[FRnOG] Questionnement d'un administrateur système sur l'IPv6
Bonjour à tous, Pour un premier message sur cette liste je vais commencer par me présenter brièvement, je suis Yoann Gini, formateur et consultant Apple sur tout ce qui concerne Mac OS X et Mac OS X Server en entreprise ainsi que Xsan (donc consutling pour clients finaux et formations pour les certifs [inutile de relancer le débat sur les certifications]). Je suis cette liste depuis presque un an (premier message reçu le 21 janvier 2010 pour être précis) et je dois dire que tout ce qui est échangé ici est très instructif (sauf le vendredi). Mon premier message n'intervient que maintenant, car jusqu'à lors je n'avais tout simplement rien à dire :-) Aujourd'hui je trouve enfin le temps de m'intéresser et me préparer à l'IPv6. Mon pool de client habituel va de la TPE à la bonne PME mais, n'ayant pas d'administrateur réseau dédié. C'est moi en tant qu'administrateur-système qui remplis ce rôle autant que ce peu. Jusqu'à présent, je n'ai eu aucun problème, ni de sécurité, ni de conception, même pour tout ce qui est lien inter-site pour certains clients. L'arrivée prochaine de l'IPv6 me demande donc un travail à ce niveau pour comprendre ce qu'il sera possible de faire avec et surtout, comment le faire. Avec votre permission, j'aurais donc quelques questions pour ceux d'entre vous qui sont IPv6-aware. Ma première question concerne l'attitude à adopter quant à son utilisation de manière pérenne. Prenons un exemple avec mon client "type", à savoir du double WAN avec IP public fixe pour les deux liens Internet. Le routeur s'occupe de faire de la répartition de charge et un peu de QoS pour être certain que les services du type téléphonie ou services essentiels des serveurs passent dans tous les cas. Ce type de cas est très courant chez moi et va regrouper toutes les questions que je me pose actuellement : - Sans forcément avoir de multiWAN, si je change de FAI je change de préfixe IPv6, or le réseau a été construit à partir de ce préfixe (service interne, DNS, etc.). Actuellement si je change de FAI je n'ai aucun problème puisqu'en interne je n'ai que des IP privés. Avec l'IPv6 je ne vois pas trop comment on peut gérer ce cas, est-ce qu'il faut refaire tout l'adressage avec le changement de fournisseur ? En stateless les 64 derniers bits sont créés à partir de l'@MAC, est-ce qu'on a moyen de jouer avec ça ? Il me semblait avoir lu qu'une IPv6 incomplète est recomposée à partir du préfixe actuel, est-ce le cas ? Est-il préférable de maintenir un IPv4 interne pour ne pas devenir fou ? (please pas ça) Va-t-il falloir revenir au NAT ? (please encore moins celle-là) - Dans le cas plus spécifique du multiWAN. Comment est-il possible de gérer la répartition de charge sans faire de NAT ? Dans les documentations IPv6 que j'ai lues, j'ai vu passer la possibilité d'allocation de plage IPv6 PI, bien que ce soit une solution qui réponde à quasiment toutes mes questions, je me demande si elle est réellement viable. Si toutes les PME soucieuses de la qualité de leur connexion commencent à demander des PI il y a des risques de suicide collectif chez les admin-réseaux non ? En espérant que vous puissiez éclairer ma lanterne. (Et si vous pensez que ce n'est pas le lieu pour en discuter, on peut toujours passer en hors liste) Yoann--- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
Le Sun, Dec 12, 2010 at 02:13:27PM +, Thomas Mangin [thomas.man...@exa-networks.co.uk] a écrit: > Et cela ne couvre pas le cas ou tu veux faire du transproxying sur une > ferme de proxy web, pour cela il te faut NAT ! Je me figure probablement mal ce que c'est que ton « transproxying », mais si je le décomposer, j'arrive à « transparent » et « proxy ». Et je vois pas dans l'histoire ce qui *impose* l'utilisation de NAT. -- Dominique Rousseau Neuronnexion, Prestataire Internet & Intranet 50, rue Riolan 8 Amiens tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
On 12/12/2010 07:36 PM, Jérôme Nicolle wrote: > Waip, alors je faisait ça ya 4 ans, et c'est loin d'être optimal en > ML-PPP. Il a du mal a prendre en compte la disparité des débits des > liens, tout comme tu l'aurais avec du bonding sur des /dev/tap. Étrange, quand tu regardes la RFC ça explique justement que ça a été écrit pour ce genre de cas... Tu faisais ça avec que logiciel ? Pour l'instant je suis parti sur MPD [1], et concrètement c'est le seul que j'ai trouvé à avoir l'air de gérer ça... > Par contre, pour le coup, tu peux compresser ce qui passe sur le tunnel, > dans ton cas c'est pas anodin (si c'est bien pour MAIZ) Ouais, plus après mettre un proxy distant et tenter de booster la connexion avec lui (genre jouer avec les paramètres TCP, garder les connexions ouvertes entre le proxy local et le proxy distant, ...). [1] http://mpd.sourceforge.net/ -- Rémy Sanchez http://hyperthese.net signature.asc Description: OpenPGP digital signature
Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
On Tue, 14 Dec 2010 15:38:52 +0100, Mohsen Souissi wrote: | NDLR : pour ceux que ça intéresse, le workshop était pas terrible | question contenu, ==> Je respecte votre point de vue même si je n'ai pas eu la même impression. | les conférenciers étaient complètement la tête dans les nuages | (dommage ils ont l'air d'avoir des postes de décideurs...) ==> Pas d'accord. Cela parle des programmes de formation IPv6 et des défis à venir. Certaines sont plutôt de terrain, d'autres d'ordre politique-coordination, normal pour un atelier auquel on invite des représentants de la CE, non ? Il faut savoir ce qu'on veut ;-) Les bios des conférenciers sont en ligne et chacun se fera son opinion :-) Pour moi ça parlait surtout de l'incapacité de savoir combien de gens ont eu leur logo IPv6... J'veux dire, toutes les questions récurrentes du genre "combien de gens sont certifiés" ou "combien de certifiés ont utilisé leurs connaissances"/"combien de gens utilisant 6deploy ont vraiment déployé IPv6" sont restées sans réponse. Même Cisco a eu du mal à donner des chiffres... Quand quelqu'un suggère qu'il faille élargir la formation à tous les utilisateurs du réseau (y compris les utilisateurs finaux) et que tu (vous ?...) l'incendie, je trouve pas ça très très constructif, d'autant plus que c'était quelqu'un qui vit exclusivement depuis des années du déploiement d'IPv6, donc à priori il sait de quoi il parle. Moi j'ai clairement l'impression qu'on était encore dans une mentalité où IPv6 sort des labos, et que pour l'instant le déploiement d'IPv6 est un jeu qui se joue entre certaines branches de multinationales, quelques universités/profs, et des morceaux de gouvernements, en ignorant complètement la réalité^Wles autres acteurs. L'agenda de mise au point des e-compétences c'est bien, mais ça va pas aider la PME de 5 personnes qui fait tout sauf de l'informatique à déployer IPv6. Je dis probablement ça par ce que je suis un connard de rookie qui a découvert IPv6 y'a un an et qui fait chier son monde avec, mais comme le disaient si bien certains des conférenciers, on est passé de quelques geeks qui veulent découvrir IPv6 à un regroupement de tous les CxO d'une multinationale dans la même pièce pour savoir comment déployer IPv6 maintenant. M'enfin à priori il va falloir arrêter de faire des test beds et allumer ça pour de bon d'ici pas trop longtemps, sous peine de tuer la croissance des entreprises et l'innovation. -- Rémy Sanchez --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
Le 12 déc. 2010 à 17:44, Thomas Mangin a écrit : >> Comment est-il annoncé ce préfixe local ? > > Il n'est jamais announce. D'après les liens cités précédemment, il est possible de le générer et de l'enregistrer sur une base commune. Comment est-il configuré sur les postes s'il n'est pas annoncé ? (cf http://www.sixxs.net/tools/grh/ula/ ) Encore désolé avec mes questions de débutant sur le sujet, si vous avez une documentation "L'IPv6 pour les admin système" je suis preneur :-) >> En gros si mon IP local est 2001:0db8::85a3:::ac1f:8001 et que >> je cherche à contacter 2001:0db8::85a3:030a:0020:ac1f:8001 je pourrais >> écrire simplement :::030a:0020:ac1f:8001. Est-ce vrai ? (Quelques problèmes >> quant à savoir quelle source sont valables sur le net à ce sujet) > > Pas plus que l'on peut écrire .255.254 > Quelles sources disent que ::: est un raccourci pour le même netmask ? Justement, ça fait partie des notes que j'ai prises en me renseignant au fils du temps sur l'IPv6. Comme je n'en vois plus mention, je demande histoire de savoir si c'est une fausse info (ce qui semble être le cas) ou une idée abandonnée. Ça me semblait cependant cohérent, dans le sens où une IPv4 ce n’est pas long à taper, un v6 par contre c'est un peu plus chiant. Donc dans le cas où on gère des IP en statique / DHCP, la seule chose à taper serait ce que nous avons configuré, le préfixe étant rajouté par l'hôte. Enfin bon cela semble ne pas exister au final, mauvaise compréhension de ma part, mauvaise source, peut importe, inutile de s'étendre sur ce point :-) >> Bien évidement je n'utilise que du DNS en interne, jamais d'IP ! C'est >> surtout pour savoir s'il y a un moyen de rendre le changement de préfixe >> transparent pour le DNS interne. Bien que ça n'arrive pas souvent et qu'il >> n'y a généralement pas beaucoup d'entrée dans le DNS, j'essaye toujours de >> prendre la solution qui nécessite le moins d'action de ma part :-) > > Tu peux utiliser les adresses de link-local - pour ca cela fait tres bien > l'affaire tant que rien n'est route. Est-ce que l'adresse de link local peut être fournie par DHCP ou être assignée en statique ? >> Actuellement ma répartition de charge se fait sur le routeur, il s'occupe de >> prendre la connexion WAN la moins occupée et fait le NAT en fonction. Sans >> NAT et avec deux préfixes différents, comment le routeur va gérer l'histoire >> ? Si la connexion est émise depuis le client avec le préfixe de la connexion >> A alors qu'il faut user du B, ça se passe comment ? Rien ne garantit qu'un >> client ai le même identifiant peu importe le préfixe, si ? > > Sans NAT les deux FAIs doivent annoncer le même block d'IP, avec le même FAI > ca ce fait facilement c'est du routage interne, avec deux FAIs il faut son > block PI et BGP. > Ceci dit le FAI peut sourcer le block BGP et le router statiquement au > client, le client n'est pas force d'utiliser BGP lui même Ok donc ici sans NAT dans une config IPv6 on perd vraiment en possibilité pour les petits clients ! Les petites structures sans trop de moyens sont friandes de ce genre de solution, 2x30€ par mois sur des providers différents, ça les aides à avoir un internet un peu plus stable sans avoir à absorber des coûts de grosse entreprise sur tout ce qui est matos et gestion. Espérons que le NAT 66 arrive rapidement ! Quand on voit ce qu'il est possible de faire en IPv6 c'est dommage de dire ça, mais malheureusement ça risque de faire perdre en qualité de service aux petites entreprises.
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
Le 12/12/10 21:07, Thomas Mangin a écrit : > http://vh-net.fr/blog/ Cette solution marche quand tu as deux lignes aux carracteristiques très proches (débit et latence). Sinon, le débit cumulé sera le nombre de lignes * la vitesse de la plus lente, et une différence de latence importante créera une jigue énorme. > Ce n'est pas la bande passante qui va faire mal, c'est la limite sure le > nombre de packet par seconde que le DSLAM donne a chaque ligne. > Car plus de machines veut dire plus de requetes DNS et autres, cela compte > rapidement pour beaucoup ... Il y a un resolver avec cache et un proxy en local, justement pour limiter la casse à ce niveau. -- Jérôme Nicolle 06 19 31 27 14 signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
On 12/12/2010 18:55, Yoann Gini wrote: > > Le 12 déc. 2010 à 17:44, Thomas Mangin a écrit : >> Il n'est jamais announce. > > D'après les liens cités précédemment, il est possible de le générer et de > l'enregistrer sur une base commune. Comment est-il configuré sur les postes > s'il n'est pas annoncé ? (cf http://www.sixxs.net/tools/grh/ula/ ) > > Encore désolé avec mes questions de débutant sur le sujet, si vous avez une > documentation "L'IPv6 pour les admin système" je suis preneur :-) > Il y a un quiproquo de vocabulaire: Annoncé = annoncé sur internet, donc routable etc. Les ULAs ne sont pas routables (car elles sont destinées à un usage local uniquement). Donc pas elles ne sont pas annoncées. La base commune n'est là que pour se prémunir d'éventuelles collisions (même si peu probable, si le préfixe choisi est vraiment aléatoire). Si tu parles de l'allocation des adresses locales, radv ou dhcpv6 feront très bien le boulot :). >>> Bien évidement je n'utilise que du DNS en interne, jamais d'IP ! C'est >>> surtout pour savoir s'il y a un moyen de rendre le changement de préfixe >>> transparent pour le DNS interne. Bien que ça n'arrive pas souvent et qu'il >>> n'y a généralement pas beaucoup d'entrée dans le DNS, j'essaye toujours de >>> prendre la solution qui nécessite le moins d'action de ma part :-) >> >> Tu peux utiliser les adresses de link-local - pour ca cela fait tres bien >> l'affaire tant que rien n'est route. > > Est-ce que l'adresse de link local peut être fournie par DHCP ou être > assignée en statique ? > Non, elle est construite à partir de l'adresse MAC et configurée automatiquement. Pour plus d'infos, voir: http://livre.g6.asso.fr/index.php/Main_Page -- Mathieu Goessens IT consultant. geb...@poolp.org + 33 6 07 91 54 87 http://gebura.eu.org --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
En vrac : * L'adresse link-local (celle de préfixe fe80::) est générée automatiquement, aucun routeur ne l'annonce. Cependant cette adresse est passablement chiante à utiliser (il faut systématiquement préciser le numéro d'interface, ce qui n'est même pas géré par tous les logiciels), n'est pas routable, et n'a pas les avantages de l'ULA, à savoir un préfixe pseudo-unique. Pour ces raisons, il est donc très largement plus pratique d'utiliser des ULA plutôt que des adresses link-local. Les ULA s'utilisent comme les adresses globales, à la différence que personne ne les routes vers Internet. * Les interfaces peuvent avoir plusieurs IP. De ce fait, un routeur peut annoncer plusieurs préfixe à la fois, y compris un préfixe ULA. De même, le DHCPv6 n'attribue pas une adresse, mais une liste d'adresses. D'ailleurs sur ce point là les leases sont passablement plus compliqués qu'avec IPv4... * Pour ton multi-wan, y'a une solution un peu moche que j'vais tester bientôt : faire un tunnel vers un serveur dédié, et l'utiliser pour sortir sur le net. D'ailleurs en théorie ça permet une répartition bien plus équilibrée qu'en utilisant les 2 lignes en round robin (puisqu'on équilibre aussi les paquets entrants). Pour ma part c'est insuffisant à cause de l'assymétrie de mes liens, alors j'vais tenter de faire du multilink ppp (c'est beaucoup plus drôle d'ailleurs). * L'utilisation du NAT64 c'était une blague, faudrait quand même avoir une sacrée paire de couilles pour balancer ça en entreprise... Remarque l'avantage c'est que ça casse automatiquement plein d'applications dont tu ne veux pas, comme le P2P :D -- Rémy Sanchez signature.asc Description: OpenPGP digital signature