Re: [FRnOG] [TECH] Configuration hardware serveur BGP quagga
On Thu, Apr 2, 2015, at 00:18, David Ponzone wrote: En RAM, ça ira, mais en CPU, il risque d’avoir du mal à digérer les 2 full-view au moment où les sessions montent/flappent. SI le temps de convergence n’est pas critique pour toi, pas de quoi s’inquiéter. Y a des sportifs qui font à peu près la même chose avec un Mikrotik CCR1036 , qui dispose d’un CPU Tile 32 coeurs à 1.2Ghz, et dont l’OS ne sait hélas utiliser qu’un coeur pour BGP. Pire encore, il y a qui utilisent encore du SUP720 avec full-views. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
On Tue, Mar 24, 2015, at 10:25, Louis wrote: alors que je le ferais sans soucis sur les SRX. Quel est votre retour avec le routage dynamique sur fortigate? Il y a quelques annees, je l'avais fait. OSPF et BGP sur des interfaces IPSEC (IPSEC in interface mode). le BGP je le fais encore aujourd'hui (firewall inter-VRF). Pas de probleme particulier, il faut juste faire un peu attention a la config BGP (pas mal d'options accessibles uniquement en CLI). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] [TECH] Boitier VPN + SWITCH + FW
On Tue, Mar 24, 2015, at 07:44, Sylvain Busson wrote: Hello, Je cherche un boitier, type couteau Suisse qui sait faire : du petit BGP (une annonce et récupération d'une gateway) VPN (environ 300Mo de chiffrement IPv6 IPv4), du Firewall statfull, et du commut natif (switching,Vlan tag, logical interface IP .) au pire du bridging Et tous ça en 1U, et 8-10 ports 1Ge Tx. (Option apprécié, trou(s) 1Ge SFP dispo et routage dynamique possible dans les VPN type Hub and spoke avec 2 Hub) Regarde du cote des Fortinet entree-milieu de gamme : series 200D, 100D et la jungle des 60D/70D/90D. Cherche plutot les modeles avec switch integre. Ils ont aussi le IPSEC interface mode (interface tunnel, sur la quelle tu peux faire tourner du OSPF par exemple) ce qui doit aider intellectuellement pour la partie hub-and-spoke. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Projet de baie à TH2
On Sun, Mar 22, 2015, at 14:46, Jérôme Nicolle wrote: Le 20/03/2015 11:51, Richard Paré a écrit : J'ai dans l'idée 1k€ mensuel. C'est pas suffisant. Pour un 1Kw, si, quand-meme :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] On en parle ?
On Sun, Mar 22, 2015, at 14:43, Jérôme Nicolle wrote: seul arme sera la technique et la mauvaise foi. Et peut être, allez savoir, enfin plus de cohésion et entraide entre nous ? La mauvaise foi peu commencer a partir de maintenant. Si convaincre son depute de voter contre n'est pas forcement la meilleure voie, lui suggérer de proposer des amendements qui rendent le texte inapplicable (trop cher par exemple) ou trop risque (faire faciliter la fuite d'informations qui ne doivent pas fuir, une fois le système en place) ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] On en parle ?
On Thu, Mar 19, 2015, at 19:54, Laurent Cheylus wrote: plusieurs reprises (projet de loi refusée par la majorité, dissolution de l'assemblée, instabilité politique...). Perso, je préfère ça à la situation italienne pendant les années 80/90 où le gouvernement sautait tous les 4 matins... Une situation qui peut parraitre difficile mais qui finalement n'est pas forcement si mauvaise que ca. Un gouvernement avec une duree de vie aussi courte ne peut pas proposer des conneries. En effet il fait le meilleur chose jamais possible : RIEN. Mais pour retourner a nos moutons, l'abomination en preparation n'est pas encore propose pour passage 49-3. Pour ceux qui sont des chefs d'entreprise il est probablement le moment de commencer a monter le ton envers sont depute (qui probablement ne comprend rien de tout ca), tel que Jeremy l'a fait. Je dirai meme prendre un peu de temps pour essayer d'expliquer que c'est en effet pire que mauvais. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] On en parle ?
On Thu, Mar 19, 2015, at 19:44, Raphaël Stehli wrote: Le principe reste que la loi doit être respectée. Oui, enfin, faut deja la comprendre.et vu le jargon utilise La déontologie reste un principe de droit souple qui ne s'applique pas face à la loi. Tu fais quoi en cas de lois contradictoires (respecter la loi A implique enfreindre la loi B) ? Et quid de la pas loi, comme par exemple la jurisprudence (loi decretee par des personnes non elues). Il y a aussi l'applicabilite. Tu fais quoi d'une loi que tu consideres comme pas bonne et pour laquelle il n'y a pas des mesures pour la faire respecter (ou le non-respect de la loi genere des dommages acceptables). Ne pas coopérer à une réquisition est une infraction pénale. OK, mais mettre un max de mauvaise foi qui ne peut pas etre identifie en tant que tel juridiquement (meme si ca demande certains talents dans le domaine), non. Souvent il n'y a meme pas besoin de mauvaise foi, juste une quantite bien dose d'incompetence suffit. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [ALERT] Fin de la panne du SEA-ME-WE-4 au 6 mars ?
On Wed, Mar 11, 2015, at 17:04, Sebastien Lesimple wrote: Par curriosité, le consortium vous dit par quel moyen de substitution ils gèrent la continuité de service? Le consortium lui-meme ne gere pas la continuite du service. Aux operateurs qui ont de la capacite de la faire pour leur clients. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Adresses ipv4 PI
J'ai du rater un truc, mais y'a pas une contradiction ? D'un coté le RIPE ne distribue plus de PI depuis 2010 et de l'autre, si vous êtes LIR, vous pouvez espérer obtenir un /22. Il sort d'où ce /22 ? Pour clarifier un peu les choses (pour certains): Les blocs d'adresses sont repartis en 4 grandes categories: - LEGACY (on en parle pas, ca date forcement d'avant 1992) - ASSIGNED PI : historiquement pour les utilisateurs finaux qui doivent avoir une relation contractuelle soit avec RIPE directement, soit avec un LIR (qu'il est libre de changer tout en gardant les adresses). Plus distribue depuis 09/2012. - ALLOCATED PA : les blocs que RIPE donne aux LIRs. Aujourd'hui un seul /22 par LIR. - ASSIGNED PA : des sous-blocs a l'interieur d'un ALLOCATED PA, que les LIR mettent a disposition a leurs clients pendant la duree de l'engagement contractuel. C'est typiquement un bloc qu'un FAI donne a son client. Nouveau FAI, nouveau bloc. Si on voulait etre independant, il fallait soit devenir LIR, soit prendre un PI. Maintenant il reste comme seule option devenir LIR. Les PI sont transferables eux aussi (comme les ALLOCATED PA et contrairement aux ASSIGNED PA), mais de memoire il faut contractualiser directement avec RIPE, ce qui vaut devenir LIR. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Adresses ipv4 PI
On Thu, Feb 26, 2015, at 17:04, Romain GUICHARD wrote: Mais finalement si on alloue un PA à un LIR, pour lui, ça ne fait aucune différence que ce soit un PA ou un PI ? Un bloc PI pour un LIR est utilisable (en theorie) que pour sa propre infrastructure. Pas pour les clients. Un ALLOCATED PA est utilisable par un LIR comme bon lui semble. Il est juste suppose renseigner dedans quel sous-bloc a ete mis a disposition de qui (via des ASSIGNED PA). LIR et devant passer par un opérateur pour gérer ses IP. La difference est entre ALLOCATED PA (LIR) et ASSIGNED PA (client du LIR). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Adresses ipv4 PI
On Thu, Feb 26, 2015, at 21:07, Vincent Bernat wrote: Pourtant, dans les policies du RIPE, ils disent : Any LIR is allowed to re-allocate complete or partial blocks of IPv4 address space that were previously allocated to them by the RIPE NCC or otherwise through the Regional Internet Registry System. [ https://www.ripe.net/ripe/docs/ripe-623#55 ] Du coup, on peut transférer un bout d'ALLOCATED PA ou pas ? Le LIR qui a l'allocation peut. Son client, non. Il peut eventuellement essyer de convaincre son LIR via . On peut transferer uniquement vers un autre LIR. Et de nos jours, ca se fait contre argent. Et dans tous les cas, pour un sous-bloc, le bloc original est casse en morceaux, ce qui risque de deranger le LIR. Mon point de vue personnel, casser sa propre allocation pour laisser un client partir c'est soit de la connerie soit de la prostitution intelectuelle. Et pour la N-ieme fois, si c'est plus petit qu'un /24 (le cas actuel) ca devient juste inutilisable. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Adresses ipv4 PI
On Wed, Feb 25, 2015, at 09:13, Sebastien Lesimple wrote: Sinon, il faut taper à la porte du RIPE, demander un AS, une allocation IPv6, monter l'AS avec 2 providers Upstream et une fois que ca tourne, demander une allocation d'IPv4 au RIPE qui avec un peu de chances t'allouera un /22. Ce n'est pas exactement comme ca, mais tres proche. Il faut juste demander l'allocation IPv6 en premier. Pas forcement besoin d'AS (meme si c'est hautement reccomandable), et pas besoin d'avoir l'AS monte pour demander le /22. Tout dépend du niveau d'épuisement des IPv4 encore disponibles. Tranquilement plus de 5 ans. A la vitesse actuelle plutot vers 8. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Adresses ipv4 PI
On Wed, Feb 25, 2015, at 09:59, Vincent Bernat wrote: Avec un PA, tu pourra diffilement être multihomé et tu ne pourra facilement changer d'opérateur (car il faudra renumerotter à chaque changement) c'est vite galère :) Ça, c'est si tu n'es pas propriétaire du PA. Mais tu peux être LIR et avoir des PA et a priori, les multihomer sans soucis. Enfin, je pense (mais je posais la question initial pour confirmer). Par exemple : En ASSIGNED PA, effectivement c'est complique, il faut le support du LIR qui a l'allocation toute entiere. - Romain a raison. En ALLOCATED PA, tu fais ce que tu veux, mais les bonnes pratiques recommandent d'annoncer l'allocation entiere a tout moment (en plus des more specifics). - Vincent a raison. Rappel: - ASSIGNED PA : donne par un LIR a partir de sa propre allocation - ALLOCATED PA : donne par RIPE NCC. C'est une allocation. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: Adresses ipv4 PI
On Wed, Feb 25, 2015, at 10:12, jeremy gervais wrote: plage inférieure à 255 adresses IP. Plus précisément, une plage /26. Je pense que cela change la difficulté d'obtention! Impossible d'etre independant avec une plage aussi petite. Pour etre visible sur internet, il faut au minimum un /24. La vraie independance commence aujourd'hui avec un /22 (et les frais RIPE NCC). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Adresses ipv4 PI
On Wed, Feb 25, 2015, at 11:40, Sebastien Lesimple wrote: Ah, a mon dernier exercice en date, le RIPE nous avait réellement taquiné. Dernierement, tu fais la demande, ils verifient les criteres (qui sont moins nombreuses depuis un an), et ils te filent l'allocation. Sauf quand tu demandes un AS 16bit. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] RE: Couverture total en FO prévue en 2022
On Mon, Feb 23, 2015, at 17:50, Mathieu Husson wrote: Ce sera une architecture partagée pour le grand public PON ou RFoG (pour les cablos). On parle de 10G PON, voire WDM PON pour augmenter les débits si nécessaires. Le P2P restera utilisé , mais pour du service entreprise. En 2022 on sera 100% fibres grace a quelques nouvelles technos comme FTTNRA (fiber to the noeud de raccordement abonne) et FTTDC (fiber to the datacenter). Bref, le meme chose qu'aujourd'hui. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] connexion fibre FTTH
On Thu, Feb 19, 2015, at 22:41, Jérôme Nicolle wrote: Ca vaut autant pour les collectes que pour les transits et la façon dont on va se protéger de volumes croissants de DDoS. Et peut être dans les boucles locales si on commence à bosser efficacement. Ca a un arriere-gout d'operateur unique, et pour ca il y a FT^WOrange. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] connexion fibre FTTH
On Thu, Feb 19, 2015, at 11:20, David Ponzone wrote: Comme d’habitude, l’article n’est pas clair. Il laisse entendre qu’avec l’offre 2, une partie des frais annuels délirants disparaissent. D’ailleurs, l’article des Echos ne dit pas la même chose: http://www.lesechos.fr/tech-medias/hightech/0204169711632-telecoms-les-conditions-dacces-au-cable-decoivent-1094592.php Ici, les frais délirants sont les mêmes, en Offre 1 et 2. http://www.autoritedelaconcurrence.fr/user/standard.php?id_rub=609 L'offre elle-meme est assez claire, les memes frais delirants pour tout le monde. Il y a aussi d'autres choses qui rendent l'offre totalement delirante. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] connexion fibre FTTH
On Thu, Feb 19, 2015, at 00:30, David Ponzone wrote: Hmmm l’offre 2 est pas délirante. C’est dans l’ordre de grandeur de la collecte IP/ADSL d’Orange. Quoi ? Les 5 MEUR de FAS et 250KEUR/an sans compter la porte ? Ou alors tu ne parles pas de NC ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DNS Questions
On Sun, Feb 15, 2015, at 08:44, Bensay 1 wrote: Bonjour, Et tu serais dans cette fameuse liste de Bogons pour quel raison?? Raison de liste mon mise a jour depuis un bon bout de temps par exemple ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco interface output errors
On Mon, Feb 9, 2015, at 21:13, Antoine Durant wrote: 147866 output errors, 31696 collisions, 9 interface resets Duplex/autoneg mismatch ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: RE : [FRnOG] [MISC] Argent public dans les DSP/Affermages et autres RIP
On Sat, Feb 7, 2015, at 14:17, Ville numérique wrote: Eh oui : pas d'offre fibre noire pour interconnecter. Orange à l'époque vendait cher du service fibre et ne louait ni ne vendait (sous forme d'IRU) de fibre noire. Les autres (Colt, Level III, etc) n'adressait que certaines zones et certains parcours (pas en MAN par exemple pour le FTTH avec des NRO avec un rayon de 1-2 km, plutôt 5-7 maintenant). Les zones En 199x-2000 ? Et c'etait ou le probleme ? Vu comme ca il y avait carence aussi dans les 80, dans les 70, Surtout avant les annes 60. A l'epoque on sortait a peine du monde du dial-up et un transfix 2M (ou un Netissiomo 2) c'etait tres bien. Oui, la fibre etait rare et chere. Il y avait peu, oui. Mais avant de dire carence, il faut etablir un besoin, qui etait encore assez maigre a l'epoque. Le deploiement pan-europeen etait encore en cours, et il y a eu qui ont laisse des plumes dans tout ca (RIP KPNQwest), probablement parce-que le besoin n'etait pas assez fort. d'activité : pas de fibre, entreprises qui se tirent ! vécu ce n'est pas une légende. En 1999-2000 ? Alors quoi dire en 2015 ? Je le repete : tabac pas champignions. D'ailleurs s'il n'y avait pas carence à cette époque serions nous encore en traine de pleurer pour avoir du FTTH ou des débits corrects pour les activités professionnelles et d'aucuns de demander des subventions 2015 : 4000 EUR de FAS pour 10Mbps dans une ville prefecture en IdF c'est un succes de l'initiative publique ? Ca a l'air d'etrte plutot du marche. De l'autre cote de Paris, chez moi, je peux dire adieu a la fibre (optique ou coaxiale) - merci l'initiative publique, hereusement que le VDSL me sauve la vie - initiative prive. qui interpellent les collectivités en disant qu'est ce que ce b..l, pardon bazar, en 2015 nous n'avons pas encore la fibre, ou bien à ce prix je ne peux pas me la payer Effectivement. Quand une bonne partie du prix de FAS correspond a de la bureaucratie. Et donc il n'y aurait pas carence de l'initiative privée ? Pas a cette epoque-la. Pas de demande, donc pas de carence. que certains disent mais non moi j'en fait ... dans mon coin. Ce n'est pas ça l'aménagement d'un territoire. Peut-etre que le territoire n'a pas besoin d'etre amenage dans un si grand detail. Surtout pas par une autorite publique a la limite de l'autisme. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: RE : [FRnOG] [MISC] Argent public dans les DSP/Affermages et autres RIP
On Sat, Feb 7, 2015, at 13:46, Ville numérique wrote: Désolé d'être un peu dur, mais le rôle des élus c'est aussi de ne pas confier la réalisation d'un ouvrage public durable et compliqué à une entreprise dans votre situation. La prise de risque sur la pérennité est prise en compte. Pardon ? Donc si je comprends bien le role des elus c'est de s'assurer que les grands acteurs on un morceau du gateau quoi qu'il arrive, et que les plus petits sont bien et durablement asphyxies avec zero chances de survie ? C'est pour ca que je paye des impots ? Parce-qu'une entreprise de 100 personnes (ce qui est deja assez grand) qui fait tout elle-meme est moins fiable qu'un grand groupe nebuleux de 1 personnes ou plus qui externalise le moindre etape du moindre projet ? Une entreprise qui passe plus de temps et de ressources en lobbying, juridique et bureaucratique fournit un meilleur service qu'une qui aloue plus au metier qu'elle doit faire ? On nage ne plein delire ! Ce qui est acceptable pour une opération ponctuelle sur 3-4 ans ne l'est pour une DSP de 20 ans qui couvre un département ou une région et jusqu'à Enfin, c'est pas plutot l'inverse ? plusieurs millions de foyers. ce qui ne signifie pas que les gros garantissent la perennité. On est d'accord mais vous venez d'expliquer que les elus sont la pour soutenir le contraire. Sur une DSP en RP, c'est après un premier échec et un 2ème appel d'offres que depuis 2008 une DSP à cible entreprises et zones à haute densité économique fonctionne bien et avec des coûts acceptables, bien que selon les natures de projets cela reste améliorable. Bien-venu dans le monde des entreprises ! Pas besoin de DSP pour ca. Jouons de la neutralité du net (technique notamment). Jouons quoi ? Neutralite version service public ? Comme la neutralite vis-a-vis des acteurs choisis (toujours les grands) ? leurs frais) en s'appuyant à prix coutant pourquoi pas sur les infrastructures plus couteuses mutualisées. a prix coutant, autant ne pas mutualiser : je paie, je controle. A mois que la mutualisation soit devenue la religion officielle, avec l'inquisition^Wautorite publique qui veille a son respect. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Argent public dans les DSP/Affermages et autres RIP
On Sun, Feb 8, 2015, at 13:55, Sebastien Lecomte wrote: On retrouve dans le public un comportement similaire à celui rencontré dans le privé : dans le premier cas, le choix est à assumer vis à vis de ses électeurs. Dans le second cas, le choix d’un DSI est à assumer vis à vis de sa direction générale. Modulo qu'un DSI voit la DG beaucoup plus souvent qu'une fois tous les 4 ou 5 ans, et qu'il peut se faire degager a n'importe quel moment s'il fait des conneriers. Contrairement a un elu local, ou pire encore a un fonctionnaire. Et s’il y a défaillance (technique ou financière), le choix d’un gros opérateur est bien plus facile à assumer. La defaillance technique ca passe toujours mal. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: RE : RE : [FRnOG] [MISC] Argent public dans les DSP/Affermages et autres RIP
On Sun, Feb 8, 2015, at 15:05, Ville numérique wrote: Méconnaissance du dossier ; demandez aux opérateurs - y compris Free - qui empruntent depuis 10 ans une infra DSP de fibre noire laquelle interconnecte tous les NRA Il y a 10 ans on etait deja bien dans les 2000, les '90 etant loin derriere. La fibre noire commencait a peine a etre plus qu'un produit reserve operateur. d'offre grossiste FT (Orange maintenant) On est d'accort fibre = fibre noire. Pour une approche pour les entreprises en raccordement direct, le but des DSP est de mutualiser les coûts de GC (et de raccourcir les délais). Et de laisser les opérateurs privés faire leurs offres de service en louant ces infras. le GC = 100 à 250 € (en ville) par mètre linéaire. Il n'y a pas les égouts de Paris partout (qui vont en pied d'immeuble). L'obligation de faire du GC etant une invention qui n'existe pas partout (ou par endroit est arrive APRES le deploiement massif de la fibre), faudra envisager a la separer de la partie fibre. La fibre en elle-meme passe tres bien en aerien; voire mieux (plus facile a maintenir). J'ai moins du mal a accepter un service public tuyaux pour cables telecom qu'un service public fibre optique. Ma question est: si je veux tirer de la fibre a Nanterre je dois remplir combien de formuaires, combien de demandes je dois faire, je dois monter un dossier de combien de pages ? Voila pourquoi il y a parfois carence (meme si pour la fibre en 2000, je trouve ca abuse). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Opérateur pour résidence étudiante
On Fri, Feb 6, 2015, at 18:10, slesimple wrote: Tu veux dire mettre de la machin box en batterie dans un rack? Genre 200 box cote à cote? Ah je voyais pas ca comme ca :( Moi non plus. Je pensais a un coffret avec la partie switch/routeur/CMTS/serveurs/whatever necessaires pour livrer le service. D'ailleurs je n'ai toujours pas compris qui est en charge de quoi: - qui paye l'installation - qui encaisse les abonnements Pour moi, un operateur classique (DSP compris) n'a pas directement sa place dans le projet (saut s'il compte gerer les specificites de ce type de marche). Il peut au maximum fournir quelques morceaux a l'entite qui va tout assembler. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Décret concernant le blocage des sites web
On Fri, Feb 6, 2015, at 23:46, Fabien V. wrote: trolldi on Le plus simple et le plus efficace : iBGP hijack ou annonces dans l'IGP de 8.8.8.8/32 et 8.8.4.4/32 La par contre ca va couter cher (pas quand tu dois le faire, mais quand tu dois chiffrer ca pour l'etat). Tres cher. Et probablement illegal aussi (secret de la correspondance toussa). Donc faire ca pour repondre a une obligation legale debile.. C'est sale, mais c'est gratuit par rapport à du DPI Qosmos/Eagle. Le Mais personne n'a demande de mettre du DPI. (encore histoire du secret de la correspondance). voir inappliquées ! Inappliquees j'aime mieux qu'inappliquables. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Opérateur pour résidence étudiante
On Fri, Feb 6, 2015, at 17:05, slesimple wrote: On est RP donc livraison 1 gig allumé par résidence, ca leurs file 20meg 1000 Mbps / 200 chambres = 5 MBps garanti par chambe. Parfaitement raisonnable sauf si on pousse aussi la TV en IP. Dans tous les cas, c'est pas d'une complexité intense qui va nécessiter 6 mois de reflexions stratégiques complexes hein! Si tu as deja un service correspondant au moins a 80% a la demande, OK. Sinon, faire gaffe quand-meme. Tout au plus un peu de gestion de projet pour poper, le reste s'industrialise tout seul. . si tu as deja tout en etat de marche (= pret a commander et deployer) aujourd'hui 06/02/2015 17h31. Sinon les choses se compliquent Je trouve que mettre aux commandes les étudiants réseau/SI c'est la meilleure approche! Un opérateur qui fille du tuyau brut et une association qui fait trimer les djeuns pour les conf c'est ce qu'il y a de mieux. La c'est l'approche alternative, a condition qu'il y a des etudiants reseau/SI (pas seulement qu'ils vont apprendre comment les choses se passent dans la vraie vie, mais en plus ils vont s'eclater aussi). Par contre je suis curieux de ce que ca peut donner quand tu te trouves avec que des etudiants en lettres/commerce/marketing/. :) Il y a aussi la question de quel est l'impact financier sur le gestionnaire de la residence (plus complique a expliquer le vendredi). --- Liste de diffusion du FRnOG http://www.frnog.org/
[BIZ] Re: RE : [FRnOG] [BIZ] Opérateur pour résidence étudiante
On Fri, Feb 6, 2015, at 17:22, Thierry Wehr wrote: d'ailleurs à ce propos petit calcul rapide sur un flux HD IPTV par exemple ARTE - ARTE = 8 Mbps - GPON en mode inverse 64 - tous les utilisateurs regardent ARTE en même temps en IPTV flux total = 64 * 8 = 512 Mbps non disponibles pour les flux IP et la téléphonie Multicast pas marche chez les DSP ? Chez aucun d'entre eux ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Opérateur pour résidence étudiante
On Fri, Feb 6, 2015, at 17:38, slesimple wrote: Le 06/02/2015 17:33, David Ponzone a écrit : L’IPTV n’est pas ma spécialité, loin s’en faut, mais le multicast n’a pas été inventé pour dédupliquer les flux streaming live justement ? Ben si dans une solution OTT mais pas dans les solutions ATM/PON and co. Quel PON ? Quel ATM (deja ATM, faut arreter sur un deploiement en 2015) ? Ils ont du RJ45, RJ11 et du coax, mais pas de fibre. Ils veulent du bling qui implique forcement du machinbox (qui peut bien etre un rack 24U) en bas de l'immeuble (au minimum). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Opérateur pour résidence étudiante
On Fri, Feb 6, 2015, at 16:01, Romain GUESDON wrote: Les pré-requis sont les suivants : - internet avec bande passante garantie par chambre Ce sont des etudiants exigeants pour demander de la BP garantie :) Grand luxe la résidence Garantie, mais il n'a pas precise combien. 512 Kbps garanti, burstable, ca peut rentrer dans 100Mbps. Pour un vendredi apres-midi, ca passe :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Opérateur pour résidence étudiante
Je n'ai pas bien compris si toutes les residences etait en RP. Ceci etant dit, il y a des solutions pour tout le monde, juste le prox et la qualite different. On February 6, 2015 7:25:38 PM GMT+01:00, slesimple slesim...@laposte.net wrote: Le 06/02/2015 19:16, Arnaud Launay a écrit : Le 06-02-2015 17:55, slesimple a écrit : Beurk! Y'a de la fibre a plus savoir quoi en faire en région parisienne, on va pas recommencer avec le délire cuivré hein! On est au 21eme siècle il serait peut etre temps de se réveiller quand même. Va falloir expliquer ça à Numeritroll^H^H^H^H^Hcable, qui n'a visiblement pas compris. Il est impossible de trouver une vraie offre fibre (FFTH, pas leur daube en coaxial) sur le site de SFR. J'adore! Après Completellement nul et Se Faire Réaléser, voici NumériTroll ! Ce que je vouslais dire par là c'est que pour un batiment de 200 appart/chambres en région parisienne, y'a aucuns probleme d'aduction avec du Fiber to the N'imp! FTTC/FFTB/FFTDP you name it... C'est pas comme dans nos régions reculées de France ou le premier point de connexion à un BBone FO se trouve a 20KM... Arnaud. --- Liste de diffusion du FRnOG http://www.frnog.org/ -- View Sebastien LESIMPLE ✔'s profile on LinkedIn http://fr.linkedin.com/pub/sebastien-lesimple-%E2%9C%94/0/6b/293 --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Mise en place VDSL
Support comme chez SFR quand leurs equipements rejettent des attributs RADIUS obligatoires selon le STAS ? On February 3, 2015 6:12:54 PM GMT+01:00, David Ponzone david.ponz...@gmail.com wrote: Oui j’imagine, mais sauf si tu en as vraiment beaucoup, beaucoup, ça bouge pas tout le temps les ADSL donc y pas tant de flux que ça. Tu dois avoir un moyen de repérer le tien. Sinon, tu dois pouvoir avoir un peu de support côté OWF non, à 1500€/mois la porte grand minimum :) Le 3 févr. 2015 à 17:59, GIGUET Maxime mgig...@nvl.fr a écrit : Dans les logs radius, rien. Dans un TCPDump, nous ne pouvons pas identifier les flux de cette authentification. Toutes nos ADSL s'authentifient sur ces radius. -Message d'origine- De : David Ponzone [mailto:david.ponz...@gmail.com] Envoyé : mardi 3 février 2015 17:53 À : GIGUET Maxime Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Mise en place VDSL Le 3 févr. 2015 à 17:47, GIGUET Maxime mgig...@nvl.fr a écrit : Bonjour, C'est la première fois que j'utilise cette liste, j'espère que je le fais correctement ! Nous avons commandé un lien VDSL sur notre collecte France Telecom Et impossible d'avoir une authentification, nous ne voyons pas les loggin sur nos Radius. Ni en succès ni en échec. Qu'entends-tu par « nous ne voyons rien » ? Dans les logs ou avec un tcpdump ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH]Design et aspect protocolaire des Proxies
On Thu, Jan 29, 2015, at 08:49, Xavier ROCA wrote: Pour le filtrage http via le proxy du réseau c'est raté si on reste uniquement sur du filtrage d'URL. Certains on trouver comment rétablir l'ordre ? On a des étudiants malins sur des écoles qui ont pigeonné leur prof avec Opera Interdire les IP des serveurs proxy utilisé par Opéra pour compresser ? Je suis preneur d'autres idées bien passantes ou d'une liste d'IP à jour. Que partiellement. Certains equipements peuvent appliquer des filtres par seulement sur l'IP et port destination mais aussi sur le CN du certificat du site destination. En theorie ca peut meme etre possible de faire le meme chose sur le CA, mais je n'ai pas encore vu des implementations en etat de marche. Pas besoin de débat sur la neutralité du web ici, on n'a pas vraiment à y réfléchir. Si quand-meme. Au minimum un peu. Si de plus en plus de choses passent par du SSL^WTLS c'est parce-que le flitrage/flicage est deja alle assez loin (et pas seulement de la part de NSA/GCHQ/). En ce qui concerne le SSL Intercept (a.k.a. MITM attack), ce n'est pas sans consequences. On ne peut pas s'attendre a changer les certificats des sites distants (tels que vus par l'utilisateur) et en meme temps s'ettoner(indigner) de la proliferation des capmagnes de phishing. Il y a pas mal de DSI qui sont completement autistes en ce qui conerne les besoins reels de leurs utilisateurs et les consequences de ce qu'ils deployent pour assurer la securite. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] mapping/translation de VLAN sur un switch
On Thu, Jan 29, 2015, at 10:41, Florent Arrgn wrote: Concernant l'équipement, c'est du ... DELL et aucune notion de mapping sur celui-ci. Si c'est du Power(Dis)Connect, oublie. Des que tu essayes de faire plus que des choses basiques c'est au-dela de ses pouvoirs. Imagine que cette gamme n'existe pas et n'a jamais existe. C'est le Trabant des switch. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] mapping/translation de VLAN sur un switch
On Thu, Jan 29, 2015, at 14:07, Michel Hostettler wrote: A priori, S-TAG est une ressource d'opérateur de transport, on ne devrait pas le trouver dans un réseau LAN. On peut dire aussi q'un S-TAG c'est juste un tag, plus ou moins dot1q (l'ethertype/TPID peut ne pas etre 0x8100). L'approche S-VLAN / C-VLAN limite (intelectuellement) le nombre de tags a deux, ce qui n'est pas exactement coherent avec la realite. En plus, le C-VLAN d'un c'est peut-etre le S-VLAN d'un autre. Je trouve dommange qu'il n'y a pas beaucoup de constructeurs avec une vision de simple VLAN staking. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] mapping/translation de VLAN sur un switch
On Thu, Jan 29, 2015, at 14:47, David Ponzone wrote: qu’au-delà, les exemples de cas concrets ne sont pas légions (CC-VLAN: Customer of Customer VLAN ?). Parce-qu'un operateur qui achete du L2 a un autre operateur pour revendre lui-meme du L2 a son client sur ce meme circuit (sans utiliser MPLS co) c'est si rare que ca ? Ce n'est pas exactement ce que j'ai pu constater --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] mapping/translation de VLAN sur un switch
On Thu, Jan 29, 2015, at 15:14, Michel Hostettler wrote: On peut dire aussi q'un S-TAG c'est juste un tag, plus ou moins dot1q Pas tout à fait, l'objectif n'est pas le même. Je trouve cette vision tres restrictive ...c'est juste un tag, plus ou moins dot1q (l'ethertype/TPID peut ne pas etre 0x8100). TPID pour S_TAG = 88-A8 Sauf quand c'est 0x9100 ou 0x8100 (coucou CELAN, et ils sont pas les seuls). Ou encore autre valeur. L'approche S-VLAN / C-VLAN limite (intelectuellement) le nombre de tags a deux Pas tout à fait, il en existe 2 autres. 2 ou 4, ca reste quand-meme une limitation assez violente. QinQ(inQinQ..) ca reste tres generique. Pour ceux qui preferent S-VLAN et C-VLAN, QinQ c'est un moyen d'accomplir ca. , ce qui n'est pas exactement coherent avec la realite. Que voulez-vous dire ? QinQinQ(inQ(inQ..)) sans limite autre que le max-frame-size En plus,le C-VLAN d'un c'est peut-etre le S-VLAN d'un autre. Bigre ! les TPID sont différents, les applications sont différentes. Bigre ! Pas forcement ! Voulez-vous réinventer le MPLS ? Non, je veux que le MPLS soit mois cher, au point de pouvoir le mettre systematiquement au niveau de l'acces, histoire d'alleger violamment le delire de S-VLAN. Je parle du vrai MPLS (label switching), non pas les autres choses qui gravintent autour (qui sont importantes, mais tous seuls ne sont PAS du MPLS). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] mapping/translation de VLAN sur un switch
On Thu, Jan 29, 2015, at 17:18, Fabrice Vincent wrote: Mais une solution propre avec du vlan stacking (ne plus dire QinQ) semble être la seule voie pérenne car scalable. Le vlan mapping peut marcher, mais ça reste casse gueule. Seule - non, scalable - pas tant que ca. Plus propre serait une separation stricte du L2 de chaque client, et l'eventuelle interco L2 avec un site distant (du meme client) via MPLS pseudo-wire (VLL/VPLS/E-LAN). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] mapping/translation de VLAN sur un switch
On Thu, Jan 29, 2015, at 16:04, Michel Hostettler wrote: Dans le principe Ethernet, lorsque la sous-couche de traitement change au-dessus de la limite ISS, le champ L/T (length / type) change. Le TPID est une forme de L/T. Le traitement de S-TAG étant différent de C-TAG, les identifications TPID sont différentes. http://lab.cipi.unige.it/Repository/IPI/VLAN/802.1x.pdf J'ai déjà parcouru ce document, un peu ancien. Depuis plus de 4 ans, la 802.1Q a intégré et fait évolué 802.1ad. Le terme Q-in-Q n'existe pas dans 802.1Q. Il ne reflète pas la réalité, les 2 étiquettes ne sont pas au même niveau fonctionnel. Ou comment faire les choses de facon complique, IEEE-style. Au lieu de compliquer les choses a ce point, on peut voir une tramme comme metadata (header, _-TAG, FCS) et payload. Et surprise, en fonction de configuration, parties du metadata peuvent devenir du payload et vice-versa. Mais non, prendre une partie de trame (payload+tag) et lui coller un tag de plus c'est tellement complique... il fallait une usine a gas pour ca. A consolider, S-TAG est utilisé pour les opérateurs de transport (de service de transport) dans les réseaux PBN. Je ne vois pas son intérêt pour des opérateurs de service (de service de communication). C'est quoi exactement un operateur de transport et un operateur de service ? Faut des licences et certifications pour passer d'une categorie a l'autre ? Tant qu'on y est, essaye d'expliquer tout ca au client qui veut juste transporter ses VLANS de droite a gauche. Apres tu a reussi l'exploit, explique le meme chose a ton DAF qui est encore convaincu que l'investition d'il y a 5 ans dans du materiel d'occasion (concu avant les derniers standards IEEE) est encore a amortir. Quand on ne partage pas a 100% la vision IEEE, on finit par voir interpreter les normes de facon tres inattendue. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH]Design et aspect protocolaire des Proxies
On Wed, Jan 28, 2015, at 09:13, Eugène Ngontang wrote: Ce que j'aimerais savoir : - Peut-on se passer (le client, disons un wget par exemple) du proxy si l'on connais l'url de destination? Pour un proxy cote client, il faut de toute facon connaitre l'URL destination. Et dans la plupart des cas, il n'y a pas vraiment de choix laisse a l'utilisateur. Pour un reverse proxy (cote serveur), si le backend est accessible a tout le monde, le RP ne sert pas a grand chose (lire a rien). - le proxy est censé masquer l'existence du client sur le réseau pour le serveur, seulement dans certains cas, même si une ACL est créée sur le proxy pour autoriser l'url en question, ce dernier ne parvient pas à établir la connexion pour le client, qui tombe en timeout. Et une tentative de connexion directe sans passer par le proxy marche. Dans ce cas qu'est ce qu'il ne fallait pas ou qu'est ce qu'il faut faire? Tu as un probleme la-bas. - soit il s'agit d'un proxy-cache a utilisation volontaire, qui en plus semble mal-configure. - soit il s'agit d'un proxy obligatoire (pas d'acces a Internet pour les clients, uniquement sur le proxy), dans quel cas tu as plusieurs choses mal-configures. - le point précédent m'emmène à poser la question de savoir si le serveur auquel on tente de se connecter doit être configuré pour ou pour ne pas recevoir des requêtes d'un proxy??? Generalement, je diai que non. De toute facon, si le serveur sait que les clients passent via un proxy, c'est que le proxy lui laisse cette indication, generalement en ajoutant des headers dans les requetes HTTP (pas HTTPS). - On peut partir sur le cas concret qui m'a poussé à créer ce thread : * J'ai autorisé une URL sur mon proxy pour un flux https, verx un serveur * En testant la connexion avec un wget sur l'url, après avoir setté la variable https_proxy depuisma console, je ne réussi. Le client tente indéfiniment et tombe en erreur, typiquement avec une trace du genre : wget https://server_url --2015-01-28 08:37:20-- https://server_url Resolving proxy_fqdn... proxy_ip Connecting to proxy_fqdn|proxy_ip|:8000... connected. Proxy tunneling failed: Service UnavailableUnable to establish SSL connection. * En unsettant le proxy et en réessayant j'y arrive bien. Est-ce que le proxy autorise la methode CONNECT (qui est normalement reserve aux proxys) ? Le HTTPS ne passe pas en clair sur les proxy, mais via CONNECT (tunnel HTTP, vois-la comme TCP over HTTP). Pour faire passer le SSL en clair c'est une toute autre usine a gas, associe plutot au hijacking qu'a la securite, et qu'il fout mieux eviter (je dirai meme a tout prix). Alors je vais sur mon proxy en question et refais la même requête, et je me rend compte qu'effectivement le proxy n'est pas autorisé à parler en SSL au serveur en question, sur les firewall, et je déduis que c'est là le souci. Voila l'erreur. - D'après ce dernier exemple, cela veut-il bien dire que le fait de passer par un proxy ou non est un choix qui n'est pas obligatoire, et que tout dépend des accès autorisés pour le proxy en question? Generalement, si. Au niveau du navigateur il y a generalement 3 options: - pas de proxy, connexion directe a 100% du temps - proxy 100% du temps - fichier .pac qui definit vers quels URL il faut putiliser un proxy, et lequel. Le fichier est interprete par les navigateurs et DOIT etre disponible hors proxy (generalement en HTTP). - Elles pilulent sur la toile, mais je suis preneur de toute bonne doc couvrant en détail les différentes architectures et façon de mettre en place les proxies. La meilleure : ne pas mettre de proxy. Des que les clients sont un minimum mobiles, ca devient source d'ennuis. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Serveurs pour cloud
On Wed, Jan 21, 2015, at 23:09, Raphael Maunier wrote: Pour moi un vrai “cloud” ( j’ai rajouté 1 euro dans la boite à “cloud”) c’est justement de faire abstraction de la partie HW. Le compute devient du consommable. L’importance c’est le soft, le hw c’est une commodité ! Oui mais non. Ca c'est le point de vue du client de cloud (? fog ? smoke ?) Cote provider le discours n'est pas le meme. Il ne peut pas etre le meme. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur pour PME
On Wed, Jan 21, 2015, at 09:28, Pierre-Yves Le Dirach wrote: Tu m'intéresses. Pourquoi (dans le cas d'un domaine vraiment local, comme .kleber) ? Par-ce que http://www.bortzmeyer.org/pourquoi-le-tld-local-n-est-pas-une-bonne-idee.html Mieux utiliser quelque-chose globalement unique mais uniquement disponible sur le(s) site(s) concernes. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur pour PME
On Wed, Jan 21, 2015, at 00:36, David Ponzone wrote: Hmmm tu me tends la perche: on peut pas désactiver CDP sur RouterOS ? Ok je sors :) Voir les choses autrement : peut-on passer l'etape du VLAN quarantine avec le CDP actif ? Ou: y a-t-il de gens qui activent le CDP sur des IXP qui l'interdissent (parfois explicitement) ? Il reste par contre le fait de regarder les adresses MAC, ce qui donne des infos sur les constructeurs. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Feedback couverture mobile dans les DC parisiens
On Tue, Jan 20, 2015, at 11:16, Cyril Lavier wrote: Bonjour. Je confirme pour Telecity Aubervilliers, c'est très très bon. Couverture correcte aussi sur Condorcet, mais ca n'emepeche pas qu'il faut sortir sur le couloir si on espere entendre quelque-chose (a cause du niveau de bruit). La data par ocntre c'est ok dans les salles. A TH2 on a aussi un niveau acceptable de signal, mais nous sommes pas si loin que ca de la fenetre. En MVNO sur SFR. PA2, il y avait Orange qui passait plus ou moins, Bouygues - uniquement selon la meteo et l'endroit a l'interieur du site. PA3, j'avais l'impression que c'est fait expres de ne pas laisser passer le signal, tellement la difference entre interieur et exterieur etait forte. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
On Fri, Jan 16, 2015, at 09:10, ay pierre wrote: j'ai entendu parler de Virtual Router Redundancy Protocol . Savez vous si c'est un protocole utilisable sur 2 sites distant ? Techniquement, oui, on peut imaginer des scenarios d'utilisation pareil, mais le mieux c'est de les eviter autant que possible (je dirai meme a tout prix). Il semble que celaa gère le load balancing sur quoi s'appuis le protocol pour définir la priorité? Non. VRRP c'est juste un protocole qui permet a deux equipements qui sont dans le meme broadcast domain de se mettre d'accord lequel des deux porte une adresse. il y a chez certains des systemes pour changer la priorite des equipements en fonction de certains evenements externes, mais ca ne change pas grand chose au protocole lui-meme. --- Liste de diffusion du FRnOG http://www.frnog.org/
[TECH] Re: Réf.: Re: [FRnOG] [TECH] sdsl atm vs efm
On Fri, Jan 16, 2015, at 12:35, Marc Salvi wrote: Bonjour, - Est-ce que Orange communique lors de la commande sur le type de lien qu'ils vont livrer ? Communiquent quoi ? Normalement tu sais ce que tu as commande. - Faut-il systématiquement un routeur compatible EFM, ex Cisco 888EA, ou CISCO 888E ? Oui. - Ou peut-on continuer a utiliser d'autres CPE ATM, type Cisco 888/878, Comme le commercial Orange me l'a laissé entendre ? Definitivement NON. J'ai essaye, et je n'ai meme pas eu de synchro. Par contre, concernant le 888, il y a CISCO888 et C888 qui ne sont pas pareil (surtout cote compatibilite SDSL/EFM). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] [TECH] VRRP
On Fri, Jan 16, 2015, at 15:27, ay pierre wrote: je sais toujours pas comment je vais mettre mon infra en place :D 2 sites, 2 broadcast domains, 2 subnets Part du principe que le L2 ne doit PAS sortir de l'immeuble. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution la plus efficace pour servir plusieurs clients fibre dans un batiment
On Thu, Jan 15, 2015, at 17:29, David Ponzone wrote: C’est pas moi qui parlait de S/XFP adaptables, mais peut-être parlait-il de SFP capable d’émettre sur des lambdas différents (par programmation) ? Dans ce cas: - soit il est re-programable une autre lambda via boitier externe, dans quel cas une fois insere dans un equipement L2/L3 ca se comporte comme un S/XFP ordinaire - soit on parle de WDM actif ou les optiques a lambda adaptable existent bel et bien (mais sont pas necessairement S/XFP). Dans quel cas pas de L2/L3 en general. Ou alors l'equipement qui fait L1 (transmission/WDM) , L2 (switching) et L3 (routing) en meme temps existe (et peut s'acheter a moins d'1MEUR) ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Solution la plus efficace pour servir plusieurs clients fibre dans un batiment
On Thu, Jan 15, 2015, at 15:25, David Ponzone wrote: Ok mais faut quand même que tu transmettes sur 4 lambdas différents si tu as 4 SFP connectés à ton mix CWDM passif non ? Donc MUX, donc la partie adaptable ne s'applique pas (sauf si tu veux faire des choses vraiment crades). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Agrégat de deux accès CEE ou CELAN
On Thu, Jan 15, 2015, at 10:03, David Ponzone wrote: -côté backbone, LAG/LACP entre les 2 VLAN livrés par Orange ? Parce que le LAG entre 2 VLAN, j’ai pas trouvé de littérature dessus. Les 2 VLAN tu les rallonges sur 2 ports differents, qui rentrent dans qui equipement qui fait le LACP. Ca peut bien etre une trombonne sur le meme equipement. Bien-sur c'est une solution abominable. Par contre un peu moins abominable c'est pour faire 2 x LAN2LAN entre 2 sites. La, ca commence a etre envisageable. Comme d'hab, pas de CEE; CELAN only. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Agrégat de deux accès CEE ou CELAN
On Thu, Jan 15, 2015, at 12:41, Sebastien Lesimple wrote: Sur le papier ca marche avec CELAN, mais personne ne semble avoir essayé dans la vraie vie. Parce-que c'est moche ? Parce-qu'en EFM cuivre ca risque d'etre un peu plus complique (donc ca marche uniquement en livraison eth)? Parce-que finalement l'ECMP peut resoudre plus facilement la plupart des problemes ? Parce-que MLPPP peut resoudre le reste des problemes ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Agrégat de deux accès CEE ou CELAN
On Thu, Jan 15, 2015, at 13:02, David Ponzone wrote: http://www.cisco.com/c/en/us/td/docs/routers/asr9000/software/asr9k_r4-3/lxvpn/configuration/guide/lesc43xbook/lesc43lbun.html#74433 La c'est pas bundle de VLAN mais VLAN/dot1q over bundle de ports --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: RE : [FRnOG] [TECH] Solution la plus efficace pour servir plusieurs clients fibre dans un batiment
On Thu, Jan 15, 2015, at 14:49, Ville numérique wrote: Apparemment cela a évolué : il y aurait des xfp (tranceivers) adaptables (en réception uniquement ?). Il faudrait que je vérifie auprès de nos Une vaste majorite de transcievers (tous formats) ont la partie reception dans une bande assez large, leur permettant de recevoir sur n'importe quelle longueur d'onde. Sans multiplexage, on peut mettre bout a bout des optiques pour des canaux differents et ca fonctionne. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Agrégat de deux accès CEE ou CELAN
On Thu, Jan 15, 2015, at 13:04, Sebastien Lesimple wrote: J'ai la capacité d'avoir des liens Ethernet entre deux points; Si je ne peux pas avoir la bande passante requise sur un seul lien, qu'est ce qui m'empeche de faire du LAG/LACP avec deux liens Ethernet? Tu n'a pas 2 liens Ethernet ( = 2 x PtP = 4 ports). Tu a une espece de point-a-multipoint. Si tu veux un LAG/LACP, termine les deux service sur deux ports ( = trombonne ou autre equipement). Sinon, ECMP. Ou fibre. OK, je sors --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH]
On Thu, Jan 8, 2015, at 23:27, Nicolas Planchenault wrote: en mesure d’accepter dans ses PM et un fournisseur de jarretière optique qui ne demanderait pas d’acheter 1 km de fibre pour faire des jarretières aux couleurs fantaisistes. vendredi Ton fournisseur habituel + Castorama/Bricorama pour un pot de peinture ? /vendredi --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Problème ip route subnet
On Wed, Jan 7, 2015, at 13:49, Sébastien 65 wrote: C'est bien ça mon problème, je ne peux pas changer le subnet. Il faut que le routeur (R2) soit joignable en 192.168.1.X; idem si je rajoute un routeur R3, etc... Si tu est a plus de 100% sur de ce besoin: - proxy-arp sur R1 - change le netmask sur l'interco en /30 ou met de nouveaux IP/mask qui sont tous les deux dans le meme subnet (voir mon mal precedent). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Problème ip route subnet
On Wed, Jan 7, 2015, at 13:42, David Ponzone wrote: Pas mieux :) Tu peux peut-être t’en sortir avec du proxy-arp sur R1, mais beurrrkkk. Le 7 janv. 2015 à 13:32, Sebastien Lecomte sebastien.leco...@pacwan.net - R1Vlan102 = 192.168.**2**.102/31 (gateway du R2) Le 102 connecte un routeur (R2) : 192.168.**2**.101/31 Apart ca: - 192.168.1.101/31 c'est .100 et .101 - 192.168.1.102/31 c'est .102 et .103 = .101/31 et .102/31 ne sont pas dans le meme subnet Mais vraiment, prends un nouveau subnet (a l'exterieur du 192.168.1.0/24) , mets les deux routeurs bien a l'interieur de ce nouveau subnet et modifie tes routes en consequence. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Treve des confiseurs - Reseau FT.
On Fri, Dec 19, 2014, at 12:16, Virginie Ramahefason wrote: Gel Orange du 12/12 au 05/01/2015 mais pas d'infos sur un arrete prefectoral Ah bon ? Moi on me parlait de gel SI et reseau de ~15/11 jusqu'a ~15/01. Tout est en coma ou presque chez OWS pendant ce temps. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] C'est nous qu'on est les meilleurs
On Wed, Nov 26, 2014, at 12:21, Frédéric Perrod wrote: Sur la photo, c'est pas Rani, c'est Radu... cf. AG France-IX: http://urlz.fr/Yd9 # tentative de diversion ;) ... plutot ca ( diversion :) ) 1. Il manque les lunettes :) 2. on peut aussi supposer que juste a cote c'etait Xavier Niel avec les cheveux coupes :P . Quand on voit pas le visage on peut tout supposer ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Fourreaux disponibles a Alençon 61, PA Ecouves
On Fri, Nov 14, 2014, at 23:14, Jérôme Nicolle wrote: leur activité d'hébergeur (ils ont un datacenter bien redondé, plusieurs Ah bon ? http://www.societe.com/societe/abf-hebergement-500096052.html et des ressources qui portent peut être un autre nom ;) Comme par exemple ca : fr.aznetworkalencon AZNETWORK SAS 20141022185.74.8.0/22 ALLOCATED PA 201410212a05:47c0::/29 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] 6rd et MTU
On Sat, Nov 1, 2014, at 17:39, Raphaël Jacquot wrote: http://tools.ietf.org/html/rfc4443 on peut voir par l'utilisation du MUST que tout firewall qui dropperait ICMPv6-packet-too-big est mal configuré Oui, mais nobody got fired for dropping all ICMP/ICMPv6. Deja si on commencait a dire aux gens que filtrer sauvagenet l'ICMP (surtout ICMPv6) n'est *PAS* plus securisant, et qu'il sert aussi a bien plus de choses que le legendaire ping de la mort (ca fonctionne encore en 2014 ???). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] WIFI public
On Sun, Oct 26, 2014, at 23:35, Sylvain Tgz wrote: (site web, etc), celle-ci fournira l'adresse IP public, l'opérateur fournira le propriétaire et celui devra ensuite fournir le coupable. Comment est-ce possible si l'identité n'est pas connue ? (concernant De la meme facon comme c'est possible d'identifier un criminel hors-ligne. En plus, avec la geniale invention qu'est le NAT, selon ton scenario (qui est fort probable - uniquement l'addresse IP), la police risque de se retrouver avec la liste de tous les clients etant connectes au hot-spot au moment donne. l'adresse mac, elle peut être usurpée, un coup de ifconfig et c'est réglé) Une identite peut etre volle/forgee, et un numero de mobile peut se voler aussi (tres souvent ca se fait au paquet avec le telephone). D'une autre cote, essaye de remplacer la police (dans le cadre d'une enquete criminelle) avec je ne sais pas quelle autre administration qui peut te demander le meme chose pour une enquete concernant une enquete nettement moins lie a la criminalite. Ce n'est pas un cas courant, mais c'est quelque-chose en theorie possible. On oublie qu'il y a parfois des voyous investi du pouvoir public. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] GS - opérateur
On Mon, Oct 27, 2014, at 11:59, Sylvain Vallerot wrote: Du coup je veux bien une offre pour des câbles 24FO directs vers des racks ou des salles clients (en PV si tu préfères). Tu veux pas par hasard faire un service MMR dans un DC qui a deja des MMR ? (contrairement a TH2). Sinon, il me semble que chez EQX, direct vers des salles/racks clients, ca passe quand-meme par le MMR. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] CIDR FR
On Thu, Oct 23, 2014, at 03:19, Jérôme Fleury wrote: Celle-ci egalement: ftp://ftp.ripe.net/ripe/stats/membership/alloclist.txt Nope. L'alloclist c'est que des allocations, pas les assignments. Et les FAI qui ont une allocation dans un pays (celel du siege par exemple) mais qu'ils utilisent dans d'autres pays, ca existe quand-meme. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] CIDR FR
On Thu, Oct 23, 2014, at 15:22, Nicolas Vivet wrote: Le mieux que tu puisses faire pour avoir une liste à peu près à jour est de prendre tous les préfixes annoncés par des AS considérés comme appartenant à des entités françaises. Tu peux y parvenir en récupérant une liste des AS ici: http://bgp.he.net/country/FR Comme deja explique, c'est une methode foireuse (la plus foireuse je dirais). Il y a surout dans le monde de l'entreprise des AS etrangers qui operent et offrent du service (d'acces) en France. L'AS est assez souvent enregistre dans le pays du siege, sauf pour le cas ou c'est carement marque EU (Europe, non pas Etats Unis). Les faux positifs, on peut laisser tomber, tellement les faux negatifs vont etre nombreux. Le database d'Inetnum (non pas celle des allocations) de RIPE reste le chose le plus acceptable, la vraie solution etant de faire le filtrage au niveau du service avec une base type MaxMind (MaxMind etant assez precis, au niveau de l'IP pres). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] FRNOG 23.0 - EOT
On Thu, Oct 23, 2014, at 15:56, Sylvain Vallerot wrote: le droit à l'image, le respect de la vie privée, les correspondances privées/publiques etc. vie privee dans une conference publique ? Huh ? On doit etre vraiment pas bien dans ce pays. Deja avec les delires type diffamation et/ou droit a l'image. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] CIDR FR
On Thu, Oct 23, 2014, at 21:19, Nicolas Vivet wrote: Ca dépend de ce que tu cherches à faire, pour du filtrage, c'est certainement la meilleure solution. Si tu cherches a filtrer au hasard, oui, peut-etre. Si tu cherches a filtrer francais - definitivement pas. DON'T DO IT ! Surtout pas base sur la liste d'AS. En ce qui concerne la création d'une liste de CIDR, la liste des préfixes annoncés par des opérateurs francais répond à la question. C'est quoi un operateur francais deja ? D'ailleurs c'est quoi un operateur tant qu'on y est. Est-ce que Zayo France c'est Francais ? Est-ce que COLT France c'est Francais ? (AS definitivement pas francais) Est-ce qu'un operateur avec le siege a l'etranger (et l'AS marque a l'addrese du siege) mais avec une entite juridique en France, et avec du personnel technique en France c'est Francais ? Faut arreter de penser que tout ce qui est francais est 100% en France, et/ou que tout ce qui est en France est 100% francais. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] CIDR FR
On Wed, Oct 22, 2014, at 11:22, David Ponzone wrote: Tu cherches une liste des AS français, ce qui est probablement plus facile, et ensuite, pour chaque AS: whois -h whois.ripe.net -T route -i origin -K AS | grep route Pas tout a fait (^W^W^W du tout). Il y a des AS francais qui ont des allocations et/ou des assignments a l'etranger. Il y a aussi des AS etrangers qui ont des allocations et/ou assignments pour la France. Il y a pas mal d'exemples dans tous les cas. Si tu veux une geolog qui marche a peu-pres bien, prends la base MaxMind et fais le check sur le serveur dont tu veux limiter le service. Niveau routage ca veut quasiment rien dire francais. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] CIDR FR
On Wed, Oct 22, 2014, at 11:32, Florent Krieg wrote: Ca m'ait arrivé d'utiliser récemment http://list.iblocklist.com/?list=frfileformat=cidrarchiveformat=gz et http://services.ce3c.be/ciprg/?countrys=FRANCE Tous les deux seulement vaguement corrects. Je connais des blocks clairement francais qui ne se trouvent dans aucun des deux listes. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Mise en œuvre Collecte C2E
On Tue, Oct 21, 2014, at 12:10, slesimple wrote: Si je ne dis pas de bétises, juniper, huawei et cisco ont des CPE qui supportent BSD . BFD :) Meme si c'est techniquement possible, ca ne veut pas dire qu'on a envie de la faire avec quelques centaines de clients. En PPPoE, je peux terminer plusieurs centaines (voir BEAUCOUP plus) de clients en PPPoE avec une configuration minimale sur l'equipement. Est-ce le meme chose est possible avec BFD ? Je doute. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Mise en œuvre Collecte C2E
On Mon, Oct 20, 2014, at 18:28, slesimple wrote: (pas de CoS dans le BBone Orange Si il doit y avoir des raison vraiment particulière a refoutre une couche de PPPoE Sur CEE, definitivement. Entre le MAC-rewrite, MAC-learning (et surtout MAC forgetting), IPv6 qui passe pas, oui, il y a des raisons. Sur CELAN, ca se discute, mais il va y en avoir qui te diront que oui, il faut le faire la aussi (comme presque partout ou tu donnes du IP sur un L2 qui n'est pas a toi). la fragmentation de la MTU en 1492, la zero CoS Nope. Lis les STAS. Tu peux avoir MTU IP a 1500 over PPPoE over CEE (et CELAN tant qu'on y est). Pareil avec la CoS (de facon simplifie, mais quand-meme, et pour plus cher). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Mise en œuvre Collecte C2E
On Mon, Oct 20, 2014, at 11:07, Sebastien Lesimple wrote: rajouter des trucs inutiles a quelque chose qui fonctionne parfaitement bien naturellement. On ne peut pas exactement appeler le CEE quelque chose qui fonctionne parfaitement bien. CELAN c'est autre chose, mais ca reste du transport L2 avec tous les inconvenients classiques. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Lien optique qui clignote.
On Tue, Oct 14, 2014, at 15:36, Frederic Dhieux wrote: Le comportement pourrait faire penser à un optique qui en chauffant perd ses qualités, surtout si c'est de la mauvaise qualité. Je l'ai déjà eu sur du DWDM, mais là c'est plus étonnant. Il y a aussi quelques optiques tres mauvaises (j'ai une marque en tete, details en prive), qui perdent leurs qualites avec l'uptime : il faut les retirer et les re-inserer tous les X mois. Ca resemble un peu. Je mise en tout cas sur l'optique. Au prix des optiques de nos jours, ça vaut le coup de mettre un peu plus cher pour être tranquille ;) Pour des optiques 1G, vu ou sont les prix aujourd'hui, je dirai que le prix vaux plus rien dire. Deja que chez le meme fabricant, meme fournisseur, j'ai les LX sensiblement (~20%) moins cher que les TX.. Si tu as des marques known good, tout devra bien se passer. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Quel mode de bonding pour du multi-switch ?
On Fri, Oct 10, 2014, at 14:08, Olivier Le Cam wrote: Perso, pour du multi-switchs, je set le bonding en active-backup. C'est brutal mais ça fonctionne bien quelque que soit les équipements (carte réseau, switch...), et il n'y aucune config à faire côté switch donc ça ne risque pas de déconner à ce niveau là. On n'a pas plus de débit qu'avec un seul port mais stable/économique/suffisant pour de la HA. sauf si cote serveur tu te trouves avec une carte qui passe au driver link-up des qu'il y a un cable branche (meme si l'autre bout du cable toujours debrnache !!!). J'ai eu droit a ca il y a quelques annees. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
On Thu, Sep 25, 2014, at 09:13, Guillaume Tournat wrote: Donc plus qu'une question de licence, il faudra un modèle avec RAM / cpu / ASIC Le 1000C en appliance physique, ou sinon ça existe en VM Vmware. Cote VM, il me semble que c'est la VM 4 ou 8 cores qui accepte 100 VDOMS. Pas negligeable cote prix, et il faut rajouter le prix de la licence extra VDOM. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
On Thu, Sep 25, 2014, at 08:03, David Ponzone wrote: Oui c’est du viol, mais qui sera justifié par le constructeur parce que ça t’évite de gérer 100 firewall. Donc pour le DAF, c’est toujours moins cher qu’acheter et gérer 100 boitiers HW, et la complexité qui va avec. 11 boitiers x 9 VDOMs chaque. Le calcul devient plus complique. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] L'Adtrap du geek barbu
On Thu, Sep 25, 2014, at 08:11, Michel Py wrote: lookup dans la TCAM; Tu as du 7600 ou 6500 chez toi ? Parce-que les 800/1800/1900/2800/2900 - niet TCAM. Lea serie 3000 ca devient deja encombrant et bruiant et toujours pas de TCAM. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Thu, Sep 25, 2014, at 14:25, Emmanuel Thierry wrote: Autrement dit, il est tout à fait logique d'utiliser des scopes en adressage public (le nommage est abusif, car qui dit public dit tout le monde le voit donc annoncé. Je préfère parler de bloc sans overlap, c'est plus clair à mon sens) pour des usages privés. Je pense que la bonne dénomination est routables sur Internet, à la différence des RFC1918 qui sont non routables sur Internet Non, la definition correcte est globalement uniques, contrairement aux RFC1918, qui ne sont PAS globalement uniques, et qu'il convient de ne pas annoncer sur Internet (mais ils sont bien routables sur Internet, et annonces de temps en temps a cause de gens qui ont oublie de faire ce qu'il faut. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Wed, Sep 24, 2014, at 13:11, David Ponzone wrote: Le RIPE est censé être le gendarme des IP non ? Non. RIPE NCC est une association (enregistre, statut legal) dont le but est de mettre en ouvre les politiques mise en place par la communaute RIPE. Pas plus. RIPE (sans NCC, la communaute) n'existe pas juridiquement, toute personne ayant acces a Internet et a l'email etant libre de se joindre a la fete. C'est elle qui a le pouvoir de decision. Si ca resemble un peu a l'anarchie, faut se souvenir juste que ca fait plus de 20 and que CA MARCHE comme ca Mais par faute de moyens je pense, ils ne le font pas (pas vraiment). Pourquoi les gros (et moyens) LIR se permettent depuis des années de filer des /29 à des clients SDSL sans même se poser la question de leur besoin réel ? Parce qu'ils peuvent, et parce-que la communaute n'a pas considere jusqu'a maintenant que ca soit un probleme. Et aussi parce-que les gros ont les ressources de payer de gens a veiller pour que ca ne change pas. Rappel: la RIPE NCC GM de Nov 2011, ou ils ont quand-meme reussi a faire passer le mode de facturation meme montant pour tous, peu importe la taille. Ils n'etait pas tous seuls, et contrairement aux petits, ils votaient dans un beaucoup plus grand pourcentage. L’abus (ou incompétence) technique devient un avantage commercial. Ca, un peu partout. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Firewall Multi Tenant
On Wed, Sep 24, 2014, at 22:08, David Ponzone wrote: D’après mes recherches, les UTM (hard ou soft) capables de gérer 100 VR sont capables de gérer beaucoup plus de 100Mbps. Mais bon, c’est pas très grave. Pour le DAF, si c'est extremement grave. Cas Fortinet plus bas. -Fortinet: savent faire mais pas eu le temps d’entrer dans les détails pour le moment Le plus petit modele qui supporte 100 VDOM c'est le 1000C (qui fait aussi 20Gbps). Pour avoir les extensions a 100 VDOM (10 de base, premiere pour 11-25, 2eme pour 26-50, 3eme pour 51-100), les licences coutent presque 3 fois plus que le boitier. Financierement c'est du viol. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Mon, Sep 22, 2014, at 22:46, Jérôme Nicolle wrote: - Pour des VPN [non publics] - Pour des réseaux privés susceptibles de s'interconnecter à d'autres réseaux [non publics] - Pour éviter d'avoir à renuméroter quand tout le monde est en 1918 et doit s'interconnecter Bref, que des cas de réseaux non connectés à Internet (par définition, Les gens ont tendance a confondre publiquement accessible sur Internet avec globallement unique. Les adresses aloues par les RIR (et avant eux par IANA directement) n'ont pas necessairement vocation a etre publiques. Leur vocation est celle d'etre globallement uniques. Permier pas sera donc d'arreter de parler IP publique / IP prive ici meme. puisque les adresses ne sont pas routées). Mais pourquoi donc utiliser des blocs enregistrés auprès de l'IANA ou d'un RIR ? Par ignorance ? Parce-qu'a la base Internet n'etait pas juste le reseau du porn, spam, warez, malware et DoS, mais une interconnexion de plusieurs reseaux. De nos jour, l'aspect interconnexion etre reseaux ne partageant pas les meme politiques a ete un peu oubliee. Ah, tiens, si on mettait les serveurs DNS/AD de la bien-aimee zone .local dans une des reseaux suivants: - 192.36.148.0/24 - 192.112.36.0/24 - 192.5.5.0/24 (joli !!!) - 192.228.79.0/24 - plein d'autres reseaux commencant par 192.petit numero Huh quoi ? 192.*.*.* c'etait pas tout reserve pour des IP privees ??? Le problème de base est celui de l'unicité de l'adresse. Le registre global d'Internet est bien géré et permet de garantir qu'un bloc n'est pas assigné deux fois. Autant utiliser un registre existant, non ? Mais ça, c'était avant. Là, il y a pénurie. Penurie de quoi ? D'adresses RFC1918 ? C'est hyper-rare. Parce-que le reflexe a la mode aujourd'hui, c'est de mettre systematiquement et sans possibilite d'appel des RFC1918 partout. Le NAT c'est bien-sur le holy grail, meme pour des services qui doivent etre accessibles depuis l'internet par design. - NAT : dans ce cas le masquage d'adresses publiques par des adresses du réseau privé est un problème bien réel dans certains réseaux qui ont numéroté au pif sans respecter les RFC. Parfois aussi dans d'autres qui respectent au moins le RFC1918. - Passerelles applicatives : les proxy sont parfaits pour lier le web, le mail, la voix et bien d'autres services dès lors qu'ils sont nommés au moyen d'un espace sans collision, c'est à dire par DNS et non par Notre produit fait tout (sauf les choses auxquelles le marketing n'a pas pense. Expliquer aussi SSH au marketing que le sans le trafic marque rouge-danger dans l'IDP/IPS/FWNG (coucou PaloAlto) il y a des gens (dont les marketeux eux-memes) qui vont au pole emploi. J'y vois d'ailleurs un autre avantage : ça permet d'avoir une chaine de confiance intégrale dans l'ensemble du réseau, puisqu'on peut déployer RPKI+ROA et DNSSEC, voir systématiser SSL quitte à recourir aux proxy, de bout en bout dans un environnement contrôlé bien plus facilement qu'on ne le ferait sur Internet. ??? Il est donc techniquement facile d'interconnecter les services de deux réseaux, mais pas possible simplement d'interconnecter les réseaux eux-même. Quoi qu'il arrive, ca finit toujours par la casse des bien detestees addresses publiques^Wglobalement uniques. de l'un à l'autre (log des proxy). C'est d'autant plus heureux qu'un réseau bien conçu, avec adressage et nommage donc, sera facile à renuméroter. Il y a d'ailleurs même au moins un protocole basé sur le concept de séparation de l'adresse logique et physique : LISP (RFC 6830). On ne doit pas vivre sur la meme planete. Sur la mienne, le permier consultat externe qui passe (et qui a forcement raison, parce-qu'il est consultant) va expliquer les bien-faits des addresses IP en dur et de l'addressage RFC1918, meme pour des services qui DOIVENT etre exposes a des tiers. avoir lieu bien avant) : virer les adresses en dur, tout nommer sur le DNS. C'est d'ailleurs une recommandation forte, à défaut d'être considéré comme obligatoire De ce cote de l'univers, il y a plutot le DSI qui decrete on touche rien; ca fait 10 ans que ca marche comem ca et c'est tres bien. pour le déploiement d'IPv6 en entreprise. IPvquoi ? Dans la meme serie: 640K should be enough for everyone. Mon reseau IPX repond a tous nos besoins. Je vois pas l'interet de l'IP. En plus ,de nos jours on m'explique que Il va falloir attendre longtemps avant qu'un client (TPE/PME) demande de l'IPv6, et que donc pas besoin. Après tout, des machines qui ne supportent pas CIDR, ni le NAT, ni le nommage DNS, ni IPv6, c'est tellement vieux que c'est même plus sous contrat de maintenance, donc qu'on ne peut plus les utiliser dans une entreprise sérieuse, non ? La machine, oui,ok. Par contre l'appli qui tourne dessus, c'est parfois une totalement autre histoire. Du coup, quand on me dit qu'il est normal d'adresser un LAN _non connecté à Internet_ avec des IP publiques, que dois-je en déduire ? non
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Tue, Sep 23, 2014, at 13:11, Radu-Adrian Feurdean wrote: Les gens ont tendance a confondre publiquement accessible sur Internet avec globallement unique. ... puisque les adresses ne sont pas routées). Mais pourquoi donc utiliser des blocs enregistrés auprès de l'IANA ou d'un RIR ? Par ignorance ? Parce-qu'a la base Internet n'etait pas juste le reseau du porn, spam, warez, malware et DoS, mais une interconnexion de plusieurs reseaux. De nos jour, l'aspect interconnexion etre reseaux ne partageant pas les meme politiques a ete un peu oubliee. Pour clarifier un peu mes propos, imaginez un instant une entite (boite, administration, .), qui n'a variment rien a faire de l'Internet (le vrai), mais qui doit s'interconnecter avec quelques centaines (voire milliers) d'entites externes. Une partie de ces entites sont de taille comparable, voire parfois superieure. Traduction barbare : mon 10.10.10.1 doit parler avec ton 10.10.10.2 x 1000. Bien-sur dans chaque cas, il y a X adresses d'un cote qui doivent communiquer avec Y adresses de l'autre, et que bien-sur, ca se passe pas dans un seul endroit, mais dans plusieurs. Les autres entites connectes ne veulement pas se parler entre eux non-plus (ou pas via l'entite a laquelle se conenctent tous). Les interconnectes etant divers et varies, certains peuvent bien vouloir interconnecter toute ou une partie de leur infra au vrai Internet, certains non. On a de facto un internet parallele, avec les bonnes pratiques et l'experience du vrain internet en moins. Sauf si l'entite en question decide justement d'utiliser toute la connaissance aquise sur le vrai Internet et de la transposer sur le sien. Voila comment on peut arriver a utiliser des adresses globalement uniques (aussi connues sur le nom IPs publiques) pour des reseaux qui ne sont pas visibles sur le vrai Internet. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Adresses publiques non annoncées : légitime ou pas ?
On Tue, Sep 23, 2014, at 14:33, Clement Cavadore wrote: - Et ce n'est pas juste un cas d'école, ca existe vraiment, j'ai bossé sur certains réseaux dans ce genre genre (réseaux financiers, notamment). Il n'y a pas que des IP du marais là dedans, il y a même des IP de LIR ou des blocs PI récents. Meme le cas d'ecole, de memoire est bien reel: le 51/8 de la secu britannique. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Remote console
On Wed, Sep 17, 2014, at 00:11, Pierre Colombier wrote: une rhaspbery pi, un ou des hub usb Des cables usb/rs232 ensuite ssh sur le machin et screen /dev/ttyUSBx baudrate ... et en bonus tu as aussi un spagetti monster dans la baie ... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Lien Layer 2 entre un centre Orange et un DC
On Wed, Sep 17, 2014, at 16:24, David Ponzone wrote: Ben…Orange :) Ok je sors. Du style un CELAN vers ton POP principal a Paris :P --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Lien Layer 2 entre un centre Orange et un DC
On Wed, Sep 17, 2014, at 16:32, David Ponzone wrote: L2 qui arrive par un autre carrier directement sur un de leurs équipements. ... s'il y en a un dans le SRHD en question Maintenant c'est moi qui sort .. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Devis SDSL
On Sat, Sep 13, 2014, at 12:04, Jérôme Nicolle wrote: Tu parles du 888E ? Déjà EOS ?! Oui. EoS annonce en fevrier, plus en vente depuis fin aout. Il restent les stocks des brokers a devaliser. Ou payer l'amende en passant sur 888AE. Pas d'accord. Le CEE a son intérêt : comme tous tes liens arrivent dans le même VLAN, tu monte du PPPoE et tu n'as qu'une IP à fournir par lien, pas de subnet d'interco sur chaque VLAN. Pas touche du Cisco qui fait du PPP depuis des looongs annees, mais de memoire le PPP, etant - duh - point-a-point, permettait d'avoir des IP qui ne sont pas dans le meme subnet des deux cotes. Genre tu files des IP plus ou moins au hasard aux clients, et cote gateway tu mets unnumbered lo0 ? Ca ne marche plus comme ca de nos jours ? dessus pour arriver à la même économie. En prime, ça se mutualise comme une CIPA, voir tu n'as rien de plus à faire pour livrer des ADSL, SDSL et FTTO sur la même porte. Huh ? ADSL ou SDSL/ATM sur porte CEE ? Ou dans l'autre sens ? Bref, à choisir sur un nouveau déploiement, et vu la différence de prix par lien, je suis quand même tenté de partir sur du CEE pour du SDSL pas trop cher. Vu la difference des prix (CELAN - CEE) sur l'ensemble des configurations, j'ai tendance a dire que les gens ayant fume des choses toxiques sont passes par la aussi. On est plus vendredi, mais j'ai quand-meme l'impression que parmi autres choses, compliquer de facon maximale le deploiement IPv6 est parmi les objectifs de l'offre. Il n'est pas disponible en natif (explicit dans les STAS), le PPPoE est intercepte (donc faut s'attendre a tout a n'importe quel moment), c'est juste du 6rd ou 6in4 sur lesquels on peut vraiment compter avec cette offre. Ca, sans mentionner les WTF? classiques (vlan sur l'access, CoS totalement a la con, MAC rewrite, STAS sur lesquels tu ne sais pas combien de temps tu peux compter - version provisoire avant la phase pilote, ..) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Devis SDSL
On Fri, Sep 12, 2014, at 23:17, slesimple wrote: Ouais c'est le problème de la voiture Italienne rouge et jaune au prix de la deuch, ca pas exister dans la vraie vie ;) Sisi, ca existe : http://www.voiture-france.fr/img/FIAT-Panda-Rouge-Berline-14970.jpg Je suis d'accord sur CELAN Vs CEE, cependant concernant les substances, j'ai bien peur que ce soit le contraire! A mon avis c'est un coincé du c.l qui nous a pondu le CEE et dans la couleur en plus lol!!!. CELAN ca peut eventuellement poser des problemes cote finances (surtout en national), mais techniquement c'est presque irreprochable. Techniquement le CEE http://www.you-can-be-funny.com/images/drunk24.jpg ou http://img.izismile.com/img/img5/20120530/640/hilarious_drunk_and_wasted_people_part_4_640_09.jpg Quand a la difference de prix pour 4 Mbps (comparer avec le meme chose en 1, 8,12, et 16 Mbps), je sais pas laquelle des equipes marketing a consomme plus de plastique avec LSD. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Le pare-feu du geek barbu
On Sat, Sep 13, 2014, at 04:36, Michel Py wrote: A part le pare-feu d'Office libre, quel logiciel(s) le geek barbu installe ? Pas taper, pas taper. Aïe ! Aucun. C'est livre de base avec l'OS. Bon un peu de sérieux même pour trolldi, à part pfsense, il y à quoi ? IPtables ou PF clean ? Un peu plus trollesque : est-ce que c'est nécessaire ? - La machinbox est raisonnablement sécurisée. - On a bouché les trous et pas ouvert de nouveaux genre uPNP. - Tout le reste est derrière le pare-feu diode de NAT. - Tous les machins qu'on s'évertue à bloquer au bureau (la mule, le torrent, les jeux, SSL ouvert vers l'extérieur, les tunnels et autres VPN de tout poil) on va les ouvrir à la maison. Est-ce qu'un pare-feu est vraiment nécessaire ? Pas beaucoup. Quelques protections de base contre le nuisances et/ou pour proteger les autres personnes trainant dans la maison du geek, mais ce qui est livre de base avec l'OS (voir plus haut), ca doit suffire amplement. PS: je m'abstiens toujours a faire des commentaires sur le fait d'avoir *TOUT* (router/FW, AP WiFi, switch, Media player, serveur, ) sur le meme equipement. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] RFC 7342: Practices for Scaling ARP and ND in Large Data Centers
On Fri, Sep 12, 2014, at 11:06, Pierre-Yves Maunier wrote: Variante sur cette architecture (non mentionnée dans le RFC mais que j'emprunte à Vincent Bernat), annoncer dans le protocole de routage interne une route par machine (un préfixe /32 en IPv4 et /128 en IPv6). Cela résoud ce problème et permet de tout faire en L3, mais, si on a des centaines de milliers de machines, le protocole de routage va souffrir. Sinon pour soulager le protocole de routage, une solution : des top of racks faisant du routage, un subnet par rack : disons un /26 par rack pour 100 racks. Tu configures tes TOP of rack pour n'annoncer que son /26 vers l'agrégation bien que lui connaitra les 64x/32 Une autre vision qui peut rendre les choses un peu plus compliques: - au minimum, plusieurs dizaines de VLANs (disons ~50-60). Si vous aimes pas VLANs, pensez a zones de securite. - entre 5 et 25 machines par VLAN. - les machines dans des VLANs differents communiquent uniquement si autorise sur les FW. - les machines dans un meme VLAN sont repartis en priorites dans des racks differents (probablement parce qu-ils remplissent des roles identiques ou assez similaires - on a une baie qui saute, on perd seulement 1-2, max 3 machines ayant le meme role). - dans une meme baie, il y a potentiellement n'importe quel (lire *TOUS* les) VLAN qui est(sont) disponible(s). - on ne veut pas faire tourner du daemon de routage sur les machines - il y a plusieurs sites, et au moins on evite comme la peste les VLANs cross-site (a.k.a. niveau 2 etendu). On fait comment ? En etat, ca fait pas beaucoup, mais quand on pense que le nombre et VLAN et/ou le nombre de machines par VLAN peut exploser assez facilement, ca change les choses. Le concept des VLAN = zone de securite est difficilement revisable dans certains endroits (ca peut necessiter plusieurs pannes majeures et/ou le licenciement de plusieurs personnes au technique - punir les innocents - avant d'etre pris en compte). --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Devis SDSL
On Fri, Sep 12, 2014, at 09:54, slesimple wrote: - Beaucoup de réponses à base de C2E sont faite avec empilement modem + routeur (+ onduleur). iTAS+RBL750; RAD+Ubiquiti ERLite-3; RAD+merci de tagger le trafic avec VLAN2900; voir encore plus exotique... Vous savez qu'il existe des modem qui gèrent ça proprement pour pas trop cher? La Rolls Cisco en refurb est abordable, mais il en existe d'autres pas cher du tout et qui vous éviteraient un bon gros paquet d'emmerdes quand même. Si la situation est telle qu'elle est, il faut quand-meme remecier Cisco, qui vient juste d'arreter LE routeur ideal pour du CEE il y a pa peine quelques semaines (EoSales 22/08 de memoire). Ce qui reste dans leur gamme, c'est au minimum ~25-33% plus cher (selon vendeur). Je comprend mieux les posts de certains ces 3 dernières années sur le sujet des config CEE/CELAN! Pas confondre les deux. CELAN c'est de emmerdes en moins, mais pour plus cher. CEE c'est une base de CELAN + bridages de tout sort imagines par des gens ayant consomme des substances interdites en quantite. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [TECH] RFC 7342: Practices for Scaling ARP and ND in Large Data Centers
On Sat, Aug 30, 2014, at 10:39, Vincent Bernat wrote: Bah, pourquoi pas. Ça dépend combien tu as de machines. Il y a pas mal de switchs ToR qui sont capables d'avoir beaucoup de routes (souvent le Si ca n'oblige pas a avoir un quagga/bird/exabgp/ sur chaque serveur/VM, oui, pourquoi pas. Et tant qu'on y est, j'avais une autre idee, j'avais meme vu un article quelque-part a ce sujet mais je n'arrive plus a trouver le lien. On part du postulat que les machines dans un rack ne sont pas forcement dans le meme subnet, mais que des machines dans le meme subnet se trouvent dans des racks differents. L'idee est que chaque ToR porte l'IP du default gateway pour chaque subnet. Les addresses avec une entree ARP valide sont redistribues en BGP, et dans chaque subnet il fait du proxy-ARP pour les IP dont il a une route recue d'ailleurs. Est-ce que c'est juste une idee dans le vent, ou il y en a bien des constructeurs qui permettent de faire ca ? En IPv4, bien-sur; en v6 c'est beaucoup trop simple avec le off-link. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] RFC 7342: Practices for Scaling ARP and ND in Large Data Centers
On Sat, Aug 30, 2014, at 11:42, Pierre-Yves Kerembellec wrote: Exactement. On remplace une table L2 (ARP) par une table L3 (IP) tout simplement. Les 2 étant gérées en hardware dans les routeurs/switches depuis des années, cela ne pose pas de problème … et apporte beaucoup de souplesse et moins de soucis Cf. mon precedent mail, y-a-t'il possibilite d'integrer les deux de facon intelligente ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un remplaçant a ma Sup720-3BXL ?
On Sat, Aug 30, 2014, at 22:09, Michel Py wrote: RSP720-10G-XL çà ressemble furieusement à VS-S720-10G-3CXL et 7603-S à 6503-E. Je ne vois pas d'équivalent 7600 pour la VS-S2T-10G-XL, ceci dit. La, non, pas d'accord. Pour digerer des full-views, la RSP720 est plutot comparable au SUP2T. C'est en effet l'intermediaire qui manque sur les 6500 entre SUP720-3CXL et SUP2T. Le CPU du 2T ou presque et la PFC sup 720-2CXL (ca apporte quoi la PFC4 pour quelques pauvres Gbps ?). Si c'est pour faire quelque-chose de propre, passer sur du ASR9000 (9001) c'est le chose a faire. Si par contre on est pauvre et on veut juste avoir un upgrade a moindre cout (cout aujourd'hui, peu importe les consequences plus tard), le 7600 peut etre envisageable. Le SUP720-3BXL est re-utilisable, la plupart de cartes aussi (mais pas tous). Bon si c'était moi, çà serait entre $5K pour une VS-S720-10G-3CXL broké Tu gagnes 2 ports 10G + le VSS (utilite hautement discutable) et rien de plus. Meme CPU, quasiment la meme PFC/DFC. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un remplaçant a ma Sup720-3BXL ?
On Sat, Aug 30, 2014, at 22:18, Jeremy wrote: Je suis curieux, pourquoi avoir écarté d'office Brocade ? Dans la gamme Pour defendre Fred, il a du passer beaucoup trop de nuits blanches dans $JOB[-1] a cause precisement des equipements Brocade/Foundry (MLX/XMR, mais pas que). Meme si ca fait quelques annees deja, ca laisse des traces. En plus, depuis environ 2 ans j'ai l'impression que cote fonctionalites, ils ne progressent pas vraiment pour une utilisation Internet Border. Bon après, chacun son expérience sur chaque matériel. Voila. Certaines configurations de MLXe/XMR d'il y a environ 3-4 ans etait assez sinistres cote fiabilite. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Un remplaçant a ma Sup720-3BXL ?
On Sun, Aug 31, 2014, at 00:37, Michel Py wrote: Radu-Adrian Feurdean a écrit : Pour digerer des full-views, la RSP720 est plutot comparable au SUP2T. Tu vois quoi comme différence en réèl ? Ca fait gagner quoi la RSP720 sur un 7600 par rapport à VS-S720-10G-3CXL sur un 6500 ? Le CPU de la RP ? - SUP720-3BXL : MIPS 600 Mhz (MSFC3) + PFC3BXL - VS720-3CXL : MIPS 600 Mhz (MSFC3) + PFC3CXL - RSP720 : PPC 1200 Mhz (MFSC4) + PFC3CXL - SUP2T : ??? 1500 Mhz (MSFC5) + PFC4XL Remplacer ses deux Sup720-3BXL par deux VS-S2T-10G-XL çà va coûter ~$20K, aïe. Remplacer ses deux 6503E par deux 7603S brokés çà va couter ~$25K, aïe. Si c'est pour rester sur du 6500, acheter une 6704 (avec CFC) c'est nettement moins de 10K. Ou alors, multiplier les liens 1G et jouer avec les divers sorties. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Compatibilité MPLS entre Juniper - Cisco
On Fri, Aug 29, 2014, at 14:15, Raphael Maunier wrote: Je ne connais pas le cpu de l'asr mais c'est clair que le cpu de mon téléphone est plus puissant que celui du mx80 :) On est encore vendredi, donc un minute de silence pour les gens qui utilisent encore du SUP720, svp. Oui, ca existe encore, et la comparaison avec un Blackberry vieux et pourri a de l'effect. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Compatibilité MPLS entre Juniper - Cisco
On Fri, Aug 29, 2014, at 14:37, Frederic Dhieux wrote: Après pour moi l'ASR 1K c'est plus du CPE que du core backbone. +1 J'ai rate quelque-chose cote prix, ou on entend pas le meme chose par CPE ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Compatibilité MPLS entre Juniper - Cisco
On Fri, Aug 29, 2014, at 23:00, Fabien DEDENON wrote: Ca tient encore la full en 3bxl, rien de honteux d’avoir ‘encore’ ca en prod Honteux.ok, no comment, mais doulereux, certainement. Un transit qui tombe et tu transpires pendant 5 minutes. Ou avec d'autres versions tu sort direct fumer ta clope, ce qui fait exactement le temps de re-calculer la RIB (temps pendant lequel ca fonctionne comme sur un lien satellite charge a 99%). A 257K routes les SUP720-*XL avait probablement du sens. A 450K, pas du tout. Alors a 767K ou meme a 1000K. --- Liste de diffusion du FRnOG http://www.frnog.org/
