Re: [FRnOG] [MISC] N3K-C3064PQ-10GX 40Gbps vPC
Bonjour, J'utilisé le vPC sur ces switch et également le SNMP pour mon Cacti. Pour le moment pas de problème. Merci. Anthony Le dim. 10 janv. 2021 à 15:55, Xavier Beaudouin a écrit : > Hello, > > >> en 40 Gbps (hardware profile 48x10G+4x40G). Au bout d’un certain temps > nous > >> remarquons que les deux > >> châssis ne remontent plus de variable environnement (power, fan etc..) > et ne > >> répond plus en SNMP. > > > > Jamais fait de vPC et pas tenté. A part çà c'est un switch populaire en > broke, > > j'en ai plusieurs dans cette config 48x10G+4x40G avec du etherchannel > 2x40G > > monochassis et aucun problème. > > Il y a temps certain, sur du N7k en vPC et virtual chassis j'avais > remarqué que le > CPU en mousse n'arrivais pas a gérer les snmpbulk avec 1000 ports... > Ou... que > la ram / temps cpu aloué au process snmpd sur le linux embarqué avais un > peu des > problèmes... > > Perso j'évite les vPC sauf si c'est ABSOLUMENT indispensable et les > utiliser en switch > basic avec de l'etherchannel -> bullet proof. KISS est la règle. > > Xavier > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6
> Xavier Beaudouin a écrit : > Pour les ASA- (-X) de notre coté, on vas les dégager. Entre l'UI en java > merdique qui > bouffe tous les cores et leur idée géniale de faire 2 objets, un en IPv4 et > un IPv6... Ca va être pas cher sur eBay et en broke à la fin de l'année; on n'est surement pas les seuls a avoir fait la même analyse. Peut-être que je vais en garder deux pour ne faire que du tunnel, et stocker les autres comme spare et ne pas renouveler la maintenance. >> Adrien Rivas a écrit : >> Et que tout le monde n'a pas le débit pour faire remonter l'accès >> internet en central, donc on met en place du split tunneling, Pas forcément le choix, et ce n'est pas seulement un problème de débit (certes important quand même); l'utilisateur en Floride qui ouvre son VPN vers moi en Californie pour accéder un serveur public sur la cote Est, Ca rajoute 60ms de latence plus la gigue plus les aléas de traverser 2 tier-1; le split-tunnel c'est parfois nécessaire. > Xavier Beaudouin a écrit : > Autrement un poste de travail en "deporté" eg : citrix par exemple permet > justement de limiter > l'effet de bord de poste de travail verolé ET ne pas avoir besoin d'un Tbps > pour gérer le traffic. C'est vrai, mais je suis bien content que ce n'est pas moi qui s'occupe de la partie VDAAS; on en fait aussi, et j'entends de la grogne et à propos de la technique et à propos des couts. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Pourquoi les entreprises désactivent IPv6
Hello >> > Donc, l'idée est de conserver ce matériel, qui dans l'ensemble me > convient >> >> C'est Cisco qui s'est tiré une balle dans le pied avec leur obsolescence > planifiée à la con. J'ai 2 gammes, les ASA et les FP2420, qui arrivent > en fin de maintenance logiciel en Aout ou Septembre de cette année. Dès que > çà touche la sécurité, plus de MAJ çà veut dire remplacement du matériel, > ce qui était leur objectif. Eh bien, à force de jouer au con, Cisco a gagné > : ils me forcent à remplacer le matos, ben oui je vais le remplacer. Avec > du PA, possiblement. > > Ils le font tous, plus ou moins violemment, mais Fortinet c'est 9 ans (me > semble) et 4 à 5 versions d'OS majeures entre la sortie du produit et le > EoL, c'est court, et en même temps quand tu vois les progrès entre deux > gammes de produits c'est long. PA je connais pas, mais c'est vrai que ça > semble "séduisant" comme produit, ça parle et j'ai l'impression que c'est > rarement remis en question, sauf niveau prix où là c'est clairement pas à > portée de tout le monde. Pour les ASA- (-X) de notre coté, on vas les dégager. Entre l'UI en java merdique qui bouffe tous les cores et leur idée géniale de faire 2 objets, un en IPv4 et un IPv6... on vas s'en passer parce que - on doit passer 2G in /out de traffic - la maintenance coute un bras - il ne sert pas a un grand chose - on a décidé de faire de l'open source et ... 2 xeon-d coutent moins cher que un ASA pour faire ce qu'on a envie de faire (du pkt filter only). > Et que tout le monde n'a pas le débit pour faire remonter l'accès internet > en central, donc on met en place du split tunneling, parce qu'à 40 sur la > ligne Adsl, avec le web ça couine un peu. Il y a même des clients avec > juste une box en déporté, parce que le firewall à 400 balles c'est trop > cher pour un bureau avec une seule personne et "ça fait des économies", > alors la même, pas de split tunneling, rien que de la navigation locale > derrière une box opérateur pas sécure, faut bien apporter un minimum sur le > poste de travail. Autrement un poste de travail en "deporté" eg : citrix par exemple permet justement de limiter l'effet de bord de poste de travail verolé ET ne pas avoir besoin d'un Tbps pour gérer le traffic. > Et en 2021, le nombre de sites en HTTPS augmente chaque jour (je retrouve > plus la stat), le HSTS se renforce, tu peux plus péter le chiffrement au > niveau UTM sans que ça altère l'expérience utilisateur, alors pour savoir > ce que fait le poste, il te faut de l'EDR, avec des To de stockage, et de > la lecture de toujours plus de logs. C'est pas de l'impuissance, c'est que > tout mis bout à bout, on a plus le choix, la sécurité périphérique n'est > plus suffisante. Ça c'est la rançon de la gloire d'avoir intercepté le traffic légitime des usager... C'est bien domage, car un proxy cache était assez pratique pour ne pas charger 1000 fois jquery et whatever... Bon Decentraleyes aide déjà pas mal ... Mais c'est une question d'envie perso / politik de la boite. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] N3K-C3064PQ-10GX 40Gbps vPC
Hello, >> en 40 Gbps (hardware profile 48x10G+4x40G). Au bout d’un certain temps nous >> remarquons que les deux >> châssis ne remontent plus de variable environnement (power, fan etc..) et ne >> répond plus en SNMP. > > Jamais fait de vPC et pas tenté. A part çà c'est un switch populaire en broke, > j'en ai plusieurs dans cette config 48x10G+4x40G avec du etherchannel 2x40G > monochassis et aucun problème. Il y a temps certain, sur du N7k en vPC et virtual chassis j'avais remarqué que le CPU en mousse n'arrivais pas a gérer les snmpbulk avec 1000 ports... Ou... que la ram / temps cpu aloué au process snmpd sur le linux embarqué avais un peu des problèmes... Perso j'évite les vPC sauf si c'est ABSOLUMENT indispensable et les utiliser en switch basic avec de l'etherchannel -> bullet proof. KISS est la règle. Xavier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Petit update - nomination présidence ARCEP
On Sat, Jan 9, 2021, at 12:21, GROS Jérôme wrote: > https://www.mediapart.fr/journal/france/070121/quand-emmanuel-macron-pietine-les-autorites-administratives-independantes > > Laure de La Raudière est pressentie pour prendre la tête de l’autorité > de régulation des télécommunications. Problème : elle a travaillé chez > Orange et elle est une proche du pouvoir. Je me pose la question: Est-ce que la totalité des personnes qui lui reprochent le fait d'avoir travaille chez Orange sont (et s'engagent a rester pour le reste de leur vie) solidaires sans condition avec la totalité de leurs employeurs passes ? Que tous ceux qui ne répondent pas Oui sans hésitation se taisent a jamais avec leurs reproches. Pour des choses très graves il y a 10 ans de prescription, alors qu'ici on parle de faits d'il y a plus de 20 ans. D'ailleurs un *ex*-BlackRock a l'AMF, *ex*-TF1 a la CSA ou *ex*-Sanofi a la HAS ca peut toujours être une bonne idée si la personne en question satisfait les critères de neutralité (et de compétence) *aujourd'hui*. J'ai trouve Mediapart très malhonnête a ce sujet. C'est peut-être (pour moi ça l'est en tout cas) le signe que ce qui vient de Mediapart il faut être analyse un peu plus en profondeur avant de crier au scandale. --- Liste de diffusion du FRnOG http://www.frnog.org/
