[FRnOG] Re: [FRnOG] Questionnement d'un administr ateur système sur l'IPv6
On 12/12/2010 01:57 PM, Yoann Gini wrote: > - Dans le cas plus spécifique du multiWAN. Comment est-il possible de gérer > la répartition de charge sans faire de NAT ? J'reviens du workshop dont on parlait y'a quelques temps (http://www.training4ipv6.eu/index.php/workshop), du coup en discutant avec des gens il apparaît une autre solution : Tu passes ton réseau en IPv6 pur, sans IPv4. Pour ce qui est du load-balancing HTTP, tu fais faire ça au proxy il s'en sortira très bien (y compris pour se connecter à de l'IPv4). Pour les autres applications, soit tu considères qu'elles n'ont pas besoin de load-balancing, soit tu les répartis équitablement, soit c'est une appli métier et dans ce cas là tu peux probablement t'arranger avec l'autre bout du tuyau pour faire un VPN et du routage multi-chemins. (bon j'avoue la partie "ipv6 pur" c'est du bonus et non pas une nécessité) My 2 cents... NDLR : pour ceux que ça intéresse, le workshop était pas terrible question contenu, les conférenciers étaient complètement la tête dans les nuages (dommage ils ont l'air d'avoir des postes de décideurs...) -- Rémy Sanchez signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [FRnOG] Questionnement d'un administr ateur système sur l'IPv6
> Le Sun, Dec 12, 2010 at 02:13:27PM +, Thomas Mangin > [[email protected]] a écrit: >> Et cela ne couvre pas le cas ou tu veux faire du transproxying sur une >> ferme de proxy web, pour cela il te faut NAT ! > > Je me figure probablement mal ce que c'est que ton « transproxying », > mais si je le décomposer, j'arrive à « transparent » et « proxy ». > Et je vois pas dans l'histoire ce qui *impose* l'utilisation de NAT. http://lmgtfy.com/?q=linux+web+transproxy http://www.faqs.org/docs/Linux-mini/TransparentProxy.html Thomas--- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Questionnement d'un administr ateur système sur l'IPv6
> Pour un premier message sur cette liste je vais commencer par me présenter > brièvement, je suis Yoann Gini, formateur et consultant Apple sur tout ce qui > concerne Mac OS X et Mac OS X Server en entreprise OSX a un bon support v6 et apple se sert de v6 pour back to my mac http://www.ietf.org/id/draft-zhu-mobileme-doc-02.txt Curieux que vous n'ayez pas d'info de leur part ! > - Sans forcément avoir de multiWAN, si je change de FAI je change de préfixe > IPv6, or le réseau a été construit à partir de ce préfixe (service interne, > DNS, etc.). Actuellement si je change de FAI je n'ai aucun problème puisqu'en > interne je n'ai que des IP privés. Avec l'IPv6 je ne vois pas trop comment on > peut gérer ce cas, est-ce qu'il faut refaire tout l'adressage avec le > changement de fournisseur ? Premièrement vous devriez utiliser un DNS interne pour ne pas utliser les IP directement. Dans ce cas le changement est facile, c'est juste l'ajout de nouvelles IP, et un changement des enregistrement DNS. Mais dans la plupart des cas seules quelques IP sont présentées au net pour les services. Dans le cas d'un applicatif web, personne n'a besoin de savoir les IPs des serveurs SQL, etc. Il est possible de garder les IPs que votre premier FAI vous a fourni, même si elle ne sont alors plus routable globalement, d'ajouter de nouvelles IP au interfaces pour ajouter un accès net (mise a jour de securite, etc.) mais les applications marcheront toujours en interne en utilisant l'adressage du premier FAI. Ceci dit je ne vois aucune raison pour utiliser les IPs dans les applications. > En stateless les 64 derniers bits sont créés à partir de l'@MAC, est-ce qu'on > a moyen de jouer avec ça ? On peux forcer l'adresse MAC des interfaces sur toutes les OS. C'est très utile quand le fournisseur de service (cable, DSL) ne permet qu'une seule MAC sur le routeur qu'il fournit :) sur MAC OX : sudo ifconfig ether Maintenant l'utilisation de l'adresse MAC n'est qu'un option d'auto-configuration, pour des machines qui fournissent des services publiques ce n'est surement pas très judicieux. Router les IP en V6 comme en V4 avec DHCPv6 ou une configuration des machines avec des IPs statiques me parait plus judicieux. L'auto configuration c'est bien pour les cas de "plug and play". > Il me semblait avoir lu qu'une IPv6 incomplète est recomposée à partir du > préfixe actuel, est-ce le cas ? Pardon ? > Est-il préférable de maintenir un IPv4 interne pour ne pas devenir fou ? > (please pas ça) Toutes mes machines "publiques" on deux IPs (IPv4 et IPv6) je gère toujours mon réseau via v4, mais c'est un choix. > Va-t-il falloir revenir au NAT ? (please encore moins celle-là) Il y a des cas ou le NAT peut être utile - c'est la généralisation du NAT chez les particuliers qui fait mal. > - Dans le cas plus spécifique du multiWAN. Comment est-il possible de gérer > la répartition de charge sans faire de NAT ? Je ne vois pas de difference avec v4 - pourquoi penses-tu que c'est plus dur en IPV6 ? Comment fais-tu normalement ta répartition de charge ? > Dans les documentations IPv6 que j'ai lues, j'ai vu passer la possibilité > d'allocation de plage IPv6 PI, bien que ce soit une solution qui réponde à > quasiment toutes mes questions, je me demande si elle est réellement viable. > Si toutes les PME soucieuses de la qualité de leur connexion commencent à > demander des PI il y a des risques de suicide collectif chez les > admin-réseaux non ? Tout le monde n'a pas de service publique. Beaucoup des services sont utilise via DNS, alors un changement c'est un changement le TTL, puis un changement d'IP et voila. Très peu de services utilisent les IP directement de nos jours. Les sociétés qui ont du PI v4 auront du PI v6, pour les autres rien ne change, si NAT peut aider a changer de fournisseur, un bon DHCP et DNS interne peuvent aboutir au même résultat. De plus avec le nombres d'allocations IPv4, car nous avons tous tous plein de petit bout d'IP, et la taille des allocation IPv6, ou on ne sait pas encore comment ne pas gaspiller, on peut espérer que la taille de la table de routage IPv6 sera tellement plus petite que cela n'aura aucune importance. Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Questionnement d'un administr ateur système sur l'IPv6
On 12/12/2010 01:57 PM, Yoann Gini wrote: > - Sans forcément avoir de multiWAN, si je change de FAI je change de préfixe > IPv6, or le réseau a été construit à partir de ce préfixe (service interne, > DNS, etc.). Actuellement si je change de FAI je n'ai aucun problème puisqu'en > interne je n'ai que des IP privés. Avec l'IPv6 je ne vois pas trop comment on > peut gérer ce cas, est-ce qu'il faut refaire tout l'adressage avec le > changement de fournisseur ? En IPv6 tu a plusieurs adresses par interface : typiquement l'adresse globale, l'adresse locale, et l'adresse de lien. Ton adresse globale dépend de ton fournisseur, et elle peut être générée automatiquement par autoconf et/ou dhcp. À noter que l'autoconfiguration est prévue pour permettre la renumérotation des adresses : si tu annonces soudainement un nouveau préfixe, les machines gardent l'ancien préfixe quelques jour et prennent le nouveau aussi, ce qui te laisse un moment pour reconfigurer ton réseau. À noter aussi que le DHCPv6 permet de faire de la délégation de préfixe aux routeurs, mais à priori ça n'est pas très utilisé (implémenté). Ensuite ton adresse locale est composée d'un préfixe pseudo unique (tu peux le générer et le répertorier là par exemple : http://www.sixxs.net/tools/grh/ula/ ). Ce préfixe ne dépend pas de ton fournisseur, et n'est pas routé sur Internet (par contre tu peux le router comme tu veux sur ton réseau). En gros, comme les adresses privées IPv4 sauf qu'en plus le préfixe a très peu de chances d'être le même que celui d'une autre boite. Et puis l'adresse de lien local sert surtout à gérer le côté administratif du protocole, généralement on ne s'embête pas trop avec celle là (et elle n'est pas routable). > En stateless les 64 derniers bits sont créés à partir de l'@MAC, est-ce qu'on > a moyen de jouer avec ça ? Dans tout OS qui tient la route en théorie oui, à savoir que y'a une "privacy extension" qui existe et qui permet de générer les IP aléatoirement et de manière temporaire. Tu peux aussi faire une conf statique, d'ailleurs. > Il me semblait avoir lu qu'une IPv6 incomplète est recomposée à partir du > préfixe actuel, est-ce le cas ? Je ne suis pas sûr de comprendre la question... Une IPv6 c'est 64 bits de préfixe et 64 bits d'identifiant d'interface. Les 64 bits du début sont donnés par le routeur, et les 64 bits de la fin sont au choix de la machine (à condition de ne pas créer une adresse en double). > Est-il préférable de maintenir un IPv4 interne pour ne pas devenir fou ? > (please pas ça) J'aurais tendance à dire qu'il serait préférable de ne pas mettre d'IPv4 du tout dans le réseau et de maintenir la connectivité IPv4 avec du NAT64/DNS64, m'enfin ça c'est du gros extrémisme qui ne marche pas dans tous les cas. (C'est ce qui est utilisé dans le document que j'avais lié y'a quelques temps, http://ripe61.ripe.net/presentations/140-ripe_rome_jari.pdf) Par contre si tu passes en "dual-stack", la solution par défaut aujourd'hui, tu va avoir IPv4 et IPv6 qui vont tourner séparément en même temps, en interne comme en externe. > Va-t-il falloir revenir au NAT ? (please encore moins celle-là) Càd ? Du NAT en IPv6 ça n'existe pas, et même si ça devait arriver, ça ne serait jamais nécessaire vu le nombre d'adresses disponibles. > - Dans le cas plus spécifique du multiWAN. Comment est-il possible de gérer > la répartition de charge sans faire de NAT ? Sur celle là j'vais éviter de dire des conneries... -- Rémy Sanchez signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [FRnOG] Questionnement d'un administr ateur système sur l'IPv6
Bonjour Yoann, Le 12/12/10 13:57, Yoann Gini a écrit : > Bonjour à tous, > > Pour un premier message sur cette liste je vais commencer par me présenter > brièvement, je suis Yoann Gini, formateur et consultant Apple sur tout ce qui > concerne Mac OS X et Mac OS X Server en entreprise ainsi que Xsan (donc > consutling pour clients finaux et formations pour les certifs [inutile de > relancer le débat sur les certifications]). Hmmm, vu la position d'Apple sur les produits serveurs, bon courage pour la suite ;) > Ma première question concerne l'attitude à adopter quant à son utilisation de > manière pérenne. Prenons un exemple avec mon client "type", à savoir du > double WAN avec IP public fixe pour les deux liens Internet. Le routeur > s'occupe de faire de la répartition de charge et un peu de QoS pour être > certain que les services du type téléphonie ou services essentiels des > serveurs passent dans tous les cas. Tu as deux types d'agrégation : les load balancers de niveau 5 à 7, qui sont des bidouilles infâmes, et les vrais agrégations qui sont transparentes (niveau 2 ou 3), ou tu as une plage d'adresse pour les deux liens. Si tu as le premier, nombre d'inscrits à la liste seront en mesure de te proposer le deuxième. > Ce type de cas est très courant chez moi et va regrouper toutes les questions > que je me pose actuellement : > > - Sans forcément avoir de multiWAN, si je change de FAI je change de préfixe > IPv6, or le réseau a été construit à partir de ce préfixe (service interne, > DNS, etc.). Actuellement si je change de FAI je n'ai aucun problème puisqu'en > interne je n'ai que des IP privés. Avec l'IPv6 je ne vois pas trop comment on > peut gérer ce cas, est-ce qu'il faut refaire tout l'adressage avec le > changement de fournisseur ? Ton LAN peut très bien tourner sur de l'adressage local (fe80::), tout en ayant en plus une ou plusieurs adresses publiques par machine, qui elles sont variables. > En stateless les 64 derniers bits sont créés à partir de l'@MAC, est-ce qu'on > a moyen de jouer avec ça ? > Il me semblait avoir lu qu'une IPv6 incomplète est recomposée à partir du > préfixe actuel, est-ce le cas ? > Est-il préférable de maintenir un IPv4 interne pour ne pas devenir fou ? > (please pas ça) > Va-t-il falloir revenir au NAT ? (please encore moins celle-là) Il est _possible_ de natter, en l'occurrence en NAT66 1:1, mais c'est pas recommandé. Le dualstack est aussi possible, et souhaitable, car bon nombre d'applications métier développées sous OS X on une gestion du réseau absolument catastrophiques et ne passent pas en v6 (typiquement les serveurs de licence Quark ou de vielles versions de 4D) > - Dans le cas plus spécifique du multiWAN. Comment est-il possible de gérer > la répartition de charge sans faire de NAT ? Soit avec une vraie agrégation, soit en NAT66. Pas d'autre alternative, puisque c'est une bidouille crade. > Dans les documentations IPv6 que j'ai lues, j'ai vu passer la possibilité > d'allocation de plage IPv6 PI, bien que ce soit une solution qui réponde à > quasiment toutes mes questions, je me demande si elle est réellement viable. > Si toutes les PME soucieuses de la qualité de leur connexion commencent à > demander des PI il y a des risques de suicide collectif chez les > admin-réseaux non ? Rares sont les FAI qui, en France, accepteront d'annoncer une PI sur des liens ADSL ou SDSL. Mais ça existe, et c'est la "bonne façon" de faire. Dans un tel cas, tu as besoin d'un AS et d'une PI, et de deux livraisons de transit v6 en plus d'une petite plage v4 sur chaque lien qui elle sera différente sur les deux, et nattée (le plus petit préfixe annonçable étant /24, et comme il est de plus en plus difficile d'en obtenir un, mieux vaut ne pas perdre de temps à essayer de le demander). > En espérant que vous puissiez éclairer ma lanterne. (Et si vous pensez que ce > n'est pas le lieu pour en discuter, on peut toujours passer en hors liste) Si j'ai bien une préco dans ce genre de cas : dégager les load balancers à pas cher, et prendre plutôt un vrai FAI. Oui, c'est pas le même budget : de deux forfaits à 30€ tu passera probablement à un récurent mensuel de plusieurs centaines d'euros. Mais si l'objectif est d'avoir un réseau propre, c'est un passage obligatoire. Une fois que le lien est propre, il te faut un routeur assumant les services LAN. DHCP (v4 et v6), DNS et firewalling ne peuvent être gérés avec assez de souplesse par un Mac OS X server sans mettre les mains dans le camboui au point d'en faire une boite noire ressemblant plus à FreeBSD. Donc en fonction de la localisation de tes clients et des débits souhaités, tu peux avoir de 4 à 30 ISP à contacter. En fonction de l'état des réseaux en place, un coup de clean sur les ISP te faciliterai grandement la tâche et rendra l'ensemble maintenable. my2cents -- Jérôme Nicolle 06 19 31 27 14 signature.asc Description: OpenPGP digital signature
