La Fibre
Datacenter et équipements réseaux => Routeurs => Remplacer la box SFR par un routeur => Discussion démarrée par: vivien le 23 janvier 2009 à 00:06:32
-
Je reviens sur la séquence de Boot de la NeufBox v5 :
Capture des flux entre la NeufBox v5 et l'ONT
J'ai capturé les flux entre la NeufBox v5 et l'ONT. C'est intéressant car cette manipulation est impossible à faire en ADSL.
Voici le boot de la la NeufBox v5 :
(https://lafibre.info/images/altice/200901_install_sfr_gpon_43.png)
L'IP cachée est toujours la même c'est l'IP publique de Paradis-Ph
L'attribution d'IP se fait en DHCP.
J'ai vérifié : aucun VLAN utilisés entre la NeufBox v5 et l'ONT.
Le paquet détaillé est la réponse du serveur DHCP qui permet de voir les options utilisées.
Vous remarquez de nombreuses requêtes DNS.
Ce n'est qu'un court extrait car elle fait des dizaine de requettes DNS dans la seconde qui suit le démarrage.
Un bug ?
Voici la liste des requêtes DNS effectué avec l'horodatage :
*REF* Standard query PTR smtp.neuf.fr
0.001699 Standard query response CNAME smtp.mgp.neufgp.fr
0.004123 Standard query A smtp.neuf.fr
0.005500 Standard query response CNAME smtp.mgp.neufgp.fr A 84.96.92.136
0.020664 Standard query PTR mail.erenis.fr
0.022135 Standard query response
0.022973 Standard query PTR mail.erenis.fr
0.024641 Standard query response
0.026746 Standard query A mail.erenis.fr
0.028136 Standard query response A 84.205.157.69 A 84.205.157.70
0.042672 Standard query PTR smtp.mediafibre.fr
0.044310 Standard query response CNAME mediafibre.fr
0.046612 Standard query A smtp.mediafibre.fr
0.048029 Standard query response CNAME mediafibre.fr A 85.14.157.6
0.062744 Standard query PTR mail.club-internet.fr
0.064218 Standard query response
0.065054 Standard query PTR mail.club-internet.fr
0.066713 Standard query response
0.068838 Standard query A mail.club-internet.fr
0.070544 Standard query response A 194.158.121.138 A 194.158.120.138
0.085890 Standard query PTR mail1.9services.com
0.087739 Standard query response
0.088604 Standard query PTR mail1.9services.com
0.090116 Standard query response
0.092161 Standard query A mail1.9services.com
0.093486 Standard query response A 86.64.240.33
0.108711 Standard query PTR smtp.sfr.fr
0.111491 Standard query response
0.112323 Standard query PTR smtp.sfr.fr
0.115724 Standard query response
0.117820 Standard query A smtp.sfr.fr
0.119511 Standard query response A 160.92.187.242
0.179999 Standard query AAAA ntp.neufbox.neuf.fr
0.181559 Standard query response CNAME ntp.n9uf.net
0.182520 Standard query A ntp.neufbox.neuf.fr
0.183872 Standard query response CNAME ntp.n9uf.net A 86.64.145.179 A 84.103.237.169
0.184592 Standard query A ntp.neufbox.neuf.fr
0.185860 Standard query response CNAME ntp.n9uf.net A 84.103.237.169 A 86.64.145.179
0.315265 Standard query A nb5general.neufbox.neuf.fr
0.316799 Standard query response A 86.66.0.227
0.348723 Standard query A nb5general.neufbox.neuf.fr
0.349983 Standard query response A 86.66.0.227
0.354095 Standard query A nb5chilli.neufbox.neuf.fr
0.355331 Standard query response A 86.66.0.227
0.381959 Standard query A nb5voip.neufbox.neuf.fr
0.383364 Standard query response A 86.66.0.227
0.912561 Standard query A neufpub.neufbox.neuf.fr
0.914108 Standard query response A 84.103.237.36
0.915528 Standard query A hotspot.neuf.fr
0.917001 Standard query response A 86.64.241.158
0.917778 Standard query A www.fon.com
0.919368 Standard query response A 213.134.45.154
0.920066 Standard query A fon-en.custhelp.com
0.921971 Standard query response A 206.17.168.12
0.922658 Standard query A fon-fr.custhelp.com
0.923821 Standard query response A 206.17.168.12
0.924521 Standard query A www.neufportail.fr
0.925917 Standard query response CNAME www.aol.fr.websys.akadns.net (http://www.aol.fr.websys.akadns.net) A 206.222.228.17 A 206.222.227.17 A 206.222.229.17
0.926713 Standard query A adserver.aol.fr
0.928273 Standard query response CNAME ads.aol.fr.adtech.de CNAME ad-dc2.adtech.de A 194.117.224.80 A 194.117.224.81
0.928965 Standard query A trk.aol.fr
0.930264 Standard query response CNAME trk.aol.fr.edgesuite.net CNAME a1328.g.akamai.net A 92.122.213.67 A 92.122.213.88
0.930947 Standard query A themes.aol.fr
0.932635 Standard query response CNAME themes.aol.fr.edgesuite.net CNAME a1850.g.akamai.net A 92.122.213.74 A 92.122.213.123
0.933347 Standard query A aolfr.122.2o7.net
0.934642 Standard query response A 66.235.142.2 A 66.235.143.54 A 66.235.143.62 A 66.235.142.1 A 66.235.142.3 A 66.235.143.70
0.935335 Standard query A a1767.g.akamai.net
0.936548 Standard query response A 92.122.213.130 A 92.122.213.131
0.937196 Standard query A offres.neuf.fr
0.938483 Standard query response CNAME www.neuf.fr (http://www.neuf.fr) A 212.30.118.74
0.939129 Standard query A adserver.aol.fr
0.940678 Standard query response CNAME ads.aol.fr.adtech.de CNAME ad-dc2.adtech.de A 194.117.224.80 A 194.117.224.81
0.941365 Standard query A trk.aol.fr
0.942548 Standard query response CNAME trk.aol.fr.edgesuite.net CNAME a1328.g.akamai.net A 92.122.213.88 A 92.122.213.67
0.943231 Standard query A themes.aol.fr
0.945105 Standard query response CNAME themes.aol.fr.edgesuite.net CNAME a1850.g.akamai.net A 92.122.213.74 A 92.122.213.123
0.945804 Standard query A weborama.neuf.fr
0.947307 Standard query response A 212.30.118.5
0.947993 Standard query A wreport.weborama.fr
0.949250 Standard query response A 217.117.154.3
0.949948 Standard query A ssl.weborama.fr
0.952378 Standard query response A 217.117.154.6
0.953080 Standard query A eu.clickandbuy.com
0.955353 Standard query response A 217.22.128.15
0.956048 Standard query A www.clickandbuy.com
0.957962 Standard query response CNAME clickandbuy.com A 217.22.128.241
0.967171 Standard query A proxyradius.neufbox.neuf.fr
0.968350 Standard query response A 80.118.196.45 A 80.118.192.115
0.969028 Standard query A proxyradius.neufbox.neuf.fr
0.970239 Standard query response A 80.118.192.115 A 80.118.196.45
61.36273 Standard query A serversyslog.neufbox.neuf.fr
61.36277 Standard query A serversyslog.neufbox.neuf.fr
61.36384 Standard query response A 62.39.3.142
61.36504 Standard query response A 62.39.3.142
La première seconde, pas mois de 90 paquets DNS sont échangés....
De nombreuses demandes DNS me semble complètement inutiles. Certaines demandes sont effectuées 2 fois à moins d'une seconde d'intervalle, une demande (celle pour la mise à l'heure de la box via ntp.neufbox.neuf.fr) est effectuée en IPv6, ce qui oblige à faire une seconde demande pour basculer en IPv4 car IPv6 non dispo...
Il peut être intéressant de rentrer un grand nombre de service directement via leur IP pour qu'en cas de panne du DNS le service soit accessible.
Une piste pour améliorer la disponibilité et décharger le serveur DNS qui peut recevoir beaucoup de demandes si des dizaines de milliers de box se connecte simultanèment (panne EDF dans un quartier par exemple)
-
La NeufBox v5 utilise un processeur dual-coeur 64 bits OCTEON CN5000F de la société Cavium Networks.
Je me suis permis de traduire le communiqué de presse publié le 20 janvier par cette société :
Le Fournisseur d'accès à Internet Français SFR à sélectionné OCTEON pour équiper sa prochaine génération de box triple play pour la fibre optique (FTTH).
Le processeur dual-coeur OCTEON de Cavium Networks délivre des hautes performance et permet une flexibilité du déploiement pour le marché FTTx marché.
MONTAIN VIEW, Californie, 20 janvier 2009. Cavium Networks (NASDAQ : CAVM), un leader de les semi-conducteurs qui intègrent une accélération pour le réseau, le stockage, le Wifi et les applications de sécurité, annonce aujourd'hui que SFR, le premier fournisseur d'accès à Internet en France, à sélectionné la famille de processeur OCTEON CN50XX pour sa prochaine génération de box triple play pour la fibre optique, capable de gérer 1 Gb/s et appelé « Neufbox » par SFR. La famille de processeur OCTEON CN50XX délivre des hautes performances, un bas cout et une faible consommation d'énergie pour la prochaine génération de box qui utilise une connexion fibre optique rapide pour le WAN, des connections Gigabit/s pour le LAN, un wifi 802.11n supportant plusieurs centaines de Mb/s pour un service Téléphonique, TV et Internet intégrant de la qualité de service (QoS) et un système de sécurité fort dans un système basé sur un unique processeur. SFR est l'un des plus actif FAI dans le déploiement de la fibre optique (FTTH) en France.
Après avoir évalué plusieurs processeurs, SFR choisit OCTEON pour sa performance, sa extrêmement faible consommation d'électricité et sa capacité à gérer des futur applications qui étaient demandé par la « NeufBox »
« Le processeur dual-core OCTEON de Cavium excelle dans les performances et les nécessité de faible consommation d'énergie de la prochaine génération de box » dit Andy Rava, directeur des ventes de Cavium Networks. « Nous sommes enchantés d'aider SFR à offrir une connexion internet à haute performance avec de nombreuses fonctions multimédia »
La famille de processeur OCTEON CN50XX offre le choix un processeur mono-cœur ou dual-cœur 64bits cadencé entre 300 et 700 Mhz, compatible avec de nombreux logiciels. Meilleur processeur de sa classe, le processeur OCTEON CN50XX à un cache de niveau 2 intégré de 128 Ko, gère la QoS, le protocole TCP et des co-processeur de sécurité. Il s'interface matériellement avec TDM/PCM, plusieurs interfaces Ethernet Gigabits/s, PCI, USB 2.0 et de nombreux autres. Avec ses fonctionnalités avancées, son prix compétitif et sa basse consommation d'énergie, le processeur OCTEON CN50XX est la solution sans égal pour les besoins croisant de bande passante dans les déploiement en Europe, Japon et Amérique du Nord.
Communique orignal en Anglais disponible sur le site de Cavium Networks (http://www.caviumnetworks.com/newsevents_Caviumnetworks_SFR.html)
Traduction : Vivien - N'hésitez pas à me signaler les erreurs - involontaires - de traduction.
-
Diagramme de l'OCTEON Plus :
(https://lafibre.info/images/altice/sfr_nb5_CN5020_BlockDiagram.jpg)
Plus d'infos sur le processeur dans ce PDF :
(https://lafibre.info/images/doc/200710_Cavium_Networks_Octeon_Plus_CN5000F.jpg) (https://lafibre.info/images/doc/200710_Cavium_Networks_Octeon_Plus_CN5000F.pdf)
Voici ce que donne un cat /proc/cpuinfo sous linux ; (on voit 2 CPU, c'est normal car il y à 2 cœurs)
processor : 0
cpu model : Cavium Networks Octeon V0.1
BogoMIPS : 801.11
wait instruction : yes
microsecond timers : yes
tlb_entries : 64
extra interrupt vector : no
hardware watchpoint : yes
ASEs implemented :
VCED exceptions : not available
VCEI exceptions : not available
processor : 1
cpu model : Cavium Networks Octeon V0.1
BogoMIPS : 801.11
wait instruction : yes
microsecond timers : yes
tlb_entries : 64
extra interrupt vector : no
hardware watchpoint : yes
ASEs implemented :
VCED exceptions : not available
VCEI exceptions : not available
Les BogoMIPS ne sont plus un bon comparatif de performances de CPU actuel, mais a default, cela donne une idée.
Voici ce que donne un Intel Pentium III 550 Mhz (donc 32 bits en mono-coeur) :
processor : 0
vendor_id : GenuineIntel
cpu family : 6
model : 8
model name : Pentium III (Coppermine)
stepping : 3
cpu MHz : 547.635
cache size : 256 KB
fdiv_bug : no
hlt_bug : no
f00f_bug : no
coma_bug : no
fpu : yes
fpu_exception : yes
cpuid level : 2
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 sep mtrr pge mca cmov pat pse36 mmx fxsr sse up
bogomips : 1096.32
clflush size : 32
On est donc quasi-certain que l'Octeon utilisé est plus rapide qu'un bi-pentium III 450 Mhz même si en processeur généraliste il se révélera peut-être un peu petit peu plus lent qu'un bi-pentium III 450 Mhz car le Octeon est optimisé pour ce qu'il fait (traiter des E/S et pas pour les calculs a virgule flottante).
BENEFITS
Market-leading performance
• Up to 2.8 Billion instructions per second
• 500 Mbps to 2+ Gbps application performance - Up to 1+ Gbps 64B IP forwarding
Support for voice, video and data with integrated hardware
• Queuing, scheduling
• Very low latency for real-time traffic
Reduced BOM cost with essential interfaces for next-generation networking equipment
• Glueless support for switching, WLAN, voice and video
• High-speed USB 2.0 enables printer, storage connectivity
Flexible architecture allows host and coprocessor implementations
Industry-standard programming model without any need for proprietary tools or micro-coding
Fully software compatible with OCTEON CN5XXX, CN3XXX to deliver 1-16 CPU scalability
FEATURES
Custom CPU core optimized for networking
• 1-2 cnMIPSTM CPU cores (MIPS64/32 compatible) with MMU
• Available in 300 MHz to 700 MHz versions
• OCTEON Plus enhanced MIPS64 integer (Release2) instruction set
• Dual-issue, five-stage pipeline, optimized latencies
• Auto instruction pre-fetching and advanced data pre-fetching features to minimize memory stalls
High-performance coherent memory subsystem
• 128KB ECC protected L2 cache with locking, partitioning features for optimal performance
• Integrated mainstream 16 - 32-bit DDR2 memory controller with ECC, up to DDR2-667
Integrated coprocessors for application acceleration
• Packet I/O processing, QoS, TCP acceleration
• Support for IPsec, SSL, DH, SRTP, WLAN security, DES, 3DES, AES (up to 256-bit including GCM), SHA1, SHA-2 up to SHA-512, RSA, ECC, KASUMI, and Data-at-rest security (AES-XTS)
Integrated high-performance networking interfaces
• Up to 3 configurable Ethernet I/Os - 3x 10/100/1000 Ethernet MACs (RGMII; GMII or MII)
• Integrated 32-bit, 66 MHz PCI host or slave
• TDM/PCM interface for glueless VoIP support
• USB 2.0, high-speed (480 Mbps), host with integrated PHY
Small footprint package:
• 564 HSBGA package - compatible with OCTEON CN30XX single core processors
-
Voici la NeufBox v5 ouverte avec son processeur dual-cœur 64 bits OCTEON CN5000F au centre :
à sa droite on retrouve les 128 Mo de RAM DDR2 et les 16 Mo flash
En haut, de gauche à droite :
- Alimentation électrique
- 4 ports Gigabit/s pour le LAN
- 1 port Gigabit/s pour relier à l'ONT / media-converter
- 1 cage pour mettre un SFP pour mettre directement la Fibre dans le cas d'une installation P2P
- 1 port FXS (connecteur RJ11) pour relier un téléphone
(https://lafibre.info/images/altice/sfr_nb5_ouverte.jpg) (https://lafibre.info/images/altice/sfr_nb5_ouverte_2.jpg)
En bas, de gauche à droite :
- Bouton reset
- Connecteur d'extension PC card
- Bouton programmable
- 2 Ports USB maitre (pour connecter disque dur, clé usb, imprimante, dongle DECT, pico-BTS, téléphone, ...)
-
Bonjour a tous,
Tout d'abord merci pour le petit reportage, vraiment sympa :)
Par contre petite remarque pour rebondir sur le champ DSCP :
C'est surprenant de voir de la QOS sur le trafic sortant mais pas l'entrant
Il est possible que la box ai réinitialiser le champ avant de forward la réponse au boitier TV. As tu essayer de faire la même capture entre l'ONT et la box?
-
Concernant la QoS (champ DSCP) absent sur les flux TCP de la TV (portail IPTV, infos sur les programmes en cours, gestion, ...), j'ai expliqué qu'en cas d'attaque DDOS ces flux n'arriveraient plus au décodeur TV et qu'il y aurait des problèmes pour afficher l'interface ou les infos. Voici la réponse de SFR :
Tout dépend de quel DDOS il s'agit, si c'est sur la NB5, c'est normal.
La tv fonctionnera tout de même, même si l'unicast est pété.
D'ailleurs, sur gpon, la STB n'a pas besoin d'IP pour pouvoir recevoir une chaine TV.
Il manquera juste tout le contenu unicast : infos sur le programme, le programme tv et tous les ptits truc NeufTV (stats, infos...).
La seule condition est d'avoir une STB avec des droits à jour, bien sûr !
Je t'assure qu'en bourrinant un max sur la NB5, la TV continue de fonctionner (même avec des début >100Mbit/s).
La VOD est priorisée au même titre que les flux TV (dans les 2 sens).
D'autre opérateurs priorisent ces flux TCP à destination du décodeur TV afin de garantir leur acheminement. Les flux UDP à destination du décodeur sont bien priorisés par le réseau (les flux UDP multicast pour le live et les flux UDP unicast pour la vod)
-
On me demande comment réaliser une capture Wireshark entre une Neuf box et un ONT.
Le matériel nécessaire :
- Un PC avec deux cartes réseau (une deuxième carte réseau Ethernet coûte 7€ chez Carrefour, cf copie d'écran ci-dessous)
- Linux installé (je conseille Ubuntu si vous êtes débutant sous Linux)
Il suffit de suivre le tutoriel Tutoriel pour générer des pertes de paquets / latence / gigue sur un équipement avec NetEm (https://lafibre.info/tutoriels-linux/generer-des-pertes-de-paquets/) (vous n'êtes pas obligés de rajouter de pertes de paquet et de la latence)
Pour faire une capture avec Wireshark sous Ubuntu/Debian (sans démarrer Wireshark en mode root), il faut lui donner les droits : Copiez / collez ces 4 lignes dans un terminal :
sudo addgroup -quiet -system wireshark
sudo chown root:wireshark /usr/bin/dumpcap
sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap
sudo usermod -a -G wireshark VOTRE_LOGIN (pensez a changer VOTRE_LOGIN par votre login Ubuntu/Debian)
Pour prendre une capture a très haut débit, suivre le tutoriel Wireshark : Capturer son trafic Internet à haut débit sans perdre de paquets (https://lafibre.info/tutoriels-linux/optimiser-wireshark-pour-la-capture/)
Carte réseau 1 Gb/s PCI dans une grande surface :
(https://lafibre.info/images/tuto/201212_carte_ethernet_1gb.png)
Une carte Ethernet 1 Gb/s en PCI Express 1x (TP-Link TG-3468) s’achète à 8,90€
(https://lafibre.info/images/materiel/201411_carte_reseau_tp-link_ TG-3468_1.png)
(https://lafibre.info/images/materiel/201411_carte_reseau_tp-link_ TG-3468_2.png)
-
Merci pour les détails, il serait possible aussi d'avoir la longueur des câbles secteurs, car de nos jours, ces câbles sont de plus en plus court, se qui n'est pas pratique, ou oblige d'ajouter une rallonge si on veut placer la box un minimum en hauteur.
-
La première seconde, pas mois de 90 paquets DNS sont échangés....
Je pense qu'une bonne partie des résolutions DNS viennent des sites autorisé par le portail captif.
-
Le hors sujet sur l'ONT intégré dans la box ou non a été déplacé dans le post ONT intégré dans la box, une bonne chose ? (https://lafibre.info/gpon/ont-integre-dans-la-box-une-bonne-chose/)