Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
On Tue, 14 Dec 2010 15:38:52 +0100, Mohsen Souissi mohsen.soui...@nic.fr wrote: | NDLR : pour ceux que ça intéresse, le workshop était pas terrible | question contenu, == Je respecte votre point de vue même si je n'ai pas eu la même impression. | les conférenciers étaient complètement la tête dans les nuages | (dommage ils ont l'air d'avoir des postes de décideurs...) == Pas d'accord. Cela parle des programmes de formation IPv6 et des défis à venir. Certaines sont plutôt de terrain, d'autres d'ordre politique-coordination, normal pour un atelier auquel on invite des représentants de la CE, non ? Il faut savoir ce qu'on veut ;-) Les bios des conférenciers sont en ligne et chacun se fera son opinion :-) vendredi Pour moi ça parlait surtout de l'incapacité de savoir combien de gens ont eu leur logo IPv6... J'veux dire, toutes les questions récurrentes du genre combien de gens sont certifiés ou combien de certifiés ont utilisé leurs connaissances/combien de gens utilisant 6deploy ont vraiment déployé IPv6 sont restées sans réponse. Même Cisco a eu du mal à donner des chiffres... Quand quelqu'un suggère qu'il faille élargir la formation à tous les utilisateurs du réseau (y compris les utilisateurs finaux) et que tu (vous ?...) l'incendie, je trouve pas ça très très constructif, d'autant plus que c'était quelqu'un qui vit exclusivement depuis des années du déploiement d'IPv6, donc à priori il sait de quoi il parle. Moi j'ai clairement l'impression qu'on était encore dans une mentalité où IPv6 sort des labos, et que pour l'instant le déploiement d'IPv6 est un jeu qui se joue entre certaines branches de multinationales, quelques universités/profs, et des morceaux de gouvernements, en ignorant complètement la réalité^Wles autres acteurs. L'agenda de mise au point des e-compétences c'est bien, mais ça va pas aider la PME de 5 personnes qui fait tout sauf de l'informatique à déployer IPv6. Je dis probablement ça par ce que je suis un connard de rookie qui a découvert IPv6 y'a un an et qui fait chier son monde avec, mais comme le disaient si bien certains des conférenciers, on est passé de quelques geeks qui veulent découvrir IPv6 à un regroupement de tous les CxO d'une multinationale dans la même pièce pour savoir comment déployer IPv6 maintenant. M'enfin à priori il va falloir arrêter de faire des test beds et allumer ça pour de bon d'ici pas trop longtemps, sous peine de tuer la croissance des entreprises et l'innovation. /vendredi -- Rémy Sanchez --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
Le 12 déc. 2010 à 17:44, Thomas Mangin a écrit : Comment est-il annoncé ce préfixe local ? Il n'est jamais announce. D'après les liens cités précédemment, il est possible de le générer et de l'enregistrer sur une base commune. Comment est-il configuré sur les postes s'il n'est pas annoncé ? (cf http://www.sixxs.net/tools/grh/ula/ ) Encore désolé avec mes questions de débutant sur le sujet, si vous avez une documentation L'IPv6 pour les admin système je suis preneur :-) En gros si mon IP local est 2001:0db8::85a3:::ac1f:8001 et que je cherche à contacter 2001:0db8::85a3:030a:0020:ac1f:8001 je pourrais écrire simplement :::030a:0020:ac1f:8001. Est-ce vrai ? (Quelques problèmes quant à savoir quelle source sont valables sur le net à ce sujet) Pas plus que l'on peut écrire .255.254 Quelles sources disent que ::: est un raccourci pour le même netmask ? Justement, ça fait partie des notes que j'ai prises en me renseignant au fils du temps sur l'IPv6. Comme je n'en vois plus mention, je demande histoire de savoir si c'est une fausse info (ce qui semble être le cas) ou une idée abandonnée. Ça me semblait cependant cohérent, dans le sens où une IPv4 ce n’est pas long à taper, un v6 par contre c'est un peu plus chiant. Donc dans le cas où on gère des IP en statique / DHCP, la seule chose à taper serait ce que nous avons configuré, le préfixe étant rajouté par l'hôte. Enfin bon cela semble ne pas exister au final, mauvaise compréhension de ma part, mauvaise source, peut importe, inutile de s'étendre sur ce point :-) Bien évidement je n'utilise que du DNS en interne, jamais d'IP ! C'est surtout pour savoir s'il y a un moyen de rendre le changement de préfixe transparent pour le DNS interne. Bien que ça n'arrive pas souvent et qu'il n'y a généralement pas beaucoup d'entrée dans le DNS, j'essaye toujours de prendre la solution qui nécessite le moins d'action de ma part :-) Tu peux utiliser les adresses de link-local - pour ca cela fait tres bien l'affaire tant que rien n'est route. Est-ce que l'adresse de link local peut être fournie par DHCP ou être assignée en statique ? Actuellement ma répartition de charge se fait sur le routeur, il s'occupe de prendre la connexion WAN la moins occupée et fait le NAT en fonction. Sans NAT et avec deux préfixes différents, comment le routeur va gérer l'histoire ? Si la connexion est émise depuis le client avec le préfixe de la connexion A alors qu'il faut user du B, ça se passe comment ? Rien ne garantit qu'un client ai le même identifiant peu importe le préfixe, si ? Sans NAT les deux FAIs doivent annoncer le même block d'IP, avec le même FAI ca ce fait facilement c'est du routage interne, avec deux FAIs il faut son block PI et BGP. Ceci dit le FAI peut sourcer le block BGP et le router statiquement au client, le client n'est pas force d'utiliser BGP lui même Ok donc ici sans NAT dans une config IPv6 on perd vraiment en possibilité pour les petits clients ! Les petites structures sans trop de moyens sont friandes de ce genre de solution, 2x30€ par mois sur des providers différents, ça les aides à avoir un internet un peu plus stable sans avoir à absorber des coûts de grosse entreprise sur tout ce qui est matos et gestion. Espérons que le NAT 66 arrive rapidement ! Quand on voit ce qu'il est possible de faire en IPv6 c'est dommage de dire ça, mais malheureusement ça risque de faire perdre en qualité de service aux petites entreprises.
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
On 12/12/2010 18:55, Yoann Gini wrote: Le 12 déc. 2010 à 17:44, Thomas Mangin a écrit : Il n'est jamais announce. D'après les liens cités précédemment, il est possible de le générer et de l'enregistrer sur une base commune. Comment est-il configuré sur les postes s'il n'est pas annoncé ? (cf http://www.sixxs.net/tools/grh/ula/ ) Encore désolé avec mes questions de débutant sur le sujet, si vous avez une documentation L'IPv6 pour les admin système je suis preneur :-) Il y a un quiproquo de vocabulaire: Annoncé = annoncé sur internet, donc routable etc. Les ULAs ne sont pas routables (car elles sont destinées à un usage local uniquement). Donc pas elles ne sont pas annoncées. La base commune n'est là que pour se prémunir d'éventuelles collisions (même si peu probable, si le préfixe choisi est vraiment aléatoire). Si tu parles de l'allocation des adresses locales, radv ou dhcpv6 feront très bien le boulot :). Bien évidement je n'utilise que du DNS en interne, jamais d'IP ! C'est surtout pour savoir s'il y a un moyen de rendre le changement de préfixe transparent pour le DNS interne. Bien que ça n'arrive pas souvent et qu'il n'y a généralement pas beaucoup d'entrée dans le DNS, j'essaye toujours de prendre la solution qui nécessite le moins d'action de ma part :-) Tu peux utiliser les adresses de link-local - pour ca cela fait tres bien l'affaire tant que rien n'est route. Est-ce que l'adresse de link local peut être fournie par DHCP ou être assignée en statique ? Non, elle est construite à partir de l'adresse MAC et configurée automatiquement. Pour plus d'infos, voir: http://livre.g6.asso.fr/index.php/Main_Page -- Mathieu Goessens IT consultant. geb...@poolp.org + 33 6 07 91 54 87 http://gebura.eu.org --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
En vrac : * L'adresse link-local (celle de préfixe fe80::) est générée automatiquement, aucun routeur ne l'annonce. Cependant cette adresse est passablement chiante à utiliser (il faut systématiquement préciser le numéro d'interface, ce qui n'est même pas géré par tous les logiciels), n'est pas routable, et n'a pas les avantages de l'ULA, à savoir un préfixe pseudo-unique. Pour ces raisons, il est donc très largement plus pratique d'utiliser des ULA plutôt que des adresses link-local. Les ULA s'utilisent comme les adresses globales, à la différence que personne ne les routes vers Internet. * Les interfaces peuvent avoir plusieurs IP. De ce fait, un routeur peut annoncer plusieurs préfixe à la fois, y compris un préfixe ULA. De même, le DHCPv6 n'attribue pas une adresse, mais une liste d'adresses. D'ailleurs sur ce point là les leases sont passablement plus compliqués qu'avec IPv4... * Pour ton multi-wan, y'a une solution un peu moche que j'vais tester bientôt : faire un tunnel vers un serveur dédié, et l'utiliser pour sortir sur le net. D'ailleurs en théorie ça permet une répartition bien plus équilibrée qu'en utilisant les 2 lignes en round robin (puisqu'on équilibre aussi les paquets entrants). Pour ma part c'est insuffisant à cause de l'assymétrie de mes liens, alors j'vais tenter de faire du multilink ppp (c'est beaucoup plus drôle d'ailleurs). * L'utilisation du NAT64 c'était une blague, faudrait quand même avoir une sacrée paire de couilles pour balancer ça en entreprise... Remarque l'avantage c'est que ça casse automatiquement plein d'applications dont tu ne veux pas, comme le P2P :D -- Rémy Sanchez signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
On 12/12/2010 07:36 PM, Jérôme Nicolle wrote: Waip, alors je faisait ça ya 4 ans, et c'est loin d'être optimal en ML-PPP. Il a du mal a prendre en compte la disparité des débits des liens, tout comme tu l'aurais avec du bonding sur des /dev/tap. Étrange, quand tu regardes la RFC ça explique justement que ça a été écrit pour ce genre de cas... Tu faisais ça avec que logiciel ? Pour l'instant je suis parti sur MPD [1], et concrètement c'est le seul que j'ai trouvé à avoir l'air de gérer ça... Par contre, pour le coup, tu peux compresser ce qui passe sur le tunnel, dans ton cas c'est pas anodin (si c'est bien pour MAIZ) Ouais, plus après mettre un proxy distant et tenter de booster la connexion avec lui (genre jouer avec les paramètres TCP, garder les connexions ouvertes entre le proxy local et le proxy distant, ...). [1] http://mpd.sourceforge.net/ -- Rémy Sanchez http://hyperthese.net signature.asc Description: OpenPGP digital signature
[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d'un administrateur système sur l'IPv6
Le 12/12/10 21:07, Thomas Mangin a écrit : http://vh-net.fr/blog/ Cette solution marche quand tu as deux lignes aux carracteristiques très proches (débit et latence). Sinon, le débit cumulé sera le nombre de lignes * la vitesse de la plus lente, et une différence de latence importante créera une jigue énorme. Ce n'est pas la bande passante qui va faire mal, c'est la limite sure le nombre de packet par seconde que le DSLAM donne a chaque ligne. Car plus de machines veut dire plus de requetes DNS et autres, cela compte rapidement pour beaucoup ... Il y a un resolver avec cache et un proxy en local, justement pour limiter la casse à ce niveau. -- Jérôme Nicolle 06 19 31 27 14 signature.asc Description: OpenPGP digital signature
