[FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d 'un administrateur système sur l'IPv6

2010-12-13 Par sujet Yoann Gini 

Le 13 déc. 2010 à 21:46, Rémy Sanchez a écrit :

 Tu passes ton réseau en IPv6 pur, sans IPv4. Pour ce qui est du
 load-balancing HTTP, tu fais faire ça au proxy

C'est une très bonne solution ça ! (Ou en tout cas bien plus applicable dans 
mon cas que des adresses PI + BGP)

 Pour les autres applications,
 soit tu considères qu'elles n'ont pas besoin de load-balancing, soit tu
 les répartis équitablement

Les répartir, équitablement tu penses, à quelle méthode ? Gérer à la main les 
routes par défauts des clients ? Une solution plus intéressante peut-être ?

[FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d 'un administrateur système sur l'IPv6

2010-12-12 Par sujet Yoann Gini 
Merci pour vos réponses rapides !

Mes questions résultantes à chaque mail dans la suite.

 Pour un premier message sur cette liste je vais commencer par me présenter 
 brièvement, je suis Yoann Gini, formateur et consultant Apple sur tout ce 
 qui concerne Mac OS X et Mac OS X Server en entreprise ainsi que Xsan (donc 
 consutling pour clients finaux et formations pour les certifs [inutile de 
 relancer le débat sur les certifications]).
 
 Hmmm, vu la position d'Apple sur les produits serveurs, bon courage pour
 la suite ;)

Je fais de l'OS X Server car ça me permet de passer plus de temps sur les 
problématiques métier des entreprises (1h/1h30 de l'installation à la connexion 
des utilisateurs sur les principaux services, c'est confortable). Après s'ils 
continuent dans cette direction ce n’est pas un problème, un Mac n'est qu'un 
UNIX, je prendrais juste un jour de plus pour installer un BSD en tant que 
serveur pour la gestion des clients

 Ma première question concerne l'attitude à adopter quant à son utilisation 
 de manière pérenne. Prenons un exemple avec mon client type, à savoir du 
 double WAN avec IP public fixe pour les deux liens Internet. Le routeur 
 s'occupe de faire de la répartition de charge et un peu de QoS pour être 
 certain que les services du type téléphonie ou services essentiels des 
 serveurs passent dans tous les cas.
 
 Tu as deux types d'agrégation : les load balancers de niveau 5 à 7, qui
 sont des bidouilles infâmes, et les vrais agrégations qui sont
 transparentes (niveau 2 ou 3), ou tu as une plage d'adresse pour les
 deux liens.

Auriez-vous des liens à me recommander à ce sujet ? Concernant des produits de 
ce type et surtout la manière de les utiliser ?

 En stateless les 64 derniers bits sont créés à partir de l'@MAC, est-ce 
 qu'on a moyen de jouer avec ça ? 
 Il me semblait avoir lu qu'une IPv6 incomplète est recomposée à partir du 
 préfixe actuel, est-ce le cas ?
 Est-il préférable de maintenir un IPv4 interne pour ne pas devenir fou ? 
 (please pas ça)
 Va-t-il falloir revenir au NAT ? (please encore moins celle-là)
 
 Il est _possible_ de natter, en l'occurrence en NAT66 1:1, mais c'est
 pas recommandé. Le dualstack est aussi possible, et souhaitable, car bon
 nombre d'applications métier développées sous OS X on une gestion du
 réseau absolument catastrophiques et ne passent pas en v6 (typiquement
 les serveurs de licence Quark ou de vielles versions de 4D)

Ouais, ça, je connais… Et pourtant il y a de très bonnes docs développeur 
fournies par Apple à ce niveau (je fais aussi du dev Mac à mes heures)

Par contre vous n'êtes pas d'accord avec Rémy ç ce sujet :

 Est-il préférable de maintenir un IPv4 interne pour ne pas devenir fou ? 
 (please pas ça)
 
 J'aurais tendance à dire qu'il serait préférable de ne pas mettre d'IPv4
 du tout dans le réseau et de maintenir la connectivité IPv4 avec du
 NAT64/DNS64, m'enfin ça c'est du gros extrémisme qui ne marche pas dans
 tous les cas.


Abstraction faite des problèmes de logiciel interne, n'est-il pas mieux de 
faire du NAT64 en sortie de réseau plutôt que de gérer le dualstack sur les 
clients ?


 - Dans le cas plus spécifique du multiWAN. Comment est-il possible de gérer 
 la répartition de charge sans faire de NAT ?
 
 Soit avec une vraie agrégation, soit en NAT66. Pas d'autre alternative,
 puisque c'est une bidouille crade.

Qu'est-ce que tu appelles une vraie agrégation ? (Ici se font sentir mes 
lacunes sur le réseau pur)

 Si j'ai bien une préco dans ce genre de cas : dégager les load balancers
 à pas cher, et prendre plutôt un vrai FAI. Oui, c'est pas le même budget
 : de deux forfaits à 30€ tu passera probablement à un récurent mensuel
 de plusieurs centaines d'euros. Mais si l'objectif est d'avoir un réseau
 propre, c'est un passage obligatoire.

Sur les clients auxquels je pense c'est plus ou moins le cas, fibre chez 
Completel (on fait ce qu'on peut) ou Orange dans le meilleur des cas et une 
ADSL au cas où. Dans ces cas-là, l'ADSL n'est qu'en failover, mais la 
problématique reste la même. 

 Une fois que le lien est propre, il te faut un routeur assumant les
 services LAN. DHCP (v4 et v6), DNS et firewalling ne peuvent être gérés
 avec assez de souplesse par un Mac OS X server sans mettre les mains
 dans le camboui au point d'en faire une boite noire ressemblant plus à
 FreeBSD.

Ça, c'est mon affaire :-) Effectivement la GUI d'administration d'OS X Server 
est extrêmement limité, mais pas le service web qui permet son fonctionnement, 
il y a une étape intermédiaire avant de retomber sur FreeBSD

Quoi qu'il en soit, il n'y a que le DNS que je gère réellement sur OS X Server, 
le firewall et le DHCP sont faits par les routeurs la plus part du temps.



 Ensuite ton adresse locale est composée d'un préfixe pseudo unique (tu
 peux le générer et le répertorier là par exemple :
 http://www.sixxs.net/tools/grh/ula/ ). Ce préfixe ne dépend pas de ton
 fournisseur, et n'est pas routé sur Internet (par

[FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d' un administrateur système sur l'IPv6

2010-12-12 Par sujet Mathieu Goessens 
On 12/12/2010 14:37, Jérôme Nicolle wrote:
 Il est _possible_ de natter, en l'occurrence en NAT66 1:1, mais c'est
 pas recommandé. Le dualstack est aussi possible, et souhaitable, car bon
 nombre d'applications métier développées sous OS X on une gestion du
 réseau absolument catastrophiques et ne passent pas en v6 (typiquement
 les serveurs de licence Quark ou de vielles versions de 4D)
 

Tu as un lien ? De ce que j'ai vu, ça n'est ni normalisé, ni implémenté
(et pas forcément évident que ça le soit un jour).


-- 
Mathieu Goessens
IT consultant.

geb...@poolp.org
+ 33 6 07 91 54 87
http://gebura.eu.org
---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d 'un administrateur système sur l'IPv6

2010-12-12 Par sujet Yoann Gini 

Le 12 déc. 2010 à 20:54, Pierre Lagoutte a écrit :

 Bonsoir à tous.
 J'hallucine franchement que le cas (trivial) cité par Yohann suscite suscite 
 un thread aussi lourd (ce cas n'aurait-il pas été prévu ?)
 En tout ca la question est visiblement TRES bonne.
 Quand un flux sortant utilise un préfixe local ( fe80:: - c'est le plus 
 simple: pourquoi connaîtrait-il la part publique de son adresse v6) sur son 
 adresse source, le routeur de bordure (après sélection - load balancing - de 
 l'interface WAN de sortie) ne peut-il pas lui substituer le préfixe public de 
 cette interface ? plutôt que d'asséner la non-routabilité native de ce flux 
 sur l'Internet.
 ... je sais c'est du NAT, et donc quelque part Kriminel pour la communauté v6.
 mais ce serait tellement simple et transparent.
 Pierre
 
 noter que les A6 records du bind9 des DNS avaient été construits pour 
 dissocier la part privative de la part publique des adresses v6, mais ils 
 n'ont eu qu'un succès (même académique) super-limité.

En soi, le fait que l'on puisse à priori se passer du NAT me semble une bonne 
chose, surtout pour certains services. Mais j'avoue ne pas comprendre comment 
gérer simplement le multiWAN dans l'histoire.

Même avec les éléments de réponses apportés je me vois mal gérer des blocs PI + 
BGP pour des entreprises de moins de 10 personnes qui ont deux pauvres ADSL. Or 
elles ont le besoin du multiWAN… Actuellement on rencontre un vrai problème de 
fiabilité de la connexion chez les clients qui ne peuvent pas dépasser la 
centaine d'euros par mois de frais de connexion.

[FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Questionnement d 'un administrateur système sur l'IPv6

2010-12-12 Par sujet Rémy Sanchez 
On 12/12/2010 10:14 PM, Jérôme Nicolle wrote:
 Le 12/12/10 21:07, Thomas Mangin a écrit :
 http://vh-net.fr/blog/
 
 Cette solution marche quand tu as deux lignes aux carracteristiques très
 proches (débit et latence). Sinon, le débit cumulé sera le nombre de
 lignes * la vitesse de la plus lente, et une différence de latence
 importante créera une jigue énorme.

Je confirme, vu que les débits sont complètement différents sur chaque
ligne (2 ADSL avec une atténuation différente et 1 SDSL), déjà quand on
fait du routage en round-robin sur les 3 ça ralenti tout, alors j'veux
même pas imaginer avec ce genre de solution...

 Ce n'est pas la bande passante qui va faire mal, c'est la limite sure le 
 nombre de packet par seconde que le DSLAM donne a chaque ligne.
 Car plus de machines veut dire plus de requetes DNS et autres, cela compte 
 rapidement pour beaucoup ...
 
 Il y a un resolver avec cache et un proxy en local, justement pour
 limiter la casse à ce niveau.

J'allais le dire :) On est pas fou non plus, et puis ça tourne comme ça
depuis 5 ans...

-- 
Rémy Sanchez



signature.asc
Description: OpenPGP digital signature