[FRnOG] [TECH] bgp/ospf et loopback dummy sous linux

[Antoine Durant]

 Hello,
Je rencontre une difficulté en portant une config bgp/ospf cisco fonctionnelle 
sur du linux quagga. Je pense que mon problème vient de la gestion loopback ou 
dummy sous linux par rapport au lo traditionnel du cisco !
Le bloc annoncé en bgp est A.A.A.0/24. Sur chaque quagga j'ai monté une dummy 
A.A.A.1/24 et A.A.A.2/24.
Je veux mettre en place un ibgp entre 2 quagga. Si j'utilise une adresse privé 
sur eth0 entre les 2 quagga 192.168.1.1/30 et 192.168.1.2/30 pour l'ospf la 
session bgp ne monte pas... Je ne peux pas joindre l'ip de l'interface dummy 
dans face depuis les 2 quagga.

#quagga 1 = eth0router bgp 10
 bgp router-id A.A.A.1
 bgp log-neighbor-changes
 network A.A.A.0/24
 neighbor A.A.A.2 remote-as 10
 neighbor A.A.A.2 update-source eth0
 neighbor A.A.A.2 next-hop-self
 neighbor A.A.A.2 soft-reconfiguration inboundrouter ospf
 ospf router-id 192.168.1.1
 network 192.168.1.0/30 area 0.0.0.0
 network A.A.A.0/24 area 0.0.0.0
#quagga 2  = eth0router bgp 10
 bgp router-id A.A.A.2
 bgp log-neighbor-changes
 network A.A.A.0/24
 neighbor A.A.A.1 remote-as 10
 neighbor A.A.A.1 update-source eth0
 neighbor A.A.A.1 next-hop-self
 neighbor A.A.A.1 soft-reconfiguration inbound-router ospf
 ospf router-id 192.168.1.2
 network 192.168.1.0/30 area 0.0.0.0
 network A.A.A.0/24 area 0.0.0.0
Si je met directement une ip du bloc annoncé en bgp j'ai pas de problème l'ibgp 
monte bien via ospf...
#quagga 1 = eth0router ospf
 ospf router-id A.A.A.1
 network A.A.A.0/24 area 0.0.0.0#quagga 2  = eth0router ospf
 ospf router-id A.A.A.2
 network A.A.A.0/24 area 0.0.0.0
Qui est familier de ce genre de configuration ospf/bgp avec quagga ? 
Si je me trompe pas il n'est pas conseillé d'utiliser une ip du bloc dans 
l'interface de liaison ospf car si elle est off bgp n'annoncera pas le réseau à 
son peer ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] BGP et OSPF avec dummy/loopback sous linux

[Antoine DURANT]

Hello,

Je rencontre une difficulté en portant une config bgp/ospf cisco fonctionnelle 
sur du linux quagga. Je pense que mon problème vient de la gestion loopback ou 
dummy sous linux par rapport au lo traditionnel du cisco !

Le bloc annoncé en bgp est A.A.A.0/24. Sur chaque quagga j'ai monté une dummy 
A.A.A.1/24 et A.A.A.2/24.

Je veux mettre en place un ibgp entre 2 quagga. Si j'utilise une adresse privé 
sur eth0 entre les 2 quagga 192.168.1.1/30 et 192.168.1.2/30 pour l'ospf la 
session bgp ne monte pas... Je ne peux pas joindre l'ip de l'interface dummy 
dans face depuis les 2 quagga.


#quagga 1 = eth0
router bgp 10
 bgp router-id A.A.A.1
 bgp log-neighbor-changes
 network A.A.A.0/24
 neighbor A.A.A.2 remote-as 10
 neighbor A.A.A.2 update-source eth0
 neighbor A.A.A.2 next-hop-self
 neighbor A.A.A.2 soft-reconfiguration inbound

router ospf
 ospf router-id 192.168.1.1
 network 192.168.1.0/30 area 0.0.0.0
 network A.A.A.0/24 area 0.0.0.0

#quagga 2  = eth0
router bgp 10
 bgp router-id A.A.A.2
 bgp log-neighbor-changes
 network A.A.A.0/24
 neighbor A.A.A.1 remote-as 10
 neighbor A.A.A.1 update-source eth0
 neighbor A.A.A.1 next-hop-self
 neighbor A.A.A.1 soft-reconfiguration inbound
-
router ospf
 ospf router-id 192.168.1.2
 network 192.168.1.0/30 area 0.0.0.0
 network A.A.A.0/24 area 0.0.0.0

Si je met directement une ip du bloc annoncé en bgp j'ai pas de problème l'ibgp 
monte bien via ospf...

#quagga 1 = eth0
router ospf
 ospf router-id A.A.A.1
 network A.A.A.0/24 area 0.0.0.0
#quagga 2  = eth0
router ospf
 ospf router-id A.A.A.2
 network A.A.A.0/24 area 0.0.0.0

Qui est familier de ce genre de configuration ospf/bgp avec quagga ?

Si je me trompe pas il n'est pas conseillé d'utiliser une ip du bloc dans 
l'interface de liaison ospf car si elle est off bgp n'annoncera pas le réseau à 
son peer ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RE: BGP et OSPF avec dummy/loopback sous linux

[Antoine DURANT]

Si j'utilise A.A.A.1/32 et A.A.A.2/32 le bloc A.A.A.0/24 n'est pas annoncé aux 
upstream.


Lorsque je regarde neighbor advertises-routes il n'y a rien, dès que je passe 
en /24 le bloc est annoncé directement.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

Hello,


Je voudrais avoir un conseil/exemple sur l'optimisation d'une configuration de 
routage des flux bgp avec 2 transits.


Transit 100 (majoritaire) 100M

Transit 200 (secondaire - backup) 50M


Donner une préférence pour transit1 plus élevée que transit2 en IN/OUT via 
route-map.


Par contre si le réseau D.D.D.0/24 est directement connecté au Transit2 et que 
depuis Transit1 je dois passer dans 2 autre AS pour pouvoir le joindre, comment 
dire via route-map que le transit2 serait plus optimum ?


En gros l'idée de dire que tous les réseaux directement connecté a l'AS du 
transitaire est à privilégier est elle une bonne idée ?


Comment feriez vous dans cette configuration ?


Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

Merci pour les infos 😊


Est-ce que je m'approche de la vérité avec la conf suivante :


router bgp 10
 bgp router-id A.A.A.1
 network A.A.A.0 mask 255.255.255.0
 neighbor 1.1.1.100 remote-as 100
 neighbor 1.1.1.100 soft-reconfiguration inbound
 neighbor 1.1.1.100 route-map map-in in
 neighbor 1.1.1.100 route-map map-out out
 neighbor 1.1.1.100 filter-list 1 out
 neighbor 2.2.2.200 remote-as 200
 neighbor 2.2.2.200 soft-reconfiguration inbound
 neighbor 2.2.2.200 route-map map-in in
 neighbor 2.2.2.200 route-map map-out out
 neighbor 2.2.2.200 filter-list 1 out
!
 ip as-path access-list 1 permit ^$
 ip as-path access-list 1 permit ^(10_)*$
 ip as-path access-list 100 permit ^100_[0-9]*$
 ip as-path access-list 200 permit ^200_[0-9]*$
!
ip prefix-list filterv4 seq 5 deny A.A.A.0/24
ip prefix-list filterv4 seq 10 deny 0.0.0.0/0
ip prefix-list filterv4 seq 15 deny 0.0.0.0/8 le 32
ip prefix-list filterv4 seq 20 deny 10.0.0.0/8 le 32
ip prefix-list filterv4 seq 25 deny 127.0.0.0/8 le 32
ip prefix-list filterv4 seq 30 deny 169.254.0.0/16 le 32
ip prefix-list filterv4 seq 35 deny 172.16.0.0/12 le 32
ip prefix-list filterv4 seq 40 deny 192.0.2.0/24 le 32
ip prefix-list filterv4 seq 45 deny 192.168.0.0/16 le 32
ip prefix-list filterv4 seq 50 deny 224.0.0.0/3 le 32
ip prefix-list filterv4 seq 55 permit 0.0.0.0/0 le 32
!
route-map map-in permit 10
 match as-path 100
 set local-preference 100
!
route-map map-in permit 20
 match as-path 200
 set local-preference 100
!
route-map map-in permit 30
 match ip address prefix-list filterv4
 set local-preference 100
!

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

Tu as raison, je cherche à faire cette manip pour IN/OUT...


Pour l'entrant et/ou le sortant : si un réseau est directement connecté à l'AS 
du transitaire comment faire pour que celui-ci passe directement par le 
transitaire sur lequel il est connecté ?


Je pense que cela est maitrisable en OUT via mon AS mais pas forcément 
maitrisable dans l'AS du transitaire qui lui à son tour peut préférer renvoyer 
vers une route différente. Je me trompe ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

Je nage dans le flou lol !


une route map OUT peut-elle utiliser des local-preference ?


!
 ip as-path access-list 1 permit ^$
 ip as-path access-list 1 permit ^(10_)*$
 ip as-path access-list 100 permit ^100_[0-9]*$
 ip as-path access-list 101 permit ^100_
 ip as-path access-list 200 permit ^200_[0-9]*$
 ip as-path access-list 201 permit ^200_
!
route-map map-out permit 10
 match as-path 100
 set local-preference 100
!
route-map map-out permit 20
 match as-path 101
 set local-preference 100
!
route-map map-out permit 30
 match as-path 200
 set local-preference 100
!
route-map map-out permit 40
 match as-path 201
 set as-path prepend 10 10 10 10
!

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

J'ai 2 transitaires différents AS100 et AS200 pour reprendre ma conf du début.


Comme vous avez pu le voir dans mon post de la semaine dernière, je suis en 
train de mettre un ibgp entre les deux routeurs afin de voir la table de 
routage de AS100/AS200 sur les deux routeurs...


Si j'ai bien compris :

- le trafic entrant qui vient du transitaire vers mon AS est à configurer en 
OUT sur mon routeur

- le trafic sortant de mon AS vers le transitaire est à configurer en IN sur 
mon routeur


BGP sélectionne automatique le chemin le plus court pour joindre un réseau, 
donc si AS100 et AS200 connaisses tout deux la destination mon routeur 
sélectionnera celui ou il y a moins de hop, je me trompe pas ?




---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

Voici la configuration des 2 routeurs avec un ibgp. R1 est connecté à AS100 
transit primaire et R2 est connecté à AS200 transit de backup.


Sur la route-map IN du router2 j'ai ajouté un set local-preference (pref 50) 
inférieur au routeur1 (pref 100). Egalement sur le routeur2 j'ai ajouté un 
prepend sur la route-map out.


Est-ce que cela ressemble à quelque chose de valable pour le mode transit  
Primaire/BACKUP ou je dois encore relire les docs Cisco ?


#Router1 => AS100 (Transit Primaire)

router bgp 10
 bgp router-id A.A.A.1
 network A.A.A.0 mask 255.255.255.0
 neighbor 1.1.1.100 remote-as 100
 neighbor 1.1.1.100 soft-reconfiguration inbound
 neighbor 1.1.1.100 route-map map-in in
 neighbor 1.1.1.100 route-map map-out out
 neighbor 1.1.1.100 filter-list 1 out
 neighbor A.A.A.2 remote-as 100
 neighbor A.A.A.2 update-source Loopback0
 neighbor A.A.A.2 next-hop-self
!
 ip as-path access-list 1 permit ^$
 ip as-path access-list 100 permit ^100_
!
ip prefix-list filterv4_in seq 5 deny A.A.A.0/24
ip prefix-list filterv4_in seq 10 deny 0.0.0.0/0
ip prefix-list filterv4_in seq 15 deny 0.0.0.0/8 le 32
ip prefix-list filterv4_in seq 20 deny 10.0.0.0/8 le 32
ip prefix-list filterv4_in seq 25 deny 127.0.0.0/8 le 32
ip prefix-list filterv4_in seq 30 deny 169.254.0.0/16 le 32
ip prefix-list filterv4_in seq 35 deny 172.16.0.0/12 le 32
ip prefix-list filterv4_in seq 40 deny 192.0.2.0/24 le 32
ip prefix-list filterv4_in seq 45 deny 192.168.0.0/16 le 32
ip prefix-list filterv4_in seq 50 deny 224.0.0.0/3 le 32
ip prefix-list filterv4_in seq 55 permit 0.0.0.0/0 le 32
!
ip prefix-list filterv4_out seq 5 permit A.A.A.0/24
ip prefix-list filterv4_out seq 10 deny any
!
route-map map-in deny 10
 match ip address prefix-list filterv4_in
!
route-map map-in permit 20
 match as-path 100
 set local-preference 100
!
route-map map-out permit 10
 match ip address prefix-list filterv4_out
!

#Router2 => AS200 (Transit Backup)

router bgp 10
 bgp router-id A.A.A.2
 network A.A.A.0 mask 255.255.255.0
 neighbor 2.2.2.200 remote-as 200
 neighbor 2.2.2.200 soft-reconfiguration inbound
 neighbor 2.2.2.200 route-map map-in in
 neighbor 2.2.2.200 route-map map-out out
 neighbor 2.2.2.200 filter-list 1 out
 neighbor A.A.A.1 remote-as 100
 neighbor A.A.A.1 update-source Loopback0
 neighbor A.A.A.1 next-hop-self
!
 ip as-path access-list 1 permit ^$
 ip as-path access-list 200 permit ^200_
!
ip prefix-list filterv4_in seq 5 deny A.A.A.0/24
ip prefix-list filterv4_in seq 10 deny 0.0.0.0/0
ip prefix-list filterv4_in seq 15 deny 0.0.0.0/8 le 32
ip prefix-list filterv4_in seq 20 deny 10.0.0.0/8 le 32
ip prefix-list filterv4_in seq 25 deny 127.0.0.0/8 le 32
ip prefix-list filterv4_in seq 30 deny 169.254.0.0/16 le 32
ip prefix-list filterv4_in seq 35 deny 172.16.0.0/12 le 32
ip prefix-list filterv4_in seq 40 deny 192.0.2.0/24 le 32
ip prefix-list filterv4_in seq 45 deny 192.168.0.0/16 le 32
ip prefix-list filterv4_in seq 50 deny 224.0.0.0/3 le 32
ip prefix-list filterv4_in seq 55 permit 0.0.0.0/0 le 32
!
ip prefix-list filterv4_out seq 5 permit A.A.A.0/24
ip prefix-list filterv4_out seq 10 deny any
!
route-map map-in deny 10
 match ip address prefix-list filterv4_in
!
route-map map-in permit 20
 match as-path 200
 set local-preference 50
!
route-map map-out permit 10
 match ip address prefix-list filterv4_out
!
route-map map-out permit 20
 set as-path prepend 10 10 10
!

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

OK, donc local-pref de 50 sur transit2 et local-pref de 100 sur transit dans 
une route-map IN, permet de laisser prioritaire transit1.

Sur le transit2 faire un prepend dans une route-map OUT afin que le trafic 
passe plutôt par transit1.


J'avais appliqué cela dans ma conf envoyée précédemment, je n'ai pas encore eu 
la validation des experts :D


Michel : J'utilise 2 serveurs linux avec Quagga pour faire bgp/ospf.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Optimisation bgp avec 2 transits

[Antoine DURANT]

Une petite question concernant l'adressage ip entre 2 BGP et un routeur de 
distribution avec une ip failover...

Actuellement j'ai ça : 

A.A.A.0/24 bloc annoncé BGP
80.X.X.X ip d'interco routeurs

R1 => 80.0.0.1/29 :: ip route A.A.A.1/32 80.0.0.5
R2 => 80.0.0.2/29 :: ip route A.A.A.1/32 80.0.0.5
IP fail Gateway : 80.0.0.6/29
R3 => 80.0.0.5/29
R4 => A.A.A.1/32

R1--OSPF/BGP---R2
|-80.0.0.6/29--|
   |
   |
   R3
    80.0.0.5/29
dans R3 : ip route A.A.A.1/32 192.168.1.1
 ip route 0.0.0.0 0.0.0.0 80.0.0.6
  |
R4
 192.168.1.1 / A.A.A.1
dans R4 : ip route 0.0.0.0 0.0.0.0 192.168.1.2

  

Pour joindre A.A.A.1 depuis R1 il faut passer par 80.0.0.1  > 80.0.0.5 > 
192.168.1.1
Pour joindre A.A.A.1 depuis R2 il faut passer par 80.0.0.2  > 80.0.0.5 > 
192.168.1.1
Pour joindre 8.8.8.8 depuis R4 il faut passer par 192.168.1.2 > 80.0.0.6 > R1 
>Transit1 (car je préfère R1/Transit1 pour cette route)

J'ai voulu utiliser un /29 entre R1,R2 et R3 pour que depuis les transits de 
R1/R2 ils puissent joindre R3 (80.0.0.6).

Mon pb est que si j'utilise une ip fail Gateway avec un /30 si l'ip fail est 
montée sur R1 et que j'ai un trafic résiduel qui arrive sur R2, celui-si ne 
pourra pas joindre R3.

Est-ce qu'il y a une autre solution ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] 3750G ipv6 route floating/track

[Antoine DURANT]

Hello,


Avec un 3750G IOS c3750-ipservicesk9-mz.150-2.SE10a je crois qu'il n'est pas 
possible d'utiliser l'objet track pour  ipv6 route ::/0 2000:0:CCC::2 TRACK 10.


La seule façon que j'ai trouvé est d'utiliser AD avec une floating route :

ipv6 route ::/0 2000:0:DDD::2 10
ipv6 route ::/0 2000:0:CCC::2

Cela est basé sur le port UP/DOWN, j'aurais préféré faire un echo-ping d'une 
ipv6 mais cela ne fonctionne pas !! Limitation IOS peut être ?

De plus le icmp-echo est complétement faux, je débranche le port qui permet de 
joindre 2000:0:CCC::2 est il me dit que le track est UP lol

!
track 10 ip sla 10 reachability
!
ip sla 10
 icmp-echo 2000:0:CCC::2
 threshold 500
 timeout 500
 frequency 3
ip sla schedule 10 life forever start-time now
!
Switch#sh track
Track 10
  IP SLA 10 reachability
  Reachability is Up
5 changes, last change 01:58:27
  Latest operation return code: OK
  Latest RTT (millisecs) 1

J'ai regardé EEM script mais il ne gère pas event track ...

Avez-vous une solution ou astuce ?





---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] RE: 3750G ipv6 route floating/track

[Antoine DURANT]

Hello,


Personne ne peut me donner une information 😊


Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] quagga et adressage interfaces

[Antoine DURANT]

Hello,

Quel est la bonne méthode concernant l'adressage IP des interfaces ?

Utiliser /etc/network/interfaces ou vtysh via conf t ou les deux ??

Car si j'utilise une IP en dur dans /etc/network/interfaces celle-ci n'est pas 
affichée par vtysh lors d'un show conf... Donc pas top lors de la lecture d'une 
conf bgp ospf par exemple.

Comment faites vous ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] quagga et adressage interfaces

[Antoine DURANT]

Si le demon zebbra tombe... les IP ajoutées sur l'interface avec vtysh vont 
disparaître non ?

De : frnog-requ...@frnog.org  de la part de Alarig Le 
Lay 
Envoyé : lundi 31 juillet 2017 21:49:56
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] quagga et adressage interfaces

Hello,

On lun. 31 juil. 17:15:00 2017, Antoine DURANT wrote:
> Car si j'utilise une IP en dur dans /etc/network/interfaces celle-ci
> n'est pas affichée par vtysh lors d'un show conf... Donc pas top lors
> de la lecture d'une conf bgp ospf par exemple.
>
> Comment faites vous ?

Je n’utilise pas debian ? :D
Sinon, comme le /etc/network/interfaces a tendance par me sortir par les
yeux, j’aurais tendance à mettre les IPs dans la conf quagga.

--
alarig

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

Bonjour,


J’ai deux quagga avec un ibgp/ospf, chaque routeur est connecté sur un upstream 
différent.


Via l’ibgp je vois bien les prefixes des différents upstream sur chaque 
routeur, par contre si le prefixe A.A.A.A/24 est plus court via 
provider2/quagga2, si j’essaye de faire un ping de A.A.A.A depuis quagga1 cela 
ne fonctionne pas.

Depuis quagga2 le ping vers A.A.A.A passe sans encombre !


interco OSP/BGP : quagga1 (ETH1=192.168.1.1/30)<>(ETH1=192.168.1.1/30) 
quagga2


Sur quagga1 j’ai une dummy avec la conf suivante :

Dummy0 = C.C.C.1/32
neighbor C.C.C.1 remote-as 1
 neighbor C.C.C.1 update-source dummy0
 neighbor C.C.C.1 next-hop-self
 neighbor C.C.C.1  soft-reconfiguration inbound


sh ip route A.A.A.A
Routing entry for A.A.A.0/24
  Known via "bgp", distance 200, metric 0, best
  Last update 00:35:48 ago
C.C.C.100  (recursive)
  *   192.168.1.2, via eth1



Sur quagga2 j’ai une dummy avec la conf suivante :
Dummy0 = C.C.C.100/32
neighbor C.C.C.100 remote-as 1
 neighbor C.C.C.100 update-source dummy0
 neighbor C.C.C.100 next-hop-self
 neighbor C.C.C.100  soft-reconfiguration inbound


sh ip route A.A.A.A
Routing entry for A.A.A.0/24
  Known via "bgp", distance 20, metric 0, best
  Last update 00:35:48 ago
C.C.C.100  (recursive)
  *   X.X.X.67, via eth2


Est-ce un comportement normal ?

Merci



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

J'ai essayé de faire un ping -I dummy0 A.A.A.A cela ne change rien. Même chose 
avec l'eth du ibgp/ospf.


ip route get A.A.A.A
A.A.A.A via 192.168.1.2 dev eth1  src 192.168.1.1
cache

J'ai vraiment du mal à comprendre, j'ai aussi essayé ebgp-multihop 2 sur 
quagga2 au cas ou mais pas mieux !


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

Non pas de vrf, juste une conf standard...

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

Faut que je vérifie mais en montant une eth avec 172.16.1.1/30 sur le quagga1 
avec un 3750 en ip routing je peux pinguer A.A.A.A.

A.A.A.A ne peut avoir connaissance de 192.168.1.1 car IP RFC non routable. De 
plus il s'agit d'une interco interne non publique.

De : Louinel ORIENTAL 
Envoyé : jeudi 10 août 2017 21:53:20
À : Antoine DURANT
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

Hello,

Problème de route retour, j'imagine que A.A.A.A ne sait pas joindre 192.168.1.1 
ip utilisé comme source pour ton ping.


Le 10 août 2017 20:34, "Antoine DURANT" 
mailto:anto.duran...@outlook.fr>> a écrit :
Bonjour,


J’ai deux quagga avec un ibgp/ospf, chaque routeur est connecté sur un upstream 
différent.


Via l’ibgp je vois bien les prefixes des différents upstream sur chaque 
routeur, par contre si le prefixe A.A.A.A/24 est plus court via 
provider2/quagga2, si j’essaye de faire un ping de A.A.A.A depuis quagga1 cela 
ne fonctionne pas.

Depuis quagga2 le ping vers A.A.A.A passe sans encombre !


interco OSP/BGP : quagga1 
(ETH1=192.168.1.1/30<http://192.168.1.1/30>)<>(ETH1=192.168.1.1/30<http://192.168.1.1/30>)
 quagga2


Sur quagga1 j’ai une dummy avec la conf suivante :

Dummy0 = C.C.C.1/32
neighbor C.C.C.1 remote-as 1
 neighbor C.C.C.1 update-source dummy0
 neighbor C.C.C.1 next-hop-self
 neighbor C.C.C.1  soft-reconfiguration inbound


sh ip route A.A.A.A
Routing entry for A.A.A.0/24
  Known via "bgp", distance 200, metric 0, best
  Last update 00:35:48 ago
C.C.C.100  (recursive)
  *   192.168.1.2, via eth1



Sur quagga2 j’ai une dummy avec la conf suivante :
Dummy0 = C.C.C.100/32
neighbor C.C.C.100 remote-as 1
 neighbor C.C.C.100 update-source dummy0
 neighbor C.C.C.100 next-hop-self
 neighbor C.C.C.100  soft-reconfiguration inbound


sh ip route A.A.A.A
Routing entry for A.A.A.0/24
  Known via "bgp", distance 20, metric 0, best
  Last update 00:35:48 ago
C.C.C.100  (recursive)
  *   X.X.X.67, via eth2


Est-ce un comportement normal ?

Merci



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

J'ai dit une bêtise en disant que depuis le 3750 ca fonctionne

Je tourne en rond je ne comprend pas pourquoi j'ai ca . Pas besoin de forcer 
une route vers la /32 des dummy car via ospf l'IP est connue depuis et vers les 
2 quagga.

Envoyé à partir de Outlook

De : frnog-requ...@frnog.org  de la part de Antoine 
DURANT 
Envoyé : jeudi 10 août 2017 22:13:25
À : Louinel ORIENTAL
Cc : frnog-t...@frnog.org
Objet : RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

Faut que je vérifie mais en montant une eth avec 172.16.1.1/30 sur le quagga1 
avec un 3750 en ip routing je peux pinguer A.A.A.A.

A.A.A.A ne peut avoir connaissance de 192.168.1.1 car IP RFC non routable. De 
plus il s'agit d'une interco interne non publique.

De : Louinel ORIENTAL 
Envoyé : jeudi 10 août 2017 21:53:20
À : Antoine DURANT
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

Hello,

Problème de route retour, j'imagine que A.A.A.A ne sait pas joindre 192.168.1.1 
ip utilisé comme source pour ton ping.


Le 10 août 2017 20:34, "Antoine DURANT" 
mailto:anto.duran...@outlook.fr>> a écrit :
Bonjour,


J’ai deux quagga avec un ibgp/ospf, chaque routeur est connecté sur un upstream 
différent.


Via l’ibgp je vois bien les prefixes des différents upstream sur chaque 
routeur, par contre si le prefixe A.A.A.A/24 est plus court via 
provider2/quagga2, si j’essaye de faire un ping de A.A.A.A depuis quagga1 cela 
ne fonctionne pas.

Depuis quagga2 le ping vers A.A.A.A passe sans encombre !


interco OSP/BGP : quagga1 
(ETH1=192.168.1.1/30<http://192.168.1.1/30>)<>(ETH1=192.168.1.1/30<http://192.168.1.1/30>)
 quagga2


Sur quagga1 j’ai une dummy avec la conf suivante :

Dummy0 = C.C.C.1/32
neighbor C.C.C.1 remote-as 1
 neighbor C.C.C.1 update-source dummy0
 neighbor C.C.C.1 next-hop-self
 neighbor C.C.C.1  soft-reconfiguration inbound


sh ip route A.A.A.A
Routing entry for A.A.A.0/24
  Known via "bgp", distance 200, metric 0, best
  Last update 00:35:48 ago
C.C.C.100  (recursive)
  *   192.168.1.2, via eth1



Sur quagga2 j’ai une dummy avec la conf suivante :
Dummy0 = C.C.C.100/32
neighbor C.C.C.100 remote-as 1
 neighbor C.C.C.100 update-source dummy0
 neighbor C.C.C.100 next-hop-self
 neighbor C.C.C.100  soft-reconfiguration inbound


sh ip route A.A.A.A
Routing entry for A.A.A.0/24
  Known via "bgp", distance 20, metric 0, best
  Last update 00:35:48 ago
C.C.C.100  (recursive)
  *   X.X.X.67, via eth2


Est-ce un comportement normal ?

Merci



---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

David,


>Si tu ping avec une IP privée comme source,ça  marche pas.

Je suis d'accord 😊 Mais le pb n'est pas ici.

>Si tu ping avec dummy/loop back comme source, ça marche non ?

Non cela ne fonctionne pas depuis quagga1; quagga2 est OK...


Le préfixe A.A.A.A/24 est directement connecté à quagga2 via son upstream. 
Depuis quagga2 je peux effectivement pinguer A.A.A.A


Depuis qagga1 qui ne connait pas A.A.A.A/24 via son upstream il le connait via 
ibgp/ospf.

A.A.A.0/24 est physiquement dans la table de routage de quagga1 mais il ne peut 
pas pinguer A.A.A.A même en utilisant la dummy du ibgp.


Est-ce que tu comprends mieux mon problème ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

IP forward est bien activé sur les 2 quagga

De : frnog-requ...@frnog.org  de la part de Laurent 
CARON 
Envoyé : vendredi 11 août 2017 15:55:49
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

Le 11/08/2017 à 15:12, David Ponzone a écrit :
> Donc A.A.A.A ne connaît pas la route retour pour l'adresse publique de la 
> dummy de quagga1. Ou alors c'est Quagga2 (improbable).
>
> David Ponzone
>

Vendredi style ?|

sysctl -w net.ipv4.ip_forward=1

Si vous me cherchez... -> []
|

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

[Antoine DURANT]

J'avais essayé sur quagga2 de rajouter ip route ip_dummy du quagga1 vers l'IP 
d'interco de l'ospf/ibgp mais cela ne change rien...

De : David Ponzone 
Envoyé : vendredi 11 août 2017 15:12:44
À : Antoine DURANT
Cc : frnog-t...@frnog.org
Objet : Re: [FRnOG] [TECH] Ping depuis ibgp/ospf quagga

Donc A.A.A.A ne connaît pas la route retour pour l'adresse publique de la dummy 
de quagga1. Ou alors c'est Quagga2 (improbable).

David Ponzone



Le 11 août 2017 à 20:10, Antoine DURANT 
mailto:anto.duran...@outlook.fr>> a écrit :


David,


>Si tu ping avec une IP privée comme source,ça  marche pas.

Je suis d'accord 😊 Mais le pb n'est pas ici.

>Si tu ping avec dummy/loop back comme source, ça marche non ?

Non cela ne fonctionne pas depuis quagga1; quagga2 est OK...


Le préfixe A.A.A.A/24 est directement connecté à quagga2 via son upstream. 
Depuis quagga2 je peux effectivement pinguer A.A.A.A


Depuis qagga1 qui ne connait pas A.A.A.A/24 via son upstream il le connait via 
ibgp/ospf.

A.A.A.0/24 est physiquement dans la table de routage de quagga1 mais il ne peut 
pas pinguer A.A.A.A même en utilisant la dummy du ibgp.


Est-ce que tu comprends mieux mon problème ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Cisco interface output errors

[Antoine Durant]

Bonjour,
Sur un cisco 881 j'ai une interface que je trouve bizare :
4078688 packets output, 410931415 bytes, 0 underruns
147866 output errors, 31696 collisions, 9 interface resets
Pourquoi en sortie j'ai autant d'errors, collisions et reset ??
Merci


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Configuration hardware serveur BGP quagga

[Antoine Durant]

Salut, Je viens de récupérer une machine ayant 4Go de RAM DDR3 avec comme 
processeur un Intel Celeron 725C (1.30 Ghz) avec plusieurs RJ45 Intel 1G. Je 
compte en faire un routeur sous quagga pour gérer mon BGP (ipv4 et ipv6) ayant 
deux transitaires en full view et gestion de VLAN sur les uplinks des switchs. 
Est-ce que d'après vous cette configuration vous semble viable ? Merci pour 
votre retour.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Configuration hardware serveur BGP quagga

[Antoine Durant]

Bonsoir, Merci pour les retours d'expérience !  Je constate que beaucoup 
d'entre vous me déconseille cette machine à cause de son processeur trop faible 
:( Donc voici les processeurs que je peux monter, lequel selon est le plus 
approprié  ? Pentium® B915CCore™ i3-2115CXeon® E3 1105CXeon® E5 1125C (Sandy 
Bridge Gladden) Pentium® B925CCore™ i3-3115CXeon® E3 1105v2Xeon® E3 1125v2  
Concernant mes transitaires, j'ai deux interfaces à 100Mb. Je suis un peux 
surpris sur les réponses, car il y a deux ans environ pas mal de monde parlé 
d'un ALLNET ayant un proc Intel ATOM N270, 1.60 GHz
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Exemple de config pour wifi cisco881W

[Antoine Durant]

Bonjour, Je recherche un exemple de configuration du module wifi d'un Cisco 
881W. J'essaye de me faire la main sur le service wifi en ligne de commande 
pour une utilisation en access point... Je trouve quelque doc mais la config 
est trop poussée, je cherche un truc simple afin de voir comment cela se 
configure. Quelqu'un a une conf plus ou moins basique à me faire parvenir ? 
Merci d'avance ;)
 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] IP publique sur équipement interne via routeur cisco

[Antoine Durant]

Bonjour, J'ai remarqué qu'il est possible d'utiliser une IP publique sur un 
équipement situé en interne par exemple pour mon firewall. le FAI m'a fournit 
un pool d'IP publique qu'il est possible d'adresser directement sur mes 
équipements. En face j'ai un routeur Cisco 881 qui gère le routage, comment 
fait on pour configurer un Cisco 881 afin d'accepter d'utiliser un pool d'IP 
publique défini ? J'aimerai pouvoir reproduire cette configuration sur mon 
Cisco aussi. Avez vous un exemple de configuration ? Merci pour le retour.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP publique sur équipement interne via routeur cisco

[Antoine Durant]

Bonjour, En fait je n'ai pas besoin du support du FAI. Je cherche à comprendre 
comment on fait ce genre de chose. Donc je voudrais essayer de reproduire une 
maquette chez moi, afin de pouvoir utiliser ce fonctionnement...
  De : David Ponzone 
 À : Antoine Durant  
Cc : "frnog-t...@frnog.org"  
 Envoyé le : Jeudi 28 mai 2015 12h33
 Objet : Re: [FRnOG] [TECH] IP publique sur équipement interne via routeur cisco
   
Internet regorge d’exemples de configuration de ce type, mais avant tout, il 
faut savoir comment le FAI gère le routage du subnet (un /29 j’imagine) vers 
les équipements du client.
Et finalement, le support du FAI est là pour vous aider.



Le 28 mai 2015 à 12:22, Antoine Durant  a écrit :

> Bonjour, J'ai remarqué qu'il est possible d'utiliser une IP publique sur un 
> équipement situé en interne par exemple pour mon firewall. le FAI m'a fournit 
> un pool d'IP publique qu'il est possible d'adresser directement sur mes 
> équipements. En face j'ai un routeur Cisco 881 qui gère le routage, comment 
> fait on pour configurer un Cisco 881 afin d'accepter d'utiliser un pool d'IP 
> publique défini ? J'aimerai pouvoir reproduire cette configuration sur mon 
> Cisco aussi. Avez vous un exemple de configuration ? Merci pour le retour.
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Règle IP Nat Cisco

[Antoine Durant]

Bonjour, Je suis en train de tripatouiller un Cisco serie 800 avec des règles 
NAT, mais j'ai un petit problème... Sur le CISCO (A.B.C.D) j'ai connecté un 
pare-feu (192.168.1.100). Je redirige tout ce qui rentre sur le Cisco vers le 
pare-feu avec la règle suivante : ip nat inside source static 192.168.1.100 
A.B.C.D extendable Avec cette règle je perds évidement mon accès SSH du Cisco. 
Si j'essaye d'ajouter la règle suivante j'ai l'erreur :
ip nat inside source static tcp A.B.C.D 22 A.B.C.D 22% similar static entry 
(192.168.1.100 -> A.B.C.D) already exists Comment faire pour autoriser SSH sur 
l'adresse A.B.C.D ? Merci :)
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] problème de route pour un ping !

[Antoine Durant]

Salut :) J'ai une question qui va vous sembler peut être toute bête, mais avec 
la fatigue je n'arrive pas à trouver :'( RTR_A => IP 
192.168.1.254/24192.168.1.1/24 (GW 192.168.1.254)RTR_A => IP 
10.0.1.2/3010.0.1.1/30 (ip route 0.0.0.0 0.0.0.0 10.0.1.2)RTR_A 
=> IP 10.0.1.6/3010.0.1.5/30 (ip route 0.0.0.0 0.0.0.0 10.0.1.6) 
Depuis le PC (192.168.1.1/24) j'arrive à pinguer l'IP d'interco des deux 
routeurs (10.0.1.2/30 et 10.0.1.6/30)Par contre je n'arrive pas à pinguer la 
seconde IP d'interco des deux routeurs (10.0.1.1/30 et 10.0.1.5/30) Depuis 
RTR_A je pingue n'importe quelle IP ! Pour résoudre le problème du PING est-ce 
que je dois par exemple monter une session BGP sur RTR_A afin de lui spécifier 
les différents /30 ?
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] problème de route pour un ping !

[Antoine Durant]

Bonjour à tous, En fait la configuration des routeurs est ultra simple voir 
vide :) RTR_A annonce en BGP 192.168.1.0/24 192.168.2.0/24 etcRTR_A a ça 
comme conf ROUTE: ip route 192.168.1.100/32 10.0.1.1 RTR_B est un simple 
routeur avec une interco en 10.0.1.1/30 utilisant en loopback une adresse 
192.168.1.X Le ping sur les IPs 192.168.1.100 fonctionne correctement, en 
revanche depuis le PC 192.168.1.1 je voudrais bien pinguer l'IP d'interco 
"WAN/10.0.1.1" du routeur B, mais cela ne fonctionne pas !! J'ai eu des retours 
en OFF (merci ;) ) me disant de rajouter une route sur les RTR_A et RTR_B vers 
le reseau 192.168.1.X ! Ce que je ne pige pas c'est que j'utilise dans le RTR_A 
ip route 0.0.0.0 0.0.0.0 10.0.1.2 et j'arrive à pinguer une IP extérieure 
(1.1.1.100) connectée sur un RTR_X ayant une interco avec le RTR_A. Est-ce que 
cela est plus clair ? Merci.
   De : David Ponzone 
 À : Antoine Durant  
Cc : Frnog-tech  
 Envoyé le : Jeudi 18 juin 2015 18h18
 Objet : Re: [FRnOG] [TECH] problème de route pour un ping !
   
A mon avis, ça aiderait de voir les confs complètes de chaque routeur, mais vu 
que c’est jeudi, c’est pas gratuit (puisque pas permis).


Le 18 juin 2015 à 16:45, Antoine Durant  a écrit :

> Salut :) J'ai une question qui va vous sembler peut être toute bête, mais 
> avec la fatigue je n'arrive pas à trouver :'( RTR_A => IP 
> 192.168.1.254/24<PC>192.168.1.1/24 (GW 192.168.1.254)RTR_A => IP 
> 10.0.1.2/30<RTR_B>10.0.1.1/30 (ip route 0.0.0.0 0.0.0.0 
> 10.0.1.2)RTR_A => IP 10.0.1.6/30<RTR_C>10.0.1.5/30 (ip route 0.0.0.0 
> 0.0.0.0 10.0.1.6) Depuis le PC (192.168.1.1/24) j'arrive à pinguer l'IP 
> d'interco des deux routeurs (10.0.1.2/30 et 10.0.1.6/30)Par contre je 
> n'arrive pas à pinguer la seconde IP d'interco des deux routeurs (10.0.1.1/30 
> et 10.0.1.5/30) Depuis RTR_A je pingue n'importe quelle IP ! Pour résoudre le 
> problème du PING est-ce que je dois par exemple monter une session BGP sur 
> RTR_A afin de lui spécifier les différents /30 ?
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] problème de route pour un ping !

[Antoine Durant]

Bonjour,
Le problème est identifié avec l'aide de Marc sur la liste, merci. J'utilise 
une règle de NAT qui pose problème sur la réponse du ping !
Si j'essaye de ping 10.0.1.2 celui essaye de partir depuis le NAT 192.168.1.100

ip nat inside source list 10 interface Loopback0 overload
access-list 10 permit ip 10.0.1.0 0.0.0.3 any

le problème est que je n'arrive pas à écrire la bonne règle de nat pour que le 
ping passe vers le monde exterieur et que l'Ip d'interco soit aussi pinguable 
depuis le réseau d'interco interne.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] problème de route pour un ping !

[Antoine Durant]

Oui j'ai du NAT dans le bazar...Oui pour la conf tu as raison mais comme il n'y 
a que quelque ligne j'avais oublié que l'ACL pouvais poser soucis ! MEACULPA !!

J'ai déjà essayé la configuration plus ou moins identique que tu donnes mais 
cela ne fonctionne pas !
Si je peux pinguer l'exterieur, l'Ip d'interco n'est plus joignable... 
L'inverse aussi je pingue l'IP d'interco mais pas l'exterieur

  De : David Ponzone 
 À : Antoine Durant  
Cc : Frnog-tech  
 Envoyé le : Mardi 23 juin 2015 20h49
 Objet : Re: [FRnOG] [TECH] problème de route pour un ping !
   
Ah t’as du NAT dans le bazar….
C’est pas faute d’avoir demandé la conf…

Il doit y avoir une erreur dans ton copier/coller, car une access-list 
numérotée 10 est une ACL standard, dans laquelle on ne peut préciser que la 
source, et pas le protocole ou la destination.

Si tu fais donc une ACL extended, 100 par exemple, tu peux faire un NAT partiel 
avec:

ip nat inside source list 100 interface Loopback0 overload
access-list 100 deny ip 10.0.1.0 0.0.0.3 10.0.0.0 0.0.0.255
access-list 100 permit ip 10.0.1.0 0.0.0.3 any

Adapte en fonction de ton cas, je ne me rappelle pas de la conf précise.



Le 23 juin 2015 à 20:30, Antoine Durant  a écrit :

> Bonjour,
> Le problème est identifié avec l'aide de Marc sur la liste, merci. J'utilise 
> une règle de NAT qui pose problème sur la réponse du ping !
> Si j'essaye de ping 10.0.1.2 celui essaye de partir depuis le NAT 
> 192.168.1.100
> 
> ip nat inside source list 10 interface Loopback0 overload
> access-list 10 permit ip 10.0.1.0 0.0.0.3 any
> 
> le problème est que je n'arrive pas à écrire la bonne règle de nat pour que 
> le ping passe vers le monde exterieur et que l'Ip d'interco soit aussi 
> pinguable depuis le réseau d'interco interne.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] problème de route pour un ping !

[Antoine Durant]

Oui... voila la configuration ultra basique de RTR_B (RTR_C a aussi la même 
conf, sauf que l'IP du NAT change 192.168.1.200 et l'ip d'interco n'est pas la 
même...)
version 15.2
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname RTR_B
!
boot-start-marker
boot-end-marker
!
!
no logging console
!
no aaa new-model
memory-size iomem 10
!
!
no ip source-route
no ip gratuitous-arps
!
!
!
!
no ip bootp server
no ip domain lookup
ip domain name lab.local
ip cef
!
!
!
interface Loopback0
 ip address 192.168.1.100 255.255.255.255
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 ip address 10.0.1.1 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 ip verify unicast reverse-path
 duplex full
 speed 100
!
interface Vlan1
 ip address 172.16.1.254 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 ip verify unicast reverse-path
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 100 interface Loopback0 overload
ip nat inside source list 101 interface Loopback0 overload
ip route 0.0.0.0 0.0.0.0 10.0.1.2
!
access-list 100 permit ip 10.0.1.0 0.0.0.3 any
access-list 101 permit ip 172.16.1.0 0.0.0.255 any
no cdp run
!
control-plane
!
!
!


  De : David Ponzone 
 À : Antoine Durant  
Cc : Frnog-tech  
 Envoyé le : Mardi 23 juin 2015 21h15
 Objet : Re: [FRnOG] [TECH] problème de route pour un ping !
   
On a atteint le stade où j’arrête de réfléchir sans avoir les confs devant les 
yeux :)Ca peut être un détail, ça peut être que ce que tu veux faire est 
impossible, ça peut être que tu ne le fais pas de la bonne manière!



Le 23 juin 2015 à 21:13, Antoine Durant  a écrit :

Oui j'ai du NAT dans le bazar...Oui pour la conf tu as raison mais comme il n'y 
a que quelque ligne j'avais oublié que l'ACL pouvais poser soucis ! MEACULPA !!

J'ai déjà essayé la configuration plus ou moins identique que tu donnes mais 
cela ne fonctionne pas !
Si je peux pinguer l'exterieur, l'Ip d'interco n'est plus joignable... 
L'inverse aussi je pingue l'IP d'interco mais pas l'exterieur

  De : David Ponzone 
 À : Antoine Durant  
Cc : Frnog-tech  
 Envoyé le : Mardi 23 juin 2015 20h49
 Objet : Re: [FRnOG] [TECH] problème de route pour un ping !
   
Ah t’as du NAT dans le bazar….
C’est pas faute d’avoir demandé la conf…

Il doit y avoir une erreur dans ton copier/coller, car une access-list 
numérotée 10 est une ACL standard, dans laquelle on ne peut préciser que la 
source, et pas le protocole ou la destination.

Si tu fais donc une ACL extended, 100 par exemple, tu peux faire un NAT partiel 
avec:

ip nat inside source list 100 interface Loopback0 overload
access-list 100 deny ip 10.0.1.0 0.0.0.3 10.0.0.0 0.0.0.255
access-list 100 permit ip 10.0.1.0 0.0.0.3 any

Adapte en fonction de ton cas, je ne me rappelle pas de la conf précise.



Le 23 juin 2015 à 20:30, Antoine Durant  a écrit :

> Bonjour,
> Le problème est identifié avec l'aide de Marc sur la liste, merci. J'utilise 
> une règle de NAT qui pose problème sur la réponse du ping !
> Si j'essaye de ping 10.0.1.2 celui essaye de partir depuis le NAT 
> 192.168.1.100
> 
> ip nat inside source list 10 interface Loopback0 overload
> access-list 10 permit ip 10.0.1.0 0.0.0.3 any
> 
> le problème est que je n'arrive pas à écrire la bonne règle de nat pour que 
> le ping passe vers le monde exterieur et que l'Ip d'interco soit aussi 
> pinguable depuis le réseau d'interco interne.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] problème de route pour un ping !

[Antoine Durant]

Salut David ! > ip nat inside source list 100 interface Loopback0 overload
> access-list 100 permit ip 10.0.1.0 0.0.0.3 any

>>Là, par contre, j’ai un problème.
>>Si tu veux NATer les paquets qui rentrent par l’interface « ip nat outside » 
>>FE4 et qui vont vers « ip nat inside » >>VLAN1, l’inverse donc, la règle doit 
>>être:
>>ip nat outside source list 100 interface Loopback0 overload
>>et avec ton ACL 100, tu le ferais que pour les paquets qui viennent de l’IP 
>>de FE4, ou l’interface de RTR_A qui >>porte 10.0.1.2.
>>J’ai du mal à voir l’intérêt, et je me demande si cette règle en inside mal 
>>placée ne serait pas la cause de ton >>problème. Oui comme tu le précise mon 
>>problème est sur l'ACL n°100 (je n'ai pas de problème avec la 101) J'ai placé 
>>volontairement cette ACL pour pouvoir depuis le RTR pinguer des adresses 
>>extérieures en sortant avec l'IP de la loopback0 Celle ci me pose problème 
>>car le ping sur les intercos ne fonctionne pas.Si j'enlève l'ACL 100 je peux 
>>pinguer mes IPs d'interco mais pas une IP dans le "WAN"
   De : David Ponzone 
 À : Antoine Durant  
Cc : Frnog-tech  
 Envoyé le : Mercredi 24 juin 2015 1h06
 Objet : Re: [FRnOG] [TECH] problème de route pour un ping !
   
Voilà déjà un truc qui me plait pas:

> interface FastEthernet4
>  ip address 10.0.1.1 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat outside
>  ip virtual-reassembly in
>  ip verify unicast reverse-path
>  duplex full
>  speed 100
> !
> interface Vlan1
>  ip address 172.16.1.254 255.255.255.0
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat inside
>  ip virtual-reassembly in
>  ip verify unicast reverse-path

> ip nat inside source list 101 interface Loopback0 overload
> access-list 101 permit ip 172.16.1.0 0.0.0.255 any
> !

Ca, c’est ok. Les paquets arrivant par VLAN1 avec 172.16.1.0/24 comme IP source 
et qui ressortent par FE4 (la default) vont être NATés en 192.168.1.100.

> ip nat inside source list 100 interface Loopback0 overload
> access-list 100 permit ip 10.0.1.0 0.0.0.3 any

Là, par contre, j’ai un problème.
Si tu veux NATer les paquets qui rentrent par l’interface « ip nat outside » 
FE4 et qui vont vers « ip nat inside » VLAN1, l’inverse donc, la règle doit 
être:
ip nat outside source list 100 interface Loopback0 overload
et avec ton ACL 100, tu le ferais que pour les paquets qui viennent de l’IP de 
FE4, ou l’interface de RTR_A qui porte 10.0.1.2.
J’ai du mal à voir l’intérêt, et je me demande si cette règle en inside mal 
placée ne serait pas la cause de ton problème.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] problème de route pour un ping !

[Antoine Durant]

Merci David !! Tu vas pouvoir passer une bonne soirée ta solution fonctionne :) 
Bravo et encore merci !
  De : David Ponzone 
 À : Antoine Durant  
Cc : Frnog-tech  
 Envoyé le : Mercredi 24 juin 2015 20h23
 Objet : Re: [FRnOG] [TECH] problème de route pour un ping !
   
Ah ok, je comprends mieux.
Donc c’est bien un ip nat inside qu’il faut mais tu veux pas NATer vers 
192.168.1.0/24 pour que la réponse au ping fonctionne:
ip nat inside source list 100 interface Loopback0 overload
access-list 100 deny ip 10.0.1.0 0.0.0.3 192.168.1.0 0.0.0.255
access-list 100 permit ip 10.0.1.0 0.0.0.3 any

Allez, dis-moi que ça marche, que je passe une bonne soirée, et qu’on passe à 
autre chose :)


Le 24 juin 2015 à 19:54, Antoine Durant  a écrit :


Salut David ! > ip nat inside source list 100 interface Loopback0 overload
> access-list 100 permit ip 10.0.1.0 0.0.0.3 any

>>Là, par contre, j’ai un problème.
>>Si tu veux NATer les paquets qui rentrent par l’interface « ip nat outside » 
>>FE4 et qui vont vers « ip nat inside » >>VLAN1, l’inverse donc, la règle doit 
>>être:
>>ip nat outside source list 100 interface Loopback0 overload
>>et avec ton ACL 100, tu le ferais que pour les paquets qui viennent de l’IP 
>>de FE4, ou l’interface de RTR_A qui >>porte 10.0.1.2.
>>J’ai du mal à voir l’intérêt, et je me demande si cette règle en inside mal 
>>placée ne serait pas la cause de ton >>problème. Oui comme tu le précise mon 
>>problème est sur l'ACL n°100 (je n'ai pas de problème avec la 101) J'ai placé 
>>volontairement cette ACL pour pouvoir depuis le RTR pinguer des adresses 
>>extérieures en sortant avec l'IP de la loopback0 Celle ci me pose problème 
>>car le ping sur les intercos ne fonctionne pas.Si j'enlève l'ACL 100 je peux 
>>pinguer mes IPs d'interco mais pas une IP dans le "WAN"
   De : David Ponzone 
 À : Antoine Durant  
Cc : Frnog-tech  
 Envoyé le : Mercredi 24 juin 2015 1h06
 Objet : Re: [FRnOG] [TECH] problème de route pour un ping !
   
Voilà déjà un truc qui me plait pas:

> interface FastEthernet4
>  ip address 10.0.1.1 255.255.255.252
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat outside
>  ip virtual-reassembly in
>  ip verify unicast reverse-path
>  duplex full
>  speed 100
> !
> interface Vlan1
>  ip address 172.16.1.254 255.255.255.0
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  ip nat inside
>  ip virtual-reassembly in
>  ip verify unicast reverse-path

> ip nat inside source list 101 interface Loopback0 overload
> access-list 101 permit ip 172.16.1.0 0.0.0.255 any
> !

Ca, c’est ok. Les paquets arrivant par VLAN1 avec 172.16.1.0/24 comme IP source 
et qui ressortent par FE4 (la default) vont être NATés en 192.168.1.100.

> ip nat inside source list 100 interface Loopback0 overload
> access-list 100 permit ip 10.0.1.0 0.0.0.3 any

Là, par contre, j’ai un problème.
Si tu veux NATer les paquets qui rentrent par l’interface « ip nat outside » 
FE4 et qui vont vers « ip nat inside » VLAN1, l’inverse donc, la règle doit 
être:
ip nat outside source list 100 interface Loopback0 overload
et avec ton ACL 100, tu le ferais que pour les paquets qui viennent de l’IP de 
FE4, ou l’interface de RTR_A qui porte 10.0.1.2.
J’ai du mal à voir l’intérêt, et je me demande si cette règle en inside mal 
placée ne serait pas la cause de ton problème.




---
Liste de diffusion du FRnOG
http://www.frnog.org/

   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Doublon dans règle NAT CISCO ??

[Antoine Durant]

Bonjour, Il me semble que j’ai un doublon sur une règle de NAT concernant les 
règles suivantes : => ip nat inside source list 101 interface Loopback0 overload
=> access-list 101 permit ip 172.16.1.252 0.0.0.3 any
ET
=> ip nat inside source static 172.16.1.253 192.168.1.10 extendable A mon avis 
si je laisse la règle :
=> ip nat inside source static 172.16.1.253 192.168.1.10 extendable
Et que je supprime les deux :
=> ip nat inside source list 101 interface Loopback0 overload
=> access-list 101 permit ip 172.16.1.252 0.0.0.3 any
est-ce que cela reviendrait t’il pas au même  Pour schématiser le routeur 
172.16.1.254 envoi tout le trafic sur le pare-feux 172.16.1.253 et 
inverssement. Il n'y a que deux hotes dans le réseau 172.16.1.252/30 Config du 
Cisco :
!
interface Loopback0
 ip address 192.168.1.10 255.255.255.255
!
interface FastEthernet4
 ip address 10.0.0.1 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 ip verify unicast reverse-path
!
interface Vlan1
 ip address 172.16.1.254 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly in
 ip verify unicast reverse-path
!
ip nat inside source list 100 interface Loopback0 overload
ip nat inside source list 101 interface Loopback0 overload
ip nat inside source static 172.16.1.253 192.168.1.10 extendable
ip route 0.0.0.0 0.0.0.0 10.0.0.2
!
access-list 100 deny   ip 10.0.0.0 0.0.0.3 192.168.1.0 0.0.0.255
access-list 100 permit ip 10.0.0.0 0.0.0.3 any
access-list 101 permit ip 172.16.1.252 0.0.0.3 any Merci pour le retour :)
 
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] cisco 2960 deux vlan et une box adsl

[Antoine Durant]

Bonjour, Voici le contexte :Une box ADSL connecté (192.168.1.1) sur un switch 
2960Le switch 2960 à deux VLAN :vlan1 => 192.168.1.0/24vlan2 => 192.168.2.0/24 
Sur le switch 2960 j'ai changé le sdm pour le routing, j'ai activé le mode ip 
routing sur le switch. Mon problème est que le vlan2 ne peux pas sortir sur 
internet depuis une adresse 192.168.2.XDepuis le switch pas de problème je ping 
une adresse internet (ip route 0.0.0.0 0.0.0.0 192.168.1.1)Je ne peux rien 
toucher sur la box ADSL... Je me dis que cela est normal le 2960 étant un 
layer2 il n'est pas possible de faire du NAT pour faire sortir 192.168.2.X via 
192.168.1.X. Au cas ou, je pose la question, est-ce possible de faire quelque 
chose (ACL? autre...) pour que le vlan2 puisse surfer ? Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl

[Antoine Durant]

Bonsoir :) Je n'ai pas la main sur la box c'est pour ça que j'essaye de mettre 
un 2960 afin de faire un montage/test/bidouille pour sortir sur internet avec 
le VLAN2.     
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl

[Antoine Durant]

Oui c'est bien ce que je me disais aussi...  Le 2960 ne sait pas faire du NAT 
non plus :\ 
  De : David Ponzone 
 À : Antoine Durant  
Cc : Sebastien Lecomte ; Frnog-tech 
 
 Envoyé le : Mardi 21 juillet 2015 20h06
 Objet : Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
   
Aucune chance alors, il te faut du NAT pour 192.168.2.0/24





Le 21 juil. 2015 à 20:04, Antoine Durant  a écrit :

Bonsoir :) Je n'ai pas la main sur la box c'est pour ça que j'essaye de mettre 
un 2960 afin de faire un montage/test/bidouille pour sortir sur internet avec 
le VLAN2.     
---
Liste de diffusion du FRnOG
http://www.frnog.org/




  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl

[Antoine Durant]

MDR ! Oui bonne idée, par contre je cherche le 6500 au format 1U... 
  De : David Ponzone 
 À : Antoine Durant  
Cc : Sebastien Lecomte ; Frnog-tech 
 
 Envoyé le : Mardi 21 juillet 2015 20h21
 Objet : Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
   
non, tu achètes un 6500, qqun en vendait un pour pas cher il y a quelques jours 
sur la liste :)



Le 21 juil. 2015 à 20:09, Antoine Durant  a écrit :

Oui c'est bien ce que je me disais aussi...  Le 2960 ne sait pas faire du NAT 
non plus :\ 
  De : David Ponzone 
 À : Antoine Durant  
Cc : Sebastien Lecomte ; Frnog-tech 
 
 Envoyé le : Mardi 21 juillet 2015 20h06
 Objet : Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
   
Aucune chance alors, il te faut du NAT pour 192.168.2.0/24





Le 21 juil. 2015 à 20:04, Antoine Durant  a écrit :

Bonsoir :) Je n'ai pas la main sur la box c'est pour ça que j'essaye de mettre 
un 2960 afin de faire un montage/test/bidouille pour sortir sur internet avec 
le VLAN2.     
---
Liste de diffusion du FRnOG
http://www.frnog.org/




   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl

[Antoine Durant]

Bonjour,

Actuellement j'ai une ADSL qui est utilisé pour monter un VPN vers un autre 
bureau afin d'utiliser les ressources de là bas. Le problème est que de temps 
en temps ça rame un peux quand on utilise le VPN et qu'on surf en même temps.

Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le 
surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée 
pour le reste du trafic.

Déjà est-ce que cela est possible a faire ? 
Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin 
de créer une route VPN vers la BOX1 et le reste vers la BOX2.

Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit 
budget - de 500€)

Merci pour vos retours.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl

[Antoine Durant]

Hello :) Merci pour les retours.  Je cherche à monter une solution CISCO car je 
ne veux pas m'embêter à monter un PC ou autre chose pour réaliser ça. En tout 
cas les solutions sont pertinentes !! Le VPN est configuré dans la box 
d'orange. L'ADSL risque de migrer sur une SDSL ou une fibre quand cela sera 
possible, donc c'est pour cela que je préfère aussi monter un router un peu de 
marque pour ne pas avoir de "problème" dans le futur...
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] extention wifi, quel matériel ?

[Antoine Durant]

Bonsoir la liste,
Avec un groupe d’ami et de personne nous allons monter pendant nos vacances un 
réseau wifi afin de pouvoir nous connecter à internet en haut débit (trop la 
classe !!).  Etant dans une zone blanche en campagne, l’arrivée de la fibre 
n’est pas prévu, donc on se débrouille comme on peut. La techno du wifi à donc 
pour nous du sens et surtout de pouvoir espérer plus de 2M...
Nous allons agréger plusieurs abonnements ADSL afin de les diffuser via le wifi 
sur un point central situé en hauteur.
Nous avons certaines maisons à « connecter » qui se trouve dans un rayon de 500 
m.
=> Faut-t’il mettre une antenne qui arrose à 360° ou alors faire du point à 
point avec plusieurs antennes émettrices ?=> Quel matériel vous me conseillez 
pour ce genre de pratique ainsi que son prix d'achat ?
=> Préférez-vous utiliser du wifi 2.4Ghz ou du 5Ghz ?
Merci pour vos retours d’expérience et astuce.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] extention wifi, quel matériel ?

[Antoine Durant]

Bonsoir et merci pour les infos :)
Je vais me tourner vers du matériel UBNT car tout le monde me le conseille ! 
Si j'utilise du matériel UBNT 5Ghz je suis en mode HIPERLAN ou pas du tout ? 
Est-ce la même chose ?
J'ai regardé les produits UBNT, il y en a beaucoup, je suis un peu perdu sur 
mes choix...
Quel matériel utiliseriez vous (de préférence en 5Ghz ou vu des 
recommandations) pour le cas pratique (voir image du schéma) suivant : 
http://www.ariase.com/fr/guides/media/reseau/wifi.png
=> Quel matériel mettre en antenne émettrice du clochet  en haut à gauche ?=> 
Quel matériel mettre en antenne relais wifi du clochet en bas à droite ?=> Quel 
matériel mettre sur les abonnées en bas à droite ?
L'idée est quand même d'avoir du bon matériel wifi, car nous allons essayer de 
monter des SDSL et ou VDSL :)
Merci et bonne soirée


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] extention wifi, quel matériel ?

[Antoine Durant]

Saut,
Je vais regarder pour le GMAP, mais en attendant j'aurais bien aimé avoir une 
idée du matos pouvant faire l'affaire, ce ci afin de me documenter sur les 
produits et de faire un estimatif du prix.
Ensuite la solution du clochet n'est pas définitive car je ne sais pas encore 
si l'accès au clochet nous sera autorisé (j'anticipe les solutions).
Seconde solution est de chercher la maison la plus proche du NRA afin de 
reproduire le système "clochet" de mon image d'hier.
Que ce soit le clochet/maison émettrice, nous sommes dans une grandeur de 500m 
à 1Km pour le raccordement des "abonnées"


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] extention wifi, quel matériel ?

[Antoine Durant]

Salut !
 
>@antoine
>Si tu as des infos sur le choix ou orientation vers les équipements fait moi 
>signe stp.
@SébastienOn me conseille largement d'utiliser du matériel ubiquity notamment 
la gamme des antennes "airMax Sector" et des "nanoStation CPE".
https://www.ubnt.com/products/
@TousSi je veux diffuser la connexion SDSL depuis chez moi vers le clocher 
(point haut) quelle antenne dois-je mettre chez moi ?SDSL<===>UBNT(lequel 
??)<===>AIRMAX-Sector<===>nanoStation

Faut t'il faire une déclaration à la préfecture concernant l'existence des 
antennes ? La l33.1 est elle exigée afin de pouvoir faire ça ?Légalement que 
dois-je faire pour être en conformité avec la loi  (asso minimum?) ?

A+
   
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] extention wifi, quel matériel ?

[Antoine Durant]

>Si tu te tiens dans un rayon de 1km et que tout est à vue, les
>Nanostations seront amplement suffisantes. Evite les Nanobeam M5-16 et
>19 comme la peste, c'est plus joli et pratique à poser mais ça chie dans
>les grandes largeurs.
Je vais regarder les nanostations, tu parles bien de 
https://www.ubnt.com/airmax/nanostationm/ ??
>Si tu as besoin de > 100Mbps, oriente toi vers les Nanobeam 5AC.Est-ce le 
>modèle suivant : https://www.ubnt.com/airmax/nanobeam-ac/ ??

>Si tu dois faire du backhaul > 3km, airgrid M5-HP (s'il y a bcp de 
>vent)https://www.ubnt.com/airmax/airgridm/ ??

>ou Nanobeam M5-400 (si ça souffle pas)https://www.ubnt.com/airmax/litebeam-m5/ 
>??

Il y a plusieurs modèles que se soit en 2.4 ou 5, je ne voudrais pas me 
tromper, c'est pour cela que je demande confirmation afin de ne pas acheter un 
truc qui va pas marcher :\

>Après, c'est pas une obligation, mais te rapprocher de www.ffdn.org
>pourrait être bénéfique pour tous :) 
Oui c'est une bonne idée !
Merci :)


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] extention wifi, quel matériel ?

[Antoine Durant]

Hello :)
On va partir sur pour l'aventure ubiquiti, quelle boutique en ligne vous me 
recommanderiez afin de passer commande ?
J'ai regardé le site ubnt.com pour la france, lequel revendeur vous me 
conseillez ?
Je vais avoir besoin de cable réseau extérieur anti_UV, ou faut-il se fournir ?
Merci.
  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] fibre versus agrégat adsl

[Antoine Durant]

 Hello,
J’ai une question auquel je n’arrive pas vraiment à trouver de réponse dans ma 
quête pour avoir du haut débit ! 
J’ai le choix entre deux techno : cuivre/fibre optique.
Cas n°1 :
Deux ADSL que j’agrège, pour obtenir un débit théorique de presque 40M en 
réception et 2M en émission. Cas n°2 :
Une fibre 10M symétrique.
Sur le papier je vois 40M contre 10M, donc le choix peut être fait rapidement 
!!! Mais….
Moi j’aime bien le n°2 car moins de latence que le cuivre, plus grande 
stabilité, j’en oublie…
Quelle solution prendriez-vous et pourquoi l'une plutôt que l'autre ?
Bonne soirée !!
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] fibre versus agrégat adsl

[Antoine Durant]

EFM c'est de la Sdsl ?
>A moins que tu ne sois en train de regarder des offres résidentielles, auquel 
>cas ce n'est pas mon métier.Je regarde les deux...Chui pas fermé :p

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] fibre versus agrégat adsl

[Antoine Durant]

>Et pas de souci de contention dès que tu uploades des donnéesQue veux tu dire 
>par contention ?

>C'est aussi une question de pérennité. Perso je n'ai jamais vraiment
>trop fait confiance au cuivre pour transporter de l'ADSL, et ça va sans
>doute pas s'améliorer avec le temps.Je plussoii 

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] SIP ALG sur routeur

[Antoine Durant]

 Salut !
Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des 
routeurs : 
http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
chercher/connecter l'ASTERISK.
Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" ?Je 
ne rencontre aucun problème à ce jour pour que mes téléphones dialogues avec 
mon ASTERISK...
Quel est votre avis d'expert sur SIP ALG en mode centrex ?
Bon WE :)
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

[Antoine Durant]

Salut,
C'est justement ma question... En faisant une recherche sur gooogle on trouve 
que notamment sur les Cisco il le désactive...
J'ai du mal à cerner quand faut t'il le désactiver...
   De : Duchet Rémy 
 À : Antoine Durant ; "frnog-t...@frnog.org" 
 
 Envoyé le : Vendredi 9 octobre 2015 18h31
 Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur
   
Salut, 

J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA.
‎Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider 
SIP ne le supporte pas.
‎Si ça fonctionne, pourquoi changer ? 

Rémy
  Message d'origine  
De: Antoine Durant
Envoyé: vendredi 9 octobre 2015 18:22
À: frnog-t...@frnog.org
Répondre à: Antoine Durant
Objet: [FRnOG] [TECH] SIP ALG sur routeur

Salut !
Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des 
routeurs : 
http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
chercher/connecter l'ASTERISK.
Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" ?Je 
ne rencontre aucun problème à ce jour pour que mes téléphones dialogues avec 
mon ASTERISK...
Quel est votre avis d'expert sur SIP ALG en mode centrex ?
Bon WE :)
---
Liste de diffusion du FRnOG
http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

[Antoine Durant]

Intéressant ! Quel  est la valeur du timeout UDP ?



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] SIP ALG sur routeur

[Antoine Durant]

Salut,
Bon je vais faire confiance à mon Asterisk puisque cela fonctionne bien !! Je 
vais rien toucher sur le Cisco...



  De : David Ponzone 
 À : Duchet Rémy  
Cc : Antoine Durant ; "frnog-t...@frnog.org" 
 
 Envoyé le : Vendredi 9 octobre 2015 18h45
 Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur
   
+1
Mais si ça fonctionne aussi en le désactivant, je le vire.

Le 9 oct. 2015 à 18:31, Duchet Rémy  a écrit :

> Salut, 
> 
> J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA.
> ‎Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider 
> SIP ne le supporte pas.
> ‎Si ça fonctionne, pourquoi changer ? 
> 
> Rémy
>  Message d'origine  
> De: Antoine Durant
> Envoyé: vendredi 9 octobre 2015 18:22
> À: frnog-t...@frnog.org
> Répondre à: Antoine Durant
> Objet: [FRnOG] [TECH] SIP ALG sur routeur
> 
> Salut !
> Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des 
> routeurs : 
> http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/
> J'utilise et administre un serveur ASTERISK sur un serveur présent dans un 
> centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont 
> chercher/connecter l'ASTERISK.
> Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" 
> ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues 
> avec mon ASTERISK...
> Quel est votre avis d'expert sur SIP ALG en mode centrex ?
> Bon WE :)
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Bonjour,


Je veux appliquer une QOS voix sur un switch cisco 2960 avec l’IOS 15.


Le contexte est le suivant :


1)le 2960 est connecté sur le routeur internet

2) j’ai plusieurs petits switch (non managable) sur les quels il y a PC et 
téléphones de connectés.

3)les petits switch sont connectés sur le cisco (fa0/1 => switch 1 ; fa0/2 => 
switch2)


Comment faire pour appliquer la QOS lorsqu’il y a trafic data+voix sur le port 
« uplink » (fa0/1 ; fa0

/2 ) du 2960 ?

Un exemple de configuration et retour d’expérience serait la bienvenue.

En vous remerciant.

A+
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Le 2960 intègre une limitation de bande passante sur les ports uplink (fa0/1 ; 
fa0/2) afin que la sortie vers internet ne soit pas monopolisé par les usagers 
connectés sur les sous-switch non managable.
Pour info je me suis servie du post FRNOG pour la limitation de trafic 
http://frnog.frnog.narkive.com/NITJ2twZ/tech-limitation-trafic-entre-deux-mac-sur-2960
Maintenant par précaution, je veux mettre en place la QOS sur la voix sur les 
ports uplink afin que la voix soit prioritaire par rapport au flux donnée.
Le routeur pour l'accès internet est aussi un cisco 800 série, je viens de 
récupérer un cisco 1800 série si besoin...
Est-ce que "mls qos trust cos" et "auto qos voip trust" est suffisant sur les 
ports uplink ?
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Hello,
Que me conseillez-vous comme orientation sur le choix de la configuration ?
QOS sur le routeur ou QOS sur les uplink du switch ?
A++
   De : Antoine Durant 
 À : Simon Perreault ; David Ponzone 
 
Cc : frnog-tech  
 Envoyé le : Mardi 27 octobre 2015 16h46
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
Le 2960 intègre une limitation de bande passante sur les ports uplink (fa0/1 ; 
fa0/2) afin que la sortie vers internet ne soit pas monopolisé par les usagers 
connectés sur les sous-switch non managable.
Pour info je me suis servie du post FRNOG pour la limitation de trafic 
http://frnog.frnog.narkive.com/NITJ2twZ/tech-limitation-trafic-entre-deux-mac-sur-2960
Maintenant par précaution, je veux mettre en place la QOS sur la voix sur les 
ports uplink afin que la voix soit prioritaire par rapport au flux donnée.
Le routeur pour l'accès internet est aussi un cisco 800 série, je viens de 
récupérer un cisco 1800 série si besoin...
Est-ce que "mls qos trust cos" et "auto qos voip trust" est suffisant sur les 
ports uplink ?

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Bonsoir :)
Voici la configuration que je pense être "bonne", est-ce que pour vous cela 
semble OK pour la QOS VOIX ??
Le port fa0/1 est un uplink connecté à un switch non managable (sur celui-ci il 
ya des postes + téléphone IP non cisco)le port fa0/10 est l'uplink vers le 
routeur internet

!mls qos
!
class-map match-all SIGNALING
  match access-group name SIGNALING
class-map match-all AUDIO
  match access-group name AUDIO
!
policy-map QOS
class AUDIO
   set ip dscp ef
   police 48000 8000 exceed-action drop
class SIGNALING
   set ip dscp af31
   police 1 8000 exceed-action drop
!
interface FastEthernet0/1
description * uplink sous-switch *
switchport access vlan 10
switchport mode access
switchport nonegotiate
mls qos trust cos
spanning-tree portfast
service-policy input QOS
!
interface FastEthernet0/10
description * uplink vers ROUTEUR WAN *
switchport trunk allowed vlan 10,11
switchport mode trunk
mls qos trust cos ??
spanning-tree portfast
service-policy input QOS
!
ip access-list extended AUDIO
permit udp any any range 16384 32767
ip access-list extended SIGNALING
permit tcp any any range 2000 2002
permit tcp any any range 5060 5061
!
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

"-tu fais du policy en INPUT, alors que c’est là que c’est le plus délicat, 
voir impossible sur du trafic UDP"Parceque sur le switch il n'est pas possible 
de faire en OUPUT...
"-tu « polices »  l’AUDIO ? Généralement, l’idée est plutôt de « policer »  le 
reste pour être sur que l’audio ait de la place"Oui, j'ai lu cela à plusieurs 
reprise sur des configurations Donc à la place de POLICE il faut utiliser 
quoi alors ? une réservation de bande passante ?

  De : David Ponzone 
 À : Antoine Durant  
Cc : frnog-tech  
 Envoyé le : Mardi 3 novembre 2015 19h15
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
2 commentaires:
-tu fais du policy en INPUT, alors que c’est là que c’est le plus délicat, voir 
impossible sur du trafic UDP-tu « polices »  l’AUDIO ? Généralement, l’idée est 
plutôt de « policer »  le reste pour être sur que l’audio ait de la place


> Le 3 nov. 2015 à 19:06, Antoine Durant  a écrit :
> 
> Bonsoir :)
> Voici la configuration que je pense être "bonne", est-ce que pour vous cela 
> semble OK pour la QOS VOIX ??
> Le port fa0/1 est un uplink connecté à un switch non managable (sur celui-ci 
> il ya des postes + téléphone IP non cisco)le port fa0/10 est l'uplink vers le 
> routeur internet
> 
> !mls qos
> !
> class-map match-all SIGNALING
>  match access-group name SIGNALING
> class-map match-all AUDIO
>  match access-group name AUDIO
> !
> policy-map QOS
> class AUDIO
>    set ip dscp ef
>    police 48000 8000 exceed-action drop
> class SIGNALING
>    set ip dscp af31
>    police 1 8000 exceed-action drop
> !
> interface FastEthernet0/1
> description * uplink sous-switch *
> switchport access vlan 10
> switchport mode access
> switchport nonegotiate
> mls qos trust cos
> spanning-tree portfast
> service-policy input QOS
> !
> interface FastEthernet0/10
> description * uplink vers ROUTEUR WAN *
> switchport trunk allowed vlan 10,11
> switchport mode trunk
> mls qos trust cos ??
> spanning-tree portfast
> service-policy input QOS
> !
> ip access-list extended AUDIO
> permit udp any any range 16384 32767
> ip access-list extended SIGNALING
> permit tcp any any range 2000 2002
> permit tcp any any range 5060 5061
> !
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

"Sur le switch, je pense que je me contenterais de faire du trust cos sur tous 
les postes, si bien entendu les flux SIGNALING et AUDIO sont correctement 
taggés par tes endpoints."Donc si je comprend ton avis, il faut que j'active 
*mls qos trust cos* sur tout les ports du switch à conditions que mes 
téléphones taguent bien le COS/SDCP ??
"Ensuite sur le routeur, je ferais du « shape average » de la data en output 
sur le lien WAN afin de garder X% pour la voix, et de même sur le port qui va 
vers le switch (ce qui correspond à l’INPUT du WAN)."Comment tu réalise le 
shape average sur le routeur ?? 

!
mls qos
!
class-map match-all SIGNALING
  match access-group name SIGNALING
class-map match-all AUDIO
  match access-group name AUDIO
!
policy-map QOS
class AUDIO
   set ip dscp ef  
   shape average 200
class SIGNALING
   set ip dscp af31
   shape average 200
!
ip access-list extended AUDIO
permit udp any any range 16384 32767
ip access-list extended SIGNALING
permit tcp any any range 2000 2002
permit tcp any any range 5060 5061
!
interface WAN
 mls qos trust cos
 service-policy output QOS
!



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

J'ai pas tout compris :\
"Presque ça, sauf que là, tu shapes le trafic voix à 2Mbps :)Ce que tu veux, 
c’est shaper ta data à 200*0.9 par exemple, donc 1.8Mbps, pour laisser 
200Kbps minimum pour la voix."Oui je veux limiter la data pour laisser place à 
la voix. par exemple sur un lien 4M je veux laisser 2M pour la voix. Comment tu 
fais le shape pour exclure la data pour laisser prio la voix ?
A quoi correspond le 0.9 ?

"Les Service Policy de Cisco, c’est quand même un gros gros bordel, il y a X 
manières de faire les choses, dont un certain nombre qui ne marchent pas sur 
tel ou tel hardware et/ou IOS."Oui la je m'arrache le peu de cheveux qui me 
reste

"Personnellement, je vais au plus simple."C'est quoi alors le plus simple selon 
toi?


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

"Tu fais une ACL basée sur des deny, plutôt que des permit."OK... Je vois ! 
Quelque chose comme ça alors ??
!
mls qos
!
class-map match-all VOIP
  match access-group name SIGNALING
  match access-group name AUDIO
!
ip access-list extended AUDIO
permit udp any any range 16384 32767
ip access-list extended SIGNALING
permit tcp any any range 2000 2002
permit tcp any any range 5060 5061
!
policy-map wan-queue-policy
 class VOIP
  priority 180
 class class-default
  fair-queue
  random-detect
!
policy-map wan-shape-policy
 class class-default
  shape average 200
   service-policy wan-queue-policy
!
interface WAN
 service-policy out wan-shape-policy
!

"J’ai pris une valeur d’exemple, qui consisterait à limiter la data à 90% du 
lien."D'accord oui c'est fonction du nombre d'appel que je veux pouvoir assurer 
sur le lien.


"Certains diraient qu’on perd de la capa max pour la data, même quand il n’y a 
pas d’appels VoIP."Ha ha je savais pas !? Donc en fait la QOS n'est pas 
dynamique, c'est à dire que à un instant X si pas de VOIP il ne sera pas 
possible d'utiliser toute la capacité du tuyau ?





  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re : Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Quel soft existe pour tester si la réservation de la QOS VOIX est fonctionnelle 
??

Je pensai lancer un iperf pour monopoliser le lien en data mais ensuite je ne 
sais pas comment lancer le test pour la VOIX  Je suis en test je ne touche 
pas encore au matos de production!
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

>Ensuite sur le routeur, je ferais du « shape average » de la data en output 
>sur le lien WAN afin de garder X% pour la >voix, et de même sur le port qui va 
>vers le switch (ce qui correspond à l’INPUT du WAN).
Je reprends le point ci-dessus... Je dois appliquer le shape average en output 
sur l'interface WAN via 
!
interface WAN
 mls qos trust cos
 service-policy output QOS!
et sur l'interface du routeur qui connecte le switch via 
!
interface LAN
 mls qos trust cos
 service-policy input QOS
!

C'est bien ça ?
  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Ok en output pour le LAN coté routeur :) J'ai encore un peux de temps pour 
Stars Wars 7 :D
Suite à mon premier message, j'ai une limitation en up/down sur les uplinks du 
switch vers les sous switchs non manageable.
Il faut aussi que j'applique cette police en input sur le switch non ?
   De : David Ponzone 
 À : Antoine Durant  
Cc : frnog-tech  
 Envoyé le : Jeudi 5 novembre 2015 10h43
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
Non, output aussi sur le LAN, ce qui correspond à l’input du WAN.Ca sera pas 
parfait en cas de téléchargement de Star Wars 7 sur Torrent, mais ça limitera 
la casse pour ce qui est de TCP :)




Le 5 nov. 2015 à 10:38, Antoine Durant  a écrit :
>Ensuite sur le routeur, je ferais du « shape average » de la data en output 
>sur le lien WAN afin de garder X% pour la >voix, et de même sur le port qui va 
>vers le switch (ce qui correspond à l’INPUT du WAN).
Je reprends le point ci-dessus... Je dois appliquer le shape average en output 
sur l'interface WAN via 
!
interface WAN
 mls qos trust cos
 service-policy output QOS!
et sur l'interface du routeur qui connecte le switch via 
!
interface LAN
 mls qos trust cos
 service-policy input QOS
!

C'est bien ça ?
   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

En fait c'est la question que je me pose !
A) Faut-il appliquer la QOS (en input) sur le port switch connecté au port du 
routeur LAN (qui lui aura la QOS en output) ?B) Faut-il appliquer la QOS (en 
input) sur e port du switch connecté au port du sous-switch non manageable ?
Faire A et B ?
   De : David Ponzone 
 À : Antoine Durant  
Cc : frnog-tech  
 Envoyé le : Jeudi 5 novembre 2015 10h58
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
INPUT venant du routeur ?Pas trop la peine puisque tu as limité côté routeur en 
OUTPUT.




Le 5 nov. 2015 à 10:53, Antoine Durant  a écrit :
Ok en output pour le LAN coté routeur :) J'ai encore un peux de temps pour 
Stars Wars 7 :D
Suite à mon premier message, j'ai une limitation en up/down sur les uplinks du 
switch vers les sous switchs non manageable.
Il faut aussi que j'applique cette police en input sur le switch non ?
   De : David Ponzone 
 À : Antoine Durant  
Cc : frnog-tech  
 Envoyé le : Jeudi 5 novembre 2015 10h43
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
Non, output aussi sur le LAN, ce qui correspond à l’input du WAN.Ca sera pas 
parfait en cas de téléchargement de Star Wars 7 sur Torrent, mais ça limitera 
la casse pour ce qui est de TCP :)




Le 5 nov. 2015 à 10:38, Antoine Durant  a écrit :
>Ensuite sur le routeur, je ferais du « shape average » de la data en output 
>sur le lien WAN afin de garder X% pour la >voix, et de même sur le port qui va 
>vers le switch (ce qui correspond à l’INPUT du WAN).
Je reprends le point ci-dessus... Je dois appliquer le shape average en output 
sur l'interface WAN via 
!
interface WAN
 mls qos trust cos
 service-policy output QOS!
et sur l'interface du routeur qui connecte le switch via 
!
interface LAN
 mls qos trust cos
 service-policy input QOS
!

C'est bien ça ?
   



   



  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

> B oui mais pas pour limiter à 4mbps! Celle-là, c’est pour éviter la 
> saturation du switch lors d’un gros échange data entre 2 ports, mais bon, ça 
> devrait pas saturer un switch récent correct.
Saturation tout dépend de comment on l'interprète... J'ai un lien internet 4Mb; 
j'ai deux sous-switch non manageable sur le quel je veux limiter l'accès 
internet a 2Mb en UP et 2M en down. Je me sert donc du switch 2960 pour faire 
la limitation de BP, maintenant je veux que l'uplink entre le siwtch 2960 et 
les switchs non manageable soit pas impactés pour la VOIX

> Normalement, demander au switch de respecter la COS des paquets voix sur tous 
> les ports devait suffire.Oui en activant mls qos trust cos sur les ports 
> uplink du 2960 raccordant les sous switchs (qui eux ne taguent rien...)
>Tu peux en plus activer les mécanismes de storm control et autres du 
>switch.Oui mais je ne sais pas trop quelle valeur du level est à mettre quand 
>on limite la BP à 2Mb sur un port...



    



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

David, je crois que l'on est pas sur la même longueure d'onde :\
Un accès internet 4M est partagé entre deux bureaux.
J'ai un routeur cisco qui est connecté à un switch 2960 port fa0/24. Sous le 
2960 sur le port fa0/1 j'ai un switch non manageable du bureau 1 
(192.168.1.0/24) et sur le port fa0/2 un switch non manageable du bureau 2 
(192.168.2.0/24).
Les deux bureaux n'ont pas à se voir ou échanger des données entre eux (VLAN 10 
-> Bureau1 / VLAN 11 -> Bureau2).
Dans chaque bureau ils peuvent échanger entre eux à 100M via leur switch non 
manageable.
Dans chaque bureau il faut limiter la bande passante vers le routeur pour 
l'accès internet 2Mb UP/2Mb Down.
Pour cela sur le switch 2960 sur le port fa0/1 (idem pour fa0/2) j'ai :
!
mls qos
!
class-map match-all UP
 match access-group name ACLUP2M
class-map match-all DOWN
 match access-group name ACLDOWN2M
!
policy-map BP_UP
 class-map match-all ACLUP2M
 police 200 100 exeed-action drop
policy-map BP_DOWN
 class-map match-all ACLDOWN2M
 police 200 100 exeed-action drop
!
interface Fa0/1
 swicthport access vlan 10
 switchport mode access
 swicthport nonegociate
 spanning-tree portfast
 service-policy input BP_UP
!
interface Fa0/24
 swicthport trunk allowed vlan 10,11
 switchport mode trunk
 swicthport nonegociate
 spanning-tree portfast
 service-policy input BP_DOWN
!
ip access-list extended ACLUP2M
permit ip any 192.168.1.0 0.0.0.255
permit ip any 192.168.2.0 0.0.0.255
deny ip any any
ip access-list extended ACLDOWN2M
permit ip 192.168.1.0 0.0.0.255 any
permit ip 192.168.2.0 0.0.0.255 any
deny ip any any
!
Donc maintenant, je me demande s'il ne faut pas AUSSI rajouter une QOS pour la 
VOIX sur fa0/1,fa0/2 et fa0/24 afin de ne pas avoir un problème de saturation 
via les uplink du 2960...
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Je pense comprendre vos différents avis sur la question. Mais j'ai toujours un 
point que je n'arrive pas à comprendre...
> Radu-Adrian Feurdean a écrit :
> Et le QoS en regle generale on le met avant le point d'etranglement (qui
> dans ce cas semble etre le lien internet). Mais ca a ete deja dit.
En général oui on l'applique sur le lien internet ! Dans mon cas de figure, je 
pense que le point d'étrangement sera aussi le switch car celui-ci est 
programmé en limitation de bande passante inférieure à la capacité du lien 
internet...
Dans ma réflexion je me dit qu'il "faudrait" aussi mettre la QOS voix sur le 
switch ET sur le routeur.
Je prend le cas d'un ordi qui télécharge et monopolise le rate limiting du 
switch (2Mb full) il veux téléphoner ou recevoir un appel (le routeur va savoir 
gérer la réservation de la BP) mais pas le switch donc on se retrouve bien avec 
un point d'étranglement non ? D'où la nécessitée de faire aussi QOS VOIX sur le 
switch afin que lorsqu'il décroche le tél, la bande passante baisse pour 
laisser place à la voix.
Est-ce que vous me suivez ? Raisonnement complétement faux ?

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Hello,
Suite à vos différentes remarques et conseils, voici la configuration que je 
vais mettre en place concernant la QOS pour 4 appels utilisant le codec g711.
!
class-map match-all VOIP_AUDIO
 match access-group name AUDIO
class-map match-all VOIP_SIGNALING
 match access-group name SIGNALING
!
policy-map QOS
 class VOIP_AUDIO
  set ip dscp ef
  priority 320
 class VOIP_SIGNALING
  set ip dscp af31
  bandwidth 16
 class class-default
  fair-queue
!
interface FastEthernet4
 service-policy output QOS
!
ip access-list extended AUDIO
 permit udp any any range 16384 32767
ip access-list extended SIGNALING
 permit tcp any any range 2000 2002
 permit tcp any any range 5060 5061
 permit udp any any range 5060 5061
!
Pour rappel, je ne peux agir que sur mon routeur (CPE) et non sur celui du 
fournisseur pour le sens PE > CPE
Merci et bonne journée à tous !
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Salut,
Je dois en conclure que j'ai juste, ou, alors tout faux ?
C'est pas évident de trouver une autocorrection sur le web car il y a plein de 
choses contradictoires. Il est difficile de me faire une idée si j'ai bon ou 
pas...
Merci

  
Hello,
Suite à vos différentes remarques et conseils, voici la configuration que je 
vais mettre en place concernant la QOS pour 4 appels utilisant le codec g711.
!
class-map match-all VOIP_AUDIO
 match access-group name AUDIO
class-map match-all VOIP_SIGNALING
 match access-group name SIGNALING
!
policy-map QOS
 class VOIP_AUDIO
  set ip dscp ef
  priority 320
 class VOIP_SIGNALING
  set ip dscp af31
  bandwidth 16
 class class-default
  fair-queue
!
interface FastEthernet4
 service-policy output QOS
!
ip access-list extended AUDIO
 permit udp any any range 16384 32767
ip access-list extended SIGNALING
 permit tcp any any range 2000 2002
 permit tcp any any range 5060 5061
 permit udp any any range 5060 5061
!
Pour rappel, je ne peux agir que sur mon routeur (CPE) et non sur celui du 
fournisseur pour le sens PE > CPE
Merci et bonne journée à tous !
---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

Bonjour Saïd,
Merci pour ton aide. Pour le moment je suis sur une sdsl de 2M.
Quand tu me dit de rajouter policy-map WANshape_Qos sur l'interface interface 
FastEthernet4, j'ai déjà un service Policy il n'est pas possible d'en avoir 
deux non ?
Si je fais ca est-ce que c'est bon ?
policy-map QOS
  class VOIP_AUDIO
   set ip dscp ef
   priority 320
  class VOIP_SIGNALING
   set ip dscp af31
   bandwidth 16
  class class-default   --->shape average 1843000
   fair-queue

  De : Said Ahmed Sambe 
 À : Antoine Durant  
Cc : frnog-tech 
 Envoyé le : Jeudi 11 février 2016 11h29
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
Bonjour,

A première lecture ton implémentation me semble correcte en tout cas pour
la gestion de la COS pour les flux voix.

Seule remarque ton CBR en sortie de ton port interface fastEthernet 0 est
il de 10 M 100 M ou 2 M ou autres. Si oui faudra adapter ton policy-map en
définissant la vraie valeur sur laquelle sera appliquée la politique de
 (QOS)  en cas de congestion. Ce la reviendrait à faire du HFQ.

exemple tu crées un policy-map parent dans lequel tu appelles ta politique
QOS

exemple

policy-map WANshape_Qos
 class class-default
  shape average 1843000  <-- la bande passante de mon interface de
sortie est de 1,8M et poussière
  service-policy WANoutQoS


Le 11 février 2016 à 10:53, Antoine Durant  a
écrit :

> Salut,
> Je dois en conclure que j'ai juste, ou, alors tout faux ?
> C'est pas évident de trouver une autocorrection sur le web car il y a
> plein de choses contradictoires. Il est difficile de me faire une idée si
> j'ai bon ou pas...
> Merci
>
>
> Hello,
> Suite à vos différentes remarques et conseils, voici la configuration que
> je vais mettre en place concernant la QOS pour 4 appels utilisant le codec
> g711.
> !
> class-map match-all VOIP_AUDIO
>  match access-group name AUDIO
> class-map match-all VOIP_SIGNALING
>  match access-group name SIGNALING
> !
> policy-map QOS
>  class VOIP_AUDIO
>  set ip dscp ef
>  priority 320
>  class VOIP_SIGNALING
>  set ip dscp af31
>  bandwidth 16
>  class class-default
>  fair-queue
> !
> interface FastEthernet4
>  service-policy output QOS
> !
> ip access-list extended AUDIO
>  permit udp any any range 16384 32767
> ip access-list extended SIGNALING
>  permit tcp any any range 2000 2002
>  permit tcp any any range 5060 5061
>  permit udp any any range 5060 5061
> !
> Pour rappel, je ne peux agir que sur mon routeur (CPE) et non sur celui du
> fournisseur pour le sens PE > CPE
> Merci et bonne journée à tous !
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 


Saïd Ahmed SAMBE.

Ingénieur Support Technique VPN- Data - Bouygues Telecom
1 B, rue Achille Martinet 75018 Paris
Tel: 06 69 31 98 27

"Be not afraid of greatness : some are born great, some achieve greatness,
and some have greatness thrust upon them." William Shakespeare

"If you see me in a fight with the bear, pray for the bear". Kobe Briant

---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

D'accord oui je vois le truc !
Si j'ai tout compris, le cisco va allouer 320K (priority 320) pour l'audio et 
16K (bandwidth 16) pour le signaling dans les 1,8M disponible sur le lien 
(1843000) ?


  De : David Ponzone 
 À : Antoine Durant  
Cc : Said Ahmed Sambe ; frnog-tech 
 Envoyé le : Jeudi 11 février 2016 12h15
 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco
   
Non, je crois que c’est obligatoirement l’inverse, comme Saïd t’a dit parce que 
le Cisco ne peut faire de QoS que sur une interface dont il gère le shaping.
C’est expliqué plus ou moins bien sur des documents de Cisco.

Donc:

policy-map WANshape_Qos
class class-default
  shape average 1843000
  service-policy QOS

policy-map QOS
  class VOIP_AUDIO
  set ip dscp ef
  priority 320
  class VOIP_SIGNALING
  set ip dscp af31
  bandwidth 16
  class class-default
  fair-queue

Et tu appliques WANshape_Qos sur FE4.


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] QOS voix switch cisco

[Antoine Durant]

La QOS pour le débit descendant  Internet > Routeur CPE est à appliquer par le 
FAILa QOS pour le débit montant CPE > Internet est à appliquer par moi via 
l'interface fa4 c'est bien ca ?

Si j'ai tout compris, le cisco va allouer 320K (priority 320) pour l'audio et 
16K (bandwidth 16) pour le signaling dans les 1,8M disponible sur le lien 
(1843000) ?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [BIZ] Transit Hurricane ou Neo ?

[Antoine Durant]

Salut,
 
Est-il possible d'avoir une idée du tarif du mb "pratiqué" par NEO/HE ??
 
Réponse accepté en off ;)
 
Merci.
 
 


 De : Fleuriot Damien 
À : Loic Sarrali  
Cc : frnog-...@frnog.org 
Envoyé le : Vendredi 30 novembre 2012 10h38
Objet : Re: [FRnOG] [BIZ] Transit Hurricane ou Neo ?
  
Neo.

Rien à argumenter, à justifier ou je ne sais quoi, y a juste pas photo.

Hurricane Electric si tu veux, c'est un peu Cogent en nettement pire.


Neo, c'est bien.
Et puis au moins tu consommes bio tu vois, t'achètes tu vrai transit français.


On Nov 30, 2012, at 8:19 AM, Loic Sarrali  wrote:

> Bonjour,
> 
> J'ai la même demande qu'Olivier mais ne voulant pas polluer son poste ;=)
> 
> Je regarde pour souscrire du transit et j’hésite entre:
>     Hurricane
>     Neo Telecom
> 
> J'ai les prix de Hurricane, pas ceux de Neo mais cela ne devrait pas
> tarder.
> bon mon besoin n'est pas élevé, faible commit mais port Gigabits.
> 
> L’objectif est de compléter les trois transitaires que j'ai (Cogent, Level3
> et Sfr)
> Ce que je cherche a savoir, c'est pour ceux qui ont déjà du transit de l'un
> de mes
> transitaire, si Hurricane/Neo Telecom arrivent a capter du flux. Cela sous
> entends si
> ils ont ders routes plus courte/direct que d'autres.
> 
> Merci d'avance
> 
> Salutations
> Loic
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Deux routeurs BGP avec un seul FAI

[Antoine Durant]

Bonjour,
Je viens vers vous aujourd’hui afin d’avoir un retour d’expérience
et conseil sur la mise en place d’un routeur BGP redondant utilisant du Libre
(Linux/Quagga).
Il s’agit de mettre en place une redondance sur un routeur
BGP ayant qu’une session BGP auprès du FAI_X. En d’autres termes, je voudrais
au cas où d’un crash du routeur1, que le routeur2 prenne automatiquement la
suite.
Ne disposant que d’une session BGP, donc un seul câble
comment est-il envisageable de faire un minimum de redondance ? Pas
évident, a moins de cascader des switchs et d’interconnecter les deux routeurs
sur les deux switchs, shut le port sur le routeur2 et le monter que lorsque
routeur1 est down… C’est l’usine !
Dans le cas présent, je n’ai pas la possibilité de demander
une seconde session BGP et donc un second câble pour le brancher sur le
routeur2. (Si le cas échéant cela est possible, quand pensez-vous ?? Je
pars ici du principe que cela n’est pas possible….)
Merci de ne pas me donner la réponse « Utilise un
second FAI, et monte la session sur l’autre routeur2… blablabla »
Merci pour vos retours.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Deux routeurs BGP avec un seul FAI

[Antoine Durant]

Merci pour les réponses !
@Frederic :
>éventuellement 2 en stackés pour juste avoir à bouger le
câble d'arrivée si problème
J’aimerais éviter de faire ça… Parce que si personne n’est
là pour débrancher/rebrancher le câble ça craint… Comme dis Christoiphe éviter 
le "worst case"
> monter la session BGP via un CARP entre les 2 routeurs.
Tu parles de monter la session BGP avec uCARP du coté WAN ?
@Christophe
> surtout que tu perdras toutes les sessions BGP qu'il
faudra remonter
Je pars du principe que je serai coupé du monde dans un
timing de 1 à 10 minutes…
C’est vrai que ou vue des réponses rien ne sera mieux qu’une
double session sur le même FAI.
Il me semble que certain FAI le fond d’autre non… Si je
cherche du coté de la double session sur le même FAI, quels sont les
contraintes ?
Il faut absolument que je monte la session du FAI en
question sur les deux routeurs, surement mettre en place un lien iBGP entre les
deux routeurs pour que le trafic s’écoule correctement et monter un VRRP du
coté LAN non pour avoir ma gateway ??

 


 De : Christophe Baegert 
À : frnog@frnog.org 
Envoyé le : Mercredi 9 janvier 2013 14h36
Objet : Re: [FRnOG] [TECH] Deux routeurs BGP avec un seul FAI
  
Bonjour,

Le 09/01/2013 14:13, Antoine Durant a écrit :
> Il s’agit de mettre en place une redondance sur un routeur
> BGP ayant qu’une session BGP auprès du FAI_X. En d’autres termes, je voudrais
> au cas où d’un crash du routeur1, que le routeur2 prenne automatiquement la
> suite.

A part la partie automatique, tu peux faire arriver ton cable sur un
switch et brancher 2 routeurs sur ce switch, mais pour gérer le
basculement de l'un à l'autre, ça ne serait pas très propre, surtout que
tu perdras toutes les sessions BGP qu'il faudra remonter. Avec un
mécanisme de basculement automatique, tu risques de fausses détection,
du flapping, pas génial. Ce n'est pas pour rien qu'en général on utilise
2 sessions up en permanence... Le plus propre à mon avis si la seconde
session n'est pas possible est de prendre une seconde liaison minimale
de secours pour pouvoir gérer cette bascule manuellement,puisque si j'ai
bien compris on n'est pas dans le domaine de la haute dispo là, tu
cherches juste à éviter le worst case, routeur indispo pendant 24h ou
plus j'imagine. Mais on doit pas être loin du prix de la seconde
session, voire au-dessus.

Cordialement,
-- 
Christophe


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Deux routeurs BGP avec un seul FAI

[Antoine Durant]

Je n'ai pas trop bien compris ta réponse suivante :'(
 
>En cas de routeur up mais de session down, oui.

 


 De : Christophe Baegert 
À : Antoine Durant ; "frnog@frnog.org" 
 
Envoyé le : Mercredi 9 janvier 2013 15h03
Objet : Re: [FRnOG] [TECH] Deux routeurs BGP avec un seul FAI
  
Le 09/01/2013 14:57, Antoine Durant a écrit :

> Il me semble que certain FAI le fond d’autre non… Si je cherche du coté
> de la double session sur le même FAI, quels sont les contraintes ?
> Il faut absolument que je monte la session du FAI en question sur les
> deux routeurs, surement mettre en place un lien iBGP entre les deux
> routeurs pour que le trafic s’écoule correctement

En cas de routeur up mais de session down, oui.

et monter un VRRP du
> coté LAN non pour avoir ma gateway ??

Oui

Cordialement,
-- 
Christophe
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Deux routeurs BGP avec un seul FAI

[Antoine Durant]

Wouai ! Donc en gros faut que je me débrouille pour faire acheminer un second 
lien sur le routeur 2 et UP une session sur le même FAI. Vous tombez tous 
d'accord sur la seconde session. Par contre en général cela est facturé comment 
le second lien (dans les grandes lignes) ??
 
Bon... Mais alors cela veux dire que le FAI va m'envoyer du trafic sur les deux 
routeurs, puisque j'aurais deux sessions BGP sur le même transitaire ??
Existe t'il une manière de prioritiser un routeur plutôt qu'un autre dans la 
configuration du dessus ? 
 
La j'ai besoin d'une petite explication...
 


 De : Frederic Dhieux 
À : frnog@frnog.org 
Envoyé le : Mercredi 9 janvier 2013 15h12
Objet : Re: [FRnOG] [TECH] Deux routeurs BGP avec un seul FAI
  
Le 1/9/13 2:57 PM, Antoine Durant a écrit :
> Merci pour les réponses !
> @Frederic :
>> éventuellement 2 en stackés pour juste avoir à bouger le
> câble d'arrivée si problème
> J’aimerais éviter de faire ça… Parce que si personne n’est
> là pour débrancher/rebrancher le câble ça craint… Comme dis Christoiphe 
> éviter le "worst case"
Bah tu sais dans tous les cas si tu as une seule arrivée, si le câble ou
l'équipement sur lequel il est branché tombe, tu ne peux rien faire de
toute façon, je propose ça surtout pour limiter les manipulations en cas
de problème et couvrir de manière assez automatisée le maximum de cas de
failure. Mais une arrivée = pas safe dans tous les cas.

>> monter la session BGP via un CARP entre les 2 routeurs.
> Tu parles de monter la session BGP avec uCARP du coté WAN ?
> @Christophe

Oui exactement. Comme dit dans une autre réponse, c'est pas très propre
par rapport à 2 sessions BGP, mais si pas le choix...

>> surtout que tu perdras toutes les sessions BGP qu'il
> faudra remonter
> Je pars du principe que je serai coupé du monde dans un
> timing de 1 à 10 minutes…
> C’est vrai que ou vue des réponses rien ne sera mieux qu’une
> double session sur le même FAI.
> Il me semble que certain FAI le fond d’autre non… Si je
> cherche du coté de la double session sur le même FAI, quels sont les
> contraintes ?

Il n'y en a pas vraiment, ce n'est pas le top de la redondance au niveau
fournisseur mais au moins tu as 2 passages vers lui avec des équipements
différents et pas de contrainte de syncrhonisation entre les 2.
> Il faut absolument que je monte la session du FAI en
> question sur les deux routeurs, surement mettre en place un lien iBGP entre 
> les
> deux routeurs pour que le trafic s’écoule correctement et monter un VRRP du
> coté LAN non pour avoir ma gateway ??
>
>  

Tout à fait :)

Fred


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Découper ipv6 /48 et annonce prefixe bgp

[Antoine Durant]

Bonjour,
 
Je me demande s’il est possible de découper une /48 en deux par exemple puis 
d’annoncer les différents blocs lui appartenant?
 
Mon routeur1 est dans le POP A, le routeur2 est dans le POP B (appartenant au 
même AS)
Pour des raisons de simplicité et différenciation des services dans les deux 
POP, je pensais découper en subnet par POP.

Est-il possible par exemple d’annoncer une /52 avec BGP pour les deux POP :
 
En partant de  : : ::/48 est-il possible de faire :
 : : :1 ::/52 pour le POP A
 : : :2 ::/52 pour le POP B

Puis dans BGP de faire une config du type :
 
Routeur1
Address-family ipv6
Network  : : :1 ::/52
Neighbor  :XXX :XX :XX ::X
exit-address-family
 
Routeur2
Address-family ipv6
Network  : : :2 ::/52
Neighbor  :XXX :XX :XX ::X
exit-address-family

Je me trompe dans ma réflexion ?
Merci

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découper ipv6 /48 et annonce prefixe bgp

[Antoine Durant]

Bonjour Radu-Adrian Feurdean,
 
Merci pour ta correction concernant le /52 (:::1000::/52) !
 
Donc je ne peux pas annoncer des prefixes plus petit que /48, c'est vrai...
 
>Apres, quelques integristes peuvent te dire qu'un /48 c'est pour un site
>point (nouveau site = nouveau /48)..
Oui c'est pas faut non plus...
Mais demander une nouvelle /48 est-ce que cela est facile à avoir en PI ? Le 
RIPE donne t'il des PI IPV6 de longueur /48 facilement ??
Sachant que normallement avec une /48 j'en ai pour très très très longtemps 
avant de la remplir
 

____
 De : Radu-Adrian Feurdean 
À : Antoine Durant ; "frnog-t...@frnog.org" 
 
Envoyé le : Lundi 14 janvier 2013 22h41
Objet : Re: [FRnOG] [TECH] Découper ipv6 /48 et annonce prefixe bgp
  
On Mon, Jan 14, 2013, at 22:08, Antoine Durant wrote:

> Est-il possible par exemple d’annoncer une /52 avec BGP pour les deux POP :

Oui, mais pas dans la table globale.

>  : : :1 ::/52 pour le POP A
>  : : :2 ::/52 pour le POP B

:::1:: c'est un /64 (ou plus long). C'est exactement le meme
chose avec :::0001::/64_ou_plus

Si tu veux un /52, essaye 
:::1000::/52
:::2000::/52

> Je me trompe dans ma réflexion ?

Ca depend.
Dans un contexte "prive" (pas de propagation dans la table globale),
oui, c'est possible (modulo ma remarque sur le /52).
Si c'est pour annoncer dans la table globale, tout ce qui depasse /48
risque de ne pas etre propage. Le /48 en v6 c'est un peu comme le /24 en
v4.

Apres, quelques integristes peuvent te dire qu'un /48 c'est pour un site
point (nouveau site = nouveau /48)..


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Avis choix baie serveur 42U

[Antoine Durant]

Bonjour,
Je vais devoir acheter deux baies 42U, mais j’aimerais avoir
votre avis sur la marque et le cas échéant le type de baie que vous me
conseillerez.
Il faut que sur le dessus de la baie, je puisse dévisser une
plaque ou deux pour faire arriver des câbles…
Les baies doivent pouvoir fermer à clé, ou à avec un code.
Il faut aussi que la porte de derrière puisse être ouverte/fermée…
Avez-vous des références en têtes ?
Bonne soirée.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Avis choix baie serveur 42U

[Antoine Durant]

Bonsoir tous le monde !
 
Merci pour les retours.
 
Par contre vous conseillez plutôt de passer sur du 600x1000 ou 600x900 ??
 
Vous passez en direct chez le constructeur ou via un revendeur ?
 


 De : Dominique Rousseau 
À : "frnog-t...@frnog.org"  
Envoyé le : Mercredi 16 janvier 2013 21h43
Objet : Re: [FRnOG] [TECH] Avis choix baie serveur 42U
  
Le Wed, Jan 16, 2013 at 08:22:01PM +0000, Antoine Durant 
[antoine.duran...@yahoo.fr] a écrit:
> Bonjour,
> Je vais devoir acheter deux baies 42U, mais j???aimerais avoir
> votre avis sur la marque et le cas échéant le type de baie que vous me
> conseillerez.

On achète dans la gamme Netshelter APC, vraiment bien !
(SX, je crois)

Parmis les killer-features, les portes arrière en 2 morceaux, qui
évitent d'avoir la porte complète dans le passage tout le temps, surtout
si tu es proche de la cloison

-- 
Dominique Rousseau 
Neuronnexion, Prestataire Internet & Intranet
21 rue Frédéric Petit - 8 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop/


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Avis choix baie serveur 42U

[Antoine Durant]

Bonsoir,
Merci à tous pour vos réponses et propositions !
 
Il ne me reste plus maintenant que de choisir la marque...
 
Bonne soirée.
 


 De : Julien Escario 
À : frnog@frnog.org 
Envoyé le : Jeudi 17 janvier 2013 12h30
Objet : Re: [FRnOG] [TECH] Avis choix baie serveur 42U
  
Le 17/01/2013 12:11, benjamin verjade / juratic a écrit :
> Socamont :
> les portes doubles se démontent en 1 clic avec une détente sur ressort
> les parois latérales se "déclipsent" sans effort
> elles sont très confortable au quotidien pour ma part
> 
> Benjamin #

Ah ben c'est bien si Benjamin confirme : je lui ai vendue, j'ai le retour alors 
;-)
Ce n'est pas vraiment de la grande marque mais la finition est bonne et le prix 
est carrément sympa par rapport à ce que j'ai vu ailleurs (APC, Minkels, 
Schroff, etc ...). Ils proposent les configs sur mesure, j'aime bien et je 
pense que ce sera mon choix pour les prochaines en interne.

Et je confirme : ne pas hésiter à prendre 1000 de profond (voir 1200 si 
machines plus spécifiques, prévoir). Je suis plus réservé sur le 800 en 
largeur, ça dépend de ce que la baie prévoit de base pour le passage des câbles.

Ah oui : après réception de la baie, il faut TOUJOURS vérifier l'écartement 
entre les montants et ne pas hésiter à les bouger, histoire de ne pas s'en 
mordre les doigts un an plus tard quand la baie est déjà chargée.

Julien


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Rate limiting Cisco 2960 ??

[Antoine Durant]

Bonjour,
 
Je voudrais limiter la bande passante par port sur des switchs CISCO 2960.
 
Mon accès internet est de 50M sur mon routeur. Je voudrais pour le service 
compta laisser un débit vers internet de 10M (Entrant/Sortant), par contre sur 
notre propre réseau laisser le plein débit.
En regardant un peux j’ai trouvé mls qos, srr-queue bandwidth.

Déjà est-ce que cela est possible de brider l’accès internet à 10M et d’avoir 
par exemple les 100M sur le LAN ??
Quelqu’un peux m’en dire un peux plus pour mon cas, avec un exemple de 
configuration ?

Merci pour vos lumières !

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] GAZ FM200 recherche vendeur

[Antoine Durant]

Bonsoir,
 
Je voudrais équiper ma salle info de détecteur de gaz fm200. J'ai googlé mais 
je n'ai pas vraiment trouvé de réponse pertinente.
 
A qui faut-il s'adresser pour avoir un système anti-incendie ?
Un constructeur ? Un site web ?
 
Merci
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Rate limiting Cisco 2960 ??

[Antoine Durant]

Bonjour,
 
J'ai oublié de préciser que le routeur est sous Linux Quagga
 
Je pensais plutôt faire de la QoS sur les switchs directement sur le port en 
question...
 


 De : Pierre `Sn4kY` DOLIDON 
À : frnog@frnog.org 
Envoyé le : Lundi 21 janvier 2013 10h46
Objet : Re: [FRnOG] [TECH] Rate limiting Cisco 2960 ??
  
Salut.

C'est plus le boulot du routeur de faire de la QoS plutôt qu'au switch... Ce 
dernier n'ayant une vue que très limité de la source et de la destination 
(niveau 2, adresses mac, toussa toussa).

Amicalement,
Pierre.

Le 1/20/2013 11:32 AM, Antoine Durant a écrit :
> Bonjour,
>   Je voudrais limiter la bande passante par port sur des switchs CISCO 2960.
>   Mon accès internet est de 50M sur mon routeur. Je voudrais pour le service 
>compta laisser un débit vers internet de 10M (Entrant/Sortant), par contre sur 
>notre propre réseau laisser le plein débit.
> En regardant un peux j’ai trouvé mls qos, srr-queue bandwidth.
> 
> Déjà est-ce que cela est possible de brider l’accès internet à 10M et d’avoir 
> par exemple les 100M sur le LAN ??
> Quelqu’un peux m’en dire un peux plus pour mon cas, avec un exemple de 
> configuration ?
> 
> Merci pour vos lumières !
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] firewall sur routeur Quagga ??

[Antoine Durant]

Bonjour,
 
Je me demande si d’installer et configurer un iptables sur un routeur BGP 
Quagga (debian) est une bonne chose ?
Est-ce que cela ne vas pas ralentir le routage ?

Si vous mettez un iptables sur vos routeurs soft, comment configurez-vous votre 
firewall ?
 
En gros se serait aussi pour essayer de limiter la casse en cas de DDOS et 
autre... Je ne sais pas trop trop si cela changera quelque chose mais bon !
 
Je suis vivement intéressé de divers retours d’expériences sur le sujet !

Merci.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

[Antoine Durant]

Ouep... Je comprends en effet le conntrack qui pourra écrouler la machine 
facilement...
 
Donc en gros pas de firewall sur un routeur, mais quelle protection est-il 
possible de mettre en place sans forcément plomber le serveur ?
 


 De : Christophe Baegert 
À : Antoine Durant  
Cc : "frnog-t...@frnog.org"  
Envoyé le : Jeudi 31 janvier 2013 15h02
Objet : Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
  
Bonjour,
Le 31/01/2013 14:46, Antoine Durant a écrit :
> Je me demande si d’installer et configurer un iptables sur un routeur BGP 
> Quagga (debian) est une bonne chose ?
> Est-ce que cela ne vas pas ralentir le routage ?

Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
sûr est de faire un "lsmod|grep conntrack". S'il est activé, on court à
la catastrophe.

Cordialement,

Christophe


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

[Antoine Durant]

Bonsoir,
 
Pour appronfondir et répondre aux questions :
Il sagit d'un routeur (pas route reflector) qui a deux transitaires.
 
Architecture 64 Bits
2Go de Ram DDR3-1066 Mhz
1 Intel xeon E5530 à 2.40Ghz (4 Core, 8 Mega de cache)
2 disques sata
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] firewall sur routeur Quagga ??

[Antoine Durant]

Bon, pas de firewall sur un routeur !!
 
le fait du supprimer directement conntrack.ko cela va-t'il pas poser des 
problèmes ? Est-ce que lorsque on va taper iptables -L; iptables va pas être en 
erreur du fait qu'il essayera de charger conntrack.ko ???
 
Est-ce qu'un modprobe -r ou un blacklist (/etc/modprobe.d/blacklist.conf) du 
ip_conntrack est pas une meilleure idée ?
 


 De : Radu-Adrian Feurdean 
À : Christophe Baegert ; Antoine Durant 
 
Cc : "frnog-t...@frnog.org"  
Envoyé le : Jeudi 31 janvier 2013 17h41
Objet : Re: [FRnOG] [TECH] firewall sur routeur Quagga ??
  
On Thu, Jan 31, 2013, at 15:02, Christophe Baegert wrote:

> Il faut juste éviter qu'il fasse du connection tracking, pour ça le plus
> sûr est de faire un "lsmod|grep conntrack". S'il est activé, on court à
> la catastrophe.

Plus precisement :
rm -f `locate conntrack.ko`
sinon, le module risque d'etre charge automatiquement avec un simple
iptables -L

Il faut aussi retenir le fait que les flux peuvent ne pas passer par le
meme chemin dans les deux sens.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Fibre optique pro dans les réseau d'initiative publique

[Antoine Durant]

Bonjour,
Oui Axione est pas mal implanté sur le territoire, l’avantage
est que le maillage du territoire avance petit à petit…
>Eric ROLLAND
>Ce qui fait qu'une lien L2 Limousin-TH2 à 100Mbs est un
peu moins chers
>via notre DSP que via la DIVOP (De l'ordre de 20% en arrondissant).
Même constat je trouve la politique tarifaire vraiment élevée
en termes de BP ou même armoire chez Axione. En revanche je ne sais pas si cela
est uniforme sur toutes leur DSP ?!???
Ce que j’ai un peux de mal à comprendre d’ailleurs c’est la
politique de prix pratiqué, je verrai l’inverse surtout que cela pourrai je
pense pousser plus d’entreprise à créer du boulot et du service localement. En
plus la DSP est financée par nos impôts, je trouve anormal quand même que la
boite qui a envi de créer une ressource locale et qui est locale passe au tiroir
caisse (en comparaison du prix du mb/fibre sur Paris) pour utiliser l’infra.
A un moment nous avons voulu aller chercher un petit lien
chez Axione, mais on me la vivement déconseillé, et vu le tarif je préfère
aller me chercher ça…
Ensuite personnellement, je ne suis pas capable de juger sur
la qualité de leur réseau, bon ils n’ont pas des transitaires du feu de dieu
non plus… Ensuite ce qui me fait rigoler, c’est que la plupart des boites vont
chercher du transit ailleurs que celui d’Axione, qui est présent localement et
facile d’accès (je parle en terme de tuyau…).
Qui parmi vous utilise ou pas du transit Axione sur la DSP
locale, et pourquoi  ??
 


 De : Eric ROLLAND 
À : frnog@frnog.org; Bruno CAVROS / SKIWEBCENTER  
Cc : Yan  
Envoyé le : Jeudi 4 avril 2013 20h54
Objet : Re: [FRnOG] [TECH] Fibre optique pro dans les réseau d'initiative 
publique
  
Le 04/04/13 16:33, Bruno CAVROS / SKIWEBCENTER a écrit :
> Des réseaux financés par nos impôts.. exploités par des groupes de BTP qui 
> vendent plus chères des services moins fiable que des opérateurs 100 % 
> privées.. :))

Bonjour la liste,
Pour une fois je vais parler de notre RIP, et défendre Axione Limousin
(qui est une société d'economie mixte dont le capital est détenue par le
public + Axione) et qui gère un réseau financé à Moitié par les
collectivités, et à Moitié par une boite de BTP ;-).

Ce qui fait qu'une lien L2 Limousin-TH2 à 100Mbs est un peu moins chers
via notre DSP que via la DIVOP (De l'ordre de 20% en arrondissant).

Après, il faut faire de savants calculs pour savoir si les financements
européens perçus par les collectivités lors de la mise en route du
réseau + l'argent de la boite de BTP + l'argent des collectivités,
couvrent l'économie globale générée par le RIP. Et là il n'y a bien que
le délégataire de la DSP qui puisse répondre.

Enfin il y a d'autres problématiques intéressantes autour d'un RIP, mais
ce n'est pas l'objet du thread.

PS: RIP = reseaux d'initive publique - DSP : délégation de service publique.
Cordialement,
Eric ROLLAND
RÉSEAUX ARTEWAN AS42929 - RE515-RIPE


*Artefact communication interactive* | Bat. Artechnopole - 3 rue des
Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33
SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z |
TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07

www.artefact.fr  - Communication interactive
www.artewan.fr  - Opérateur de réseaux




*Découvrez Artechnopole , un espace IT de
380 M2, intégrant un Datacenter climatisé, ondulé et secouru. *


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Devenir LIR et récupérer nos ressources

[Antoine Durant]

Bonjour la liste,
Une petite question me passe en tête depuis quelque jour !
Nous avons deux PI (IPv 4 et 6) ainsi que notre AS chez un
LIR qui est notre transitaire principal.
Maintenant si nous décidons de devenir LIR, est-il possible
de récupérer notre AS ainsi que les blocs d’IPs ?
Je n’arrive pas à trouver des infos pertinentes sur le
sujet, quelqu’un as déjà été dans la même situation et comment cela marche ?
Bon weekend.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Devenir LIR et récupérer nos ressources

[Antoine Durant]

Bonjour,
 
Donc il est possible de récupérer les PI et AS si je deviens extra small LIR !! 
Bonne nouvelle !
 
Si je comprend le fonctionnement, on paye un abonnement à l'année plus 
l'allocation des ressources ???
Je n'ai pas trouvé les indications qui disent combien coute chaque ressource 
AS, PI 4 (/24 /21), PI 6 (/48 /40)...
 
Quelqu'un peut-il me donner une idée du prix de l'abo + ressources ?
 
Dans ce contexte est-ce possible de ce voir attribuer un petit bloc d'IP V4 ?? 
Je rêve peut être...
 
Bon week !
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Devenir LIR et récupérer nos ressources

[Antoine Durant]

lol Pierre-Yves Maunier !!
 
>Si tu voulais faire ça proprement, tu demanderais AS, v4 et v6 (/22 et
>/32 ou /29) à ton adhésion, 
Heuu je capte pas la... J'ai déjà AS et PI, pourquoi faire une demande en plus 
??
 
>rattacherai les PI pour les maintenir active
>le temps de migrer sur tes blocs PA, et restituerais les blocs PI au
>bout de 3 à 6 mois.
Pourquoi migrer sur des blocs PA et rendre les PI, j'ai du mal à comprendre le 
cheminement la !
 
 
>Si tu veux le faire en mode "pas propre", tu gardes les ressources au
>chaud pour les revendre plus tard, mais essayes de migrer vers tes
>ressources PA quand même.
Le truc c'est de garder le reseau existant qui est en prod... pas de les 
revendre c'est pas du tout l'idée que l'on a...  


 De : Jérôme Nicolle 
À : frnog@frnog.org 
Envoyé le : Dimanche 7 avril 2013 16h06
Objet : Re: [FRnOG] [TECH] Devenir LIR et récupérer nos ressources
  
Le 07/04/2013 16:00, Pierre-Yves Maunier a écrit :
> Tes réponses ici : http://bit.ly/ZqUCZZ

Rhoo, t'es vache là :)

LIR : 1.8k€/an.
Ressource PI : 50€/an/ressource.

Si tu voulais faire ça proprement, tu demanderais AS, v4 et v6 (/22 et
/32 ou /29) à ton adhésion, rattacherai les PI pour les maintenir active
le temps de migrer sur tes blocs PA, et restituerais les blocs PI au
bout de 3 à 6 mois.

Si tu veux le faire en mode "pas propre", tu gardes les ressources au
chaud pour les revendre plus tard, mais essayes de migrer vers tes
ressources PA quand même.

Et si tu la joues comme un goret, demandes les ressources PA mais garde
ton réseau en l'état et prie pour que personne ne regarde ce que tu
utilises.

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Transit 95th vs Seuil

[Antoine Durant]

Bonsoir,
 
Que conseilleriez-vous comme choix de formule en transit IP :
- 95 percentile
- Seuil à X Mb/s
 
L’idée est d’avoir un lien qui pour le moment n’est pas très consommateur, car 
pas beaucoup de client derrière… La question est surtout financière afin 
d’économiser un maximum sur les frais mensuel pour du transit.

Si je décide d’avoir un lien à 10 Mb/s en 95th, il m’est possible à moment 
donné de consommer 50 Mb/s par exemple pendant 10 minutes. En fait cette 
consommation ne sera pas facturée ??
 
Car si cela rentre dans les 5% du mois, cela ne doit pas être facturée non ??
Est-ce que le 95th permet de faire des économies en général ??

++
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Transit 95th vs Seuil

[Antoine Durant]

Bonjour,
 
Donc en gros, en me basant sur vos deux réponses, il faut éviter d'utiliser du 
95th... 
 
Pourtant si le lien n'est pas solicité pour un début d'activité, j'ai 
l'impression que cela est plus économique, car le 95th offre quand même 36 
heures de conso gratuite, si je me base sur les dires de Neotelecom.
 
D'autre veullent bien me donner un opinion sur la chose ?
 
++
 


 De : xhinfray 
À : frnog@frnog.org 
Envoyé le : Jeudi 11 avril 2013 19h52
Objet : RE: [FRnOG] [TECH] Transit 95th vs Seuil
  

Le 95 percentile n'est pas fait pour faire des économies. Il est fait pour
ne pas te facturer les moments (courts) où le réseau n'est pas stable, du
fait d'un reroutage, et les conséquences qui en découlent souvent : un gros
burst de paquets juste après. De même, cela te permet de lissé des bursst
que tu pourrais avoir. C'est un bon calcul, qui tient compte des aléas du
réseau.

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de
Hugues Brunel
Envoyé : jeudi 11 avril 2013 19:44
À : frnog@frnog.org
Objet : Re: [FRnOG] [TECH] Transit 95th vs Seuil

Le 11/04/13 19:25, Antoine Durant a écrit :
> Que conseilleriez-vous comme choix de formule en transit IP :
> - 95 percentile
> - Seuil à X Mb/s
>  
> L’idée est d’avoir un lien qui pour le moment n’est pas très consommateur,
car pas beaucoup de client derrière… La question est surtout financière afin
d’économiser un maximum sur les frais mensuel pour du transit.
> 
> Si je décide d’avoir un lien à 10 Mb/s en 95th, il m’est possible à moment
donné de consommer 50 Mb/s par exemple pendant 10 minutes. En fait cette
consommation ne sera pas facturée ??
>  
> Car si cela rentre dans les 5% du mois, cela ne doit pas être facturée non
??
> Est-ce que le 95th permet de faire des économies en général ??
> 

Methode de calcul du 95th:

1. toutes les 5mn on enregistre dans un tableau la consommation moyenne
sur les 5 dernieres minutes
2. à la fin du mois on a un gros tableau avec beaucoup de valeurs (8640
pour un mois de 30 jours)
3. on supprime 5% des lignes du tableau les plus hautes
4. on facture le max de ce qui reste

Aujourd'hui, modulo le prix (c'est théoriquement un peu plus cher?),
c'est pas mal comme méthode...

++
Hugues.


---
Liste de diffusion du FRnOG
http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/
---
Liste de diffusion du FRnOG
http://www.frnog.org/