2011/12/23 Radu-Adrian Feurdean <fr...@radu-adrian.feurdean.net>:>> On Fri, 23 Dec 2011 20:29:41 +0100, "Damien Fleuriot" <m...@my.gd> said:>>> Ah bah si, je t'assure que c'est comme ça que ça marche.>> Je fournis un service, je le sers over ipv6, problème réglé.>> Je comprends mieux pourquoi on aura jamais un vrai "Internet base sur> IPv6".> Et moi j'etais con a croire que c'est juste des DSI et autres top-level> manages paniques qui rendent ca non-implementable. Bah non, les techos> avec un champs de vision de 1.73 mm c'est une autre partie du> probleme.....>>> De toute évidence tu n'as aucune idée de ce dont tu parles, ou tu n'as>> pas compris la problématique a laquelle je souhaite répondre.>> Si : afficher un "quelque-chose en v6" pour dire que c'est fait.> Tu interprètes de travers, du coup tu fais des assertions fondées sur une interprétation faussée, et tu arrives à un résultat faussé. Le but recherché:- permettre aux clients de mon employeur d'accéder à nos services over ip6 Pour ce faire, je n'ai *pas* besoin de full v6, j'ai simplement besoin que les loadbalancers (et les firewalls frontaux) parlent en v6.Une fois la requête arrivée sur les LB, le reste du processing est invisible pour le client, et encore heureux ! Pourquoi voudrais-tu que j'expose mes serveurs de backend en ip6 alors que de toutes façons ils n'ont *pas* vocation à être interrogés directement ? Si c'est juste pour avoir du v6 partout je vois pas l'intérêt, je peux *pas* défendre ça ni devant mon DSI, ni devant le comité de pilotage de la boîte.
Un but NON recherché et que tu penses que je devrais atteindre:- permettre à mes utilisateurs d'accéder à des ressources over ip6 Ce n'est *pas* ce que je veux faire pour le moment, ça sera mis en place courant 2012, on a d'ailleurs du matos de commandé pour ça.Mais ce n'est *pas* ce dont je parle depuis le début.Il s'agit, encore une fois, d'une problématique à part ! >> Avant de monter sur tes grands chevaux et de te la jouer comme un ouf,>> >> intègre la notion qu'il s'agit de 2 problématiques différentes dont on>> >> parle la.>>>> D'un coté, fournir un service over ipv6.>> D'un autre, >> permettre a mes propres utilisateurs d'accéder a des services>> over ipv6.>> >> Non ce n'est pas 2 problematiques differents. C'est au pire 2 etapes> >> differents pour resoudre le meme probleme.> Tu confonds complètement. Que les clients de ma boîte puissent accéder à nos services en ip6, ça requiert:- que je rende mes services disponibles en ip6, c'est dans mon périmètre.- que lesdits clients aient de la connectivité ip6, ce n'est *pas* dans mon périmètre puisque ça peut être n'importe quel internaute. Toi, pour une raison qui m'échappe, tu pars du principe que mes propres utilisateurs devraient pouvoir aussi faire du v6.C'est un sujet à part ! Le fait que mes utilisateurs restent limités à du v4 pour le moment ne m'empêche pas de rendre nos services joignables en v6 ! >> géré par des équipes différentes.>> D'ou le probleme.> Ce n'est pas un problème, justement, c'est un problème seulement dans ta vision des choses. Ta vision de "il faut être full ip6 de bout à bout sinon c'est pas bien". >> Nan mais sérieux, faut *vraiment* que les gens arrêtent de ramener leur>> >> science sur des sujets qu'ils connaissent pas.>>>> Tu connais mon archi ? >> Non.>> Non, mais tu est content d'avoir mis un frontal v6 devant toute une> >> "quelque-chose" qui marche qu'en v4. OK, de temps en temps ca arrive.> Mais >> le pire des choses, tu est content d'avoir regle le probleme.> Je sais pas, j'ai l'impression que tu vois la transition vers ip6 avec un oeil perfectionniste et qu'il faut absolument avoir du full v6 partout. Réponds à cette question: à quelle fin ?Si la réponse est "pour que ça soit propre", je trouve que c'est une mauvaise raison.Si la réponse est "l'autoconfiguration des postes", ça n'est pas un argument pertinent dans mon cas, il s'agit de serveurs, évidemment tous configurés de manière statique. Quelle problématique ça règlerait que *toutes* mes machines, y compris mes serveurs de backend qui sont invisibles au reste du monde, soient en v6 ?Je comprends pas pourquoi tu essayes de m'imposer du v6 de bout en bout, je comprends pas le *gain* pour ma société. Au lieu de communiquer en interne en v4, je communiquerais en v6.Gain: nulCoût: monstrueux (renumber tous mes subnets, reconfigurer toutes les machines, changer tout le matériel de switching) Ca passera jamais auprès de ma DSI et ils auront bien raison.Comment je fais moi, pour justifier le coût d'un full v6:- sans aucun gain mesurable- ne répondant à *aucune* problématique (encore une fois je n'ai PAS besoin que mes serveurs se parlent en v6 en interne !) >> J'ai un métier, c'est rendre le service disponible.>>>> Une fois qu'il >> l'est, la mécanique interne ne concerne en rien le client.>> Tu vends ca au >> client, OK.> Mais comme je l'ai deja dit, essaie de faire plus avant d'en >> parler ici.> cf ci-dessus, donne moi une bonne raison de faire du full v6 *en interne* ! Il n'y a absolument aucun gain, alors non, je n'ai pas besoin de faire plus. >> J'ai aucune intention de rendre mes machines internes capables de>> >> communiquer entre elles en ip6 parce que je n'en ai pas *besoin*.>> Prennons >> les choses a l'inverse: as-tu besoin d'IPv4 ????> Justement, oui ! Ce que tu n'as pas l'air de prendre en compte, c'est qu'on a déjà un réseau v4 déployé. Ca représente un nombre important de:- machines configurées- entrées DNS dans nos zonefiles- objets en configuration nagios / graphs / backup- règles de firewall toutes écrites sur la base du v4 Passer en v6, ça serait tout refaire et ça, ça a un coût ! Et encore une fois, ce coût *astronomique* amène un gain nul. Besoin: les machines doivent pouvoir communiquer entre ellesEn v4: les machines peuvent communiquer entre ellesEn v6: les machines peuvent communiquer entre elles Pourquoi on se retaperait le déploiement d'un réseau complet alors qu'on en a déjà un ? Le seul intérêt de v6 c'est de palier à la pénurie d'ip4. Je ne rencontre pas ce problème en interne, de toute évidence, alors je n'ai rien à gagner et tout à perdre. >> Tu connais pas mon archi alors viens pas me donner de leçons.>> Non, mai >> j'ai juste pu apprendre qu'elle n'est nullement compatible v6.> Si pour toi "compatible v6" c'est "v6 de bout en bout", je confirme. Si c'est "permet de délivrer le service à un client utilisant ip6", tu as tort, elle le sera. >> J'ai pas besoin que les machines derrière mes load balancers soient en >> ip6.>> Tu ne fais que confirmer ce que je dis : tu regle un probleme avec >> un> coup de peinture.> Je règle *quel* problème ? La pénurie d'IPv4 dans mon réseau local et 100% privé ?J'ai pas de pénurie ! >> Tu sais pourquoi ? Parce qu'en interne j'ai encore masse d'IPs privées>> >> disponibles.>> Effectivement. Avec un /8, un /12 et un /16 pour tout le >> monde, plus de> probleme de penurie (enfin dans 99% des cas).> D'ailleurs ca >> sert a quoi l'IPv6 ?> A répondre à la pénurie d'adresses IPs *publiques* . Et toi malheureusement, tu pars dans ta croisade de guerrier religieux de l'ip6 qui veut imposer du full v6 à tout le monde, y compris à des personnes qui n'en ont pas besoin. Fous la paix à mon réseau, je n'ai *pas* besoin de v6 en interne, j'ai très largement de quoi faire avec les classes privées existantes. >> Sérieux faut arrêter de critiquer sur des infras qu'on connait pas, c'en>> >> est presque énervant.>> Je ne critique tes infras, je critique l'approche de >> la personne qui les> gere....> Encore heureux que ça soit pas toi parce qu'on serait pas sortis de l'auberge ! Mon approche:- répond à la problématique- est peu coûteuse- est rapide à mettre en place Ton approche:- répond à la problématique- est excessivement coûteuse- est longue à mettre en place- augmente les risques de sécurité >> sans avoir la moindre notion de la problématique a laquelle je réponds.>> Si >> tu viens de le dire, confirmer, et re-confirmer: afficher une> ettiquete >> style "IPv6 ready". Sans l'etre, evidamment.> #define "IPv6 ready" Pour toi à priori IPv6 ready c'est être v6 de bout en bout. Pour moi, c'est offrir à mes clients la possibilité de joindre nos services en v6. >> J'attends ton argumentation sur le fait que je doive absolument passer>> mes >> machines internes en ip6 alors qu'elles ne verront *jamais* arriver>> une >> requête depuis une IP publique.>> Je vais probablement me fatiguer un de ces >> jours libres et faire un> reponse plus general sur le sujet. Il va falloir >> le faire.... Commence par réfléchir àla question que j'ai posée plus haut, à savoir "quel est le gain ?" de redéployer un réseau en full v6 pour de l'utilisation interne uniquement. Je trouve dommage que tu sois aveuglé par cette vision perfectionniste des choses, qui bien que louable dans la théorie ne répond à aucune problématique (dans mon cas) dans la réalité. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
