RE: [FRnOG] [TECH] Pertes et latence importantes
Surtout qu'en relisant le mail d'origine, depuis Lille, trouver une Sdsl et plusieurs Adsl pas cheres devrait pas etre trop dur. Mon petit doigt me dit qu'a Roubais se trouve une solution qui pourrait en plus fournir la passerelle ToIP pour le Sip trunking ... Le 3 janv. 2012 08:22, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Finallement, tout ca pour dire : utiliser une ligne pour la VOIP/autres services temps reels et une autre pour les données ca simplifie la vie :p Aucun doute, mais ça coûte plus cher :P Michel. Pas fondamentalement. Une Sdsl a 2mb, je laisse les specialistes de l'Erlang nous refaire le calcul, mais en G711 ca fait deja un paquet de com... Un NodeB mobile commence avec un E1 a 2Mb en backhaul et ca fonctionne. Et dans notre cas il y a deja une Sdsl donc ca coute pas plus cher de l'utiliser pour ca ! Dans le contexte, tu montes un asteriks local avec la Sdsl au cul pour y placer le trunk sip + rtp a destination de ton fournisseur de ToIP prefere, et tu stackes les ADSL pour la data. On est pas dans un contexte hebergeur donc on peut parier que la Data sera asymetrique. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
Question con mais qui maintient la liste des bogons chez Cymru ? Pour ce qui est du je préfère gérer ma liste moi meme, c'est a la fois légitime et pas incompatible. On peut tout a fait imaginer un système d'alertes / sentinelle maintenu par la communaute, voire sponsorise par un gros (Google, Facebook, what else), que l'on peut contredire ou compléter par ses propres liste internes. En fait c'est ce qu'on fait deja sur d'autres sujet ... comme les annonces bgp, si on est pas manchot. D'ailleurs le fait meme qu'on en discute ici montre que le sujet est communautaire. Ceci etant dit, j'observe qu'il y a quelques années un honeypot / honeynet maintenu par la communauté tournait, et que ca n'a plus le clair d'etre le cas actuellement. Conclusion : 1) le sujet est persistant et est un sujet de fond 2) c'est pas évident a maintenir dans la durée (d'ou l'importance d'un sponsor, ca peut aider). A+ Le 27 déc. 2011 12:06, Damien Fleuriot m...@my.gd a écrit : On 12/27/11 12:10 AM, Guillaume Barrot wrote: - la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos amis de la lutte contre la cybercriminalite de maintenir ce genre de listes d'attaques en cours, et de synchroniser les actions de contre mesures via un système type flowspec (qui nous a gentillement été présente au dernier Frnog justement dans un use case équivalent) ? Et cette liste serait maintenue par qui ? On va se retrouver avec une instance politique chargée de maintenir cette liste, ce qui amènera forcément à un système de censure arbitraire et des abus :/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Spoof UDP
Imagine 1 million de drones (chaque sur un IP different) qui crache chacune 10 Kbps (= rien) 1 million de postes hautement previsibles, qui en meme temps vont sur la meme destination avec le meme protocole ? Le marketing a un nom pour ca : des clients (et des bons mêmes, qui obéissent aux sacro saintes lois du marketing : dans une case tu rentreras) Pour revenir au coeur du sujet, il fut un temps ou les bons sys res montaient un peer bgp avec un Cymru like pour récupérer une liste de bogons et filtrer les annonces BGP et ou filtrer les paquets entrant sur le backbone qui en source matchent cette liste. Pour ce genre d'attaque, deux cas possibles : - la source fait partie des bogons -- poubelle - la source est légitime : ne serait ce pas le rôle d'un ANSI ou de nos amis de la lutte contre la cybercriminalite de maintenir ce genre de listes d'attaques en cours, et de synchroniser les actions de contre mesures via un système type flowspec (qui nous a gentillement été présente au dernier Frnog justement dans un use case équivalent) ? Sinon, aux xxNog de prendre le lead sur ce sujet, comme c'est le cas maintenant, mais peut etre via un système plus rapide que le mail sur la mailing list. A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le troll du vendredi par Michel
Peu crédible, le mec qui arrive a prendre le volant en ayant bu du Stroh, il merite qu'on l'aide a arriver a bon port ! Et vu la tronche de certaines RFC, je propose d'y rajouter en mention en bas si vous avez compris cette RFC, ne prenez pas le volant Le 25 décembre 2011 22:03, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Fri, 23 Dec 2011 20:39:40 -0800, Michel Py mic...@arneill-py.sacramento.ca.us said: Moi j'aimerais bien savoir quelle est la position officielle de la Gendarmerie Nationale au sujet d'IPv6. Normalement, dans ce periode de l'annee ils preparent les jumelles pour combat, pour trouver ceux qui ont un peux trop abuse le Stroh :) --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le troll du vendredi par Michel
Pour Noel Michel sort le troll de compet ! Le 24 déc. 2011 05:40, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Moi j'aimerais bien savoir quelle est la position officielle de la Gendarmerie Nationale au sujet d'IPv6. Lieutenant-colonel Freyssinet, vous avez la parole. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] La récession aura-t-elle la peau d'IPv6 ?
Si on avait attendu : - de gérer en mode projet, avec chef, Gantt, papiers et réunions, - d'avoir un ROI prévisible, - d'avoir résolu l'essentiel des problèmes de sécurité, - d'avoir un « business case » raisonnable, aurait-on déployé IPv4 ? Chez vous je sais pas mais chez nous non, parce qu'y aurait pas eu le code pour imputer dans l'outil, et puis acheter un truc gratuit, on se serait pris le service des achats sur le rable. C'est d'ailleurs pour ca que chez tous les telcos on a déployé du x25, du clns/clnp et enfin, apres tout le monde de l'ip sur ethernet. Redondance de protocoles d'adressage : on sait jamais... En plus le temps de déployer Ipv6 a tous les coups ca va etre obsolete, autant partir direct a la cible en Ipv10. Lancons donc une analyse de risque tiens ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] La récession aura-t-elle la peau d'IPv6 ?
Coût du passage a Ipv6 Versus coût de l'upgrade des routeurs pour tenir une dfz explosive ... bien malin celui qui pourra predire ce que chaque entreprise va choisir ! Le 23 déc. 2011 17:44, Jérôme Nicolle jer...@ceriz.fr a écrit : Plop, Comme Soraya viens de le rappeler sur le thread d'à coté, nos grandes entreprises entrant en récession vont couper leurs investissements informatique d'ici peu. Du coup, pour moderniser leurs réseaux et y déployer IPv6, on peut attendre le prochain boom économique, s'il a lieu. Qu'en pensez vous ? Question ouverte, avec tout plein de croquettes dedans, bon trolldi de nowel ! @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Ouais la mienne deja. Deuxio je suis bien content de pouvoir faire un ssh direct d'une machine de n'importe ou sans avoir a monter une saloperie de vpn parce que la sécurité par l'obscurantisme tout ca. Et ca en v4 prive + nat, c'est juste drôle... Le 23 déc. 2011 17:07, Surya ARBY arbysu...@yahoo.fr a écrit : Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] Vente d'un /16
Esperons en tous cas que la lecon a ete apprise pour Ipv6 et qu'on ne reproduira pas les memes erreurs sous pretexte qu'avec 128b on a de la marge ... Le 8 déc. 2011 20:14, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net a écrit : On Wed, 07 Dec 2011 14:03:52 +0100, Damien Fleuriot m...@my.gd said: L'ARIN met à disposition des adresses dans un cadre règlementé par un EULA, que je n'ai pas lu, mais qui en toute logique devrait contenir des provisions interdisant ce genre de pratique non ? Ensuite, la société vendant un bien qui ne lui *appartient pas* (les IPs assignées par l'ARIN), à mon sens la vente peut être considérée comme nulle. Quid des blocks legacy/pre-RIR ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] Re: [TECH] Vente d'un /16
In fine l'utilisateur final, qu'il soit client fai ou client hebergeur, les paye les @ips publiques non ? Dans mon forfait xdsl, il y a bien une cote part qui correspond au fait que je monopolise une @ip publique. Quand je demande des ips supplementaires sur mon serveur chez ovh/online/typhon etc, c'est pas gratuit et en quantite illimite ? Qu'est ce que ca va changer sur le terrain du coup ? Une monaitisation des ips publiques ? Mais c'est deja le cas individuellement, pourquoi ca ne serait pas le cas pour les fai ? Pour contrer tout probleme, les ips auraient du etre vendues a une somme forfaitaire (0,1$) des le depart, afin d'eviter les abus des debuts de l'ipv4 (le MIT et son /8 dedie par exemple), et pour eviter la surrenchere, ecrire noir sur blanc que la vente/l'achat d'ip ne peut se faire qu'entre le client et le RIR, et pas de client a client. En plus cet argent aurait pu financer les infras des RIR, en lieu et place du systeme actuel de financement. A partir du moment ou tu vends, il y a un contrat donc la possibilite de mettre des regles. La c'est juste la jungle... Le 7 déc. 2011 05:16, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Antoine Musso a écrit: Les adresses sont prêtées et n'appartiennent à personne non? Les adresses appartiennent à qui la justice du pays décide de les donner. Stephane Bortzmeyer a écrit: C'est un problème complexe. Les adresses allouées récemment ont un statut clair (ce qui ne veut pas dire que ça tiendra devant un tribunal), celles du marais, c'est autre chose http://www.bortzmeyer.org/nettoyage-marais.html. +1 Le RIR local ne pourrait il pas tout simplement les réclamer (ou les réallouer arbitrairement)? Ne pas oublier que ce genre de transaction est une décision de justice. ARIN n'est pas en position de réclamer quelque chose qui a été vendu devant un juge. En fait, ARIN n'a pas le choix; la seule solution légale serait de faire un procès au ministère de la justice :-( Note que je ne dis pas que le processus légal ou le juge aient raison, ni même qu'ils y connaissent quelque chose ou soient compétents en la matière (ça se saurait, non?). Réallouer de force est impossible (surtout tant que la RPKI n'est pas déployée) car, si l'ancien titulaire continue à les annoncer, que peut faire le RIR ? Si le RIR décidait de faire ça, ce que tu appelles l'ancien titulaire (l'acheteur d'un bien qui soi-disant n'est pas à vendre) est le propriétaire légal au regard de la justice. Techniquement, l'ennuyer sérieusement est possible à court-terme (en annonçant le ou les préfixes en question) mais pratiquement ce cas n'est pas envisageable. Imagines que tu soies le FAI qui décide d'annoncer le préfixe du nouveau locataire. En 1/2 journée tu as les flics devant ton datacenter. Les avocats de l'ancien titulaire ont une décision de justice noir sur blanc avec les tampons les cachets etc dans les mains, les avocats du nouveau locataire ont une copie du WHOIS du RIR. Ca tient pas la route, soit tu débranches le nouveau locataire soit c'est les keufs qui débranchent ton datacenter, dans les deux cas tu es dans la merde, le nouveau locataire aussi et le RIR pire, ce qui explique pourquoi, que ça leur plaisent ou pas, ils vont éventuellement bénir la vente. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [MISC] Re: [FRnOG] FRNOG 18.0
Toujours partant, on boiera a la sante de Michel :) Le 29 nov. 2011 13:41, Clement game cg...@xooloo.net a écrit : On 29/11/2011 13:30, Radu-Adrian Feurdean wrote: On Tue, 29 Nov 2011 02:23:40 +0100, Philippe Bourcier phili...@frnog.org said: Bonsoir, La prochaine réunion FRNOG se déroulera le Vendredi 2 Décembre 2011. Le programme final(*) pour la réunion de vendredi est en ligne à l'URL ci-dessus. Si une degustation de Stroh est acceptable, je peux amener la matiere :) tiré de http://fr.wikipedia.org/wiki/**Strohhttp://fr.wikipedia.org/wiki/Stroh: Dans de nombreux foyers, il est utilisé comme désinfectant ou encore pour allumer des feux (barbecue, etc.). Il est très utilisé par les cracheurs de feu car sa flamme est rouge et chaude, et permet de remplacer le pétrole désarômatisé. heu..ça sera sans moi, vieux :p C. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] DNS P2P
Aaaah trolldi ... Argument massue pour ne pas évoluer : mais ça marche déjà aujourd'hui ! Mais pourquoi tu veux du FTTH, ca te suffit pas 56k ? :D Le 25 novembre 2011 21:30, Marc BOZENKO m...@4com.org a écrit : Le 25/11/2011 20:19, Mathieu Goutfreind a écrit : Bonsoir, Est-ce que quelqu'un saurait si le projet DNS Pair à pair décrit par Peter Sunde a avancé ou s'il est tombé dans les oubliettes ? ( voir http://www.bortzmeyer.org/dns-**p2p.htmlhttp://www.bortzmeyer.org/dns-p2p.html ) Bonne soirée Hello, ok, c'est vendredi (cf la discussion d'il y a qq temps ;)) mais... pourquoi changer un systeme qui fonctionne correctement? ;) --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
Re: [FRnOG] Imprimantes et VLAN
Ben dans ce cas tu te crees un serveur d'impression dedie sous Windows si tu veux pas changer toutes tes imprimantes. Voire meme, tu achetes un NAS grand public, genre QNAP/Netgear/etc. et tu branches tes imprimantes en USB dessus, et zou. Le 16 novembre 2011 20:43, Thomas Barandon t.baran...@gmail.com a écrit : Le 15 novembre 2011 10:32, Stéphane Bunel steph...@bpf.st a écrit : Malheureusement, de mon expérience, ce n'est pas toujours possible d'isoler les imprimantes car certain constructeur fournissent des pilotes Windows qui *imposent* une communication directe en le PC et le (photo)copieur. C'est le cas des imprimantes de Mr et Mme Michu mais pas des cracheurs d'encre qu'on utilise en entreprise Ou alors mauvais constructeur, changer constructeur.
Re: [FRnOG] design ISIS....
Aaah ISIS ... En i-ISIS, L1 et L2 recouvrent deux notions : - le routeur - ses adjacences Un routeur L1 (configuration globale) conserve une table de topologie uniquement L1 Un routeur L2 (configuration globale) conserve une table de topologie uniquement L2 Un routeur L1-L2 (configuration globale par defaut) possède deux tables topologiques : une L1 et une L2. Il est du coup capable de faire la colle entre les deux topologies en injectant des infos de l'une vers l'autre. Un routeur L1 ne peut monter que des adjacences L1 Un routeur L2 ne peut monter que des adjacences L2 Un routeur L1-L2 peut monter des adjacences L1, des adjacences L2 ou des encore des adjacences L1 + L2 (comportement par défaut chez Cisco). Dans ce dernier cas, on transmet a son petit voisin les LSP type 1 et les LSP type 2, et le petit voisin est forcement un L1-L2 puisqu'il a les deux tables topologiques L1 et L2. Reprenons ta topologie avec les noms R1, R2 etc, pour éviter de confondre le routeur et son rôle. Je passe le cas trivial ou tous les routeurs sont en L1, faut pas déconner. *1er cas possible :* routeurs R1---R2-R2'-R1' role L1 L1-L2 L1-L2 L1 adjacence L1 L1+L2L1 La topologie L1 est continue entre R1 et R1' == pas de re-écriture de LSP, ils sont transmis tels quels. *2em cas possible :* routeurs R1---R2-R2'-R1' role L1 L1-L2 L1-L2 L1 adjacence L1 L2 L1 La topologie L1 est dis-continue entre R1 et R1' == R2 re-ecrie le LSP avant de l'envoyer a R2'. R2' ne le transmet pas a R1' puisque c'est un LSP type 2 ( == c'est la route / defaut generee par les L1+L2 aux L1 qui te permet d'avoir un reseau fonctionnel MAIS R1 prend la route locale, R1' prend sa route locale, et tu loadbalances sur les deux points de sortie en nominal. En cas de panne, ca marche pas, car meme avec la route / defaut, tu as un probleme de route retour (sauf si tu as configure ca en statique, bien sur) *3em cas possible :* routeurs R1---R2-R2'-R1' role L1-L2L2 L2 L1-L2 adjacence L1+L2 L2 L1+L2 La bien entendu, c'est la topologie L2 qui est continue, donc sous réserve que tu ne te trompes pas dans ta redistribution statique == ISIS, pas de raisons que ca marche pas. (c'est équivalent au cas 1, en inversant les deux topologies). Bien entendu c'est du cas d'ecole, pour un lab CCIE ou du style. Dans la vie reelle, ISIS, tu l'utiliseras plus comme Control Plane d'un BGP, ie tu monteras un topologie L2 sur des routeurs L1-L2 juste pour annoncer les loopbacks et les intercos (en IPv6, on peut meme annoncer QUE les loopbacks, et laisser les intercos en link-local, ca marche et ca evite d'adresser les intercos internes a son backbone = joie), et par dessus tu fais tourner un BGP, grace auquel tu montes tes peers directs en eBGP, ou a la limite, tu annonces les routes connues via une statique avec un petit network xxx, ce qui permet de gerer direct ton cas de panne. Je connais plus de routeurs actuels qui savent tourner ISIS et pas BGP (y compris au niveau licencing), donc pourquoi se priver ! A+ Guillaume Le 9 novembre 2011 10:29, Renaud ren...@rakotomalala.com a écrit : Bonjour tous ! Y a t il un guru de l'ISIS dans la salle ? J'ai un réseau ISIS composé de routeur L1 et L2 L1---L2---L2'L1' Sachant que L1, L1' sont des routeurs ISIS type 1 et L2, L2' des routeurs ISIS de type 2 Bon donc un truc ultra simple. Mon soucis: L1: annonce un préfixe X issu d'une route statique (locale) avec une métrique 100 et un next-hop Y nommé Xy L2: récupéré l'annonce de L1 et l'installe dans sa table de routage avec une metric 10 (car issu de L1) L1': annonce le même préfixe que L1 (X) issu d'une route statique (locale) avec une métrique 200 et un next-hop Z nommé Xz L2': récupère l'annonce L1' et l'installe dans sa table de routage avec une metric 10 (car issu de L1) L2 L2' n'échange pas le prefixe X (Xy Xz) car de leur point de vu Xz Xy sont équivalentes ... Alors qu'à l'origine le but était bien d'avoir un lien nominal et un lien de backup pour ce préfixe, je me retrouve dans mon réseau avec 2 routes strictement équivalentes et du coup j'ai du trafix sur les 2 liens ... normal quoi ... Bref quelqu'un à t il une manière un peu élégante pour manipuler les métriques ISIS lors de la redistribution static2ISIS ? Renaud --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
Re: [FRnOG] [MISC] Le troll (FR) multi-sujet du vendredi
Cher Michel, chere liste. Meme si j'accepte la paternite du Stroh et en tirerai toutes les conclusions funestes le 2 decembre (si des Frnogiens Suisse ou Luxembourgeois acceptent de nous en ramener une bouteille), j'avoue ne plus me retrouver dans les trolls du vendredi... Non pas que trop de trolls tuent les trolls, au contraire je pense que c'est l'ame d'une liste, car c'est de ces discussions que sortent les infos les plus interessantes et les plus importantes. Non pas non plus que le systeme de notation trollesque ne me convienne pas, mais qui doit tagguer une conversation troll ? En effet plein de sujets pseudo importants ont pour ma part ete vus comme des trolls (les vlan etendus typiquement, avouez que c'est clairement du troll). Les messages serieux des uns etant les trolls des autres et inversement qui peut arbitrer la qualification trollesque ? Non le fond du probleme est qu'on ne peut pas jouer au troll du vendredi avec des gens qui trichent en se placant volontairement dans un fuseau horaire leur permettant de troller les premiers, et ca c'est inadmetable ! Je propose donc que le Trolldi n'ouvre que le vendredi a minuit GMT heure locale de la ou on poste et pas avant, ce qui permettra de consommer du troll local plutot que du troll californien d'importation. Pour tout le reste on est en phase, mais c'est du detail pour un vendredi. Bon trolldi a tous. Le 4 nov. 2011 02:58, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Après y avoir réfléchi, j'ai décidé de garder mon format habituel multi-sujet (pour aujourd'hui). Même ci c'est vrai que, dans l'absolu, ça serait bien d'avoir un sujet représentatif, il faut aussi faire l'équilibre avec le nombre de contributions à la liste. C'est un peu comme créer un sous-répertoire qui ne contient que 1 ou 2 fichiers, ça fait un peu tâche d'envoyer 5 ou 10 emails. Donc, suivant le cas faire ce qui semble le mieux. Commençons donc (et essayons d'en finir vite) par les niaiseries récentes qui ont fait beaucoup de bruit mais rien apporté si ce n'est que du mauvais karma: Jérôme Benoit a écrit: Faire une charte comportant les règles de bon usage et des pointeurs vers la netiquette et mettre en place un robot qui la poste une fois par mois est une solution bcp moins risqués. +1 Et visiblement il y en a pas mal qui ont la comprenette difficile. A la liste suivante copiée sans aucune honte: Rémi Bouhl a écrit: - les quotes de porc (citer tout le message), - les signatures de 15 lignes et/ou avec une image, - les mails en HTML, - les réponses au dessus du message auquel on répond, J'ajouterais: - Editer le sujet quand ton MUA le transforme en [FRnOG] Re:[FRnOG] [FRnOG] Re:[FRnOG] ou similaire. Au passage, une partie de ce genre de problème vient des mails en HTML. C'est facile de se faire piéger, d'ailleurs. - Hutilizèh unh kôrrecteuhr aurtografike. La vérité dans la pub: le top post et les quotes de porc, je fais ça tout le temps en privé, mais sur la liste j'essaie d'être moins goret. Bon, retour à notre petit troll habituel. Yoann Gini a écrit: Pour être inscrit sur une vingtaine de liste de diffusion de tout type, Yoann, vu que tu lis beaucoup ;-), pourrais-tu apporter tes lumières sur ce que les listes en Français généralement comprennent du mot troll? Le troll anglais, le troll français? cam.la...@azerttyu.net a écrit: Par ma part je suis content de voir cette liste vivante comme quand je vais au bar un vana tallin en main. A la tienne! Au passage, AMHA, ça n'aurait pas été plus mal d'inclure un hyperlien du genre http://fr.wikipedia.org/wiki/Vana_Tallinn (ça vaut bien la stroh, il parait) Peut-être, mais Stroh c'est court et facile à prononcer, donc je propose que la boisson officielle de la liste devienne le Stroh. L'histoire se rappellera que c'est Guillaume Barrot qui, un jour où il en avait (virtuellement) trop bu, nous a initiés à ce liquide absolument immonde mais dont le nom sonne tellement bien et est si facile à écrire. Emmanuel Thierry a écrit: Pour garder la dénomination ISO: Le troll du jour par nom Vous pouvez aussi faire ainsi: [TROLL] Le troll du jour par nom : sujet Tout y est : - Le tag pour le filtrage - Le sujet de discussion - La dénomination ISO :) Ca risque de faire long comme sujet, mais pourquoi pas. Pourrais-tu poster un lien sur La dénomination ISO ? je rappelle que dans les bons MUA, les fils ne sont pas cassés par une modification du sujet ! Peut-être, mais tout le monde n'utilise pas un bon MUA et certains n'ont pas vraiment le choix. Et maintenant, le vrai troll de chez troll: Rémy Sanchez a écrit: Aujourd'hui, je me pose des questions sur la distribution de contenu en P2P. Voyons voir: bande passante P2P disponible sur la ligne à Rémy: 400 étudiants (dont Bob qui pirate des films de cul et Alice qui pirate des séries à l'eau-de-rose, c'est bien connu) tout çà sur 2 aDSL = 400 x 0,001
Re: [FRnOG] [MISC] Le troll (FR) multi-sujet du vendredi
Ouais j'y pensais. Mais c'est la discrimination positive de trolls orientaux parce que franchement on en voit pas assez souvent. En plus vu qu'en Asie ils sont en avance sur plein de sujets trollesques (ipv4 exhaustion, ipv6, firewall national, cdn etc) ca promet de chauds debats tres utiles a l'approche de l'hiver ! Le 4 nov. 2011 08:44, Nicolas CARTRON nico...@ncartron.org a écrit : On Nov 4, 2011 8:34 AM, Guillaume Barrot guillaume.bar...@gmail.com wrote: Non le fond du probleme est qu'on ne peut pas jouer au troll du vendredi avec des gens qui trichent en se placant volontairement dans un fuseau horaire leur permettant de troller les premiers, et ca c'est inadmetable ! Je propose donc que le Trolldi n'ouvre que le vendredi a minuit GMT heure locale de la ou on poste et pas avant, ce qui permettra de consommer du troll local plutot que du troll californien d'importation. Du coup tu donnes une sacrée avance à nos amis Australiens, et on handicape nos amis Canadiens et Américains ! Non, si on veut être juste, on poste à partir de minuit CEST ! -- Nico
[FRnOG] Dennis Ritchie is dead ... who care's ?
Salut la liste, En réponse au mail de Michel sur la mort de Steve Jobs, et avec quelques semaines de retard (on se fait griller la priorité au Troll par des expat', c'est vraiment du grand n'importe quoi !), je repense a la mort de Dennis Ritchie, et finalement au peu de vagues que ça a pu faire dans la presse par rapport a la mort de Jobs. OK, en quelques semaines, le monde de l'informatique a perdu deux figures ... opposées. Ce qui me choque a posteriori, c'est la différence de battage médiatique : Le jour de la mort de Jobs, la Terre s'est littéralement arrêtée : soirée spéciale au journal télé, tous les VIP de ce monde qui y ont été de leur petite phrase, le site d'Apple avec la chapelle ardente virtuelle, même les sites d'autres boites avec un petit mot pour saluer la disparition du visionnaire. Honnêtement, quand John Chambers y va de son petit mot sur le site de Cisco, on en presque a se demander si finalement l'IOS, c'est pas Cisco qui a racheté le nom a Apple, et si les CRS3 tournent pas sous MacOS X... Alors que pour la mort de drm, nada. Si, quelques post sur des blogs, quelques articles sur les sites spécialisés ou a grand tirage, certains dates de prés de dix jours après (genre cet articlehttp://www.lemonde.fr/technologies/article/2011/10/17/mort-de-dennis-ritchie-l-inventeur-d-unix-et-du-langage-c_1589267_651865.htmldu Monde), deux-trois post de spécialistes sur Google+, bref une disparition passée inaperçue. Et la, pas un petit mot de John Chambers a la mémoire du créateur du langage grâce auquel sa boite fonctionne ! Pourtant sans le C, pas d'IOS (le vrai, et aussi celui des Macintosh portatifs), pas de Linux, d'Unix, de BSD donc de JunOS, pas de Windows, pas de Box ... bref pas de réseaux, pas d'Internet. Conclusion, pour être reconnu dans nos métiers, abandonnons la technique, et rapprochons nous du marketing/commercial a col roule, car finalement, y a que ça qui fonctionne ... Guillaume
Re: [FRnOG] Dennis Ritchie is dead ... who care's ?
Et comme les mauvaises nouvelles arrivent en série, n'oublions pas que J. McCarthy, le père de LISP, a laissé tous les utilisateurs d'Emacs orphelins le 23/10 :'( Précise qu'on parle bien de LISP le langage de programmation, pas du protocole réseau, sinon y a John Chambers qui va nous refaire une annonce ! Trêve de rigolades, la periode glorieuse de l'informatique est bel et bien passee, on tombe dans le sordide Mass Market et sa tribu de visionnaires a col roules ... WTF !
[FRnOG] Re: Re: [FRnOG] Le troll du vendredi par Rémy
Ils ont bien compris que les films en HD et 3D ne pouvaient pas être diffusés massivement en streaming. Alors déjà que la télé en HD, en multicast, aura du mal pas exploser nombre de FAI, j'ose imaginer la VOD Full HD en streaming. A on me dit dans l'oreillette que la télé sur portable, c'est du streaming, et qu'avec l'arrive des tablettes, ça serait bien d'avoir ça, mais en meilleure qualité ... Prenons un peu de recul, et rigolons : - chez tous les FAI, en degroupe partiel, c'est Double Play car on ne va pas envoyer la télé en multicast dans un tunnel et titillier les LNS quand même. - sur le mobile, ou on tunnelise même en plaine, ah ben c'est télé pour tout le monde, en RealPlayer revival. Vas y, mange le GGSN, souffre bien, tu mérites ! Le streaming, surtout pour du contenu live est donc bien une techno d'avenir, surtout dans un monde ou la latence se compte en dizaine de millisecondes... M, bullshitometre dans le rouge et compteur gegene qui crépite : et qu'est ce qu'on va nous sortir demain ? le jeu en streaminghttp://www.gamespot.com/pc/driving/dirt2/news/6309144/singtel-and-playcast-launch-first-singapore-cloud-gaming-service! Une expérience utilisateur a se réveiller la nuit les yeux en sang avec la tremblote et des tics nerveux, tout en mettant le feu au backbone de ton FAI : joie ! Y a des visionnaires qui tournent au Stroh, moi j'vous'le dit !
Re: [FRnOG] Dennis Ritchie is dead ... who care's ?
oui mais en meme temps, a jeun c'est de suite plus facile ... Le 29 octobre 2011 00:10, Jérémie Courrèges-Anglas jca+fr...@wxcvbn.org a écrit : [...] Alors que pour la mort de drm, nada. [...] s/drm/dmr Non mais... --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
RE: [FRnOG] Re: Le troll du vendredi par Michel
Clement Cavadore a écrit : C'est quoi, l'ADSL collectée (CIPA L2TP), en France, si ce n'est pas une IPv4 publique tunnellée ? Quoi ??? On m'aurait menti ??? C'est pas le 3gpp qui a invente toutes les technos de gestion de l'acces via tunnel ??? On aurait en fait sur le fixe la possibilite de gerer le 'roaming' (=collecte) et de tunneliser l'acces (l2tp + ppp) a l'identique de sur le mobile (avec un client ppp sur pc client) et meme en wireless ??? Ok donc ipv6 trivial sur le fixe aussi alors ? Deja sur les slides sur le mobile c'est trivial : un pdp context en v6, entre et S et Ggsn, une interface v6 dans le gtp, et hop finit. Encore faut il que le S et le G supportent ipv6 (peu probable) , sans licences supplementaires (tres peu probables) et sans perte de performances / v4 (totalement improbable). = y a bien une raison si on ne fait plus de clients ppp sur les pc des clients, si a la place de modem on a des routeurs pour l'acces, et si on ne garde le tunnel l2tp+ppp pour le roaming : 1) tout remonte sur un point central. A dimensionner en consequence = cher. 2) le peer to peer (qui n'est pas illegal je le rappelle) devient problematique meme a l'interieur de son propre reseau Donc si le mobile suit (enfin) la logique du faible cout, il evoluera vers des RAN equivalentes a ta box en wifi donc des routeurs (qui eventuellement porteront le NAT v4 d'ailleurs) et une gestion de la mobilite par un protocole de plus haut niveau que le tunnel ip. Ie : adieu l'architecture centralisee a outrance ou Internet = region parisienne ! D'ailleurs pour revenir a v6, ca marche super sur un reseau l2tp-ppp ... sur slides. Apres pour plagier un expert sur le sujet, il arrive que ipv6 sur le LNS ca marche juste pas...
Re: [FRnOG] Re: RFC 6382: Unique Per-Node Origin ASNs for Globally Anycasted Services
Autrement, je ne sais pas pourquoi il n'a pas été utilisé. Ben comme l'a dit Olivier plus haut : attribut transitif optionnel. Qui dit optionnel, dit pas transmis en fait, contrairement à l'AS PATH qui lui est _normalement_ transmis non altéré. On en revient qu'en BGP, y a que l'AS PATH qu'on peut prendre au sérieux sur Internet malheureusement.
Re: [FRnOG] Re: Le troll du vendredi par Michel
Ouh ! Un troll dans le troll ! Un troll v4 dans un troll v6, y a une RFC de Troll over DS-Lite ou GRE de Troll à creuser là ! Voilà ça c'etait pour la partie comme l'info m'arrange pas j'en démolis le vecteur. Principe de base du troll, non ? Il est certain qu'une suite d'assertions péremptoires balancées sur un ton parternaliste sur la liste FRnoG par Michel Py from California a une crédibilité supérieure à ce que dit le chef IPv6 de FT sur v6ops@ietf. En même temps, le chef IPv6 de FT, il a qu'à poster sur FRNoG aussi, au lieu de poster sur l'IETF. Moi je dis, il cherche les coups. Entre un californien qui poste en France et un français qui poste aux US, franchement, c'est bonnet blanc et blanc bonnet. :D Après j'ai toujours plus confiance dans celui qui accepte de parler aux graisseux d'en bas, mais c'est personnel comme vision, j'ai jamais aimé les tours d'ivoire non plus ! Dans le style, y a Alain Durand, ex-Comcast, qui a écrit le rfc sur DS-Lite qui a eu la gentillesse de venir nous présenter son boulot, et ça pour moi, c'est crédible. Le reste, c'est beau, mais à chacun de se faire son avis. FT c'est FT, avec ses contraintes internes, ses problématiques, et sa stratégie. C'est pas une référence ou un exemple...
Re: [FRnOG] RFC 6382: Unique Per-Node Origin ASNs for Globally Anycasted Services
Si on compare avec un anycast interne à un FAI (ex : les DNS récursifs d'un FAI), on ne va pas annoncer les routes en BGP au sein de son propre AS, autant utiliser l'IGP pour ça. Donc, on va avoir la /32 portant le service DNS qui va être annoncé plusieurs fois dans OSPF/ISIS. Sur quoi on peut jouer pour connaitre le site qui a originé la route en IGP, ou pour modifier la façon dont sera vu cette route sur certain PE ? A priori, juste sur la métrique de cet IGP, et éventuellement les tags pour l'origine. Pour du globaly anycast, vu qu'on parle maintenant d'annonce de route en BGP, effectivement l'idée la plus rapide serait d'adapter cette vision avec AS PATH et des communautés. Utiliser un ASPATH pour chaque site d'origine, c'est bien, surtout maintenant que les AS sur 32bits sont supportés sur les plateformes récentes, mais c'est pas super logique avec la notion d'AS déjà, et on connait les limitations d'un champ sur 32bit... Les communautés, comme le souligne Olivier, ont tendance à être toujours écrasées en entrée car, voyons les choses en face, c'est généralement de la tambouille interne à l'AS : est-ce que c'est bien ou pas de le faire, c'est une excellente question, mais le fait est que c'est comme ça, donc il faut faire avec. En clair, il faudrait une communauté, type SOO (site of origin), mappée sur un paramètre physique *normé* afin que tout le monde utilise la même chose (code aéroport du site, coordonnées GPS, age du capitaine), et avec un transit mandatory (MUST), ie non écrasable sur une annonce BGP. J'aime bien les coordonnées GPS, ça ferait des beaux plugins googlemap dans les outils de traceroute :D En attendant une éventuelle RFC normalisant ça, le n° d'AS différent par site semble le seul truc déployable rapidement. Sinon, pour troller dès le lundi : http://www.ietf.org/mail-archive/web/lisp/current/msg00398.html http://www.ietf.org/mail-archive/web/lisp/current/msg00420.html Effectivement, on pourrait alors mapper par exemple une communauté SOO sur le RLOC de l'ITR sur lequel est présent l'EID anycasté (désolé pour les acronymes pour ceux qui n'ont pas lu la doc sur LISP...) De cette manière, les couples EID/RLOC étant eux bien définis sur le réseaux (un EID pouvant être présent sur plusieurs RLOC), on a résolu le problème. Je crois même avoir lu quelque part que le RLOC peut être une @IP, une @MAC, et même des coordonnées GPS ... Mais bon là c'est bel et bien de la science-fiction :D Le 25 octobre 2011 12:41, Olivier Benghozi olivier.bengh...@wifirst.fr a écrit : Les communautés BGP, c'est vrai que c'est transitif optionnel, mais c'est très fréquemment écrasé en entrée ou en sortie d'un AS, voire tout simplement pas transmis par défaut (IOS par exemple). Du coup, pas trop utilisable pour cet usage. Une autre possibilité serait d'avoir un AS unique prépendé un certain nombre de fois sur chaque site d'annonce, ce nombre identifiant le site d'origine. Mais ça serait crade, illisible, et rapidement limité/foireux vu que l'AS path, au delà de 255, ça se passe mal dans une bonne partie d'Internet. Donc non en fait :) Le 25 oct. 2011 à 11:48, Stephane Bortzmeyer a écrit : Mais cette politique a aussi des défauts : lorsqu'un routeur BGP voit arriver une annonce pour un préfixe anycasté, il ne sait pas exactement de quel noeud elle vient. Cela peut compliquer le déboguage des problèmes. Une question pour les experts BGP. Pour identifier l'origine d'une annonce d'un service anycasté, plutôt que d'avoir un numéro d'AS par site, comme le propose le RFC, pourquoi ne pas ajouter une communauté identifiant ladite origine ? Je ne vois qu'un seul inconvénient, le risque que certaines « looking glasses » (par exemple la passerelle DNS de routeviews.org) affichent l'AS path mais pas les communautés. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
Re: [FRnOG] Re: Le troll du vendredi par Michel
Ceci dit, je ne suis pas convaincu même par DS-Lite; ça a les mêmes ennuis si ce n'est pire qu'un CGN v4, surtout en matière de logs. Bonjour l'usine à gaz pour loguer quelle adresse v4 tu donnes à un client à travers IPv6 et retransformes en IPv4 public quelque part ailleurs. +1 Cout de la mise en place d'IPv6 sur le réseau : 10 Cout du log du CGN : 10E(beaucoup) Tu donnes de la connectivité en v6, tu conserves la connectivité en v4 ... mais a quel prix ? (les opérateurs mobiles le savent bien, puisque peu d'APN sont en v4 publique, en général c'est du prive + CGN) Attention a un truc tout de meme : le CGN qu'on peut faire dans le cas de DSLite n'est pas du vrai CGN, il est un peu plus intelligent que ça. L'AFTR (truc qui finit le tunnel DSLite) gère un NAT enrichi par un champ : l'IPv6 sur laquelle a été initiée le tunnel. Ce qui fait qu'on peut logguer un truc du style hh:mm:ss ipv4 privee + ipv6 du tunnel == ipv4 publique. Cela etant dit dans le cas d'une requisition judiciaire, tu as toujours 1 IPv4 publique = N clients, donc après il faut s'en sortir avec de l'inspection de service, et la on tombe dans des solutions de DPI etc. A noter aussi que le NAT dans le cas du DSLite est optionnel, et qu'on peut bien mapper directement du trafic en v4 public. Interet ? Sur un reseau FAI, offrir de la connectivite v4+v6, et pour les 10% de clients geek offrir un service d'IPv4 publique dédiée. Ok c'est quand même une régression, mais bon, on se console comme on peut ... Apres, on ne parle plus de mécanisme de transition pour DSLite mais bien d'un mécanisme de gestion du manque de v4 publique... On est loin du dual-stack ! Et pour les gens qui codent dans le kernel, le truc marrant avec DSLite, c'est que la stabilite de la pile v4 depend directement de la stabilite de la pile v6. Autrement dit, a chaque développement, tu touches a la pile v6 = tu dois re-valider tout le fonctionnement de la pile v4 = joie !
Re: Re : [FRnOG] extension de Vlans
contraintes dues au stockage. Pour quoi la plupart des gens détestent-ils l'extension L2 ? À cause de l'extension STP ? Y a plein de technos qui suppriment ce risque : régions MSTP (sauf pour l'instance 0), etherchannel distribué (style Cat6500 VSS ou équivalent en étoile qui supprime toute boucle logique intersite), EoMPLS / VPLS etc... qui permettent de limiter le domaine STP à un site unique sans l'étendre sur ses voisins Associé à ça y a du storm-control pour limiter les soucis, en plus y a pas mal de technos émergentes qui permettent de venir sur des technos routées au niveau 2 :Trill et son TTL, 802.1aq shortest path bridging qui est le concurrent Pas mal de constructeur poussent le L2 suite à la pression des applis. Des idées là dessus ? -- Cordialement, Guillaume BARROT
Re: [FRnOG] extension de Vlans
rebondir sur un point d'un message envoyé hier à propos de l'extension de Vlan (dans le sujet LISP), pourquoi beaucoup de gens haïssent l'extension de VLan ? Perso je suis plutôt (voire même très) en faveur du L2 étendu dans les environnements datacenters pour la souplesse que ça apporte : - en cas de déménagement pas de réadressage des machines - capacité à faire du Vmotion intersite (je dis pas que ce soit forcément intelligent mais beaucoup de gens systèmes le demande, ils préfèrent utiliser ça que VMWare SRM) - abstraction des problèmes DNS liés au GSLB (dans sa version DNS donc) : problème de non respect des TTLs et cache négatif... - clusters étendus divers pour le côté client - la VIP (IBM, HP, Veritas, Oracle RAC, [rajouter ici les 50 fournisseurs de clusters applicatifs qui nécessitent du L2 pour être stateful] même NLB soyons fous) aussi bien que pour les liens privés pour les heartbeats qui parfois nécessitent des adjacences L2 directes car le protocole de heartbeat n'est même pas basé sur IP - arrivée de FCoE en dehors des DCs (sur certaines plateformes FCoE est supporté sur des distances de type MAN), FCoE est par définition non routable Certes à part dans le cas de déménagement, l'extension de Vlans longue distance nécessite l'extension du stockage (pour les clusters / Vmotion), et dans ce cas les distances se réduisent (une centaine de kms max) à cause des contraintes dues au stockage. Pour quoi la plupart des gens détestent-ils l'extension L2 ? À cause de l'extension STP ? Y a plein de technos qui suppriment ce risque : régions MSTP (sauf pour l'instance 0), etherchannel distribué (style Cat6500 VSS ou équivalent en étoile qui supprime toute boucle logique intersite), EoMPLS / VPLS etc... qui permettent de limiter le domaine STP à un site unique sans l'étendre sur ses voisins Associé à ça y a du storm-control pour limiter les soucis, en plus y a pas mal de technos émergentes qui permettent de venir sur des technos routées au niveau 2 :Trill et son TTL, 802.1aq shortest path bridging qui est le concurrent Pas mal de constructeur poussent le L2 suite à la pression des applis. Des idées là dessus ? -- Cordialement, Guillaume BARROT
Re: [FRnOG] Re: LISP : besoin d'avis
Sans rentrer dans la polémique ouais mais ça fait vingt fois qu'on nous le sort, mais ça marche jamais et autre c'est poussé par un constructeur donc caca, moi j'y vois un intérêt : - j'ai dans mon entourage proche des gens du système qui ne jure que par le Vmotion, et qui n'ont pas compris que ça ne servait pas à faire du HA. Du coup, ils me demandent des vlans étendus entre plusieurs sites à chaque fois... bien entendu, on leur a dit d'aller mourir, mais ces immondes systèmeux sont super resistants. - il faut quand même admettre que le GSLB a ses limites (du genre temps de bascule limité par le cache DNS, et autre ttl pas pris en compte) - conserver son @IP (ie, gérer la mobilité au niveau 3) c'est un poil foireux : depuis quand l'@IP est un gage d'identité ??? (C'est philosophique comme question) N'empèche que quand on a pas le choix (cas d'une VM qui se déplace), c'est bien pratique de pouvoir conserver son @IP en mobilité. - or Cisco a déjà implémenté LISP sur ASR1K (super), et Nexus7K : LISP sur un routeur de Datacenter ? Du coup, ça ouvre la possibilité de l'utilisé pour un serveur se déplaçant d'un site à un autre ! Or comme le code du Nexus est en partie commun entre N7K, N5K et surtout N1000v, on peut espérer que LISP sera un jour dispo sur le premier équipement réseau traversé par un flux d'une VM : le switch intégré à l'hyperviseur. Et là du coup, on peut envisager d'avoir une VM se déplaçant d'un site A à un site B sans pour autant utiliser de vlan étendu, en gardant un vrai réseau routé et pas du bricolage de haut niveau (VPLS and Co) pour étendre un vlan mais sans vraiment l'étendre ... Perso j'avais commencé à bosser sur un proto à base de DHCP sur les interfaces physiques, d'un démon de routage et le service porté sur une loopback, mais l'idée d'avoir une table de routage peuplée de /32 dans tous les coins ... du bricolage je vous dit ! Evidemment, si ça marche pour une VM qui se déplace, ça peut marcher pour un téléphone ou un PC qui se déplace et connecté en wireless (adieu GTP). L'avantage c'est que le client n'est pas conscient de la couche LISP, donc pas de modification à y apporter, donc c'est mieux. A vous de voir si c'est philosophiquement pas bien, mais moi, sur le terrain et avec des VMs, ça me tente bien. Le 14 octobre 2011 15:24, Stephane Bortzmeyer bortzme...@nic.fr a écrit : On Fri, Oct 14, 2011 at 12:37:28PM +0200, Jérôme Nicolle jer...@ceriz.fr wrote a message of 88 lines which said: Léger ? Même d'un seul octet, cela abaisse la MTU et cela veut dire tous les problèmes qu'on a actuellement avec les tunnels, généralisés. Mais non, voyons, avec PMTUd on devrait plus avoir de problème ! C'est une blague ? Le nouveau truc à apprendre. En effet, *toute* solution de séparation de l'identificateur et du localisateur a ce problème. C'est bien joli d'ajouter une indirection, mais comment on la suit, de manière sécurisée ? Alors là, je veux bien profiter de tes lumières, j'ai pas l'impression que ce soit spécifié encore... En effet. Et pour cause, c'est *la* difficulté de tout projet de séparation identificateur/localisateur, le reste étant relativement simple. Ah il build lig ? % make gcc -Wall -Wno-implicit-function-declaration -c -o lig.o lig.c lig.c: In function 'main': lig.c:100:10: warning: variable 'eid_length' set but not used [-Wunused-but-set-variable] lig.c:99:10: warning: variable 'eid_addrtype' set but not used [-Wunused-but-set-variable] gcc -Wall -Wno-implicit-function-declaration -c -o send_map_request.o send_map_request.c gcc -Wall -Wno-implicit-function-declaration -c -o lib.o lib.c gcc -Wall -Wno-implicit-function-declaration -c -o cksum.o cksum.c gcc -Wall -Wno-implicit-function-declaration -c -o print.o print.c gcc -Wall -Wno-implicit-function-declaration -c -o get_my_ip_addr.o get_my_ip_addr.c gcc -o lig lig.o send_map_request.o lib.o cksum.o print.o get_my_ip_addr.o % % ./lig -m l3-london-mr-ms.rloc.lisp4.net 153.16.10.254 Send map-request to l3-london-mr-ms.rloc.lisp4.net for 153.16.10.254 ... Received map-reply from 173.36.254.163 with rtt 0.23900 secs Mapping entry for EID '153.16.10.254': 153.16.10.0/24, via map-reply, record ttl: 1440, auth, not mobile Locator State Priority/Weight 173.36.254.163 up1/100 Quelqu'un à un binaire à slapper dans un JunOS ? Et, pourquoi dans JunOS ? On utilise rarement un Juniper comme console d'administration :-) --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
Re: [FRnOG] Re: LISP : besoin d'avis
Pour ces histoires de MTU, est ce qu'il y a déjà eu des expérimentations concrètes pour essayer de les augmenter ? En IPv6, on est souvent amené à la *diminuer* pour arriver à passer tous les pare-feux mal configurés :-( Un papier sur le sujet : http://staff.psc.edu/mathis/MTU/ Je pense que nos collegues du LIP6 ont des trucs dans le meme style sous le coude, mais personne n'ose sortir des MTU 9216 (deja passer un reseau en Jumbo, c'est fun ...). Je suis persuade d'avoir vu passer une commande sur un Cisco ou un Junip avec une MTU allant jusqu'a 16000 et quelques, je vais essayer de retrouver ca. Maintenant, je me dis la chose suivante : si on commence a raisonner sur les mauvaises configurations en essayant d'avancer ... ben on avance juste pas en fait ! Perso, quand je vois certaines configuration de collectes FAI avec quasiment autant d'entete que de payload, je me dis qu'un GRE-like a cote, c'est petit joueur en terme de reduction de taille de payload. (j'ai en tete 1 exemple : ip over ppp over l2tp over deuxieme l2tp over ip. C'est ce qu'on pourrait appeler un WTF-backbone, mais on peut toujours faire pire et rajouter de l'IPSEC par dessus !) A+ Guillaume
Re: [FRnOG] Boucle courte distance sur optique ER ?
PS. Pour ma culture personnelle, quelqu'un connaît la classe de laser utilisé pour du monomode ER 1550nm ? Je me posais la question pour le danger au niveau de la peau et des yeux... J'ai essayé plusieurs fois de désintégrer quelqu'un avec un laser d'optique de réseau, jusqu'à présent ça n'a jamais marché. Tiens ça me rappelle une histoire que je-sais-plus-qui m'a raconte un jour, le fameux techos France Telecom qui te livre la fibre monomode et qui, quand ça marche pas (inversion des brins), se met la fibre au niveau de l'oeil pour voir si y a bien un signal. Bon c’était y a une paire d'annee, suffit de le retrouver et de voir si on peut lui voir la nuque en le regardant dans les yeux, on aura notre réponse sur la dangerosité du 1550nm in oculo. Apres avec un peu de bol, il a peut être un frere qui dort entre 2 FHs qui sait, on pourra verifier la dangerosite des ondes hertziennes au passage ! Guillaume
[FRnOG] Re: [FRnOG] Pour ceux qui ont trouvé que DNSSEC était trop simple...
Ca meriterait bien une bonne presentation au prochain meeting FRnOG en tous cas ! De mon point de vue c'est une extension centralisee d'une politique de securite deja existante au niveau local, a savoir le mot de passe BGP. Sauf que pour gerer le passage d'une echelle locale (le peer direct) a une echelle globale (filtrer dans les annonces BGP envoyees par son transitaire, elles memes provenant d'annonces faites a l'autre bout du.monde), on a peu de choix sinon de partir sur une reference tenu par un referent (IANA) et deleguee regionalement. Ok si tout le monde peerait avec des routes serveurs libres et apolitiques (Cymru ?) pour filtrer les bogons on aurait pas besoin de ca, mais depuis quand le bon sens prevaut-il ? :) C'est vraiment dommage qu'on soit pas vendredi ! Le 10 oct. 2011 14:35, Stephane Bortzmeyer bortzme...@nic.fr a écrit : ... je suis en train d'apprendre la RPKI. Son déploiement effectif va fournir d'innombrables sujets de troll pour les vendredis à venir. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [FRnOG] Le FTTH, une impasse ?
Supposons que je sois en télétravail chez moi ? Il me faut un abonnement pro ? Si je suis autoentrepreneur ? En Freelance ? Profession liberale qui a son cabinet dans son domicile ? Bref, la frontière entre perso et petit pro est de moins en moins claire, il serait juste grand temps que les entreprises, et les FAI du coup, s'en rendent compte et adaptent les CGV en conséquence. Oui parce qu'au final sur ce débat, c'est jamais un problème technique, mais de CGV et d'engagement de service juste... Guillaume Le 8 octobre 2011 19:50, Francois Petillon fan...@proxad.net a écrit : Le 07/10/2011 17:06, j...@nexedi.com a écrit : Prenez 2 petits serveurs silencieux chez vous (je vous les donne) et on vous paiera votre abonnement fibre. Il y a quoi comme abonnement fibre pro à 30 €/mois ? Parce que là, votre service fait que l'abonné sort du cadre d'un abonnement personnel (à moins que vous n'ayez l'accord du FAI). François --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
Re: [FRnOG] Le FTTH, une impasse ?
C'est un excellent sujet de Trolldi ! Financierement tant qu'Orange aura une rente de 9,90€ sur la paire de cuivre, n'importe quelle autre solution sera a terme moins chere. Le probleme est l'investissement au depart : si tu dois claquer 1 milliard de suite pour une infra qui te fera economiser 1 million d'euro par an, tu as bien un point de rentabilite ... Mais il est un peu loin ! Si le legislateur Francais ou Europeen met fin a le rente FT, le calcul n'est plus du tout le meme, et clairement le VDSL s'impose. Attention la techno n'est pas exempte de defaut : signal moins stable que le xDSL classique, perturbation possible des lignes rtc (parait-il), mais surtout pour l'operateur ca fait beaucoup plus de points de management (donc de pannes potentielles). Surtout que sortie du NRA, ou mettre les dslam ? Dans les shelters le bord des routes ? C'est pas infaisable mais ca leve plein de questions et d'inconnues. Sur l'utilisation du 100mbit/s par client, je me rappelle mon premier xdsl en 1998 : 512kbit/s soit 10 fois plus que mon rtc. Et a l'epoque deja c'etait mais qui peut avoir besoin de ca ???. Puis Napster est apparu et on a vite compris Je pense que la taille du tuyau fait l'offre dans ce cas, ou plus generalement ouvre des possibilites techniques sur lesquels s'appuient les professionnels du web. Sans xdsl, les sites en flash par exemple aurait-il connu la meme histoire ? Dailymotion over RTC, faut surement etre TRES patient ! Donc entre la tele en 1080p pour toutes les chaines, le jeu video en streaming, les sites web plein de video, le jeu en ligne, la domotique ... Je suis sur qu'on arrivera a les remplir les 100mbits, a tord ou a raison. Le fond du sujet, c'est de savoir si, a l'instar des reseaux ferres et electriques, l'infra internet boucle locale ne fait pas partie de la gestion du territoire et ne devrait-elle etre confiee a une entitee neutre, autre que l'operateur historique. Pour l'electricite il y a RTE et EDF par exemple, pourquoi avoir tout laisse a FT sur la boucle locale ? Les DSPs existent d'ailleurs pour ca. Cela aurait permis un acces egal a la boucle locale pour tous, sans avoir un operateur privilegie par sa main mise sur le dernier kilometre ... Le 7 oct. 2011 07:58, Alain Richard alain.rich...@equation.fr a écrit : Depuis maintenant pas mal de temps, j'ai tendance à considérer que la fibre jusqu'à l'appartement est une grosse bêtise : - pour obtenir au final un 100 mb/s même pas symétrique, je ne voit pas du tout l'intérêt de la fibre - la fibre est par définition une technologie fragile, pas facile à déployer physiquement (coudures, soudures, réparations) - les éléments actifs sont encore un peu cher - je ne connais pas encore d'usages grand publique justifiant un usage 100 mb/s - même en entreprise, où le giga est possible depuis longtemps à des coûts relativement faibles en cuivre, l'usage du gb/s n'est que marginal au niveau du poste client - la rentabilité d'un telle infra de fibre jusqu'à l'appartement reste à prouvé - le corolaire de la rentabilité est qu'en plus cela ne concerne que les zone à forte densité (immeubles essentiellement, au détriment des maisons individuelles et des zones peu denses ou rurales) Je viens de lire que free commençait à changer son fusil d'épaule, et veut dorénavent privilégier le VDSL2. Il me semble que OVH est sur la même longueur d'ondes (mais eux ils n'ont pas de plan fibre, donc c'est plus logique). AMHA, le seul intérêt de la fibre pour les opérateurs grand public est d'arriver le premier sur un immeuble, et donc de pouvoir potentiellement agréger une population captive… Mais bon, une fibre dans la rue avec un mini DSLAM VDSL2 à moins de 500m des appartements devrait apporter le même type de résultat qu'une FTTH. Sans compter en plus que le FTTH/GPON est une techno un peu bâtarde ou 30 appartements reçoivent simultanément le même signal, mais seul le destinataire est sensé avoir la clef de décodage… Qu'en pensez-vous ? -- Alain RICHARD mailto:alain.rich...@equation.fr EQUATION SA http://www.equation.fr/ Tel : +33 477 79 48 00 Fax : +33 477 79 48 01 Applications client/serveur, ingénierie réseau et Linux
Re: [FRnOG] Gestion Identification Usagers
Hello, Si tu as un portail captif, et peu de trafic, l’idéal est d'avoir une boite clef en main qui fera portail captif + passerelle vers Internet + dhcp sur ton LAN. Ex OpenSource : pfsense fait ça très bien, et pour le coup sur la même machine tu auras les logs authentification + dhcp + nat sans problèmes d'horodatage de logs. Si tu pars sur des briques dédiées pour chaque rôle, n'oublie pas le ntp et un bon syslog (voire du splunk, si tu as peu de volumetrie de logs). Tu peux avoir a logguer les requêtes DNS aussi, pour lier une connexion spécifique a des sites hébergés sur la même @IP, mais la il faut soit que tu proxifies les requêtes DNS, soit que tu filtres les requêtes DNS sortantes, pour être sur d'avoir la visibilité de toutes les requêtes DNS (c'est moche, et même pas sur que ce soit légal, mais bon tant que les réquisitions judiciaires n'iront pas plus loin que c'est cette @IP publique qui a fait quelque chose d’illégal, a telle heure, faudra ruser). Et la tu as le droit de te dire vivement l'ipv6 ! Pour faire le lien avec un autre sujet en cours sur FRnOG : si tu vises peu de clients simultanés (1000 typiquement), tu peux aussi regarder l’intérêt de devenir LIR au RIPE, et obtenir tes scopes IPv4 publiques (/22 minimum a priori, mais je laisse les experts sur ce sujet commenter). Sur le portail captif, la bonne approche : l'envoi de SMS pour se connecter. (Je crois me souvenir d'un thread précédent, que l’aéroport de Pau utilise une solution de ce type la, mais sur la personne qui avait envoye cette info peut se manifester pour confirmer, ça sera mieux !) Tu as une correspondance @IP Privée / numéro de téléphone, et tu peux botter en touche chez les opérateurs de téléphonie mobile pour retrouver la personne réelle. Et ça, botter en touche chez les opérateurs de téléphonie mobile, ça n'a pas de prix ! :D Bonne soirée Guillaume Le 4 octobre 2011 20:08, Christophe ckuczyn...@gmail.com a écrit : ** Salut, il y a quand même des questions structurantes sur ce type de déploiement: - Combien de hotspots comptes tu déployer ? - Combien de site auront un hotspot (est ce un déploiement pour couvrir plusieurs jardins publiques dans une ville ou bien c'est juste un accès wifi à l'accueil d'une société pour les visiteurs ?) - Combien d'utilisateurs simultanés penses tu avoir ? 5, 20 , 200 ? etc... Si tu utilises de l'adressage privée il te faudra au minimum logger la correspondance IP privée/login + date/heure au niveau portail captif, ainsi que IP privée/IP pub + date/heure sur l'équipement qui va faire le NAT et faire ta corrélation (si ce sont des équipements différents) En terme d'obligation légale bien souvent on te donne une IP avec une heure à laquelle elle a commit un délit très rarement le port source, et toi tu devras répondre QUI et où (localisation du hotspot)... Christophe On 04/10/2011 18:39, Sebastien Maillet wrote: Bonjour, ** ** Je suis régulièrement les échanges sur la liste de diffusion FRNOG qui est une vraie mine d’information ! ** ** Cette fois, je soumets un sujet sur lequel je ne suis pas parvenu à avoir de réponse claire pour le moment. Je cherche à mettre en place un réseau d’accès Internet « gratuit » type WIFI où les utilisateurs ne sont pas identifiés à l’avance. Ils doivent donc faire une demande d’accès à travers un portail captif, ils laissent leur nom/prénom/adresse et un code d’accès leur est ensuite communiqué (par mail ou par SMS). ** ** Le problème qui se pose est que nous souhaitons leur fournir des adresses ip privées. En effet, si nous recevons une réquisition de la part de la gendarmerie nous demandant l’identification d’un usager à partir d’une adresse IP publique, ca va être compliqué … Nous serons capable de donner le groupe d’utilisateurs ayant partagé cette adresse ip publique, mais sans rien mettre de plus que les loggs NAT il nous sera impossible d’identifier l’utilisateur recherché. Nous avons pensé mettre en place un firewall applicatif qui nous donnerait des précisions sur les sessions montées à partir des adresses privées, ce qui nous permettrait d’affiner la recherche, mais il semblerait que cela ne soit pas légal. ** ** Avez-vous déjà rencontré ce type de problème et l’avez-vous résolu ? (mise à part en mettant de l’adressage publique bien sur :o) ) ** ** Merci pour vos retours. ** ** Sebastien -- Cordialement, Guillaume BARROT
Re: [FRnOG] Recherche fournisseur de transit IPoT
Il y a pas mas de temps, Bill Gates avait sponsorisé de la recherche sur des satellites en orbite basse (contrairement aux géostationnaires utilisés aujourd'hui dans la majorité des cas). Ca n'a pas vu le jour non plus (trop cher) mais le sujet n'est pas aussi débile que ce que certains semblent croire. Michel. C'est pas ça qui avait donne naissance a Iridiumhttp://fr.wikipedia.org/wiki/Iridium_%28satellite%29? Je suis sur d'avoir lu a l’époque que Bill Gates (via Microsoft) avait participe au projet, au moins au début. Guillaume
Re: [FRnOG] Recherche fournisseur de transit IPoT
Le 25 septembre 2011 22:09, Raphaël Jacquot sxp...@sxpert.org a écrit : tu peux être sur d'escroquer plein de traders si t'annonce ça… ils sont tous a vouloir gagner qq ms pour pouvoir spéculer plus vite tous les jours, voir l'actualité récente relative a la nouvelle route de BSO… Dans le même style, tu as le Nexus 3000 de Cisco conçu pour l'environnement low latency des salles de marches. Y a même un beau posterhttp://www.cisco.com/web/strategy/docs/finance/HPT_Poster_hires_060311.pdf pour expliquer que les traders ne flambent pas que la Bourse : ils brûlent les paquets aussi... Guillaume
Re: [FRnOG] SWITCH - question spanning-tree ports edge
Spanningtree portfast bpduguard en global sur le switch et non par interface deja, c'est un poil plus optimum ! Le 23 sept. 2011 10:24, Olivier Benghozi olivier.benghozi+fr...@gmail.com a écrit : Désactiver le spanning-tree sur ces ports, tu l'as déjà quasiment fait avec bdpu filter. Si un malcomprenant fait une boucle, le switch ne la verra pas et tu regretteras d'avoir placé cette commande :) De façon générale, supprimer le spanning-tree sur les ports edge peut sembler une bonne idée jusqu'à ce que shit happens. Le 23 sept. 2011 à 09:53, Damien Fleuriot a écrit : Hello tous, Un truc me turlupine depuis hier là. Sur nos cisco 2960, on met en place la config spanning-tree suivante pour les ports edge (y compris ports trunk arrivant sur des serveurs): - portfast - bpdu guard - bpdu filter - root guard Est-ce que finalement j'aurais pas intérêt à disable le spanning-tree sur mes ports edge ? Sachant que les ports non utilisés sont shutdown et dans un vlan suspendu, je ne vois pas de scénario catastrophe. Des avis ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Recherche fournisseur de transit IPoT
Le 23 septembre 2011 15:29, SadSkull sadsk...@gmail.com a écrit : 2011/9/23 Clement Cavadore clem...@cavadore.net: Salut, On 09/23/2011 02:40 PM, Damien Fleuriot wrote: Troll du vendredi ? Sous prétexte que c'est vendredi, on croit pouvoir tout se permettre... Cette mailing ne présente plus le moindre intérêt. C'est désolant. Deuxième troll du vendredi ? --- Le premier et le plus beau troll depuis longtemps ! La partie sur les neutrinos et l'IPoT n'était pas un troll mais une RFC en avance sur son temps. Ou en retard, ça dépend depuis quelle date Jérome nous parle.
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Question bête, 10 Gbps lossless
connu hebergeur a 3 lettres :). L'offre Milieu de gamme exactement. Merci pour Vos retour. Alors c'est un pas lossless mais lostless (dixit Oct.ve). Un terme marketing qu'il n'a pas expliqué techniquement (ou je suis passé à côté). Qu'il me corrige mais ça veux dire en gros qu'il a bossé sur son réseau interne. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
Re: [FRnOG] Recherche fournisseur de transit IPoT
Ça me rappelle un Passport 8600 Nortel qui continuait a envoyer des traps SNMP plusieurs mois après avoir été démonté ... un précurseur de l'IPoT ! N’empêche qu'on a jamais su d'ou venaient ces traps ! Le 23 septembre 2011 23:02, Julien Gormotte jul...@gormotte.info a écrit : Nan, mais c'etait plutot drole. Ca donne même a réfléchir. Disons que la nuit derniere, mon monitoring me réveille pour un serveur en indispo. Qui me dis que la session TCP responsable de l'alerte n'a pas été troublée par l'ingestion impromptue d'un pigeon responsable du transit IPoACoT par ma femme ? Et du coup, mon manque de sommeil proviendrai d'une volonté de décompresser suite à la fausse alerte de monitoring, donc restau, donc ingestion du pigeon, donc alerte en pleine nuit, mais la veille, entrainant le reste des évenements On retrouve bien la le paradoxe de la causalité propre à toute réflexion sur les trames IPoT. Si vous trouvez un transitaire IPoT, tuez le pour moi. Bonne nuit et bonne fin de trolldi. Et pour les mauvais esprits : ouais, c'est désolant. Mais marrant. On Fri, 23 Sep 2011 18:53:02 +0200, Thomas Barandon wrote: Vu sa mission actuelle je dirais au début des années 90. /privatejoke Le 23 septembre 2011 17:13, Guillaume Barrot a écrit : Le 23 septembre 2011 15:29, SadSkull a écrit : 2011/9/23 Clement Cavadore : Salut, On 09/23/2011 02:40 PM, Damien Fleuriot wrote: Troll du vendredi ? Sous prétexte que cest vendredi, on croit pouvoir tout se permettre... Cette mailing ne présente plus le moindre intérêt. Cest désolant. Deuxième troll du vendredi ? --- Le premier et le plus beau troll depuis longtemps ! La partie sur les neutrinos et lIPoT nétait pas un troll mais une RFC en avance sur son temps. Ou en retard, ça dépend depuis quelle date Jérome nous parle. Links: -- [1] mailto:clem...@cavadore.net [2] mailto:sadsk...@gmail.com [3] mailto:guillaume.barrot@gmail.**com guillaume.bar...@gmail.com --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
[FRnOG] Re: [FRnOG] Re: Pourquoi Cisco nous coûte tant ?
Pour compléter, la version officielle, mais pas encore très complète (appel à nos amis de Cisco : faites vivre ce site !!!) http://docwiki.cisco.com/wiki/Main_Page Tu auras des infos différentes, mais y a pas encore masse de choses. Après il faut apprendre à naviguer dans la partie support de Cisco (compte CCO obligatoire, mais bon, c'est gratuit pour consulter les docs), tu peux y trouver les releases notes de versions d'IOS / IOSXE ou XR / NXOS et la partie support hardware de ces versions te donnera les compatibilités chassis / cartes / os. Toujours sur Cisco.com, dans support == tool == software advisor, tu peux faire une recherche OS / feature / équipement. Ca marche vraiment pas mal, mais il faut avoir compris la logique de l'outil, et supporter la lenteur du site ... Guillaume Le 21 septembre 2011 16:16, Jérôme Nicolle jer...@ceriz.fr a écrit : Plop, En fait, c'est ça que je cherchais : http://cisco.cluepon.net/ C'est loin d'être exhaustif, mais dans l’état d'esprit, c'est ce genre de kb synthétiques qu'il manque aux équipementiers (existe aussi en version juniper : http://juniper.cluepon.net/Main_Page) -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
Re: RE: [FRnOG] Le troll du vendredi par Michel
Niveau marketing, le routeur perigourdin ca doit bien vendre en plus ! Le 19 sept. 2011 10:55, Jérôme Nicolle jer...@ceriz.fr a écrit : 2011/9/17 Guillaume Barrot guillaume.bar...@gmail.com: Remarque du coup c'est GreenIt : derriere le datacenter tu montes une barraque a frites alimentee directe par l'huile chaude des serveurs. En plus y aurait un petit gout de baquelite a la pate termique : miam ! Tiens, faudrait essayer le Duck Cooling alors : refroidissement à la graisse de canard... C'est meilleur pour les frites ! -- Jérôme Nicolle 06 19 31 27 14
[FRnOG] Re: [FRnOG] Re: [FRnOG] [FRnOG] Re: [FRnOG] Pourquoi Cisco nous coûte tant ?
Bonsoir, Règle numéro 1 de l’ingénieur (notamment en informatique) : l'herbe est plus verte ailleurs. Corollaire de cette règle : du coup, c'est toujours cramé dans son propre jardin. Est-ce qu'on perd du temps avec Cisco ? Certainement. J'ai même souvenir d'une discussion il y a peu avec des gens internes Cisco sur des WDM passif qui sont planqués dans la price list et qu'on peut chercher des heures, eux mêmes le reconnaissent. Est-ce que les autres constructeurs sont mieux ? Absolument pas. Dans le désordre : - Juniper meme pas capable d'envoyer une price-list sans avoir a la scanner a l'arrache dans un coin. Du coup tu reçois 30 pdf différents et y a pas tout dedans. - ALU : je vous conseille d'essayer de trouver un document type configuration guide sur leur site. Tu peux y aller de ton professionnal service pour apprendre a configurer leur DSLAM - Huawei : pas mieux que les deux derniers - etc. Et pourtant on achète chez tous ces constructeurs, et en plus chacun a ses qualités et des équipements valables ! Et in fine, on peut même raisonner par l'absurde : si tous les constructeurs étaient parfaits sur leur matos et la manière de les vendre, quel rôle pour des architectes réseaux, puisque des managers non techniques et des financiers seraient capables de choisir et d'acheter le matos. Ensuite tu passerais le bébé a des grouillots en Chine ou en Inde pour la configuration et la vie courante, hein, pourquoi s'emmerder a avoir des équipes sur place. J'imagine que c'est le reve absolu de plein de DSI, mais est-ce que ça marcherait mieux ??? Guillaume Le 18 septembre 2011 17:28, Fabien Delmotte fdelmot...@mac.com a écrit : Bonjour, Prendre comme comparaison du Cisco et du Netgear, Ce n'est pas comparer des choses de même natures. Il serait intéressant de regarder les modèles comparés. Quoi qu'il en soit mon expérience dans le domaine est : Cisco est numéro 1 dans le monde du réseau, et de ce fait si cela plante ce n'est pas la faute du décideur car il a pris le meilleur. A fonction équivalente, si le compétiteur n'est pas au minimum 20% moins cher il ne sera pas sélectionné. Il y a un certain snobisme à acheter du Cisco. Les histoires de bugs sont à prendre avec du recul…. Car nous le savons les Cisco sont exempts de bug, c'est pour cela qu'il y a très peu de version d'IOS :) Mais il faut remarquer que cette mentalité se retrouve dans l'achat de voiture ou de Yogourt :) … Nous ne sommes que des Humains, mais un peu d'honnêteté intellectuelle ne fais pas de mal. Fabien Le 17 sept. 2011 à 21:22, Vincent Duvernet (Nolmë Informatique) a écrit : Le 16/09/2011 18:08, Fabien Delmotte a écrit : Si il y a un psy dans l'assistance, peut être qu'il pourrait nous expliquer la relation entre : Le client Cisco qui rale régulièrement contre Cisco et son besoin de toujours acheter du Cisco ….. Cela peut faire un sujet de Thèse ou une trollerie :) Fabien P-e parce que le reste c'est moins cher mais ça ne fonctionne pas bien. Comme je le disais dans un post précédent qui n'a pas été publié pour cause d'erreur de reply (comme d'hab), si on prend Netgear par exemple, c'est un 'grand' constructeur réseau. Leur boss en France se targue de leur croissance Cie. Pourtant c'est buggé jusqu'à l'os (ou l'OS ^^) sur des fonctions ultra basiques (ping WAN qui plante, on peut pas faire plus con en réseau quand même). Vince --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
Re: [FRnOG] Le troll du vendredi par Michel
En fait, un Juniper à €400,000 c'est un Mikrotik à €400 et du hard spécialisé à €399,600 :P yaplukafokon: fabriquer ledit hard à €399,600 pour €600 :P Prenons donc des actions chez Supermicro qui fabrique les cartes et integre les cpu, et chez Marvel pour tout les controleurs. Un petit coup de foxconn par dessus et hop. Bah oui le hard a 400k$ il en coute deja beaucoup moins Reste plus que le cout de la RD mais ca, ca passe pas en OEM...
Re: RE: [FRnOG] Le troll du vendredi par Michel
Remarque du coup c'est GreenIt : derriere le datacenter tu montes une barraque a frites alimentee directe par l'huile chaude des serveurs. En plus y aurait un petit gout de baquelite a la pate termique : miam ! Le 17 sept. 2011 10:16, Sébastien FOUTREL sfout...@gmail.com a écrit : J'imagine la tete du commercial du datacenter quand tu vas demander si le rack est capable de recevoir la cuve de la friteuse. Le 11 septembre 2011 23:31, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Pour ceux qui veulent refroidir leurs optiques ou leur bécane à refroidissement liquide super overclockée, en pratique le Stroh ça m'a l'air un peu dangereux en cas d'incendie. Je confirme. On l'utilisait aussi pour allumer le barbecue en crachant dans le feu (veridique), ou pour decaper cuivre et acier. Finalement j'en conclue comme Michel, mais pas pour le meme usage : y a pas mieux que l'antigel ! Sinon pour les applications serieuses, y a pas longtemps (2 mois) l'universite du Texas (Houston) a annonce mener des recherches sur des serveurs refroidis par bain d'huile et, comme par miracle, notre fournisseur de serveurs OEM prefere nous presente dans sa nouvelle gamme, un serveur a bain d'huile. C'est a la mode chez tout le monde et/ou c'est voue a l'echec selon vous ? Non parce que ca l'air seduisant sur le papier mais quand il va falloir vidanger le serveur et changer le filtre a huile ... A moins que Midas fasse un forfait revision ? :)
[FRnOG] Re: RE: [FRnOG] Re: [FRnOG] [FRnOG] Re: Un seul FAI vous manque et tout est dépeuplé
Non : proxy v6/v4 sur les loadbalancers. LISP c'est super, mais ne pas faire de v6 natif sur les frontaux, ca, c'est crado... Le 16 sept. 2011 01:08, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Guillaume Barrot Pour ceux qui ne l'ont pas encore lu, la methode de deploiement (contestable) chez Facebook : Contestable pourquoi? Basé sur LISP? Michel.
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Un seul FAI vous manque et tout est dépeuplé
Frédéric Dhieux frede...@syn.fr a écrit : - Les opérateurs mettent en place des backbones IPv6 (jusqu'ici on est dans les clous je dirais majoritairement) - Les end users reçoivent de l'adressage IPv6 des FAI (déjà là ça se complique) Si dans backbone tu entends les routeurs uniquement, en effet, c'est pas le plus difficile. Si tu rajoutes les DSLAM, et que, au hasard, tu as des anciennes générations, déjà, c'est plus complexe. Alors effectivement, on peut les changer par des tout neuf ... mais c'est cher. Pour info, un swap de ligne DSL dans un NRA, si tu as pas de chances, et pas le système de précablage qui va bien, c'est le technicien FT qui passe et qui bascule tes lignes de l'ancien DSLAM au nouveau... et là, tu peux partir sur 20% de pertes de delta entre avant et après. Et ça coute un bras. Sans rentrer dans des détails sans fin, jusqu'aux switchs de collecte, on a aucun soucis technique. On est bloqué entre le switch et la box !
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Un seul FAI vous manque et tout est dépeuplé
Bon la box honnetement c'est pas trop le probleme : ipv6 est massivement dispo dans les kernels linux utilises par tous les constructeurs de box (interne ou externe). Meme si tu cherches le challenge avec une IAD en Freebsd, y a pas de soucis. A la limite c'est les asics qui peuvent limiter un peu les perfs mais c'est tres rare maintenant. Reste plus que le DSLAM. Chez Free ils ont pas le soucis, ils le font eux meme ! :D Le 15 sept. 2011 19:42, Frédéric Dhieux frede...@syn.fr a écrit : On est d'accord, je comptais ce que tu expliques ici comme la partie end user FAI (box, NRA, etc) ;) Le 15/09/2011 18:16, Guillaume Barrot a écrit : Frédéric Dhieux frede...@syn.fr mailto:frede...@syn.fr a écrit : - Les opérateurs mettent en place des backbones IPv6 (jusqu'ici on est dans les clous je dirais majoritairement) - Les end users reçoivent de l'adressage IPv6 des FAI (déjà là ça se complique) Si dans backbone tu entends les routeurs uniquement, en effet, c'est pas le plus difficile. Si tu rajoutes les DSLAM, et que, au hasard, tu as des anciennes générations, déjà, c'est plus complexe. Alors effectivement, on peut les changer par des tout neuf ... mais c'est cher. Pour info, un swap de ligne DSL dans un NRA, si tu as pas de chances, et pas le système de précablage qui va bien, c'est le technicien FT qui passe et qui bascule tes lignes de l'ancien DSLAM au nouveau... et là, tu peux partir sur 20% de pertes de delta entre avant et après. Et ça coute un bras. Sans rentrer dans des détails sans fin, jusqu'aux switchs de collecte, on a aucun soucis technique. On est bloqué entre le switch et la box !
[FRnOG] Re: [FRnOG] [FRnOG] Re: Un seul FAI vous manque et tout est dépeuplé
En meme temps quand on voit l'@IPv6 de facebook : http://www.pcinpact.com/actu/news/64978-facebook-ipv6-adresse-hexadecimale.htm Pour ceux qui ne l'ont pas encore lu, la methode de deploiement (contestable) chez Facebook : http://www.nanog.org/meetings/nanog50/presentations/Tuesday/NANOG50.Talk9.lee_nanog50_atlanta_oct2010_007_publish.pdf Le 15 septembre 2011 23:04, Patrick Maigron patrick.maig...@institut-telecom.fr a écrit : Le 15/09/2011 20:05, Radu-Adrian Feurdean a écrit : On Thu, 15 Sep 2011 18:44:34 +0100, Thomas Mangin thomas.man...@exa-networks.co.uk said: http://www.google.com/intl/en/ipv6/ Quelqu'un connait l'equivalent pour facebook ? D'après FB sur ipv6-ops en mai dernier : Yes, this was setup between Facebook and HE as part of Facebook's IPv6 rollout. There is no mechanism at this time to request your network to be added to the whitelist, but we will be very open with our communications as soon as we are ready to add folks if we continue to utilize the whitelist. http://lists.cluenet.de/pipermail/ipv6-ops/2011-May/005429.html Patrick. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
[FRnOG] Re: [FRnOG] RE: [FRnOG] Un seul FAI vous manque et tout est dépeuplé
Salut a tous, Michel, OK pour le Stroh, mais je sais pas si ca va allait dans le sens que tu souhaitais ! Pour le coup j'ai tendance a soutenir Frederic : mais ou sont passes les autres fai et leur IPv6 ? Etant moi meme chez un de ces FAI, dont je ne dirai pas le nom (j'ai une famille :D ), IPv6, c'etait jusqu'il y a peu le combat d'un seul mec chez nous, versus le management+marketing a base de IPv6 on ira quand on aura pas le choix. Puis la penurie de v4 arriva, et la bam, c'est a realiser pour demain. Sur ce passe l'IPv6 world day, et la HOP, ca devient un besoin marketing. Bref, oui, les autres FAI s'en foutent totalement d'IPv6. Cela etant dit, faire du dualstack, meme maintenant, c'est pas forcement evident : si tu as des DSLAMs qui causent pas v6, ou des switchs de boucle de collectes pas mieux, et ben t'es oblige de gerer du tunnel ... ou d'upgrager en masse. Et investir plusieurs millions d'euros pour rajouter un service invisible pour Madame Michu, vous imaginez bien que le marketing et le management n'en voit pas l'interet. Je me rappelle d'un post de Rani en 2005-2006 a peu pres qui parlait justement de v6 et des problemes en collecte. Bon ca l'a pas empeche de deployer du v6 lui ... mais quand meme ! Quand t'as plus de v4, la par contre, c'est plus pareil : soit tu deploies un mecanisme de transition qui gere le v4 exhaustion, soit t'as plus de nouveaux clients (solution techniquement acceptable, mais pas marketingment). Et IPv6 rentra par la porte DS-Light avec CGN embarque sur l'AFTR ... et toutes les merdes qui vont avec ! Au moins Free, ils ont pas attendu d'etre oblige de passer a v6 pour une mauvaise raison : ils l'ont fait par (au choix) conviction / fun / defi technique, et le resultat est la : 50% du trafic mondial au bas mot. Pour les Dedibox, je leur taperai pas dessus non plus : gerer du v6 sur un backbone et des box, ok, meme si c'est pas a la portee du premier clampin venu (celui qui est meme sur la mailing list du FrNOG deja). Sur plusieurs dizaines de milliers serveurs en rack, plus complique deja, ne serait que par l'aspect securite ! Si en plus tu rajoutes que pour gerer ces serveurs, ils sont un truc genre 15 personnes, c'est pas forcement leur priorité. Ceci etant dit, la loi du marche est ce qu'elle est : OVH gere l'IPv6 de plus en plus massivement, donc si pas content de la Dedibox, y a les serveurs d'Octave qui parlent v6 ! Cela motivera peut etre Dedibox a aller creuser ce point, mais encore une fois, je ne leur jetterai pas la pierre (dans mon SI, j'ai encore du x25 et du CLNS, alors si tu veux, le v6 hein, pas pret d'arriver ...). Je vous propose la chose suivante : on enterre la hache de guerre sur ce sujet, et on va se mettre une mine d'anthologie au Stroh pour oublier que finalement, quoi qu'on dise, y a personne ou presque qui fait du v6 et que tous les gros s'en foutent en plus. A la limite, qui pour organiser un deuxième WGv6 ou on pourra parler de tout ca et boire du Stroh (faudrait qu'un Suisse ou un Luxembourgeois vienne, le Stroh c'est pas vendu en France a priori ... :D) ? Le 14 septembre 2011 05:44, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Frédéric GANDER a écrit: il restait encore plein de traffic v6 qui lui fonctionnait très bien. Radu-Adrian Feurdean a écrit: ... vous aviez juste perdu le peering avec HE, donc un peu plus de moitie de la table :) Frédéric GANDER a écrit: tu parles des mecs qui donnent du peering / transit v6 gratuit pour devenir tiers 1 dans 50 ans quand les gens se seront sortie le doigt du c.l pour faire du v6 ? [..] je parle pas de HE quand je dis des gens qui se sortent des doigt J'avais compris. Je ne comprends toujours pas pourquoi tu as écrit ça, ceci dit. je disais juste que HE font un paris sur ipv6 Ah, l'hôpital qui se fout de la charité. Tu ne donnes pas des tunnels v6 gratos à tes abonnés et tu ne veux pas devenir un T1? Guillaume, verse donc un verre de Stroh à Frédéric, merci. Double dose. mais que je sens un certain manque de motivation de bcp de monde sur le sujet Moi aussi, depuis plus de 10 ans. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Un seul FAI vous manque et tout est dépeuplé
Arthur Fernandez a ecrit c'est un peu plus compliqué que cela.. faut ajouter tous les imprévus déjà, et là, tu va te heurter à encore pas mal de bug dans tous les sens sur les équipements/softs, à des effets de bords regrettable, etc Et puis quand t'as des bons développeurs sur du soft connu et éprouvé ... et ouvert, ça passe. Vas y, passe un fabuleux système en J2E over Weblogic code par des mecs qui savent pas ce que c'est qu'une adresse IP ... Pour un existant a migrer en v6, tu as 90% du boulot qui est audite ton code, et redécouvre ce que tu as mis dedans. Et vas y que tu as de l'IP codée en dur, des appels de la stack IPv4 uniquement, etc. Alors quand tu as tout un SI a migrer, ça coute cher en doliprane déjà. Guillaume
[FRnOG] Re: [FRnOG] Re: [FRnOG] [FRnOG] Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Un seul FAI vous manque et tout est dépeuplé
Michel Py a ecrit : C'est parce qu'ils sont arrivés à la même conclusion il y a bien longtemps qu'ils ne font rien. En plus, ne pas oublier que CGN est une technologie bien connue et déjà déployée en masse sur les réseaux mobiles. En mobile, le marché qui demanderait une IP publique pour un téléphone est tellement petit que personne ne le fait. En fixe, il y aura les deux, mais c'est clair qu'il y a un segment important du marché qui se satisfera d'une connexion derrière un CGN. Aaaah le 3GPP et le mobile ont encore frappe. Il est vrai qu'on peut clairement faire la même chose derriere une connexion 3G que derrière une box ... ou pas ! Avec l’arrivée des clefs 3G déjà, on se dit mais comment on va pas cramer les boitiers/cartes de CGN avec ca ??? Anecdote, mais en 2008, les clefs 3G, c’était 1% du parc, et ça générait entre 70 et 90% du trafic. Alors en plus quand tu cherches les coups, non seulement tu nates, mais en plus tu fais passer par proxy / firewall et tout le bordel 3GPP approved et la, c'est le drame. Donc, les clefs 3G t'ouvrent les yeux sur le fait que rajouter des briques qui servent a rien, ca coute cher en dimensionnement. Après tu te dis mais quel client va accepter un accès Internet sur lequel son sip phone ne marche pas ? Tu t'en sors en interdisant la ToIP sur la connexion data (le comble : le mec il veut pas user ton infra voix, et toi t'es pas content !), mais tu te dis en cachette pourvu qu'on vienne pas nous obliger a l'autoriser un jour Bon les gentils développeurs de Skype rende le produit nat-proof, et tu te dis que tu ais sauve. Mais la arrive 1) le méchant Iphone qui consomme 300 ports TCP juste en s'allumant 2) les pages web enrichies qui en fait appelle des pages web dans la page web, et la tu te retrouves avec 200 ports sources ouverts juste pour lancer Dailymotion 3) les jeux en ligne que ca serait bien qu'ils tournent sur les PCs avec une connexion 3G integrees, les tablettes, voire demain, les smartphones 4) le peer to peer, légal dans l'absolu (oui oui, un torrent pour DL une iso Linux, c'est possible, et c'est même pas illégal) Heureusement sur ce deux derniers points, la latence catastrophique due a l'architecture je centralise tout sur mon GGSN, 3GPP approved, fait que finalement le NAT est le moindre de tes problèmes. Pendant ce temps, en Finlande, l'autre pays de la déprime 3GPPique, on sort des démos de téléphone qui tourne même DS-Lite natif, mais le monde entier s'en fout, parce que (et je cite un truc que j'ai reelement entendu un jour, de la part d'un 3GPPiste convaincu) une adresse IP avec des lettres, c'est une connerie. Non mais bien sur, la, je dis tapis. Le mobile, c'est super adapte pour de la voix, c'est réfléchit pour ça, ça gère le handover, le roaming et tout, et quand on téléphone, c'est bien mangez en. Mais en data pure, faudra vraiment qu'on m'explique la différence fondamentale avec un PC en wifi (surtout avec des bornes WIFI et un contrôleur en CAPWAP) ! Conclusion, c'est pas parce que sur le mobile on fait n'importe quoi sur la data depuis des années qu'il faut s'en inspirer ! Guillaume Leclanche a ecrit : Cet été en Espagne j'ai été supris de voir que j'avais une IPv4 publique chez Vodafone. Une autre fois en discutant avec un ingénieur de Tele2 Suède, je me suis vu répondre Ah bon, vous NATez vos clients ?. Eux ne le faisaient pas. Apres si tu as ete intelligent au debut du déploiement, tu es sauvé. Va au RIPE maintenant, et demande 20 milllions d'@IPs publiques parce que finalement tu as change d'avis et que tu veux plus nater ... a mon avis tu fais Paris - Amsterdam en avion a l'aller, et au retour, juste avec le coup de pied au cul, tu reviens a Roissy. Donc c'est trop le bon plan de nater, tu peux juste plus faire marche arrière... Et puis le NAT, pour les obligations légales, c'est juste trop facile a gérer. non content de relever les baux DHCP de ton GGSN (si c'est embarque dedans), faut en plus que tu corrèles ça avec les logs de ton CGN ... Moi je dis, en plus, comme a priori tu aimes le cuir, le fouet a clous, et tout le toutim, dans la boucle tu rajoutes 1) des proxys 2) des firewalls 3) des @IPs pas liees au client, mais tout en dynamique 4) gravier et verre pilé a la première réquisition judiciaire. Donc, full v4 public, ca coute moins cher, c'est plus rapide, y a pas d'effet de bord sur des protocoles L4/7 (sip, ftp, etc.) MAIS fallait y penser au début, maintenant, y a plus. Et la, c'est le re-re-re drame.
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] RE: [FRnOG] Un seul FAI vous manque et tout est dépeuplé
Ouais, d'ailleurs je crois qu'on a encore du FDDI quelque part. Ouh IPv6 over Token Ring, CA c'est du defi ! :D 2011/9/15 Thomas Mangin thomas.man...@exa-networks.co.uk On 14 Sep 2011, at 23:11, Guillaume Barrot wrote: Alors quand tu as tout un SI a migrer, ça coute cher en doliprane déjà. Pourquoi migrer TOUT le SI ? Durant des années, et surement encore maintenant, il y a eu des réseau mixes apple talk / token ring avec des passerelles ethernet et ca marchait bien, la transition c'est faite progressivement avec le remplacement du park .. Thomas -- Cordialement, Guillaume BARROT
Re: [FRnOG] Le troll du vendredi par Michel
Du Stroh (http://fr.wikipedia.org/wiki/Stroh) Je vous le deconseille fortement : non seulement ca tape 80deg mais en plus c'est immonde. Et c'est meme interdit en avion tellement ca brule ! Treve de rigolade, on a bien un revendeur de serveurs qui nous a presente des serveurs refroidit par bain d'huile, il y a peu. Et, si je ne m'abuse, chez OVH il y a deja du watercooling pour les serveurs. De la a penser qu'on peut exploiter l'idee pour refroidir les usines a paquets que sont les monstres du haut de gamme des constructeurs ... Et puis ca fera une feature a vendre, c'est pas plus mal ! Le 9 septembre 2011 18:30, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Benjamin Billon T'avais pas dit non à l'alcool ? Moi? Quelle drôle d'idée. Je ne bois jamais entre 2 verres, ceci dit. D'ailleurs, en parlant de çà: Guillaume Barrot a écrit: Watercooling de routeurs avec le petit bac a eau avec neon (pour le cote marketing) en top of rack ? Et pour faire plaisir a Michel refroidissement des sfp+ en watercooling aussi avec passage du liquide de refroidissement integre dans la gaine des fibres.Tout ca avec couleur reagissant aux UVs pour qui puissent tuner les ASR et les MX avec des neons de lumiere noire pour un top effet disco dans les salles machines. Dis donc Guillaume pourrais-tu nous expliquer ce que tu as picolé la nuit dernière? Ca a l'air sympathique, j'en prendrais bien une bouteille ou deux. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
Re: [FRnOG] Le troll du vendredi par Michel
Tiens si y a du Cisco ou du Juniper sur le liste : ca vous dit pas la killer-feature ? Watercooling de routeurs avec le petit bac a eau avec neon (pour le cote marketing) en top of rack ? Et pour faire plaisir a Michel refroidissement des sfp+ en watercooling aussi avec passage du liquide de refroidissement integre dans la gaine des fibres. Tout ca avec couleur reagissant aux UVs pour qui puissent tuner les ASR et les MX avec des neons de lumiere noire pour un top effet disco dans les salles machines. Aaaah ca fait du bien d'etre vendredi ! Le 9 sept. 2011 05:42, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Laurent Cima a écrit: [SFP+ DWDM] Embarquer de l'électronique et le peltier pour le refroidissement ne me semble pas être la bonne solution. Mais si mais si, il faut juste un ventilateur de taille 3mm inclus dans le SFP+. On a des ventilateurs de CPU depuis 20 ans, des ventilateurs de carte vidéo 3D depuis 10 ans, des ventilateurs de chipset depuis 5 ans. Prochaine étape: le ventilateur individuel de SFP+. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Marque Prix pour DWDM Passif ?
Bonjour a tous, Je suis interesse aussi, vous auriez l'ordre de grandeur du prix public ? Merci d'avance, Le 7 sept. 2011 14:27, Raphael MAUNIER rmaun...@neotelecoms.com a écrit : Cube Optics pour les muxs sans hésiter ! Leur nouveau mux 40 lambda est super intéressant prix/lambda -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 On 9/7/11 2:10 PM, Ducassou Laurent laurent...@spaceshell.fr wrote: Bonjour, J¹envoie ce petit sujet après avoir consulter les archives de la ML sur un an environ. J'ai pu constater qu'un sujet existe mais hélas, beaucoup de réponses se sont fait en offlist d'après les écrits. J'aurais besoin d'être aiguiller vers des marques fiables pour du DWDM passif et le plus important si possible si vous avez des idées de prix (en 1paire/lien) pour des mux/demux à 8/16/32 canaux (si possible extensible pour les 8/16 canaux) et sur les OADM 1/2/4 canaux. Merci d'avance. Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] RE: [FRnOG] Re: BGP : Routing Peering ( was : Re: [FRnOG] Re: [FRnOG] Le troll de la liste du FRnOG est rentré de vacances! )
Mauvais esprit ca : c'est deja le cas chez plein de constructeurs ! (tous ?) Moi je vois bien la speculation sur la bande passante, avec achat d'obligation operateurs... Qui a dit ca aussi c'est deja le cas ??? Le 6 sept. 2011 17:10, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Raphaël Jacquot a écrit: je vois bien les mecs nous sortir un truc genre high frequency routes update, qui change les routes plusieurs milliers de fois par seconde Ca c'est une idée de génie pour pousser le marché à un autre forklift upgrade: ah mais tu comprends ton routeur il ne supporte pas le nouveau route processor pour le high frequency route update donc faut que tu achètes le nouveau modèle. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Nouveau sur la liste, présentation
Sauf a la limite s'il vend des carottes rapes IPv6 compliant :) Le 5 sept. 2011 08:20, Antoine MUSSO amu...@free.fr a écrit : On 02/09/11 10:49, Julien Follenfant wrote: Bonjour, Je vend des carottes râpées et des roues de bagnole. Tu n'as donc à mon avis rien à faire sur cette liste. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Nouveau sur la liste, présentation
Certes mais vu qu'il vend des roues de bagnole, il fait donc du routage, cqfd :) Le 5 sept. 2011 09:44, Gautier HUSSON - FRNOG ghusson+fr...@thalos.fr a écrit : Et encore ... vu que les nabaztag sont morts... le marché a dû s'écrouler :) Le 05/09/2011 08:22, Guillaume Barrot a écrit : Sauf a la limite s'il vend des carottes rapes IPv6 compliant :) Le 5 sept. 2011 08:20, Antoine MUSSO amu...@free.fr mailto:amu...@free.fr a écrit : On 02/09/11 10:49, Julien Follenfant wrote: Bonjour, Je vend des carottes râpées et des roues de bagnole. Tu n'as donc à mon avis rien à faire sur cette liste. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Coupure freeix / peer proxad
Sur le FranceIX, tu as 100Mbit/s pour 500€ d'installation, pas de couts mensuel (cf. leurs tarifshttps://www.franceix.net/page.php?MP=editorialST=sectionop=aff_sectionsecid=6 ). Après dès qu'on dépasse les 100M, ça devient du coût récurrent mensuel. Le 30 août 2011 14:00, Sebastien WILLEMIJNS sebast...@willemijns.com a écrit : On Tue, 30 Aug 2011 11:52 +, Stephane JAUNE stephane.ja...@bullpi.com wrote: Hello, tous, Suis-je le seul à m'inquiéter de la fin du peering avec free, sfr et d'autres ? Pour les petits hébergeurs comme nous, qui fournissons du contenu aux abonnés des grands opérateurs, le freeix était très intéressant. J'ai été surpris d'apprendre que cette offre a fermé par manque de traffic... peut-etre qu'il ne restait plus que des petits opérateurs ??? --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
[FRnOG] Re: RFC 6301: A Survey of Mobility Support In the Internet
Tous les opérateurs de téléphonie mobile implémentent de la mobilité via Gtp (3Gpp oblige), d'où les S et Ggsn. Mais cela ne marche que dans le réseau de l'opérateur, donc cela ne couvre pas des cas comme celui cité dans mon article (Free à la maison, puis Bouygues dans le train puis Renater au bureau). Pas tout à fait, puisque des accords de roaming existent, tu peux avoir Free Mobile (via une femtocell par exemple) à la maison, puis Bouygues dans le train, puis Swisscom en Suisse dès que tu as passé la frontière etc. Evidemment, ça se limite à la techno GSM, mais on peut envisager aussi une portabilité Wifi via EAP-SIM, et éventuellement WIMAX (mais là c'est plus la faiblesse des réseaux et des appareils compatibles qui pose problème). Le choix d'une techno orientée mobile (S et GGSN) est pas forcément le meilleur choix, car très lié à l'usage téléphone mobile. Mobile IP (notamment en v6) mérite d'être regardé de près pour ce genre de problématique. Après, le problème de fond sur la mobilité, c'est que dans les technos que je connais, tu as un réseau très centralisé (toute connexion remonte à un serveur central, ou régional, même si c'est pour discuter avec ton voisin à 3m), donc niveau optimisation du trafic c'est pas la joie. Exemple : L2TP, tout remonte au LNS, qui n'est pas au cul du DSLAM en général ... Du coup, la télé sur multicast en mobilité, si tout est encapsulé dans un mécanisme de tunnel ... ça marche pas des masses. La preuve, la télé sur mobile, c'est du streaming, pas du multicast. Bref, la mobilité, si on essaye de résoudre ça par tunnel vers un point central, c'est très limitant pour le réseau au final.
Re: [FRnOG] RFC 6301: A Survey of Mobility Support In the Internet
Tous les opérateurs de téléphonie mobile implémentent de la mobilité via Gtp (3Gpp oblige), d'où les S et Ggsn. Des études pour implémenter mobile ip ont été faites il y à quelques années chez nous, avec comme conclusion qu'on ne déploierait pas mais j'ai pas le détail du pourquoi la, si ce n'est que Gtp étant le standard de facto pour les telcos (3gpp), être le premier (voire le seul) à partir sur mobile ip doit poser des problèmes sur la gestion du roaming. Sur un réseau fixe (adsl, ftth) la question ne s'est jamais posée à ma connaissance (je parle bien de mobilité pas d'ip fixe). Le 10 juil. 2011 22:43, Stephane Bortzmeyer bortzme...@nic.fr a écrit : Quelqu'un ici a-t-il une offre Mobile IP à son catalogue ? Je suis presque sûr que non. Pourquoi, se demande ce RFC. http://www.bortzmeyer.org/6301.html Auteur(s) du RFC: Z. Zhu (UCLA), R. Wakikawa (TOYOTA ITC), L. Zhang (UCLA) Dans le monde des réseaux informatiques, on distingue en général le *nomadisme* (pouvoir changer d'endroit et avoir à peu près les mêmes services) et la *mobilité* (pouvoir changer d'endroit en maintenant les sessions existantes, comme si on n'avait pas bougé). Aujourd'hui, où beaucoup d'équipements sont mobiles (smartphone, tablette, ...), la mobilité suscite beaucoup d'intérêt. D'où ce RFC qui évalue l'état actuel du déploiement des techniques de mobilité sur l'Internet. (Disons-le tout de suite, il est très faible.) Je vais me permettre de commencer par une polémique et des opinions personnelles : dans la famille de protocoles TCP/IP, la mobilité, c'est comme le multicast. Beaucoup de RFC, très peu de paquets. Le sujet passionne les experts, pose plein de problèmes techniques amusants, permet d'écrire des algorithmes rigolos... mais touche très peu les utilisateurs. Comment cela, les utilisateurs ne veulent pas se connecter à l'Internet depuis leur maison, puis continuer au bureau ? Si, ils le veulent, mais il n'est pas du tout évident que la mobilité au niveau IP soit nécessaire pour cela. Aujourd'hui, la technique de mobilité la plus courante est DHCP... La machine reçoit une nouvelle adresse IP et ce sont les applications qui gèrent les déconnexions/reconnexions. Prenons l'exemple du client de messagerie instantanée Pidgin et supposons que je me promène avec mon ordinateur portable, connecté via clé USB 3G dans le train, via le Wifi au Starbucks, puis via un câble Ethernet au bureau. J'aurai une adresse IP différente à chaque fois et les sessions IRC ou XMPP seront donc coupées lors des changements. Est-ce grave ? Pas tellement. Pidgin se reconnectera automatiquement à chaque fois et la seule conséquence pratique sera les messages de déconnexion et de reconnexion que verront les abonnés de chaque canal IRC / pièce XMPP. On a là un bon exemple du fait qu'une gestion de la mobilité par l'application cliente (section 5.5 de notre RFC) est suffisante et qu'il n'y a pas besoin d'un service réseau (compliqué et amenant des problèmes de sécurité) pour cela. Même chose avec une application Web : chaque requête HTTP peut utiliser une adresse source différente, l'utilisateur ne s'en rendra pas compte (à part éventuellement une obligation de se réauthentifier si le cookie est lié à l'adresse IP, ce qui se fait parfois pour limiter la réutilisation d'un cookie volé). Les applications qui reposent sur HTTP (les clients Twitter, par exemple) arrivent également à maintenir une « session » lors de changements d'adresse IP. Bien sûr, une telle gestion par l'application ne couvre pas tous les cas. Un gros transfert de fichiers avec curl ou wget ne peut pas fonctionner ainsi, puisque ce transfert utilise une seule connexion TCP, donc dépend de l'adresse IP source utilisée au départ (cf. section 6.2). (Avec rsync, et un script qui le relance jusqu'à complétion, ça marcherait.) Et, évidemment, les sessions SSH ne peuvent pas être maintenues lorsqu'on change d'adresse. Mais il reste quand même énormément de cas où il n'y a *pas* de vrai problème lié à la mobilité et cela explique largement, à mon avis, pourquoi les techniques de mobilité IP sont si peu déployées. J'arrête là les opinions personnelles et je reviens au RFC. La section 1 explique que ce RFC est motivé par le fait que la mobilité est depuis longtemps un sujet de recherche actif à l'IETF et que, depuis quelques années, le déploiement des engins mobiles a explosé (smartphones, tablettes, etc). Le besoin est donc nettement plus marqué maintenant que dix ans auparavant, lorsqu'un ordinateur portable était un machin encombrant et lent. Pourtant, les solutions normalisées par l'IETF ont été peu déployées. Ces solutions utilisent un vocabulaire rappelé en section 2 et dans le RFC 3753. Notons notamment les termes d'*identificateur* (identifier) qui indique une valeur qui ne change pas lors des déplacements, de *localisateur* (locator), qui, lui, change
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
De mon cote je comprends bien le gain de telles solutions mais je ne comprends pas ce que ca rajoute comme fonctionnalite par rapport a un truc comme lisp (lui aussi en draft) avec comme interet de ne pas rajouter l'eternel probleme des ALG SIP. Ca a l'air plus simple a implementer et ca doit probablement avoir un impact faible sur les perfs des routeurs (ca a l'air codable en asic sans trop de soucis, non). Vous voyez d'autres arguments ? Bossant dans un des derniers bastions du 3GPP, si on pouvait se passer de la partie ALG Sip et ne garder sur les sbc que le filtrage des messages L7 (un proxy transparent quoi) ce serait la fete dans les chaumieres ! Le 1 juil. 2011 08:12, Pierre Lagoutte pie...@dratech.com a écrit :
Re: RE: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Je ne suis pas sûr que tu aies saisi le sarcasme de Pierre, ceci dit. you have a sarcasm sign ? (Sheldon Cooper) :) Je pensais plus a l'analyse de Stephane sur les gains d'une telle solution, notamment le multihoming.
Re: [FRnOG] RFC 6296: IPv6-to-IPv6 Network Prefix Translation
Je crois qu'on est tous d'accord pour dire que le nat securise est un oxymore mais reste le sujet du multihoming sur lequel le nat66 apporte une reponse (certes pas terrible mais bon). De mon cote, hors de question de mettre en place du nat66 sur les cpe, aucun interet. Un bon firewall sur le cpe, ca fait plus serieux. Le 1 juil. 2011 10:17, Raphaël Jacquot sxp...@sxpert.org a écrit :
Re: [FRnOG] Routeur Haute dispo IPv6
Déployé sur le labo, sur 6500 / 12.2.33SXJ, la conf est un peu différente mais fonctionne bien : ipv6 unicast-routing ipv6 cef mls ipv6 vrf # activation du support d'ipv6 / vrf vrf definition INFRA rd 666:200 route-target export 666:200 route-target import 666:200 ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family interface Vlan301 vrf forwarding INFRA ip address add mask no ip redirects no ip unreachables no ip proxy-arp ipv6 address addv6/64 ipv6 nd dad attempts 10 ipv6 nd prefix default no-advertise ipv6 nd router-preference High ipv6 nd ra interval msec 500 ipv6 nd ra lifetime 10 Temps de convergence observée : ~1sec Sur un VSS, j'ai réduit les timers pour ne pas polluer avec des messages inutiles, mais la mise en place de la gw/def se fait bien sur différents types d'OS (Win2003 / 2008, Linux 2.6.x, Solaris 10). Le 22 mai 2011 19:13, Olivier Benghozi olivier.benghozi+fr...@gmail.com a écrit : Pas forcément la peine de faire du FHRP avancé en IPv6: du RA avec un timing judicieusement paramétré sur les routeurs peut faire l'affaire, ce sont les hosts eux-mêmes qui changeront de route par défaut si le meilleur RA n'est plus reçu. Dans son article http://packetlife.net/blog/2011/apr/18/ipv6-neighbor-discovery-high-availability/ , Jeremy stretch montre en effet qu'une bascule en 1seconde est possible juste avec les RA, sans fhrp. On n'est d'ailleurs pas obligé de faire du SLAAC (ce qui n'est probablement pas une bonne idée pour des serveurs); on peut configurer des IPv6 fixes, et balancer des RA n'advertisant aucun préfixe, juste pour traiter la route par défaut. Par exemple pour une interface Cisco, pour répliquer le timing par défaut du HSRP (10 secondes): no ipv6 nd ra suppress ipv6 nd advertisement-interval ipv6 nd ra lifetime 10 ipv6 nd ra interval msec 3000 ipv6 nd router-preference high (pour le routeur actif par défaut) ipv6 nd prefix default no-advertise -- Cordialement, Guillaume BARROT
Re: RE: [FRnOG] Re: Le troll du lundi par Michel
Excellent trolldi a tous et du coup, appelle a cotiz pour se payer le .troll. Surtout que j'imagine bien l'AFNIC annoncer on gere le .fr mais aussi le .troll. Aucun lien. Le 24 juin 2011 00:13, Aurélien Leicknam aleick...@gmail.com a écrit : trolldi Et moi qui espérait le .chezmoi pour adresser mon jacobdelafon *.* en V6 nous voilà avec la promesse d'un .promesse, voir pire : un .final ... on fait un .godwin pour la liste ? /trolldi Le 23 juin 2011 23:44, Guillaume Barrot guillaume.bar...@gmail.com a écrit : Question plus ou moins en rapport : aux dernieres nouvelles zeroconf utilise toujours .local en tld. L'IANA a toujours pas prevu d'officialiser la chose ? Je crois qu'Apple a ete prie d'ecrire une rfc pour normaliser Bonjour justement, ce qui risque de poser probleme si le .local n'est pas reserve. Surtout si zeroconf devient la norme de facto pour le home networking. (je pense a un fameux printer.local notamment qui risque de se generaliser) Le 23 juin 2011 23:35, Guillaume Barrot guillaume.bar...@gmail.com a écrit : C'est dommage que ce soit si cher parce qu'y avait matiere a s'amuser avec les .alaligne, .final ou autre .danslagueule. N'ont vraiment pas d'humour a l'IANA... (30min trop tot pour le troll mais bon, on dira que c'est l'heure d'hiver vu le temps) Le 23 juin 2011 23:03, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Patrick Maigron a écrit: En plus de la liste de noms réservés, il y a une clause de protection des noms géographiques, donc personne ne pourra réserver .france ni .trifouillylesoies sans accord des intéressés... Ceci dit il ne faut pas sous-estimer la créativité de certains; je me rappelle du coup qui consistait à compléter trésor public pour le transformer en trésor publicité. Vu les efforts créatifs qu'on a vu récemment du genre dell.techsupportco.com on peut être sûr qu'il y a des gens qui travaillent sur la chose. Même au second niveau les créateurs d'extensions sont fortement incités à faire attention aux noms géographiques de type france.vin par exemple. Ca c'est un voeu pieux; c'est sûr que si le nouveau TLD est .cisco ou .juniper on ne risque pas trop de voir d'accidents (quoi que support.france.cisco serait légitime). Mais si le nouveau TLD est générique disons .machin, ce qui va se passer c'est que GoDaddy et autres vont s'en emparer et qu'il sera tout aussi facile d'enregistrer france.machin que d'enregistrer truc.machin. Si une extension est rejetée (pour une raison ou une autre), le créateur récupère une partie des 18$ : 80% si c'est en début de procédure mais seulement 20% à la fin, ça fait réfléchir... Oui heureusement qu'il y a la barrière élevée du prix, sans ça on aurait vite encore une autre jungle sur les bras. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Aurélien
Re: RE: [FRnOG] La lesson de vocabulaire anglais par Michel
Quelle est la différence entre oxymore et contradiction ? Oxymore est une figure de style, c'est donc une utilisation volontaire de la contradiction dans le but de choquer, faire rire etc. (de l'interet d'epouser une literraire ;) ) Ex : pompier pyromane, manager operationnel, directeur comprehensif etc.
Re: [FRnOG] La lesson de vocabulaire anglais par Michel
Involontairement on vient de m'en rappeler une belle qui court dans ma boite : architecte debutant. Alors oxymore ou contradiction ? :) Le 23 juin 2011 09:35, Nicolas CARTRON nico...@ncartron.org a écrit : On Thursday, June 23, 2011 at 9:07 AM, Ionel GARDAIS wrote: La contradiction est souvent liée au sens ou à l'interprétation qui en est faite. C'est plus concret que l'oxymore qui est une figure de style pour souligner le nom par l'adjectif utilisé pour le construire. Hadopi est utile est une contradiction. L'inefficace utilité d'Hadopi est un oxymore. Bon, nous ne sommes pas vendredi, mais je trouve assez sympa d'avoir un thread sur notre bonne vieille langue française sur une ML telle que FrNOG :) -- Nicolas
Re: RE: [FRnOG] Re: Le troll du lundi par Michel
C'est dommage que ce soit si cher parce qu'y avait matiere a s'amuser avec les .alaligne, .final ou autre .danslagueule. N'ont vraiment pas d'humour a l'IANA... (30min trop tot pour le troll mais bon, on dira que c'est l'heure d'hiver vu le temps) Le 23 juin 2011 23:03, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Patrick Maigron a écrit: En plus de la liste de noms réservés, il y a une clause de protection des noms géographiques, donc personne ne pourra réserver .france ni .trifouillylesoies sans accord des intéressés... Ceci dit il ne faut pas sous-estimer la créativité de certains; je me rappelle du coup qui consistait à compléter trésor public pour le transformer en trésor publicité. Vu les efforts créatifs qu'on a vu récemment du genre dell.techsupportco.com on peut être sûr qu'il y a des gens qui travaillent sur la chose. Même au second niveau les créateurs d'extensions sont fortement incités à faire attention aux noms géographiques de type france.vin par exemple. Ca c'est un voeu pieux; c'est sûr que si le nouveau TLD est .cisco ou .juniper on ne risque pas trop de voir d'accidents (quoi que support.france.cisco serait légitime). Mais si le nouveau TLD est générique disons .machin, ce qui va se passer c'est que GoDaddy et autres vont s'en emparer et qu'il sera tout aussi facile d'enregistrer france.machin que d'enregistrer truc.machin. Si une extension est rejetée (pour une raison ou une autre), le créateur récupère une partie des 18$ : 80% si c'est en début de procédure mais seulement 20% à la fin, ça fait réfléchir... Oui heureusement qu'il y a la barrière élevée du prix, sans ça on aurait vite encore une autre jungle sur les bras. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: RE: [FRnOG] Re: Le troll du lundi par Michel
Question plus ou moins en rapport : aux dernieres nouvelles zeroconf utilise toujours .local en tld. L'IANA a toujours pas prevu d'officialiser la chose ? Je crois qu'Apple a ete prie d'ecrire une rfc pour normaliser Bonjour justement, ce qui risque de poser probleme si le .local n'est pas reserve. Surtout si zeroconf devient la norme de facto pour le home networking. (je pense a un fameux printer.local notamment qui risque de se generaliser) Le 23 juin 2011 23:35, Guillaume Barrot guillaume.bar...@gmail.com a écrit : C'est dommage que ce soit si cher parce qu'y avait matiere a s'amuser avec les .alaligne, .final ou autre .danslagueule. N'ont vraiment pas d'humour a l'IANA... (30min trop tot pour le troll mais bon, on dira que c'est l'heure d'hiver vu le temps) Le 23 juin 2011 23:03, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Patrick Maigron a écrit: En plus de la liste de noms réservés, il y a une clause de protection des noms géographiques, donc personne ne pourra réserver .france ni .trifouillylesoies sans accord des intéressés... Ceci dit il ne faut pas sous-estimer la créativité de certains; je me rappelle du coup qui consistait à compléter trésor public pour le transformer en trésor publicité. Vu les efforts créatifs qu'on a vu récemment du genre dell.techsupportco.com on peut être sûr qu'il y a des gens qui travaillent sur la chose. Même au second niveau les créateurs d'extensions sont fortement incités à faire attention aux noms géographiques de type france.vin par exemple. Ca c'est un voeu pieux; c'est sûr que si le nouveau TLD est .cisco ou .juniper on ne risque pas trop de voir d'accidents (quoi que support.france.cisco serait légitime). Mais si le nouveau TLD est générique disons .machin, ce qui va se passer c'est que GoDaddy et autres vont s'en emparer et qu'il sera tout aussi facile d'enregistrer france.machin que d'enregistrer truc.machin. Si une extension est rejetée (pour une raison ou une autre), le créateur récupère une partie des 18$ : 80% si c'est en début de procédure mais seulement 20% à la fin, ça fait réfléchir... Oui heureusement qu'il y a la barrière élevée du prix, sans ça on aurait vite encore une autre jungle sur les bras. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Attention au SLAC
Soyons clair, je ne dis pas que le SLAAC c'est la solution geniale pour les serveurs, mais l'IP fixe ne l'est peut-etre plus non plus (a part pour des cas ou tu attaques ton serveur via l'IP, comme des DNS, Radius etc.). Pour le reste oui je connais GSLB ou des intercos de Datacenter en niveau 2, et honnêtement entre les deux, je préfère la première solution, qui finalement converge *globalement* très bien (effectivement tu n'ais pas a l'abris d'un TTL non respecte ou d'un cache de 20j, mais d’expérience c'est assez rare). Quant a du routage sur un serveur, la majorité des gens savent gérer du routage sur un parc de plusieurs centaines de routeurs, et le fait que tu ais plusieurs centaines de serveurs sur un site serait différent ? Sans outillage adapte je veux bien, mais je doute qu'un hébergeur de plusieurs centaines de serveurs fassent ça a la main. Pour la solution de Facebook, ce n'est pas la solution idéale, mais elle a l'interet de permettre de passer rapidement un site en v6, ce qui peut intéresser pas mal de gens en ces temps de v6 Day. Le 8 juin 2011 22:20, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.neta écrit : On Wed, 8 Jun 2011 21:29:50 +0200, Guillaume Barrot guillaume.bar...@gmail.com said: Question : que fait le technicien sur le WWN de SAN si c'est pas la même chose ? Il rend pas sa baie SAN accessible en FC au monde entier.. Deuxio, de nouveaux serveurs arrivent avec la possibilité de cloner la conf hard (wwn, mac etc, ex : UCS Cisco). On peut espérer que ça se généralise. Bonjour le bordel quand on clone la conf hard sur deux unites differentes. De plus, quel intérêt de conserver la même @IP pour tous les serveurs attaques sur une URL ? Du push DNS au DDNS les solutions pour conserver le nom en changeant l'IP existent depuis longtemps. Ah bon ? Tu sais comment updater le cache DNS des ISPs de la planete, surtout pour ceux qui decident de ne pas trop respecter le TTL ? Et enfin, si tu virtualises pas de soucis, or c'est pas déconnant sur un certain nombre de serveurs frontaux internet. Il y a des choses qu'on virtualise, il y a des choses (parfois meme exposes publiquement) qu'on virtualise pas. Bref une faille de niveau 2 me semble peu dangereuse vis a vis des autres failles plus faciles a utiliser (rootkit sur un serveur Linux mal patché par exemple, ou SQL injection sur une infra n-tiers mal configurée). . L'IP fixe, c'est simple et maîtrisée, mais ça pose un gros problème : c'est fixe, et lie a ton plan d'adressage. Maintenant, si tu utilises des serveurs virtuels, et que tu souhaites pouvoir les déplacer d'un site A a un site B sans trop de contraintes, sachant que tes utilisateurs s'y connectent via une URL, tu as deux solutions : - un vlan étendu ou tout autre solution de Datacenter Interconnect de l'EoMPLS a des trucs plus exotiques comme OTV ou Fabricpath de Cisco - un adressage dynamique et des updates du DNS (via DDNS ou du GSLB par exemple) Le choix c'est soit la complexité d'un niveau 2 étendu (ça parait simple comme ça ...), soit la complexité d'une IP dynamique (et le comment je gère mes règles firewall etc.) troll Quand on fume un peu trop la moquette, on finit par faire du cloud (cloud de fummee *ET* cloud computing). /troll Plus serieusement, est-ce que tu as jamais eu a gerer les choses dont tu parles ? Si oui, dans quel type d'environnement ? Je me rappelle avoir vu tourner un vieux VAX de chez DEC avec une config rigolote : le service porté sur une loopback, et les interfaces réseaux non configurées prenait une IP dans le linklocal (169.254.x.x), et un daemon RIP qui tournait en standard == tu pouvais joindre ton service sans pour autant connaitre les @IPs des interfaces. La même chose en IPv6 avec un daemon RIPng ou OSPFv3, c'est pas bien compliqué a mettre en place vu comment le linklocal est bien globalement bien géré. Et gérer le SLAAC sur une loopback pour le coup :D 1: C'est pas bien complique pour une machine. Commence a ajouter des zeros a la fin et ca change radicalement. 2: SLAAC sur une loopback, ca doit etre fun. Un tres bon sujet pour ce vendredi. Autre solution, toute bête : pas de v6 sur les serveurs (cf la presentation d'IPv6 at Facebook sur le site du Nanog http://www.nanog.org/meetings/nanog50/presentations/Tuesday/NANOG50.Talk9.lee_nanog50_atlanta_oct2010_007_publish.pdf ). Pas mal de serveurs en frontal internet étant en ferme derrière des loadbalancers, c'est généralisable. Ca fait juste poudre dans les yeux. Je me souviens avoir teste FB over IPv6 a l'epoque et la premiere connexion c'etait le douche gele (Facebook has detected that you are trying to connect from an un-familiar location : San Francisco, California - avec en cadeau l'IP du proxy v6-v4 et tout le cirque d'identification des amis dans des photos avec leurs chiens et chats). -- Cordialement, Guillaume BARROT
Re: [FRnOG] Attention au SLAC
Bonjour, Le 8 juin 2011 13:31, Jérôme Nicolle jer...@ceriz.fr a écrit : Bonjour, Un premier feedback concernant World IPv6 day, plus particulièrement ce qui semble être une mauvaise pratique : l'utilisation de SLAAC (StateLess Address Auto-Configuration) sur des serveurs publics. J'y vois deux problèmes majeurs, sur lesquels j'aimerai avoir vos impressions : - Scenario de reprise après incident : panne matérielle Le serveur tombe en rade, le service doit migrer sur une nouvelle machine physique, quelle est la probabilité que le technicien en charge pense à (voir puisse) cloner l'adresse MAC de l'ancien serveur, et donc maintenir la même adresse publique ? Au mieux, ça fait perdre quelques minutes sur la remontée, au pire c'est impossible (hébergeur ne le permettant pas, driver ou OS bugué), dans quel cas le délai de reprise après incident est fonction du délai de propagation DNS. Question : que fait le technicien sur le WWN de SAN si c'est pas la même chose ? Deuxio, de nouveaux serveurs arrivent avec la possibilité de cloner la conf hard (wwn, mac etc, ex : UCS Cisco). On peut espérer que ça se généralise. De plus, quel intérêt de conserver la même @IP pour tous les serveurs attaques sur une URL ? Du push DNS au DDNS les solutions pour conserver le nom en changeant l'IP existent depuis longtemps. Et enfin, si tu virtualises pas de soucis, or c'est pas déconnant sur un certain nombre de serveurs frontaux internet. - Exposition de faille de sécurité L'adresse étant composée depuis la MAC de l'interface réseau, ça expose des caractéristiques matérielles de la machine, et donc des failles potentielles sur le hardware ou les drivers associés, cas typique permettant une attaque en déni de service ciblé (et non distribué) Pour utiliser une faille de niveau 2 sur le serveur, il faut s'en approcher très prés ! On a eu le même raisonnement sur une éventuelle faille de niveau 2 sur un vswitch vmware. Pour l'attaquer, il faudrait envisager une sorte de buffer overflow (pas de buffer sur un vswitch, mais bon, j'ai dit une sorte), donc être en niveau 2 avec ce vswitch. Autrement dit, le hacker a pris le contrôle de ton routeur, ou d'un serveur dans le même vlan, au hasard une VM. Bref une faille de niveau 2 me semble peu dangereuse vis a vis des autres failles plus faciles a utiliser (rootkit sur un serveur Linux mal patché par exemple, ou SQL injection sur une infra n-tiers mal configurée). Dans les deux cas, ça me semble représenter un risque trop grand pour que l'usage de SLAAC soit considéré comme pertinent sur des serveurs publics. Ca expose aussi un défaut d'implémentation pour les hébergeurs de serveurs dédiés principalement : les mécanismes d'attribution d'adresses doivent prévoir une association manuelle de l'adresse aux machines, justement pour prévoir ce genre de cas de figure. Est ce le cas chez vous ? L'IP fixe, c'est simple et maîtrisée, mais ça pose un gros problème : c'est fixe, et lie a ton plan d'adressage. Maintenant, si tu utilises des serveurs virtuels, et que tu souhaites pouvoir les déplacer d'un site A a un site B sans trop de contraintes, sachant que tes utilisateurs s'y connectent via une URL, tu as deux solutions : - un vlan étendu ou tout autre solution de Datacenter Interconnect de l'EoMPLS a des trucs plus exotiques comme OTV ou Fabricpath de Cisco - un adressage dynamique et des updates du DNS (via DDNS ou du GSLB par exemple) Le choix c'est soit la complexité d'un niveau 2 étendu (ça parait simple comme ça ...), soit la complexité d'une IP dynamique (et le comment je gère mes règles firewall etc.) Je me rappelle avoir vu tourner un vieux VAX de chez DEC avec une config rigolote : le service porté sur une loopback, et les interfaces réseaux non configurées prenait une IP dans le linklocal (169.254.x.x), et un daemon RIP qui tournait en standard == tu pouvais joindre ton service sans pour autant connaitre les @IPs des interfaces. La même chose en IPv6 avec un daemon RIPng ou OSPFv3, c'est pas bien compliqué a mettre en place vu comment le linklocal est bien globalement bien géré. Et gérer le SLAAC sur une loopback pour le coup :D Autre solution, toute bête : pas de v6 sur les serveurs (cf la presentation d'IPv6 at Facebook sur le site du Nanoghttp://www.nanog.org/meetings/nanog50/presentations/Tuesday/NANOG50.Talk9.lee_nanog50_atlanta_oct2010_007_publish.pdf ). Pas mal de serveurs en frontal internet étant en ferme derrière des loadbalancers, c'est généralisable. Bref c'est pas un sujet simple, et y a pas de solution miracle malheureusement ! Enfin, à tout hasard, est ce que ce problème potentiel a déjà été analysé ? Auriez vous des pointeurs à proposer ? Bon IPv6 day ;) -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
Re: [FRnOG] Routeur Haute dispo IPv6
D'ailleurs y-a-t-il des retours de personnes ayant deja des serveurs en dual-stack et ce qu'ils utilisent. Notamment une question me turlupine : peut-on utiliser SLAAC pour que les routeurs annoncent une route par defaut, mais aussi pour qu'un serveur s'annonce aux routeurs. Je m'explique : - un serveur avec deux interfaces physiques et une loopback. Les deux interfaces physiques sont en link-local uniquement, et la loopback en global statique (service portee sur la loopback) - les routeurs envoient des RA pour trouver la gateway par defaut - le serveur envoie des RA aux routeurs pour annoncer le scope de sa loopback (qui n'est pas forcement un /128 d'ailleurs) * en gros on considere le serveur comme un routeur pour sa ou ses loopbacks. * a la limite, le serveur auto-configure l'adresse globale de sa loopback via les RA des routeurs. Cela permettrait de gérer la redondance d'attachement sans passer par un truc genre interface bonding ou autre IPMP, et en plus vu qu'on est lie a l'envoie-reception de RA, ca peut detecter les pannes sur un chemin complexe (cascade de switchs, etc.). Avez vous déjà vu un déploiement pareil ? Si oui avec quels OS ? Le 22 mai 2011 19:13, Olivier Benghozi olivier.benghozi+fr...@gmail.com a écrit : Pas forcément la peine de faire du FHRP avancé en IPv6: du RA avec un timing judicieusement paramétré sur les routeurs peut faire l'affaire, ce sont les hosts eux-mêmes qui changeront de route par défaut si le meilleur RA n'est plus reçu. Dans son article http://packetlife.net/blog/2011/apr/18/ipv6-neighbor-discovery-high-availability/ , Jeremy stretch montre en effet qu'une bascule en 1seconde est possible juste avec les RA, sans fhrp. On n'est d'ailleurs pas obligé de faire du SLAAC (ce qui n'est probablement pas une bonne idée pour des serveurs); on peut configurer des IPv6 fixes, et balancer des RA n'advertisant aucun préfixe, juste pour traiter la route par défaut. Par exemple pour une interface Cisco, pour répliquer le timing par défaut du HSRP (10 secondes): no ipv6 nd ra suppress ipv6 nd advertisement-interval ipv6 nd ra lifetime 10 ipv6 nd ra interval msec 3000 ipv6 nd router-preference high (pour le routeur actif par défaut) ipv6 nd prefix default no-advertise -- Cordialement, Guillaume BARROT
[FRnOG] Re: [FRnOG] Re: [FRnOG] retour d'expérience sur Arista ?
T'as la fonctionnalite wireshark integree sur les Nexus de Cisco qui permet de voir tout ce qui arrive sur le control plane, dans le meme style, donc ca a l'air a la mode chez les constructeurs en ce moment ca. Brocade a pas un truc equivalent sur sa gamme Datacenter ? Sinon je suis preneur de vos retours sur ces switchs, notamment l'interop en niveau 2 avec des switchs routeurs de marques differentes ... (ca a toujours ete le point faible) Le 19 mai 2011 15:53, Steven Le Roux ste...@le-roux.info a écrit : J'avais jeté un oeil aussi, ça fait longtemps que je dois commander un pour tester, parce que je t'avoue que le tcpdump sur les ports du switch, je trouve ça carrément sexy ! 2011/5/19 Thierry Del-Monte tdelmo...@integra.fr: Bonjour à tous, Si on sort des offres habituelles, des constructeurs bien connus (C,B,J) pour des switchs top of the rack avec pour attentes principales la performance et la robustesse, je suis tombé sur Arista Network (http://www.aristanetworks.com/en/products/7100series). Avez vous des retours d'expérience sur ce type d'équipement? Merci d'avance pour vos avis !! Thierry -- Steven Le Roux Jabber-ID : ste...@jabber.fr 0x39494CCB ste...@le-roux.info 2FF7 226B 552E 4709 03F0 6281 72D7 A010 3949 4CCB --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
Re: [FRnOG] Question sur GSLB
GSLB = DNS modifie, donc non, tu es oblige de passer par une appliance Par contre rien ne t'empeche de mixer les constructeurs / equipements, surtout si ton fournisseur de DNS a un plugin GSLB a te livrer. Cisco fournit le GSS qui est une appliance pour ce type de besoin, F5 une licence GTM sur les modules 1x a 8x (Viprion non compris), etc. Sur ACE nativement, tu peux faire du RHI (Route Health Injection) qui te permet d'injecter les vip sous forme de /32 dans la msfc du 6500, donc si tu couples ca a de l'anycast sur 2 VIPs sur deux sites, tu as un truc pas mal pour faire du PRA/PCA/PCI, notamment si le service que tu appelles n'est pas mappe derriere une URL (au hasard, tes DNS par exemple, ou des radius, etc.). Guillaume Le 19 mai 2011 10:54, Stephane JAUNE stephane.ja...@bullpi.com a écrit : Bonjour à tous, Est-ce que certains d’entre vous ont déjà mis en place du GSLB sur des châssis 6500 ? Les modules CSM sont en EOL, et on se demande si c’est possible d’avoir cette fonctionnalité sur un module ACE, donc sans avoir recours à une appliance GSS Merci de votre retour d’expérience Stéphane -- Cordialement, Guillaume BARROT
Re: [FRnOG] firewall transparent carrier-class
Dans l'ordre chronologique des tests : - la vieillissante FWSM de Cisco (qui ne fonctionne bien qu'en transparent d'ailleurs :) ) - l'ASA et la bientot ASA-SM - gamme SRX de chez Juniper si tu n'as pas besoin de virtualisation - Fortinet Fortigate Les 4 testés, chacun a ses avantages et ses inconvenients. - La FWSM est assez compliqué à gérer en terme de nombre de règles / objets, mais pour une centaine de règle de filtrage bien faite, ça marche encore très bien (ne lui demande pas de filtrer du multicast, de l'IPv6 ou des trucs exotiques genre tunnels GTP) - L'ASA est pas mal en mode transparent, mais niveau connectique c'est bof (max 20G, à MTU 9000). C'est un firewall CPU, donc performance directement liées au nb de règles, et à l'optimisation des règles. - Gamme SRX en mode transparent, ça passe, mais faut pas leur demander de faire plus que du filtrage bete et méchant, mais au moins c'est du hardware (carte FPGA + CPU pour le controlplane). - Fortigate on est pas mauvais du tout (tests faits sur F3040 et F3950) avec des perfs vraiment correcte (on taquine le line rate) sachant que chaque carte insérée rajoute de la perf, MAIS il faut bien prendre la bonne carte pour la bonne utilisation : tu as des cartes accélératrices Multicast/IPv6/IPS etc... La carte de base te permet de faire du line-rate sur du paquet 64b UDP. Le 16 mai 2011 19:27, sfout...@gmail.com sfout...@gmail.com a écrit : Fortigate fait ca. Il faut voir ton profil de traffic ainsi que les besoins en ids/layer7 pour choisir le modele Dispo pour en parler off-list Sebastien FOUTREL Sent from Iphone Le 16 mai 2011 à 18:54, William Gacquer w.gacq...@france-citevision.fr a écrit : Bonjour, je cherche un pare-feu matériel totalement transparent que ce soit en IPv4 ou IPv6, capable de traiter au moins 5bgps et surtout carrrier-class. Je ne veux pas du tout de routage dessus, pas de NAT, rien de tout ces trucs qui n'ont rien à faire sur un pare-feu destiné à protéger une plateforme de services utilisant des IP publiques. Le support de 802.1Q est nécessaire. L'ASA de Cisco peut-être configuré ainsi. Vous en connaissez d'autres? William Gacquer France Citévision--- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Cordialement, Guillaume BARROT
Re: RE: [FRnOG] Quagga vs Vyatta
Je suis en train de tester ca sur du Vmware, pas encore de super conclusion mais quelques indices : - vyatta (version free) est bundle d'office avec un os a la sauce du fournisseur. C'est mal car moins de maitrise de l'os et on ne voit pas trop comment le daemon est lie a l'os (module? Compile dans le kernel?). D'un autre cote la boite a l'air de maitriser son produit donc eventuellement moins de failles (l'eternel question de la maitrise par le fournisseur) - quagga full open source donc instalable sur n'importe quel os. Resultat si tu ne sais pas durcir l'os en question, tu herites de ses failles. Quagga a semble t'il des problemes de scalabilite poussant certains nap a evoluer vers d'autres daemon (xorp, bird) : source wikipedia (a nuancer? ). Plus de retour dans 1/2 mois, notamment sur les perfs si j'arrive a emprunter l'injecteur de trafic pendant une journee. Le 9 mai 2011 09:30, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Vyatta, c'est du logiciel libre ou commercial? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: RE: [FRnOG] Quagga vs Vyatta
Jusqu'au 7200 dans la gamme Cisco tout le routage est gere en cpu, c'est ce qui fait du 7200 le couteau Suisse sur lequel on peut sortir en quelques mois de nouveaux services que le 7600 ne porte qu'au bout de nombreux mois (la faute aux Asics) Idem sur l'Asr1000 full cpu. Avec des Xeons multicore et la crypto directement portee en cpu, faire un routeur giga performant n'est plus trop un probleme. Le 9 mai 2011 10:22, Alexis Savin alexis.sa...@gmail.com a écrit : Bonjour, Concernant Quagga, je pense pouvoir affirmer que c'est un bon produit, stable qui plus est. Il est reste relativement simple de prise en main tout en offrant un grand nombre de fonctionnalités avancées. Fonctionnalités qui sont d'ailleurs bien documentées dans le manuel et sur internet, ce qui est fort appréciable. J'en utilise actuellement 3 instances, qui tournent depuis plus de 6 mois en production et qui n'ont posé aucun problème. Vyatta, je ne connais pas, mais si certains peuvent nous faire un retour dessus je suis certain que cela fera des heureux. Enfin, Xorp, quelques echos positifs. Il est actuellement utilisé sur tous les pare-feux Stonesoft comme routeur OSPF ce qui peut être considéré comme un certain gage de qualité. Dans tous les cas, les performances ne seront jamais exceptionnelles avec ce genre de produit qui gère l'ensemble du processus de routage de façon logicielle. Cela reste cependant une solution tout à fait acceptable pour des architectures légères, de tests, ou bien d'administration. Cordialement. 2011/5/9 Guillaume Barrot guillaume.bar...@gmail.com Je suis en train de tester ca sur du Vmware, pas encore de super conclusion mais quelques indices : - vyatta (version free) est bundle d'office avec un os a la sauce du fournisseur. C'est mal car moins de maitrise de l'os et on ne voit pas trop comment le daemon est lie a l'os (module? Compile dans le kernel?). D'un autre cote la boite a l'air de maitriser son produit donc eventuellement moins de failles (l'eternel question de la maitrise par le fournisseur) - quagga full open source donc instalable sur n'importe quel os. Resultat si tu ne sais pas durcir l'os en question, tu herites de ses failles. Quagga a semble t'il des problemes de scalabilite poussant certains nap a evoluer vers d'autres daemon (xorp, bird) : source wikipedia (a nuancer? ). Plus de retour dans 1/2 mois, notamment sur les perfs si j'arrive a emprunter l'injecteur de trafic pendant une journee. Le 9 mai 2011 09:30, Michel Py mic...@arneill-py.sacramento.ca.us a écrit : Vyatta, c'est du logiciel libre ou commercial? Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Alexis Savin
Re: RE: [FRnOG] Quagga vs Vyatta
Oui la je parlais d'un vrai injecteur (spirent / ixia) qui sait monter n peer bgp, injecter 250k routes etc. Mais bon mon besoin c'est de router dans un ESXi donc j'ai pas besoin de tout ca, mais pour le sport ca se tente ce truc :) Le 9 mai 2011 10:41, Vivien Bernet-Rollande vbern...@gmail.com a écrit : Bonjour. J'ai fait des tests sur Quagga (surtout de l'OSPF), qui se sont avéré plutôt positifs. Après, y'avait pas des masses de traffic à gérer, mais fonctionellement, ça répondait à mon besoin. Étant donné que Quagga se contente de mettre à jour les tables de routage du kernel, je pense que ton injecteur de traffic testera plus les capacités de routage de l'OS sur lequel est installé Quagga, que Quagga lui-même. (A moins que ton injecteur soit capable de simuler des sessions BGP ? Ca existe ce genre de trucs ?) Niveau HA, par contre, je ne sais pas ce qui est possible. -- Viven Bernet-Rollande
Re: [FRnOG] RE: coupure fibre sur Paris
Au final ils l'ont choppe la grand mere qui beche les fibres? :) A+ Guillaume Le 8 avr. 2011 20:31, Laurent Cima fr...@l2ct.eu a écrit : Update 5 (UTC / CEST): 17:45 / 19:45 Running outage time 7 h 10 min The break has now been located. It has affected multiple cables from several different operators and damage assessment is currently underway. Le 08/04/2011 19:25, Vincent Mialon a écrit : Il y a un problème aussi sur le réseau de France Telecom. Ils indiquent qu'un incident impactent de nombreux DSLAM du 92. Je ne sais pas si c'est lié à l'incident sur les fibres car les premiers liens ont été impactés à 17H25. Bon weekend aux équipes d'astreintes ! Vincent Mialon Ingénieur Réseaux CELESTE vincent.mia...@celeste.fr 01 70 17 60 20 www.celeste.fr : Testez votre éligibilité à la fibre optique ! - Stephane JAUNEstephane.ja...@bullpi.com a écrit : Coupure côté prosodie ; pas de délai de rétablissement, mais a priori pas avant minuit -Message d'origine- De : owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] De la part de Julien Escario Envoyé : vendredi 8 avril 2011 15:27 À : frnog@FRnOG.org Objet : Re: [FRnOG] RE: coupure fibre sur Paris Le 08/04/2011 13:22, Bertrand MAUJEAN a écrit : Bonjour, J'ai aussi un incident sur des services livrés Redbus depuis 12h35 environ. Je pense également qu'il y a un incident en cours dans le coin. Un incident à Redbus ? Nooon, ca n'arrive jamais ça. Julien --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/