RE: [FRnOG] [MISC] Connexion temporaire au Bourget
Le 2013-06-11 09:52, Bruno CAVROS / SKIWEBCENTER a écrit : Bonjour, Depuis le Bourget vous être bien à vue avec la tour TDF de Romainville,, TDF a une offre Connect'FH, il faudrait leur demander si une connection temporaire est possible. si ça se trouve, ils ont une chambre optique pas loin du terrain... Si ya pas un seul réseau à proximité... quand même... Sinon, oui un FH d'un point à vue bien fourni en nainternet et déporté sur le champs. -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. Si vous avez des recommendations au niveau matériel qui supporte ce genre de chose, je suis également preneur. -- Rémi Laurent GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Le 11/06/2013 10:24, Rémi Laurent a écrit : Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. sinon, il y a le bon vieux VPN IPsec site-à-site, mais c'est du L3... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Hello, J'utiliserais du Adva FSP avec les cartes bonnes cartes d'encryption. C'est leur plus gros marché entreprise ce type de solution Cordialement, -- Raphael MAUNIER Jaguar Network France On Jun 11, 2013, at 10:24 AM, Rémi Laurent remi.laurent-fr...@conostix.com wrote: Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. Si vous avez des recommendations au niveau matériel qui supporte ce genre de chose, je suis également preneur. -- Rémi Laurent GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Guillaume Tournat - 11-06-2013 à 10h28: Le 11/06/2013 10:24, Rémi Laurent a écrit : Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. sinon, il y a le bon vieux VPN IPsec site-à-site, mais c'est du L3... Le problème c'est que je dois faire passer au moins un VLAN étendu dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Bonjour, Le 11/06/2013 10:42, Rémi Laurent a écrit : Le problème c'est que je dois faire passer au moins un VLAN étendu dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. Ce genre de choses peut-être ? http://www.senetas-europe.com/encryptor_div/layer2.html Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
On Tue, Jun 11, 2013 at 10:42:05AM +0200, Rémi Laurent wrote: Le problème c'est que je dois faire passer au moins un VLAN étendu dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. OpenVPN (performances en Giga à valider)? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Salut, Je conseillerai également des cartes 5TCE pour châssis adva ! Nous utilisons cette techno pour délivrer ce type de services. Avec également la possibilité de fournir au client un accès via serveur de management pour qu'il puisse gérer lui même ces clés d'encryption. Cdt Seb Sent from my iPhone On 11 juin 2013, at 10:42, Rémi Laurent remi.laurent-fr...@conostix.com wrote: * Guillaume Tournat - 11-06-2013 à 10h28: Le 11/06/2013 10:24, Rémi Laurent a écrit : Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. sinon, il y a le bon vieux VPN IPsec site-à-site, mais c'est du L3... Le problème c'est que je dois faire passer au moins un VLAN étendu dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Choix d’un LIR pour AS dans un cadre associatif
Le 10/06/2013 19:21, Manu Bourguin a écrit : Le sujet est relativement simple : on a pour le moment deux LIR en tête, puisque gravitants dans les même sphères associatives, Gitoyen, qui malgré le mépris affiché par certains («acceptent des billets de Monopoly») à l'avantage de savoir qui on est, ce qu'on veut et de pouvoir nous aider, même si on est rien qu'une bande de guignols mal rasés avec des tshirt noirs et des cheveux longs pour certains sans cravates, et Gixe, qui a, à peu de choses près, les mêmes avantages et le même état d'esprit (malgré certaines inimitiés notoires mais dont il n'est pas sujet aujourd'hui) Je pense que tu as la réponse dans ton message ;=) car le soucis c'est que tu demande de prendre parti envers justement deux LIR indépendant. Tu aura donc + de réponse lié aux amitiés que de vrai conseil. Moi je travail avec Sylvain depuis un moment déjà, bon pas en temps que LIR mais le service a toujours été au rendez vous, alors si tu veux une réponse: Gixe ;=) (Je connais pas Gitoyen) Le pourquoi ? : Le bon contact, l'indépendance pour le projet que tu as etc .. FAImaison veut commencer à faire joujou avec du wifi, qu'on envisage de coller à des endroits stratégiques (on évoque le Cogent et d'autres endroits intéressants dans Nantes, du fait d'un accès aisé à des batiments bien desservis, de l'environnement urbain adapté, etc…) et plus seulement avec le gentil ADSL prêt à l'emploi que nous file FDN, et donc se pose la question de qui pour nous filer les ressources administratives rares, avant des chercher des transitaires. Cogent accepte de mettre des antennes sur son DC ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Le 2013-06-11 10:52, Christophe Baegert a écrit : Bonjour, Le 11/06/2013 10:42, Rémi Laurent a écrit : Le problème c'est que je dois faire passer au moins un VLAN étendu dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. Ce genre de choses peut-être ? http://www.senetas-europe.com/encryptor_div/layer2.html intéressant mais quand on parle chiffrement, on parle sécurité. Si les solutions sont des solutions proprio, qui me garantit que les données qui circulent chiffrées ne sont vues que par moi ? et non pas aussi par d'autres entités comme ceux qui m'ont vendu le matériel ? Est on bien sur que la datasheet du matos fait bien ce qu'elle dit et pas plus ? Cela me fait penser à l'affaire en cours M$ et armée française. http://www.franceinfo.fr/high-tech/nouveau-monde/un-contrat-armee-microsoft-qui-enerve-962963-2013-04-24 Cdlt, -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Pour ce genre de trucs, l'armée (et également en banque sur les salles de marchés pour le chiffrement téléphonique des lignes analogiques) utilisait des boitiers chiffrants Thales. cdlt, De : Pascal Rullier pas...@rullier.net À : frnog@frnog.org Envoyé le : Mardi 11 juin 2013 11h16 Objet : Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit Le 2013-06-11 10:52, Christophe Baegert a écrit : Bonjour, Le 11/06/2013 10:42, Rémi Laurent a écrit : Le problème c'est que je dois faire passer au moins un VLAN étendu dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. Ce genre de choses peut-être ? http://www.senetas-europe.com/encryptor_div/layer2.html intéressant mais quand on parle chiffrement, on parle sécurité. Si les solutions sont des solutions proprio, qui me garantit que les données qui circulent chiffrées ne sont vues que par moi ? et non pas aussi par d'autres entités comme ceux qui m'ont vendu le matériel ? Est on bien sur que la datasheet du matos fait bien ce qu'elle dit et pas plus ? Cela me fait penser à l'affaire en cours M$ et armée française. http://www.franceinfo.fr/high-tech/nouveau-monde/un-contrat-armee-microsoft-qui-enerve-962963-2013-04-24 Cdlt, -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Raphael Maunier - 11-06-2013 à 10h33: Hello, J'utiliserais du Adva FSP avec les cartes bonnes cartes d'encryption. Je ne connais pas bien le matériel Adva mais il semblerait que la gamme FSP qui supporte le chiffrement soit destinée à du WDM (entre autres)? Or ici je suis livré en Ethernet sur une fibre éclairée, j'ai donc déjà un fournisseur qui s'occupe du transport sur son infra WDM. C'est leur plus gros marché entreprise ce type de solution Cordialement, -- Raphael MAUNIER Jaguar Network France On Jun 11, 2013, at 10:24 AM, Rémi Laurent remi.laurent-fr...@conostix.com wrote: Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. Si vous avez des recommendations au niveau matériel qui supporte ce genre de chose, je suis également preneur. -- Rémi Laurent GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Emmanuel Lacour - 11-06-2013 à 10h52: On Tue, Jun 11, 2013 at 10:42:05AM +0200, Rémi Laurent wrote: Le problème c'est que je dois faire passer au moins un VLAN étendu dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. OpenVPN (performances en Giga à valider)? C'est ce à quoi j'avais pensé en premier lieu et ça sera probablement la solution par défaut si les coûts ou la complexité explose. J'ai déjà un setup presque prêt dans notre lab, je tâcherai de vous donner les retours. C'est juste que j'aimerais éviter d'insérer des serveurs dans le chemin; si je pouvais effectuer le chiffrement entre des switchs connectés à la fibre par exemple ça serait une solution qui me conviendrait parfaitement. -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
... qui serait en fait de la revente de box mistral d'après ce que j'ai entendu dire : http://www.mistralsolutions.com/hs-solutions/data-encryption.html Mais néanmoins solide puisque seuls l'OTAN, la NSA et les chient noix sont capables d'accéder au contenu ! 2013/6/11 Surya ARBY arbysu...@yahoo.fr Pour ce genre de trucs, l'armée (et également en banque sur les salles de marchés pour le chiffrement téléphonique des lignes analogiques) utilisait des boitiers chiffrants Thales. cdlt, De : Pascal Rullier pas...@rullier.net À : frnog@frnog.org Envoyé le : Mardi 11 juin 2013 11h16 Objet : Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit Le 2013-06-11 10:52, Christophe Baegert a écrit : Bonjour, Le 11/06/2013 10:42, Rémi Laurent a écrit : Le problème c'est que je dois faire passer au moins un VLAN étendu dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. Ce genre de choses peut-être ? http://www.senetas-europe.com/encryptor_div/layer2.html intéressant mais quand on parle chiffrement, on parle sécurité. Si les solutions sont des solutions proprio, qui me garantit que les données qui circulent chiffrées ne sont vues que par moi ? et non pas aussi par d'autres entités comme ceux qui m'ont vendu le matériel ? Est on bien sur que la datasheet du matos fait bien ce qu'elle dit et pas plus ? Cela me fait penser à l'affaire en cours M$ et armée française. http://www.franceinfo.fr/high-tech/nouveau-monde/un-contrat-armee-microsoft-qui-enerve-962963-2013-04-24 Cdlt, -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ -- Matthieu MICHAUD --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Le 11/06/2013 10:52, Emmanuel Lacour a écrit : On Tue, Jun 11, 2013 at 10:42:05AM +0200, Rémi Laurent wrote: Le problème c'est que je dois faire passer au moins un VLAN étendu dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. OpenVPN (performances en Giga à valider)? en mode TAP, c'est du L2. par contre, ca implique d'insérer un équipement de terminaison de chaque côté. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Le 2013-06-11 11:15, Matthieu Michaud a écrit : ... qui serait en fait de la revente de box mistral d'après ce que j'ai entendu dire : http://www.mistralsolutions.com/hs-solutions/data-encryption.html Mais néanmoins solide puisque seuls l'OTAN, la NSA et les chient noix sont capables d'accéder au contenu ! 2013/6/11 Surya ARBY arbysu...@yahoo.fr Pour ce genre de trucs, l'armée (et également en banque sur les salles de marchés pour le chiffrement téléphonique des lignes analogiques) utilisait des boitiers chiffrants Thales. super, qui me dit que Thales n'a pas mis une backdoor à eux dedans ??? -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Le 2013-06-11 11:20, Guillaume Tournat a écrit : Le 11/06/2013 10:52, Emmanuel Lacour a écrit : On Tue, Jun 11, 2013 at 10:42:05AM +0200, Rémi Laurent wrote: Le problème c'est que je dois faire passer au moins un VLAN étendu dans lequel se trouve quelques serveurs, sinon oui, un VPN classique aurait été mon premier choix. OpenVPN (performances en Giga à valider)? en mode TAP, c'est du L2. par contre, ca implique d'insérer un équipement de terminaison de chaque côté. et en plus, les sources sont dispos. \o/ -- Pascal Rullier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Le 11/06/2013 11:16, Pascal Rullier a écrit : Est on bien sur que la datasheet du matos fait bien ce qu'elle dit et pas plus ? 100% d'accord. Après, avec Linux, ça sera pas forcément évident de faire du wirespeed... peut-être avec un proc de fou (vérifier le support du multithread par openvpn, et ce sera un gouffre énergétique), ou avec une carte accélératrice (pareil, vérifier le support) Cordialement, Christophe --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Le 11/06/2013 11:10, Rémi Laurent a écrit : OpenVPN (performances en Giga à valider)? C'est ce à quoi j'avais pensé en premier lieu et ça sera probablement la solution par défaut si les coûts ou la complexité explose. J'ai déjà un setup presque prêt dans notre lab, je tâcherai de vous donner les retours. C'est juste que j'aimerais éviter d'insérer des serveurs dans le chemin; si je pouvais effectuer le chiffrement entre des switchs connectés à la fibre par exemple ça serait une solution qui me conviendrait parfaitement. en mode pret à l'emploi, il y a la distrib pfSense (basé sur FreeBSD) une interface web très complète et bien faite, pour mettre en place rapidement l'OpenVPN. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
2013/6/11 Pascal Rullier pas...@rullier.net Le 2013-06-11 11:15, Matthieu Michaud a écrit : ... qui serait en fait de la revente de box mistral d'après ce que j'ai entendu dire : http://www.mistralsolutions.**com/hs-solutions/data-**encryption.htmlhttp://www.mistralsolutions.com/hs-solutions/data-encryption.html Mais néanmoins solide puisque seuls l'OTAN, la NSA et les chient noix sont capables d'accéder au contenu ! 2013/6/11 Surya ARBY arbysu...@yahoo.fr Pour ce genre de trucs, l'armée (et également en banque sur les salles de marchés pour le chiffrement téléphonique des lignes analogiques) utilisait des boitiers chiffrants Thales. super, qui me dit que Thales n'a pas mis une backdoor à eux dedans ??? Salut, Thales est (a été ?) une société Française dont l'état est encore actionnaire. Bon vendredi .. euh.. mardi ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Christophe Baegert, le Tue 11 Jun 2013 11:29:03 +0200, a écrit : Le 11/06/2013 11:16, Pascal Rullier a écrit : 100% d'accord. Après, avec Linux, ça sera pas forcément évident de faire du wirespeed... peut-être avec un proc de fou (vérifier le support du multithread par openvpn, et ce sera un gouffre énergétique) Le support multithread dans openvpn était expérimental et a fini par être viré. Samuel --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
On 11.06.2013 11:29, Christophe Baegert wrote: 100% d'accord. Après, avec Linux, ça sera pas forcément évident de faire du wirespeed... peut-être avec un proc de fou (vérifier le support du multithread par openvpn, et ce sera un gouffre énergétique), ou avec une carte accélératrice (pareil, vérifier le support) c'est pas trop difficile, a condition d'utiliser les instructions AES intégrées aux processeurs... c'est la qu'il faut bien faire gaffe a avoir la bonne librairie SSL ;-) Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Raphaël Jacquot - 11-06-2013 à 11h49: On 11.06.2013 11:29, Christophe Baegert wrote: 100% d'accord. Après, avec Linux, ça sera pas forcément évident de faire du wirespeed... peut-être avec un proc de fou (vérifier le support du multithread par openvpn, et ce sera un gouffre énergétique), ou avec une carte accélératrice (pareil, vérifier le support) c'est pas trop difficile, a condition d'utiliser les instructions AES intégrées aux processeurs... c'est la qu'il faut bien faire gaffe a avoir la bonne librairie SSL ;-) Oui, avec AES-NI sur des CPU Intel même entrée de gamme ça avance tout de même pas mal, je viens de faire quelques 'speed' tests avec un openssl 1.0.1 ça tourne à 200MB/s, même avec de petits blocs; il faut encore que je teste avec le bridge etc... mais c'est encourageant Merci pour vos réponses -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Bonjour FRnoG, On Tue, Jun 11, 2013 at 11:15:28AM +0200, Matthieu Michaud wrote: ... qui serait en fait de la revente de box mistral d'après ce que j'ai entendu dire : http://www.mistralsolutions.com/hs-solutions/data-encryption.html Pour connaitre les gens qui font ça, je peux confirmer que c'est pas de la revente mais que c'est bien développé en propre par Thales Com via leur équipe RD. C'est eux qui font le choix du matos, à une époque sur base de processeur Cavium Octeon; dans les dernières générations, je sais pas, j'ai pas suivi. Mistral est effectivement une appliance pour faire de la crypto au niveau L2/Ethernet et peut être complétée par une solution d'admin centralisée pour la diffusion des clés utilisées pour l'authentification des équipements. Mais néanmoins solide puisque seuls l'OTAN, la NSA et les chient noix sont capables d'accéder au contenu ! C'est aussi pas mal déployé dans les armées françaises et chez des grands comptes sensibles du domaine Défense ou CAC40. Pour ce qui est de la backdoor et autre algo crypto troué, je passe mon tour pour le troll... ++ Laurent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Il me semble que l'ASR1000 fait ça en hardware, et tiendra le gigabit sur le modèle d'entrée de gamme. A vérifier. Cédric Le 11 juin 2013 10:24, Rémi Laurent remi.laurent-fr...@conostix.com a écrit : Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. Si vous avez des recommendations au niveau matériel qui supporte ce genre de chose, je suis également preneur. -- Rémi Laurent GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.10 (GNU/Linux) iEYEARECAAYFAlG23sUACgkQPckIWg+gBgEK8QCfUAUQ71Sm5G9HKPq/k2DpzCot gu8AoIzuxo4ocWsGSXvlHVmytQ1kfO2X =X1+l -END PGP SIGNATURE- --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Choix d’un LIR pour AS dans un cadre associatif
On 10/06/2013 14:33, Phibee Network Operation Center wrote: On a l'impression que l'on découvre depuis peu la vente des IP, un petit rappel, n'est ce pas un grand opérateur national qui proposait l'IP Fixe a15 euro par mois ;=) c'est un peu le même esprit Cher NOC Phibee, Il me semble au contraire que c'est très différent. D'une part parce que que l'IP soit fixe ou non, c'est une IP, et donc une IP prise. Certes du temps du RTC cela permettait de surbooker un peu les plages attribuées aux abonnés, mais était-ce un enjeu comparable, et même était-on bien sorti de usenet à cette époque des connexions intermittentes ? D'autre part parce que ce qui était vendu là c'est la capacité d'avoir un certain degré de stabilité ce qui permettait de mettre en oeuvre des services, notamment en pouvant établir un reverse DNS. Enfin parce que c'est une pratique de ISP à End User. La vente d'IP dont on parle ici, c'est celle qui se fait sur de larges plages d'allocation, de LIR à LIR. Bonne journée, Sylvain --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Choix d’un LIR pour AS dans un cadre associatif
Le 11/06/2013 12:54, Sylvain Vallerot a écrit : La vente d'IP dont on parle ici, c'est celle qui se fait sur de larges plages d'allocation, de LIR à LIR. Pas sur, dans le cas precis ils ne sont pas LIR, donc pas du LIR a LIR et perso j'ai jamais reçu de demande d'IP d'un autre LIR, toujours du End User --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Le 11/06/2013 12:06, Cédric Tabary a écrit : Il me semble que l'ASR1000 fait ça en hardware, et tiendra le gigabit sur le modèle d'entrée de gamme. A vérifier. A 6k€ le 1001 plus licence SEC, ça va revenir un peu plus cher que du Juniper SRX550. Les deux étant largement surdimensionnés en terme de spec mais tout juste en terme de capa de chiffrement. -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
OpenVPN en tap marche très bien, à tester car entre deux serveurs dédiés OVH je dépassais pas les 300Mbps mais n'ayant pas la main sur le réseau dur de savoir ce qui coince réellement (carte réseau ou réseau bridé/protégé). signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
* Wallace - 11-06-2013 à 18h16: OpenVPN en tap marche très bien, à tester car entre deux serveurs dédiés OVH je dépassais pas les 300Mbps mais n'ayant pas la main sur le réseau dur de savoir ce qui coince réellement (carte réseau ou réseau bridé/protégé). Premiers tests j'ai à peu près les mêmes performances. Je viens de finir un autre montage à coup de l2tp dans ipsec, là par contre j'atteins les 500Mbps. Par contre il faut un peu tuner les MTU pour que ça passe de bout en bout. Je n'ai pas assez de matériel supportant AES-NI pour l'instant, si j'arrive à avoir ça je vous en ferai part. FYI: les deux endpoints sont des Intel Xeon X3440 et les cartes réseaux des chip Intel 82576, drivers e1000; pas de tuning particulier pour l'instant -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601 signature.asc Description: Digital signature
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
Avec 2 bon vieux M7i re 850 avec une multiservice 100 pour le chiffrement. avec une encap Ethernet cross-connect. Normalement on peut monter a environ 800Mo SBU Le 11/06/2013 10:24, Rémi Laurent a écrit : Bonjour la liste, est-ce que certains d'entres vous ont des recommendations ou pistes à suivre concernant le chiffrement d'un L2 ethernet, ici un lien gigabit intersite ? Dans le cas qui m'intéresse j'aimerais avoir du chiffrement au niveau d'un lien fibre 1 gigabit qui relie deux batiments, pas besoin de chiffrement end-to-end entre mes serveurs, routeurs etc ... Je suis livré au deux extrêmités en 1000BASE-LX 1310nm. J'ai l'impression que la norme IEEE 802.1AE pourrait couvrir ce besoin mais si je lis bien cela implique d'avoir un support end to end; dans ce cas cela rendrait trop compliquée la mise en oeuvre sur mon infra existante. Si vous avez des recommendations au niveau matériel qui supporte ce genre de chose, je suis également preneur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solutions pour chiffrement d'un L2 gigabit
On 11 Jun 2013, wall...@morkitu.org wrote: OpenVPN en tap marche très bien, à tester car entre deux serveurs dédiés OVH je dépassais pas les 300Mbps mais n'ayant pas la main sur le réseau dur de savoir ce qui coince réellement (carte réseau ou réseau bridé/protégé). J'ai approximativement les mêmes résultats peu importe le réseau, le facteur bloquant étant pour ma part le CPU. OpenVPN n'est pas multithread et n'utilise qu'un seul core. Le hack a été de mettre plusieurs clients et plusieurs serveurs OpenVPN de chaque côté sur des ports différents pour utiliser tous les cores : 8 cores = 8 fois plus rapide. Le combo CPU récent / openssl récent permet parait il d'utiliser les features hardware pour optimiser cela mais ce n'est pas applicable dans mon cas. HIH -- Cyril Bouthors - ISVTEC: Web Platform Managed Services and Scalability 14 avenue de l'Opéra, 75001 Paris. 1 rue Émile Zola, 69002 Lyon Tél : 01 84 16 16 17 - Ligne directe : 0x7B9EE3B0E - Fax : 01 77 72 57 24 --- Liste de diffusion du FRnOG http://www.frnog.org/