne pour accéder à des interfaces propres aux employés, tout le monde adore car plus de mot de passe à retenir / copier-coller. Révoquer un accès c'est juste super pratique pour le faire sur plusieurs interfaces en même temps. Par contre sur nos téléphones pour le moment on ne franchit pas le pas car on a pas entièrement la main dessus et les navigateurs mobiles aiment pas notre autorité de certification privée. L’usine à gaz que c’est aujourd’hui, surtout en cas de changement d’ordinateur, ce qui dans le cas du Grand Public est rarement un évènement qui a été souhaité mais plutôt un mauvais moment à passer. La priorité du Grand Public, c’est
Re: [FRnOG] [MISC] [TECH] VRRP
Si j'ai fait comme cela: - C'est juste une question de disponibilité d'équipements versus urgence à mettre en service... Et comme j'en suis finalement assez satisfait, je n'ai pas changé. J'aurais préféré faire du routage en effet, à l'origine, mais l'équipement ToR en question est un switch-routeur ne faisant pas d'IPv6, donc j'ai préféré ne pas l'utiliser comme tel, afin d'avoir de l'IPv6 :-) On Fri, 2015-01-16 at 12:46 +0100, Sebastien Lecomte wrote: Effectivement, dans ce type d'architecture, le fait de voir le port tomber fait toute la différence. Je n'avais pas pensé à cette topologie (j'étais resté sur une interco entre 2 sites avec prolongement du LAN), notamment car dans ce type d'architecture, j'aurais plutôt mis du L3, c'est à dire de quoi router à la place de ton switch L2 top of the rack, sans envisager cette possibilité. D'ailleurs, du coup, pourquoi ce choix d'architecture? (moins cher? mais quand on a 2 lambda DWDM, on ne doit pas être à cela près...) Seb -Message d'origine- From: Clement Cavadore Sent: Friday, January 16, 2015 12:06 PM To: David Ponzone Cc: Sebastien Lecomte ; ay pierre ; frnog-m...@frnog.org Subject: Re: [FRnOG] [MISC] [TECH] VRRP En fait, je voyais plutot la chose comme une topologie ou les sites de routages ne sont pas les sites d'hébergement. J'ai un setup comme celui-ci dans mon réseau: Un rack avec un switch top of rack (qui ne fait *que* du L2), raccordé par deux lambdas DWDM remontant vers deux sites différents. Les LAN d'hébergement du rack remontent vers les deux sites via les lambdas, et le VRRP fait le reste. Si je perds un lambda ou l'autre, pas de problèmes, du coup, car le site de routage concerné voit son port tomber, et du coup l'autre site préempte l'IP s'il n'était pas master. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [MISC] [TECH] VRRP
A la lecture du besoin, je dirais : Utilisation d'un soft du style Datacore qui fonctionne sous Windows. On obtient virtualisation du stockage Et en réseau, on repart sur du basique facile a maintenir au quotidien. Après je dis peut être une grosse Co... Très bon weekend -Message d'origine- De : ay pierre [mailto:aypierr...@gmail.com] Envoyé : vendredi 16 janvier 2015 16:16 À : David Ponzone Cc : Xavier Beaudouin; frnog-m...@frnog.org Objet : Re: [FRnOG] [MISC] [TECH] VRRP Déjà, c’est quoi l’objectif de l’infra ? vendre de l'espace de stockage de fichier en ligne . Pour du sortant ou de l’entrant ? les deux a vrais dire car il fonctionne dans les 2 sens. Si sortant: 2000 serveurs ? 10 ? 1 ? Sous windows ? Linux ? Avec Hyperviseur ou pas ? serveur Windows physique au nombre de 2 un sur chaque site mais pas sur même site physique. Pour quelle raison tu cherches à éclater tout ça sur 2 sites (s’il y a une autre raison que la redondance) ? oui je cherche de la redondance de chaque coté DFS-R avec redondance en cas de pannes Merci Le 16 janvier 2015 15:31, David Ponzone david.ponz...@gmail.com a écrit : Déjà, c’est quoi l’objectif de l’infra ? Pour du sortant ou de l’entrant ? Si sortant: 2000 serveurs ? 10 ? 1 ? Sous windows ? Linux ? Avec Hyperviseur ou pas ? Pour quelle raison tu cherches à éclater tout ça sur 2 sites (s’il y a une autre raison que la redondance) ? Le 16 janv. 2015 à 15:27, ay pierre aypierr...@gmail.com a écrit : j'ai du coup l'impression d'avoir lancé un méga débat :) et moi je me sens un peut perdu :) je sais toujours pas comment je vais mettre mon infra en place :D Cordialement Le 16 janvier 2015 15:23, Xavier Beaudouin k...@oav.net a écrit : Hello David, Sans compter que si tu veux que ca soit redondant il faut prévoir un 3eme lien qui ne sera jamais utilisé a cause du Spanning Tree... (et/ou les routage asymétriques vu que le routeurs font du hot potato, qui risquent en même temps de jouer au con avec les firewalls..) Bref, il faut mieux sur 2 sites utiliser du routage avec des MED (par ex sur BGP) que du L2 avec VRRP. Tu veux dire aller mettre du BGP côté serveur ? Je le fais et l'as deja fait... pour faire de l'unicast. Il y avait déjà eu un débat à ce sujet il y a quelques temps. C’est pas très universel quand même ? Bof :) Si le serveur est sous Windows, sans hyperviseur en dessous, on fait comment ? Python existe sur Windows et Exabgp aussi... Donc... Mais bon c'est vrai que le monde Windows n'est pas encore très orienté réseau... :) Après rien n'empêche de faire des horreurs type : L2VPN over MPLS :) Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
Le 16/01/2015 17:00, Pierre Jaury a écrit : Alerte au passage : ce fil est à la dérive, heureusement qu'on est sur misc. Non, t'inquiète pas, c'est pas politique ;) -- Manu Jacquet --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] présentation gamme ASR 9000 et interopérabilité Arbor Networks
Bonjour à tous La date pour la journée de présentation de la gamme ASR chez Cisco est le 04 mars 2015. Normalement les intéressés ont reçu l’invitation, si ce n’est pas le cas, contactez moi : Rappel du planning : Présentation rapide de l’ASR et des différentes gammes (théorique) •Retour d’expérience sur le clustering (avec démo en lab) •Les différentes topologies, notamment la topologie en ring pour les satellites (avec démo en lab) •L’avantage de L’ASR sur des flux multimédia (théorique) •Interopérabilité Cisco ASR / TMS Arbor Networks (protection anti DDoS) Bon week end --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
On Friday 16 January 2015 16:18:39 Wallace - wall...@morkitu.org wrote: Le 16/01/2015 16:14, Wallace a écrit : Le 16/01/2015 16:02, David Ponzone a écrit : Le certificat personnel, j’y croirai quand il sera stocké sur un truc fiable qu’on a toujours sur soi (CNI, CB, …) et transmis au PC en NFC ou autre. Ce jour là j'arrêterais les certificats alors. Un objet fiable qu'on a sur soit oui mais où j'ai totalement le contrôle sinon non. Ma CB ou CNI c'est juste noway. Je précise car on va forcément poser la question. Si c'est un tiers qui fait ce token alors je n'ai pas confiance car rien ne me dit qu'il ne garde pas une copie des clefs générées avant de les stocker. Qu'on ne me parle pas de tiers de confiance (état, entreprise à certificat, association oeuvrant pour notre bonheur), non je n'ai pas confiance. C'est comme faire des clefs chez le serrurier et qu'il en fasse une copie pour lui tout en ayant votre adresse. Après tout personne ne génère de clef GPG ou SSH par des tiers alors pourquoi dans ce cas là passer par quelqu'un d'autre? L'analogie du serrurier malhonnête est mal choisie car elle se transpose mal au monde du numérique. D'abord parce que personne ne pense qu'une serrure ne protège contre le carreau pété qui permets de passer par la fenêtre et ensuite parce qu'avec un double de clé on peut entrer sans effraction mais la disparition de l'écran plat 120cm du salon se remarque rapidement. Tandis que dans le monde numérique et de la sécurité, d'une part la clé c'est aussi bien la serrure, que la porte, que les murs, que les carreaux, c'est toute la maison et d'autre part avec une copie de la clé il est possible de dupliquer tout le contenu de la maison sans que ça saute aux yeux. --- Liste de diffusion du FRnOG http://www.frnog.org/
[TECH] Re: Réf.: Re: [FRnOG] [TECH] sdsl atm vs efm
On Fri, Jan 16, 2015, at 12:35, Marc Salvi wrote: Bonjour, - Est-ce que Orange communique lors de la commande sur le type de lien qu'ils vont livrer ? Communiquent quoi ? Normalement tu sais ce que tu as commande. - Faut-il systématiquement un routeur compatible EFM, ex Cisco 888EA, ou CISCO 888E ? Oui. - Ou peut-on continuer a utiliser d'autres CPE ATM, type Cisco 888/878, Comme le commercial Orange me l'a laissé entendre ? Definitivement NON. J'ai essaye, et je n'ai meme pas eu de synchro. Par contre, concernant le 888, il y a CISCO888 et C888 qui ne sont pas pareil (surtout cote compatibilite SDSL/EFM). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
On Fri, Jan 16, 2015, at 15:27, ay pierre wrote: je sais toujours pas comment je vais mettre mon infra en place :D 2 sites, 2 broadcast domains, 2 subnets Part du principe que le L2 ne doit PAS sortir de l'immeuble. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: Réf.: Re: [FRnOG] [TECH] sdsl atm vs efm
- Est-ce que Orange communique lors de la commande sur le type de lien qu'ils vont livrer ? Communiquent quoi ? Normalement tu sais ce que tu as commande. Tu précises le nb de paires et si tu veux un modem ou pas. Et ils te livrent ce que tu as commandé. Par contre, sur l'annexe de la facture, il est précisé la technologie: SDSL ou SDSL Bis. Je ne sais pas si c'est communiqué en cours de prod / Si cela influe sur le CPE si tu te fais livrer sans modem. A noter que SDSL Bis semble très minoritaire (env. 10% sur la facture que je viens de regarder)... - Faut-il systématiquement un routeur compatible EFM, ex Cisco 888EA, ou CISCO 888E ? Oui. - Ou peut-on continuer a utiliser d'autres CPE ATM, type Cisco 888/878, Comme le commercial Orange me l'a laissé entendre ? Definitivement NON. J'ai essaye, et je n'ai meme pas eu de synchro. Par contre, concernant le 888, il y a CISCO888 et C888 qui ne sont pas pareil (surtout cote compatibilite SDSL/EFM). A ma connaissance, en CELAN, il n'y a pas de liste d'équipements / versions compatibles, comme cela se faisait avec DSLE. La facilité c'est de se faire livrer le modem... mais cela a un cout. Par contre tu peux très bien trouver des équipements compatibles et aussi acheter tes propres RAD identiques à ceux qu'installe orange (mais c'est assez cher, le modèle dépend du nb de paires...etc. Dur à amortir). Seb --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: Réf.: Re: [FRnOG] [TECH] sdsl atm vs efm
Je ne sais pas si c'est communiqué en cours de prod / Si cela influe sur le CPE si tu te fais livrer sans modem. Non, puisque c’est figé dans les STAS. A noter que SDSL Bis semble très minoritaire (env. 10% sur la facture que je viens de regarder)… Le SDSLbis, c’est seulement quand il faut dépasser le 2Mbps par paire. Donc: 4Mbps sur 1 paire 8Mbps sur 2 paires 12Mbps sur 4 paires 16Mbps sur 4 paires La facilité c'est de se faire livrer le modem... mais cela a un cout. Par contre tu peux très bien trouver des équipements compatibles et aussi acheter tes propres RAD identiques à ceux qu'installe orange (mais c'est assez cher, le modèle dépend du nb de paires...etc. Dur à amortir). Quelqu’un a testé Aethra depuis les échanges qu’il y avait eus avec S.Lesimple à ce sujet ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
Oui je suis d’accord. Tu redondes déjà au niveau serveur (d’après ce que j’ai compris), donc tu n’as pas besoin de gérer le cas d’un routeur HS sur un site. Au pire, ce serveur là sera HS, et tout ton trafic arrivera sur l’autre, qui sera peut-être un peu chargé (pas si tu dimensionnes le serveur pour être toujours au moins idle à plus de 50%). Ca durera le temps que la réparation soit faite, ce qui avec le spare qu’il faut et les bons contrats éventuellement, ne devrait pas dépasser les 4H. La complexité est vraiment le piège à éviter, quand cela n’est pas vraiment nécessaire. C’est trolldi ? Evite de mettre un site à TH2 et l’autre chez L3 :) Le 16 janv. 2015 à 18:01, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Fri, Jan 16, 2015, at 15:27, ay pierre wrote: je sais toujours pas comment je vais mettre mon infra en place :D 2 sites, 2 broadcast domains, 2 subnets Part du principe que le L2 ne doit PAS sortir de l'immeuble. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: Réf.: Re: [FRnOG] [TECH] sdsl atm vs efm
Definitivement NON. J'ai essaye, et je n'ai meme pas eu de synchro. Par contre, concernant le 888, il y a CISCO888 et C888 qui ne sont pas pareil (surtout cote compatibilite SDSL/EFM). C’est les C888E/EA qui sont EFM (E comme EFM, A comme ATM). Mais le C888E est EOL. J’ai demandé à Cisco une explication sur la disparition de ce modèle aussi rapidement, sans être remplacé par un modèle équivalent, alors que le EA est 300€HT plus cher (en PP), et ne correspond pas au marché (puisque l’ATM va progressivement mourir). Pas de réponse. Faut pas hésiter à se tourner vers d’autres constructeurs quand on n’a pas besoin de fonctionnalités poussées (Aethra, Patton, …). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Message ANSSI
Le 16 janv. 2015 à 16:02, David Ponzone a écrit : Le certificat personnel, j’y croirai quand il sera stocké sur un truc fiable qu’on a toujours sur soi (CNI, CB, …) et transmis au PC en NFC ou autre. Justement si on veut de la sécurité on ne fait *pas* de NFC, parce que : * Pas ou peu de crypto, parce qu'il faut l'alimenter le bouzin, et avec le peu de puissance qu'on peut lui passer par les ondes ça va être compliqué de faire de la grosse crypto * Une attaque MITM est inévitable. Avec un peu de matos je passe à côté de toi dans le bus, et plouf, je transfère ton authentification par 3G à 200km de là. Pour l'instant ça ne vaut pas le coup pour les 20€ du paiement sans contact, mais le principe est tout à fait possible. * Pas de confirmation par l'utilisateur (et là aussi pour le paiement sans contact c'est inadmissible) Donc si on veut une CNI sûre, il faut qu'elle soit en carte à puce et qu'elle demande un PIN à l'utilisateur. Cordialement Emmanuel Thierry L’usine à gaz que c’est aujourd’hui, surtout en cas de changement d’ordinateur, ce qui dans le cas du Grand Public est rarement un évènement qui a été souhaité mais plutôt un mauvais moment à passer. La priorité du Grand Public, c’est généralement de se lamenter sur les 47654 photos des enfants qui ont été perdus dans le crash de l’ancien PC, et pas trop de savoir comment on migre le certificat. Le 16 janv. 2015 à 15:39, Wallace wall...@morkitu.org a écrit : Le 16/01/2015 08:50, nico...@ncartron.org a écrit : On Fri Jan 16 01:48:21 2015 GMT+0100, Emmanuel Thierry wrote: [...] Par ailleurs ils parlent des certificats client en R4, mais pour l'administration seulement, parce que ça parait compliqué de faire installer par chaque utilisateur un certificat. C'est ce que faisait le site des impôts il y a quelques années, bonjour la galère en cas de réinstallation d'OS =) Heureusement ce n'est plus le cas. C'est bête mais je préférais ce système. Même au RIPE qui s'adresse à des personnes techniques à du le retirer. Sauvegarder un fichier et son mot de passe dans un trousseau et correctement le sauvegarder si des gens techniques savent pas faire ça de nos jours j'ai comme un doute sur leurs mots de passes. Ils doivent être tous facilement mémorisables donc faibles. Après que le tout à chacun trouve le certificat trop dur à installer / sauvegarder bon à la rigueur mais au moins qu'on laisse le choix aux gens. J'aimerais tellement un certificat pour mon interface banque / opérateur ... plutôt que ces mots de passe visuels où tout le monde derrière toi le voit ou la personne qui est volontairement à côté de toi pour travailler sur un élément va facilement le retenir à force de t'y connecter ... --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: Réf.: Re: [FRnOG] [TECH] sdsl atm vs efm
Le 16/01/2015 10:20, David Ponzone a écrit : Je ne sais pas si c'est communiqué en cours de prod / Si cela influe sur le CPE si tu te fais livrer sans modem. Non, puisque c’est figé dans les STAS. A noter que SDSL Bis semble très minoritaire (env. 10% sur la facture que je viens de regarder)… Le SDSLbis, c’est seulement quand il faut dépasser le 2Mbps par paire. Donc: 4Mbps sur 1 paire 8Mbps sur 2 paires 12Mbps sur 4 paires 16Mbps sur 4 paires La facilité c'est de se faire livrer le modem... mais cela a un cout. Par contre tu peux très bien trouver des équipements compatibles et aussi acheter tes propres RAD identiques à ceux qu'installe orange (mais c'est assez cher, le modèle dépend du nb de paires...etc. Dur à amortir). Quelqu’un a testé Aethra depuis les échanges qu’il y avait eus avec S.Lesimple à ce sujet ? J'avais fait un retour de prod' il y as quelque temps, tu dois pouvoir le trouver dans les archives de la liste. Si tu veux des prix etc... Demande à David Marciano, c'est lui leur revendeur actuel, sinon mp pour contact direct à l'usine... --- Liste de diffusion du FRnOG http://www.frnog.org/ signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [MISC] Message ANSSI
On 01/16/15 21:11, Emmanuel Thierry wrote: Justement si on veut de la sécurité on ne fait *pas* de NFC, parce que : * Pas ou peu de crypto, parce qu'il faut l'alimenter le bouzin, et avec le peu de puissance qu'on peut lui passer par les ondes ça va être compliqué de faire de la grosse crypto * Une attaque MITM est inévitable. Avec un peu de matos je passe à côté de toi dans le bus, et plouf, je transfère ton authentification par 3G à 200km de là. Pour l'instant ça ne vaut pas le coup pour les 20€ du paiement sans contact, mais le principe est tout à fait possible. * Pas de confirmation par l'utilisateur (et là aussi pour le paiement sans contact c'est inadmissible) Donc si on veut une CNI sûre, il faut qu'elle soit en carte à puce et qu'elle demande un PIN à l'utilisateur. A moitié d'accord. NFC dans sa spec actuelle ne verra peut-être pas 2020, mais on fait de l'ECC-320 sans difficulté, pareil pour RSA ; c'est suffisant pour les prochaines années et la puissance transmise n'est virtuellement pas limitée pour de futures technos. Le media importe donc peu de ce côté. Par contre, il faut (que ce soit pour le paiement ou quelque device sans contact que ce soit) une validation physique, sur le device et non sur le terminal. Ca travaille déjà sérieusement à du NFC sur ISO7810 avec écran embarqué et bouton de confirmation de la transaction et je ne vois pas de limite physique à porter ça sous forme de pin ou autre authentification. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [TECH] Re: Réf.: Re: [FRnOG] [TECH] sdsl atm vs efm
Le 16/01/2015 19:20, David Ponzone a écrit : Je ne sais pas si c'est communiqué en cours de prod / Si cela influe sur le CPE si tu te fais livrer sans modem. Non, puisque c’est figé dans les STAS. A noter que SDSL Bis semble très minoritaire (env. 10% sur la facture que je viens de regarder)… Le SDSLbis, c’est seulement quand il faut dépasser le 2Mbps par paire. Donc: 4Mbps sur 1 paire 8Mbps sur 2 paires 12Mbps sur 4 paires 16Mbps sur 4 paires La facilité c'est de se faire livrer le modem... mais cela a un cout. Par contre tu peux très bien trouver des équipements compatibles et aussi acheter tes propres RAD identiques à ceux qu'installe orange (mais c'est assez cher, le modèle dépend du nb de paires...etc. Dur à amortir). Quelqu’un a testé Aethra depuis les échanges qu’il y avait eus avec S.Lesimple à ce sujet ? Je peux essayer de t'organiser des test en grandeur nature si tu le souhaite. Une description du besoin et on fait configurer un modele de démo sur mesure. Tu stresses le truc et tu partages tes avis/commentaires sur la liste. En revanche les commentaires du genre c'est de la merde sans arguments concrets, et sans avoir essayé de comprendre d'ou viens le probleme et de le résoudre avec le support, c'est assez stéril. Si on passe du temps à essayer un produit autant le faire bien, quitte a en conclure que c'est pas au niveau des attentes. Je suis open. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
