Re: [FRnOG] [TECH] Bonding Linux et Cisco LACP

[Youssef Ghorbal]

Bonjour,

 Sans vouloir detourner le thread, mais une interrogation qui m'a
toujours trotte dans la tete concernant le fonctionnement du channel
bonding (surtout avec TCP) :
 - Est ce que la spec (802.3ax ?) impose le fait que tt les packets
d'une meme session TCP partent sur le meme lien physique ? Je ne
trouve rien de clairement explicite. Je vois quelque chose concernant
l'algo de hash qui doit respecter l'order des packets mais rien de
plus.
 - Dans l'autre sens, est ce que les stacks reseaux (kernel, drivers,
etc) s'attendent a voir atterir les packets TCP d'une meme session sur
le meme port physique ?! Comment c'est sens se comporter si ce n'est
pas le cas ?

Youssef Ghorbal
-
2017-06-26 18:49 GMT+02:00 Michel Py :
>> Franck LABBE a écrit :
>> Je n'ai jamais fait le test entre un Cisco et un Linux, mais normalement,
>> la méthode de hash d'un LACP est uniquement pour l'émetteur..
>
> Je plussoie; c'est donc très possible et même probable d'avoir du 
> load-balancing assymétrique. J'ai çà sur mon réseau en ce moment.
>
> Coté Cisco j'ai :
> port-channel hash-distribution adaptive
>
> catalyst(config)#port-channel load-balance ?
>   dst-ip Dst IP Addr
>   dst-macDst Mac Addr
>   dst-mixed-ip-port  Dst IP Addr and TCP/UDP Port
>   dst-port   Dst TCP/UDP Port
>   mpls   Load Balancing for MPLS packets
>   src-dst-ip Src XOR Dst IP Addr
>   src-dst-macSrc XOR Dst Mac Addr
>   src-dst-mixed-ip-port  Src XOR Dst IP Addr and TCP/UDP Port
>   src-dst-port   Src XOR Dst TCP/UDP Port
>   src-ip Src IP Addr
>   src-macSrc Mac Addr
>   src-mixed-ip-port  Src IP Addr and TCP/UDP Port
>   src-port   Src TCP/UDP Port
>
> J'ai tendance à choisir src-dst-mixed-ip-port mais çà dépend vachement des 
> besoins.
>
> Attention piège à con : quand tu changes le hash sur Cisco çà peut se 
> traduire par un lag de plusieurs secondes, à faire à 3 heures du mat quand 
> personne regarde.
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BIZ] Gestion DNS et rDNS

[Youssef Ghorbal]

Bonjour,

 Est ce que vous connaissez (ou avez deja utilise) des boites de
gestion de service DNS ?
 Je cherche a gerer le service DNS d'une centaine de nom de domaine.
 Je veux aussi que le service soit capable de gerer les delegations de reverse.
 L'aspect resgistrar n'est pas dans le scope.

 J'ai deja regarde cote Dyn, Route53 ou DNS Made Easy, techniquement
ca colle, mais le modele ne semble pas concorder au process classique
que je dois suivre (devis, commande, facture, paiement mensuel/annuel
par virement etc) De plus, je ne cherche pas forcement des perfs a la
microsconde ou une localisation globale, ni meme des algo de
repartition de traffic elabores.

 Merci de votre retour.

Youssef Ghorbal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [JOBS] Poste ingénieur réseau / coordinateur de pôle @Institut Pasteur

[Youssef Ghorbal]

Bonjour,

 La DSI de l'Institut Pasteur cherche un ingénieur réseau confirmé
pour coordonner le pôle « réseau et infrastructure » qui assure la
gestion des réseaux IP, des matériels filtrants (pare-feu, Reverse
proxy) avec une équipe de 4 personnes ingénieurs et techniciens.

 Le détail de l'offre est ici :
 
https://emploi.pasteur.fr/offre-de-emploi/emploi-ingenieur-reseau-coordinateur-de-pole-h-f_8.aspx

 Quelques chiffres sur le réseau de l'IP :
 - quelques 18000 prises réseaux réparties sur un campus de ~50
bâtiments (technologie Extreme Networks, personne n'est parfait hein)
 - plus de 250 bornes wifi (technologie Ruckus)
 - un coeur de réseau 40G (technologie Arista)
 - deux niveaux de Firewalls (technologie Palo Alto et Fortinet)
 - Reverse Proxy (technologie F5)
 - un réseau 10G/40G de Datacenter ~30 baies (précablage fibre Corning
et équipements actifs Arista)
 - accès Internet par Fibre noire via TH2.

 Environnement de travail riche et équipe sympathique. Je peux fournir
plus de détails sur demande directe.

Youssef Ghorbal

PS : je n'ai pas la main sur la rémunération, je me contenterais donc
du classique "rémunération selon profil"


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Avis sur Traffic Sentinel (inMon)

[Youssef Ghorbal]

Bonjour,

 Je cherche un retour d'experience sur l'analyseur de traffic Traffic
Sentinel (inMon)
 Sur le papier il a l'air de correspondre au besoin et nous l'avons
installe pour le tester a petite echelle.

 Je voulais juste savoir si quelqu'un l'a deja deploye a plus grande
echelle pour savoir comment ca se comporte.

 Nous sommes en fait a la recherche d'un outil d'analyse de traffic a base
de sFlow sur un reseau type Campus ( ~100 de switchs et quelques routeurs)
L'idee est d'etre capable d'identifier des goulets d'etranglement,
optimiser le traffic, capacity planning, detecter les anomalies... Donc si
vous avez d'autres suggestions n'hesitez pas.

 Merci pour vos conseils avises.

Youssef Ghorbal

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base SQL)

[Youssef Ghorbal]

Bonjour,

 J'en profite pour demander si vous connaissez des solutions integree type
EfficientIP/Infoblox qui gere en plus le niveau 2, a savoir
authentification par MAC et allocation dynamique de VLAN.

Youssef
--
2012/11/30 Raphaël Maunier 

> Pour ma part, je partirais vraiment sur des solutions constructeurs.
>
> Gérer du home-made est plus flexible, mais coûte bien plus cher qu'une
> solution packagé.
>
> Il y a eu un fil de discussion sur le sujet récemment, le libre, ne veut
> pas dire low-cost.
>
> Dans le cas de Sébastien, il faut voir s'il a l'équipe staffée pour
> maîtriser la mise en prod, l'optimisation et le débug.
>
> Pour les constructeurs / fournisseurs, je suis plus pour Efficient IP
> parce que ce n'est pas la grosse boite américaine :)
>
> --
> Raphaël Maunier
>
> Sent from my iPad
>
> On 30 nov. 2012, at 14:17, Guillaume Barrot 
> wrote:
>
> >> Si tu cherches une solution toute intégrée, efficient IP, sans aucun
> doute
> >> -> Webservices déjà intégrés, interfaces sympas, etc.
> >>
> >>
> > + Infoblox. Deux solutions concurrentes qui ont les défauts de leur
> > qualité.
> > Ca tourne en VM pour des tests ou du lab, mais ça vaudra jamais du "fait
> > maison" pour ce genre de besoin.
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base SQL)

[Youssef Ghorbal]

En regle generale je dirais oui, il s'agit de deux offres differentes mais
dans mon use case, avoir les deux au meme "endroit" est un avantage.
Je ne suis pas dans le contexte operateur mais plutot dans une logique
campus. J'ai un ensemble de departement et de de services a qui j'alloue
des ss-reseaux (et des vlans) ainsi que des sous domaines et pour lesquel
je declare des terminaux (PC, MAC, imprimantes etc) Jusque la une solution
IPAM/DNS/DHCP fait tres bien l'affaire. J'arrive a voir le decoupage de mon
plan d'adressage et tout est nickel cote DNS.
Par contre, si je veux effectuer de l'allocation dynamique de VLAN au
niveau des switchs d'acces, et que je me retrouve a utiliser un autre
outil, je vais etre amener a dupliquer les donnees (la liste des adresses
MAC des postes et leur association aux VLANs) entre les deux outils. Avoir
tout au meme endroit est tres avantageux.

Je vais jeter un oeil sur Infoblox.

Youssef




2012/12/1 vincent clement 

> Pour moi ce n'est pas la même gamme de produit, et il n'y a pas à ma
> connaissance de tout en un avec ces 2 "offres".
>
> Pour ce type de besoin, tu as des solutions dédiées type GreatBay Software
> qui inventorisent ton parc et le catégorise par type de devices (pc
> windows, pc linux, imprimante, téléphone) et qui range tout ca dans une
> base LDAP, donc accessible nativement par ta solution de contrôle d'accès
> (Juniper, Cisco...) qui se charge de faire l'alloc dynamqiue de vlan et
> l'authentification MAC sur cet annuaire.
>
> Vincent
>
>
>   --
> *De :* Youssef Ghorbal 
> *À :* Raphaël Maunier 
> *Cc :* "frnog-t...@frnog.org" 
> *Envoyé le :* Samedi 1 décembre 2012 1h56
> *Objet :* Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base SQL)
>
> Bonjour,
>
> J'en profite pour demander si vous connaissez des solutions integree type
> EfficientIP/Infoblox qui gere en plus le niveau 2, a savoir
> authentification par MAC et allocation dynamique de VLAN.
>
> Youssef
> --
> 2012/11/30 Raphaël Maunier 
>
> > Pour ma part, je partirais vraiment sur des solutions constructeurs.
> >
> > Gérer du home-made est plus flexible, mais coûte bien plus cher qu'une
> > solution packagé.
> >
> > Il y a eu un fil de discussion sur le sujet récemment, le libre, ne veut
> > pas dire low-cost.
> >
> > Dans le cas de Sébastien, il faut voir s'il a l'équipe staffée pour
> > maîtriser la mise en prod, l'optimisation et le débug.
> >
> > Pour les constructeurs / fournisseurs, je suis plus pour Efficient IP
> > parce que ce n'est pas la grosse boite américaine :)
> >
> > --
> > Raphaël Maunier
> >
> > Sent from my iPad
> >
> > On 30 nov. 2012, at 14:17, Guillaume Barrot 
> > wrote:
> >
> > >> Si tu cherches une solution toute intégrée, efficient IP, sans aucun
> > doute
> > >> -> Webservices déjà intégrés, interfaces sympas, etc.
> > >>
> > >>
> > > + Infoblox. Deux solutions concurrentes qui ont les défauts de leur
> > > qualité.
> > > Ca tourne en VM pour des tests ou du lab, mais ça vaudra jamais du
> "fait
> > > maison" pour ce genre de besoin.
> > >
> > > ---
> > > Liste de diffusion du FRnOG
> > > http://www.frnog.org/
> > >
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
> >
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base SQL)

[Youssef Ghorbal]

Un AD et les services DNS/DHCP (et meme le composant IPAM de 2012) ne vont
pas dans tous les cas me gerer le niveau 2 (provisionning de VLANs et
association d'equipements a des VLANs dynamiquement)
Pour le moment au niveau repartition des produit sur le marche, je pense
qu'il y'a deux domaines :
- Gestion d'IPs / DNS / DHCP (et plus si affinite) : tous les produits type
DDI
- Provisionning de VLANs et association d'equipements a des VLANs
dynamiquement : tous les produits de type NAC. Sachant que meme dans ce
cas, il s'agit d'une sous utilisation d'un produits qui fait un millard
d'autres choses

Ce que je cherche est en fait un produit qui fait les deux et ce qui ne
semble exister dans la nature.

Ce que je trouve dommage c'est qu'il suffit de peu pourqu'un produit tel
que EfficientIP ou Infoblox supporte du vlan provisionning ainsi que la
fourniture du dynamic vlan provisionning (dans les cas que j'ai vu c'est
des VSA a positionner au niveau Radius)

Youssef
--
2012/12/1 Guillaume Barrot 

> Pense aussi tout simplement à Windows si tu es dans un contexte Campus,
> sans trop de contraintes.
> Ca me coute de le dire, mais en général, activer le service DHCP et DNS
> sur l'AD est amplement suffisant (je me deteste pour avoir dit ça).
> Il semblerait aussi que dans la version Win2012, les deux services aient
> pas mal évolués, et il y a aussi un service IPAM intégré mais j'ai pas tout
> testé donc c'est à regarder.
>
> Bon ça sera jamais au niveau d'un produit dédié, et encore moins au niveau
> d'un fait maison en terme de tunning, et d'interop, mais bien souvent, ça
> suffit bien.
>
> A+
>
>
> Le 1 décembre 2012 19:07, Youssef Ghorbal  a
> écrit :
>
>> En regle generale je dirais oui, il s'agit de deux offres differentes mais
>> dans mon use case, avoir les deux au meme "endroit" est un avantage.
>> Je ne suis pas dans le contexte operateur mais plutot dans une logique
>> campus. J'ai un ensemble de departement et de de services a qui j'alloue
>> des ss-reseaux (et des vlans) ainsi que des sous domaines et pour lesquel
>> je declare des terminaux (PC, MAC, imprimantes etc) Jusque la une solution
>> IPAM/DNS/DHCP fait tres bien l'affaire. J'arrive a voir le decoupage de
>> mon
>> plan d'adressage et tout est nickel cote DNS.
>> Par contre, si je veux effectuer de l'allocation dynamique de VLAN au
>> niveau des switchs d'acces, et que je me retrouve a utiliser un autre
>> outil, je vais etre amener a dupliquer les donnees (la liste des adresses
>> MAC des postes et leur association aux VLANs) entre les deux outils. Avoir
>> tout au meme endroit est tres avantageux.
>>
>> Je vais jeter un oeil sur Infoblox.
>>
>> Youssef
>>
>>
>>
>>
>> 2012/12/1 vincent clement 
>>
>> > Pour moi ce n'est pas la même gamme de produit, et il n'y a pas à ma
>> > connaissance de tout en un avec ces 2 "offres".
>> >
>> > Pour ce type de besoin, tu as des solutions dédiées type GreatBay
>> Software
>> > qui inventorisent ton parc et le catégorise par type de devices (pc
>> > windows, pc linux, imprimante, téléphone) et qui range tout ca dans une
>> > base LDAP, donc accessible nativement par ta solution de contrôle
>> d'accès
>> > (Juniper, Cisco...) qui se charge de faire l'alloc dynamqiue de vlan et
>> > l'authentification MAC sur cet annuaire.
>> >
>> > Vincent
>> >
>> >
>> >   --
>> > *De :* Youssef Ghorbal 
>> > *À :* Raphaël Maunier 
>> > *Cc :* "frnog-t...@frnog.org" 
>> > *Envoyé le :* Samedi 1 décembre 2012 1h56
>> > *Objet :* Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base
>> SQL)
>>
>> >
>> > Bonjour,
>> >
>> > J'en profite pour demander si vous connaissez des solutions integree
>> type
>> > EfficientIP/Infoblox qui gere en plus le niveau 2, a savoir
>> > authentification par MAC et allocation dynamique de VLAN.
>> >
>> > Youssef
>> > --
>> > 2012/11/30 Raphaël Maunier 
>> >
>> > > Pour ma part, je partirais vraiment sur des solutions constructeurs.
>> > >
>> > > Gérer du home-made est plus flexible, mais coûte bien plus cher qu'une
>> > > solution packagé.
>> > >
>> > > Il y a eu un fil de discussion sur le sujet récemment, le libre, ne
>> veut
>> > > p

Re: [FRnOG] [TECH] IPAM/DNS/DHCP (was Serveur DHCP et base SQL)

[Youssef Ghorbal]

Je pense que je me suis mal exprime. Loin de moi l'idee de faire faire a
DHCP/DNS le boulot d'un serveur Radius.
Le sens de ma remarque est que les EfficientIP/Infoblox ont des solutions
integrees plug&play et font en sorte que differents composants logiciels
fonctionnent en harmonie. J'utilise une belle interface, je charcute mes
sous reseaux comme je veux, je colle des sous domaines dessus, je peux
tracker une adresse MAC, je fais des stats, etc.
Ce que je regrette c'est qu'il ny'ai pas justement un Radius qui soit aussi
integre dans ces solution et une sourcouche logicielle pour faire du
provisioning de VLAN et faire en sorte que je sois capable non seulement de
mettre des machine dans des sous reseaux ou des sous domaines mais aussi
dans des vlans et d'associer des sous reseau a des vlans... etc.

Youssef


2012/12/1 Guillaume Barrot 

>
>
>> - Provisionning de VLANs et association d'equipements a des VLANs
>> dynamiquement : tous les produits de type NAC. Sachant que meme dans ce
>> cas, il s'agit d'une sous utilisation d'un produits qui fait un millard
>> d'autres choses
>>
>
> C'est pas vraiment le boulot d'un DNS/DHCP/IPAM ça, plus d'un radius ou
> équivalent.
> A ce niveau tu es déjà dans de l'AAA, et bon, un AD c'est un peu
> son rôle aussi.
> Mais le mieux, c'est encore un bon vieux radius (Radiator en perl, ça se
> bidouille bien à priori)
>
>
>> Ce que je trouve dommage c'est qu'il suffit de peu pourqu'un produit tel
>> que EfficientIP ou Infoblox supporte du vlan provisionning ainsi que la
>> fourniture du dynamic vlan provisionning (dans les cas que j'ai vu c'est
>> des VSA a positionner au niveau Radius)
>>
>
> La encore, c'est pas le role d'un DNS/DHCP, et tout mettre dans le même
> soft, ça veut dire maintenance plus compliqué et probabilité de bugs plus
> grande.
> ==> radius, c'est son role. En prime Radiator peut se baser sur une base
> de données externe, donc rien ne t'empeche de repiquer les infos de ton
> appliance favorite au format SQL (sous réserve qu'elle supporte les
> connexions externes).
> Enfin, un annuaire LDAP en central est censé reprendre toutes ces infos,
> et tu peux connecter tes appliances DNS/DHCP et ton Radius directement sur
> ton annuaire, donc une seule base à maintenir.
>
> A+
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Acces au 100.40.0.0/17 depuis SFR

[Youssef Ghorbal]

Bonjour,

 Nous avons du mal a atteindre le 100.40.0.0/17 depuis un acces SFR.
L'annonce BGP arrive correctement, mais nous n'arrivons pas a joindre un
site heberge dans cette plage (www.grc.org pour ceux que ca interesse)

 D'ailleurs ce meme site n'est pas joignable de n'importe quel acces SFR
grand public (ADSL, 3G, etc)

 Depuis notre autre fournisseur (Renater) l'acces se passe bien. C'est
aussi le cas des 2/3 acces grand public que nous avons pu tester (Free,
Orange)

 Nous avons un ticket en cours chez SFR (ouvert depuis pres de 3 semaines
maintenant) et je souhaitait savoir si d'autres parmi vous ont constate des
problemes d'acces a ce prefix depuis vos differents reseaux.

 Outre la gene que ca induit, j'essaie de voir quel types de scenarios
peuvent aboutir a ce genre de trou noir du moins tres selectif.

 Merci de vos retours.

---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] Sponsoring LIR

[Youssef Ghorbal]

Bonjour,

 Suite a un changement de FAI (qui faisait office de LIR) nous sommes
amene a "trouver" un autre (LIR)
 Nos 2 autres FAIs ont soit cordialement refuse de gerer cet aspect
(Renater) ou bien n'ont toujours pas donne suite a nos sollicitations
(et celle du RIPE NCC) (SFR)

 RIPE NCC nous met la pression avec un ultimatum (remise du numero
d'AS dans le pool public) et ils refusent meme de nous donner un delai
supplementaire (ce que je trouve assez surprenant comme attitude de la
part du RIPE, d'habitude ils sont plus conciliant)

 Pour finir, RIPE NCC a arrete son programme Direct Assignement User :
 
http://www.ripe.net/lir-services/resource-management/faq/direct-assignment-users

 Je sollicite donc de l'aide :
 - Si quelqu'un de chez SFR pourrais faire activer les choses en
interne. Ou bien me donner des contacts pour que mon commercial puisse
les solliciter.
 - Est ce qu'il y'a parmi vous des LIRs qui soient pret a devenir
Sponsoring LIR meme s'ils ne sont pas FAI. De memoire, j'ai toujours
vu les deux aller un peu ensemble (en tout cas de point de vu End
User)

 Reste a devenir LIR, mais je trouve ca "overkill" pour juste un
numero d'AS et une allocation PI.

 Toute aide/conseil est la bienvenue.

Youssef Ghorbal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Sponsoring LIR

[Youssef Ghorbal]

En effet, j'ai deja pas mal de reponses.
J'ai des taris en "ressources" par an.
Qu'est ce qui est appele exactement "ressources" dans le commerce.
Juste les numeros d'AS et les allocations d'IP ? Est ce qu'il y'a une
correspondance avec les autres "objets" annexes de la base RIPE (les
delegations de reverses, etc)

Merci encore de votre aide a tous.

Youssef

2013/5/29 Solarus :
> On Wed, 29 May 2013 10:34:22 +0200, Youssef Ghorbal
>  wrote:
>
>>  - Est ce qu'il y'a parmi vous des LIRs qui soient pret a devenir
>> Sponsoring LIR meme s'ils ne sont pas FAI. De memoire, j'ai toujours
>> vu les deux aller un peu ensemble (en tout cas de point de vu End
>> User)
>
> Il y a sur la liste quelques sociétés pouvant proposer une prestation
> de LIR, c'est le meilleur choix il me semble, je les laisse vous
> répondre.
>
> Cordialement.
>
> --
> Solarus
> www.ultrawaves.fr
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] 10G l3/l4 firewall

[Youssef Ghorbal]

Bonjour,

 Est ce que c'est possible de trouver dans la nature des statefull firewall
l3/l4 only. Des boitiers avec quelques ports 10G sans tout ce qui est
 filtrage l7, antivirus antispam applicationID machin chose
capables d'encaisser du ~20/30G avec du traffic de mr tout le monde en
terme de pps (web, mail applications metiers)

 La seule option que je vois aujourd'hui c'est de prendre un boitier qui
fait tout et d'ignorer les fonctionnalites qui ne servent pas mais je
n'aime pas trop l'approche. Les fonctionnalites de filtrages dites avancees
sont generalement inclues d'office dans les boiboites et shiftent les prix
dangereusement vers le haut.

Youssef

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 10G l3/l4 firewall

[Youssef Ghorbal]

Par curiosite quand vous parlez de limitations en mode cluster vous
avez des exemples precis/concrets ?

Je suis tombe sur ce post en googlant SRX :
http://forums.juniper.net/t5/SRX-Services-Gateway/Convince-me-to-stay-with-SRX-vs-Fortinet-Honest-input-requested/td-p/186575

Youssef

2013/6/25 Duga :
> La gamme SRX est effectivement jeune et souffre de quelques limitations 
> regrettable. Surtout lors du passage en mode cluster.
> Cependant, le hardware est très bien foutu et performant. Les performances 
> sont largement au rendez vous.
> Les limitations sont levées à un rythme satisfaisant. Entre les versions 10.x 
> et 12.x de Junos c'est le jour et la nuit.
> Par rapport aux besoins exprimés, ils répondent parfaitement et constituent 
> un bon investissement sur la durée je pense.
>
> Ma petite expérience est d'avoir implémenté du 100, 210, 240, 650 et 3600 sur 
> 2 Datacenters et une vingtaine de sites.
> Avec tout l'éventail que cela nécessite : Firewalling, IPSEC, OSPF ….
> Bref, peut encore mieux mais beaucoup de potentiel.
>
> Julien.
>
> Le 24 juin 2013 à 22:17, Mattieu Baptiste  a écrit :
>
>> Le 24 juin 2013 21:41, "Raphael Mazelier"  a écrit :

 Même si on met de côté les limitations stupides de la HA pour les modèles
 <=650, le SRX n'est pas un produit au niveau.


>>> Peux tu détailler s'il te plait ?
>>> Parce que même si je dois reconnaitre que si les SRX sont loin d'être
>> parfait (configuration trop verbeuse, Alg qui déconnent, limitations
>> stupides en mode cluster) ce sont les firewalls matériels les moins pire
>> que je connaisse (à égalité avec les Netscreen, la CLI junos en plus, la
>> Gui en moins).
>>
>> J'ai des fois les envois syslog qui plantent. Faut redémarrer le service,
>> c'est comme ça, et plutôt ballot quand tu perds plusieurs heures/jours de
>> logs.
>> Ou la "feature" qui t'oblige à rebooter le nœud quand tu perds le control
>> link. D'ailleurs, le switching non recommandé sur le control link (quelque
>> soit les modèles), sur quelle planète ils vivent Juniper ? Et puis
>> récemment, j'ai eu droit à un SRX650 qui ne redémarrait pas. Au début,
>> notre support m'a dit "c'est normal, c'est la carte flash qui doit avoir
>> des problèmes, il suffit (sic) de réinstaller l'OS". Après 1h30 à tenter de
>> réinstaller JunOS, on a fini par changer le châssis.
>>
>> Honnêtement, de l'avis d'un certain nombre d'intégrateurs, je suis loin
>> d'être le seul à avoir des soucis sur SRX. La gamme est jeune, ça
>> s'améliore avec le temps mais clairement ils ont encore un wagon de retard.
>>
>>> Bien mieux en tout cas que Cisco et Checkpoint par exemple.
>>> Je ne connais pas Fortinet en revanche, il y a un consensus pour dire que
>> c'est bien ?
>>
>> Perso, aucune idée pour Fortinet, mais tant que tu te limites à du filtrage
>> L4, ils ont pas mauvaise réputation.
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] 10G l3/l4 firewall

[Youssef Ghorbal]

> Chez Fortinet, les perfs dependent des fonctionalites effectivement
> utilises, sachant que l'utilisation d'une certaine fonctionalite impacte
> uniquement les regles l'utilisant.
> Donc pour une utilisation unqiuement L3/L4, l'essentiel du traffic reste
> traite en ASIC, avec des perfs qu'on voit pas chez grand monde.

Interessante remarque.
En fait mon besoin est la fois filtrage l3/l4 en ~20/30 Gb/s mais
aussi filtrage l7/IDS/IPS/Antivirus pour une petite portion du traffic
(de l'ordre du giga dans le meilleurs de cas) Je pensais initialement
partir sur deux boitiers, un gros debit mais filtrage "classique" et
l'autre "bas debit" mais fonctions de securite plus avancees.

Avec fortigate je pourrais du coup faire tout avec le meme boitier,
identifier les flux ayant besoin de fonctions de filrage avancee sans
penaliser les capa de filtrage "classiques" des autres flux.

Vous savez si d'autres constructeurs sont capables de faire la meme
chose ? (Les SRX par exemple)

Merci de vos retours instructifs.

Youssef


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Choix d'une appliance Firewall

[Youssef Ghorbal]

J'en profite pour demande si vous avez eu la possibilite de jouer avec
Palo Alto.
Est ce que vous avez des retour la dessus ?

Youssef

2013/9/23 Raphael Maunier :
> Le 2013-09-23 14:22, Radu-Adrian Feurdean a écrit :
>
>> On Mon, Sep 23, 2013, at 12:09, Raphael Maunier wrote:
>>
>>> Attention, le CLI est inexistant sur ces deux derniers, c'est
>>> clickodrome. Mais pour du firewall, très franchement, le tout cli je
>>> crois que c'est dépassé
>>
>>
>> Cote Fortinet, le CLI existe bel et bien, il est juste pas pratique pour
>> la gestion des regles. Par contre, pour faire du debug ou utiliser
>> certaines fonctionalites, il *FAUT* passr par la casse CLI.
>
>
> Donc pour moi inexistant :)  Quand tu peux pas vraiment l'utiliser car il
> faut avoir le pdf à porté de main, c'est que c'est pas fait pour être
> utilisé
>
>
>>
>>> marrant avec des machines vérolés qui ont détruit de l'ASA par exemple.
>>>
>>> Je me demande meme comment les trucs comme ASA se vendent encore, jamais
>>> vu un truc aussi pénible à administrer.
>>
>>
>> Ce ne sont pas les boities ASA qui se vendent, mais l'etiquette "Cisco"
>> collee au boitier. Les ASA classiques sont totalement obsoletes, les ASA
>> series "-X" ont juste un prix totalement delirant (meme apres minimum
>> 50% de remise) pour ce qu'ils offrent.
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [MISC] API Contact Everyone d'Orange

[Youssef Ghorbal]

Bonjour la liste,

 Est ce que par hasard des gens dans la liste utilisent l'API Contact
Everyone d'Orange pour envoyer des SMS (dans le cadre d'alerte de
supervision par exemple)
 J'ai la doc sous la main avec plein de XML de WSDL, ca pique les
yeux. Et je n'arrive pas a trouver l'ombre d'une SDK dans les
interwebs.

 Avant de me lancer corps & ame dans les meandres de SOAP, je me
demandais si quelqu'un a des scripts maison a partager (meme
imparfaits).

 Merci !

Youssef Ghorbal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Youssef Ghorbal]

La ou je travaille actuellement on a traite exactement la meme
problematique. Plusieurs entites (services/departements,) plusieurs
batiments, des stacks par batiment et un coeur qui relient tous ces
batiments. Avec la subtilite qu'une entite peut etre eclatee sur un ou
plusieurs batiments.

On s'est pose les memes questions en terme de decoupage reseau : par
batiment ? par entite ?

- Decoupage par batiment : comme ca a deja ete aborde, on peut faire
du L3 par batiment, pas la peine de se prende la tete avec des LANs
etendus, on a l'avantage de toute la flexibilite des protocoles de
routages etc. Par contre, il faut accepter (et faire accepter) que les
protocoles en broadcast ne vont pas fonctionner (entre batiment
j'entend). Exemple, dans l'entite machin, ils ont un petit NAS ou un
serveur de licence ou une Time Capsule, etc etc. Ce truc va tres bien
marche pour les membres de l'entite qui sont dans le meme batiment
mais pas pour les autres, ca peut creer de la confusion (et de
l'incomprehension des utilisateurs) Il faut aussi prendre en compte
que ds ce scenario si tu envisage de faire qq filtrage par IP (genre
authoriser le service bidule a acceder au site machin, ou interdire le
service truc a acceder au serveur toto) la il faut avoir un sous
reseau par entite par baitment. Si tu as 3 entites et 4 batiments ca
passe, mais si tu as 250 entites et 50 batiments la gymnastique
devient complexe. Autre piste, tu met tous les postes du batiment A ds
le meme VLAN
(et tu passes sur un filtrage par utilisateur, groupes, ce qui est un
autre debat)

- Decoupage par entite/service : ca necessite un LAN etendu sur tous
le "campus", tous les vlans sont sur toutes les stacks. Les protocoles
de broadcasts fonctionnent, mais tu a tous les incovenhients du LAN
(etendu). Ca fonctionne chez nous avec des plus de 300 vlans et plus
de 50 batiments. Le plus important ici, est que tu dois gerer un
protocle d'attribution de VLAN dynamique pour que les postes
atterissent dans le bon VLAN quand ils accedent au reseau (802.1x ou
du MAC based vlan etc) ceci necessiste de connaitre les adresses MAC
de tous les postes, gerer une base radius avec etc etc (PacketFence &
consors). Pareil, si tu gere que des postes fixes, tu peux faire les
confs sur les switchs en statiques et a la mimine, mais des que tu as
une grande volatilite (des postes et des entites) ca devient
ingerable.

Qq remarques :
- L'experience montre que tot ou tard tu vas tomber sur un use case ou
ton decoupage par batiment ne fera pas l'affaire et que tois le
"porcifier" pour avoir un LAN etendu entre batiment. C'est rare mais
ca peut arriver. Je peux donner par exemple les reseaux d'alarmes
temperature par exemple ou les gens qui ont imagine le soft ne se sont
pas pose la question et partent du principe que toutes les sondes
doivent etre ds le meme reseau (un exemple parmi d'autres)
- 802.1x necessite une tres grande maitrise des postes. Sur le papier
c'est "supporte" par les OS du marche mais quand on rentre ds les
details, c'est l'enfer. Pareil, tot ou tard, tu vas tomber sur ZE
equipement qui ne sais pas faire et tu vas devoir enforcer le port en
statique sur le switch (ou tu vas te rendre compte que les 250
imprimantes recemment achete ne font pas de 802.1x :) ) L'alternative
est de se contenter de l'adresse MAC et des fonctionnlite des swicths
de type "MAC Authentication Bypass sur Cisco, ou Netlogin sur Extreme
etc)
- Le fait de devoir creer les VLANs sur tous les switchs peut etre
alleger par les fonctionnalites que peuvent proposer les swicths. Par
exemple, il y'a des switchs qui proposent d'auto creer le VLAN (et lui
coller les uplinks) quand un poste est authorise sur le reseau (le
Radius envoie cette infos) mais ca creer une adherence par rapport au
constructeur ce qui n'est pas toujours souhaitable si tu as un mix de
constructeur sur ton reseau.

Pour le moment, nous somme dans le scenario 2 (decoupage par entite)
on a un LAN etendu et de l'attribution dynamique de  VLAN base sur
adresse MAC (et de l'auto creation de VLAN parce que le constructeur
sais faire) On ne fais pas de 802.1x parce qu'on ne maitrise pas la
totalite du parc. On utilise des outils maison pour gere cette base
d'adresse MAC ce qui n'est pas tres confortable. Les outils du marche
de type IPAM ne gerent malheureusement pas ce use case (aucun ne
supporte du L2, les VLANs, Radius etc)

Bon courage !

Youssef Ghorbal


2016-06-12 12:44 GMT+02:00 Bruno LEAL DE SOUSA :
> Merci beaucoup pour ces réponses.
>
> Oui effectivement on est plus dans un mode office-mobile où les gens
> bougent assez souvent et les services déménagent souvent de bureaux..
> En gros si je veux pas avoir trop de soucis et faire un découpage par
> service, il faudrait que je mette en place du 802.1x et que je propage mes
> vlans burea

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Youssef Ghorbal]

[...]

> Pour ce qui est du Broadcast et des applis qui fontionnent avec... Cela
> devrait pas trop poser de problèmes parce qu'on a toujours fait "la chasse"
> à ce type de fonctionnement.. Les protocoles qui broadcast tout le réseau
> sans trop de raison, on essayé de les désactiver au maximum sur les postes,
> applis, imprimantes, etc...

Tant mieux, si vous pouvez le faire :)

> Je vois que vous utilisez une attribution dynamique en fonction de l'adresse
> mac..
> Pourquoi pas utiliser des outils connectés à l'AD ?

Je parle d'un reseau ou il y'a a peu pres ~3000 postes dont 60% sont
des MACs (et le users sont admins dessus), donc AD...
Rajoutez a ca, le bring your own bidule :)

> En effet, pour ce qui est du 802.1x nous avons déjà mis en place la
> solution, elle est juste pas très utilisée en attendant la division réseau.
> Nous après une étude, on a decidé d'utiliser NPS de Windows Serveur. Cela a
> l'avantage d'être connecté et complètement integré à l'Active Directory.
> Ainsi nous pourrons filtrer et attribuer un vlan en fonction du groupe de
> l'utilisateur ou de l'ordinateur par exemple.
> Pour ce qui est des peripheriques non compatibles 802.1x, nous utilisons des
> comptes "fantomes" créé dans l'AD avec l'adresse mac du peripherique et
> ensuite c'est le switch qui va generer une demande d'authentification en
> utilisant que l'adresse MAC. Si ça match c'est OK => accès au réseau et vlan
> attribué.

En effet, a partir du moment ou on maitrise les postes, on a plus de lattitudes.

Youssef


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] EMC VNXe3200

[Youssef Ghorbal]

Au dela des IOPS, attend toi a souffir le martyre avec l'interface
d'admin Unispehere (si tu part sur l'option EMC VNX)
La moindre MAJ de Java (cote client) et ce machin arrete de fonctionner !
Nous avons fini par dedier une VM rien que pour ca avec une version
figee de Java et un bon IE qui tache pour etre sure de pouvoir prendre
la main tout le temps.

Youssef


2016-10-15 19:02 GMT+02:00 MERCKEL Aurélien :
> Bonjour à tous.
>
> Est-ce que certain d'entre vous utilise des SAN EMC VNXe3200 ?
>
> En êtes-vous satisfait ?
> Quel est la capacité d'IOPS sur ce modèle ?
> Ou se place cette solution par rapport à DataCore ?
>
> Merci d'avance pour vos retours.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Load Balancer IPV4/IPV6

[Youssef Ghorbal]

> Sinon vous déployez ça comment en v6 ?
> - one armed et IPv6 globale sur les serveurs
> - one armed et IPv6 linklocal sur les serveurs
> - standard, le Loadbalancer route le scope v6 des serveurs
> - etc.

Des retours sur du l3 DSR ? (a la Y! avec DCSP ou a la Facebook en
IP-to-IP tunneling)

Youssef


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Backup de prod multi-site

[youssef . ghorbal]

Le sujet m'interesse aussi.
Est ce qu'on peut avoir un lien vers cette "note 1047" ?

Youssef
--
On Oct 30, 2008, at 9:40 AM, Steven Le Roux wrote:

Tu peux lire la note 1047 de radware... tu verras la lumière :) .  
Elle décrit exactement ton besoin.


2008/10/30 Denis Alligand <[EMAIL PROTECTED]>
Bonjour,

je gère pour l'un de mes clients son infra prod. Aujourd'hui il y a  
une baie complête dans un datacenter avec des clusters web, sql,  
fichiers, tout cela en HA gérer par des solutions de réplications et  
de basculement de serveur en cas de soucis sur un serveur.


Jusque là, pas de problème. Hors le soucis est que c'est bien beau  
de tout mettre dans une seule baie, mais en cas de coupure de cette  
baie (courant électrique/reseaux ...), malgré les beaux système HA,  
plus rien ne répond.



Donc je dois répliquer cette solution sur un autre datacenter, et  
pourvoir rediriger de facon la plus transparente possible le traffic  
en cas de failure de l infra principale.


Le traffic a diriger est uniquement du HTTP et du HTTPS sur  
plusieurs dizaine de M/s avec des pointes a 150/200 M/s


Pour cela plusieurs solutions envisageable:

1: avoir un redirecteur HA dans un endroit neutre et rediriger le  
flux vers un datacenter ou un autre, et secourir ce redirecteur HA  
sur un autre site indemendant au cas ou.


Probleme: point faible si le reseau ou se trouve le le redirecteur  
HA tombe, tout tombe, meme si la prod ou le site de secours est OK.


Probleme:
-soit le traffic est remonté totalement au redirecteur qui se charge  
de répondre aux requettes des clients directement, donc il faut  
imaginer un systeme de tunelling pour atteindre le datacenter 1 ou 2  
(prod ou secours), et dans ce cas, on double l'utilisation de la  
bande passante (BP sorti datcenter vers redirecteur et bp sorti  
redirecteur vers client)


-soit les machines repondent directement aux requettes vers le  
client. Cela pose une interrogation: il faut que le systeme indique  
comme adresse source: le redirecteur, mais le systeme qui repondra  
sera le serveur reel. C'est ce qui est implémenté aujourd'hui par  
des solutions type LVS tun. Re probleme: on tombe dans la RFC2267   
et on prend le risque de se faire bloquer nos ips pour probleme de  
spoof.
Question: est-ce que on peut controler cela si on se met d'accord  
uniquement avec nos fournisseurs de BP qui ne sont pas des carrier-1  
et qui peuvent odnc par consequent peut etre se faire bloquer eux  
meme par leur carrier.


2: on met le redirecteur sur site A avec IP site A. L'ensemble des  
sites webs pointe sur un cname qui lui meme pointe sur IP A. Un  
redirecteur sur site B avec IP B


Ce record Cname a un ttl agresssif genre 5 minutes tel que peut l  
utiliser aujourd'hui des dyndsn et compagnie.


En prod normal on pointe sur redirecteur A, en prod backupé on  
pointe sur redirecteur B.


Question: certains ISP semblent utliser de facon massive le cache  
dns sur leur reseau: donc est-ce que la propag est quand meme  
envisageable rapidement pour passer de A vers B ?



3: On fait pointer les sites web vers un redirecteur de type 301 ou  
303, et on redirect les demande du type:


www.dc1.site.com ou www.dc2.site.com (dc1=datacenter 1, dc2 =  
datacenter 2): pas forcement terrible pour le referencement mais on  
parle bien d un mode de secours pour dc2 au cas ou. Bien entendu le  
point faible est toujours sur le fait que le redirecteur doit etre  
disponible et on revient un peu au cas 1.



Autre possibilité: mixe d'un peu de ces 3 solutions, en jouant sur  
les dns, sur les propags et sur l emplacement des redirecteur.



Question: quel type de produit proposent aujourd'hui de la dispo  
multi-site, faut-il passer par des solution type HAproxy ou type  
LVS, sachant que nous sommes sur du 100% LAMP.


Chaque cas de figure a ses points faibles et ses avantages. Avez- 
vous eu deja ce genre de problematique et quelle a été votre choix  
la dessus.


Cordialement,

Denis Alligand



--
Steven Le Roux
Jabber-ID : [EMAIL PROTECTED]
0x39494CCB <[EMAIL PROTECTED]>
2FF7 226B 552E 4709 03F0  6281 72D7 A010 3949 4CCB


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Ferme de serveurs IIS

[youssef . ghorbal]

Bonjour tout le monde,

	Dans le monde UNIX, pour monter une ferme de serveur WEB avec le meme  
contenu la reponse est simple : NFS.
	Dans le monde Microsoft pour monter une ferme de serveur WEB IIS avec  
le meme contenu il faut faire comment ? CIFS ?


	Actuellement, ce qui en place chez nous est une replication de  
donnees (avec DFS) une tehcnologie Microsoft qui repose sur l'AD. La  
solution comme vous pouvez l'imaginer ne passe pas a l'echelle (rajout  
de serveur) et atteint rapidement ses limites au fur et a mesure que  
le nombre de fichier augmente (sans parler de la perte d'espace due a  
la duplication de donnees)


	Je voudrais savoir s'il y'a des gens qui ont des serveurs WEB IIS qui  
partagent du contenu en CIFS. Quel est le retour ? les trucs qui  
peuvent marcher ou pas ? Est ce qu'il y'a de probleme de locks ?


	Ou bien je suis curieux de savoir ce que recommende Microsoft a ce  
sujet, parce que j'avoue que je ne trouve rien dans la litterature  
(publique)


Merci pour vos retours.

Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Modifcation de Glue Records chez l'AFNIC

[Youssef . Ghorbal]

Bonjour,

	Quelqu'un connaitrais "LA" methode pour proceder au changement de  
Glue Records au niveau de l'AFNIC.
	Nous avons change les IPs de nos DNS sauf que les anciennes IPs sont  
encore enregistre en "Glue Records" sur les serveurs de l'AFNIC.


Cordialement,
Youssef Ghorbal

PS : Nous somme membre de l'AFNIC et nous avons un compte Registrar  
mais a priori rien dans l'interface de gestion ne permet de faire  
cette "operation"...


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Modifcation de Glue Records chez l'AFNIC

[Youssef . Ghorbal]

Bonjour,

Ca n'a pas trop l'air de marcher.
	Je recois un mail de l'AFNIC me disant que la demande a ete traite  
mais j'ai pas l'impression que fasse quoique ce soit...


	Je viens d'envoyer un mail a supp...@afnic.fr a ce sujet et ils ont  
promi de me repondre dans les plus brefs delais... (fear...)


Youssef Ghorbal

On Jan 8, 2009, at 11:30 AM, Frédéric VANNIÈRE wrote:


Bonjour,

youssef.ghor...@netplus.fr a écrit :

   Quelqu'un connaitrais "LA" methode pour proceder au changement de
Glue Records au niveau de l'AFNIC.
   Nous avons change les IPs de nos DNS sauf que les anciennes IPs
sont encore enregistre en "Glue Records" sur les serveurs de l'AFNIC.


Ce qui a fonctionné pour nous a été de modifier les serveurs DNS d'un
des domaines en .fr (opération T) en spécifiant la nouvelle IP du
serveur DNS dans le formulaire. Le changement de DNS a ensuite été
appliqué automatiquement au GLUE record pour tous les autres domaines
utilisant les mêmes DNS (ns-list).

Cordialement,

--
Frédéric VANNIÈRE
Directeur Technique

PLANET-WORK
231 rue Saint-Honoré
75001 PARIS - FRANCE

Tél : 01 41 79 78 60
Fax : 01 41 79 78 61
Web : http://www.planet-work.fr/

Planet-Work, vecteur de votre image sur Internet




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [HS] Vente de matériel

[youssef . ghorbal]

Je rejoint Steven dans son avis, c'est vraiment revoltant ce qui vous  
arrive...

Bon courage.

++
Youssef
--
On Jan 10, 2009, at 1:49 AM, Steven Le Roux wrote:


2009/1/9 Valentin SURREL :

Re-Bonsoir,

Ayant beaucoup de questions identiques en privé, voici les  
réponses pour tout le monde :


- Le matériel date de avril-mai 2008 pour la grosse majorité. 2  
XServe datent de juillet 2008. Le routeur et le lot de 6 DELL date  
d'octobre 2008 environ. Tous les éléments sont coupés  
électriquement depuis mi-décembre, sauf les 4 DELL (qui ne font  
pas parti du lot des 6*2970) et le routeur qui seront coupés lundi.
- Pour le prix, vu la situation dans laquelle nous nous trouvons,  
nous n'avons PAS le DROIT de le brader. De ce que j'ai compris, ca  
sera notre prix d'achat moins la partie amortie. J'essayerai de  
faire en début de semaine un tableau avec la date d'achat et le  
prix de vente possible. Si des éléments ne partent pas à ce prix,  
c'est l'administrateur judiciaire nommé par le tribunal de commerce  
qui décidera (baisse du prix ou vente aux enchères par exemple)
- Pour les contrats de maintenance, je ne sais pas s'ils sont  
cessibles. Je me renseignerai, mais je vois pas pourquoi cela ne  
serait pas le cas.


Valentin




C'est hors-sujet, mais vu que l'activité de la liste n'est pas à son
comble en ce moment, ça ne fera pas de mal de dérouiller mailman et
les fetchmail :)

C'est dommage ce qui vous arrive. Pour une fois qu'une boite propose
un service utile en B2C en france amener à faire un carton (sans  
poser

de question business model), qu'elle aurait une chance de se
développer à l'international, "on" la saborde pour conserver les
petits intérêts des ayants droits (je ne dis pas les copains du prez
;) donc je reste dans la charte)... afin qu'ils gardent la main sur
tout le marché. C'est clairement anti-concurrentiel et leur discours
hyprocrite qui consite à dire qu'ils font tout pour proposer une  
offre
légal afin de mettre fin aux vilaines choses... preuve en est que  
non.


Bon courrage pour la suite.

(Pour réponse en privé : tu estimes à combien la durée  
d'amortissement

d'une EyeTV 410 ? et donc la date d'achat ? si ça figure dans le
tableau que tu érriges, mets moi juste en copie avec les intéressés
quand tu l'auras fait)


--
Steven Le Roux
Jabber-ID : ste...@jabber.fr
0x39494CCB 
2FF7 226B 552E 4709 03F0  6281 72D7 A010 3949 4CCB
��^u�b}ݸTg8hm �z ��?


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Le site de Cisco down ?

[Youssef . Ghorbal]

C'est revenu vers 11h.

Merci a tous.

Youssef Ghorbal
--
On Feb 5, 2009, at 2:28 PM, Leland E. Vandervort wrote:



ca marche pour moi, meme si c'est un peu lent (mais c'est normal  
pour le

site web de Cisco quand meme...)

Leland


On Thu, 5 Feb 2009 youssef.ghor...@netplus.fr wrote:


Bonjour,

 J'essai d'acceder depuis ce matin au site Web de Cisco sans  
succes

(timeout)
 J'ai essaye depuis plusieurs operateurs mais c'est le meme  
constat.


 Est ce que vous constatez la meme chose ? C'est en maintenance ?

Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Perturbation de transit IP

[youssef . ghorbal]

Bonjour,

Y'a moyen de les avoirs ces graphes ? ca m'interesse.
De mon cote j'ai perdu Cogent pendant un moment.

Youssef

On Mar 16, 2009, at 5:19 PM, Splio - Benjamin BILLON wrote:



On les a reçues, incident sur le routeur HXR-BzVkr07[2] *. Ce qui  
est clair,
c'est qu'on a tout pas bien compris le hoquet, ni l'ampleur de  
l'impact...
C'est triste ca manque cruellement de clarté depuis que c'est du  
chinois, ou

pas très loin.

Problème de conf, routage par circuit sous-dimensionné (bien vu,  
Sébastien).


Ca fait pas beau dans les graph =(
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [BGP] Pourquoi ce chemin a ete selectionne ?

[Youssef Ghorbal]

Bonjour,

	Conf : routeur avec 2 peers (Telia et Interoute pour ne pas les citer) 
+ BGP4 + tous marche bien.


	Voici le retour de la commande show ip bgp 217.128.0.0/16 
longer-prefixes sur ce routeur :


BGP table version is 44823745, local router ID is XXX
Status codes: s suppressed, d damped, h history, * valid, > best, i - 
internal,

  r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network  Next HopMetric LocPrf Weight Path
*  217.128.0.0/16   84.233.162.193  10 0 8928 5511 
3215 i
*>  80.91.255.27   0 1299 5511 
3215 i


Ce que je n'arrive pas a comprendre c'est pourquoi la route Telia a ete 
choisie comme Best. Comment je peux savoir quel critere a ete le tie 
break dans ce cas ?


Je suis dans une situation ou tout le trafic venant de 217.128.0.0/16 
m'arrive par Interoute mais repart par Telia... et je voudrais 
reequilibrer un peu la symetrie sans trop "influencer" BGP.


Merci d'avance,
Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re : Re: [FRnOG] [BGP] Pourquoi ce chemin a ete selectionne ?

[Youssef Ghorbal]

Bonjour,

Merci a tous pour vos reponses.
Je confirme que bgp always-compare-med n'est pas actif.

	Comme je le pensais le fait d'avoir choisi comme best la route Telia 
plutot qu'Interoute se base uniquement sur un critere de type plus 
petite IP ou plus petit num d'AS.


	Ce que je veux mettre en place maintenant est un critere qui previlegie 
l'un ou l'autre une fois que les critere "important" (AS Path, Metric, 
LocalPREF) se revelent identiques. Quels sont les best practices a ce 
niveau.


	Je ne suis pas parano du routage symetrique, mais j'estime que si BGP 
arrive a un stade ou il est oblige de comparer les adresses IPs des 
Next-Hop pour decider quel chemin choisir, je peux intervenir et lui 
proposer d'aller vers l'un plutot que vers l'autre (parce que j'estime 
que c'est moins cher ou bien que j'ai des amis chez Interoutes ou... 
ou... ou... )


Youssef Ghorbal
-
Radu-Adrian Feurdean a écrit :

On Fri, 03 Apr 2009 09:11:50 +0200, "David Wilde" 
said:

Normalement un routeur Cisco suit la liste à
http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a0080094431.shtml

6. puis, on choisit le route avec le MED le plus bas...

A mon avis le choix se fait ici...
La route via AS1299 n'a pas de MED spécifié, donc il me semble que c'est
considéré comme 0 sur un routeur Cisco.
La route via AS8928 a un MED de 10 (dans "sh ip bgp" c'est le metric),
donc c'est moins préféré comme chemin.


Selon le meme point 6, uniqement si "bgp always-compare-med" est active
(il ne l'est pas par default).
Sinon:
12. La route originee par le plus petit router-id
13. La route originee par le plus petit neighbor-address

--
Radu-Adrian Feurdean
 raf (a) ftml ! net



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Soft de plan de baie

[Youssef Ghorbal]

Bonjour,

	Est ce que vous connaissez des soft qui permettent de "dessiner" des  
plans de baie.
	Un soft qui gere diffrents types de serveurs (en U horizontal) ou des  
chassis avec des serveur en vertical.


	Il y'a de gens qui le font en Excel, d'autres en Visio mais soit  
c'est penible a maintenir, soit on n'a pas le bon niveau de detail  
(typiquement pour les chassis, on ne peut pas supprimer des serveurs a  
l'interieur)


	J'aimerais avoir vos retour, ce que vous utilisez avant de me lancer  
dans l'aventure


Merci a vous.

Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Problème BGP ...

[Youssef Ghorbal]

Bonjour,

	Je crois ce qu'il te faut bien positionner les M.E.D sur les routes  
annonces par rA et rB.

Un bon exemple est sur ce lien : 
http://www.cisco.com/en/US/tech/tk365/technologies_tech_note09186a0080094934.shtml

	C'est le seul parametre que tu as a ta disposition pour esperer  
"influencer" le tarffic retour qui part de AS200.


Youssef Ghorbal

On Apr 20, 2009, at 6:41 PM, l...@rebert.name wrote:


Bonjour,
Voici un petit problème BGP. MERCI d'avance pour votre aide !

.  [AS 100]   (   [AS 200]
.(
.LAN19 --- rA (---rD
. |   (   |\
. |   (   | LAN21
. |   (   |/
.LAN20 --- rB (---rC
. (
.
.
Mon problème est le suivant
Je désire que:

- les communications LAN19/LAN20 passent directement par rA et rB  
==> OK


- le path par default de LAN21 vers LAN20 soit rC -> rB ==> OK

- le path par default de LAN21 vers LAN19 soit rD -> rA ==> NOK !!!
!! Actuellement, le trafic passe toujours par rC -> rB -> rA !!

J'ai essayé de faire des routes maps avec un as-prepend sur rB et rA  
pour ajouter des sauts supplémentaires sur les chemins non voulus  
mais cela ne change rien.
Je ne dispose pas d'accès à la config. de l'AS200 pour modifier le  
chemin préféré d'entrée sur l'AS 100  (config par default) ...


sur le routeur rA j'ai mis:
!
ip prefix-list orange seq 5 permit <>
!
route-map ralong permit 10
match ip address prefix-list orange
set as-path prepend 200 200
!
neighbor 
neighbor route-map ralong

--
Luc REBERT



---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Monitoring de serveur web mutualisé s

[Youssef Ghorbal]

Bonjour,

	Nous fesons ce genre d'accounting via NetFlow sur les routeurs  
d'entree de la plate-forme.
	Les routeur envoient les infos de traffic vers un collecteur NetFlow.  
Le collecteur eclate les infos par ACL (par client, par IP source, par  
IP destination etc) et les stocke dans des RRD.

L'affichage des graphes s'effectue via les RRDTools classique.

	Bien entendu, il faut avoir la main sur les equipements de routage et  
surtout il faut que les dis equipements supportent NetFlow.


	Cette solution ne permet pas de "limiter" la bande passante par IP/ 
serveur/site... Ca ne sert que pour l'accounting.


Youssef Ghorbal
---
On Apr 27, 2009, at 2:20 PM, Gwenole Le bris wrote:


Bonjour,

Sur ma plateforme d'hébergement j'ai plusieurs serveurs  
d'hébergement web mutualisés mais aucune solution satisfaisante pour  
surveiller la bande passante par site.
Je recherche une appliance ou un logiciel qui surveille la bande  
passante par site (en ne passant pas par un javascript ou les logs  
apache) plutôt au niveau 7 OSI.


J'ai essayé les solutions suivantes mais aucune ne convient:
- Awstats
- Mod_watch + cacti
- MRTG
- Webalizer

J'ai vu aussi Packet Shaper et NetEnforcer mais ce sont des produits  
chers, n'y aurai-t-il pas des solutions moins couteuse voir gratuite ?


Merci d'avance,

Cordialement,

PS: Je ne sais pas si ça rentre dans les sujets de la liste, désolé  
si c'est HS.

--
Gwenole Le bris -- Epitech 2009
Sent from Paris, France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Juniper vous offre un livre

[Youssef Ghorbal]

Moi aussi j'ai eu le meme message... C'est sympa de meurs part !

Youssef

On May 14, 2009, at 11:25 AM, gu!llaume wrote:


Le 14/5/2009, "Pierre-Yves Marche"  a écrit:


Finalement, Juniper va aussi m'envoyer le livre.
Une affaire qui se fini bien.
A+

"
Dear Pierre-Yves

I am pleased to tell you that your chosen JUNOS® Software book
will be with you in the post shortly.
We were thrilled with the amount of interest this campaign
received but, because of the overwhelming response, were unable
to produce enough books to send to every participant.
However, because we value your interest in Juniper, we have
managed to secure additional funding so that we can send you the
book you requested.
"



J'ai trouvé la meme attention dans ma boite mail ce matin.
Comme quoi, ca sert de raler des fois... :-)
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: [FRnOG] Serveur privé VPS .uk

[Youssef Ghorbal]

> Tout depend de performance de ton infrastructure de stockage. Nous avons
> passé par plusieurs etapes à ce niveau (il faudrait 100 lignes pour tout
> expliquer, et je pense que pas mal de gens s'en foutent) et au finale nous
> avons une infra très très très performante. Tellement performante que
> nous devons "ralentir" l'accès aux disques. C'est le role de proxy iSCSI
> qui ajoute de la latence dans l'iSCSI. Grâce à ce ralentissement on sait
> gerer le debit vers l'infra de disque entre 10Mbps, 40Mbps et 100Mbps/RPS.
> Et donc on fournit 3 qualités de service dite "standard" "premium" et 
> "business".
> En "standard" on peut serieussement penser à claquer les RPS à New York.
> En "premium" partout en Europe. Et en "business" on est à 500km de Roubaix
> Valley. (on oublie Varsovie/Prague/Milano/Vienne/Zurick/Madrid).

Au contraire moi ca m'interesse beaucoup de savoir comment vous avez
fait pour avoir une infra iSCSI "tres tres tres" performante :)

Youssef
--
>
> Ca n'a pas été prevu au demarrage du projet. Tout comme les 3 types de
> qualité qu'on propose. Mais c'est venu par la suite. Comme quoi l'innovation
> et la remise en cause lorsqu'on la pousse toujours plus loin permet de faire
> de nouvelles choses autrement et de proposer qqchose qui n'a pas été proposé
> au prix impossible à faire à la 1er vue. C'est seulement couche par couche
> de reflexion et de travaux qu'on arrive à ce genre de resultat. Il n'y a pas
> de genie. Juste de la methode et des heures de taf puis un peu de recule
> pour marketer tout ça.
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Comment mon switch a exploser

[Youssef Ghorbal]

Bonjour,

 Certain d'entre vous l'ont peut etre remarque, Interoute a eu un
incident sur son backbone Parisien vers midi hier.
 Au meme moment, un de mes switch qui acceuille une Interlan (Service
FastEthernet) a commence a souffrir le martyr et dropper des paquets
(80% de perte de paquets) Le probleme est que le drop des paquetes ne
concernais pas uniquement le traffic venant ou a destinantion de ce
port en particulier mais sur tout le traffic qui traverse ce switch
(Meme le reboot de l'equipement n'as pas eu d'effet, il ne s'est calme
que quand on a vire le cable de l'Interlan)
 J'essaye donc de glaner quelques infos sur la nature exacte de
l'incident Interoute qui pourrais expliquer pourquoi mon switch est
parti en live et surtout comment me premenir contre ce genre de
situation a l'avenir. Le switch en lui meme peut etre en cause (bug ou
mauvaise implementation d'une fonction, ce qui ne m'etonne pas, vu
qu'il s'agit apres tout d'un PowerConnect de chez Dell)
 Si vous avez eu des cas similaires je suis aussi preneur de vos
retour d'experience.

Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: Re : Re: [FRnOG] Comment mon switch a exploser

[Youssef Ghorbal]

Bonjour,

 En effet, c'est visiblement une tempete de broadcast ethernet qu'on
s'est pris. D'apres les graphes, au moment du probleme le nombre de
paquet sur les ports explose.
 Sur Cisco y'a t'il des commandes pour limiter le broadcast ethetnet
par interface ou par VLAN. Un rate-limiting pour les paquets
ff:ff:ff:ff:ff:ff en quelque sorte.

Youssef Ghorbal
---

2009/7/29 marc celier :
> normalement quand une trame est corrompue et que le CRC est faux, cette
> trame est purement est simplement supprimee.
>
> Je pense qu'il s'agit de broadcasts, qui ont ete recus sur le port interoute
> est retransmis aux autres ports du meme vlan.
>
> as tu des VLAN configures sur ton switch, ou bien tous les ports sont sur le
> meme VLAN. compare les courbes de trafic des ports appartenants aux meme
> VLAN que celui ou est configure le port interoute.
>
> Durant ce probleme, nous avons recu jusqu'a 800 mbits de trafic venant de
> interoute au lieu de 300 mbits habituellement.
>
> ----- Message d'origine -
>
> De : Thomas Mangin
>
> Envoyés : 29.07.09 11:43
>
> À : Youssef Ghorbal
>
> Objet : Re: [FRnOG] Comment mon switch a exploser
>
>
>
>> pourquoi mon switch est
>> parti en live et surtout comment me premenir contre ce genre de
>> situation a l'avenir. Le switch en lui meme peut etre en cause (bug ou
>> mauvaise implementation d'une fonction, ce qui ne m'etonne pas, vu
>> qu'il s'agit apres tout d'un PowerConnect de chez Dell)
>
> Sans infos specifiques, dur a dire. Tu devais surement recevoir des
> frames corrompues sur le port.
> Cela peux causer le switch a enregister plus de MAC sur ce port que le
> switch supporte.
> Google MAC filtering :) ...
>
> Thomas
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
>
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Outil de gestion de certificats

[Youssef Ghorbal]

Bonjour,

 Je cherche un soft (avec GUI) qui permet de gerer un trousseau de
certificats SSL.
 Un soft qui permet de generer des CSR, d'exporter/importer des cles,
qui permet a quelqu'un de relativement peu technique de voir quand
expire chaque certificat, ou bien de generer un nouveau certificat
pour un nouveau site.

 J'ai trouve ceci mais je ne sais pas ce que ca vaut :
http://portecle.sourceforge.net/

Youssef Ghorbal

PS : soft payant ou pas.
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] De la gestion des fichiers de configuration

[Youssef Ghorbal]

Bonjour,

Nous sommes une equipe qui travaille sur plusieurs serveurs de types
*NIX (du GNU/Linux, du *BSD et du Solaris) Nous souhaitons mettre en
place un mecanisme qui permet de versionner les fichiers de
configuration tout en gardant la trace de qui a modifie quoi et quand.
Certain preconise l'utilisation d'outils telque CVS/SVN... Ce que je
reproche a ces outils est :
 - La non gestion native des permissions et de l'ownership des
fichiers maintenu dans le repository (qu'il soit local ou distant)
pour des fichiers de configuration ceci est tout simplement
necessaire.
 - La plupart de ces outils suivent le paradigme "copy-modify-merge"
tres utile dans le developpement logiciel mais tres peu pratique pour
des fichiers de conf qui sont edite sur place. Ce qui est adapte aux
fichiers de configuration est plutot le "lock-modify-unlock" (tres peu
supporte par ces outils)

 Qu'est ce que vous utilisez vous autres admin/sys de la liste. Est ce
qu'il existe un gestionnaire de version oriente "fichier de conf" ou
bien est ce que vous utilisez d'autres "techniques" ou bien vous avez
developpez vos propres outils ?

Bon dimanche,
Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] MTU et InterLan

[Youssef Ghorbal]

2009/11/11 gui!llaume :
> Jules-Henri Gavetti a écrit :
>> Ce qui nous manque c’est l’ « Equipement de redécoupage de paquets ».
>
> un firewall iptables pourrait faire l'affaire, en forcant le MSS sur les
> paquets :
> *iptables -t mangle -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN -o
> eth0 -j TCPMSS --set-mss 1460
>

Et qui dit qu'il ne veut pas faire de l'UDP ou tout autre protocole sur IP ?

Nous avons deja eu un probleme similaire avec un interlan Interoute. A
cette epoque, le support a suspecte que c'etait le driver vlan sous
FreeBSD qui tronquait les paquets (de mon cote) parce que l'interface
parente n'etait pas "vlan aware" (ce qui est le cas de certaines
cartes reseaux... mais pas la notre)

Dans tous les cas, il faut s'adresser a l'operateur et voir avec eux.

Youssef
-
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G

[Youssef Ghorbal]

Bonjour,

 Je ne trouve pas une reponse satisfaisante a une question somme toute
assez simple :
 Entre deux equipements avec des liens 10G (ou 40G), si l'un des cotes
du lien a une conf manuelle force a 10G Full (ou 40G full) et que
l'autre est en autoneg, est ce que c'est "grave" ? Qu'est ce qui peut
ne pas bien se passe une fois le lien etabli ?

 Les interwebs et la sagesse collective a etabli depuis longtemps
qu'il faut soit autoneg des deux cotes, soit conf manuel (et
identique) des deux cotes.

 Plus concretement, si j'ai un port reseau avec autoneg d'un cote et
force a 10G Full de l'autre cote, et que le lien est bien etabli, est
ce un fonctionnement nominal ou bien c'est foireux (dans le sens "oui
ca marche mais ce n'est pas bien") et auquel cas quels sont les
problemes qui peuvent arriver.

 Merci de vos retours.

Youssef Ghorbal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G

[Youssef Ghorbal]

On Tue, Dec 18, 2018 at 2:44 PM Alarig Le Lay  wrote:
>
> Bonjour,
>
> On mar. 18 déc. 11:34:10 2018, Youssef Ghorbal wrote:
> > Bonjour,
> >
> >  Je ne trouve pas une reponse satisfaisante a une question somme toute
> > assez simple :
> >  Entre deux equipements avec des liens 10G (ou 40G), si l'un des cotes
> > du lien a une conf manuelle force a 10G Full (ou 40G full) et que
> > l'autre est en autoneg, est ce que c'est "grave" ? Qu'est ce qui peut
> > ne pas bien se passe une fois le lien etabli ?
>
> L’autoneg n’a de sens qu’en cuivre. Comme il y a peu de chances que tu
> fasses du 10G en cuivre et que le 40G est forcément en optique, y’a pas
> de raison que tu l’utilises.

Y'a une reference qq part comme quoi l'autoneg n'a pas de sens en
dehors du cuivre ? Je suis preuneur !
Oui en effet, ma question est a prendre dans le contexte de lien fibre
pas cuivre.

Youssef


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G

[Youssef Ghorbal]

Merci pour tout ces retours mais concretement pour la question initiale :
Ca a du sens l'autoneg sur des liens 10G/40G fibre ? (j'imagine que
oui, vu les optiques dual speed et le flowcontrol ?)
C'est grave docteur d'avoir de l'autoneg d'un cote et du force de l'autre ?
Quels sont les risques/problemes ?

Youssef

On Tue, Dec 18, 2018 at 5:35 PM Philippe Bolle
 wrote:
>
> Cher Michel,
>
> Pas de problème car transparent dans les deux modules car pas de CDR.
>
> Philippe Bolle
> Managing Director
>
>
>
>
>
> Rue du Moulin, 18 | B-5650 Fraire
> Tél.: +32 (0) 71 61 06 40 | Mobile: +32 (0) 498 88 34 00
> Web: https://www.skylaneoptics.com
>
>
>
>
>
>
>
> -Original Message-
> From: Michel Hostettler 
> Sent: 18 December 2018 17:32
> To: Philippe Bolle 
> Cc: Hugues Voiturier ; Manuel Guesdon 
> ; Youssef Ghorbal ; Alarig 
> Le Lay ; frnog 
> Subject: Re: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G
>
> OK pour le budget.
>
> Mais... sapristoche... le R de LR désigne un codage de canal 64B/66B... ce 
> qui n'existe pas en 1G !
>
> Cordialement,
> Michel
>
> - Mail original -
> De: "Philippe Bolle" 
> À: "Michel Hostettler" , "Hugues 
> Voiturier" 
> Cc: "Manuel Guesdon" , "Youssef Ghorbal" 
> , "Alarig Le Lay" , "frnog" 
> 
> Envoyé: Mardi 18 Décembre 2018 17:15:55
> Objet: RE: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G
>
> Oui mais le budget optique sera différent entre le 10G et le 1G.
>
> SFP+ 10G LR est avec un budget optique de 6,2 dB
> SFP 1G LR est avec un budget optique de 11 dB.
> Donc en fonction du budget nécessaire il y a une différence entre 1G et 10G 
> car le TIA du récepteur ne sera pas optimisé pour 1G sur le 10G.
>
> BR
>
> Philippe Bolle
> Managing Director
>
>
>
>
>
> Rue du Moulin, 18 | B-5650 Fraire
> Tél.: +32 (0) 71 61 06 40 | Mobile: +32 (0) 498 88 34 00
> Web: https://www.skylaneoptics.com
>
>
>
>
>
>
>
> -Original Message-
> From: Michel Hostettler 
> Sent: 18 December 2018 16:52
> To: Hugues Voiturier 
> Cc: Philippe Bolle ; Manuel Guesdon 
> ; Youssef Ghorbal ; Alarig 
> Le Lay ; frnog 
> Subject: Re: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G
>
> Bonjour,
>
> > Quelle est cette sorcellerie ? :D
>
> Comme le SFP+ doit intégrer la totalité de la couche physique (et pas 
> seulement la couche PMD, il faut, à mon humble avis :
>
> (1) que les fenêtres optiques pour 1G et 10G soient identiques,
> (2) que les codages de canal soient identiques c'est à dire 8B/10B.
>
> Donc forcer un membre de la famille 10GBase-LX en un membre de la famille 
> 1000Base-LX ne doit pas trop surprendre.
>
> Cordialement, Michel
>
> - Mail original -
> De: "Hugues Voiturier" 
> À: "Philippe Bolle" 
> Cc: "Manuel Guesdon" , "Youssef Ghorbal" 
> , "Alarig Le Lay" , "frnog" 
> 
> Envoyé: Mardi 18 Décembre 2018 16:24:45
> Objet: Re: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G et 40G
>
> Merci Philippe !
>
> Sur Mikrotik, tu peux sans souci mettre un SFP+ 10G quelconque, et le forcer 
> en 1G, sous réserve que celui d’en face soit configuré pareil, le lien monte…
>
> Quelle est cette sorcellerie ? :D
>
> Hugues
> AS57199 - AS50628
>
> > On 18 Dec 2018, at 16:22, Philippe Bolle  
> > wrote:
> >
> > Cher vous tous,
> >
> > Philippe de Skylane optics.
> >
> > SFP TRX peuvent tous travailler à FE et GBE SFP copper qui utilise un
> > phy Marvell peuvent autoneg avec 10/100/1000
> > SFP+ 10G ne fonctionne qu'à partir de 8 FC jusque 10G OTU mais normalement 
> > testé jusque 10GBE.
> > Il existe des SFP+ qui sont bi-rate 1G/10G mais très rare dans le marché et 
> > plus cher.
> >
> > Mon petit message pour vous.
> >
> > Philippe Bolle
> > Managing Director
> >
> >
> >
> >
> >
> > Rue du Moulin, 18 | B-5650 Fraire
> > Tél.: +32 (0) 71 61 06 40 | Mobile: +32 (0) 498 88 34 00
> > Web: https://www.skylaneoptics.com
> >
> >
> >
> >
> >
> >
> >
> > -Original Message-
> > From: frnog-requ...@frnog.org  On Behalf Of
> > Hugues Voiturier
> > Sent: 18 December 2018 16:08
> > To: Manuel Guesdon 
> > Cc: Youssef Ghorbal ; Alarig Le Lay
> > ; frnog@frnog.org
> > Subject: Re: [FRnOG] [TECH] autoneg et non autoneg sur des ports 10G
> > et 4

Re: [FRnOG] [TECH] DNS adressage publique et privé d'un même domaine

[Youssef Ghorbal]

> Pour moi la best practice sur un AD (car j'ai l'impression que c'est de cela 
> dont on parle) c'est :
> 1 - partir d'un domaine "racine" publique (example.com), sinon ca va être 
> compliqué/impossible d'utiliser les produits Cloud de Microsoft
> 2 - avoir des DNS pub en DMZ ou chez n'importe quel hébergeur ou vendeur de 
> domaines... idéalement sur des AS différents
> 3 - avoir une zone interne, type corp.example.com pour ton AD et tes Linux, 
> etc... donc en IP privées
> 4 - ne surtout pas avoir de copie de ta zone pub (example.com) sur ton DNS 
> interne sinon il faut faire les modifs sur tes DNS pub et sur ton DNS interne
> 5 - si besoin d'un record dans corp.example.com en IP pub, côté Internet, 
> alors tu crées corp.example.com sur le DNS pub et tu crées uniquement le 
> record nécessaire
>
> Voilà, là c'est propre et safe...

Jusqu'au jour ou tu installes Lync/Skype For Business (ou son future
nom quand un marketeux aura change d'avis) Ce machin oblige pour
fonctionner d'avoir des enregistrements sur la zone racine example.com
avec des contraintes a la con :
- ceux qui doivent l'etre de l'extreieur et pas de l'interieur.
- ceux qui doivent l'etre de l'interieur et pas de l'exterieur
- ceux qui sont visible de l'intereiur et de l'exterieur mais avec des
IPs differentes.

Un enfer sans nom et qui casse le modele (notamment de la regle 4) Il
devrait y avoir des lois contre ca.

On a ete oblige d'introduire un split DNS rien que pr ca (et qui
depuis n'a servi que pour ca)

Youssef Ghorbal


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [MISC] [FRnOG] [TECH] Vitesses DAC vs fibre

[Youssef Ghorbal]

>
>
> >> Cuivre 10Gb/s RJ45
> > a éviter a tout prix
> >
> Il y a 9 ans, j'ai câblé mon réseau en 6a pour qu'il soit compatible 10
> Gb/s en
> me disant que je pourrais profiter du 10G lorsque les switchs 10G aurait
> un
> tarif abordable. J'ai mal anticipé ?
>
> Pourquoi le cuivre 10 Gb/s RJ45 est-il à éviter à tout prix ?
>

Moi aussi ca m'interpelle : avec des switchs 10G RJ45, des serveurs avec
des ports 10G RJ45 integre, et les bons cordons ?

Youssef

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Recherche Problématique à Étudier

[Youssef Ghorbal]

IPv6

On Sat 25 May 2019 at 11:59, Diogo MDS  wrote:

> Bonjour à toutes et tous,
>
> Actuellement en Master  Réseau System, Cloud, je suis à la recherche d'une
> problématique à étudier dans le monde de l'IT.
>
> Je sais que pas mal de personne se posent des questions sur pas mal de
> sujet et j'aimerai donc profiter de FRnog afin de choisir un sujet
> intéressant que je pourrai développer avec mon binôme au mois de Mars
> l'année prochaine et aussi une soutenance à laquelle vous pourrez
> participer et faire parti du Jury  si je sujet vous tient à cœur.
>
> Je suis à l'écoute de vos idées, de vos interrogations.
>
> En vous remerciant,
> Un excellent week à toutes et à tous,
> Diogo
> 
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Poste d'administration multi-niveaux

[Youssef Ghorbal]

En effet, il n'y a pas de bonnes solutions, l'administrateur va
"souffir" (en comparaison a un setup moins secure selon le ref ANSSI)
Dans tt les versions il y'a deux systemes 1 d'admin, 1 de bureatique.
Le poste d'admin est forcement physique, le poste bureautique est soit
physique soit une VM. L'acces est uniquement autorise depuis le poste
d'admin vers le poste bureautique.
La version la moins penible, je trouve, est un bureau distant depuis
le poste d'admin vers le poste bureautique qui autorise le
copier/coller, mais il faut accepter la perte de qq fonctionnalites
"attendu" d'un poste bureautique (la video avec son dans le cadre de
visioconf par exemple) Il faudra dans ce cas fournir un poste nomade
pr la visio pr les admins en question.
Dans tous les cas, il reste a traiter les problemes de teletravail ds
ce contexte ainsi que la telemaintenance :)

Youssef

On Mon, Jul 1, 2019 at 1:16 PM Thierry Del-Monte  wrote:
>
> Bonjour,
>
> Merci à tous pour vos échanges et vos idées.
> Comme je m'y attendais, le sujet est loin d'être simple.
>
> La R9-- propose l'utilisation d'un VDI pour accéder à l'internet mais le 
> déconseille pour administrer des Hyperviseurs et des Annuaires.
> La R9- est a solution la plus sexy (utilisation de poste multi-niveaux) mais 
> peu de solutions sur le marché, l'ANSSI développe Clip-OS depuis 2006 mais en 
> 2019 toujours pas de version utilisable en production et SEDUCS en lisant le 
> PDF je n'ai pas compris ce que cela faisait exactement.
> La R9 demande d'avoir deux PC physiques différents (là je vais perdre tous 
> mes ingénieurs ...)
>
> S'il y a des personnes de l'ANSSI sur la liste, il serait intéressant qu'ils 
> puissent partager dans les grandes lignes la solution mise en place chez eux.
>
> Thierry
>
>
>
>
> Le 29/06/2019 à 17:22, Stéphane Rivière a écrit :
>
> Le 29/06/2019 à 16:51, Florent CARRÉ a écrit :
>
> Bonjour tout le monde,
>
> Je plussoie ton approche, y compris l'excellent saltstack. Xen a une
> empreinte bien plus faible qu'un nux. Enfin, on va pas détailler, suffit
> d'aller voir sur le site de Qubes ou mater leurs ML...
>
> Maintenant, comme tu dis, bon courage... (et n'oublions pas la "cape de
> zorro" pour taper les credentials, de boucher/briquer tous les ports
> pour la "femme de chambre", etc...).
>
> Sans compter le hardware. Un PC sans hardware certifié, il sert à quoi
> l'OS ultra sécurisé ? À rester bien au chaud dans un intranet blindé.
>
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Cloudfail

[Youssef Ghorbal]

Une refrence (pr cette annonce) a partager ?

Youssef

On Tue, Jul 30, 2019 at 4:21 PM David Ponzone  wrote:
>
> Annonce de la fermeture de Cloudwatt.
> Quelqu’un peut me rappeler quelle somme a été engloutie dans ce truc ?
>
> David Ponzone
>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Appliance NTP

[Youssef Ghorbal]

Bonjour la liste,

 Est ce que vous connaissez/utilisez des appliances NTP Stratum 1 qui
peuvent fonctionner a l'interieur d'une salle machine en beton :)
 Un equipement qui peut se synchroniser avec des sources autre que GPS
(Longues ondes... etc) et une bonne horloge atomique pour prendre le
relais en cas de perte momentanee du signal.

Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Chassis VS stack

[Youssef Ghorbal]

Bonjour,

 Je ne sais pas s'il s'agit du bon endroit pour poser la question
parce qu'il s'agit d'un envirennement reseau type "campus" et non
"operateur".
 Je suis entrain d'etudier la possibilite de remplacer les
commutateurs de quelques batiements du "campus" et j'ai des
propostions selon deux modeles :
 - Des commutateurs en chassis : le truc habituel, des cartes, alims
consolidee etc
 - Des stacks 1U : un certain nombre de 1U stacke avec une notion de
consolidation logicielle pour voir le truc comme un seul gros switch

 Je suis assez familier avec les chassis mais ma seule experience avec
les stack remonte un peu dans le temps et n'etait pas tres conculante
(des Nortel de memoire)

 Est ce que vous des retours du terrain sur des solutions en "stack",
est ce que ca passe a l'echelle correctement (on parle de quelques
centaines de prises) Quels types de problemes avez vous rencontrez
dessus.

 Merci de vos retours

Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Chassis VS stack

[Youssef Ghorbal]

2011/3/22 Jérôme Nicolle :
> Le mardi 22 mars 2011 à 19:06 +0100, Radu-Adrian Feurdean a écrit :
>> Pour la marque "C", c'est surtout flagrant au niveau prix. Pour moins
>> de
>> 200 prises, c'est clairement le stack qui gagne (surtout avec le
>> 2960S).
>> Entre 200 et 400 prises le 4500 commence a voir du sens. Le 6500, je
>> dirai que c'est a partir de 400 prises (que tu veux sous aucun prix
>> diviser dans 2 x 200).
>
> En cherchant bien chez nos amis broker, un gros châssis avec des cartes
> fast ethernet sans POE, ça coute quasiment rien. C'est autre chose en
> gigabit, mais si ce n'est pas un prérequis, autant en profiter.

Bah en fait la situation que tu decris est la situation qu'on voudrait
changer. On veut avoir du Giga a la prise/POE.

Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: Chassis VS stack

[Youssef Ghorbal]

2011/3/22 Youssef Ghorbal :

[...]

>  Est ce que vous des retours du terrain sur des solutions en "stack",
> est ce que ca passe a l'echelle correctement (on parle de quelques
> centaines de prises) Quels types de problemes avez vous rencontrez
> dessus.

Pour recentrer un peu le debat :)
Je ne suis pas a la recherche d'une marque ou d'un contrcuteur precis.
Ce qui m'interesse c'est de savoir si les gens qui ont mis en place la
techno stack  recemment en sont content (ou pas) quels sont les
avantages, les ecueils qu'ils ont rencontre. Est ce qu'ils ont ete
confronte a des difficultes particulieres et se sont dis a un moment
"avec des chassis on n'aurais pas eu ceci ou cela"

Le contexte est un contexte Campus, il s'agit de la couche d'acces
avec Giga+PoE a la prise. avec une concentration de type 400 a 800
prises par local technique.

Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: Chassis VS stack

[Youssef Ghorbal]

2011/3/23 Clement Cavadore :
> La question à se poser est plutôt dans quel sens seront les matrices de
> flux réseaux.
>
> S'ils sont de type "prise-à-prise", ou plutot "prise-à-uplink (ou
> serveur)".
>
> Dans le premier cas, ma préférence irait plutôt au chassis (car tu n'as
> pas de problematique de backplane en chassis digne de ce nom)
> Dans le deuxième cas, un stack éventuellement pourait le faire, quitte à
> uplinker le chassis (si nécessaire) en LACP avec un membre du
> lacp/stack.

Il s'agit d'un traffic plutot "prise-a-uplink", mais je ne peux pas me
permettre de tirer de fibres a gogo entre les batiments. je suis en
moyenne a un tiroire de 12 fibres par local.

Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: Chassis VS stack

[Youssef Ghorbal]

2011/3/23 Sylvain Rutten :
> Oui en plus je pense qu'il a les moyens le monsieur.
> VoIp en Giga, veux dire tel en Giga et ça c'est pas pour les pauvres.
> Donc bon je pense qu'il peut prendre du châssis 7613  avec des alims de 6000W.

Non, le monsieur n'a pas vraiement les moyens. Le probleme est que par
defaut il nous est impossible de prevoire quel sont les prises qui
seront utilises pour les telephones et quels sont qui seront utilisee
pour des postes. Si on commence a s'amuser a categoriser les prises,
on n'est pas sorti de l'auberge. Prevoire des equipements en
FastEtehrnet+PoE pour telephones et d'autres en Giga pour les postes
n'est pas viable.

Le stack parait seduisant comme approche sur le papier. Ca permet de
suivre de maniere plus fine l'evolution de prises brasses. Rajouter un
chassis avec 1 carte 48 ports pour 10 prises ca fait mal au c**, mais
rajouter un 48 ports au stack c'est plus abordable.

Merci a tous pour vos reponses / suggestions. Je retiens le fait que
le stack a pas mal evolue que ca peut etre une solution viable pour la
couche d'acces, qu'il faut faire gaffe aux parametres tel que conso
electrique et disspation en chaleur.

Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Re: Chassis VS stack

[Youssef Ghorbal]

On Wed, Mar 23, 2011 at 6:37 PM, Radu-Adrian Feurdean  wrote:
> On Wed, 23 Mar 2011 18:08:38 +0100, "Youssef Ghorbal"
>  said:
>
>> couche d'acces, qu'il faut faire gaffe aux parametres tel que conso
>> electrique et disspation en chaleur.
>
> Aussi a la multiplication par 10 ou plus !
> A ce niveau la les solutions qui semblent delirantes pour quelques
> dizaines de ports commencent a prendre un sens

Dans un contexte Campus, ca arrive tres rarement, une fois le batiment
construit et cable, les prises se rajoutent par 10aines sur une
periode de temps assez longue.

Mais je suis d'accord sur le principe.

Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

[Youssef Ghorbal]

Bonjour,

 Je suis entrain de tracker un probleme de debit entre un site A a Paris et un 
site B a Madagascar.
 Le site A est raccorde a Cogent
 Le site B est raccorde a Telecom Malagasy (Telma)

 Le site B ne peut pas depasser un debit de ~300KB/s avec un bete curl HTTPS 
vers le site A (c'est reproductible quelque soit l'heure du test)
 Le site B peut atteindre des debits x10 avec des curl HTTPS vers plusieurs 
destinations en France (OVH par exemple) ou en Allemagne (Hetzner) ou divers 
tests de debits en ligne.
 Le curl HTTPS vers le site A depuis des sources en France/Allemagne ne montre 
aucun probleme de debit.
 Les points d'entrees/sorties/filtrages des sites A et B ont ete largement 
inspectes/verifies (pas de traffic shaping specifique ou des acrobaties du 
genre)
 
 Comme les sites sont en fin de compte joignables, je ne me vois pas engager 
les supports des deux operateurs. En tt cas pas sans d'autres elements pour 
pointer qu'il y'a un probleme qq part sur le chemin.

 Je voudrais savoir quel serait la meilleure approche pour aller plus loin et 
collecter les bons elements a presenter aux supports des deux operateurs pour 
qu'ils soient en mesure de creuser de leurs cote ?
 - Faire des traceroute de A vers B et de B vers A ?
 - Faire des captures de traffic pendant les curl (qui pourrais peut etre 
demontrer de la perte de packet et de la retransmissions ?)
 - Dumper l'ensemble des elements ici (dans la liste) et esperer qu'une ame 
charitable pourrais pointer du doigt un truc ?

 Toute idee de tests ou de pistes a explorer est la bienvenue !

 Merci !

Youssef
 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

[Youssef Ghorbal]

Bonjour la liste,

 Merci pour tous ces elements, je collecte les differents elements et je vous 
envoie ca dans les prochains jours.

Youssef

On Tue, Apr 11, 2023, at 13:33, Pavel Polyakov wrote:
> "Youssef Ghorbal"  wrote:
>
>> Je voudrais savoir quel serait la meilleure approche pour aller plus
>> loin et collecter les bons elements a presenter aux supports des deux
>> operateurs pour qu'ils soient en mesure de creuser de leurs cote ?
>
> Faire d'abord les tests en UDP pour voir à partir de quel débit ça
> commence à merder et voir si la limitation est stable ou si il y a de la
> gigue.
>
> Ensuite je pense que Telecom Malagasy n'a que très peu de capacité avec
> Cogent. On peut voir que seuls certains réseaux de Telecom Malagasy
> sont annoncés directement à Cogent.
>
> Peux-tu fournir une adresse ou au moins le réseau dans lequel se trouve
> ton adresse ?
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

[Youssef Ghorbal]

 250.0   0.0   0.0   0.0   0.0
  8.|-- tgn.149.9.192.dts.mg   0.0%25   12.0  12.6  11.3  21.4   1.9
  9.|-- mx-10-2-tul-ae0-to-mx-10-  0.0%25   18.9  18.6  17.4  19.9   0.7
 10.|-- tgn.126.82.122.tgn.mg  4.0%25  215.8 215.9 214.8 219.2   1.0
 11.|-- hu0-0-0-10.ccr31.par04.at  0.0%25  210.2 212.3 210.1 226.8   4.0
 12.|-- be2067.ccr32.par04.atlas.  0.0%25  188.6 188.1 186.9 190.4   0.8
 13.|-- iliad.demarc.cogentco.com  0.0%25  187.5 187.7 186.7 188.7   0.7
 14.|-- p19-49m-1-v912.intf.nra.p  0.0%25  193.0 193.6 192.5 194.6   0.7
 15.|-- bzn-9k-2-sys-be2001.intf.  0.0%25  194.5 193.6 192.7 194.5   0.5
 16.|-- ftp.proxad.net 0.0%25  194.5 194.4 193.5 195.4   0.6

Traceroute depuis Pasteur :

traceroute to 102.16.125.26 (102.16.125.26), 64 hops max, 40 byte packets
 1  vlan64.feta.net.pasteur.fr (157.99.64.1)  0.372 ms  0.757 ms  0.254 ms
 2  10.5.3.65 (10.5.3.65)  1.085 ms  1.201 ms  1.058 ms
 3  10.5.3.57 (10.5.3.57)  1.210 ms  1.362 ms  1.197 ms
 4  10.5.3.98 (10.5.3.98)  1.403 ms  1.527 ms  1.390 ms
 5  te0-6-0-1-6.agr21.par04.atlas.cogentco.com (149.11.175.97)  1.695 ms  2.320 
ms  2.049 ms
 6  be3169.ccr31.par04.atlas.cogentco.com (154.54.37.237)  2.399 ms  2.091 ms  
10.124 ms
 7  149.6.178.186 (149.6.178.186)  1.861 ms  2.199 ms  1.753 ms
 8  tgn.126.82.123.tgn.mg (154.126.82.123)  176.465 ms
7710src12-1-1-1-to-mx-480-par.tgn.mg (41.188.60.215)  9.993 ms  10.314 ms
 9  pau2-reu-man-reu.tgn.mg (154.126.82.150)  213.055 ms
tgn.16.3.193.tgn.mg (102.16.3.193)  209.848 ms
tgn.16.86.4.tgn.mg (102.16.86.4)  9.825 ms
10  mou-reu-pau1-reu.tgn.mg (154.126.82.141)  210.229 ms
tgn.16.35.105.tgn.mg (102.16.35.105)  182.578 ms  183.172 ms
11  tgn.149.9.193.dts.mg (197.149.9.193)  198.629 ms
gal-er-1-gal-cr-1.tgn.mg (154.126.77.22)  189.094 ms
slh-reu-spi-reu.tgn.mg (154.126.82.158)  212.806 ms
12  spi-reu-pth-reu.tgn.mg (154.126.82.162)  213.281 ms
mar-reu-pop1-reu.tgn.mg (154.126.82.217)  210.172 ms
gal-er-1-gal-er-1-sdv-1.tgn.mg (154.126.77.58)  194.563 ms
13  pth-reu-con-reu.tgn.mg (154.126.82.166)  215.306 ms
tgn.16.35.41.tgn.mg (102.16.35.41)  194.368 ms  190.057 ms
14  con-reu-pop2-reu.tgn.mg (154.126.82.181)  213.250 ms *
gal-cr-1-tmm-cr-1.tgn.mg (154.126.77.173)  210.686 ms
15  gal-er-1-gal-cr-1.tgn.mg (154.126.77.22)  194.528 ms  210.462 ms  194.614 ms
16  * * gal-er-1-gal-er-1-sdv-1.tgn.mg (154.126.77.58)  194.855 ms
17  * * *
18  * * *

 (vu les noms des hops, j'ai l'impression qu'il passe pas mal de temps a La 
Reunion ?)

Les pcaps (cote Mada lors des wget) sont ici :
 fast.pcap : 
https://ln5.sync.com/dl/0b45075b0/a7v3n9uw-vheq2d6e-7grt3enk-4ch3hdu4
 slow.pcap : 
https://ln5.sync.com/dl/935daee30/u94xhvkc-54u7mghc-nqgpdsjj-hkrrqpx3

 Je prend tt ce que vous pouvez trouvez !
 Merci.

Youssef
--
On Wed, Apr 12, 2023, at 13:53, Youssef Ghorbal wrote:
> Bonjour la liste,
>
>  Merci pour tous ces elements, je collecte les differents elements et 
> je vous envoie ca dans les prochains jours.
>
> Youssef
>
> On Tue, Apr 11, 2023, at 13:33, Pavel Polyakov wrote:
>> "Youssef Ghorbal"  wrote:
>>
>>> Je voudrais savoir quel serait la meilleure approche pour aller plus
>>> loin et collecter les bons elements a presenter aux supports des deux
>>> operateurs pour qu'ils soient en mesure de creuser de leurs cote ?
>>
>> Faire d'abord les tests en UDP pour voir à partir de quel débit ça
>> commence à merder et voir si la limitation est stable ou si il y a de la
>> gigue.
>>
>> Ensuite je pense que Telecom Malagasy n'a que très peu de capacité avec
>> Cogent. On peut voir que seuls certains réseaux de Telecom Malagasy
>> sont annoncés directement à Cogent.
>>
>> Peux-tu fournir une adresse ou au moins le réseau dans lequel se trouve
>> ton adresse ?
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

[Youssef Ghorbal]

Je rappelle que la target 157.99.21.75 n’est « lente » que depuis la source 
situee a Madagascar. Ca marche tres bien de partout !

Youssef

On Thu, Apr 27, 2023, at 20:53, David Ponzone wrote:
> Hmm si le paquet avec une RFC1918 comme source arrive jusqu’à 
> l’émetteur du traceroute, on peut s’inquiéter sur le filtrage de tous 
> les opérateurs entre la source et Pasteur :)
>
> D’ailleurs, pour ma part, j’ai:
>
> traceroute to (157.99.21.75), 30 hops max, 60 byte packets
>  1  31-193-131-162.static.as29550.net (31.193.131.162)  2.300 ms  2.287 
> ms  2.280 ms
>  2  92-48-64-97.static.as29550.net (92.48.64.97)  0.479 ms  0.466 ms  
> 0.456 ms
>  3  ae1-cr0.the.as29550.net (91.186.5.249)  1.579 ms  1.596 ms  1.567 ms
>  4  ldn-b7-link.ip.twelve99.net (62.115.185.60)  1.550 ms  1.538 ms  
> 1.598 ms
>  5  ldn-bb1-link.ip.twelve99.net (62.115.138.150)  2.120 ms  2.110 ms  
> 2.172 ms
>  6  ldn-b3-link.ip.twelve99.net (62.115.120.75)  2.080 ms  2.182 ms  
> 1.799 ms
>  7  * * *
>  8  be2871.ccr42.lon13.atlas.cogentco.com (154.54.58.185)  9.817 ms  
> 9.698 ms  9.549 ms
>  9  be12489.ccr42.par01.atlas.cogentco.com (154.54.57.70)  9.772 ms  
> 9.899 ms  10.007 ms
> 10  be3184.ccr31.par04.atlas.cogentco.com (154.54.38.158)  9.865 ms  
> 9.864 ms  9.851 ms
> 11  be3169.agr21.par04.atlas.cogentco.com (154.54.37.238)  9.836 ms  
> 10.189 ms  10.176 ms
> 12  149.11.175.98 (149.11.175.98)  9.805 ms  9.782 ms  9.779 ms
> 13  * * *
> 14  * * *
> 15  * * *
> 16  * * *
> 17  * * *
> 18  * * *
> 19  * * *
> 20  * * *
> 21  * * *
> 22  * * *
>
>
>> Le 27 avr. 2023 à 19:53, Paul Rolland (ポール・ロラン)  a 
>> écrit :
>> 
>> Bonjour,
>> 
>> On Thu, 27 Apr 2023 19:49:03 +0200
>> Daniel via frnog  wrote:
>> 
 15  * * *  
>>> ??? Cogent vers 10.5.3.99 et plus rien. Je pense que le problème est 
>>> chez Cogent
>> 
>> A moins que 10.5.x.y, ca soit la sauce interne de Pasteur, qui utiliserait
>> ca pour adresser ses routeurs internes avant d'arriver sur ses lans
>> serveurs ?
>> 
>> Paul
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

[Youssef Ghorbal]

On Thu, Apr 27, 2023, at 22:44, Daniel via frnog wrote:
> Le 27/04/2023 à 21:04, Youssef Ghorbal a écrit :
>> Je rappelle que la target 157.99.21.75 n’est « lente » que depuis la source 
>> situee a Madagascar. Ca marche tres bien de partout !
>
> Oui, mais il n'y a qu'à partir de Madagascar que l'IP 10.5.3.99 apparait 
> dans un traceroute, ceci explique peut être cela.
>
> Cogent est il l'opérateur de pasteur.fr ?

Oui c’est bien le cas !

Youssef


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

[Youssef Ghorbal]

On Thu, Apr 27, 2023, at 22:55, Daniel via frnog wrote:
> Le 27/04/2023 à 22:49, Youssef Ghorbal a écrit :
>>
>> On Thu, Apr 27, 2023, at 22:44, Daniel via frnog wrote:
>>> Le 27/04/2023 à 21:04, Youssef Ghorbal a écrit :
>>>> Je rappelle que la target 157.99.21.75 n’est « lente » que depuis la 
>>>> source situee a Madagascar. Ca marche tres bien de partout !
>>> Oui, mais il n'y a qu'à partir de Madagascar que l'IP 10.5.3.99 apparait
>>> dans un traceroute, ceci explique peut être cela.
>>>
>>> Cogent est il l'opérateur de pasteur.fr ?
>> Oui c’est bien le cas !
>
> L'ip 10.5.3.99 -qui à mon avis est le noeud du problème- est elle du 
> réseau interne pasteur ?

Ca l’est. C’est des IPs d’interconde routeurs.

> Si oui, problème sur le réseau pasteur,

Dans quel mesure ? Genre quel phenome se produit qui fait intervenir ces IPs 
intermediaires et qui pourrais expliquer le debit pourris ?

 si non, elle est interne à 
> Cogent et il faut voir avec eux.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

[Youssef Ghorbal]

C'est entendu pour la boulette sur filtrage RFC1918 en sortie de l'AS29110 
(Pasteur) Je ne peux pas me prononcer sur Cogent ni Telecom Malagasy.

Moi aussi, je ne vois pas ce que ca pourrais engendrer en terme de debit. Si 
c'etait un probleme de "reachability" (genre le truc n'etait meme pas 
accessible) la j'aurais a la limite creuser plus cette piste, mais la c'est 
joignable et y'a tres peu de perte de dechets TCP (selon les pcap)

Pour moi le mystere reste entier, a la lecture des traceroutes (PAsteur -> Mada 
et de Mada -> Pasteur) j'ai comme l'impression que ce n'est pas le meme 
"chemin" en terme de hops surtt dans le reseau de Telecom Malagasy.

Tiens, je vais tester un "upload" vers la meme target, peut etre que le chemin 
alle est moins encombre !

Youssef

On Fri, Apr 28, 2023, at 09:47, David Ponzone wrote:
> Je ne suis pas convaincu que ça ait un rapport.
>
> Pasteur a choisi d’utiliser des IP RFC1918 sur des intercos internes. 
> Parce que c’est toujours l’IP de l’interface egress qui est utilisée 
> pour la réponse à un paquet, il arrive qu’une IP RFC1918 soit utilisée 
> dans une réponse de traceroute.
> Idéalement, tous les transitaires, et aussi Pasteur, devraient filtrés 
> les paquets qui sortent ou entrent de leur réseau avec une RFC1918 
> comme source (et on aurait * * * dans le traceroute), et il semble 
> qu’aucun des 3 ne le fasse, ce qui est assez surprenant.
> Mais j’ai du mal à voir comment ça pourrait expliquer un problème de 
> débit.
>
>> Le 28 avr. 2023 à 09:23, Daniel via frnog  a écrit :
>> 
>> 
>> Comme l'a fait remarqué David, je cite:
>> 
>> "Hmm si le paquet avec une RFC1918 comme source arrive jusqu’à l’émetteur du 
>> traceroute, on peut s’inquiéter sur le filtrage de tous les opérateurs entre 
>> la source et Pasteur 😄"
>> 
>> Cette Ip ne devrait jamais apparaitre sur le traceroute. Je suppose 
>> également qu'un traitement est fait en entrée de réseau sur la/les IPs 
>> sources de Madagascar -si non, tout le monde passerait par cette IP- et 
>> c'est là qu'est le problème.
>> 
>> Il y a à minima 2 problèmes à régler sur le réseau pasteur.fr
>> 
>> -- 
>> Daniel
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Aide a qualifier un probleme de debit entre Paris et Madagascar

[Youssef Ghorbal]

On Fri, Apr 28, 2023, at 15:31, Yann wrote:
> Bonjour,
>
> Le 27/04/2023 à 18:50, Youssef Ghorbal a écrit :
>>  https://dl.pasteur.fr/fop/AFRqq4EX/50M
>
> https://i.ibb.co/XJQ7bXK/pb-conf-wndscale-dl-pasteur-fr.png
>
> Le TCP window scale semble désactivé sur ce serveur, ce qui limite la
> fenêtre TCP à 64 Ko et bride fortement le débit dès lors que le BDP
> est élevé.
> En prenant l'exemple du site de Madagascar qui a un RTT avec
> dl.pasteur.fr de 213ms environ d'après les traceroutes fournis, on
> obtient bien un débit max théorique de 64 Ko / 0.213s = 300 Ko/s.

EUREKA! C'etait bien ca ! Le reverse proxy en face du service avait bien des 
regles limitant le windows scaling a 1 !

Merci Yann \o/

Youssef

PS : moi aussi je suis interesse par l'outil que tu utilises (dans le 
screenshot)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Free Mobile et la 2G ?!

[Youssef Ghorbal]

Bonjour,

 Je pars d'une situation personnelle pour ouvrir la question. J'ai un telephone 
"basique" qui ne sais faire que de la 2G. Il fonctionnait parfaitement bien 
jusqu'a fin Juillet au moment ou je l'ai eteint pour un deplacement a 
l'etrange. De retour (mi Aout) il n'arrive plus a "accrocher" au reseau Free 
Mobile (teste dans le 92 et dans Paris)
 La puce Free fonctionne bien sur un smartphone en 3G/4G etc.
 La puce Free ne fonctionne pas sur le meme smartphone quand on le force a 
faire de la 2G.
 Une puce Orange fonctionne bien avec le telephone "basique".

 J'ai lu que depuis Janvier 2023 Free Mobile a arrete sont "petit" reseau 2G en 
faveur d'une itenerance sur le reseau d'Orange [0] Mais je n'ai lu nulle part 
que la 2G etait completement "arrete". La seule date annonncee pour la 2G est 
plutot de l'ordre de Dec 2025.
 Il y'a quelque temoignages de cas similaires sur les forums avec plus au moins 
de pertinence [1] (ca vaut ce que ca vaut, mais les divers descriptifs 
correspondent au use case)

 Evidemment le support Free n'est d'aucune utilite vu que la puce fonctionne 
correctement dans le cas classique (smartphone 3G/4G)

 Je sais que la liste n'est pas le support de Free, et je ne cherche vraiment 
pas de solution a mon probleme (il y'a des contournements evidents) je veux 
juste comprendre, par bete curiosite, quels mecanismes techniques pourrait 
entrer en jeu pour expliquer le phenomene, mes cours de GSM/UMTS remontent a 
tres loin :D

 Merci de vos retours.

Youssef

[0] 
https://www.arcep.fr/actualites/les-consultations-publiques/p/gp/detail/contrat-itinerance-free-mobile-orange-prolongation-2025-070922.html
[1] 
https://forum.universfreebox.com/viewtopic.php?t=86241&postdays=0&postorder=asc&start=0&sid=a345a1b08558d49e3e75b87dd2abfb8a


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] L7 switching avec des ServerIronXL (Foundry)

[Youssef Ghorbal]

Bonjour,

	J'ai sous la main un ServerIronXL de Foundry Networks qui est  
destine a faire de la repartition de charge entre un cluster de  
serveurs web.
	L'equipement est d'occasaion donc pas et par consequance je n'ai pas  
de support dessus.


	Je peine depuis quelques jours a faire marcher le L7 switching (url  
hashing, cookie switching... etc) sur cet equipement et ce n'est pas  
faute d'avoir lu et applique ce qui est dans la documentation. Je  
m'adresse donc a vous. Est ce qu'il y'a parmi vous des gens qui ont  
deja manipule ce genre d'equipement qui pourrais m'aider.


Cordialement,
Youssef Ghorbal
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Outils d'accounting/billing

[Youssef Ghorbal]

Bonjour,

	Je cherche une solution pour faire de l'accounting (qui serviras a  
faire de la facturation de traffic et de bande passante)
	Pour l'instant j'ai des "scripts maison" qui tournenent a droites et  
a gauche mais qui commencent a s'essoufler.


	Je veux que le systeme me permette de calculer la bande passante  
(percentile 95) et le traffic global vers des sous reseau ou des ips,  
et eventuellement de faire des graphes.


J'ai pense a une solution du genre :

	- Un sensor sur le firewall (par ou passe tout le traffc) qui  
balance du Netflow. Pour ca, IPCAD a l'air pas mal.
	- Un collecteur sur une machine d'accounting, qui vas recuperer le  
flux Netflow et le stocker sous un format ou un autre, j'ai pense a  
flowscan de caida.org qui a l'air pas mal, il stocke les donnees dans  
des RRD ce qui est pratique.
	- Un outil de reporting, qui permettrai de recuperer des donnees de  
traffic mensuelles et de faires des calculs de percentile etc. Et a  
ce niveau, je n'ai pas trouve un un bon outil.


	Est ce que vous avez d'autres solutions a propser ou des retours  
d'experiences sur l'un ou l'autre des outils que j'ai cite.


Cordialement,
Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Outils d'accounting/billing

[Youssef Ghorbal]

Bonjour,

	Le probleme des poller RRD qui interroge en SNMP est qu'ils ne me  
permettent pas d'avoir un accounting granulaire au niveau IP. Je ne  
pourrais pas par exepmle avec la quantite de traffic vers un sous  
reseau de bureautique ou vers une IP d'un site, et c'est la ou est  
mon probleme.


	Sinon, visibleme cacti a l'air pas mal s'il propose des plugins de  
calcul de percentile 95 et de nb de giga transfere.


++
Youssef
--
On 29 sept. 06, at 16:40, Amiel David wrote:


Bonjour,

Tes solutions me paraissent bien compliquées, une solution possible  
est
d'utiliser cacti (http://cacti.net/), ou 1 poller rrd similaire,  
qui va
interroger en snmp les interfaces de tes routeurs/firewalls, et de  
rajouter
les plugins dont tu as besoin (95% percentile, nb de gigas  
transferés etc

etc)

++

David

-Message d'origine-
De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la  
part de

Youssef Ghorbal
Envoyé : vendredi 29 septembre 2006 14:09
À : frnog@frnog.org
Objet : [FRnOG] Outils d'accounting/billing

Bonjour,

Je cherche une solution pour faire de l'accounting (qui serviras a
faire de la facturation de traffic et de bande passante)
Pour l'instant j'ai des "scripts maison" qui tournenent a droites et

a gauche mais qui commencent a s'essoufler.

Je veux que le systeme me permette de calculer la bande passante
(percentile 95) et le traffic global vers des sous reseau ou des ips,
et eventuellement de faire des graphes.

J'ai pense a une solution du genre :

- Un sensor sur le firewall (par ou passe tout le traffc) qui
balance du Netflow. Pour ca, IPCAD a l'air pas mal.
- Un collecteur sur une machine d'accounting, qui vas recuperer le
flux Netflow et le stocker sous un format ou un autre, j'ai pense a
flowscan de caida.org qui a l'air pas mal, il stocke les donnees dans
des RRD ce qui est pratique.
- Un outil de reporting, qui permettrai de recuperer des donnees de

traffic mensuelles et de faires des calculs de percentile etc. Et a
ce niveau, je n'ai pas trouve un un bon outil.

Est ce que vous avez d'autres solutions a propser ou des retours
d'experiences sur l'un ou l'autre des outils que j'ai cite.

Cordialement,
Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Outils d'accounting/billing

[Youssef Ghorbal]

Oui c'est exactement un truc du genre que je cherche a mettre en place.
Comment vous faites pour recuperer ces donnees et les grapher ?

++
Youssef
--
On 29 sept. 06, at 17:09, Leland Vandervort wrote:



Voulez-vous dire qqc pareil?  (nos adresses publiques masquees)

gw1#sh ip accounting
   Source   Destination  Packets
Bytes

 X.X.X.X 10.101.1.62258  452264
 10.101.1.6   X.X.X.X  2722  545873
 X.X.X.X 88.109.85.16 1  48
 X.X.X.X  10.101.1.22243  448932
 10.101.1.2   X.X.X.X   1814  508109
 X.X.X.X 129.2.63.24114 686
 192.168.75.1 69.3.254.16 28 
1344
 192.168.88.1 69.3.254.16 28 
1344

 X.X.X.X 66.249.65.103   58   73830

A+

Leland



At 15:51 29/09/2006, Youssef Ghorbal wrote:


Bonjour,

Le probleme des poller RRD qui interroge en SNMP est  
qu'ils ne me

permettent pas d'avoir un accounting granulaire au niveau IP. Je ne
pourrais pas par exepmle avec la quantite de traffic vers un sous
reseau de bureautique ou vers une IP d'un site, et c'est la ou est
mon probleme.

Sinon, visibleme cacti a l'air pas mal s'il propose des  
plugins de

calcul de percentile 95 et de nb de giga transfere.

++
Youssef
--
On 29 sept. 06, at 16:40, Amiel David wrote:


Bonjour,

Tes solutions me paraissent bien compliquées, une solution possible
est
d'utiliser cacti (http://cacti.net/), ou 1 poller rrd similaire,
qui va
interroger en snmp les interfaces de tes routeurs/firewalls, et de
rajouter
les plugins dont tu as besoin (95% percentile, nb de gigas
transferés etc
etc)

++

David

-Message d'origine-
De : [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] De la
part de
Youssef Ghorbal
Envoyé : vendredi 29 septembre 2006 14:09
À : frnog@frnog.org
Objet : [FRnOG] Outils d'accounting/billing

Bonjour,

Je cherche une solution pour faire de l'accounting (qui  
serviras a

faire de la facturation de traffic et de bande passante)
Pour l'instant j'ai des "scripts maison" qui tournenent a  
droites et


a gauche mais qui commencent a s'essoufler.

Je veux que le systeme me permette de calculer la bande  
passante
(percentile 95) et le traffic global vers des sous reseau ou des  
ips,

et eventuellement de faire des graphes.

J'ai pense a une solution du genre :

- Un sensor sur le firewall (par ou passe tout le traffc)  
qui

balance du Netflow. Pour ca, IPCAD a l'air pas mal.
- Un collecteur sur une machine d'accounting, qui vas  
recuperer le

flux Netflow et le stocker sous un format ou un autre, j'ai pense a
flowscan de caida.org qui a l'air pas mal, il stocke les donnees  
dans

des RRD ce qui est pratique.
- Un outil de reporting, qui permettrai de recuperer des  
donnees de


traffic mensuelles et de faires des calculs de percentile etc. Et a
ce niveau, je n'ai pas trouve un un bon outil.

Est ce que vous avez d'autres solutions a propser ou des  
retours

d'experiences sur l'un ou l'autre des outils que j'ai cite.

Cordialement,
Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Question filtrage BGP

[Youssef Ghorbal]

Bonjour,

	Je souhaite mettre en place un filtrage "basique" sur les annonces  
BGP que je recois de mes peer (les peer nous envoies toutes les  
routes d'Internet)

Le routeur est un Cisco 7200 VXR avec un IOS 12.3

J'ai vu qu'il y'a 3 methodes :
	- via redistribute-list avec une access list avec les prefix  
authorises/rejets.

- via filter-list avec une regexp sur les AS_PATH.
- via prefix-filter avec un prefix-list.

Ce que je voudrais savoir c'est
	- Est ce que tous ces 3 methodes sont complementaires ? ou il y'en a  
qui font pas bon menages.

- C'est quoi l'ordre de precedence ?
	- C'est quoi la reelle difference entre prefix-filter et distribute- 
list ? parce que d'apres ce que j'ai compris ca fait la meme chose...


Merci de votre aide.

Bonne journee.

Youssef Ghorbal
Netplus Communnication




---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Modele Modem ADSL 2+

[Youssef Ghorbal]

Bonjour,

Je cherche un modele grand public d'un modem ADSL 2+
	Tout ce que je trouve c'est des modems routeurs (ou la fonction  
routeur n'est pas desactivable) Ce qui me faut c'est tout betement  
une paserelle IP/ATM.


	En gros je veux mettre un equipement derrire qui fera du PPPoE et  
qui recupera l'IP publique.


Merci de votre retour

++
Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Modele Modem ADSL 2+

[Youssef Ghorbal]

Bonjour,

	J'ai un DSL-320T de chez D-Link. Je ne sais pas si c'est la meme  
chose ou pas...
	En tout cas celui que j'ai sous la main il sait faire "bridge" (RFC  
1483) mais quand je le met dans ce mode, la synchro se fait bien mais  
c'est tout...


	En fait le petit boitier est sympa mais quand je fait du DHCP sur  
l'equipement derrire il ne relaye pas les requete a l'ISP...


++
Youssef

---
On Feb 1, 2008, at 12:18 PM, Manuel Guesdon wrote:


Bonjour,

On Fri, 1 Feb 2008 10:18:35 +0100
Youssef Ghorbal <[EMAIL PROTECTED]> wrote:
YG >|Je cherche un modele grand public d'un modem ADSL 2+
YG >|Tout ce que je trouve c'est des modems routeurs (ou la
YG >| fonction routeur n'est pas desactivable) Ce qui me faut c'est  
tout

YG >| betement une paserelle IP/ATM.
YG >|
YG >|En gros je veux mettre un equipement derrire qui fera du PPPoE
et YG >| qui recupera l'IP publique.

Le DSL-300T D-Link fait bridge.


Manuel

--
__
Manuel Guesdon - OXYMIUM <[EMAIL PROTECTED]>
14 rue Jean-Baptiste Clement  -  93200 Saint-Denis  -  France
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Modele Modem ADSL 2+

[Youssef Ghorbal]

On Feb 1, 2008, at 5:38 PM, Manuel Guesdon wrote:


On Fri, 1 Feb 2008 15:50:58 +0100
Youssef Ghorbal <[EMAIL PROTECTED]> wrote:

YG >|J'ai un DSL-320T de chez D-Link. Je ne sais pas si c'est la
YG >| meme chose ou pas...
YG >|En tout cas celui que j'ai sous la main il sait faire
YG >| "bridge" (RFC 1483) mais quand je le met dans ce mode, la  
synchro

YG >| se fait bien mais c'est tout...
YG >|
YG >|En fait le petit boitier est sympa mais quand je fait du DHCP
YG >| sur l'equipement derrire il ne relaye pas les requete a l'ISP...

C'est bien un 320T que j'ai. Il est en mode bridge avec un linux  
qui fait du

pppoe. Il recupere bien l'ip, gateway & co



C'est quel type de Bridge ? Bridged IP LLC ou Bridged IP VC-MUX ?

Youssef
-

Manuel

--
__
Manuel Guesdon - OXYMIUM <[EMAIL PROTECTED]>
14 rue Jean-Baptiste Clement  -  93200 Saint-Denis  -  France


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Modele Modem ADSL 2+

[Youssef Ghorbal]

Derniere question c'est avec quel FAI ? Free/Neuf /Wanadoo-orange ?

Youssef
-
On Feb 1, 2008, at 6:20 PM, Manuel Guesdon wrote:


On Fri, 1 Feb 2008 18:14:29 +0100
Youssef Ghorbal <[EMAIL PROTECTED]> wrote:
YG >| On Feb 1, 2008, at 5:38 PM, Manuel Guesdon wrote:
YG >| > C'est bien un 320T que j'ai. Il est en mode bridge avec un  
linux

YG >| > qui fait du
YG >| > pppoe. Il recupere bien l'ip, gateway & co
YG >| >
YG >|
YG >| C'est quel type de Bridge ? Bridged IP LLC ou Bridged IP VC- 
MUX ?


Heu, la je ne peux plus dire sans couper la connection mais plutot  
IP LLC je

crois...

Manuel

--
__
Manuel Guesdon - OXYMIUM <[EMAIL PROTECTED]>
14 rue Jean-Baptiste Clement  -  93200 Saint-Denis  -  France
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Question options DHCP

[Youssef Ghorbal]

Merci beaucoup.

Youssef
--
On Feb 7, 2008, at 3:45 PM, Sidney Boumendil wrote:


2008/2/7 Youssef Ghorbal [EMAIL PROTECTED]:
   next-server "172.16.0.9"

option 66


   bootfile "pxelinux.0"

option 67

Sidney


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Question options DHCP

[Youssef Ghorbal]

Bonjour,

J'ai un vieux cisco qui fait serveur DHCP.
	La conf contient des informations de BOOTP (pour faire du PXE boot  
sur certaine mahines)
	Je voudrais retranscrire cette conf sur un autre equipement et pour  
ca j'ai un petit probleme de "traduction".
	Dans le nouvel equipement je peux specifier des numeros d'options et  
des valeurs associees.


Les deux directives que je dois traduire sont :
next-server "172.16.0.9"
bootfile "pxelinux.0"

	Je voudrais savoir a quel numero d'options correspondent ces deux  
directives. Je pense que bootfile est l'option 66 mais pour l'autre  
je n'ai pas de reponses (peut etre la 67 ?) (cf http://www.iana.org/ 
assignments/bootp-dhcp-parameters)


Merci de votre retour.

Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Question reseau

[Youssef Ghorbal]

Bonjour,

J'ai deux equipements reseau a relier (un cisco 3600 et un modem ADSL)
Le modem ADSL a une interface Fast Ethernet qui fait du 10/100
Le Cisco a une WIC Ethernet qui ne fait que du 10 Half

	La question est simple, est ce que je dois garder le modem ADSL en  
AutoNeg ou est ce que je dois force sa carte a 10 Half (pour  
accomoder l'interface du Cisco)


	Ce que je veux eviter c'est de forcer d'un cote et pas de l'autre  
(je concidere que la carte du cisco ne fait pas de l'auto neg puisque  
de toute facon elle ne fait que du 10 half)


Youssef
---


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Question Spanning Tree

[Youssef Ghorbal]

Bonjour tout le monde,

J'ai un petit casse tete spanning tree a vous soumettre.
	La situation est la suivante : j'ai deux switchs cisco 3600 relies  
entre eux (cisco1 et cisco2)
	J'ai un 3eme switch Dell (embedded dans un chassis) C'est un switch  
d'acces (les serveurs sont relie a ce switch)
	Le but c'est de redonder l'acces a ces serveurs en reliant le switch  
Dell au deux Cisco.
	Pour s'affranchir des boucles il faut utiliser du spanning tree et  
du Rapid Spanning tree de preference (a cause des temps de convergence)


Mon probleme se stitue au niveau de Rapid Spanning Tree :
	- D'un cote les cisco ne font que du Per Vlan Rapid Spanning Tree  
(ou du MSTP ou SP classique)
	- De l'autre cote le Dell ne fait que du Rapid Sapnning Tree (ou du  
MSTP ou du SP classique)


Les questions que je me pose sont les suivantes :
	- Comment se comporte les switchs Cisco quand l'un des peer ne fait  
que du Rapid Spanning Tree (et non par Vlan) ?
	- Est ce que le simple fait de desactiver le spanning tree sur tout  
les vlans a part le Vlan1 permet "d'emuler" un rapid spanning tree ?


	Que suggerez vous pour mon cas ? sachant que ma toplogie est tres  
simple pour utiliser du MSTP et je veux eviter au maximum  
l'utilisation de Spannig Tree Classique.


Youssef Ghorbal
Netplus Communication
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Telia/Cogent split

[Youssef Ghorbal]

Je confirme,
J'ai recu un mail a ce sujet de la part du service consommateur  
Telia. Par contre aucune allusion au peering de Londres.


++
Youssef
-
On Mar 29, 2008, at 1:15 PM, Paul Rolland (ポール・ロラン) wrote:
Aux dernieres nouvelles, ce serait rentre dans l'ordre, avec en  
plus un

peering entre les deux a Londres qui n'etait pas la avant...

Paul

On Sat, 15 Mar 2008 13:41:03 +0100
Nicolas DEFFAYET <[EMAIL PROTECTED]> wrote:


On Sat, 2008-03-15 at 02:46 +0100, Manuel Guesdon wrote:

FYI, récupéré de nanog:
http://gigaom.com/2008/03/14/the-telia-cogent-spat-could-ruin-web- 
for-many/


Effectivement, on ne reçoit plus d'annonces telia de cogent...

Qui joue le gros méchant ? Les 2 ?


Chez Cogent, il arrive que le peering manager s'engage sur quelque  
chose
qui au final ne fait pas (par exemple: upgrade d'un peering). De  
plus si
ce dernier est contrarier (escalade à son supérieur), il  
n'hésite pas à
dépeerer. Je parle de cela en connaissance de cause, car c'est du  
vécu.






--
Paul RollandE-Mail : rol(at)witbe.net
Witbe.net SATel. +33 (0)1 47 67 77 77
Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99
F-92057 Paris La DefenseRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un  
navigateur
"Some people dream of success... while others wake up and work hard  
at it"


"I worry about my child and the Internet all the time, even though  
she's too
young to have logged on yet. Here's what I worry about. I worry  
that 10 or 15
years from now, she will come to me and say 'Daddy, where were you  
when they

took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation
---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Internet, on arrête de jouer !

[Youssef Ghorbal]

Bonjour tout le monde,

Juste pour vous soumettre ceci :
http://lessig.org/blog/2008/04/testifying_fcc_stanford.html

Youssef
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Mise à jour BIND

[Youssef Ghorbal]

On Jul 10, 2008, at 10:27 AM, [EMAIL PROTECTED] wrote:




| Sur la façon dont est sorti le patch, la synchro part d'une bonne
| intention mais il me semble que les projets des différents OS  
n'ont pas
| été mis dans la confidence. Hier en quittant le boulot, FreeBSD  
n'avait
| pas sorti de patch pour le BIND de son base system. Je ne connais  
pas la

| situation sur les autres os/distrib.
==> Oui en effet, certains éditeurs d'OS semblent ne pas réagir à  
temps.



En même temps le bind du base system n'est là que pour la forme ...
On utilise le port pour être à jour, et perso j'ai eu l'update y a  
quelques jours.


Comme l'a explique Domonique Rousseau, il ne suffit pas de patcher le  
serveur. Le resolver "local" (libc) est aussi vulnerable et necessite  
un patch aussi !
FreeBSD a pendu a rapide patch du bind9 des ports. on attend le patch  
de la libc.

http://docs.freebsd.org/cgi/getmsg.cgi?fetch=168510+0+current/freebsd-security

Youssef
-


---
Liste de diffusion du FRnOG
http://www.frnog.org/



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] Firewall actif/actif

[youssef . ghorbal]

On Aug 28, 2008, at 12:02 PM, Steven Le Roux wrote:

De plus n'étant pas du tout familier avec les *BSD, je ne compte pas  
me diriger sur cette voie : je préfère pour l'instant rester sur un  
système que je connais bien, surtout pour des firewalls !


C'est un choix, mais j'ai sauté le pas car c'est assez facile de  
monter un openBSD pour ça. Je viens juste de maqueter deux openbsd  
qui font du 802.1q, tu utilises carp sur tes interfaces vlan, puis  
pfsync pour le maintiens des sessions quand l'un ou l'autre tombe  
(et ça c'est top car totalement transparent même au niveau des  
sessions utilisateurs lorsqu'un équipement tombe)


Pour ce que j'ai testé CARP, je trouve ça vraiment très performant,  
(aucune perte de paquet, presque pas de latence de convergence (bcp  
moins d'une seconde)


Ajouté à celà, ceux qui utiliseront la solution ne sont pas plus  
familier avec netfilter qu'avec packetfilter, donc l'apprentissage  
de pf me semble bien plus simple et lisible que netfilter.


Je rajouterais aussi que la configuration de PF (sur FreeBSD ou  
OpenBSD) s'effectue a un seul niveau (un seul fichier) qui permet de  
definir les regles de filtrage, de nat et du traffic shaping (avec ALTQ)
Le seule probleme que j'ai personellement avec PF c'est que c'est du  
"last match" ce qui a toujours tendence  a me perturber (et je en suis  
pas le seul) pour l'ecriture des regles.


Personellement a votre place je n'abondonnerais pas les appliances  
pour du firewall applicatif. Parce que chez nous on a fait exatement  
l'inverse... pour differentes raisons parmis lesquelles :
1 - Les procedures de gestion des firewall applicatifs (type  
netfilter, pf ou autre) doivent etre tres tres tres strictes et  
suivies a la lettre pour ne pas se retrouver dans des situations tres  
difficiles (rajout des regles a la volee dans le firewall a la ligne  
de commande, sans les mettres dans la conf ou les confs dans le cas  
d'un cluster..  des OS qui refusent de booter pour des histoires de  
raids ou betement de BIOS. Ou des interfaces rajoutee a coup de  
ifconfig et pas mis dans les scripts de demarrages, ou avec une erreur  
de syntax qui ne peut etre verifiee qu'au boot... etc etc)
Mettre en place un Firewall applicatif et faire en sort que sa conf et  
sa gestion soient "bullet proof" prend beaucoup de temps et sur ce  
genre de brique essentielle d'une plate-forme une fois que c'est en  
"PROD" plus moyen d'y toucher...
2 - Dans notre cas, il fallais que le Firewall fasse passerelle VPN  
aussi... ce qui est assez complique a mettre en place de facon  
"industrielle" (avec les procedures qui vont avec aussi...)


Pour moi, si vous avez la possibilite (et le budget surtout) d'avoir  
des appliances (le choix de la techno/constructeur est un autre debat)  
faites le. On peut tout faire avec des firewalls applicatif mais ca  
prend beaucoup de temps et les gerer au jour le jour est tres  
complique s'il s'agit d'une "equipe".


Youssef




---
Liste de diffusion du FRnOG
http://www.frnog.org/