Re: [FRnOG] [TECH] VoIP / IAX2 sur réseaux mobiles ?

[David Ponzone]

Tu as regardé Opus comme codec ?
Apparement c'est the-next-big-thing en VoIP, avec une super tolérance en cas de 
pertes de paquets.

David Ponzone



> Le 26 août 2017 à 02:38, Toussaint OTTAVI  a écrit :
> 
> 
>> Le 25/08/2017 à 15:28, Jérôme Marteaux a écrit :
>> Peu-être jouer sur le packetization time.
>> Je ne sais pas comment réagit la partie radio si c'est mieux d'envoyer
>> pleins de petits paquets (10ms) ou moins de gros paquets (40ms). Ca
>> serait un élément à tester.
> 
> Merci pour le tuyau. Je vais m'y intéresser de plus près...
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] firewall

[Michel Py]

> Raphael Maunier a écrit :
> Exemple sur mon forti :
- https://ibb.co/ksLaXQ 
- https://ibb.co/guu2CQ 
- https://ibb.co/ny6tK5 
- https://ibb.co/bZsB6k 
- https://ibb.co/c5VLz5 
- https://ibb.co/f4kne5

C'est bloqué avant le firewall, chez moi ;-)

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Divop SFR

[David Ponzone]

200k€ pas suffisant autant que je sache

David Ponzone



> Le 26 août 2017 à 03:21, Ducassou Laurent  a 
> écrit :
> 
> La DIVOP SFR... Le truc le plus... Quasiment impossible à franchir...
> 
> Mais je prends si quelqu'un a aussi et dire que on fait plus de 200k€ de
> CA avec SFR grand compte déjà...)
> 
> 
>> Bonjour la liste,
>> 
>> Je suis à la recherche d'un contact pour de la collecte à la Division
>> Opérateur de SFR. (DivOp, DOp, ou ce que vous voulez...)
>> J'ai écumé la liste et les internets, sans rien trouver, et le siège
>> comme SFR Business ou encore le service client classique sont
>> incapables de me donner un numéro correct à appeler.
>> 
>> Si vous avez un contact, un numéro de téléphone, ou même une adresse
>> mail sur laquelle on répond aux mails reçus, je suis preneur en privé.
>> 
>> Merci et bon week-end.
>> 
>> Thibault
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] iperf - resultats invalides ?

[Philippe Bourcier]

Re,


J’ai déjà donné l’exemple de l’Amérique du Nord (shappé à 1Mbps !) et
du Kazakhstan (shappé à 2,3Mbps), mais des anomalies similaires en 
TCP

apparaissent aussi en communiquant avec nos VPS hébergés chez Online
et dans une moindre mesure chez Cloudwatt (sans que les hébergeurs
soient à mettre en cause) :


As-tu joué avec la Window Size (flag -w de iperf) ?

La règle générale c'est : "La vitesse d'un download est inversement 
proportionnelle à la latence vers le site où tu download...".

C'est la base et c'est pour ça que les CDNs existent... :)


Dans notre cas, iperf3 garde une utilité, car quand tu observes des
routes à 10Mbps, 2Mbps, 1Mbps, sur un lien qui t’es vendu en 100Mbps,
ça donne quand même quelques biscuits pour discuter avec ton FAI.


Non, absolument aucuns...
Car un FAI garantit la vitesse maximum d'un lien, mais certainement pas 
la vitesse vers des destinations données...


En gros, si tu lances quelques wget vers différentes destinations et 
que tu arrives à remplir ton 100 Mb/s, alors tu n'as rien à dire, le FAI 
à fait son travail, il t'as livré 100Mb/s d'Internet...



Si j’obtiens une réponse utile de sa part pour expliquer ou corriger
ce traffic shapping, j’en ferai part ici.


C'est le droit du FAI d'appliquer un traffic shaping sur le lien qu'il 
te fournis, s'il peut justifier que c'est "pour ton bien" (ou plus 
généralement, pour le bien de l'ensemble de ses clients... parce que ton 
traff iperf ça ressemble à un DDoS)... c'est pas super "neutre", mais ça 
se fait... bref, R.A.S...



Cordialement,

--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Divop SFR

[Ducassou Laurent]

La DIVOP SFR... Le truc le plus... Quasiment impossible à franchir...

Mais je prends si quelqu'un a aussi et dire que on fait plus de 200k€ de
CA avec SFR grand compte déjà...)


> Bonjour la liste,
>
> Je suis à la recherche d'un contact pour de la collecte à la Division
> Opérateur de SFR. (DivOp, DOp, ou ce que vous voulez...)
> J'ai écumé la liste et les internets, sans rien trouver, et le siège
> comme SFR Business ou encore le service client classique sont
> incapables de me donner un numéro correct à appeler.
>
> Si vous avez un contact, un numéro de téléphone, ou même une adresse
> mail sur laquelle on répond aux mails reçus, je suis preneur en privé.
>
> Merci et bon week-end.
>
> Thibault
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VoIP / IAX2 sur réseaux mobiles ?

[Toussaint OTTAVI]

Le 25/08/2017 à 15:28, Jérôme Marteaux a écrit :

Peu-être jouer sur le packetization time.
Je ne sais pas comment réagit la partie radio si c'est mieux d'envoyer
pleins de petits paquets (10ms) ou moins de gros paquets (40ms). Ca
serait un élément à tester.


Merci pour le tuyau. Je vais m'y intéresser de plus près...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Re: Recherche refisb X2-10GB-T

[Jérôme Nicolle]

Michel,

Le 25/08/2017 à 19:46, Michel Py a écrit :
> Tu peux nous dire ou tu l'as acheté, combien, et si çà marche bien ?

100% de réussite en Xenpack ou X2 chez Solid-Optics. Un peu moins fiable
en fs.com pour le même prix, de ce qu'on m'a dit.

C'est surtout utile pour du SFP+ DAC, il y a plus de risques
d'incompatibilité avec des modules exotiques.

@+

-- 
Jérôme Nicolle
+33 (0)6 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [BIZ] Re: Recherche refisb X2-10GB-T

[Christophe Pujol]

Bonjour Michel et la liste,

Merci pour le troll.
J'ai pas reçu le matériel pour le moment.
Sachez que c'est du Solid Optics.

Je vous fais un retour dés réception.

Bon dredi
Christophe

Le 25 août 2017 7:46 PM, "Michel Py"  a
écrit :

> Christophe Pujol a écrit :
> J'ai trouvé une alternative. Je passe par un adaptateur X2 <—> SFP+

Tu peux nous dire ou tu l'as acheté, combien, et si çà marche bien ?

Merci,
Michel.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [BIZ] Re: Recherche refisb X2-10GB-T

[Michel Py]

> Christophe Pujol a écrit :
> J'ai trouvé une alternative. Je passe par un adaptateur X2 <—> SFP+

Tu peux nous dire ou tu l'as acheté, combien, et si çà marche bien ?

Merci,
Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Cable série pour APC Smart-UPS X 750

[Michel Py]

> quelqu'un a écrit :
> Ne voyant pas la manipulation vendor specific information dans le mail, je la 
> mentionne :
> - avez-vous tenté le dhcp avec l'option 43 égale à 01 04 31 41 50 43 ? 

Pas encore, la raison étant que même si j'arrive à lui parler avec Ethernet, il 
est probable que j'aie besoin du câble série de toute façon. C'est sur la liste 
des options désespérées.


> Joël DEREFINKO a écrit :
> Au cas où tu ne sois pas déjà tombé dessus :
> https://hazenet.dk/2017/02/07/the-troubles-of-resetting-ip-on-apc-network-management-card/

Merci pour le sourire, c'est exactement çà ! le truc du 9600 au lieu de 2400 
j'ai essayé aussi :-(


> quelqu'un d'autre a écrit :
> je travail avec des cartes plus récentes mais en effet, il faut 
> obligatoirement passer
> par le câble console pour la mise à jour du firmware/mise à jour des 
> paramètres IP.

C'est l'expérience de beaucoup.

> Sinon, il semble qu'il y ait un truc comme ça qui existe : 
> https://images-na.ssl-images-amazon.com/images/I/41XTI63MYuL._SL500_AC_SS350_.jpg

Oui, mais avec quel pinout ? je viens de souder çà, on verra.
http://pinoutguide.com/UPS/apc_0625_cable_pinout.shtml


Chez APC, ils pourraient pas faire un connecteur série comme tout le monde ? Un 
Fortigate, la console marche avec un câble Cisco...


Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Divop SFR

[frnog]

Bonjour la liste,

Je suis à la recherche d'un contact pour de la collecte à la Division 
Opérateur de SFR. (DivOp, DOp, ou ce que vous voulez...)
J'ai écumé la liste et les internets, sans rien trouver, et le siège 
comme SFR Business ou encore le service client classique sont incapables 
de me donner un numéro correct à appeler.


Si vous avez un contact, un numéro de téléphone, ou même une adresse 
mail sur laquelle on répond aux mails reçus, je suis preneur en privé.


Merci et bon week-end.

Thibault


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] iperf - resultats invalides ?

[Frederic Dumas]

Bonjour Sylvain,

> j'aime bien lancer plusieurs wget en parallèle sur des gros fichiers, et 
> utiliser iftop pour voir le taux de transfert total.


C’est une bonne méthode pour saturer la boucle locale et observer son débit 
max.  Je garde sous le coude ta liste de mirroirs. Dans notre cas, nous 
cherchons aussi à évaluer à quoi ressemble le transit IP livré derrière notre 
fibre, et c’est là où ont commencé les surprises.

Les tests que nous avons poursuivis cette semaine avec iperf3 nous font de plus 
en plus pencher vers l’hypothèse de règles de traffic shapping incroyablement 
violentes en download viv-à-vis de certaines destinations.

J’ai déjà donné l’exemple de l’Amérique du Nord (shappé à 1Mbps !) et du 
Kazakhstan (shappé à 2,3Mbps), mais des anomalies similaires en TCP 
apparaissent aussi en communiquant avec nos VPS hébergés chez Online et dans 
une moindre mesure chez Cloudwatt (sans que les hébergeurs soient à mettre en 
cause) :



Depuis Online vers notre réseau local, c’est clairement shappé :


[  4]   0.00-1.00   sec  8.30 MBytes  69.6 Mbits/sec   78110 KBytes   
[  4]   1.00-2.00   sec  1.25 MBytes  10.5 Mbits/sec7   35.4 KBytes   
[  4]   2.00-3.00   sec  1.25 MBytes  10.5 Mbits/sec0   52.3 KBytes   
[  4]   3.00-4.00   sec  1.25 MBytes  10.5 Mbits/sec0   69.3 KBytes   
[  4]   4.00-5.00   sec  1.25 MBytes  10.5 Mbits/sec2   63.6 KBytes   
[  4]   5.00-6.00   sec  1.25 MBytes  10.5 Mbits/sec1   59.4 KBytes   
[  4]   6.00-7.00   sec  1.25 MBytes  10.5 Mbits/sec1   55.1 KBytes   
[  4]   7.00-8.00   sec  1.25 MBytes  10.5 Mbits/sec0   73.5 KBytes   
[  4]   8.00-9.00   sec  1.25 MBytes  10.5 Mbits/sec4   46.7 KBytes   
[  4]   9.00-10.00  sec  1.25 MBytes  10.5 Mbits/sec0   63.6 KBytes   
[  4]  10.00-11.00  sec  1.25 MBytes  10.5 Mbits/sec2   60.8 KBytes   
[  4]  11.00-12.00  sec  2.50 MBytes  21.0 Mbits/sec0   77.8 KBytes   
[  4]  12.00-13.00  sec  0.00 Bytes  0.00 Mbits/sec4   38.2 KBytes   
[  4]  13.00-14.00  sec  1.25 MBytes  10.5 Mbits/sec1   42.4 KBytes   
[  4]  14.00-15.00  sec  1.25 MBytes  10.5 Mbits/sec2   43.8 KBytes   
[  4]  15.00-16.00  sec  0.00 Bytes  0.00 Mbits/sec6   31.1 KBytes   
[  4]  16.00-17.00  sec  1.25 MBytes  10.5 Mbits/sec1   36.8 KBytes   
[  4]  17.00-18.00  sec  0.00 Bytes  0.00 Mbits/sec2   39.6 KBytes   
[  4]  18.00-19.00  sec  1.25 MBytes  10.5 Mbits/sec3   26.9 KBytes   
[  4]  19.00-20.00  sec  1.25 MBytes  10.5 Mbits/sec4   18.4 KBytes   
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval   Transfer Bandwidth   Retr
[  4]   0.00-20.00  sec  29.5 MBytes  12.4 Mbits/sec  118 sender
[  4]   0.00-20.00  sec  25.8 MBytes  10.8 Mbits/sec  receiver

iperf Done.




Pour en avoir le coeur net, en inversant les rôles client-serveur, sur les deux 
machines, toujours depuis Online vers notre réseau local, le résultat est 
logiquement similaire :


[  4]   0.00-1.00   sec  5.70 MBytes  47.8 Mbits/sec  
[  4]   1.00-2.00   sec  3.41 MBytes  28.6 Mbits/sec  
[  4]   2.00-3.00   sec  1.64 MBytes  13.8 Mbits/sec  
[  4]   3.00-4.00   sec  1.07 MBytes  8.98 Mbits/sec  
[  4]   4.00-5.00   sec  1.29 MBytes  10.8 Mbits/sec  
[  4]   5.00-6.00   sec  1.31 MBytes  11.0 Mbits/sec  
[  4]   6.00-7.00   sec  1.65 MBytes  13.9 Mbits/sec  
[  4]   7.00-8.00   sec  1.52 MBytes  12.8 Mbits/sec  
[  4]   8.00-9.00   sec   888 KBytes  7.27 Mbits/sec  
[  4]   9.00-10.00  sec  1.22 MBytes  10.2 Mbits/sec  
[  4]  10.00-11.00  sec  1.03 MBytes  8.68 Mbits/sec  
[  4]  11.00-12.00  sec  1.09 MBytes  9.15 Mbits/sec  
[  4]  12.00-13.00  sec  1.15 MBytes  9.66 Mbits/sec  
[  4]  13.00-14.00  sec   987 KBytes  8.09 Mbits/sec  
[  4]  14.00-15.00  sec   567 KBytes  4.65 Mbits/sec  
[  4]  15.00-16.00  sec   723 KBytes  5.92 Mbits/sec  
[  4]  16.00-17.00  sec   816 KBytes  6.68 Mbits/sec  
[  4]  17.00-18.00  sec   994 KBytes  8.14 Mbits/sec  
[  4]  18.00-19.00  sec   810 KBytes  6.64 Mbits/sec  
[  4]  19.00-20.00  sec   810 KBytes  6.64 Mbits/sec  
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval   Transfer Bandwidth   Retr
[  4]   0.00-20.00  sec  32.0 MBytes  13.4 Mbits/sec  129 sender
[  4]   0.00-20.00  sec  28.7 MBytes  12.0 Mbits/sec  receiver



Bien sûr, en lançant quatre downloads simultanés sur des ports différents, les 
débits shappés s’additionnent (4 x ~10Mbps). La route en elle même n’est donc 
pas congestionnée.




Depuis CloudWatt vers notre réseau local, ça ressemble 

Re: [FRnOG] [TECH] VoIP / IAX2 sur réseaux mobiles ?

[Jérôme Marteaux]

Le 25/08/2017 à 15:19, Toussaint OTTAVI a écrit :
>
> Le 25/08/2017 à 14:17, Richard Klein a écrit :
>> Pourquoi la nécessité d utiliser de l iax2?
>> Tu peux utiliser des codecs GSM OU g729 pour minimiser la bande
>> passante.
>
> IAX est le protocole de transport natif d'Asterisk. Je pourrais
> utiliser SIP, aussi. Mais IAX utilise un seul port de communication IP
> à la fois pour la data et les signalisations, ce qui est beaucoup plus
> pratique à travers des firewalls. Et comme j'ai obligatoirement de
> l'IAX entre mes différents Asterisk sur mon backbone, je me suis dit
> qu'il était plus simple d'utiliser aussi IAX pour les accès client. Un
> soft comme Zoiper gère les deux protocoles.
>
> C'est différent du codec utilisé à l'intérieur, qui peut être aLaw,
> uLaw, GSM, G729, etc... Comme je suis limité aux solutions
> Open-Source, j'ai déjà choisi le codec GSM. Et je vais tester d'autres
> codecs open-source à bande passante réduite (iLBC)
>

Peu-être jouer sur le packetization time.
Je ne sais pas comment réagit la partie radio si c'est mieux d'envoyer
pleins de petits paquets (10ms) ou moins de gros paquets (40ms). Ca
serait un élément à tester.

-- 
Jérôme Marteaux


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VoIP / IAX2 sur réseaux mobiles ?

[Toussaint OTTAVI]

Le 25/08/2017 à 14:17, Richard Klein a écrit :

Pourquoi la nécessité d utiliser de l iax2?
Tu peux utiliser des codecs GSM OU g729 pour minimiser la bande passante.


IAX est le protocole de transport natif d'Asterisk. Je pourrais utiliser 
SIP, aussi. Mais IAX utilise un seul port de communication IP à la fois 
pour la data et les signalisations, ce qui est beaucoup plus pratique à 
travers des firewalls. Et comme j'ai obligatoirement de l'IAX entre mes 
différents Asterisk sur mon backbone, je me suis dit qu'il était plus 
simple d'utiliser aussi IAX pour les accès client. Un soft comme Zoiper 
gère les deux protocoles.


C'est différent du codec utilisé à l'intérieur, qui peut être aLaw, 
uLaw, GSM, G729, etc... Comme je suis limité aux solutions Open-Source, 
j'ai déjà choisi le codec GSM. Et je vais tester d'autres codecs 
open-source à bande passante réduite (iLBC)


Normalement en 4G pas de probleme en ville mais il y a encore deux 
semaines j étais en Corse a borgo et impossible de faire passer les 
flux RTP sur tous les opérateurs sur site . Idem en 4G avec un débit 
formidable entre 10 et 70ko/s


Au mois d'Aout, la population de l'île est multipliée par 7 ou 8 ! Pour 
les stations d'assainissement, on sait faire des choses qui supportent 
bien des variations de flux saisonnières de 1 à 10. Pour les réseaux 
télécom, c'est plus difficile :-)


Nous attendons d'ailleurs tous avec impatience la fin du mois d'Aout, 
pour retrouver un peu de fluidité sur nos réseaux, routiers et 
numériques :-D :-D :-D


Aujourd hui vous arrivez à faire passer de la data sur la 2G? Moi très 
difficilement.


Peut-être parce que ce sont aussi nos besoins / usages / habitudes qui 
augmentent ? D'où l'idée d'utiliser des codecs à très faible débit (10 
kbits/s), histoire de voir si çà peut fonctionner ou pas.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VoIP / IAX2 sur réseaux mobiles ?

[Toussaint OTTAVI]

Le 25/08/2017 à 13:58, Maxime Renusson a écrit :

En toute honnêteté, je ne prendrais pas le risque en mobilité 3G (non HSPA), 
sachant qu'on a déjà du mal avec des canaux dédiés pour la voix (et des 
protocoles prévus spécialement pour le handover voix)...


Ce n'est pas une application business. Il n'y a pas vraiment de "risque" 
;-) Si çà fonctionne, c'est parfait et c'est tant mieux. Si çà ne 
fonctionne pas, il reste l'analogique ;-)



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VoIP / IAX2 sur réseaux mobiles ?

[Toussaint OTTAVI]

Le 25/08/2017 à 13:30, Olivier Lange a écrit :


Pas testé en IAX2, mais nous on fait passer en SIP au travers d'un VPN
l2tp sans problèmes. Après, il faut que le signal 3/4G soit
disponible.


En 4G ou même en 3G, en zone urbaine avec du signal, et en étant 
immobile, çà marche impeccable, en direct ou via VPN. La question, c'est 
vraiment d'optimiser le fonctionnement quand le réseau est faible ou 
fluctuant.



Je préfère passer par un tunnel, pour éviter les changement d'ip de la
4G (et donc ca me permets d'avoir une authentification par IP en plus
du login/pass).


Bien vu. Si je peux éviter de laisser le port IAX ouvert aux quatre 
vents sur Internet, ce n'est pas plus mal.


Par contre, le réseau se comporte assez mal en général quand un mobile 
doit roamer entre réseaux 4G, 3G voire 2G. Du coup, j'envisage de le 
bloquer en 3G-Only (ou 4G-Only ou 2G-Only), afin d'éviter les handovers 
4G/3G qui sont assez catastrophiques. Du coup, l'IP de sortie ne devrait 
plus (trop) changer... Enfin, je pense...



Par contre, en 2G, ca passe pas. 3G/4G, pas de souci, mais 2G, pas eu
de résultat probant non plus


Le but ici n'est pas de privilégier la qualité de l'audio, mais plutôt 
la stabilité. J'avais déjà fait des essais avec un codec GSM (bande 
passante : une trentaine de kbits/s), et en 2G, çà marchait "un petit 
peu". J'ai prévu de faire d'autres essais avec des codecs à bande 
passante encore plus faible (iLBC, Speex), dès que j'aurai réussi à les 
compiler :-) (pour cette application, je n'ai que les codecs open-source 
à disposition)





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

[Raphael Maunier]

“semble” , on va attendre 2 ou 3 releases :)

> On 25 Aug 2017, at 13:38, Olivier Benghozi  
> wrote:
> 
> Le macsec semble supporté sur EX3400.
> 
>> Le 25 août 2017 à 13:17, Raphael Maunier  a écrit :
>> 
>> Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :)
>> 
>> J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur 
>> BGP avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100.
>> 
>> On verra bien ce que ça donne avec plusieurs scénarios de tests
>> 
>> 
>>> On 25 Aug 2017, at 13:09, Nicolas Herreyre  
>>> wrote:
>>> 
>>> Effectivement, la solution de mettre un EX4600 par extrémité (et de ne
>>> pas les mutualiser) semble techniquement faisable, même si 2 ports
>>> consommés sur 24 c'est un peu du gaspillage.
>>> 
>>> Line rate 10G pas trop complexe et pas cher.
>>> 
>>> Celui qui me sort un switch macsec 10G 8 ports avec un form factor de
>>> TAP, je suis preneur ;)
>>> 
>>> 
>>> 
>>> Le 24 août 2017 à 21:59, Raphael Maunier  a écrit :
 Heu ...
 
 Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
 Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
 d'encryption.
 J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes
 de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au
 point de dégrader les performances drastiquement
 
 Par curiosite je vais tester Avec un injecteur de traffic afin de voir la
 perte en latence et en debit sur des ports 10G
 
 https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html
 
 Envoyé de mon iPhone
 
 Le 24 août 2017 à 18:11, Erik LE VACON  a écrit :
 
 Bonjour,
 Je crains qu'à de tels débits, les problèmes émergent de par le budget
 semble t-il contraint.
 La latence de traitement CPU-only via un boitier comme indiqué, mais à cout
 modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser,
 donc les 10gbps utiles ne seront jamais atteints (génération de problèmes 
 et
 de comportements équivalents à ceux rencontrés couramment sur les "bigfat
 WANs" en intercontinental et difficultés à "remplir le pipe").
 
 Plus précisément, et à titre d'exemple, les Thales Mistral couramment
 rencontrés, se limitent à 100mbps dans bcp de cas.
 En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il
 faudrait tester et vérifier si les specs d'interop sont compatibles avec le
 besoin précis
 Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais
 peut-être possible de négo vu le besoin et le volume).
 
 My two.
 
 
 
 On Thu, 24 Aug 2017 17:08:40 +0200
 Nicolas Herreyre  wrote:
 
 Hello la liste,
 
 
 Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je
 
 me lance! : j'aurais aimé vos retours d'expériences et conseils avisés
 
 sur une infra backbone de liens point à point à securiser.
 
 
 En gros, on dispose d'une dizaine de liens 10G ethernet nationaux,
 
 type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait
 
 chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca
 
 coûte 2 bras).
 
 
 L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2
 
 ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop
 
 cher, sur la 20aine d'extrémités, un truc fiable ;)
 
 
 Avez vous des références pile-poil designer pour faire cela ?
 
 
 Merci bien!
 
 
 --
 
 Nicolas.
 
 
 
 ---
 
 Liste de diffusion du FRnOG
 
 http://www.frnog.org/
 
 
 
 --
 Erik LE VACON 
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Dev Freelance

[Pierre]

Bonjour à tous,

Pour un de nos clients nous recherchons un dev C++ Freelance :

- Développeur confirmé de 3 ans d’expérience en C++
- Expérience de JAVA ( 1an)
- 1 an d’expérience dans l'environnement Linux
- Utiliser le gestionnaire de versioning SVN/GIT
- Connaissance du langage XML appréciées

Le développeur travaillera sur une application client/serveur qui repose
sur les technologies suivantes :
- C++ ( traitement métier, persistance, codes de calcul)
- JAVA (IHM clientes et EJB déployés dans le serveur d'application Jboss)
Les formats de données utilisés sont pour la plupart dérivés du format XML
L'application repose sur une base de données Versant et utilise
plusieurs bibliothèques externes ( Boost, Thrif, Xerces, Jviews)

C'est plus bien payé, si cela vous intéresse n’hésite pas à me répondre
en PM.

Pierre


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VoIP / IAX2 sur réseaux mobiles ?

[Richard Klein]

Bonjour

Pourquoi la nécessité d utiliser de l iax2?
Tu peux utiliser des codecs GSM OU g729 pour minimiser la bande passante.
Normalement en 4G pas de probleme en ville mais il y a encore deux semaines
j étais en Corse a borgo et impossible de faire passer les flux RTP sur
tous les opérateurs sur site . Idem en 4G avec un débit formidable entre 10
et 70ko/s

Pour la petite histoire il y a 10 ans je commençais à faire de la voip sur
des réseaux mobiles et en 2G il y avait un décalage de deux secondes et
orange était le meilleurs sur la bande passante ( no comment sur le reste)
Aujourd hui vous arrivez à faire passer de la data sur la 2G? Moi très
difficilement.
Si l arcep pouvait faire des mesures de qualités de service cela ferait
tomber le scoring de tous nos opérateurs classés numéro 1 par l ARCEP :-)

Richard



Le 25 août 2017 14:00, "Maxime Renusson"  a écrit :

> Hello,
>
> En toute honnêteté, je ne prendrais pas le risque en mobilité 3G (non
> HSPA), sachant qu'on a déjà du mal avec des canaux dédiés pour la voix (et
> des protocoles prévus spécialement pour le handover voix)...
> Les handovers data 3G qui mettent plus d'une seconde sont assez communs
> (je parle même pas du Multi-RAB où là c'est la voix qui prime, le HO data
> se fait en best effort), sans compter que la jigue et la latence sont
> relativement aléatoires et sont critiques pour la VoIP.
> Par contre, en LTE et HSxPA, normalement pas de soucis (sous réserve que
> la.es cellule.s HSPA soient pas super chargées), même en mobilité.
>
> Max Renusson
>
>  On Fri, 25 Aug 2017 13:30:59 +0200 Olivier Lange 
> wrote 
>
>  > Le 25 août 2017 à 13:21, Toussaint OTTAVI  a
> écrit :
>  > > Bonjour la liste,
>  > >
>  > > J'ai besoin de faire passer de la VoIP en IAX2 à travers des
> connexions
>  > > mobiles 4G/3G/2G. Mes premiers essais ne sont pas très concluants,
> surtout
>  > > lorsque la qualité du réseau est mauvaise.
>  > >
>  > > J'ai deux options :
>  > > - Passer mes flux IAX2 en direct sur le réseau 3G (avec le risque que
>  > > l'opérateur mobile n'apprécie que modérément la chose, et restreigne
> les
>  > > flux)
>  > > - Passer les flux IAX2 dans un VPN existant (OpenVPN sur UDP) (ce qui
> va
>  > > rajouter une sur-couche logicielle qui risque de dégrader le flux
> voix)
>  > >
>  > > L'objectif n'est pas d'obtenir des communications voix FULL-HD, mais
> de
>  > > privilégier la continuité et l'intelligibilité des communications en
>  > > situations où la qualité du réseau mobile est variable (véhicule en
>  > > déplacement, zones de montagne, handovers).
>  > >
>  > > Quelle serait l'architecture à privilégier dans cette situation ? Flux
>  > > directs ou VPN ?
>  >
>  > Pas testé en IAX2, mais nous on fait passer en SIP au travers d'un VPN
>  > l2tp sans problèmes. Après, il faut que le signal 3/4G soit
>  > disponible.
>  >
>  > Je préfère passer par un tunnel, pour éviter les changement d'ip de la
>  > 4G (et donc ca me permets d'avoir une authentification par IP en plus
>  > du login/pass). Mais j'ai un client qui a une config temporaire a
>  > cause d'un retard de livraison de son EFM, avec une 4G qui est
>  > mutualisé avec QOS entre data et voix, en directe, et il ne se plaint
>  > pas, pas de souci. Donc au final, tout dépends de ton infra
>  > disponible. L'incidence sur la voix n'est pas énorme.
>  >
>  > Par contre, en 2G, ca passe pas. 3G/4G, pas de souci, mais 2G, pas eu
>  > de résultat probant non plus
>  > Olivier
>  >
>  >
>  > ---
>  > Liste de diffusion du FRnOG
>  > http://www.frnog.org/
>  >
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

[Philippe Bourcier]

Re,

Celui qui me sort un switch macsec 10G 8 ports avec un form factor 
de

TAP, je suis preneur ;)


Chez cisco, ce petit switch semble supporter 2 x 10G et MACSec : 
C3560CX-8XPD


C'est le genre de switchs que j'utilisais en FTTD... fanless et fiable.
Aucune idée de si ça supporte 20Gb/s d'AES... et en même temps c'est 
pratiquement rien de nos jours, même sur un petit ARM.



Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VoIP / IAX2 sur réseaux mobiles ?

[Maxime Renusson]

Hello,

En toute honnêteté, je ne prendrais pas le risque en mobilité 3G (non HSPA), 
sachant qu'on a déjà du mal avec des canaux dédiés pour la voix (et des 
protocoles prévus spécialement pour le handover voix)...
Les handovers data 3G qui mettent plus d'une seconde sont assez communs (je 
parle même pas du Multi-RAB où là c'est la voix qui prime, le HO data se fait 
en best effort), sans compter que la jigue et la latence sont relativement 
aléatoires et sont critiques pour la VoIP.
Par contre, en LTE et HSxPA, normalement pas de soucis (sous réserve que la.es 
cellule.s HSPA soient pas super chargées), même en mobilité.

Max Renusson

 On Fri, 25 Aug 2017 13:30:59 +0200 Olivier Lange  
wrote 

 > Le 25 août 2017 à 13:21, Toussaint OTTAVI  a écrit : 
 > > Bonjour la liste, 
 > > 
 > > J'ai besoin de faire passer de la VoIP en IAX2 à travers des connexions 
 > > mobiles 4G/3G/2G. Mes premiers essais ne sont pas très concluants, surtout 
 > > lorsque la qualité du réseau est mauvaise. 
 > > 
 > > J'ai deux options : 
 > > - Passer mes flux IAX2 en direct sur le réseau 3G (avec le risque que 
 > > l'opérateur mobile n'apprécie que modérément la chose, et restreigne les 
 > > flux) 
 > > - Passer les flux IAX2 dans un VPN existant (OpenVPN sur UDP) (ce qui va 
 > > rajouter une sur-couche logicielle qui risque de dégrader le flux voix) 
 > > 
 > > L'objectif n'est pas d'obtenir des communications voix FULL-HD, mais de 
 > > privilégier la continuité et l'intelligibilité des communications en 
 > > situations où la qualité du réseau mobile est variable (véhicule en 
 > > déplacement, zones de montagne, handovers). 
 > > 
 > > Quelle serait l'architecture à privilégier dans cette situation ? Flux 
 > > directs ou VPN ? 
 >  
 > Pas testé en IAX2, mais nous on fait passer en SIP au travers d'un VPN 
 > l2tp sans problèmes. Après, il faut que le signal 3/4G soit 
 > disponible. 
 >  
 > Je préfère passer par un tunnel, pour éviter les changement d'ip de la 
 > 4G (et donc ca me permets d'avoir une authentification par IP en plus 
 > du login/pass). Mais j'ai un client qui a une config temporaire a 
 > cause d'un retard de livraison de son EFM, avec une 4G qui est 
 > mutualisé avec QOS entre data et voix, en directe, et il ne se plaint 
 > pas, pas de souci. Donc au final, tout dépends de ton infra 
 > disponible. L'incidence sur la voix n'est pas énorme. 
 >  
 > Par contre, en 2G, ca passe pas. 3G/4G, pas de souci, mais 2G, pas eu 
 > de résultat probant non plus 
 > Olivier 
 >  
 >  
 > --- 
 > Liste de diffusion du FRnOG 
 > http://www.frnog.org/ 
 > 



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

[Olivier Benghozi]

Le macsec semble supporté sur EX3400.

> Le 25 août 2017 à 13:17, Raphael Maunier  a écrit :
> 
> Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :)
> 
> J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur BGP 
> avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100.
> 
> On verra bien ce que ça donne avec plusieurs scénarios de tests
> 
> 
>> On 25 Aug 2017, at 13:09, Nicolas Herreyre  
>> wrote:
>> 
>> Effectivement, la solution de mettre un EX4600 par extrémité (et de ne
>> pas les mutualiser) semble techniquement faisable, même si 2 ports
>> consommés sur 24 c'est un peu du gaspillage.
>> 
>> Line rate 10G pas trop complexe et pas cher.
>> 
>> Celui qui me sort un switch macsec 10G 8 ports avec un form factor de
>> TAP, je suis preneur ;)
>> 
>> 
>> 
>> Le 24 août 2017 à 21:59, Raphael Maunier  a écrit :
>>> Heu ...
>>> 
>>> Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
>>> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
>>> d'encryption.
>>> J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes
>>> de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au
>>> point de dégrader les performances drastiquement
>>> 
>>> Par curiosite je vais tester Avec un injecteur de traffic afin de voir la
>>> perte en latence et en debit sur des ports 10G
>>> 
>>> https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html
>>> 
>>> Envoyé de mon iPhone
>>> 
>>> Le 24 août 2017 à 18:11, Erik LE VACON  a écrit :
>>> 
>>> Bonjour,
>>> Je crains qu'à de tels débits, les problèmes émergent de par le budget
>>> semble t-il contraint.
>>> La latence de traitement CPU-only via un boitier comme indiqué, mais à cout
>>> modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser,
>>> donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et
>>> de comportements équivalents à ceux rencontrés couramment sur les "bigfat
>>> WANs" en intercontinental et difficultés à "remplir le pipe").
>>> 
>>> Plus précisément, et à titre d'exemple, les Thales Mistral couramment
>>> rencontrés, se limitent à 100mbps dans bcp de cas.
>>> En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il
>>> faudrait tester et vérifier si les specs d'interop sont compatibles avec le
>>> besoin précis
>>> Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais
>>> peut-être possible de négo vu le besoin et le volume).
>>> 
>>> My two.
>>> 
>>> 
>>> 
>>> On Thu, 24 Aug 2017 17:08:40 +0200
>>> Nicolas Herreyre  wrote:
>>> 
>>> Hello la liste,
>>> 
>>> 
>>> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je
>>> 
>>> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés
>>> 
>>> sur une infra backbone de liens point à point à securiser.
>>> 
>>> 
>>> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux,
>>> 
>>> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait
>>> 
>>> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca
>>> 
>>> coûte 2 bras).
>>> 
>>> 
>>> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2
>>> 
>>> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop
>>> 
>>> cher, sur la 20aine d'extrémités, un truc fiable ;)
>>> 
>>> 
>>> Avez vous des références pile-poil designer pour faire cela ?
>>> 
>>> 
>>> Merci bien!
>>> 
>>> 
>>> --
>>> 
>>> Nicolas.
>>> 
>>> 
>>> 
>>> ---
>>> 
>>> Liste de diffusion du FRnOG
>>> 
>>> http://www.frnog.org/
>>> 
>>> 
>>> 
>>> --
>>> Erik LE VACON 
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] VoIP / IAX2 sur réseaux mobiles ?

[Olivier Lange]

Le 25 août 2017 à 13:21, Toussaint OTTAVI  a écrit :
> Bonjour la liste,
>
> J'ai besoin de faire passer de la VoIP en IAX2 à travers des connexions
> mobiles 4G/3G/2G. Mes premiers essais ne sont pas très concluants, surtout
> lorsque la qualité du réseau est mauvaise.
>
> J'ai deux options :
> - Passer mes flux IAX2 en direct sur le réseau 3G (avec le risque que
> l'opérateur mobile n'apprécie que modérément la chose, et restreigne les
> flux)
> - Passer les flux IAX2 dans un VPN existant (OpenVPN sur UDP) (ce qui va
> rajouter une sur-couche logicielle qui risque de dégrader le flux voix)
>
> L'objectif n'est pas d'obtenir des communications voix FULL-HD, mais de
> privilégier la continuité et l'intelligibilité des communications en
> situations où la qualité du réseau mobile est variable (véhicule en
> déplacement, zones de montagne, handovers).
>
> Quelle serait l'architecture à privilégier dans cette situation ? Flux
> directs ou VPN ?

Pas testé en IAX2, mais nous on fait passer en SIP au travers d'un VPN
l2tp sans problèmes. Après, il faut que le signal 3/4G soit
disponible.

Je préfère passer par un tunnel, pour éviter les changement d'ip de la
4G (et donc ca me permets d'avoir une authentification par IP en plus
du login/pass). Mais j'ai un client qui a une config temporaire a
cause d'un retard de livraison de son EFM, avec une 4G qui est
mutualisé avec QOS entre data et voix, en directe, et il ne se plaint
pas, pas de souci. Donc au final, tout dépends de ton infra
disponible. L'incidence sur la voix n'est pas énorme.

Par contre, en 2G, ca passe pas. 3G/4G, pas de souci, mais 2G, pas eu
de résultat probant non plus
Olivier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] VoIP / IAX2 sur réseaux mobiles ?

[Toussaint OTTAVI]

Bonjour la liste,

J'ai besoin de faire passer de la VoIP en IAX2 à travers des connexions 
mobiles 4G/3G/2G. Mes premiers essais ne sont pas très concluants, 
surtout lorsque la qualité du réseau est mauvaise.


J'ai deux options :
- Passer mes flux IAX2 en direct sur le réseau 3G (avec le risque que 
l'opérateur mobile n'apprécie que modérément la chose, et restreigne les 
flux)
- Passer les flux IAX2 dans un VPN existant (OpenVPN sur UDP) (ce qui va 
rajouter une sur-couche logicielle qui risque de dégrader le flux voix)


L'objectif n'est pas d'obtenir des communications voix FULL-HD, mais de 
privilégier la continuité et l'intelligibilité des communications en 
situations où la qualité du réseau mobile est variable (véhicule en 
déplacement, zones de montagne, handovers).


Quelle serait l'architecture à privilégier dans cette situation ? Flux 
directs ou VPN ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

[Raphael Maunier]

Bah tu peux faire un port destination TAP sur un QFX5100 et un EX4600 :)

J’ai des 5100 dans mon lab, je vais tester en mettant 2*QFX10K en routeur BGP 
avec un lien 10G ( voir meme 40 ) en transport sur les 2*5100.

On verra bien ce que ça donne avec plusieurs scénarios de tests


> On 25 Aug 2017, at 13:09, Nicolas Herreyre  wrote:
> 
> Effectivement, la solution de mettre un EX4600 par extrémité (et de ne
> pas les mutualiser) semble techniquement faisable, même si 2 ports
> consommés sur 24 c'est un peu du gaspillage.
> 
> Line rate 10G pas trop complexe et pas cher.
> 
> Celui qui me sort un switch macsec 10G 8 ports avec un form factor de
> TAP, je suis preneur ;)
> 
> 
> 
> Le 24 août 2017 à 21:59, Raphael Maunier  a écrit :
>> Heu ...
>> 
>> Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
>> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
>> d'encryption.
>> J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes
>> de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au
>> point de dégrader les performances drastiquement
>> 
>> Par curiosite je vais tester Avec un injecteur de traffic afin de voir la
>> perte en latence et en debit sur des ports 10G
>> 
>> https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html
>> 
>> Envoyé de mon iPhone
>> 
>> Le 24 août 2017 à 18:11, Erik LE VACON  a écrit :
>> 
>> Bonjour,
>> Je crains qu'à de tels débits, les problèmes émergent de par le budget
>> semble t-il contraint.
>> La latence de traitement CPU-only via un boitier comme indiqué, mais à cout
>> modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser,
>> donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et
>> de comportements équivalents à ceux rencontrés couramment sur les "bigfat
>> WANs" en intercontinental et difficultés à "remplir le pipe").
>> 
>> Plus précisément, et à titre d'exemple, les Thales Mistral couramment
>> rencontrés, se limitent à 100mbps dans bcp de cas.
>> En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il
>> faudrait tester et vérifier si les specs d'interop sont compatibles avec le
>> besoin précis
>> Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais
>> peut-être possible de négo vu le besoin et le volume).
>> 
>> My two.
>> 
>> 
>> 
>> On Thu, 24 Aug 2017 17:08:40 +0200
>> Nicolas Herreyre  wrote:
>> 
>> Hello la liste,
>> 
>> 
>> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je
>> 
>> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés
>> 
>> sur une infra backbone de liens point à point à securiser.
>> 
>> 
>> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux,
>> 
>> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait
>> 
>> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca
>> 
>> coûte 2 bras).
>> 
>> 
>> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2
>> 
>> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop
>> 
>> cher, sur la 20aine d'extrémités, un truc fiable ;)
>> 
>> 
>> Avez vous des références pile-poil designer pour faire cela ?
>> 
>> 
>> Merci bien!
>> 
>> 
>> --
>> 
>> Nicolas.
>> 
>> 
>> 
>> ---
>> 
>> Liste de diffusion du FRnOG
>> 
>> http://www.frnog.org/
>> 
>> 
>> 
>> --
>> Erik LE VACON 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

[Nicolas Herreyre]

Effectivement, la solution de mettre un EX4600 par extrémité (et de ne
pas les mutualiser) semble techniquement faisable, même si 2 ports
consommés sur 24 c'est un peu du gaspillage.

Line rate 10G pas trop complexe et pas cher.

Celui qui me sort un switch macsec 10G 8 ports avec un form factor de
TAP, je suis preneur ;)



Le 24 août 2017 à 21:59, Raphael Maunier  a écrit :
> Heu ...
>
> Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
> d'encryption.
> J'avais teste mac-sec sur des liens 1g , je n'avais pas vraiment de pertes
> de performance. Tu risques de perdre en Débit Avec l'overhead mais pas au
> point de dégrader les performances drastiquement
>
> Par curiosite je vais tester Avec un injecteur de traffic afin de voir la
> perte en latence et en debit sur des ports 10G
>
> https://www.juniper.net/documentation/en_US/junos/topics/concept/macsec.html
>
> Envoyé de mon iPhone
>
> Le 24 août 2017 à 18:11, Erik LE VACON  a écrit :
>
> Bonjour,
> Je crains qu'à de tels débits, les problèmes émergent de par le budget
> semble t-il contraint.
> La latence de traitement CPU-only via un boitier comme indiqué, mais à cout
> modique donc potentiellement non équipé de FPGAs/ASICs dédiés, va exploser,
> donc les 10gbps utiles ne seront jamais atteints (génération de problèmes et
> de comportements équivalents à ceux rencontrés couramment sur les "bigfat
> WANs" en intercontinental et difficultés à "remplir le pipe").
>
> Plus précisément, et à titre d'exemple, les Thales Mistral couramment
> rencontrés, se limitent à 100mbps dans bcp de cas.
> En revanche, leur gamme Thales Datacryptor semble monter à 10gbps, mais il
> faudrait tester et vérifier si les specs d'interop sont compatibles avec le
> besoin précis
> Quant au prix, je crains qu'il faille sacrifier au moins 1 bras (mais
> peut-être possible de négo vu le besoin et le volume).
>
> My two.
>
>
>
> On Thu, 24 Aug 2017 17:08:40 +0200
> Nicolas Herreyre  wrote:
>
> Hello la liste,
>
>
> Je vous lis souvent et apprends beaucoup de vos échanges, mais là, je
>
> me lance! : j'aurais aimé vos retours d'expériences et conseils avisés
>
> sur une infra backbone de liens point à point à securiser.
>
>
> En gros, on dispose d'une dizaine de liens 10G ethernet nationaux,
>
> type BusinessEthernet ou LAN2LAN entre nos routeurs PE, et on aimerait
>
> chiffrer le tout avec MACSEC sans changer nos carte de PE (car ca
>
> coûte 2 bras).
>
>
> L'idée, c’était de pouvoir insérer un mini équipement/switch, avec 2
>
> ports MACSEC ready, entre nos PE et le switch opérateur, pour pas trop
>
> cher, sur la 20aine d'extrémités, un truc fiable ;)
>
>
> Avez vous des références pile-poil designer pour faire cela ?
>
>
> Merci bien!
>
>
> --
>
> Nicolas.
>
>
>
> ---
>
> Liste de diffusion du FRnOG
>
> http://www.frnog.org/
>
>
>
> --
> Erik LE VACON 
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

[Raphael Maunier]

"What if it's a G.729 voice packet (20B of voice data, 4B of cRTP) which gives 
a non-encrypted 37.5% efficiency (data vs total frame size) but with MACsec, 
the efficiency falls down to 23%. Which means that on a MACsec enabled 1Gbps 
link, you'd be sending 230Mbps of voice, 211Mbps of padding and 559Mbps of 
encapsulation. Wonderful!”

Ah ouais :) Ça a l’air super vu comme ça ^^

> On 25 Aug 2017, at 12:07, Erik LE VACON  wrote:
> 
> On Fri, 25 Aug 2017 11:51:33 +0200
> Youssef Bengelloun-Zahr  wrote:
> 
> Bonjour,
> 
>> 
>> Par curiosité, je serai intéressé de voir quel impact cela peut introduire,
>> en contexte SP notamment les intercos core backbone avec des débits
>> différents. Le retour de Raphaël pourrait être très intéressant.
>> 
>> Après tout, nos très chers revendeurs nous vendent cela pour un bras et
>> demi sans nous donner de retours sur les perfs. As usual.
> 
> Début de réponse ici: https://www.trueneutral.eu/2017/macsec-perf.html
> Et comme l'indiquait à juste titre Raphaël, l'impact semble d'avantage dû à 
> l'overhead qu'à la/aux latence/s de traitement (cumulées) de manière 
> générale. A confirmer/infirmer néanmoins par l'XP.
> 
> Merci à tous.
> 
>> 
>> My 2 cents.
>> 
>> @++
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

[Erik LE VACON]

On Fri, 25 Aug 2017 11:51:33 +0200
Youssef Bengelloun-Zahr  wrote:

Bonjour,

> 
> Par curiosité, je serai intéressé de voir quel impact cela peut introduire,
> en contexte SP notamment les intercos core backbone avec des débits
> différents. Le retour de Raphaël pourrait être très intéressant.
> 
> Après tout, nos très chers revendeurs nous vendent cela pour un bras et
> demi sans nous donner de retours sur les perfs. As usual.

Début de réponse ici: https://www.trueneutral.eu/2017/macsec-perf.html
Et comme l'indiquait à juste titre Raphaël, l'impact semble d'avantage dû à 
l'overhead qu'à la/aux latence/s de traitement (cumulées) de manière générale. 
A confirmer/infirmer néanmoins par l'XP.

Merci à tous.

> 
> My 2 cents.
> 
> @++


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

[Youssef Bengelloun-Zahr]

Bonjour Philippe,

Je plussoie pour une prez au prochain FRnOG.

Par curiosité, je serai intéressé de voir quel impact cela peut introduire,
en contexte SP notamment les intercos core backbone avec des débits
différents. Le retour de Raphaël pourrait être très intéressant.

Après tout, nos très chers revendeurs nous vendent cela pour un bras et
demi sans nous donner de retours sur les perfs. As usual.

My 2 cents.

@++



Le 25 août 2017 à 11:46, Philippe Bourcier  a écrit :

>
> Bonjour,
>
> Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
>> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
>> d'encryption.
>>
>
> Et toutes les NIC Intel récentes aussi...
>
> Tiens justement tant qu'on parle MACSec, je cherche quelqu'un qui aurait
> déployé 802.1x avec MACSec en prod à large échelle sur tout un réseau de
> PCs en dynamic avec du Radius et sans client lourd (ou moins fun, en P2P
> sur des liens multi-sites L2... avec du LACP éventuellement, pour pimenter
> le truc).
>
> Ca ferait un bon retour d'expérience de 10-15 minutes lors de la prochaine
> réunion FRnOG... non ?
>
>
> Cordialement,
> --
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

[Philippe Bourcier]

Bonjour,


Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau
d'encryption.


Et toutes les NIC Intel récentes aussi...

Tiens justement tant qu'on parle MACSec, je cherche quelqu'un qui 
aurait déployé 802.1x avec MACSec en prod à large échelle sur tout un 
réseau de PCs en dynamic avec du Radius et sans client lourd (ou moins 
fun, en P2P sur des liens multi-sites L2... avec du LACP éventuellement, 
pour pimenter le truc).


Ca ferait un bon retour d'expérience de 10-15 minutes lors de la 
prochaine réunion FRnOG... non ?



Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

[Raphael Maunier]

Je vais faire le test dans le courant de la semaine prochaine.
C’etait dans la todo pour plus tard, c’est l’occasion de changer la priorité et 
valider :)

> On 25 Aug 2017, at 10:51, Erik LE VACON  wrote:
> 
> On Thu, 24 Aug 2017 21:59:41 +0200
> Raphael Maunier  wrote:
> 
>> Heu ...
>> 
>> Pas vraiment, la plupart des sw récent supportent mac-sec en HW.
> 
> Tout à fait.
> 
>> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau 
>> d'encryption.
> 
> Et c'est bien là que le pb peut se poser. 
> Le niveau de sécurité requis pour ce qui doit traverser le pipe se suffira 
> t-il des suites offertes par les switches ? 
> Côté perfs, et sauf erreur/incompréhension de ma part, le 
> chiffrement/déchiffrement se fait en bout de chaque segment L2 au passage de 
> chaque switch. Sur un path complexe de plusieurs hops, ca peut vite monter et 
> le trafic va passer en clair au niveau de chaque carte/chassis de 
> commutation. Est ce une spec forte que d'avoir du bout en bout, sur deux 
> sites transitant par un noeud central par ex ?
> 
> Enfin, le papier suivant traitait pour partie de ces aspects perfs et 
> sécurité via MACSEC.
> Je l'avais trouvé intéressant, sans réellement creuser plus avant, et il 
> semble bien que MACSEC induise tout de même une méchante latence (encore une 
> fois, à vérifier par l'expérience avec plusieurs suites différentes, de 
> préférence fortes.
> Je ne l'ai pas implémenté pour confirmer/infirmer, donc ton retour d'XP est 
> bienvenu, Raphaël.
> 
> http://www.dtic.upf.edu/~kferdous/wahid-rethinking.pdf
> 
> My two ...
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Equipements pour liens MACSEC P2P

[Erik LE VACON]

On Thu, 24 Aug 2017 21:59:41 +0200
Raphael Maunier  wrote:

> Heu ...
> 
> Pas vraiment, la plupart des sw récent supportent mac-sec en HW.

Tout à fait.

> Tu as plusieurs méthodes pour le configurer avec plus ou moins niveau 
> d'encryption.

Et c'est bien là que le pb peut se poser. 
Le niveau de sécurité requis pour ce qui doit traverser le pipe se suffira t-il 
des suites offertes par les switches ? 
Côté perfs, et sauf erreur/incompréhension de ma part, le 
chiffrement/déchiffrement se fait en bout de chaque segment L2 au passage de 
chaque switch. Sur un path complexe de plusieurs hops, ca peut vite monter et 
le trafic va passer en clair au niveau de chaque carte/chassis de commutation. 
Est ce une spec forte que d'avoir du bout en bout, sur deux sites transitant 
par un noeud central par ex ?

Enfin, le papier suivant traitait pour partie de ces aspects perfs et sécurité 
via MACSEC.
Je l'avais trouvé intéressant, sans réellement creuser plus avant, et il semble 
bien que MACSEC induise tout de même une méchante latence (encore une fois, à 
vérifier par l'expérience avec plusieurs suites différentes, de préférence 
fortes.
Je ne l'ai pas implémenté pour confirmer/infirmer, donc ton retour d'XP est 
bienvenu, Raphaël.

http://www.dtic.upf.edu/~kferdous/wahid-rethinking.pdf

My two ...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Cable série pour APC Smart-UPS X 750

[Joël DEREFINKO]

Hello,

Au cas où tu ne sois pas déjà tombé dessus :
https://hazenet.dk/2017/02/07/the-troubles-of-resetting-ip-on-apc-network-management-card/

Joël 
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Michel Py
Envoyé : vendredi 25 août 2017 05:55
À : frnog@frnog.org
Objet : [FRnOG] [MISC] Cable série pour APC Smart-UPS X 750

Salut à tous,

J'ai récemment récupéré un onduleur APC Smart-UPS X 750 (2U) SMX750 avec une 
carte AP9619, et je voudrais mettre le firmware à jour et parler à l'animal.
C'est quoi le cable série qu'il faut ? C'est un connecteur à la con, RJ50 
(juste comme un RJ45 mais avec 10 pattes au lieu de 8).
J'en ai acheté un sur eBay, pas glop.
La carte AP9619 j'ai un link sur le switch, mais tout essayé avec les ruses ARP 
documentées et reset et toussa.
Quand je branche le cable USB il reconnait l'animal, mais le firmware upgrade 
tool dit qu'il faut passer par le port série.
Pas moyen de configurer TCP/IP sur le panneau avant, bien sur que non, même 
avec advanced menu.

J'ai lu la doc, j'ai googlé, c'est quoi qui m'a échappé ?

Merci,
Michel.





---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Vieux matos pour pas cher

[Jérôme Marteaux]

Bonjour,

Ces équipements ne sont pas cédé/vendu au contractant mais reste la
propriété insaisissable & inaliénable de l'opérateur, comme les box des
FAI grands publics.

A la fin du contrat, généralement ces équipements sont amortis et donc
hors-bilan, finalement les opérateurs les "oublient".
La loi a changé et les objectifs imposés obligent maintenant les
opérateurs à s'occuper de ces équipements: http://bit.ly/2ivPvXF

Tu pourras tenter de demander une prise en charge de l'espace utilisé et
de l'élec consommée (surtout en DC) à tes fournisseurs. N'oublie pas
une clause de réajustement tarifaire chaque année que les DC n'oublient
jamais d'appliquer !


Le 24/08/2017 à 16:05, Romain GUESDON a écrit :
>
> OK donc on peux leur facturer les frais de garde, d'electricité (si
> pas eteind) non ?
>
> Non, c'est pas prévu au contrat ?
>
> Je suis pas persuadé qu'a expiration du contrat, le client ai une
> obligation de conserver à ses frais quoique ce soit.
>
> Romain
>
>
> Le 24/08/2017 à 15:57, Little Snooze a écrit :
>> Oui je confirme.
>>
>> Après résiliation de certaines liaisons, j'ai déjà été contacté par
>> une société de recyclage mandatée par Orange pour leur retourner les
>> boitiers MRV d'extrémités. Et ceux, plusieurs mois (voir années)
>> après la résiliation.
>>
>> Johan
>>
>> On 24/08/2017 12:32, Maxime Renusson wrote:
>>> Hello,
>>>
>>> Attention avec l'agrume à quand même bien conserver le matériel.
>>> J'ai souvenir de campagnes de démontage et de retour de matos.
>>> C'était principalement sur des TNL RNIS mais je crois me souvenir
>>> que les RAD faisaient aussi parti du lot.
>>>
>>> Max
>>>
>>>  On Thu, 24 Aug 2017 12:24:59 +0200 k...@oav.net wrote 
>>>
>>> Hello,
>>>
 On a connu la même situation avec le même opérateur pour le même type
 d'équipement. On a fini par se faire dire que ça leur coûterait
 trop cher de
 récupérer du matériel dont le coût à déjà été largement amorti dans
 le tarif
 qu'ils nous ont appliqué.
>>> Ca me rappelle aussi les RAD de l'agrume distribue sur leur SDSL qui
>>> ne sont jamais réclamés après que la SDSL soit résiliée (même au
>>> bout d'un an) qui encombrent un bon nombre de caves / placards de
>>> boites
>>>
>>> Donc SFR n'est pas le seul a oublier le matos "loué".
>>>
>>> Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Re: Recherche refisb X2-10GB-T

[Christophe Pujol]

Bonjour la liste,

J'ai trouvé une alternative.
Je passe par un adaptateur X2 <—> SFP+


Merci de vos retour Hors liste.

Bon dredi ;-)

Le 18 août 2017 à 16:05, Christophe Pujol  a écrit :

> Bonjour la liste,
>
> Je suis à la recherche du matériel refisb ci-dessous.
>
> 5 x X2-10GB-T pour une carte 10GB du 6509
>
> Merci de votre attention.
>
> Salutation.
>
> Christophe PUJOL
>



-- 
Christophe PUJOL



---
Liste de diffusion du FRnOG
http://www.frnog.org/