Re: [FRnOG] [MISC] Amplifications NTP
On Sat, Feb 1, 2014, at 22:24, Raphael Maunier wrote: J’oublie surement des trucs, Voila, parce-que moi j'en ai 3 en tete (OSPF, LDP, BFD - ils doivent bien atteindre le CPU, meme s'ils doivent pas arrivervia une interface externe). D'autres personnes peuvent avoir encore d'autres... Tout ca avec les cas specifiques qui vont avec. mais c’est effectivement un routeur, pas un serveur, donc, il faut fout fermer :) J'ai quand-meme l'impression que la tendance est exactement dans ce direction (control-plane = analogue serveur). Il me semble que Juniper ont commence aussi a sauter dans le tain des equipements reseaux puppet-isables... J'en parle meme pas de ceux qui mettent carrement un mini-serveur a l'interieur de leurs equipements - eux au moins se limitent aux switches. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] PF d'OpenBSD peut il matcher sur le Traffic class en IPv6 ?
Bonjour, Le 02/02/2014 00:44, Jérémie Courrèges-Anglas a écrit : Pour faire écho à Vigdis, m...@openbsd.org est aussi un bon endroit pour de l'aide sur une conf, là c'est un peu plus compliqué et lié à un problème d'implémentation donc tech@ me paraît plus approprié. Certes, d’où mon hésitation à poster ici. Dans le cas présent , on est à la limite entre le réseau et le système, j'ai tenté ma chance. (adresses des ML notées pour l'avenir). Tenté (cas 1), ce qui semblait assez naturel d'un premier abord : C'est ce qui devrait fonctionner mais qui n'est pas géré. OK, ce n'est donc pas une erreur de conf, mais l'OS qui ne le gère pas. Me voila rassuré, et voila une nouvelle piste à explorer. Merci pour l'info. Pas testé, pas même compilé, use at your own risk : Index: net/pf.c === RCS file: /cvs/src/sys/net/pf.c,v retrieving revision 1.696.2.1 diff -u -p -r1.696.2.1 pf.c --- net/pf.c16 Feb 2011 19:13:21 - 1.696.2.1 +++ net/pf.c1 Feb 2014 23:35:30 - @@ -5958,7 +5958,7 @@ pf_test6(int dir, struct ifnet *ifp, str pd.sidx = (dir == PF_IN) ? 0 : 1; pd.didx = (dir == PF_IN) ? 1 : 0; pd.af = AF_INET6; - pd.tos = 0; + pd.tos = (ntohl(h-ip6_flow) 0x0ff0) 20; pd.tot_len = ntohs(h-ip6_plen) + sizeof(struct ip6_hdr); pd.eh = eh; En effet, ça y ressemble beaucoup :) . Après parcours, la section associée dans le code de la 5.4 semble ne pas le gérer non plus : === pd-src = (struct pf_addr *)h-ip6_src; pd-dst = (struct pf_addr *)h-ip6_dst; pd-virtual_proto = pd-proto; pd-tot_len = ntohs(h-ip6_plen) + sizeof(struct ip6_hdr); = pd-tos = 0; pd-ttl = h-ip6_hlim; === Merci messieurs pour ces pistes qui vont me permettre d'avancer ;) . A bientôt. Christophe. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Encapsulation BGP
Salut les geek, Bon, j'ai un opérateur qui s'occupe du transport L2 d'un uplink BGP, et celui ci semble s'amuser à faire de la QoS au niveau des paquets SSH (et FTP). Comme il ne veut rien entendre et persiste à me dire que c'est chez nous (ou chez notre transitaire) que se situe le problème, on essaye de trouver des solutions. Là on a imaginé de faire deux choses pour tester : 1) Faire un Vlan entre mon transitaire et mon routeur pour tester. 2) Si ça marche pas, on va tester de faire une encapsulation GRE au niveau de la session BGP De votre point de vue, vous pensez que ça peut fonctionner ? -- Cordialement, Jérémy Martin __ FreeHeberg.com : Osez l'hébergement gratuit de qualité professionnelle ! PHP + Mysql + Espace 2 à 20 Go --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Encapsulation BGP
Salut, Le 02/02/2014 14:57, Jérémy Martin a écrit : Salut les geek, Bon, j'ai un opérateur qui s'occupe du transport L2 d'un uplink BGP, et celui ci semble s'amuser à faire de la QoS au niveau des paquets SSH (et FTP). Comme il ne veut rien entendre et persiste à me dire que c'est chez nous (ou chez notre transitaire) que se situe le problème, on essaye de trouver des solutions. Protocole de test ? Là on a imaginé de faire deux choses pour tester : 1) Faire un Vlan entre mon transitaire et mon routeur pour tester. 2) Si ça marche pas, on va tester de faire une encapsulation GRE au niveau de la session BGP C'est tout le traffic, plutot que la session BGP, qu'il faudrait encapsuler pour rendre opaque le lien. Mais en GRE, ca va rester très transparent. Tu peux ajouter une couche d'IPSec, mais faut pas avoir des Gbit/s de traffic. Après, gaffe à la MTU avec ce genre de setup. De votre point de vue, vous pensez que ça peut fonctionner ? Je fais pas mal de lan2lan du pauvre en GRE over IPSec, mais c'est pour du traffic interne à la boite, pas le transit BGP. Et le gain de l'économie d'un vraie dark se paie en tuning lié au problèmes de MTU ou à la perte de visibilité sur l'état du lien (la connectivité tombe mais la conf IPsec/GRE ne fait pas tomber l'interface). -- Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Amplifications NTP
On 01/02/2014 22:24, Raphael Maunier wrote: J’oublie surement des trucs, mais c’est effectivement un routeur, pas un serveur, donc, il faut fout fermer :) J’ai un template que j’utilise qui est fait dans ce sens. Si tu peux nous le partager... ;) ça peut servir. --- Liste de diffusion du FRnOG http://www.frnog.org/
Fwd: Re: [FRnOG] [TECH] Encapsulation BGP
Le 02/02/2014 15:20, Simon Morvan a écrit : Salut, Le 02/02/2014 14:57, Jérémy Martin a écrit : Salut les geek, Bon, j'ai un opérateur qui s'occupe du transport L2 d'un uplink BGP, et celui ci semble s'amuser à faire de la QoS au niveau des paquets SSH (et FTP). Comme il ne veut rien entendre et persiste à me dire que c'est chez nous (ou chez notre transitaire) que se situe le problème, on essaye de trouver des solutions. Protocole de test ? On teste avec beaucoup de choses, mais le dernier test en date : changer l'entête des paquets SSH en encapsulant ça dans une connexion HTTP (en rajoutant une entête HTTP CONNECT sur chaque paquet) pour que ça passe à des débits tout à fait correct. Comme il n'y a aucun équipement connu chez nous ou chez notre transitaire qui peut causer une QoS de ce type, on en vient à mettre en cause le transport. Là on a imaginé de faire deux choses pour tester : 1) Faire un Vlan entre mon transitaire et mon routeur pour tester. 2) Si ça marche pas, on va tester de faire une encapsulation GRE au niveau de la session BGP C'est tout le traffic, plutot que la session BGP, qu'il faudrait encapsuler pour rendre opaque le lien. Mais en GRE, ca va rester très transparent. Tu peux ajouter une couche d'IPSec, mais faut pas avoir des Gbit/s de traffic. Après, gaffe à la MTU avec ce genre de setup. Que penses tu de la charge CPU que ça va engendrer sur 1Gb/s à travers un Brocade CER 2024C chez nous ? Je pense que ça doit passer sans soucis mais sait-on jamais. Coté MTU, le transport L2 autorise en principe les JamboFrames, dont une MTU sans blocage au delà de 1500o. De votre point de vue, vous pensez que ça peut fonctionner ? Je fais pas mal de lan2lan du pauvre en GRE over IPSec, mais c'est pour du traffic interne à la boite, pas le transit BGP. Et le gain de l'économie d'un vraie dark se paie en tuning lié au problèmes de MTU ou à la perte de visibilité sur l'état du lien (la connectivité tombe mais la conf IPsec/GRE ne fait pas tomber l'interface). On bosse pour pouvoir obtenir une dark ou une lambda neutre 10G auprès d'un autre transporteur mais ça va prendre du temps et là ça se dégrade trop. D'ailleurs, on cherche un prestataire pour prendre en charge ce dossier et nous trouver une solution à ce problème. Si ça intéresse des gens ici, me faire un p'tit mail ... Cordialement, Jérémy Martin j.mar...@techcrea.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Equinix PA1
Bonjour, Je recherche un canal CWDM ou DWDM entre Equinix PA1 et un autre DC (Telecity, Telehouse, ou autres) Si quelqu'un avait cela ;=) Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/
