[FRnOG] [MISC] Recherche documentation
Bonjour Je suis à la recherche de documentations sur les produits BTI 7000 series avec un OS en 7.x, tout en TL1. Si l'un d'entre vous a cela quelque part, je suis preneur. Merci à vous. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [MISC] Free : perf backbone
On Mon, Nov 25, 2013, at 23:56, Spyou wrote: > On pourrait leur conseiller de peerer un peu pour décharger leurs transits .. Ils peerent bel et bien, mais uniquement en PNI payant :) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] FWSM sur 650x
Bonjour tout le monde, Je cherche des retours d’expérience sur les cartes FWSM pour châssis Cisco 6500. On voudrait utiliser ce genre de carte pour « virtualiser » des firewalls frontaux de bulles clientes en amont du réseau. Nos besoins : connections 10 Gbps, capacité de filtrage de quelques Gbps de trafic IP, virtualisation des contextes clients. Quelqu’un utilise-t-il ce genre de produit déjà ? Que cela donne-t-il ? (souplesse de gestion, fiabilité, stabilité) Sachant que nous hésitons entre les solutions suivantes : - FWSM mutualisé sur les 6500 pour tous les clients - Chassis ASA 552x pour chaque client - Firewall typé open-source (PF/IPtables) mutualisé - autre ? Merci pour vos retours, Très bonne journée, Gaëtan Allart - Nexylan --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Je commence par le fait que les FWSM est EoS depuis 2012 (announce - mars 2012, last order date - Sept 2012) On Tue, Nov 26, 2013, at 11:55, Gaëtan Allart wrote: > Nos besoins : connections 10 Gbps Mauvaise choix pour du 10G. Les FWSM ont une connexion vers le chassis 6x1G via le backplane, donc exit les (Nx)10Gbps. Meme comme ca, atteindre les 6Gbps c'est du reve. Autre chose, ils partagent l'alimentation avec le chassis et rien d'autre; ils fonctionnent avec leur propre code. Ca synchronize strictement rien avec le chassis. > Quelqu’un utilise-t-il ce genre de produit déjà ? Que cela donne-t-il ? > (souplesse de gestion, fiabilité, stabilité) Bof, ca rappelle un hybride entre du vieux PIX et ASA. > Sachant que nous hésitons entre les solutions suivantes : > > - FWSM mutualisé sur les 6500 pour tous les clients > - Chassis ASA 552x pour chaque client Vu comme ca, regarde eventuellement les modules ASA pour 6k5 (heritiers des FWSM). Si les 10Gbps sont cote client, oublie les 5520 aussi, pas assez puissant. > - Firewall typé open-source (PF/IPtables) mutualisé > - autre ? Si tu veux vraiment du 10Gbps, surtout Nx10G, regarde du cote de Fortinet. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [MISC] Visite de datacenter pour étudiants en administration sys. et réseau
Bonjour, Je suis le responsable (et aussi enseignant) de la licence professionnelle administration des systèmes et réseau de l'IUT de Sénart. J'écoute cette liste depuis longtemps, sans avoir eu besoin de poster mais elle est très intéressante pour moi afin de me tenir au courant en plus de nos contacts maîtres d'apprentissage ou amis dans le métier. L'année dernière nous avons intégré la visite d'un datacenter "free cooling" en région parisienne avec un grand succès auprès des apprentis et des adultes en formation continue sous forme d'un "projet". Je profite de cette liste pour vous demander si vous pourriez m'aider à monter une visite "avancée" (avec rencontre d'administrateurs si possible) d'un datacenter, si possible en Ile-de-France. Merci d'avance pour vos propositions, -- Julien BREYAULT, enseignant Responsable de la licence pro. admin. sys/réseau IUT de Sénart --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DC Cogent en province
On 25 Nov 2013, at 21:40, Vincent Alamome wrote: > Bonjour, > Salut > Nous sommes un petit opérateur en province. > > Nous avons déjà une baie à TH2 avec une porte de collecte chez SFR, un LNS et > deux serveurs sous VMWare et une baie de disques faisant tourner RADIUS, DNS, > relais SMTP, etc... > Nous avons environ 500 liens sur cette installation. > > Nous souhaitons sécuriser cette installation avec une porte de collecte dans > un autre data center et faire de l'hébergement de serveurs. > Pour se faire, nous souhaitons avoir cette nouvelle installation plus proche > de nous et nous sommes en train d'étudier les DC de chez COGENT, à Nantes ou > Rennes ou un NetCenter SFR. As tu essayé de te rapprocher d'Oceanet Technology du coté de Nantes ? Même s'il sont concurrent de par leur activité ils ont maintenant leur propre DC en plus d'être chez des opérateurs en local > > Avez-vous un retour d'expérience de ces DC chez COGENT ? > > Merci de vos avis. > > Vincent > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] DC Cogent en province
Le 25/11/2013 21:40, Vincent Alamome a écrit : Bonjour, Nous sommes un petit opérateur en province. Nous avons déjà une baie à TH2 avec une porte de collecte chez SFR, un LNS et deux serveurs sous VMWare et une baie de disques faisant tourner RADIUS, DNS, relais SMTP, etc... Nous avons environ 500 liens sur cette installation. Nous souhaitons sécuriser cette installation avec une porte de collecte dans un autre data center et faire de l'hébergement de serveurs. Pour se faire, nous souhaitons avoir cette nouvelle installation plus proche de nous et nous sommes en train d'étudier les DC de chez COGENT, à Nantes ou Rennes ou un NetCenter SFR. Avez-vous un retour d'expérience de ces DC chez COGENT ? Bonjour, Expérience perso: Très content de Cogent a ce niveau la, on est présent sur 80% de leur DC en France dont Nantes et Rennes pour faire du delivery xDSL/FO, rien a redire a mon niveau. Cela marche, bonne réactivité des équipes support, jamais eu de problème d'accès je n'ai pas eu non plus de coupure electrique. Pas de regret donc .. a si peut etre pour les gestes de proximité car il y a pas souvent es personnes sur place. Par contre, nous avons que des routeurs sur les sites, pas de serveurs ;) Cordialement Jerome SCHEVINGT Merci de vos avis. Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] matinée performance DPDK et NfV
Bonjour, pour les curieux, mercredi 4 décembre au matin, sur Paris, il y aura une présentation incluant le DPDK avec des démos de performance: elle sera hébergée par Redhat et inclura des acteurs majeurs du NfV. Le sujet de cette matinée est "vers une nouvelle ère de l'infrastructure réseau grâce à la virtualisation et au SDN". Détail: c'est gratuit, il faut juste s'inscrire: http://www.nib01.net/acn/USER_966/www/1310_event_4dec/lp.php Le nombre de places est limitée, premiers inscrits, premiers à avoir une chaise. Avant de venir, je vous conseille fortement d'être passé sur le git de http://dpdk.org/ Cordialement, Vincent --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Bonjour, alors déjà, il faut bien voir qu’en FWSM tu as un produit plus simpliste au niveau features qu’en ASA. Si le but reste de faire du firewalling L4 en entrée de DC, ça reste tout à fait acceptable car la souplesse d’utilisation des contextes compensera les petits soucis quotidiens du type “comment faire ci qui était simple sur ASA et nécessite une policy longue à configurer sur FWSM”. Au niveau tenue en charge, FWSM marche bien, j’ai quand même une fois sur un très gros DDoS sur un contexte des impacts sur les autres contextes (la configuration du FWSM n’était pas parfaite, peut être qu’une meilleure configuration aurait aidé) Sur du PF/IPtables, tu auras un mal fou à atteindre les 10G sans mettre les mains dans le cambouis (tuning poussé de l’OS et des conf firewall), ça peut néanmoins être une solution intéressante pour peu que des personnes calées en système soient dispo en interne. 2013/11/26 Radu-Adrian Feurdean > Je commence par le fait que les FWSM est EoS depuis 2012 (announce - > mars 2012, last order date - Sept 2012) > > On Tue, Nov 26, 2013, at 11:55, Gaëtan Allart wrote: > > Nos besoins : connections 10 Gbps > > Mauvaise choix pour du 10G. > Les FWSM ont une connexion vers le chassis 6x1G via le backplane, donc > exit les (Nx)10Gbps. Meme comme ca, atteindre les 6Gbps c'est du reve. > Autre chose, ils partagent l'alimentation avec le chassis et rien > d'autre; ils fonctionnent avec leur propre code. Ca synchronize > strictement rien avec le chassis. > > > Quelqu’un utilise-t-il ce genre de produit déjà ? Que cela donne-t-il ? > > (souplesse de gestion, fiabilité, stabilité) > > Bof, ca rappelle un hybride entre du vieux PIX et ASA. > > > Sachant que nous hésitons entre les solutions suivantes : > > > > - FWSM mutualisé sur les 6500 pour tous les clients > > - Chassis ASA 552x pour chaque client > > Vu comme ca, regarde eventuellement les modules ASA pour 6k5 (heritiers > des FWSM). > Si les 10Gbps sont cote client, oublie les 5520 aussi, pas assez > puissant. > > > - Firewall typé open-source (PF/IPtables) mutualisé > > - autre ? > > Si tu veux vraiment du 10Gbps, surtout Nx10G, regarde du cote de > Fortinet. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Merci pour vos différents retours. A écouter les différents retours d’expérience, j’ai l’impression que l’ASA semble être plus adapté à notre besoin que le FWSM (de toute façon eos). Comment fonctionne leur système de licence ? On paye une licence annuelle en plus du Hard pour pouvoir utiliser plus ou moins de contextes ? Au niveau failover, y’a un système classique de actif/passif entre 2 cartes situées sur des châssis différents (voire sur le même châssis) ? Reste en effet l’option du PF/IPTables. Nous avons les compétences en interne pour avoir une machine configurées de façon très fine au niveau de la stack réseau. Solution à étudier à condition de trouver le bon hardware. Merci encore, Gaëtan Le 26 nov. 2013 à 16:17, Matthieu BOUTHORS a écrit : > Bonjour, > > alors déjà, il faut bien voir qu’en FWSM tu as un produit plus simpliste au > niveau features qu’en ASA. Si le but reste de faire du firewalling L4 en > entrée de DC, ça reste tout à fait acceptable car la souplesse d’utilisation > des contextes compensera les petits soucis quotidiens du type “comment faire > ci qui était simple sur ASA et nécessite une policy longue à configurer sur > FWSM”. > > Au niveau tenue en charge, FWSM marche bien, j’ai quand même une fois sur un > très gros DDoS sur un contexte des impacts sur les autres contextes (la > configuration du FWSM n’était pas parfaite, peut être qu’une meilleure > configuration aurait aidé) > > Sur du PF/IPtables, tu auras un mal fou à atteindre les 10G sans mettre les > mains dans le cambouis (tuning poussé de l’OS et des conf firewall), ça peut > néanmoins être une solution intéressante pour peu que des personnes calées en > système soient dispo en interne. > > > > > 2013/11/26 Radu-Adrian Feurdean > Je commence par le fait que les FWSM est EoS depuis 2012 (announce - > mars 2012, last order date - Sept 2012) > > On Tue, Nov 26, 2013, at 11:55, Gaëtan Allart wrote: > > Nos besoins : connections 10 Gbps > > Mauvaise choix pour du 10G. > Les FWSM ont une connexion vers le chassis 6x1G via le backplane, donc > exit les (Nx)10Gbps. Meme comme ca, atteindre les 6Gbps c'est du reve. > Autre chose, ils partagent l'alimentation avec le chassis et rien > d'autre; ils fonctionnent avec leur propre code. Ca synchronize > strictement rien avec le chassis. > > > Quelqu’un utilise-t-il ce genre de produit déjà ? Que cela donne-t-il ? > > (souplesse de gestion, fiabilité, stabilité) > > Bof, ca rappelle un hybride entre du vieux PIX et ASA. > > > Sachant que nous hésitons entre les solutions suivantes : > > > > - FWSM mutualisé sur les 6500 pour tous les clients > > - Chassis ASA 552x pour chaque client > > Vu comme ca, regarde eventuellement les modules ASA pour 6k5 (heritiers > des FWSM). > Si les 10Gbps sont cote client, oublie les 5520 aussi, pas assez > puissant. > > > - Firewall typé open-source (PF/IPtables) mutualisé > > - autre ? > > Si tu veux vraiment du 10Gbps, surtout Nx10G, regarde du cote de > Fortinet. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Le 26/11/2013 17:09, Gaëtan Allart a écrit : Merci pour vos différents retours. A écouter les différents retours d’expérience, j’ai l’impression que l’ASA semble être plus adapté à notre besoin que le FWSM (de toute façon eos). Comment fonctionne leur système de licence ? On paye une licence annuelle en plus du Hard pour pouvoir utiliser plus ou moins de contextes ? Au niveau failover, y’a un système classique de actif/passif entre 2 cartes situées sur des châssis différents (voire sur le même châssis) ? Reste en effet l’option du PF/IPTables. Nous avons les compétences en interne pour avoir une machine configurées de façon très fine au niveau de la stack réseau. Solution à étudier à condition de trouver le bon hardware. Alors les ASA...On est pas mal à penser sur la liste que c'est quand même une horreur à administrer. Je regarderais du coté Juniper SRX, ou Fortigate comme précédemment mentionné. Après si tu as les compétences systèmes qui vont bien, un FreeBSD (avec pfsense ou pas) bien configuré et du bon matériel (aka des cartes Intel) c'est un choix tout à fait justifiable. => https://wiki.freebsd.org/NetworkPerformanceTuning -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
2013/11/26 Gaëtan Allart : > > Sachant que nous hésitons entre les solutions suivantes : > > - FWSM mutualisé sur les 6500 pour tous les clients > - Chassis ASA 552x pour chaque client > - Firewall typé open-source (PF/IPtables) mutualisé > - autre ? Concernant le firewall open-source, pour faire du 10G line-rate (donc 14Mpps) avec un FreeBSD (ipfw ou smp-pf sur la 10.0) il va falloir prévoir pas-mal de cœur (pas moins de 16 je pense). Mes benchs sur un IBM x3550M3 (avec 4 cœurs) donne un firewall qui tiens la route pour du line-rate 1Gbs (1,48Mpps) avec ipfw en stateless mais pas plus (et la version netmap-ipfw qui pousse à 6.5Mpps n'est pas prête). http://dev.bsdrp.net/benchs/BSD.network.performance.TenGig.png Cordialement, Olivier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Sinon Asa … Tu peux préparer ta lettre de DEM la poser sur le bord de ton bureau et t’en servir le jour J :) Pour la partie SRX, c’est du bon HW mais à configurer c’est pénible au possible et le mode de licence est pour le moins original ! Je pencherais plutôt pour du Stonesoft pour l’IHM ( genre la gestion des correlations des règles entre plusieurs fw) , Fortinet pour la simplicité et le prix , SRX pour le cli quand tu as besoin de debug ou d'automatiser des “trucs” ( et pas du tout l’IHM qui est une infâme bouse ) On 26 Nov 2013, at 17:19, Raphael Mazelier wrote: > Le 26/11/2013 17:09, Gaëtan Allart a écrit : >> Merci pour vos différents retours. >> >> A écouter les différents retours d’expérience, j’ai l’impression que l’ASA >> semble être plus adapté à notre besoin que le FWSM (de toute façon eos). >> >> Comment fonctionne leur système de licence ? On paye une licence annuelle en >> plus du Hard pour pouvoir utiliser plus ou moins de contextes ? >> Au niveau failover, y’a un système classique de actif/passif entre 2 cartes >> situées sur des châssis différents (voire sur le même châssis) ? >> >> Reste en effet l’option du PF/IPTables. Nous avons les compétences en >> interne pour avoir une machine configurées de façon très fine au niveau de >> la stack réseau. Solution à étudier à condition de trouver le bon hardware. >> >> > > Alors les ASA...On est pas mal à penser sur la liste que c'est quand même une > horreur à administrer. > Je regarderais du coté Juniper SRX, ou Fortigate comme précédemment mentionné. > > Après si tu as les compétences systèmes qui vont bien, > un FreeBSD (avec pfsense ou pas) bien configuré et du bon matériel (aka des > cartes Intel) c'est un choix tout à fait justifiable. > => https://wiki.freebsd.org/NetworkPerformanceTuning > > -- > Raphael Mazelier > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
Le 26/11/2013 21:11, Raphael Maunier a écrit : Pour la partie SRX, c’est du bon HW mais à configurer c’est pénible au possible et le mode de licence est pour le moins original ! Qu'est ce que tu trouve pénible à configurer ? long et verbeux je veux bien, mais ça ce scripte assez bien. Je pencherais plutôt pour du Stonesoft pour l’IHM ( genre la gestion des correlations des règles entre plusieurs fw) , Fortinet pour la simplicité et le prix , SRX pour le cli quand tu as besoin de debug ou d'automatiser des “trucs” ( et pas du tout l’IHM qui est une infâme bouse ) Automatiser, ou lorsque tu as besoin d'une vraie intégration avec ton core (aka avec du vrai routage dynamique). En gros je dirais que SRX c'est un peu un routeur-firewall. Jamais testé StoneSoft, tu peux m'en prêter un ? :) -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
On 26 Nov 2013, at 21:24, Raphael Mazelier wrote: > Le 26/11/2013 21:11, Raphael Maunier a écrit : > >> Pour la partie SRX, c’est du bon HW mais à configurer c’est pénible au >> possible et le mode de licence est pour le moins original ! > > Qu'est ce que tu trouve pénible à configurer ? long et verbeux je veux bien, > mais ça ce scripte assez bien. Les firewalls c’est plus en CLI que ça doit s’administrer :) C’était en 2000 ! Maintenant, les usages ont vraiment évolué et ce que l’on faisait avant, n’est plus ce que l’on fera demain. > > >> Je pencherais plutôt pour du Stonesoft pour l’IHM ( genre la gestion des >> correlations des règles entre plusieurs fw) , Fortinet pour la simplicité et >> le prix , SRX pour le cli quand tu as besoin de debug ou d'automatiser des >> “trucs” ( et pas du tout l’IHM qui est une infâme bouse ) > > Automatiser, ou lorsque tu as besoin d'une vraie intégration avec ton core > (aka avec du vrai routage dynamique). En gros je dirais que SRX c'est un peu > un routeur-firewall. > > Jamais testé StoneSoft, tu peux m'en prêter un ? :) Si tu veux un contact, je peux t’en filer un. J’en ai pas sous la main, mais je conseille fortement ce genre de fw lorsque tu n’as pas beaucoup gars dans le team sécu, tu peux manager vraiment une tonne de fw avec la GUI. > > -- > Raphael Mazelier > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] FWSM sur 650x
> Le 26 nov. 2013 à 21:38, Raphael Maunier < > Les firewalls c’est plus en CLI que ça doit s’administrer :) C’était en 2000 ! > > Maintenant, les usages ont vraiment évolué et ce que l’on faisait avant, > n’est plus ce que l’on fera demain. Je n'échangerais pas la cli de mes SRX contre les infâmes IHM java. Quand il y a un minimum de charge ça fait plouf. En cas de besoin de débug urgent et donc rapide, on oublie tout simplement. Concernant Stonesoft, c'est effectivement une bonne alternative. Cependant, ils ont pris le parti de ne pas avoir de CLI. On est donc contraint de passer par l'IHM centralisée Java. C'est un troll, mais les IHM ça sera valable quand Java n'existera plus. Julien. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] FWSM sur 650x
> Duga (Julien) a écrit: > C'est un troll, mais les IHM ça sera valable quand Java n'existera plus. Je ne vois pas ou est le troll. Java c'est un bousin de dinosaure: comme dans Jurassic Park, une pile de 2 mètres de haut dont même les mouches ne s'approchent pas. Je me rappelle de la première appli Java que j'ai du utiliser: Console 1 de Netware 5. Novell avait était au bord du précipice, avec Java ils ont fait un grand pas en avant. Le dinosaure a un peu maigri, mais pas beaucoup. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
