RE : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Quand je vois des clients qui arrivent chez moi pour monter un MPLS avec des plans privés en 200.0.0.0/8 ou en 198.0.0.0/8 je me dis que y'a encore du boulot d'éducation à faire en IPV4 avant de tenter quoique ce soit en IPv6. Ce genre de pratique ca risque de donner de drôles de choses en IPv6. My two cents de Noël, bonnes fêtes à tous. Raphael Durand Damien Fleuriot m...@my.gd a écrit : Et c'est très bien. Tu as un besoin: te connecter en ssh sur une machine sans monter de VPN Tu as une réponse: rendre cette machine joignable en ip6. Très bien. Maintenant, *moi* j'ai un autre besoin, et une autre réponse, également adaptée: Mon besoin: que mes clients puissent joindre mes services en ip6 Ma réponse: des frontaux qui parlent ip6. Je n'ai absolument pas besoin de changer l'adressage interne pour ça, notre boîte à nous a encore plein de place avec les adresses privées ;) 2011/12/24 Guillaume Barrot guillaume.bar...@gmail.com: Ouais la mienne deja. Deuxio je suis bien content de pouvoir faire un ssh direct d'une machine de n'importe ou sans avoir a monter une saloperie de vpn parce que la sécurité par l'obscurantisme tout ca. Et ca en v4 prive + nat, c'est juste drôle... Le 23 déc. 2011 17:07, Surya ARBY arbysu...@yahoo.fr a écrit : Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Encore du bon mail qui sert a rien. Vous voyez pas d'interet, genial, la question n'est pas si l'admin reseau au chomage partiel qui n'a plus rien a lire sur slashdot trouve que ca a un interet ou pas. La question etait est ce que quelqu'un connait un fabricant de switch qui fait du ra-guard? Bordel. 2011/12/24 Surya ARBY arbysu...@yahoo.fr: Oui, surtout dans les grosses sociétés type CAC40, migrer un réseau de plusieurs dizaines de milliers de points de connexion en production est juste impossible. De : Damien Fleuriot m...@my.gd À : frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h09 Objet : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. On 12/23/11 5:07 PM, Surya ARBY wrote: Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Une mailing-list, ça sert aussi à débattre, c'est le cas ici. Merci également de modérer tes propos, tes ça sert à rien et autres bordel c'est peut être très bien avec tes potes, mais avec des parfaits étrangers c'est particulièrement malvenu. On 12/23/11 5:18 PM, Jean Barbezat wrote: Encore du bon mail qui sert a rien. Vous voyez pas d'interet, genial, la question n'est pas si l'admin reseau au chomage partiel qui n'a plus rien a lire sur slashdot trouve que ca a un interet ou pas. La question etait est ce que quelqu'un connait un fabricant de switch qui fait du ra-guard? Bordel. 2011/12/24 Surya ARBY arbysu...@yahoo.fr: Oui, surtout dans les grosses sociétés type CAC40, migrer un réseau de plusieurs dizaines de milliers de points de connexion en production est juste impossible. De : Damien Fleuriot m...@my.gd À : frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h09 Objet : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. On 12/23/11 5:07 PM, Surya ARBY wrote: Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Tres cher Damien, Je crois que ce sujet est taggué TECH pas MISC. Donc on reste sur le sujet (technique) pas sur la discussion de comptoir sur l'opportunite (ou pas) de l'adoption (ou pas) d'IPv6 dans des lieux fictifs (ou pas) ou des foules s'enthousiasment (ou pas) sur la pertinence et le cout eventuel - et ces salauds de DSI, je ne comprends pas ce qui est si dur a comprendre la dedans. My 5-cents-oh-mon-dieu-c'est-pas-beaucoup-je-vois-pas-pourquoi-tu-payes-pas-plus-parce-que-la-vraiment-avec-l-inflation-et-en-plus-y-a-plus-de-saison-ma-bonne-dame. J'en resterai la - mes excuses si mon agacement t'agace :) 2011/12/24 Damien Fleuriot m...@my.gd: Une mailing-list, ça sert aussi à débattre, c'est le cas ici. Merci également de modérer tes propos, tes ça sert à rien et autres bordel c'est peut être très bien avec tes potes, mais avec des parfaits étrangers c'est particulièrement malvenu. On 12/23/11 5:18 PM, Jean Barbezat wrote: Encore du bon mail qui sert a rien. Vous voyez pas d'interet, genial, la question n'est pas si l'admin reseau au chomage partiel qui n'a plus rien a lire sur slashdot trouve que ca a un interet ou pas. La question etait est ce que quelqu'un connait un fabricant de switch qui fait du ra-guard? Bordel. 2011/12/24 Surya ARBY arbysu...@yahoo.fr: Oui, surtout dans les grosses sociétés type CAC40, migrer un réseau de plusieurs dizaines de milliers de points de connexion en production est juste impossible. De : Damien Fleuriot m...@my.gd À : frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h09 Objet : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. On 12/23/11 5:07 PM, Surya ARBY wrote: Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
On est tout à fait sur du TECHnique, on parle de l'intérêt TECHnique (ou pas) de migrer (ou pas) du LAN (ou pas) sur du v6 (ou pas). On 12/23/11 5:40 PM, Jean Barbezat wrote: Tres cher Damien, Je crois que ce sujet est taggué TECH pas MISC. Donc on reste sur le sujet (technique) pas sur la discussion de comptoir sur l'opportunite (ou pas) de l'adoption (ou pas) d'IPv6 dans des lieux fictifs (ou pas) ou des foules s'enthousiasment (ou pas) sur la pertinence et le cout eventuel - et ces salauds de DSI, je ne comprends pas ce qui est si dur a comprendre la dedans. My 5-cents-oh-mon-dieu-c'est-pas-beaucoup-je-vois-pas-pourquoi-tu-payes-pas-plus-parce-que-la-vraiment-avec-l-inflation-et-en-plus-y-a-plus-de-saison-ma-bonne-dame. J'en resterai la - mes excuses si mon agacement t'agace :) 2011/12/24 Damien Fleuriot m...@my.gd: Une mailing-list, ça sert aussi à débattre, c'est le cas ici. Merci également de modérer tes propos, tes ça sert à rien et autres bordel c'est peut être très bien avec tes potes, mais avec des parfaits étrangers c'est particulièrement malvenu. On 12/23/11 5:18 PM, Jean Barbezat wrote: Encore du bon mail qui sert a rien. Vous voyez pas d'interet, genial, la question n'est pas si l'admin reseau au chomage partiel qui n'a plus rien a lire sur slashdot trouve que ca a un interet ou pas. La question etait est ce que quelqu'un connait un fabricant de switch qui fait du ra-guard? Bordel. 2011/12/24 Surya ARBY arbysu...@yahoo.fr: Oui, surtout dans les grosses sociétés type CAC40, migrer un réseau de plusieurs dizaines de milliers de points de connexion en production est juste impossible. De : Damien Fleuriot m...@my.gd À : frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h09 Objet : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. On 12/23/11 5:07 PM, Surya ARBY wrote: Sur un LAN interne ça sert à quelque chose IPv6 ? Y a beaucoup de sociétés qui saturent la RFC1918 sur leur réseaux locaux ? De : Stephane Bortzmeyer bortzme...@nic.fr À : Surya ARBY arbysu...@yahoo.fr Cc : Stephane Bortzmeyer bortzme...@nic.fr; Jérôme Nicolle jer...@ceriz.fr; frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Vendredi 23 Décembre 2011 17h05 Objet : Re: [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, Dec 23, 2011 at 04:01:29PM +, Surya ARBY arbysu...@yahoo.fr wrote a message of 45 lines which said: Blague à part, une simple VACL sur Cisco devrait faire l'affaire je pense. Mais il faut aussi me prévenir, que je n'aille pas candidater dans une boîte où, en 2011, on bloque l'IPv6. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
C'est exactement ce que l'on va faire, Keep It Simple Stupid. Encore une fois je n'ai aucun intérêt à avoir mes bases de données en ip6 vu que seuls les serveurs internes y accèdent. Pourquoi j'irais perdre du temps à mettre de l'ip6 dessus ? Comment je justifie auprès de ma direction le coût humain et matériel de cette approche ? 2011/12/23 Surya ARBY arbysu...@yahoo.fr: Pour rebondir là dessus, j'ai eu une discussion avec Cisco là dessus avant-hier, il semble qu'énormément de besoins ipv6 pour les entreprises (je parle pas des telcos) trouvent leur solution dans ces solutions de translations sur les load balancers (VIP v6, interne v4). Outre le besoin lui même et la manière d'y répondre, dans des environnements justement exposés sur internet, migrer toute l'infra serveur c'est pas ce qu'il y a de plus simple. Le temps m'a appris que moins on est intrusif et moins les exploitants doivent toucher, mieux on se porte. De : Damien Fleuriot m...@my.gd À : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net Cc : frnog@frnog.org frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 20h29 Objet : Re: [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard On 23 Dec 2011, at 18:43, Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net wrote: On Fri, 23 Dec 2011 17:09:15 +0100, Damien Fleuriot m...@my.gd said: +1 , je vois pas l'intérêt d'utiliser du v6 en interne o_O On met des IP6 sur nos frontaux, et les serveurs de backend restent en IP4, problème réglé ;) Après il y a peut être un véritable intérêt mais il me saute pas aux yeux là. Voila le moyen foireux de dire: je suis tout clean, je suis tout propre, je fais du IPv6. Bien-sur, ce n'est pas comme ca que ca marche. Ah bah si, je t'assure que c'est comme ça que ça marche. Je fournis un service, je le sers over ipv6, problème réglé. Tes utilisateurs internes, eux ils se connectent comment a ton fronal ? Les utilisateurs des autres boites qui font comme toi, eux ils se connectent coment a ton frontal ? Certainement pas en IPv6, parce-que toi, comme tous les autres comme toi, vous avez oublie que les deux cote d'une connexion doivent etre en IPv6. De toute évidence tu n'as aucune idée de ce dont tu parles, ou tu n'as pas compris la problématique a laquelle je souhaite répondre. Avant de monter sur tes grands chevaux et de te la jouer comme un ouf, intègre la notion qu'il s'agit de 2 problématiques différentes dont on parle la. D'un coté, fournir un service over ipv6. D'un autre, permettre a mes propres utilisateurs d'accéder a des services over ipv6. Il s'agit de 2 métiers différents et dans les grandes structures c'est géré par des équipes différentes. S'arreter aux frontaux externes c'est juste du foutage de gueule. Vaut mieux ne rien faire, la ua moins les choses sont claires. Nan mais sérieux, faut *vraiment* que les gens arrêtent de ramener leur science sur des sujets qu'ils connaissent pas. Tu connais mon archi ? Non. J'ai un métier, c'est rendre le service disponible. Une fois qu'il l'est, la mécanique interne ne concerne en rien le client. Tu peux dire que tu as fait ton devoir de passage en v6 quand tu as 100% des equipements qui peuvent communiquer entre eux, et avec l'exterieur en v6. Evidamment, il y en a tres peu qui sont arrives la. Cf ci-dessus. J'ai aucune intention de rendre mes machines internes capables de communiquer entre elles en ip6 parce que je n'en ai pas *besoin*. Alors non, je vais pas passer pour un bouffon en soumettent l'idée a ma direction, et en leur demandant du temps homme et du nouveau matos. Donc les prochains qui s'imaginent v6 ready parce-que leur www est passe en v6, merci de s'abstenir. Encore une fois, cf ci-dessus. Tu connais pas mon archi alors viens pas me donner de leçons. J'ai pas besoin que les machines derrière mes load balancers soient en ip6. J'ai pas besoin que mes DB soient en ip6, j'ai pas besoin que mes serveurs de log soient en ip6. Tu sais pourquoi ? Parce qu'en interne j'ai encore masse d'IPs privées disponibles. Sérieux faut arrêter de critiquer sur des infras qu'on connait pas, c'en est presque énervant. Je réponds sur un ton un peu agressif j'en suis conscient, je suis dans ce genre la, quand on me prend de haut a base de tu fais de la merde sans avoir la moindre notion de la problématique a laquelle je réponds. J'attends ton argumentation sur le fait que je doive absolument passer mes machines internes en ip6 alors qu'elles ne verront *jamais* arriver une requête depuis une IP publique. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
On Fri, 23 Dec 2011 19:41:46 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Après on peut se répéter ipv6 si c'est pas de bout-en-bout c'est le mal comme un petit mantra, ça n'en fera pas une vérité pour autant. Rappelez-moi, l'IPv6 c'etait pas suppose regler exactement ce probleme : communication de bout-en-bout, sans proxy, translateur ou encore serveur intermediaire ? L'ecosysteme IPv4 existe et c'est partout. L'ecosysteme IPv6 n'existe PAS, et aparamment il y a beaucoup trop peu de gens prets a contribuer a sa creation pour que ca voit jamais le jour. Pour ceux qui ont zappe des choses : l'Internet n'est pas compose que des frontaux et eyeballs ! C'est un ecosysteme tout entier, dont certaines parties ne sont pas visibles (ou au moins pas directement visibles), mais restent quand-memes vitales ou au minimum tres importantes. La solution a priori simple aujourd'hui - frontaux et proxies qui font de la translation v4-v6 - c'est la peste de demain (si c'est pour se limiter a ca, je prefere le NAT, dans tous ses versions). S'il faut l'implementer quand-meme aujourd'hui, faut mieux la voir comme solution transitoire, non pas comme solution definitive. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Je doute que qui que ce soit ici voit les proxys et autres passerelles de translation comme étant une solution pérenne et une cible (en tous cas j'ai rien vu passer qui allait dans ce sens) mais chez certains le transitoire ça peut durer trs longtemps pour tout un tas de raison (inertie de la boite, criticité des applis qui font que pour modifier la prod tu as une fenêtre de tir par an...) Et migrer la peste de demain, c'est peut-être ce qui te donnera du travail :) Si le réseau c'était si simple, je pense que beaucoup sur cette ML n'aurait pas de travail dans cette industrie. De : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net À : Surya ARBY arbysu...@yahoo.fr; Damien Fleuriot m...@my.gd Cc : frnog@frnog.org frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 22h50 Objet : Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, 23 Dec 2011 19:41:46 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Après on peut se répéter ipv6 si c'est pas de bout-en-bout c'est le mal comme un petit mantra, ça n'en fera pas une vérité pour autant. Rappelez-moi, l'IPv6 c'etait pas suppose regler exactement ce probleme : communication de bout-en-bout, sans proxy, translateur ou encore serveur intermediaire ? L'ecosysteme IPv4 existe et c'est partout. L'ecosysteme IPv6 n'existe PAS, et aparamment il y a beaucoup trop peu de gens prets a contribuer a sa creation pour que ca voit jamais le jour. Pour ceux qui ont zappe des choses : l'Internet n'est pas compose que des frontaux et eyeballs ! C'est un ecosysteme tout entier, dont certaines parties ne sont pas visibles (ou au moins pas directement visibles), mais restent quand-memes vitales ou au minimum tres importantes. La solution a priori simple aujourd'hui - frontaux et proxies qui font de la translation v4-v6 - c'est la peste de demain (si c'est pour se limiter a ca, je prefere le NAT, dans tous ses versions). S'il faut l'implementer quand-meme aujourd'hui, faut mieux la voir comme solution transitoire, non pas comme solution definitive. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
On Fri, 23 Dec 2011 16:12:00 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Oui, surtout dans les grosses sociétés type CAC40, migrer un réseau de plusieurs dizaines de milliers de points de connexion en production est juste impossible. Ca fait pas si longtemps que ca (moins de 15 ans), avoir des reseaux 100% IP (v4) etait aussi impossible. Aujourd'hui on y est. Si migrer un tel reseau est tres difficile, dire a partir d'aujourd'hui rien ne passe en prod sans v6 c'est nettement moins. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Discussion fort intéressante mais au combien inefficace (chacun son rythme de déploiement, quand on voit que l'injection SQL de milliers de CMS découverte y a plus de 10 ans est tjs codée par les mêmes pignouffes qui sortent de la même école, et qu'on leur a tjs pas dit qu'il fallait utiliser mysql_escapestring(), je me demande combien de temps va durer ou plutot survivre IPv4). Perso, mon annonce de préfixe /32 IPv6 s’arrête à l'interface Null0 du routeur du seul opérateur qui veut bieen peerer avec moi en IPv6 ( ce qui n'est pas le cas sur les 2 autres) Donc en bref, cela ne sert à rien d'aller plus loin tant que je n'aurais pas 1 voir 2 autres opérateurs en peer BGP sur IPv6 (parce sinon on m'engueulera quand ca tombera d'un côté). Pire, tant que le DNS de ma boite saura pas résoudre les milliers de ndd en IPv6, résolus en IPv4 today, je ne vois pas pourquoi je me presserai à le faire sur l'infra réseau. C'est pas question d'avoir une vision d'1,73mm, c'est question que chaque chose en son temps. Et que pour l'instant, les 2 seuls raisons que je vois : - Le commercial, c'est aujourd'hui lui qui fait tourner boutique, et celui pour lequel tout le monde baisse son pantalon quand on lui présente un contrat de qq centaines / milliers d'euros Et oui c'est bien lui qui me dit que le Cloud c'est génial (alors que ca fait 10 ans qu'il a mis à l'assimiler), il a pas encore compris IPv6 j'en profite le temps qu'il me laisse tranquille avec ca, et qu'il me demande pas 25.000 pubs sur le site con-mercial de la boite ou on arrive a vendre des AS comme des Asynchronous System (alors j'ose même pas imaginer ce que donnerait une présentation d'un hextet et des avtages d'ipv6). - Pourquoi je m'emmerderai à passer du temps a faire des VS IPv6, du routage BGP IPv6, du firewalling IPv6, et changer les sysconfig/networking des milliers de machines alors que les opérateurs sont en train de nous faire du CGN pour faire du NAT de NAT ??? si pas de clients, pas de bussiness, pas d'utilité (trouvé moi un seul DSI qui dira je veux l'hébergement 2 fois plus chers parce qu'ils sont IPv6 ready et pas seulement ready par un logo) Bref, quand les opérateurs et les admins sys/réseau/sécu (et dans cet ordre là) auraient fait leur boulot, on pourra parler d'un déploiement IPv6 ... Quand on voit que les IPv6 day, en particulier chez FB, c'est mettre des LB qui font des VS en IPv6 mais avec du forwarding vers un serveur qui n'a qu'une adresse IPv4, je me dis que j'ai encore au moins un an devant moi ! Noyeux Joel a frnog ;) *Fabien VINCENT* --- Twitter : @beufanet Mail : fab...@beufa.net Mail : fabvinc...@gmail.com --- 2011/12/23 Surya ARBY arbysu...@yahoo.fr Je doute que qui que ce soit ici voit les proxys et autres passerelles de translation comme étant une solution pérenne et une cible (en tous cas j'ai rien vu passer qui allait dans ce sens) mais chez certains le transitoire ça peut durer trs longtemps pour tout un tas de raison (inertie de la boite, criticité des applis qui font que pour modifier la prod tu as une fenêtre de tir par an...) Et migrer la peste de demain, c'est peut-être ce qui te donnera du travail :) Si le réseau c'était si simple, je pense que beaucoup sur cette ML n'aurait pas de travail dans cette industrie. De : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net À : Surya ARBY arbysu...@yahoo.fr; Damien Fleuriot m...@my.gd Cc : frnog@frnog.org frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 22h50 Objet : Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, 23 Dec 2011 19:41:46 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Après on peut se répéter ipv6 si c'est pas de bout-en-bout c'est le mal comme un petit mantra, ça n'en fera pas une vérité pour autant. Rappelez-moi, l'IPv6 c'etait pas suppose regler exactement ce probleme : communication de bout-en-bout, sans proxy, translateur ou encore serveur intermediaire ? L'ecosysteme IPv4 existe et c'est partout. L'ecosysteme IPv6 n'existe PAS, et aparamment il y a beaucoup trop peu de gens prets a contribuer a sa creation pour que ca voit jamais le jour. Pour ceux qui ont zappe des choses : l'Internet n'est pas compose que des frontaux et eyeballs ! C'est un ecosysteme tout entier, dont certaines parties ne sont pas visibles (ou au moins pas directement visibles), mais restent quand-memes vitales ou au minimum tres importantes. La solution a priori simple aujourd'hui - frontaux et proxies qui font de la translation v4-v6 - c'est la peste de demain (si c'est pour se limiter a ca, je prefere le NAT, dans tous ses versions). S'il faut l'implementer quand-meme aujourd'hui, faut mieux la voir comme solution transitoire, non pas comme solution definitive. --- Liste de diffusion
Re: Re : Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Autre considération : à se regarder en chiens de faïence, ça risque peu de progresser. L'Internet actuel (limitons nous à la L3) a cela de particulier qu'il n'a pas été bâti uniquement par les industriels, ie. avec quelques motivations autres que commerciales. Espérer la même dynamique pour la migration vers un autre Internet (toujours la limitation L3, qu'on ne joue pas trop sur les mots), c'est illusoire pour deux raisons : l'inertie due à l'ampleur de l'existant, l'inertie due intérêts (industriels) dans l'existant. Le reste de la question se résume (presque) à choisir entre tenir à la barraque ou bâtir le château. Sans assez de monde à se salir les mains, le château ne verra pas le jour ; une fois bâti par contre, le droit d'entrée devient considérable. Je ne veux pas jouer les Pascal, mais à supposer que le château s'élève, je préfèrerais être du bon côté des remparts (malheureusement, je n'ai pas le réseau pour prêter la main). Quelqu'un me rappelle comment on arrive du switch L2 à une prise de bec sur IPv6 ? On n'est pourtant pas sur [MISC]. On Sat, 2011-12-24 at 00:20 +0100, Fabien VINCENT wrote: Discussion fort intéressante mais au combien inefficace (chacun son rythme de déploiement, quand on voit que l'injection SQL de milliers de CMS découverte y a plus de 10 ans est tjs codée par les mêmes pignouffes qui sortent de la même école, et qu'on leur a tjs pas dit qu'il fallait utiliser mysql_escapestring(), je me demande combien de temps va durer ou plutot survivre IPv4). Perso, mon annonce de préfixe /32 IPv6 s’arrête à l'interface Null0 du routeur du seul opérateur qui veut bieen peerer avec moi en IPv6 ( ce qui n'est pas le cas sur les 2 autres) Donc en bref, cela ne sert à rien d'aller plus loin tant que je n'aurais pas 1 voir 2 autres opérateurs en peer BGP sur IPv6 (parce sinon on m'engueulera quand ca tombera d'un côté). Pire, tant que le DNS de ma boite saura pas résoudre les milliers de ndd en IPv6, résolus en IPv4 today, je ne vois pas pourquoi je me presserai à le faire sur l'infra réseau. C'est pas question d'avoir une vision d'1,73mm, c'est question que chaque chose en son temps. Et que pour l'instant, les 2 seuls raisons que je vois : - Le commercial, c'est aujourd'hui lui qui fait tourner boutique, et celui pour lequel tout le monde baisse son pantalon quand on lui présente un contrat de qq centaines / milliers d'euros Et oui c'est bien lui qui me dit que le Cloud c'est génial (alors que ca fait 10 ans qu'il a mis à l'assimiler), il a pas encore compris IPv6 j'en profite le temps qu'il me laisse tranquille avec ca, et qu'il me demande pas 25.000 pubs sur le site con-mercial de la boite ou on arrive a vendre des AS comme des Asynchronous System (alors j'ose même pas imaginer ce que donnerait une présentation d'un hextet et des avtages d'ipv6). - Pourquoi je m'emmerderai à passer du temps a faire des VS IPv6, du routage BGP IPv6, du firewalling IPv6, et changer les sysconfig/networking des milliers de machines alors que les opérateurs sont en train de nous faire du CGN pour faire du NAT de NAT ??? si pas de clients, pas de bussiness, pas d'utilité (trouvé moi un seul DSI qui dira je veux l'hébergement 2 fois plus chers parce qu'ils sont IPv6 ready et pas seulement ready par un logo) Bref, quand les opérateurs et les admins sys/réseau/sécu (et dans cet ordre là) auraient fait leur boulot, on pourra parler d'un déploiement IPv6 ... Quand on voit que les IPv6 day, en particulier chez FB, c'est mettre des LB qui font des VS en IPv6 mais avec du forwarding vers un serveur qui n'a qu'une adresse IPv4, je me dis que j'ai encore au moins un an devant moi ! Noyeux Joel a frnog ;) *Fabien VINCENT* --- Twitter : @beufanet Mail : fab...@beufa.net Mail : fabvinc...@gmail.com --- 2011/12/23 Surya ARBY arbysu...@yahoo.fr Je doute que qui que ce soit ici voit les proxys et autres passerelles de translation comme étant une solution pérenne et une cible (en tous cas j'ai rien vu passer qui allait dans ce sens) mais chez certains le transitoire ça peut durer trs longtemps pour tout un tas de raison (inertie de la boite, criticité des applis qui font que pour modifier la prod tu as une fenêtre de tir par an...) Et migrer la peste de demain, c'est peut-être ce qui te donnera du travail :) Si le réseau c'était si simple, je pense que beaucoup sur cette ML n'aurait pas de travail dans cette industrie. De : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net À : Surya ARBY arbysu...@yahoo.fr; Damien Fleuriot m...@my.gd Cc : frnog@frnog.org frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 22h50 Objet : Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, 23 Dec 2011 19:41:46 +
Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
2011/12/23 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Fri, 23 Dec 2011 19:41:46 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Après on peut se répéter ipv6 si c'est pas de bout-en-bout c'est le mal comme un petit mantra, ça n'en fera pas une vérité pour autant. Rappelez-moi, l'IPv6 c'etait pas suppose regler exactement ce probleme : communication de bout-en-bout, sans proxy, translateur ou encore serveur intermediaire ? Sans proxy ? Quel intérêt ? Un proxy ça t'apporte du cache (performances, réduction de l'utilisation de la bande passante), du contrôle d'accès, et même un certain niveau de sécurité une fois couplé à un antivirus. Pourquoi je voudrais me débarrasser de mes proxies ??? Si tu parlais de *reverse* proxies, ils sont tout aussi défendables ! Mes loadbalancers, qui finalement sont des reverse proxies hein, ils apportent: - offloading gzip - offloading SSL - filtrage layer 7 - flexibilité ! (suppression/ajout d'une machine dans le pool de backend sans que les clients ne voient rien, c'est quand même le pied, notamment pour les maintenances). Pourquoi je voudrais me débarrasser d'eux aussi ? L'ecosysteme IPv4 existe et c'est partout. L'ecosysteme IPv6 n'existe PAS, et aparamment il y a beaucoup trop peu de gens prets a contribuer a sa creation pour que ca voit jamais le jour. Pour ceux qui ont zappe des choses : l'Internet n'est pas compose que des frontaux et eyeballs ! C'est un ecosysteme tout entier, dont certaines parties ne sont pas visibles (ou au moins pas directement visibles), mais restent quand-memes vitales ou au minimum tres importantes. Je suis curieux, développe un peu ? La solution a priori simple aujourd'hui - frontaux et proxies qui font de la translation v4-v6 - c'est la peste de demain (si c'est pour se limiter a ca, je prefere le NAT, dans tous ses versions). S'il faut l'implementer quand-meme aujourd'hui, faut mieux la voir comme solution transitoire, non pas comme solution definitive. Ca a ses avantages, notamment tous ceux que j'ai cités plus haut concernant les proxies et rproxies. Ca a également d'autres avantages tels qu'un meilleur contrôle de son périmètre et une sécurité accrue, à mon sens. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
2011/12/24 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Fri, 23 Dec 2011 16:12:00 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Oui, surtout dans les grosses sociétés type CAC40, migrer un réseau de plusieurs dizaines de milliers de points de connexion en production est juste impossible. Ca fait pas si longtemps que ca (moins de 15 ans), avoir des reseaux 100% IP (v4) etait aussi impossible. Aujourd'hui on y est. Si migrer un tel reseau est tres difficile, dire a partir d'aujourd'hui rien ne passe en prod sans v6 c'est nettement moins. Tu réponds à quel besoin avec cette politique ? --- Liste de diffusion du FRnOG http://www.frnog.org/
