On 06/09/2012 10:31 AM, Xavier Beaudouin wrote:
Vous ne pouvez pas comparer la migration d'une association avec celle d'un FAI. Il ne
s'agit généralement pas juste de mettre en place une dual stack mais de vérifier que
l'ensemble des outils maisons sont pleinement compatibles. Et, dans certains cas, il faut
faire des mises à jour. Dans d'autres, il n'y a pas de solution et donc pas de
"migration IPv6" prévue.
Un proxy (nginx, whatever) est la méthode plus kick and dirty qu'on peux mettre
(cf des choses passées dans le coin sur l'implémentation de ipv6 chez facebook).
C'est quick, pas kick...
Et c'est pas forcément dirty : les serveurs sont déjà probablement
derrière un loadbalancer. Si celui-ci gère aussi le trafic retour, on
peut se contenter de mettre le support IPv6 dessus.
Sur du mail, y a carrément plus de taf car l'ip source est très importante :)
Il y a des serveurs web, ftp, autres qui sont protégés en fonction de
l'IP source (ne serait-ce que pour limiter le nombre de sessions
simultanées).
Justement ça serait pas mal d'y réfléchir car vu l'espace d'adressage ce
problème vas un jour se poser (ex un fournisseur de contenu qui n'as pas de v4,
ca arrivera un jour non ?).
Pour les serveurs ? Pas avant de nombreuses années...
J'avais pensé a travailler a coup de /64 ou autres... mais ca fait quand même
du monde...
Il n'y a aucune solution pour connaitre la taille des délégations. Vous
risquez d'être trop large d'un coté (1) et trop petit de l'autre (2).
(1)
- un hébergeur mutualisé peut se retrouver avec un serveur compromis,
vous risquez de bloquer l'hébergeur au complet au lieu d'un serveur
- il y a des hébergeurs de serveurs dédiés qui distribuent des
sous-réseaux inférieurs à un /64
- certains sites répartissent leur trafic mail vers des serveurs propres
(ie sans spams) et des serveurs poubelles, vous allez agréger les deux
profils
(2) si un spammeur récupère un /48, ça lui laisse 64K positions dans la
base, si les règles se déclenche au bout de 10 mails, ça fait 640K mails
délivrables
Je crois qu'il y a un draft sur une histoire de "whiteliste" (pour
limiter le nombre d'IP qui peuvent envoyer du mail en IPv6). Des
discussions que j'ai pu avoir au MAAWG cette semaine, les avis seraient
plutôt de partir vers de la réputation sur le domaine (avec comme
conséquence de rendre obligatoire DMARC ou un équivalent sur les
serveurs SMTP).
François
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
