Le 26/06/15 15:21, Damien Fleuriot a écrit : > > > > En ce qui concerne remplacer des intercos v4 par des v6, c'est bien là > le problème, il n'y en a pas des intercos v4 actuellement. > Ah bon ? Ton subnet d'IPv4 publiques c'est quoi ? C'est l'interco IPv4 vers ton bloc client privé IPv4.
> Quant au fait de mélanger le NAT et la sécurité, pas d'amalgame, à > aucun moment je n'ai dit que le NAT était la seule solution. > Néanmoins, affirmer que le NAT ne protège pas est une erreur. > Affirmer aveuglément que le NAT protège c'est une erreur. > Certes il y a des alternatives -comme utiliser des intercos pour > router des préfixes- , mais le NAT apporte, d'une manière différente, > un mécanisme de protection des serveurs de backend. > > Mais tu le fais déjà sans le savoir avec le NAT... > J'ai l'impression que vous abordez tous le sujet du simple point de > vue d'un admin réseau, qui veut des choses propres et carrées. > Gardez à l'esprit qu'il faut composer avec l'existant et les > contraintes du métier; en d'autres termes, on n'a pas toujours le choix. > On est bien sur FRnOG ? L'existant on en a tous et on bosse justement à l'améliorer. La première chose c'est de maitriser l'existant et la cible pour aller du point A au point B. Après il y a les contraintes, mais là manifestement c'est pas vraiment une contrainte, c'est plus une incompréhension je pense. > Je peux vendre à mon employeur 15 jours homme pour touuuut remettre au > propre dans les whatmille projets, ou 0 jours homme pour conserver > l'existant mais pas d'IPv6. > Vous pensez bien que la discussion va aller assez vite... et pas > nécessairement dans mon sens. > On en revient à ce qu'on dit : Le problème n'est pas technique, le problème c'est que les gens ont peur de se pencher sur le sujet, au mieux estiment correctement que ça va prendre du temps, au pire estiment que c'est un chantier titanesque (ce qui est faux niveau réseau et système, ce qui peut être vrai niveau BDD et dev) La réalité c'est qu'en réseau tu peux très facilement implémenter IPv6 en parallèle de ton existant sans impact et donc le faire 1h par ci 1h par là pour te "détendre" et finalement arriver au bout d'un an à un truc qui ressemble à quelque chose sans l'avoir passé comme un vrai projet chronophage. Tout comme j'estime de mon côté que la bonne démarche et de se dire qu'à chaque changement d'équipement ou installation d'un nouveau service, il faut appliquer la mise en place d'IPv6 dans le processus. C'est pris sur le temps de chaque projet sans être trop pénalisant et ça ajoute petit à petit les pièces au puzzle. Et un jour on finit par se rendre compte qu'on a quasiment toutes les briques en place pour déployer un service IPv6 et que le projet IPv6 ne semble plus aussi compliqué qu'on ne l'aurait cru. Le plus gros problème au départ c'était les équipements réseaux, aujourd'hui c'est de moins en moins le cas après de nombreuses années. Il reste donc surtout la partie applicative qui freine, mais c'est en aval du réseau et du système, donc non bloquant pour "nous". Ca prend du temps à diluer dans les différentes tâches, mais en quelques années c'est possible et surtout c'est mieux que de dire "trop compliqué, trop long, on arrivera jamais à le faire passer" et de n'avoir rien commencé 5-10 ans plus tard. My 2 cents. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/