Hello Nicolas et Matthieu, Intéressantes informations, merci à vous 2.
@Matthieu: C'est plus complexe que cela (pas seulement de l'hébergement de sites web) et Arbor restera de la partie au niveau des transitaires. @Nicolas: Je préfère poser les questions en public parce que ça pourrait servir à d'autres. Est-ce que 6wind peut utiliser de la Tilera, Kalray ou autre afin d'offload sur la carte? Qu'en est-il si au lieu de mettre du Xeon, on part sur de l'AMD (Threadripper ou plutôt Epyc) ? En terme de ram, que recommanderais tu ? Imaginons pour 2 liens fibre optique donc full view... (chaques ports de la carte réseau en 10/25/40 GB). Sur les routeurs hardware, il y a toujours du manque de ram, ici, on peut facilement mettre 64 voir 128GB. Encore merci On Sun, Nov 10, 2019, 16:59 Matthieu Texier <matth...@pragma-security.com> wrote: > J’approuve aussi ce design de routeur logiciel. C’est une bonne solution > que l’on doit positionner à bon escient ce qui semble être le cas ici. Le > rapport cout / performance / souplesse est un avantage dans ce type de > situation. On peut même faire de la télémétrie sur ce type de configuration > de manière tout à fait honorable (mieux que sur un Mikrotik dont la stack > netflow est pour le moins étonnante). > > De plus, je crois comprendre qu’il s’agit d’hébergement de sites qui > prennent du DDoS régulièrement auquel cas, il faudra prendre un protection > anti-DDoS permanente en amont et pas en mode BGP off ramp lors de > détection. Donc le trafic arrivant sur ce routeur sera purgé des attaques à > saturation. > > Maintenant, il faut prendre la problématique dans son ensemble, en déduire > une architecture de bout en bout et un TCO … > > Prêchant aussi pour ma paroisse et n’ayant pas toutes les considérations à > prendre en compte, c’est un avis purement informatif ! > > My 2 cents, > Matthieu. > > > > On 10 Nov 2019, at 22:15, Nicolas Harnois <nicolas.harn...@6wind.com> > wrote: > > > > Hello, > > > >> DDOS == routeur hard. Sans critiquer les gens très motivés come 6wind > qui > > font des trucs sympas avec FRR et DPDK, il n'y a aucun routeur soft qui > ne > > va pas s'effondrer avec une attaque DDOS basée sur PPS. Pas à 40G. > > > > Mais pourquoi? Un peu lassé d'entendre cela! > > Un routeur software peut sans aucun problème de nos jours tenir 40Gbps de > > trafic, et ce avec des paquets de 64B. > > D'une part, la capacité de forwarding d'une stack bien écrite basée sur > > DPDK comme la nôtre (6WIND) ou VPP dépasse les 10Mpps par coeur dédié au > > data plane. > > 40Gbps, c'est 60Mpps @ 64B, donc un XEON pas trop cher fait le job pour > ce > > type de débit. > > > > Ensuite, pour résister à un DDoS, on peut mettre en place des mécanismes > de > > protection d'overload. > > On a déjà implémenté de la QoS ingress software dans notre routeur. En > > gros, on monitore le remplissage de la queue hardware de réception, et si > > on dépasse un threshold, on choisit de préserver les paquets de contrôle > > (BGP, ARP, VRRP, etc.). > > Nous sommes en train d'implémenter un offload hardware de cette QoS > ingress > > (quand les NICs le supporte). C'est à dire que c'est le NIC qui fait la > > classification des protocoles à protéger, et met ces paquets dans une > queue > > dédiée, dépilée par le software en priorité. Une API très complète a été > > développée dans DPDK pour cela (rte_flow pour les connaisseurs). > > > > Bref, en presque 2020, il est grand temps de considérer des routeurs > > software comme alternative crédible au hardware. > > Je prêche évidemment pour ma paroisse, mais le produit pouvant être > évalué > > gratuitement, vous pouvez vous faire vous-même votre opinion. > > D'autant plus que pour du border router, on ne se pose pas la question du > > temps de convergence sur un XEON avec FRR, ni du nombre de routes qu'on > va > > pouvoir installer dans la FIB en 2023... > > > > Nicolas > > > > Le sam. 9 nov. 2019 à 07:21, Michel Py < > mic...@arneill-py.sacramento.ca.us> > > a écrit : > > > >>> Florent CARRÉ a écrit : > >>> En fait, il y a 2M€ déjà prêt pour l'infra totale de base > >> > >> Pour la modeste somme de 400K€ je propose mes services :P > >> > >>> Ça en dit long : entreprise sans équipe réseau. > >> > >> On a un acronyme pour çà sur cette liste : Cloud Hosted Infrastructure > As > >> A Service (C.H.I.A.A.S) > >> (c) (TM) Kevin Chailly, si je me rappelle correctement. > >> La phonétique de l'acronyme a résonné avec pas mal d'entre nous ! > >> > >> 2M€ c'est des cacahouètes sur un campus de taille. Un réseau dans 3 RIR > >> différentes et tu parles de routeur soft ? > >> > >>> Pour le raspi, j'oserais pas > >> > >> A 10 G, moi non plus :P a 100M, je le ferais pas pour la prod, je le > >> ferais à grand risque pour un bouchon de Stroh, si j'ai le temps. > >> > >>> La seule info qu'il a eu de l'infra actuellement louée, c'est qu'elle > est > >>> full Cisco et date d'il y a pas mal de temps (+ de 10 ans) et 0 IPv6. > >> > >> Zéro surprise. Et le problème n'est ni Cisco ni l'âge ni le 0 IPv6. Ton > >> problème, c'est la culture d'entreprise. > >> Infra _louée_ ? Cà me fait bien rigoler, par Toutatis. Oh dans mon > paquet > >> poste ce matin, La fille de Vercingétorix. Il était temps. > >> > >> > >>> Petite histoire, l'extension d'activité c'est le fils qui la prend en > >> main (la > >>> lance en Europe pour commencer) et surtout il ne veut plus que la > partie > >>> historique de son père soit hors contrôle donc tout reprendre de 0 en > >> interne. > >> > >> Je veux pas être méchant, mais je suis pas convaincu par ce que tu as > >> expliqué de ton business model. > >> > >> > >>> PS: Quel est l'avantage d'utiliser vMX vs FRR out autre dans le cas où > >> il n'y > >>> aurait pas l'argent de disponible ou petit trafic ? Lequel serait le > >> mieux ? > >> > >> Dans ma logique, vMX n'a pas de place (sans taper sur le vendeur, pareil > >> pour tout le monde). Soit tu as les sous et tu prends du hard, soit tu > as > >> des centimes et tu prends 6Wind, soit tu vends ton slip pour acheter un > >> serveur d'occase et tu fais FRR. > >> > >> > >>> Trafic: 10G (mais prévoir évolution en 40G) en terme de trafic comme > >> c'est pour > >>> récupérer et étendre l'activité actuelle sachant qu'il y a des ddos en > >> non-stop. > >> > >> DDOS == routeur hard. Sans critiquer les gens très motivés come 6wind > qui > >> font des trucs sympas avec FRR et DPDK, il n'y a aucun routeur soft qui > ne > >> va pas s'effondrer avec une attaque DDOS basée sur PPS. Pas à 40G. > >> > >> > >>> PS2: Netflix utilisent également des AMD et surprend sur les > >> performances réseaux : > >>> > >> > https://www.phoronix.com/scan.php?page=news_item&px=Netflix-NUMA-FreeBSD-Optimized > >> > >> C'est de la VOD, ton truc ? > >> > >> Michel. > >> > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > >> > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
