> En fait, il faut repenser aussi cet aspect des choses, la notion de LAN et de > WAN est en train de devenir très floue. > Le BYOD, c’est des devices externes sur le réseau d’entreprise, et les > devices d’entreprise sont sur des réseaux publics… > Et IPv6 en rajoute une couche.
Depuis longtemps, nos ne traduisons plus le terme LAN par réseau d'entreprise, mais par site terminal client (client d'un opérateur de transport de données). Michel (sans le point) ----- Mail original ----- De: "Philippe ASTIER" <phili...@astier-consulting.fr> À: "frnog" <frnog@frnog.org> Envoyé: Vendredi 8 Mars 2019 11:15:48 Objet: Re: [FRnOG] [MISC] Adoption de nouveaux protocoles Bon, comme le vendredi on peut se lâcher un peu plus encore, j’en profite. :) Se protéger derrière le NAT de l’IPv4, c’est peut-être rassurant, mais un très grand nombre de Devices entreprise (ordinateurs et téléphones portables) passent la plupart de leur temps en dehors de l’entreprise et de votre périmètre d’action, ils sont sur des réseaux public. En fait, il faut repenser aussi cet aspect des choses, la notion de LAN et de WAN est en train de devenir très floue. Le BYOD, c’est des devices externes sur le réseau d’entreprise, et les devices d’entreprise sont sur des réseaux publics… Et IPv6 en rajoute une couche. Le NAT, c’est pas de la sécu. Et oui, en IPv6, il va falloir que vos filtrages sachent gérer. Pour résumer, le modèle de la forteresse d’entreprise avec un mur infranchissable est bien mort depuis longtemps. Du coup IPv6 devrait poser moins de souci. Je me suis amusé à couper IPv4 totalement sur ma machine, j’ai été surpris de ne pas trop être pénalisé, pas de service majeur inaccessible en fait. Faites l’expérience. > Le 8 mars 2019 à 10:29, Philippe Bourcier <phili...@frnog.org> a écrit : > > Re, > >>>> Je suis assez impatient de voir une DSI qui passera en full IPv6-only >> >>>> avec son AD et tout le >>>> reste... faut avoir envie de mettre le doigt dans des trucs mal >> >>>> documentés/testés. >> >> Au fur et à mesure, chercher à conserver un réseau no-IPv6 va demander de >> plus en plus de temps et >> d'arsouilles, faire découvrir des bugs que les dev(ops) n'auront pas vu car >> eux sont en v6, etc.... > > Enfin, un réseau IPv6 interne non-routé et/ou non NAT66é, ça ne sert pas à > grand chose :) > Mais c'est un début de migration... faut bien commencer quelque part. > >>>> le premier réflexe des DSI ce sera plutôt de coller un NAT 46 et le >> >>>> maquillage DNS qui va avec. >> >> Peut-être que d'ici là les générations auront changé et qu'ils mettront >> plutôt un NAT64 pour >> supporter le legacy ? > > Comme il y a le choix, tu verras les deux... > Mais il va falloir que toutes les applis soient IPv6 compliant avant. > La webification des applis devrait aider à faire disparaître le > non-compliant... mais pas forcément les habitudes :) > > La seule chose que je m'avance à prédire, c'est que dans cette transition je > vois bien NAT66/ULA remplacer NAT44/RFC1918... et tes clients ne vont en fait > utiliser qu'une seule IPv6 publique sur leur FW vs les milliards que tu leur > aura attribuée :) > > > Cordialement, > -- > Philippe Bourcier > web : http://sysctl.org/ <http://sysctl.org/> > blog : https://www.linkedin.com/today/author/philippebourcier > <https://www.linkedin.com/today/author/philippebourcier> > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ <http://www.frnog.org/> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
