Reprise du message précédent :

J'ai pas réussi
Nmtui/nmcli. Si tu trouves avec iproute2 je suis preneur.

Incroyable ce genre de cours, ça date de ce Lundi. Et pas de mention à CIDR.
Le cours précédent on a vu du 10base2 ou 5, thicknet, thinnet, bridge hardware, hub, RNIS et autres trucs pas vu depuis 20 ans

Celui qui contrôle le passé, commande le futur.
Kane, C&C

Là j'ai un cours (normalement un TD m'enfin) en direct et ça commence par HDLC. A 8hr du mat un samedi

Se lever pour ça putain

T'as des cours le samedi?  

8-12 à distance, ça pique

Arrête de te plaindre et profite de l'opportunité
Et, c'est malheureux, mais hdlc, les hubs et les classes, parfois c'est nécessaire pour comprendre des trucs plus modernes

Non mais c'est un dev universitaire qui présente le réseau pour sa matière, c'est une boucherie et aussi j'ai déjà eu plusieurs fois des cours sur hdlc, llc ou autre

 
   
 
Je connais pas personnellement le produit, mais on s'en sert chez nous et ça a l'air de bien faire le taf. (collectivité, plusieurs centaines d'utilisateurs qui tapent dessus a priori)

Quelqu'un ici utilise VMware Integrated Containers (VIC) ?

C'est un peu de la merde non fog ?  
Il veut que j'ouvre la moitié des ports de la terre et utiliser nfs3 et ftp l'enflure

Tiens un collègue de l'infrastructure vient de m'en parler.

On commence timidement à vouloir faire du conteneur en Onprem  

Les ports nfs sont fixables en changeant la conf du démon inetd de mémoire

Le retour m'intéresse mais foutez pas un truc WMware un peu exotique en prod en payant le support pour faire le beta-testeur.
Pour du VDI Linux, j'étais sur un projet où était à priori le seul client hors US :  
non seulement on payait le support
non seulement on se faisait taper sur les doigts par VMware si on était plus de 6 personnes à soumettre des bugs sur le même contrat  
mais en plus, quand on remonte des bugs qui font chier des milliers d'utilisateurs pour se connecter, qu'on debuggue nous-même leur code et leur dit comment ils doivent corriger et qu'1 an et 1/2 après, ce n'est toujours pas corrigé (j'ai mis 1/2h pour créer le POC du correctif) et pas prévu de l'être
on a vraiment l'impression que VMware prend ses clients pour des cons et des vaches à lait ...
Donc, si t'es joueur, teste et met cela en prod, tu nous diras

Ok je checkerai mais là c'est chelou, je boot sur une ubuntu, je peux mount easy, en rescue fog ça timeout  

J'ai tellement l'impression de jouer avec des outils d'amateurs

viny travaille la bas, tu peux lui remonter l'info (et tu radotes avec ton fix )

Clairement ça vaut pas un SCCM.  

Ah putain ça fait du bien de lire ça

 
Ben justement, c'est un des responsables de notre infra qui parlait de ça alors que notre équipe sécu demandait si on pouvait monter un SIEM en docker sur l'infra en l'état actuel.
 
Je suis pas du tout convaincu par l'intérêt du truc, surtout qu'on a très peu de besoins à ce niveau. Pour moi une VM CentOS avec Docker dessus aurait largement suffit, mais par ici ils aiment bien payer de grosses licences au moindre petit besoin.

Une VM avec docker, t'a rien pour orchestrer.
Par contre ton équipe sécu qui veut monter un siem dans du conteneur.... Motivé les mecs Ou alors ils veulent juste un jouet

C'est pour une application, je pense que l'orchestration on peut s'en passer pour le moment.  
 
Pour le SIEM, c'est juste une des options de déploiement proposées par l'éditeur. Je connais pas le nom du produit par contre.

Pas trouvé mais j'y ai pas passé 20 ans non plus.
 
Là j'aimerais tellement un truc qui check les fichiers de conf réseau, qui check les interfaces en lignes ou pas, la diff, les vlan, les interfaces physiques/bridge/etc, lldp et check d'iptables (et delta avec les règles shorewall) me fasse un graphique et/ou tableau pour me faire une belle sortie  

Des admin rézal par ici qui jouent avec la full view BGP ?  
 
Mes ASR 9K se plaignent qu'on a dépassé les 75% de la limite par défaut (1M : 1048576 routes) et j'en ai marre de voir ces logs en boucle  
 
Je ne souhaite pas remonter la limite à 2M (ou 150M hein ) car je ne veux pas risquer de jouer avec la limite des cartes/FIB/RAM/équipement. Je cherche une solution plutôt propre et smart pour gérer cette quantité qui ne redescendra jamais (de mon vivant ).  
 
D'autres que moi s'en préoccupent ? Vous avez des stratégies pour réduire cette masse de routes ?  
 
- filtrer tout ce qui est plus petit qu'un /32, /24, /20, /19... pour épurer un peu ?  
- filtrer plutôt sur la longueur d'AS-PATH pour sélectionner les routes les plus intéressantes, les plus "locales" ?  
- compléter avec une default-route me semble indispensable pour éviter des soucis de connectivité à cause du filtrage ou plutôt plusieurs pour la redondance, je veux pas perdre un bout d'internet si mon fournisseur de transit part en sucette  
- autre trick ?

VMware vSphere 7 anounced

Déjà qu'en temps normal, on doit zapper les versions x.0 pour éviter les emmerdes à faire le béta-testeur, c'est encore plus vrai avec VMware

 
Si c'est de la réalocation de TCAM et que c'est supporté il n'y a pas vraiment de raison de se priver... Le tout est de bien comprendre les compromis qui sont faits.
 

 
Tu peux oui, après l'ASN est souvent plus pertinent pour filtrer les choses intéressantes plutôt que de filtrer à l'aveugle sur les plus gros préfixes (tu peux mixer les deux approches aussi bien sûr). Après ça implique de tenir à peu près à jour une liste d'"ASN intéressants" (ou d'"ASN OSEF", ça peut marcher aussi ), mais bon au moins ça permet d'avoir des certitudes sur la joignabilité des réseaux qui sont importants pour toi. Souvent, rien qu'avec quelques dizaines de milliers de routes on peut couvrir la très grande majorité de son trafic, en visant bien.
 
Au passage, /32 j'espère que tu parles d'IPv6, dans le cas contraire lis les recomendations : https://tools.ietf.org/html/rfc7454 (il y a un équivalent pour IPv6 qui ne doit pas être très long à retrouver si besoin).
 
 

 
Il me semble qu'un l'as-path length plus court n'est pas forcément super représentatif d'une route réellement plus efficace (même si BGP se base principalement là-dessus), quand tu en est rendu là autant jouer ça au lancé de dés je pense, moins prise de tête et aussi efficace.
 

 
Dès le moment où tu filtres il va te falloir une default route oui, et fatalement pour toutes les routes que tu refuses, tu prends le risque que les réseaux en question soient injoignables si le transitaire qui porte ta route par défaut se vautre, c'est le principe.
 

 
Acheter une plus grosse boîte, sérieusement c'est à considérer.

Merci bcp pour tes idées, ça donne de bonnes pistes de réflexion

Oui, comprendre le compromis c'est l'enjeu On a déjà eu quelques déboires d'utilisation de RAM qui bloquait malgré une bonne portion de RAM libre, et autres soucis divers (au point de faire crasher le châssis par manque de ressources lors d'une copie de fichier, GG le presta ) donc je ne suis pas 100% confiant dans ce genre de manip qui me rappelle beaucoup quand je faisais du tuning de BIOS aux petits oignons pour grappiller des FPS
Pour la quantité de TCAM dispo et la répartition actuelle v4/v6 je ne sais pas comment ça marche sur ce modèle, je vais voir avec ceux qui nous font le support dessus

Je suis sûrement pas le premier à rencontrer ce problème et c'est du matos très répandu (produit phare Cisco). On a des problématiques similaires sur d'autres marques aussi. Je cherche un concept qui réglerait le problème de façon plus ou moins définitive par design, utiliser des ressources au mieux pour ce qui sert réellement, tout en garantissant la connectivité avec le reste.

Faute d'inattention pour le /32, oui je parle bien d'IPv4, en IPv6 on est pas encore au million de routes
J'ai du trafic majoritairement européen je dirais. Construire une liste d'ASN européens, ou à l'inverse filtrer pour exclure des AS asiatiques par exemple, ça me semble complexe et dur à maintenir à jour au fil du temps Je ne sais pas comment aborder la notion géographique pour un AS, ça n'a pas énormément de sens d'un point de vue internet (surtout si des trucs comme le BYOIP se généralisent ).

L'as-path d'un préfixe me semblait un peu l'équivalent : un ISP géographiquement proche aura soit un transitaire dans la région, soit directement des peerings sur les IXP géographiquement proches, donc un as-path assez court.
Le problème se pose quand c'est un AS géant qui utilise le même ASN sur tous les continents, là on perd la pertinence géographique.

Les petits ISP lointains à l'inverse, ça m’intéresse très peu : j'ai peu de trafic échangé avec eux donc leurs préfixes ont peu de pertinence à être inclus dans ma full view. Peut-être moyen de faire un combo pour les trouver et les ignorer en filtrant sur un petit préfixe + as-path long CMB La default route prend le relai pour la connectivité de ceux-ci.

A moins de faire des traceroutes en permanence pour ensuite influencer les choix de routage en temps-réel SDN-style avec les risques que ça implique si le contrôle part en sucette, c'est pas facile de trouver bcp mieux

Oui, mais je me demande si ya pas un truc malin qui existerait pour jouer sur plusieurs default routes, histoire que si un préfixe ne fonctionne pas via un transitaire, je puisse forcer de passer par un autre next-hop. Un truc un peu plus souple ou dynamique qu'une bête route statique C'est de la recherche/veille techno pour le moment, je cherche un peu ce qui existe pour faire au mieux sans réinventer la roue, pas envie de déployer une usine à gaz non plus

C'est déjà une grosse boîte Ya pas bcp de boîtes plus grosses, et elles permettent d'avoir + de densité de déploiement via des tas de linecards, alors que là je cherche plutôt à avoir + de puissance de feu côté routage pour gérer l'évolution progressive du nombre de préfixes IPv4, sans modifier la densité des intercos.

Suffit de déployer SCOM

c'est pas une question de géographie mais d'intérêt. Les ASN intéressants en général sont faciles à trouver :
- ceux avec qui tu échanges le plus de données, cf ton monitoring netflow ou autre
- ceux qui sont clé pour ton business, ça normalement il y a des gens dans ta boîte qui doivent savoir sinon c'est mauvais signe

Même réponse qu'au dessus, je pense que le critère géographique n'est pas forcément pertinent. Et n'oublie pas que de nos jours tout le monde fait du prepend dans tous les sens.
A mon avis ce sera très difficile d'arriver à quelque chose de cohérent et maintenable en partant sur ce chemin.

"si un préfixe ne fonctionne pas" c'est quelque chose qui est impossible à vérifier sans mesure au niveau dataplane, il y a des boîtes qui vendent exactement ce genre de service d'ailleurs, mais ça n'est en général ni simple ni économique.

Une limite à 1M de routes de nos jour ce n'est pas une grosse boîte, c'est la limite basse justement (c'est la cause de ton problème d'ailleurs). Rien qu'un MX204 à 20k€ supporte plusieurs millions en FIB. Si ton problème c'est la densité de ports peut-être que tu peux simplement changer la carte de routage et garder tes linecards, ou si ça se trouve c'est même juste une licence à acheter (je ne sais pas du tout, je ne connais pas les asr 9k). Ou mettre un switch devant ton routeur.

Maintenant que j'ai touché à openvswitch je veux le foutre partout    
 
Et ouais pour BGP, j'aurais dis la même chose

@ptibeur, faut que tu postes les refs des cartes que tu as sur ton (tes?) asr9k
 

J'ai trouvé une présentation Cisco où ça parle de RSP440 avec 4 Millions de routes et des RSP880 à 26M/27M routes IPv4/IPv6 Ça fait pas mal de temps qu'on a déjà upgradé les nôtres avec des RSP880 plus costaud donc ça devrait en théorie passer large A voir l'utilisation qui est faite des ressources en pratique, je préférerais poller le système pour être sûr.

Donc ya l'alerte à reconfigurer sur un seuil un peu plus haut, mais ce qui m'intéressait surtout c'est de voir si d'autres personnes avaient appliqué diverses stratégies (et lesquelles) sur du matos un peu moins équipé en ressources, mais quand même multi-homé.

les limites que tu cites c'est pour la RIB non ? si je comprends bien les lookups pour le routage sont faits directement sur les linecards (cf pages 15 et suivantes : https://www.slideshare.net/hacktivi [...] vegas-2017 ), donc la limite de FIB est dictée par la capacité des linecards

Il répond pas à ma question

Lolerie du jour, un gus a réussi à crasher un serveur mysql avec sa query. Le serveur a rebooté et mysql est en train de faire un rollback de la transaction qui a planté. La blague c'est ça
 
2020-03-12 14:41:19 0 [Note] InnoDB: To roll back: 1 transactions, 140475897 rows
 
En gros il y en a pour 10000 ans.
 
Le meilleur plan dans l'affaire c'est de killer mysql et remonter le backup de cette nuit ?

Je suis pas expert en BDD mais comment une requête peut "crasher" un serveur ? Ou alors il faut définir crasher.

C'est une bonne question mais la machine a planté, j'ai du forcer le reboot. C'est un serveur où les gus tournent des requêtes sur des tables de dizaines de millions de lignes. Aucune idée du business qu'ils font. Je monitore leur machine je les averti en cas de problème.

Ca va être vite réglé, on dirait que les backups sont vides. Bordel c'est quoi ce cirque encore

Crash de l'OS ? Problème hardware ?

comment vous dites ? un "index" ?   qu'est-ce que c'est ?