Le 20/11/2012 10:24, Aurélien a écrit : > 2012/11/20 Gregory Duchatelet <greg-fr...@duchatelet.net>: >> Le 19/11/2012 19:15, Wallace a écrit : >> >> A part ça je me demande pourquoi tu forces l'utilisation de ipv6 pour le >> réseau privé ? Simplement pour éviter le dual-stack ? >> > Hello, > > Sans avoir trop réfléchi à la question, je pense que c'est tout > bêtement pour que les machines internes aient accès à l'internet v6 > _et_ v4 (webservices, etc), non ? > > Cordialement, A notre avis, l'ipv4 en réseau privé n'a plus lieu d'être, en tout cas pour un réseau de serveurs. Pour le lan entreprise on verra un peu plus tard.
Pourquoi on en a marre d'ipv4 privé : - conflit d'adressage permanent avec les clients, on en était arrivé à utiliser le subnet 192.0.2 de test pour un adressage interne tellement c'était conflictuel. Le nat 1/1 et autre bidouille ça va un moment... - le nat c'est juste lourd à gérer à force, cela ne protège de rien, certaines applications ne sont pas compatibles, ... - routage inter site, inter vpn, ... devenu pénible à gérer avec routage dynamique pour pouvoir ré-annoncer à tout le réseau interne que le petit /28 dans un coin a été mis ailleurs ... Notre vision pour ipv6 : - ip unique par machine joignable directement ou non depuis internet - facilité d'administration et de supervision, une machine une ipv6 d'office (ipv4 optionnelle) et un nom dns en AAAA et A si besoin. Toutes les machines sont joignables directement, ping / traceroute possible (sans le nat la vie est plus folle). - niveau firewalling c'est super simple, des règles globales, des règles sur les machines, plus de redirection de port !! En gros on route et on filtre c'est tout. Si on considère par exemple des serveurs mysql qui en tout logique n'ont pas de services à délivrer sur internet, les machines sont en v6 only, la supervision, les machines d'admin, la métrologie, les sauvegardes y accèdent directement sans NAT (quel bonheur mais je crois que je l'ai déjà dit). Les serveurs communiquent entre eux en v6, on a rencontré aucun soucis. Les serveurs savent surfer en v6 et ceux qui sont en v6 only (donc sans dual stack) sont branchés sur un resolver dns64 qui transforme une machine distance v4 only en une adresse v6. Le serveur dispose d'une route spécifique pour le subnet nat64 qui l'envoie vers une passerelle v6/v4 et qui là du coup nat en sortie en v4. Cette passerelle NAT64 sert principalement à joindre les repository qui sont v4 only et faire quelques wget ou autre curl sur des sites v4. Le NAT64 gère très bien udp et tcp, skype/icmp passent pas à travers mais c'est pas grave. Les seules machines ayant besoin de dual stack sont les machines publiques (et encore pas toute). Typiquement certains clients ont des serveurs web en v6 only et utilisent notre batterie de reverse proxy pour servir en v4 et v6 leurs sites avec en plus la fonction de cache. Comme les machines sont reversées pas besoin de v4 sur le serveur. Si on doit résumer la philosophie de ma boite à l'heure actuelle, je considère que ipv6 est la norme (on a du faire une nouvelle archi récemment donc on en a profité) et qu'ipv4 est l'exception. La suite du programme c'est le réseau interne mais là c'est une autre histoire, quand je vois le nombre d'équipements (imprimantes, boitier voip, ...) qui ne sont pas compatible ipv6 ou qui demandent obligatoirement une v4 pour configurer du v6 ... Alors que passer un réseau interne en v6 avec un nat64 cela suffirait mais depuis 10 ans aucun constructeur ne fait d'effort...
signature.asc
Description: OpenPGP digital signature
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
