[technique] Activation deuxieme port 10G cogent demain matin mardi 20170221 a 8h was: Evolution du routage tetaneutral.net et TODO2017

Lun 20 Fév 15:17:10 CET 2017

Bonjour,

Cogent a livré le deuxieme port 10G, fullsave le patch optique entre
Cogent et notre salle a TLS00, et apres quelques aller retours les deux
sessions BGP v4+v6 sont allumées mais pour le moment parametrees sans
echange de route :

https://lg.tetaneutral.net/detail/h7/ipv4?q=COGENT2_TLS00
https://lg.tetaneutral.net/detail/h7/ipv6?q=COGENT2_TLS00_6

Le premier port cogent correspond a eth4 (10G) sur notre
routeur "h7", le deuxieme arrive en taggué VLAN 175 sur le port eth3.

Nous allons activer l'echange de route sur ces sessions demain mardi
20170221 matin vers 8h, eventuellement de petites coupures a prevoir.

En theorie si on fait les memes annonces BGP sur les deux ports
le traffic entrant devrait s'equilibrer (multipath coté cogent), et
c'est bien l'entrant qui nous interesse pour les attaques. 

Pour equilibrer le traffic sortant il nous faudra activer une
fonctionnalite recente de bird :

http://bird.network.cz/?get_doc&f=bird-6.html#ss6.6
<<
merge paths switch [limit number]
Usually, only best routes are exported to the kernel protocol. With path
merging enabled, both best routes and equivalent non-best routes are
merged during export to generate one ECMP (equal-cost multipath) route
for each network. This is useful e.g. for BGP multipath. Note that best
routes are still pivotal for route export (responsible for most
properties of resulting ECMP routes), while exported non-best routes are
responsible just for additional multipath next hops. This option also
allows to specify a limit on maximal number of nexthops in one route. By
default, multipath merging is disabled. If enabled, default value of the
limit is 16
>>

https://gitlab.labs.nic.cz/labs/bird/blob/master/NEWS
Version 1.6.3 (2016-12-21)
 o Several bug fixes
Version 1.6.2 (2016-09-29)
  o Fixes serious bug introduced in the previous version
Version 1.6.1 (2016-09-22)
  o Fixes memory leak in BGP multipath
  o Support for IPv6 ECMP
Version 1.6.0 (2016-04-29)
  o BGP multipath support

Nous sommes actuellement avec bird 1.4.5 packagé par debian jessie
Version 1.4.5 (2014-10-06). Debian stretch a la 1.6.3 packagé :

https://packages.debian.org/fr/stretch/bird

Nous nous occuperons donc du sortant un peu plus tard, pour le moment
il y aura simplement redondance entre les deux ports pour le sortant
(si un coupe bascule du traffic sur l'autre).

Coté matériel apres une panne au deballage de la carte mere
ASRock EP2C612 WS le support LDLC nous a relivré vendredi dernier une
machine fonctionnelle qui est branchée a TLS00 pour les benevoles du
projet DPDK sous le nom "h8" (2x6 coeurs Xeon E5-2603 v3, 4x32=128G DDR4
ECC extensible a 8x32=256G, 4 cartes PCIe 2x10G, 500G SSD avec 9 ports
SATA).

Sincèrement,

Laurent

On Tue, 2016-12-20 at 10:31 +0100, Laurent GUERBY wrote:
> Bonjour,
> 
> Le reseau de tetaneutral.net est regulierement cible d'attaques :
> 
> http://pad.tetaneutral.net/p/attaque
> 
> Pour le moment heureusement une seule attaque a reussi a saturer nos 12
> Gbit/s de capacité, mais les attaques sont plutot en hausse d'apres
> les articles sur le sujet.
> 
> Grace au paiement de 3 ans d'hebergement pour un nouveau chaton picasoft
> mentionne au bilan de decembre, aux ventes de materiel en stock
> (reste 950 euros a recevoir) :
> 
> http://pad.tetaneutral.net/p/stock
> 
> et au fait que les adherents qui avaient des factures non payées ont
> réagi au rappel de début décembre (reste 836 euros a recevoir) nous
> avons 11350.59 de tresorerie au 20 decembre 2016 ce qui nous permet
> d'investir sur le routage et la capacité.
> 
> Les dépenses prévues :
> 
> 1/ Coté Cogent ajouter une porte 10G a celle que nous avons
> deja ne coute que de l'investissement et pas de recurrent (autre que
> notre commit actuel de 1 Gbit/s de transit a 720 TTC/mois),
> avec le cablage cela va faire autour de 2500 EUR TTC.
> 
> 2/ Coté routeur pour remplacer h7 (core i5-4570 4 coeurs 3.2 GHZ,
> ethernet 2x10G) nous pensons a une machine double socket 2011-3
> en DDR4 basée sur une carte mere comme celle la :
> 
> ASRock EP2C612 WS C612
> http://www.asrockrack.com/general/productdetail.asp?Model=EP2C612%
> 20WS#Specifications
> 
> Autour de 400 euros pour la carte mere, 300 a 600 euros par CPU 6 coeurs
> et plus, 250 euros par 32G RAM donc 2500 a 3000 euros la machine
> et un total entre 5 et 6 mille euros.
> 
> Cette machine devrait pouvoir faire tourner confortablement Packet
> Journey basé sur DPDK développé (et utilisé) par Gandi :
> 
> https://github.com/Gandi/packet-journey
> 
> Avec ajout BCP38 et des brides de detection d'attaque alerte et rate
> limiting adapté :
> 
> https://tools.ietf.org/html/bcp38
> 
> Une carte PCIe 16x mellanox 2x40G nous permettrait d'utiliser les ports
> 40G (4 disponibles) de notre switch S4810 via des cables direct attach,
> liste de materiel ici :
> 
> http://www.colfaxdirect.com/store/pc/viewCategories.asp?idCategory=6
> 
> Sinon avec les 4 PCIe 16x de la machine plusieurs de nos cartes intel
> 2x10G.
> 
> Ensuite eventuellement grace aux nombres de core et a la reservation de
> CPU un double usage en cluster de la machine avec une ou deux machines
> supplementaires en 2017 pour redonder le tout et etre un peu
> plus efficace energetiquement en eteignant (et vendant cf pad stock)
> quelques machines vPro core i5/i7 4xxx et 6xxx du cluster actuel.
> 
> Pour les bénévoles qui souhaitent s'impliquer :
> 
> http://pad.tetaneutral.net/p/TODO2017
> 
> Sincèrement,
> 
> Laurent
> 