RE: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius
Bonjour à tous, Une piste très intéressante aussi c'est la solution Aerohive. Qui propose une solution à management dans le cloud (à ne pas confondre avec contrôleur dans le cloud). En d'autre terme c'est une vraie solution "controller less" Si le client n'est pas fan du cloud public, Aerohive propose en VM sa solution de management (Hivemanager) qui peut être déployée en Cloud privée. L'avantage étant que l'interface d'admin et les fonctionnalités sont identiques et on peut passer du cloud public ou cloud privée de façon transparente (export/import de la conf). Avec Aerohive pas de souci de licensing. Si le client ne renouvelle pas les licences, les AP continuent de fonctionner sans problème. Ce que le client perd, c'est le management centralisé des AP. En terme de fonctionnalités pour l'aspect gestion fine des VLAN notamment, Aerohive est très en avance. Lionel SANI -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Arnaud Launay Envoyé : dimanche 8 mai 2016 19:12 À : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] Aruba non conciliant avec les VLAN attribués par freeradius Le Sun, May 08, 2016 at 06:08:43PM +0200, David Ponzone a écrit: > Avec Meraki, il reste le problème de licensing qui t’oblige à dire au > client qu’il devra repayer toutes les X années pour que les AP > marchent. C'est un peu le gros reproche que je leur fais. Non seulement tu payes le matériel aussi cher que les autres, mais en plus, si tu ne veux pas repayer après, tu te retrouves avec un presse-papier. Si tu ne payes plus, que tu n'aies pas accès aux dernières màj, soit, ça ne me choque pas. Que ça se transforme purement et simplement en presse-papier du jour au lendemain, ça l'est. Ou alors, il faut qu'ils mettent le matériel en leasing, support compris, et que tu ne deviennes jamais propriétaire du presse-papier. Arnaud. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Re: Site inaccessible avec le réseau Free (DNS)
Bonjour, Le problème était censé être résolu par Free, mais le site est toujours inaccessible sur le reseau Free. Avez vous une idée ? Merci Le lundi 25 avril 2016, Frédéric GANDER a écrit : > bon on ma dit de regarder ici > donc en résumé: > > - si cache vide requette recursive => réponse correcte des recursifs > > ;; ANSWER SECTION: > test-yann.myshopify.com. 1800 IN CNAME shops.shopify.com. > shops.shopify.com. 1800IN A 23.227.38.69 > shops.shopify.com. 1800IN A 23.227.38.68 > shops.shopify.com. 1800IN A 23.227.38.70 > shops.shopify.com. 1800IN A 23.227.38.71 > > > - on attend 61 seconde et la serverfail et le récursif ne refait pas de > requettes jusqu’à attendre les 1800 secondes (ou 600 si je vire le "force > ttl") > et ca remarche pendant 60 secondes. > > et donc j'ai des question pour mr dns > en regardant de plus prêt > > > dig +trace test-yann.myshopify.com > > > ;; Received 401 bytes from 192.33.14.30#53(b.gtld-servers.net) in 239 ms > > test-yann.myshopify.com. 600 IN CNAME shops.shopify.com. > test-yann.myshopify.com. 600IN RRSIG CNAME 5 2 600 > 20160519013040 20160419013040 12663 myshopify.com. > K3oRwkmXUkzNYbFO1jNLGLrSkhaRRBnKeGvld9YdcZo+nUOpJzGUECTz > rzOTBGpbGXdJB5M3nJ6pebAGpr46m5RkHfG3+FOdgCRS+CG5lpu0+KC8 > w80718ywOFO8LROdIjwmh4swblM+0Aft4o1lj5ChnCBefWgn2Cs4qSqM T0g= > test-yann.myshopify.com. 600IN RRSIG CNAME 5 2 600 > 20160519013040 20160419013040 39852 myshopify.com. > lBsyv5zrQ4twd4LNzLrdQpHWyxL9SQGM2wfhVR/GfnWETXNV3wyW5bIw > RDySbmdRg9RLiz9h1sBFByIeITYEJeKv7daLBZSwoI7551mz0jJX5fMg > EuW7FEFOP25pYb6p5o1r1VFvc47+X8qTLaV5j0Uz+PXJjFBvF7GB4i3g Fb0= > test-winkel.myshopify.com. 60 IN NSECtest1012345.myshopify.com. > CNAME RRSIG NSEC > test-winkel.myshopify.com. 60 IN RRSIG NSEC 5 3 60 > 20160519013040 20160419013040 12663 myshopify.com. > BHS+QE4Pdu0qFdTW2XHN4Z6mbiqu3eb89UhwO3f5/C7WvpQmlNEmuYNl > UlAHgUWbXvCwmDr+9k0bVZuiZh0UuSCppveXWvYzr6nJjCRy5CZoUJy6 > C60Dyt1LfW2kCNTXUdjXVp8HwMlKN0np6jxe2o/ryU/BphzdYA1OEmqp 9/0= > test-winkel.myshopify.com. 60 IN RRSIG NSEC 5 3 60 > 20160519013040 20160419013040 39852 myshopify.com. > I8LqnvjOSLhivVteqv6gqeeytZ9YZU9heYIj/hNfYUz+vOQ2PQBCk7N0 > ujbI9vWpFkj+3YSNnsxBshxjVZfWQoLpCpde8Ir+zP8WK95/04VQBpU1 > HjI7QBAARkPCD0YCnTBYU/hTVe6gcB43c9CFAUaJ5qynRmnTZFIsvtcG Bz8= > ;; Received 831 bytes from 204.13.251.19#53(ns4.p19.dynect.net) in 28 ms > > > > nsec ??? 60 sec ? test-winkel.myshopify.com et test1012345.myshopify.com > ??! > et 60sec > > après je dis pas que unbound ne répond pas de la merde si le domaine est > invalidé mais que fait ce nsec dans les authoritative namesservers ? > > > A+ > > > - Mail original - > > De: "Stephane Bortzmeyer" > > > À: "yann assouline" > > > Cc: frnog-t...@frnog.org > > > > Envoyé: Dimanche 24 Avril 2016 18:20:16 > > Objet: [FRnOG] Re: [TECH] Site inaccessible avec le réseau Free (DNS) > > > > On Sun, Apr 24, 2016 at 03:52:17PM +0200, > > yann assouline > wrote > > a message of 24 lines which said: > > > > > D’où cela peut il venir ? > > > > Et ma synthèse (une fois qu'on connait le nom de domaine en cause, > > l'analyse est bien plus facile) : > > > > http://www.bortzmeyer.org/free-dnssec-reloaded.html > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Comportement VPLS Ethernet
Bonjour la liste, Pour ma première demande, je souhaite vous soumettre une petite bizarrerie. Je suis en cous de diagnostic concernant des saturations de liens ethernet opérés par SFR. L'architecture est la suivante : [cid:22399ea8-05b8-4719-bb9f-34f0739d3da9] Nous utilisons un réseau VPN L2 opéré par SFR en mode ANY2ANY reliant 7 succursales (liens 10Mb) à notre siège (30Mb). Le routage est assuré par nos soins avec notre coeur de réseau CISCO et la fonctionnalité de routage intervlan (1 vlan data et 1 voix affecté à chaque site). Nous n'avons pas mis en placxe de routeur pour les extrémités. Depuis quelques temps nous constatons de grosses saturation sur ces liens. Les graphes de BW indiquent que tous les sites ont a peu près le même taux de charge au même moment. Lorsque je capture le traffic au niveau de la succursale A, je vois le traffic échangé entre la succursale B et le siège (traffic unicast). Mes questions sont les suivantes : Ce comportement vous parait-il normal ? Y aurait-il un détail qui m'échappe dans le fonctionnement de ce réseau opéré ? Merci d'avance pour vos retours éclairés. Cordialement. Guillaume. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement VPLS Ethernet
T’as les STAS du service ou c’est payant chez SFR ? > Le 9 mai 2016 à 15:58, guillaume le provost a écrit : > > Bonjour la liste, > > > Pour ma première demande, je souhaite vous soumettre une petite bizarrerie. > > Je suis en cous de diagnostic concernant des saturations de liens ethernet > opérés par SFR. > > > L'architecture est la suivante : > > [cid:22399ea8-05b8-4719-bb9f-34f0739d3da9] > > Nous utilisons un réseau VPN L2 opéré par SFR en mode ANY2ANY reliant 7 > succursales (liens 10Mb) à notre siège (30Mb). > > Le routage est assuré par nos soins avec notre coeur de réseau CISCO et la > fonctionnalité de routage intervlan (1 vlan data et 1 voix affecté à chaque > site). > > Nous n'avons pas mis en placxe de routeur pour les extrémités. > > Depuis quelques temps nous constatons de grosses saturation sur ces liens. > > Les graphes de BW indiquent que tous les sites ont a peu près le même taux de > charge au même moment. > > Lorsque je capture le traffic au niveau de la succursale A, je vois le > traffic échangé entre la succursale B et le siège (traffic unicast). > > > Mes questions sont les suivantes : > > > Ce comportement vous parait-il normal ? > > Y aurait-il un détail qui m'échappe dans le fonctionnement de ce réseau opéré > ? > > > Merci d'avance pour vos retours éclairés. > > > Cordialement. > > > Guillaume. > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement VPLS Ethernet
> L'architecture est la suivante : > > [cid:22399ea8-05b8-4719-bb9f-34f0739d3da9] L'image n'est pas passée sur la ml. Préférer un lien externe vers un hébergeur. > Nous utilisons un réseau VPN L2 opéré par SFR en mode ANY2ANY reliant 7 > succursales (liens 10Mb) à notre siège (30Mb). > Nous n'avons pas mis en placxe de routeur pour les extrémités. Oui quelle idée. Ça sert pas à grand chose les cpe, vive les L2 étendus ! > Lorsque je capture le traffic au niveau de la succursale A, je vois le > traffic échangé entre la succursale B et le siège (traffic unicast). > Ce comportement vous parait-il normal ? Potentiellement oui. > Y aurait-il un détail qui m'échappe dans le fonctionnement de ce réseau opéré > ? En présence d'un réseau vpls "traditionnel" (ie pas evpn), basé sur le learning, le BUM est floodé. Utiliser un L2 any2any c'est pas déjà une bonne idée, en l'absence de routeur c'est typiquement ce qui peut se passer (mac des endpoints au lieu des macs des cpe, donc pas forcément connue, donc flooding). Si le trafic inter-succursale peut-être évité (ce qui semble le cas vu les vlans gérés sur le site hub), préférer une configuration hub&spoke du vpls. - petrus --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Comportement VPLS Ethernet
> Pierre Emeriaud a écrit : > Utiliser un L2 any2any c'est pas déjà une bonne idée, en l'absence de routeur > c'est typiquement ce qui > peut se passer (mac des endpoints au lieu des macs des cpe, donc pas > forcément connue, donc flooding). Je plussoie. Quelle que soit la cause, un routeur et un subnet pour chaque site ce serait bien plus stable. Même si la cause du flooding est identifiée et résolue, c'est un coup à revenir plus tard. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement VPLS Ethernet
Bonsoir Guillaume, les STAS évoquées par David précisent probablement une limite au nombre de MAC apprises par accès ou VPN. Si vous rajoutez des machines sur les sites, vous avez peut-être dépassé la limite. Je rejoins les précos : soit maîtrise du nombre de machines, soit niv 3 par dessus. LD --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement VPLS Ethernet
Salut Laurent, Le 09/05/2016 18:09, Laurent DURU a écrit : > Je rejoins les précos : soit maîtrise du nombre de machines, soit niv 3 par > dessus. Pas sur qu'il y aie une alternative : une limite de MAC peut sauter à la première attaque sur le (W)LAN de la boite, alors qu'une archi L3 tiendrait le coup. Perso le Any2Any ne me choque pas tant que ça reste entre routeurs. Mais taquiner les limites d'un VPLS en laissant du LAN directement dessus, c'est pas loin d'être suicidaire. Donc, routage partout, et encapsulation s'il y a quelques rares devices qui ont vraiment besoin de la continuité L2 (à MTU réduit du coup), c'est la seule façon de stabiliser ce merdier. @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [BIZ] Besoin Switch 48V
Bonjour, Je recherche un switch 48v avec 4 ports SFP et 12 ports Giga mini. Il est voué à être placé en cœur de réseau donc il faudrait un switch qui dépote un peu. Cordialement, Gwenael ADINE --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Besoin Switch 48V
un truc dans ce genre ? https://www.arista.com/en/products/7010-series j'ai des 7010 en prod et j'ai que du bien a en dire. On 05/09/2016 07:10 PM, Gwenael Adine wrote: > Bonjour, > > Je recherche un switch 48v avec 4 ports SFP et 12 ports Giga mini. Il est > voué à être placé en cœur de réseau donc il faudrait un switch qui dépote un > peu. > > Cordialement, > Gwenael ADINE > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [BIZ] Besoin Switch 48V
Excellent choix :) Si vous souhaitez plus d'infos topez moi Cordialement Le lundi 9 mai 2016, Edouard Chamillard a écrit : > un truc dans ce genre ? https://www.arista.com/en/products/7010-series > > j'ai des 7010 en prod et j'ai que du bien a en dire. > > On 05/09/2016 07:10 PM, Gwenael Adine wrote: > > Bonjour, > > > > Je recherche un switch 48v avec 4 ports SFP et 12 ports Giga mini. Il > est voué à être placé en cœur de réseau donc il faudrait un switch qui > dépote un peu. > > > > Cordialement, > > Gwenael ADINE > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > -- Pascal Gay Mobile : +33662610645 --- Liste de diffusion du FRnOG http://www.frnog.org/
RE : [FRnOG] [BIZ] Besoin Switch 48V
Yes un truc de ce genre. Ca se trouve en occasion? Cordialement Gwenael Adine Envoyé depuis mon smartphone Message d'origine De : Edouard Chamillard Date : 09/05/2016 19:20 (GMT+01:00) À : Gwenael Adine , frnog-...@frnog.org Objet : Re: [FRnOG] [BIZ] Besoin Switch 48V un truc dans ce genre ? https://www.arista.com/en/products/7010-series j'ai des 7010 en prod et j'ai que du bien a en dire. On 05/09/2016 07:10 PM, Gwenael Adine wrote: > Bonjour, > > Je recherche un switch 48v avec 4 ports SFP et 12 ports Giga mini. Il est > voué à être placé en cœur de réseau donc il faudrait un switch qui dépote un > peu. > > Cordialement, > Gwenael ADINE > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [MISC] Fwd: [address-policy-wg] 2015-05 New Policy Proposal (Revision of Last /8 Allocation Criteria)
Bonsoir, Juste un rappel sur le fair que la proposition 2015-05 est dans les dernieres jours de discussion pour la v2. Resume: - un /22 en plus tous les 18 mois, a partir de l'espace reccupere/recycle - ... reserve aux petits LIRs (max /20) - ... sous condition de deploiement d'IPv6 Ou en complet : https://www.ripe.net/participate/policies/proposals/2015-05 Si vous avez des choses a dire (un "+1" c'est deja pas mal, et ca compte), c'est a commencer par la: https://www.ripe.net/mailman/listinfo/address-policy-wg/ (c'est en anglais). Pour voir ce qui a ete deja discute, l'archive est la : https://www.ripe.net/ripe/mail/archives/address-policy-wg/2016-April/010975.html ... ou pour la version precedente (qui n'a pas tres bien marche) la : https://www.ripe.net/ripe/mail/archives/address-policy-wg/2015-October/010652.html Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [BIZ] Besoin Switch 48V
Salut Gwenael, Le 09/05/2016 19:10, Gwenael Adine a écrit : > Je recherche un switch 48v avec 4 ports SFP et 12 ports Giga mini. Il est > voué à être placé en cœur de réseau donc il faudrait un switch qui dépote un > peu. Un coeur de réseau en L2 ?! ;) La référence que tu auras le plus de facilité à trouver en broke est le Cisco Catalyst ME-3400G-12CS-D . @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Fwd: [address-policy-wg] 2015-05 New Policy Proposal (Revision of Last /8 Allocation Criteria)
Salut Radu, Le 10/05/2016 00:02, Radu-Adrian Feurdean a écrit : > - ... reserve aux petits LIRs (max /20) > - ... sous condition de deploiement d'IPv6 J'ai pas pris le temps de relire le thread, mais est ce qu'il a été mentionné l'exclusion de ceux ayant transféré des blocs et l’incessibilité de ceux alloués de cette façon ? @+ -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Re: [MISC] Fwd: [address-policy-wg] 2015-05 New Policy Proposal (Revision of Last /8 Allocation Criteria)
> Si vous avez des choses a dire (un "+1" c'est deja pas mal, et ca > compte), c'est a commencer par la: > Ben non, +1, ça ne compte pas :) Voir : https://www.ripe.net/ripe/mail/archives/address-policy-wg/2016-May/011169.html Denis --- Liste de diffusion du FRnOG http://www.frnog.org/
