Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux

[XF]

Bonjour, 

En effet cela couvre le côté ip manager mais pas la partie backup de conf 
d'equipement et gestion des changements..

A mettre sur leur  todo list ? 

Merci pour l'info en tout cas ! 

Cordialement, 

Xavier


Le 26 juil. 2012 à 20:13, "cam.la...@azerttyu.net"  a 
écrit :

> Ciao
> 
> Vu ma lecture rapide des outils abordés, j'ai l'impression que glpi
> peut en partie couvrir les besoins.
> 
> http://www.glpi-project.org/
> http://plugins.glpi-project.org/spip.php?article5
> 
> 
> Km


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux

[cam.la...@azerttyu.net]

Ciao

Vu ma lecture rapide des outils abordés, j'ai l'impression que glpi
peut en partie couvrir les besoins.

http://www.glpi-project.org/
http://plugins.glpi-project.org/spip.php?article5


Km


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Outil de gestion des configuration réseaux

[XF]

Bonjour à tous,

Merci pour tous ces retours, 

Les solutions citées sont gratuites et modulables, cela rajoute de nouveaux 
éléments sur mon banc de test.

Bien sur, ce n'est pas aussi user friendly que les solutions payantes mais ca 
se comprend vu le prix des équipements à acquérir pour développer ce genre 
d'outil. Un jour peut-être ;)

Bonnes vacances a ceux qui en prennent et à bientôt ! 

Cordialement,

Xavier
-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Leland Vandervort
Envoyé : jeudi 26 juillet 2012 11:20
À : Moncef Zid
Cc : Leland Vandervort; Jérôme Fleury; frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux


Il y a aussi Gerty 

https://github.com/ssinyagin/gerty

J'aime bien la geule de NCM de solarwinds, sauf que c'est Windoze uniquement... 
et c'est assez cher..




On 26 Jul 2012, at 11:11, Moncef Zid wrote:

> 
> On travaille avec NCM de solarwinds
> 
> --
> --
> Moncef Zid
> Responsable Technique
> Magirus France S.A.R.L.
> ZI du Petit Nanterre
> Immeuble Le Narval C2
> 27, rue des Hautes Patures
> Nanterre 92737
> France
> 
> phone: +33 1 40 85 76 99
> mailto:moncef@magirus.com
> http://www.magirus.com
> --
> -- Société à responsabilité limitée au capital de 300.000 € 
> Siège social : 22 Boulevard Sébastien Brant, 67400 Illkirch 
> Graffenstaden, RCS Strasbourg TI 421 342 783
> --
> -- This email and any files transmitted with it are 
> confidential and solely for the use of the intended recipient. If you have 
> received this email in error any use is strictly prohibited and please 
> destroy any material/copies associated with this email, remove it from your 
> computer system(s) and notify Magirus.
> 
> 
> -j...@jeje.org a écrit : -
> A : frnog-t...@frnog.org
> De : Jérôme Fleury
> Envoyé par : j...@jeje.org
> Date : 07/26/2012 11:01AM
> Objet : Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux
> 
> 2012/7/26 XF :
> 
>> Connaissez-vous d’autres NCM comme Xerela ou Rancid et  avez-vous des 
>> éléments à faire partager sur ce genre d’outils ? (utilité, 
>> performance, retour d’expérience..)
> 
> Notch
> 
> http://code.google.com/p/notch/
> 
> Pas tellement maintenu malheureusement, mais le grand intérêt selon 
> moi c'est qu'il est dispo en application WSGI, donc facile à intégrer 
> dans le workflow d'un script, via des requêtes HTTP.
> 
> Jerome.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> =
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Trouble dans la force ( soucis vers AS3215 )

[Raphael MAUNIER]

Je confirme, les gazouillis ne sont plus ! :)


http://status.twitter.com/post/28057350532/twitter-site-issue


-- 
Raphaël Maunier
NEO TELECOMS
CTO / Directeur Ingénierie
AS8218


On Jul 26, 2012, at 5:44 PM, Pierre Jaury wrote:

> Switch ves MISC, dernier échauffement pour trolldi.
> Après Google, ce serait à Twitter de ne pas signer ses annonces ?
> Stéphane, un conseil ?
> 
> (et à ceux qui promettent de déserter, même pour un ahuri dans mon genre
> et malgré la masse de conneries nécessaire sur une ML, y'a toujours à
> pêcher de bons pointeurs et des points-de-vue intéressants par ici ;
> c'est non seulement un bon outil de travail mais aussi une mine d'or
> pour les curieux)
> 
> -- 
> Pierre Jaury 
> 
> Phone +33(0)1.83.64.80.90
> Web   http://kaiyou.org/
> Twitter   @kaiyou_
> 
> Version: 3.12
> GCS d-- s+: a-- C++ UL+++ P+++ L+++ E W+++ N+ o-- K+ w-- 
> O- M-- V- PS+ PE+ Y+ PGP++ t+ 5 X R tv-- b++ DI++ D+ 
> G++ e+++ h+ r++ y? 
> 
> 
> 
> On Thu, 2012-07-26 at 20:56 +0800, Jean Barbezat wrote: 
>> Si je puis me permettre une toute petite remarque:
>> 
>> dans le mail initial, que je trouve plutot utile j'aurai bien aimer
>> voir les prefix hijackes et l'AS en question histoire d'etre un poil
>> plus utile
>> que de juste dire grosso modo  "y a un probleme ca vient d'ailleurs,
>> ne m'appelez pas"
>> 
>> Mais sinon oui, utile.
>> 
>> 2012/7/26 Raphael MAUNIER :
>>> Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi 
>>> on parle et donner des conseils qui ne veulent mais rien dire !
>>> 
>>> Est-ce que je donne mon avis sur du dns, du Linux, du ftth ?
>>> Non, alors, quand on sait pas , on dit/fait pas OU on apprend.
>>> 
>>> C'est pénible de systématiquement se prendre des mails de conseils ou on se 
>>> fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 !
>>> 
>>> Raphael
>>> 
>>> On Jul 26, 2012, at 13:12, "Jérôme Nicolle"  wrote:
>>> 
 Le 26/07/2012 12:57, Raphael Maunier a écrit :
> Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment
> dire  Passez votre chemin.
 
 Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu
 as le plus gros réseau, tout ça, mais en attendant c'est celui là qui
 s'est taulé ce matin. Pas les miens.
 
 C'est pas un reproche, pas une critique, on a tous des problèmes
 d'exploitation. Mais voilà, il se pourrait que les best-practices comme
 le filtrage sur prefix-list et as-path sur certaines sessions aident à
 limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour
 un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche
 pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire
 pour éviter le problème, si tant est que ce soit possible.
 
 Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du
 FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te
 plaît.
 
 --
 Jérôme Nicolle
 06 19 31 27 14
 
 
 ---
 Liste de diffusion du FRnOG
 http://www.frnog.org/
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [MISC] Trouble dans la force ( soucis vers AS3215 )

[Pierre Jaury]

Switch ves MISC, dernier échauffement pour trolldi.
Après Google, ce serait à Twitter de ne pas signer ses annonces ?
Stéphane, un conseil ?

(et à ceux qui promettent de déserter, même pour un ahuri dans mon genre
et malgré la masse de conneries nécessaire sur une ML, y'a toujours à
pêcher de bons pointeurs et des points-de-vue intéressants par ici ;
c'est non seulement un bon outil de travail mais aussi une mine d'or
pour les curieux)

-- 
Pierre Jaury 

Phone +33(0)1.83.64.80.90
Web   http://kaiyou.org/
Twitter   @kaiyou_

Version: 3.12
GCS d-- s+: a-- C++ UL+++ P+++ L+++ E W+++ N+ o-- K+ w-- 
O- M-- V- PS+ PE+ Y+ PGP++ t+ 5 X R tv-- b++ DI++ D+ 
G++ e+++ h+ r++ y? 



On Thu, 2012-07-26 at 20:56 +0800, Jean Barbezat wrote: 
> Si je puis me permettre une toute petite remarque:
> 
> dans le mail initial, que je trouve plutot utile j'aurai bien aimer
> voir les prefix hijackes et l'AS en question histoire d'etre un poil
> plus utile
> que de juste dire grosso modo  "y a un probleme ca vient d'ailleurs,
> ne m'appelez pas"
> 
> Mais sinon oui, utile.
> 
> 2012/7/26 Raphael MAUNIER :
> > Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi 
> > on parle et donner des conseils qui ne veulent mais rien dire !
> >
> > Est-ce que je donne mon avis sur du dns, du Linux, du ftth ?
> > Non, alors, quand on sait pas , on dit/fait pas OU on apprend.
> >
> > C'est pénible de systématiquement se prendre des mails de conseils ou on se 
> > fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 !
> >
> > Raphael
> >
> > On Jul 26, 2012, at 13:12, "Jérôme Nicolle"  wrote:
> >
> >> Le 26/07/2012 12:57, Raphael Maunier a écrit :
> >>> Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment
> >>> dire  Passez votre chemin.
> >>
> >> Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu
> >> as le plus gros réseau, tout ça, mais en attendant c'est celui là qui
> >> s'est taulé ce matin. Pas les miens.
> >>
> >> C'est pas un reproche, pas une critique, on a tous des problèmes
> >> d'exploitation. Mais voilà, il se pourrait que les best-practices comme
> >> le filtrage sur prefix-list et as-path sur certaines sessions aident à
> >> limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour
> >> un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche
> >> pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire
> >> pour éviter le problème, si tant est que ce soit possible.
> >>
> >> Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du
> >> FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te
> >> plaît.
> >>
> >> --
> >> Jérôme Nicolle
> >> 06 19 31 27 14
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


signature.asc
Description: This is a digitally signed message part

[FRnOG] Re: [TECH] Le retour de la vengeance du fils du port 0

[Stephane Bortzmeyer]

On Thu, Jul 26, 2012 at 04:52:18PM +0200,
 Radu-Adrian Feurdean  wrote 
 a message of 15 lines which said:

> Sinon, si ceux ayant presente peuvent partager leur presentations,
> ca sera pas mal non plus.

http://www.bortzmeyer.org/rpki-frnog.html


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Le retour de la vengeance du fils du port 0

[Radu-Adrian Feurdean]

On Thu, Jul 26, 2012, at 09:04 AM, Stephane Bortzmeyer wrote:
> À la réunion Frnog 19, le 29 juin dernier, certains se sont étonnés

Y'a t-il moyen de mettre les slides sur le site, comme a la bonne
vieille epoque ?
Sinon, si ceux ayant presente peuvent partager leur presentations, ca
sera pas mal non plus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Le retour de la vengeance du fils du port 0

[Stephane Bortzmeyer]

À la réunion Frnog 19, le 29 juin dernier, certains se sont étonnés
des statistiques présentées dans le rapport de Nicolas Strina (Jaguar)
& Matthieu Texier (Arbor Networks) montrant plein d'attaques DoS sur
le « port zéro ». De mémoire, il n'y avait pas eu de réponse pendant
la réunion.

Comme l'explique sur Nanog un gourou d'Arbor, c'est un artefact de
Netflow, qui compte tous les fragments comme « port 0 ». Les attaques
en question étaient probablement du DNS.


---
Liste de diffusion du FRnOG
http://www.frnog.org/
--- Begin Message ---


Frank Bulk  wrote:

>Unfortunately I don't have packet captures of any of the attacks, so I
>can't exam them for more detail, but wondering if there was some
>collective wisdom about blocking port 0.

Yes - don't do it, or you will break the Internet. These are non-initial 
fragments.

You or your customers are on the receiving end of DNS reflection/amplification 
attacks, and the large unsolicited DNS responses being used to packet you/them 
are fragmented. Use S/RTBH, flowspec, IDMS, and/or coordination with your 
peers/upstreams to block these attacks when they occur. 

Do *not* perform wholesale blocking of non-initial fragments (i.e., src/dst 
port 0), or you will have many unhappy customers and soon-to-be former 
customers. 

;>
---
Roland Dobbins 
--- End Message ---
--- Begin Message ---

On Jul 25, 2012, at 12:08 PM, Jimmy Hess wrote:

> The packet is a non-initial fragment  if  and only if, the fragmentation 
> offset is not set to zero.  Port number's not a field you look at for that.

I understand all that, thanks.

NetFlow reports source/dest port 0 for non-initial fragments.  That, coupled 
with the description of the attack, makes it a near-certainty that the observed 
attack was a DNS reflection/amplification attack.

Furthermore, most routers can't perform the type of filtering necessary to 
check deeply into the packet header in order to determine if a given packet is 
a well-formed non-initial fragment or not. 

And finally, many router implementations interpret source/dest port 0 as - yes, 
you guessed it - non-initial fragments.  Hence, it's not a good idea to filter 
on source/dest port 0.

---
Roland Dobbins  // 

  Luck is the residue of opportunity and design.

   -- John Milton

--- End Message ---

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Michel Moriniaux]

Stephane,
depuis que nous suivons vos interventions vous etes très evasif sur la
solution qui selon vous sauverait le monde. Vous semblez detenir une
verité que personne n'ici ne peut effleurer vu le ton de vos mails.
Je vous propose afin de calmer l'ambiance sur la ML de vous mettre a
votre plume et d'expliciter ces designs si resilients et de citer vos
sources plutot que de nous poser la question de ce que nous pensons
être la réponse. Nous attendons toujours les docs demandées par
Stephane Bortzmeyer la derniere fois.
La pluspart des membres actifs sur cette ML font vivre au jour le jour
des réseaux ayant presque tous des designs differents a toutes les
echelles, personellement j'ai connu un backbone tier 1 a budget
illimité satisfaisant votre laius sur les designs Sigtran mais il ne
permettait pas de se premunir des route-leak et hijack. Je suis
curieux de voir les differences de design entre votre modele et ceux
que je connais.

bref soyons constructifs et apprenons tous ensemble!


Pour la discussion annexe, si on ne peut plus dire sur FRNOG: "eh les
gars j'ai un truc bizarre, pouvez vous confirmer?" ou "heads up!
Pakistan telecom refait des siennes" je ne vois plus l'utilité
operationelle de la ML.

Michel Moriniaux

2012/7/26 Stephane Le Men :
> Le 26/07/2012 12:09, Richard DEMONGEOT a écrit :
>
>> Vu les trois points, RPKI ou non, le résultat est le même.
>>
>
> Ma compréhension est que dans l'hypothèse où RPKI est déployé et activé, il
> aurait du couvrir ce problème d'annonces erronées.
> D'où l'invitation au troll de l'OP.
>
>
>> L'important reste donc (encore) la réactivité des équipes techniques, et
>> en l'occurence, 25 minutes c'est plus que raisonnable.
>
>
> C'est selon les jugements excellent ou lamentable. Si personne n'a rien vu,
> il n'y a rien à dire, si cela a été le tsunami au support, le responsable du
> support donnera sa propre appréciation de l'incident.
>
>
>
>> Concernant la résilience :
>> Orange n'est qu'une partie d'internet (certes importante pour le marché
>> Francophone), mais une partie d'internet, et un AS parmis tant d'autres.
>> (et encore, pas tout 3215 n'a été impacté à priori).
>
>
> Un AS parmi tant d'autre dans la table des ASN, mais quelle fraction trafic
> de l'AS, 1%, 10% , 30% ? Il n'y a que le propriétaire de l'AS qui peut
> répondre. Et cette fraction de trafic, c'est une fraction de son service
> qu'il vend, et non pas 1 divisé par "nombre d'AS de la table des ASN de
> l'Internet".
>
>
>
>> Est ce qu'il y a eu une coupure Internet ? Non. Il y a eu un incident sur
>> une partie d'internet. La résilience doit être mesurée sur quelle partie
>> d'internet?
>
>
> Sur chaque fraction de son trafic. A priori, rares sont les AS qui discutent
> uniformément en terme de volumétrie avec le reste de la planète. Chaque AS a
> son profil volumétrique.
> Je pense que si 99% de votre trafic ne se fait qu'avec 1 seul autre AS, cet
> AS mérite 99% de votre attention.
>
> Je suis partisan de cette répartition plutôt que d'une répartition qui
> consiste à se préoccuper de toutes les AS, y compris celles avec qui on n'a
> pas ou très peu de trafic.
>
>
>
>> Enfin, mode avocat du diable :
>> Le problème viens du fait qu'un AS a émis des routes vérreuses. Avec moins
>> de résilience (aucun peering uniquement des upstreams), l'impact aurai été
>> moins visible.
>>
>> Là encore, la résillience ne peut être mesurée sur des données aussi
>> faibles, un acteur donné.
>
>
>
> J'ai la croyance qu'il vaut mieux diviser le problème de résilience pour y
> régner dessus, et je crois que la résilience globale obtenue d'un système ou
> d'un réseau n'est que la réunion de chacun de petits morceaux individuels de
> résilience du système.
>
> Du coup, quand il y a un problème avec une destination, ce problème dit
> "quelque chose" sur un petit morceau de résilience du réseau.
>
> Et normalement dans un réseau résilient, avant de perdre un "service", on a
> perdu "la résilience". Perdre un service, c'est une double faute.
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Jean Barbezat]

Si je puis me permettre une toute petite remarque:

dans le mail initial, que je trouve plutot utile j'aurai bien aimer
voir les prefix hijackes et l'AS en question histoire d'etre un poil
plus utile
que de juste dire grosso modo  "y a un probleme ca vient d'ailleurs,
ne m'appelez pas"

Mais sinon oui, utile.

2012/7/26 Raphael MAUNIER :
> Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi 
> on parle et donner des conseils qui ne veulent mais rien dire !
>
> Est-ce que je donne mon avis sur du dns, du Linux, du ftth ?
> Non, alors, quand on sait pas , on dit/fait pas OU on apprend.
>
> C'est pénible de systématiquement se prendre des mails de conseils ou on se 
> fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 !
>
> Raphael
>
> On Jul 26, 2012, at 13:12, "Jérôme Nicolle"  wrote:
>
>> Le 26/07/2012 12:57, Raphael Maunier a écrit :
>>> Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment
>>> dire  Passez votre chemin.
>>
>> Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu
>> as le plus gros réseau, tout ça, mais en attendant c'est celui là qui
>> s'est taulé ce matin. Pas les miens.
>>
>> C'est pas un reproche, pas une critique, on a tous des problèmes
>> d'exploitation. Mais voilà, il se pourrait que les best-practices comme
>> le filtrage sur prefix-list et as-path sur certaines sessions aident à
>> limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour
>> un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche
>> pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire
>> pour éviter le problème, si tant est que ce soit possible.
>>
>> Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du
>> FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te
>> plaît.
>>
>> --
>> Jérôme Nicolle
>> 06 19 31 27 14
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Stephane Le Men]

Le 26/07/2012 13:32, Damien Fleuriot a écrit :

Alors je vais être un peu sec mais c'est une réponse très conne.

Encore heureux que Neo ne nous accorde pas de l'attention qu'en fonction
de notre*trafic*  parce que ce qui peut représenter 3% pour eux, pour
nous c'est de la*prod*  et notre gagne-pain.


A supposé qu'un opérateur n'ait de résilience nul part, et qu'il cherche 
en acquérir une, est-ce que ses investissements seront proportionnels à 
son trafic ou l'opposé, est-ce qu'il va consacrer 6% de son budget 
résilience à 3% de son trafic ?


Pour que votre opérateur ne soit neutre vis à vis de votre trafic, et 
qu'il le discrimine par rapport autres, je pense qu'il va falloir payer, 
et payer plus que les "autres" clients.


La disponibilité, c'est comme le filtrage de paquets, elle peut être 
plus ou moins neutre.






---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Raphael MAUNIER]

Mattes mieux ma réponse !

Tu bosses chez un opérateur, tu comprendras donc que tu n'es pas concerné :)

Même si on est pas d'accord sur ce point, tu sais comment ça marche, après, 
c'est l'expérience dans la construction et la gestion d'un backbone qui aide.

Donc, ne te sent pas concerné, si je dois te dire un truc, je te choppe sur irc 
:)

Raphael

On Jul 26, 2012, at 13:32, "Jérôme Nicolle"  wrote:

> Le 26/07/2012 13:25, Raphael MAUNIER a écrit :
>> C'est pénible de systématiquement se prendre des mails de conseils ou on se 
>> fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 !
> 
> Faudrait que tu m'expliques pourquoi tu t'es senti attaqué, moi je n'ai
> fait que citer un papier que je trouves intéressant, dont les
> préconisations marchent à mon échelle, et je ne fais que te poser une
> question : pourquoi ça ne marcherait pas chez toi ?
> 
> Sinon comme l'a dit Richard, 25 minutes, c'est un joli score, c'est
> indéniable. Mais si on veut tous progresser, la bonne question à se
> poser, c'est "comment on peut l'éviter à l'avenir".
> 
> -- 
> Jérôme Nicolle
> 06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Jérôme Nicolle]

Le 26/07/2012 13:33, Guillaume Barrot a écrit :
> Ca fait leger comme point positif !

Si tu relis mieux, on était justement en train de lancer une discussion
sur la façon d'éviter ça, jusqu'à ce que Raphael parte en troll.

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Sarah Nataf]

2012/7/26 Richard DEMONGEOT :
> Concernant RPKI :
> Premier point :
> Orange n'a pas signé ses préfixes. Ils auront donc la même validation que
> les préfixes émis (erreur ou non) par un autre AS.

En fait si, il existe des ROAs pour une partie des préfixes de
l'AS3215 depuis quelques mois. Cependant, comme aucun AS n'applique
concrètement de filtres sur routes "invalid" --peut-être un AS d'après
le RIPE, sans doute pour du test/recherche--, elles ont été tout
autant touchées que les routes sans ROAs ou d'ailleurs que les routes
sans route-object.

Cdlt,
-- 
sarah


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Jérôme Nicolle]

Le 26/07/2012 13:25, Raphael MAUNIER a écrit :
> C'est pénible de systématiquement se prendre des mails de conseils ou on se 
> fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 !

Faudrait que tu m'expliques pourquoi tu t'es senti attaqué, moi je n'ai
fait que citer un papier que je trouves intéressant, dont les
préconisations marchent à mon échelle, et je ne fais que te poser une
question : pourquoi ça ne marcherait pas chez toi ?

Sinon comme l'a dit Richard, 25 minutes, c'est un joli score, c'est
indéniable. Mais si on veut tous progresser, la bonne question à se
poser, c'est "comment on peut l'éviter à l'avenir".

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Guillaume Barrot]

+1.

A force d'avoir des reactions aussi constructives, ca va se finir que plus
personne n'osera poster sur la ML, sauf les masochistes qui posteront par
esprit de contradictions.

Nan mais relisez le thread, c'est juste énorme :
"Je vous previens qu'il y a eu un flap BGP ce matin, du à un probleme
externe"
"booouuuh tu sais meme pas configurer correctement tes routeurs pour pas
avoir de flap"

Seul point positif : le pdf de Sarah sur les best-practices envoyé par
mail, ça évite d'avoir à le rechercher.
Ca fait leger comme point positif !

Le 26 juillet 2012 13:25, Raphael MAUNIER  a
écrit :

> Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de
> quoi on parle et donner des conseils qui ne veulent mais rien dire !
>
> Est-ce que je donne mon avis sur du dns, du Linux, du ftth ?
> Non, alors, quand on sait pas , on dit/fait pas OU on apprend.
>
> C'est pénible de systématiquement se prendre des mails de conseils ou on
> se fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 !
>
> Raphael
>
> On Jul 26, 2012, at 13:12, "Jérôme Nicolle"  wrote:
>
> > Le 26/07/2012 12:57, Raphael Maunier a écrit :
> >> Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment
> >> dire  Passez votre chemin.
> >
> > Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu
> > as le plus gros réseau, tout ça, mais en attendant c'est celui là qui
> > s'est taulé ce matin. Pas les miens.
> >
> > C'est pas un reproche, pas une critique, on a tous des problèmes
> > d'exploitation. Mais voilà, il se pourrait que les best-practices comme
> > le filtrage sur prefix-list et as-path sur certaines sessions aident à
> > limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour
> > un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche
> > pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire
> > pour éviter le problème, si tant est que ce soit possible.
> >
> > Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du
> > FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te
> > plaît.
> >
> > --
> > Jérôme Nicolle
> > 06 19 31 27 14
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Damien Fleuriot]

On 7/26/12 1:18 PM, Stephane Le Men wrote:
> Sur chaque fraction de son trafic. A priori, rares sont les AS qui
> discutent uniformément en terme de volumétrie avec le reste de la
> planète. Chaque AS a son profil volumétrique.
> Je pense que si 99% de votre trafic ne se fait qu'avec 1 seul autre AS,
> cet AS mérite 99% de votre attention.
> 
> Je suis partisan de cette répartition plutôt que d'une répartition qui
> consiste à se préoccuper de toutes les AS, y compris celles avec qui on
> n'a pas ou très peu de trafic.
> 


Alors je vais être un peu sec mais c'est une réponse très conne.

Encore heureux que Neo ne nous accorde pas de l'attention qu'en fonction
de notre *trafic* parce que ce qui peut représenter 3% pour eux, pour
nous c'est de la *prod* et notre gagne-pain.


J'attends avec impatience le moment où ta boîte fera 1% de trafic avec
ton upstream et où ce dernier mettra 1 semaine pour faire refonctionner
ta prod qui est intégralement coupée.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Raphael MAUNIER]

Y a un moment, il faut cessez d'avoir un avis sur tout, sans savoir de quoi on 
parle et donner des conseils qui ne veulent mais rien dire !

Est-ce que je donne mon avis sur du dns, du Linux, du ftth ? 
Non, alors, quand on sait pas , on dit/fait pas OU on apprend.

C'est pénible de systématiquement se prendre des mails de conseils ou on se 
fait démonter ( alors qu'on informe les gens hein ) c'est pénible +1000 !

Raphael

On Jul 26, 2012, at 13:12, "Jérôme Nicolle"  wrote:

> Le 26/07/2012 12:57, Raphael Maunier a écrit :
>> Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment
>> dire  Passez votre chemin.
> 
> Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu
> as le plus gros réseau, tout ça, mais en attendant c'est celui là qui
> s'est taulé ce matin. Pas les miens.
> 
> C'est pas un reproche, pas une critique, on a tous des problèmes
> d'exploitation. Mais voilà, il se pourrait que les best-practices comme
> le filtrage sur prefix-list et as-path sur certaines sessions aident à
> limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour
> un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche
> pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire
> pour éviter le problème, si tant est que ce soit possible.
> 
> Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du
> FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te
> plaît.
> 
> -- 
> Jérôme Nicolle
> 06 19 31 27 14
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Stephane Le Men]

Le 26/07/2012 12:09, Richard DEMONGEOT a écrit :

Vu les trois points, RPKI ou non, le résultat est le même.



Ma compréhension est que dans l'hypothèse où RPKI est déployé et activé, 
il aurait du couvrir ce problème d'annonces erronées.

D'où l'invitation au troll de l'OP.


L'important reste donc (encore) la réactivité des équipes techniques, et
en l'occurence, 25 minutes c'est plus que raisonnable.


C'est selon les jugements excellent ou lamentable. Si personne n'a rien 
vu, il n'y a rien à dire, si cela a été le tsunami au support, le 
responsable du support donnera sa propre appréciation de l'incident.




Concernant la résilience :
Orange n'est qu'une partie d'internet (certes importante pour le marché
Francophone), mais une partie d'internet, et un AS parmis tant d'autres.
(et encore, pas tout 3215 n'a été impacté à priori).


Un AS parmi tant d'autre dans la table des ASN, mais quelle fraction 
trafic de l'AS, 1%, 10% , 30% ? Il n'y a que le propriétaire de l'AS qui 
peut répondre. Et cette fraction de trafic, c'est une fraction de son 
service qu'il vend, et non pas 1 divisé par "nombre d'AS de la table des 
ASN de l'Internet".




Est ce qu'il y a eu une coupure Internet ? Non. Il y a eu un incident sur
une partie d'internet. La résilience doit être mesurée sur quelle partie
d'internet?


Sur chaque fraction de son trafic. A priori, rares sont les AS qui 
discutent uniformément en terme de volumétrie avec le reste de la 
planète. Chaque AS a son profil volumétrique.
Je pense que si 99% de votre trafic ne se fait qu'avec 1 seul autre AS, 
cet AS mérite 99% de votre attention.


Je suis partisan de cette répartition plutôt que d'une répartition qui 
consiste à se préoccuper de toutes les AS, y compris celles avec qui on 
n'a pas ou très peu de trafic.




Enfin, mode avocat du diable :
Le problème viens du fait qu'un AS a émis des routes vérreuses. Avec moins
de résilience (aucun peering uniquement des upstreams), l'impact aurai été
moins visible.

Là encore, la résillience ne peut être mesurée sur des données aussi
faibles, un acteur donné.



J'ai la croyance qu'il vaut mieux diviser le problème de résilience pour 
y régner dessus, et je crois que la résilience globale obtenue d'un 
système ou d'un réseau n'est que la réunion de chacun de petits morceaux 
individuels de résilience du système.


Du coup, quand il y a un problème avec une destination, ce problème dit 
"quelque chose" sur un petit morceau de résilience du réseau.


Et normalement dans un réseau résilient, avant de perdre un "service", 
on a perdu "la résilience". Perdre un service, c'est une double faute.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Jérôme Nicolle]

Le 26/07/2012 12:57, Raphael Maunier a écrit :
> Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment
> dire  Passez votre chemin.

Bha, écoutes, libre à toi de prendre la communauté de haut parce que tu
as le plus gros réseau, tout ça, mais en attendant c'est celui là qui
s'est taulé ce matin. Pas les miens.

C'est pas un reproche, pas une critique, on a tous des problèmes
d'exploitation. Mais voilà, il se pourrait que les best-practices comme
le filtrage sur prefix-list et as-path sur certaines sessions aident à
limiter l'impact de ce genre de merdes. Et plutôt que de me prendre pour
un con, j'aurais vraiment apprécié que tu expliques pourquoi ça marche
pas et donc pourquoi tu ne l'as pas fait, et ce que tu aurais pu faire
pour éviter le problème, si tant est que ce soit possible.

Après si tu ne veux pas jouer le cercle vertueux de l'échange au sein du
FRnOG, c'est ton problème. N'en soit pas insultant pour autant, s'il te
plaît.

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Raphael Maunier]

Ok,

Alors, il faudrait avant tout avoir un peu d'experience dans les reseaux
doperateurs internationaux.

Les gens comme vient de le dire Sidney, les gens qui ne savent pas ce que
cest qu'un reseau, se permettent de donner des conseils qui ne veulent rien
dire et impossible a mettre en prod dans la vrai vie.

Les reseaux evoluent, ceux qui ne le vivent pas tous les jours, comment
dire  Passez votre chemin.

Pour info, il faut se renseigner un peu, neo fait preuve de transparence et
donne beaucoup d'info.

Alors, les conseils ou denigrement de gens n'ayant aucune exp live ou
recente (ou meme jamais), comment dire mv /dev/null

Voila, ce sera ma derniere reponse a la base, cetait pour prevenir et ca a
pu aider des gens :)

Sidney, je vais ecouter ton conseil et cesser de faire comprendre aux
donneurs de lecons qui ne savent pas ce que c'est le vis ma vie :)

Le 26 juil. 2012 11:48, "Stephane Le Men" <
stephane.le...@anycast-networks.com> a écrit :

Le 26/07/2012 11:32, Raphael Maunier a écrit :


>
> Je pense que tu as raison, je vais cesser d'expliquer quoique ce soit,
> surtout vu la deuxieme...
Vous n'avez rien à expliquer, nous n'avons qu'à constater.

Ce qui est visible de l’extérieur décrit en partie ce qui se passe à
l’intérieur. C'est comme quand on est médecin et qu'on ne peut pas se
permettre d'ouvrir la patient juste pour voir à l’intérieur.

En allant au bout du raisonnement que je vous propose d'avoir sur la
résilience de votre réseau, et pourquoi elle n'est pas au niveau attendue
ou espérée, je pense que vous identifierez mieux à qui profitera réellement
le déploiement de RPKI, par exemple, dans le but d'essayer d'améliorer
cette résilience plutôt que de faire ce qui aurait du être fait au niveau
de son architecture.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Jérôme Nicolle]

Le 26/07/2012 10:46, Raphael MAUNIER a écrit :
> heu, non

J'en profite pour rappeler à votre liste de lecture le papier que Sarah
à préparé avec l'ANSSI, et qui porte justement sur l'impact qu'auraient
eu le respect des best practices sur les derniers incidents notables
liés au BGP.

https://www.sstic.org/media/SSTIC2012/SSTIC-actes/influence_des_bonnes_pratiques_sur_les_incidents_b/SSTIC2012-Article-influence_des_bonnes_pratiques_sur_les_incidents_bgp-contat_valadon_nataf_2.pdf

Max prefix : check.
IRR filters : difficile vu le nombre de routes, mais pas impossible.
AS_Path filter : bha évidement, tu peux savoir qu'un gros AS qui fait
une part visible de ton trafic va pas arriver par un peer ou client
comme ça...

Raphael > Donc non, tu n'utilises pas de filtre. Ca ne veut pas dire que
ça n'aurait pas un impact positif sur ce cas de figure.

Vu le temps qu'il va falloir pour déployer RPKI+ROA sur une part
significative des AS, ce serait bien d'implémenter quelques contrôles
d'ici là.

Stephane LM > tu as autre chose à proposer ?


-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Richard DEMONGEOT]

Bonjour,

On Thu, 26 Jul 2012 11:48:14 +0200, Stephane Le Men
 wrote:
> Le 26/07/2012 11:32, Raphael Maunier a écrit :
>> Je pense que tu as raison, je vais cesser d'expliquer quoique ce soit,
>> surtout vu la deuxieme reponse.:)
> 
> Vous n'avez rien à expliquer, nous n'avons qu'à constater.
> 
> Ce qui est visible de l’extérieur décrit en partie ce qui se passe à 
> l’intérieur. C'est comme quand on est médecin et qu'on ne peut pas se 
> permettre d'ouvrir la patient juste pour voir à l’intérieur.
> 
> En allant au bout du raisonnement que je vous propose d'avoir sur la 
> résilience de votre réseau, et pourquoi elle n'est pas au niveau 
> attendue ou espérée, je pense que vous identifierez mieux à qui 
> profitera réellement le déploiement de RPKI, par exemple, dans le but 
> d'essayer d'améliorer cette résilience plutôt que de faire ce qui aurait

> du être fait au niveau de son architecture.

Concernant RPKI :

Premier point :
Orange n'a pas signé ses préfixes. Ils auront donc la même validation que
les préfixes émis (erreur ou non) par un autre AS.

Second point :
Orange ne peer pas en direct (ou très peu). L'AS path d'Orange officiel
est donc potentiellement plus long que l'AS Path des routes annormales.

Troisième point :
Les signatures RPKI sont validées par des équipements tiers (autres que
les routeurs). Donc rien ne m'oblige à vérifier les signatures en temps
réel.

Vu les trois points, RPKI ou non, le résultat est le même.

L'important reste donc (encore) la réactivité des équipes techniques, et
en l'occurence, 25 minutes c'est plus que raisonnable.



Concernant la résilience :
Orange n'est qu'une partie d'internet (certes importante pour le marché
Francophone), mais une partie d'internet, et un AS parmis tant d'autres.
(et encore, pas tout 3215 n'a été impacté à priori).

Est ce qu'il y a eu une coupure Internet ? Non. Il y a eu un incident sur
une partie d'internet. La résilience doit être mesurée sur quelle partie
d'internet?



Enfin, mode avocat du diable :
Le problème viens du fait qu'un AS a émis des routes vérreuses. Avec moins
de résilience (aucun peering uniquement des upstreams), l'impact aurai été
moins visible.

Là encore, la résillience ne peut être mesurée sur des données aussi
faibles, un acteur donné.

Allez, le troll est nourri :)

Cordialement,


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Stephane Le Men]

Le 26/07/2012 11:32, Raphael Maunier a écrit :

Je pense que tu as raison, je vais cesser d'expliquer quoique ce soit,
surtout vu la deuxieme reponse.:)


Vous n'avez rien à expliquer, nous n'avons qu'à constater.

Ce qui est visible de l’extérieur décrit en partie ce qui se passe à 
l’intérieur. C'est comme quand on est médecin et qu'on ne peut pas se 
permettre d'ouvrir la patient juste pour voir à l’intérieur.


En allant au bout du raisonnement que je vous propose d'avoir sur la 
résilience de votre réseau, et pourquoi elle n'est pas au niveau 
attendue ou espérée, je pense que vous identifierez mieux à qui 
profitera réellement le déploiement de RPKI, par exemple, dans le but 
d'essayer d'améliorer cette résilience plutôt que de faire ce qui aurait 
du être fait au niveau de son architecture.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Raphael Maunier]

Je pense que tu as raison, je vais cesser d'expliquer quoique ce soit,
surtout vu la deuxieme reponse. :)

Le 26 juil. 2012 11:21, "Sidney Boumendil"  a
écrit :

2012/7/26 Stephane Bortzmeyer :

> On Thu, Jul 26, 2012 at 10:57:34AM +0200,
> Nicolas Strina  wr...
C'est pourtant devenu la norme sur FRnOG, les OP expérimentés qui se
font faire la leçon. Je suis surpris de voir encore et toujours des
courageux continuer à poster même s'ils ne sont plus légions sur la
ML.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Stephane Le Men]

Le 26/07/2012 11:22, Jérémy Martin a écrit :

Wow, Stéphane, tu as fumé quoi ce matin ? :)


C'est peut être vrai. Je suis nul en français et je m'en excuse auprès 
de mes lecteurs.



Le rapport c'est qu'il vient de "prendre" le "service" de circuit sur
l’Internet avec 3215. Avant d'être un incident de sécurité, c'est un
incident de service, de résilience.


il fallait "perdre" pas "prendre", je lis et me relis tres mal je me 
reconnais cette faiblesse, si vous arrivez à me l'excuser.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Christophe Baegert]

Le 26/07/2012 11:16, Stephane Le Men a écrit :
> 
> Alors, je repose ma question, c'est quoi l'AS canonique d'une conf BGP
> résiliente, votre référence, votre mètre étalon de la "résilience" ?
> 

c'est bien évidemment l'AS42


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Jérémy Martin]

Wow, Stéphane, tu as fumé quoi ce matin ? :)

Cordialement,
Jérémy Martin


Le 26/07/2012 11:16, Stephane Le Men a écrit :

Le 26/07/2012 10:57, Nicolas Strina a écrit :

Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait
être capable de vous expliquer où est le SPOF de

votre conf BGP via à vis de 3215.



C'est quoi le rapport ?



Le rapport c'est qu'il vient de prendre le "service" de circuit sur
l’Internet avec 3215. Avant d'être un incident de sécurité, c'est un
incident de service, de résilience.

Alors, je repose ma question, c'est quoi l'AS canonique d'une conf BGP
résiliente, votre référence, votre mètre étalon de la "résilience" ?

On choisit ce que l'on veut pour répondre à cette question, et si on
choisit les bonnes définitions, on a les bonnes conditions à réunir pour
se prémunir.


---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux

[Leland Vandervort]

Il y a aussi Gerty 

https://github.com/ssinyagin/gerty

J'aime bien la geule de NCM de solarwinds, sauf que c'est Windoze uniquement... 
et c'est assez cher..




On 26 Jul 2012, at 11:11, Moncef Zid wrote:

> 
> On travaille avec NCM de solarwinds 
> 
> 
> Moncef Zid
> Responsable Technique
> Magirus France S.A.R.L.
> ZI du Petit Nanterre
> Immeuble Le Narval C2
> 27, rue des Hautes Patures
> Nanterre 92737
> France
> 
> phone: +33 1 40 85 76 99
> mailto:moncef@magirus.com
> http://www.magirus.com
> 
> Société à responsabilité limitée au capital de 300.000 €
> Siège social : 22 Boulevard Sébastien Brant, 67400 Illkirch Graffenstaden, 
> RCS Strasbourg TI 421 342 783
> 
> This email and any files transmitted with it are confidential and solely for 
> the use of the intended recipient. If you have received this email in error 
> any use is strictly prohibited and please destroy any material/copies 
> associated with this email, remove it from your computer system(s) and notify 
> Magirus.
> 
> 
> -j...@jeje.org a écrit : -
> A : frnog-t...@frnog.org
> De : Jérôme Fleury 
> Envoyé par : j...@jeje.org
> Date : 07/26/2012 11:01AM
> Objet : Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux
> 
> 2012/7/26 XF :
> 
>> Connaissez-vous d’autres NCM comme Xerela ou Rancid et  avez-vous des
>> éléments à faire partager sur ce genre d’outils ? (utilité, performance,
>> retour d’expérience..)
> 
> Notch
> 
> http://code.google.com/p/notch/
> 
> Pas tellement maintenu malheureusement, mais le grand intérêt selon
> moi c'est qu'il est dispo en application WSGI, donc facile à intégrer
> dans le workflow d'un script, via des requêtes HTTP.
> 
> Jerome.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
> 
> =
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Sidney Boumendil]

2012/7/26 Stephane Bortzmeyer :
> On Thu, Jul 26, 2012 at 10:57:34AM +0200,
>  Nicolas Strina  wrote
>  a message of 54 lines which said:
>
>> > Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait
>> > être capable de vous expliquer où est le SPOF de votre conf BGP
>> > via à vis de 3215.
>>
>> C'est quoi le rapport ?
>
> Je trouve les messages de Stéphane Le Men extrêmement nébuleux, voire
> incompréhensibles.

C'est pourtant devenu la norme sur FRnOG, les OP expérimentés qui se
font faire la leçon. Je suis surpris de voir encore et toujours des
courageux continuer à poster même s'ils ne sont plus légions sur la
ML.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Stephane Le Men]

Le 26/07/2012 10:57, Nicolas Strina a écrit :

Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait
être capable de vous expliquer où est le SPOF de

votre conf BGP via à vis de 3215.



C'est quoi le rapport ?



Le rapport c'est qu'il vient de prendre le "service" de circuit sur 
l’Internet avec 3215. Avant d'être un incident de sécurité, c'est un 
incident de service, de résilience.


Alors, je repose ma question, c'est quoi l'AS canonique d'une conf BGP 
résiliente, votre référence, votre mètre étalon de la "résilience" ?


On choisit ce que l'on veut pour répondre à cette question, et si on 
choisit les bonnes définitions, on a les bonnes conditions à réunir pour 
se prémunir.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Sarah Nataf]

Hello,

2012/7/26 Raphael MAUNIER :
> Hello,
>
> Si votre support explose car vos clients  n'arrivent plus à joindre une 
> partie de AS3215, c'est "normal"
>
> Un opérateur US vient de leaker une partie des routes Orange ( pas beaucoup, 
> c'est pour ça que c'est passé ) , et ça a fait un peu de dégats.
>
> L'impact pour nous était 25 minutes de soucis de routage. Certains opérateurs 
> n'ont pas encore résolu de leur coté.

Les premières alertes d'injoignabilité de préfixes 3215 sont tombées vers 9h44.
A priori erreur de conf de l'AS4565
("We had a mis-configuration (...)
We apologize for any problems/inconvenience that this caused.")

Un grand grand merci à Neo pour votre réactivité.

> PS : Et c'est parti pour un troll avec RPKI :)

[... SVP n'oubliez pas de modifier le titre du mail pour les trolls
habituels...]

Cdt,
sarah


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux

[Moncef Zid]

On travaille avec NCM de solarwinds 


Moncef Zid
Responsable Technique
Magirus France S.A.R.L.
ZI du Petit Nanterre
Immeuble Le Narval C2
27, rue des Hautes Patures
Nanterre 92737
France

phone: +33 1 40 85 76 99
mailto:moncef@magirus.com
http://www.magirus.com

Société à responsabilité limitée au capital de 300.000 €
Siège social : 22 Boulevard Sébastien Brant, 67400 Illkirch Graffenstaden, RCS 
Strasbourg TI 421 342 783

This email and any files transmitted with it are confidential and solely for 
the use of the intended recipient. If you have received this email in error any 
use is strictly prohibited and please destroy any material/copies associated 
with this email, remove it from your computer system(s) and notify Magirus.


-j...@jeje.org a écrit : -
A : frnog-t...@frnog.org
De : Jérôme Fleury 
Envoyé par : j...@jeje.org
Date : 07/26/2012 11:01AM
Objet : Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux

2012/7/26 XF :

> Connaissez-vous d’autres NCM comme Xerela ou Rancid et  avez-vous des
> éléments à faire partager sur ce genre d’outils ? (utilité, performance,
> retour d’expérience..)

Notch

http://code.google.com/p/notch/

Pas tellement maintenu malheureusement, mais le grand intérêt selon
moi c'est qu'il est dispo en application WSGI, donc facile à intégrer
dans le workflow d'un script, via des requêtes HTTP.

Jerome.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

=
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Stephane Bortzmeyer]

On Thu, Jul 26, 2012 at 10:57:34AM +0200,
 Nicolas Strina  wrote 
 a message of 54 lines which said:

> > Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait
> > être capable de vous expliquer où est le SPOF de votre conf BGP
> > via à vis de 3215.
> 
> C'est quoi le rapport ?

Je trouve les messages de Stéphane Le Men extrêmement nébuleux, voire
incompréhensibles.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux

[Jérôme Fleury]

2012/7/26 XF :

> Connaissez-vous d’autres NCM comme Xerela ou Rancid et  avez-vous des
> éléments à faire partager sur ce genre d’outils ? (utilité, performance,
> retour d’expérience..)

Notch

http://code.google.com/p/notch/

Pas tellement maintenu malheureusement, mais le grand intérêt selon
moi c'est qu'il est dispo en application WSGI, donc facile à intégrer
dans le workflow d'un script, via des requêtes HTTP.

Jerome.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Raphael MAUNIER]

On Jul 26, 2012, at 10:53 AM, Stephane Le Men wrote:

> Le 26/07/2012 10:46, Raphael MAUNIER a écrit :
>> heu, non
>> 
> 
> Dans ce cas là, il faut prendre rendez-vous l'ANSSI,
Deja vu :)

> il devrait être capable de vous expliquer où est le SPOF de votre conf BGP
Bah non

> via à vis de 3215.
> 
Je n'ai pas 3215 en direct

> Envoyez un Cisco en Chocolat à cet opérateur pour le remercier de vous 
> montrer.
> 
Un depeering notice est largement suffisant

> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Nicolas Strina]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

On 26/07/12 10:53, Stephane Le Men wrote:

> Le 26/07/2012 10:46, Raphael MAUNIER a écrit :
>> heu, non
>> 
> 
> Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être capable 
> de vous expliquer où est le SPOF de
> votre conf BGP via à vis de 3215.

C'est quoi le rapport ?

> 
> Envoyez un Cisco en Chocolat à cet opérateur pour le remercier de vous 
> montrer.
> 
> 
> --- Liste de diffusion du FRnOG http://www.frnog.org/
> 


- -- 
Nicolas STRINA

Jaguar Network Switzerland
5 route de Chene
Case Postale 6298
CH - 1211 Geneva 6

More Than Your Hosting Company

Tel : +33 4 88 00 65 16
Gsm : +33 6 18 20 49 55

Std : +41 8 40 65 61 11
Fax : +33 4 88 00 65 25

URL: 
Support 24+7 : supp...@jaguar-network.ch
-BEGIN PGP SIGNATURE-
Version: GnuPG/MacGPG2 v2.0.17 (Darwin)
Comment: GPGTools - http://gpgtools.org
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAlARBn4ACgkQhVupqbmzosfVLQCfS3PGvTseETXmKkzAtwfWBR8Q
aLYAnjUUnzehkLPrq3w3h/xpXZKjITrV
=aMvb
-END PGP SIGNATURE-


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Stephane Le Men]

Le 26/07/2012 10:46, Raphael MAUNIER a écrit :

heu, non



Dans ce cas là, il faut prendre rendez-vous l'ANSSI, il devrait être 
capable de vous expliquer où est le SPOF de votre conf BGP via à vis de 
3215.


Envoyez un Cisco en Chocolat à cet opérateur pour le remercier de vous 
montrer.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Stephane Bortzmeyer]

On Thu, Jul 26, 2012 at 10:42:41AM +0200,
 Jérôme Nicolle  wrote 
 a message of 13 lines which said:

> > PS : Et c'est parti pour un troll avec RPKI :)
> 
> bha non, des filtres auraient suffit...

Si la liste des préfixes annoncés par l'AS 3215 dans les IRR publiques
est complète et à jour...

Par exemple, une des adresses IP de smtp.wanadoo.fr est
80.12.242.9. Elle est bien dans un préfixe annoncé par l'AS 3215
(80.12.240.0/20). Ce préfixe n'a pas d'objet route du tout au RIPE...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Raphael MAUNIER]

heu, non


-- 
Raphaël Maunier
NEO TELECOMS
CTO / Directeur Ingénierie
AS8218


On Jul 26, 2012, at 10:42 AM, Jérôme Nicolle wrote:

> Le 26/07/2012 10:32, Raphael MAUNIER a écrit :
>> PS : Et c'est parti pour un troll avec RPKI :)
> 
> bha non, des filtres auraient suffit...
> 
> -- 
> Jérôme Nicolle
> 06 19 31 27 14
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux

[Jérôme Nicolle]

Le 26/07/2012 00:41, XF a écrit :
> Connaissez-vous d’autres NCM comme Xerela ou Rancid et  avez-vous des
> éléments à faire partager sur ce genre d’outils ? (utilité, performance,
> retour d’expérience..)

http://kb.nocproject.org/display/SITE/NOC

Les modules IPAM et circuits sont plutôt bien finis, la configuration
manager est encore un peu léger surtout en documentation mais fonctionne
déjà bien.

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Jérôme Nicolle]

Le 26/07/2012 10:32, Raphael MAUNIER a écrit :
> PS : Et c'est parti pour un troll avec RPKI :)

bha non, des filtres auraient suffit...

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [ALERT] Trouble dans la force ( soucis vers AS3215 )

[Raphael MAUNIER]

Hello,

Si votre support explose car vos clients  n'arrivent plus à joindre une partie 
de AS3215, c'est "normal"

Un opérateur US vient de leaker une partie des routes Orange ( pas beaucoup, 
c'est pour ça que c'est passé ) , et ça a fait un peu de dégats.

L'impact pour nous était 25 minutes de soucis de routage. Certains opérateurs 
n'ont pas encore résolu de leur coté.


--
Raphaël Maunier
NEO TELECOMS
CTO / Directeur Ingénierie
AS8218

PS : Et c'est parti pour un troll avec RPKI :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux

[Guillaume Barrot]

A ce propos, le sujet a été discuté il y a quelques temps sur le SwiNog

http://lists.swinog.ch/public/swinog/2012-June/005498.html

Le contact du développeur de Gerty est dans le thread.

A+

Le 26 juillet 2012 09:23, Mathieu DENIS  a écrit :

> Bonjour,
>
> Il semblerait que Rancid ai un successeur :
> https://github.com/ssinyagin/**gerty/wiki
>
> Je n'ai pas encore pris le temps d'y regarder de plus prêt. A creuser.
>
> Mathieu DENIS
>
> Le 26/07/2012 09:10, Pierre DAVID a écrit :
>
>  On Thu, Jul 26, 2012 at 12:41:10AM +0200, XF wrote:
>>
>>
>>> Bonjour FRnOG,
>>>
>>> Dans le cadre d�un projet personnel, je m�intéresse  aux outils de
>>> gestion
>>> des configurations réseaux. Autrement appelés Network Configuration
>>> Manager.
>>>
>>> Ce genre d�outils permet d�automatiser la sauvegarde d� équipements
>>> réseaux
>>> (niveau conf) , de modifier la configuration des équipements et de gérer
>>> les changements (qui à modifié quoi ) .
>>>
>>> Jusqu�à présent j�ai trouvé des produits payants et d�autres non payants
>>> :
>>>
>>> Payants : Device Expert, WhatsConfigured et Manager Orion Network
>>> Configuration
>>>
>>> Non payants : Rancid, et Xerela (successeur open source de Zip Tie)
>>>
>>> Idéalement je recherche un produit non commercial.
>>>
>>> Connaissez-vous d�autres NCM comme Xerela ou Rancid et  avez-vous des
>>> éléments à faire partager sur ce genre d�outils ? (utilité, performance,
>>> retour d�expérience..)
>>>
>>>
>>>
>> Si vous regardez Rancid (que je ne peux que conseiller, couplé à
>> un CVSWeb ou assimilé), je vous suggère de jeter un coup d'oeil à
>> Netmagis :
>>  http://netmagis.org
>> qui utilise Rancid pour récupérer les configurations en quasi-temps
>> réel, les analyse pour en dériver un modèle de la topologie de votre
>> réseau, et permettre la délégation d'opérations "simples" telles
>> que l'affectation des vlans ou la pose de points de métrologie sur
>> les interfaces de vos équipements.
>>
>> Pierre David
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux

[Mathieu DENIS]

Bonjour,

Il semblerait que Rancid ai un successeur :
https://github.com/ssinyagin/gerty/wiki

Je n'ai pas encore pris le temps d'y regarder de plus prêt. A creuser.

Mathieu DENIS

Le 26/07/2012 09:10, Pierre DAVID a écrit :

On Thu, Jul 26, 2012 at 12:41:10AM +0200, XF wrote:
   

Bonjour FRnOG,

Dans le cadre d�un projet personnel, je m�intéresse  aux outils de gestion
des configurations réseaux. Autrement appelés Network Configuration Manager.

Ce genre d�outils permet d�automatiser la sauvegarde d� équipements réseaux
(niveau conf) , de modifier la configuration des équipements et de gérer
les changements (qui à modifié quoi ) .

Jusqu�à présent j�ai trouvé des produits payants et d�autres non payants :

Payants : Device Expert, WhatsConfigured et Manager Orion Network
Configuration

Non payants : Rancid, et Xerela (successeur open source de Zip Tie)

Idéalement je recherche un produit non commercial.

Connaissez-vous d�autres NCM comme Xerela ou Rancid et  avez-vous des
éléments à faire partager sur ce genre d�outils ? (utilité, performance,
retour d�expérience..)

 

Si vous regardez Rancid (que je ne peux que conseiller, couplé à
un CVSWeb ou assimilé), je vous suggère de jeter un coup d'oeil à
Netmagis :
 http://netmagis.org
qui utilise Rancid pour récupérer les configurations en quasi-temps
réel, les analyse pour en dériver un modèle de la topologie de votre
réseau, et permettre la délégation d'opérations "simples" telles
que l'affectation des vlans ou la pose de points de métrologie sur
les interfaces de vos équipements.

Pierre David


---
Liste de diffusion du FRnOG
http://www.frnog.org/
   



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Outil de gestion des configuration réseaux

[Pierre DAVID]

On Thu, Jul 26, 2012 at 12:41:10AM +0200, XF wrote:
> Bonjour FRnOG,
> 
> Dans le cadre d’un projet personnel, je m’intéresse  aux outils de gestion
> des configurations réseaux. Autrement appelés Network Configuration Manager.
> 
> Ce genre d’outils permet d’automatiser la sauvegarde d’ équipements réseaux
> (niveau conf) , de modifier la configuration des équipements et de gérer
> les changements (qui à modifié quoi ) .
> 
> Jusqu’à présent j’ai trouvé des produits payants et d’autres non payants :
> 
> Payants : Device Expert, WhatsConfigured et Manager Orion Network
> Configuration 
> 
> Non payants : Rancid, et Xerela (successeur open source de Zip Tie)
> 
> Idéalement je recherche un produit non commercial.
> 
> Connaissez-vous d’autres NCM comme Xerela ou Rancid et  avez-vous des
> éléments à faire partager sur ce genre d’outils ? (utilité, performance,
> retour d’expérience..)
> 

Si vous regardez Rancid (que je ne peux que conseiller, couplé à
un CVSWeb ou assimilé), je vous suggère de jeter un coup d'oeil à
Netmagis :
http://netmagis.org
qui utilise Rancid pour récupérer les configurations en quasi-temps
réel, les analyse pour en dériver un modèle de la topologie de votre
réseau, et permettre la délégation d'opérations "simples" telles
que l'affectation des vlans ou la pose de points de métrologie sur
les interfaces de vos équipements.

Pierre David


---
Liste de diffusion du FRnOG
http://www.frnog.org/