Le 2019-03-08 03:17, Michel Py a écrit :
Philippe Bourcier a écrit :
Je suis assez impatient de voir une DSI qui passera en full IPv6-only
avec son AD et tout le
reste... faut avoir envie de mettre le doigt dans des trucs mal
documentés/testés.
Depuis Windows Vista/2008R2, le coeur de l'AD tourne en v6.
cf KB929852 : Internet Protocol version 6 (IPv6) is a mandatory part of
Windows Vista and Windows Server 2008 and newer versions. We do not
recommend that you disable IPv6 or its components. If you do, some
Windows components may not function.
Depuis W2016, la "bonne vieille technique" qui consistait à "décocher"
le protocole IPv6 sur la carte réseau ne fonctionne vraiment plus très
bien.
Par exemple, les forêts multidomaines perdent leur synchro au bout d'un
certain temps.
Au fur et à mesure, chercher à conserver un réseau no-IPv6 va demander
de plus en plus de temps et d'arsouilles, faire découvrir des bugs que
les dev(ops) n'auront pas vu car eux sont en v6, etc....
:-) C'est le dire poliment
En fait, quand il va a y avoir du content en v6-only, c'est à dire pas
tout de suite... je pense que
le premier réflexe des DSI ce sera plutôt de coller un NAT 46 et le
maquillage DNS qui va avec.
+1
Peut-être que d'ici là les générations auront changé et qu'ils mettront
plutôt un NAT64 pour supporter le legacy ?
d'autant qu'il y a une double fracture (un double obstacle, si on
veut) : routage vs NAT et IPv6 vs IPv4.
L'énorme avantage de NAT ce n'est pas tellement la vague sécurité que
çà apporte, mais l'assurance contre la renumérotation.
Les gens qui ont du se taper une renumérotation du réseau interne
parce qu'ils avaient eu la mauvaise idée de construire leur réseau
interne avec les PA de leur FAI ne le feront plus.
La preuve que le legacy peut aussi piquer quand tu fais n'importe quoi
sans comprendre ?
Combien de réseaux clients rencontrés en 111.111.111.0/24 ou en
1.2.3.0/24 parce que "ça rentrait sans erreur" ?
Pour faire du réseau sans NAT, il faut partir directement sur du PI;
je ne vois pas çà arriver en dessous d'une certaine taille. J'ai bien
peur que NAT ne soit pas près de disparaitre.
Ca fait partie du produit: demander l'allocation d'un bloc v6 par le
RIPE pour le client.
Pour moi, ça fait partie d'un service de qualité, qu'on peut livrer aux
TPE aussi, d'un accompagnement qui ne les lie pas mais les sécurise,
leur donne accès au multi-homing, etc....
Faire du v6 avec du NAT, c'est crade.
+1
AB
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
