Comment puis-je mieux comprendre les équipements gérés par les FAI (routeurs)?

J'ai un certain nombre de clients qui ont un équipement réseau géré par leur FAI. Cela se présente généralement sous la forme d'un commutateur ou d'un routeur fourni par le FAI et placé sur le (s) site (s) du client.

Pour les sites qui ont une connectivité MPLS ou multi-sites, il serait extrêmement pratique de lier cet équipement à l'infrastructure de surveillance existante ( OpenNMS , Observium , etc.), d'autant plus que tous les autres aspects de l'environnement sont régulièrement vérifiés.

Malheureusement, la plupart des fournisseurs restreignent l'accès à l'équipement et vous forcent à les parcourir pour des changements de configuration. C'est compréhensible, mais comment obtenir des informations plus précises? J'ai essentiellement un gros trou noir dans mon empreinte de surveillance.

Un exemple récent était un client qui avait des problèmes VoIP (appels interrompus et problème de qualité) sur une liaison MPLS entre deux installations. Je n'ai aucun détail quant au niveau de QoS implémenté ( car nous ne pouvons pas voir à l'intérieur du routeur ). Le fournisseur d' accès n'a pas de suggestions autres que la bande passante augmentation de 4Mbps à 7Mbps ( upsell - $$$). Ils ont dit: "vous maximisez votre connexion sur le site distant" . Alors bien sûr, le client a accepté cela, sans aucune justification technique.

Le mieux que j'ai pu faire était de surveiller les ports de commutation menant aux routeurs du FAI sur les deux sites, et je n'ai vu aucune indication de saturation de la bande passante ... seulement de gros sauts de latence (mesuré de commutateur à commutateur).

Site principal:

Site distant:

• Alors, est-ce quelque chose qui est négociable avec le FAI?
• Avez-vous déjà convaincu un fournisseur de fournir des données de surveillance plus approfondies ou d'autoriser la surveillance SNMP de son équipement?
• Quels recours avez-vous si vous pensez que le problème vient du FAI?

Habituellement, pour un gros contrat, vous devriez pouvoir négocier au moins un accès en lecture seule à leur routeur de périphérie.

Cependant, même en construisant un nouveau centre de données près de l'une de nos connexions FAI (câble de ~ 40 m) et un contrat assez important à l'époque, je n'ai pas pu l'obtenir. Il y avait souvent des fuites de données que vous pouviez obtenir.

Selon vos lois locales , cela peut toutefois déjà être une sorte d'accès non autorisé et vous devez vous assurer que vous pouvez obtenir une autorisation ou prendre le risque que personne ne remarque :)

Obtenir une sorte de régression est comme d'habitude négociable , mais cela n'en vaut probablement pas la peine.

Exemple pour un petit contrat: nous obtenons jusqu'à 2 mois de ce que nous leur remboursons s'ils gâchent vraiment et ne fournissent pas le service que nous leur achetons. Nous (à l'époque) perdrions beaucoup plus dans le pire des cas, donc c'était plutôt inutile en termes d'argent.

Nous avons essayé de documenter tout "externe". Ce que vous ne pouvez pas changer vous-même, notez-le / surveillez-le afin de savoir immédiatement s'il a changé.

Nous avions des documents sur le routage de nos clients, le temps que cela prend habituellement, la taille de la bande passante entre les liens, chaque détail auquel nous pouvions penser. Cela a été fait avec l'aide du FAI, donc ça n'a pas pris si longtemps, je pense que c'était une semaine ou quelque chose comme ça.

Pour la fixation et / ou le blâme proprement dit :

Si nous découvrions un problème spécifique, nous les informions des données de surveillance et des parties de notre documentation. Il y a eu un incident où ils ont changé le routage et une partie de notre client a eu un retard de quelques ms de plus qu'auparavant, ce qui était crucial pour notre service.

Cependant, ils n'ont pas toujours répondu positivement à cela.

Nous avons obtenu la permission de «prouver» que c'est leur problème, avons spammé le lien et avons pu reproduire le délai supplémentaire lorsqu'un certain seuil a été atteint. Peu de temps après, il a été corrigé, même avec les différents routages.

Fondamentalement, il existe deux options:

Soit vous avez de très bonnes connexions avec les techniciens en charge (lire le CTO du FAI), et ils sont en mesure de vous autoriser un accès en lecture seule, soit vous devez essayer de commettre des erreurs , reproduire le problème (aussi difficile soit-il), puis obtenir quelqu'un pour vraiment le comprendre.

N'essayez même pas avec le support client normal des FAI, même leur "support de niveau supérieur" n'est la plupart du temps pas autorisé à reconnaître leurs défauts.

Tout cela ne fonctionnera pas avec suffisamment d'argent dans le contrat.

Certains FAI peuvent fournir un serveur d'apparence qui fournit des informations limitées pour l'accès public. Ces informations incluent généralement traceroute/ pingdepuis le routeur ISP vers un emplacement spécifique, ainsi que les informations de base BGP.

On peut consulter des sites comme lookinglass.org ou bgp4.net wiki pour voir si le FAI concerné est répertorié. Notez cependant que ces informations sont très limitées et peuvent ne pas répondre complètement à la question d'origine.

En général, la réponse de @ dennis-nolte s'applique: tout se résume à l'argent et à la durée initiale du contrat. Il est assez facile de demander au FAI de fournir un accès en lecture seule lorsque le FAI repère un gros client lors de la discussion du contrat initial, mais il hésite à faire quoi que ce soit après coup.