Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
On Fri, 23 Dec 2011 19:41:46 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Après on peut se répéter ipv6 si c'est pas de bout-en-bout c'est le mal comme un petit mantra, ça n'en fera pas une vérité pour autant. Rappelez-moi, l'IPv6 c'etait pas suppose regler exactement ce probleme : communication de bout-en-bout, sans proxy, translateur ou encore serveur intermediaire ? L'ecosysteme IPv4 existe et c'est partout. L'ecosysteme IPv6 n'existe PAS, et aparamment il y a beaucoup trop peu de gens prets a contribuer a sa creation pour que ca voit jamais le jour. Pour ceux qui ont zappe des choses : l'Internet n'est pas compose que des frontaux et eyeballs ! C'est un ecosysteme tout entier, dont certaines parties ne sont pas visibles (ou au moins pas directement visibles), mais restent quand-memes vitales ou au minimum tres importantes. La solution a priori simple aujourd'hui - frontaux et proxies qui font de la translation v4-v6 - c'est la peste de demain (si c'est pour se limiter a ca, je prefere le NAT, dans tous ses versions). S'il faut l'implementer quand-meme aujourd'hui, faut mieux la voir comme solution transitoire, non pas comme solution definitive. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Je doute que qui que ce soit ici voit les proxys et autres passerelles de translation comme étant une solution pérenne et une cible (en tous cas j'ai rien vu passer qui allait dans ce sens) mais chez certains le transitoire ça peut durer trs longtemps pour tout un tas de raison (inertie de la boite, criticité des applis qui font que pour modifier la prod tu as une fenêtre de tir par an...) Et migrer la peste de demain, c'est peut-être ce qui te donnera du travail :) Si le réseau c'était si simple, je pense que beaucoup sur cette ML n'aurait pas de travail dans cette industrie. De : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net À : Surya ARBY arbysu...@yahoo.fr; Damien Fleuriot m...@my.gd Cc : frnog@frnog.org frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 22h50 Objet : Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, 23 Dec 2011 19:41:46 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Après on peut se répéter ipv6 si c'est pas de bout-en-bout c'est le mal comme un petit mantra, ça n'en fera pas une vérité pour autant. Rappelez-moi, l'IPv6 c'etait pas suppose regler exactement ce probleme : communication de bout-en-bout, sans proxy, translateur ou encore serveur intermediaire ? L'ecosysteme IPv4 existe et c'est partout. L'ecosysteme IPv6 n'existe PAS, et aparamment il y a beaucoup trop peu de gens prets a contribuer a sa creation pour que ca voit jamais le jour. Pour ceux qui ont zappe des choses : l'Internet n'est pas compose que des frontaux et eyeballs ! C'est un ecosysteme tout entier, dont certaines parties ne sont pas visibles (ou au moins pas directement visibles), mais restent quand-memes vitales ou au minimum tres importantes. La solution a priori simple aujourd'hui - frontaux et proxies qui font de la translation v4-v6 - c'est la peste de demain (si c'est pour se limiter a ca, je prefere le NAT, dans tous ses versions). S'il faut l'implementer quand-meme aujourd'hui, faut mieux la voir comme solution transitoire, non pas comme solution definitive. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Discussion fort intéressante mais au combien inefficace (chacun son rythme de déploiement, quand on voit que l'injection SQL de milliers de CMS découverte y a plus de 10 ans est tjs codée par les mêmes pignouffes qui sortent de la même école, et qu'on leur a tjs pas dit qu'il fallait utiliser mysql_escapestring(), je me demande combien de temps va durer ou plutot survivre IPv4). Perso, mon annonce de préfixe /32 IPv6 s’arrête à l'interface Null0 du routeur du seul opérateur qui veut bieen peerer avec moi en IPv6 ( ce qui n'est pas le cas sur les 2 autres) Donc en bref, cela ne sert à rien d'aller plus loin tant que je n'aurais pas 1 voir 2 autres opérateurs en peer BGP sur IPv6 (parce sinon on m'engueulera quand ca tombera d'un côté). Pire, tant que le DNS de ma boite saura pas résoudre les milliers de ndd en IPv6, résolus en IPv4 today, je ne vois pas pourquoi je me presserai à le faire sur l'infra réseau. C'est pas question d'avoir une vision d'1,73mm, c'est question que chaque chose en son temps. Et que pour l'instant, les 2 seuls raisons que je vois : - Le commercial, c'est aujourd'hui lui qui fait tourner boutique, et celui pour lequel tout le monde baisse son pantalon quand on lui présente un contrat de qq centaines / milliers d'euros Et oui c'est bien lui qui me dit que le Cloud c'est génial (alors que ca fait 10 ans qu'il a mis à l'assimiler), il a pas encore compris IPv6 j'en profite le temps qu'il me laisse tranquille avec ca, et qu'il me demande pas 25.000 pubs sur le site con-mercial de la boite ou on arrive a vendre des AS comme des Asynchronous System (alors j'ose même pas imaginer ce que donnerait une présentation d'un hextet et des avtages d'ipv6). - Pourquoi je m'emmerderai à passer du temps a faire des VS IPv6, du routage BGP IPv6, du firewalling IPv6, et changer les sysconfig/networking des milliers de machines alors que les opérateurs sont en train de nous faire du CGN pour faire du NAT de NAT ??? si pas de clients, pas de bussiness, pas d'utilité (trouvé moi un seul DSI qui dira je veux l'hébergement 2 fois plus chers parce qu'ils sont IPv6 ready et pas seulement ready par un logo) Bref, quand les opérateurs et les admins sys/réseau/sécu (et dans cet ordre là) auraient fait leur boulot, on pourra parler d'un déploiement IPv6 ... Quand on voit que les IPv6 day, en particulier chez FB, c'est mettre des LB qui font des VS en IPv6 mais avec du forwarding vers un serveur qui n'a qu'une adresse IPv4, je me dis que j'ai encore au moins un an devant moi ! Noyeux Joel a frnog ;) *Fabien VINCENT* --- Twitter : @beufanet Mail : fab...@beufa.net Mail : fabvinc...@gmail.com --- 2011/12/23 Surya ARBY arbysu...@yahoo.fr Je doute que qui que ce soit ici voit les proxys et autres passerelles de translation comme étant une solution pérenne et une cible (en tous cas j'ai rien vu passer qui allait dans ce sens) mais chez certains le transitoire ça peut durer trs longtemps pour tout un tas de raison (inertie de la boite, criticité des applis qui font que pour modifier la prod tu as une fenêtre de tir par an...) Et migrer la peste de demain, c'est peut-être ce qui te donnera du travail :) Si le réseau c'était si simple, je pense que beaucoup sur cette ML n'aurait pas de travail dans cette industrie. De : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net À : Surya ARBY arbysu...@yahoo.fr; Damien Fleuriot m...@my.gd Cc : frnog@frnog.org frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 22h50 Objet : Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, 23 Dec 2011 19:41:46 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Après on peut se répéter ipv6 si c'est pas de bout-en-bout c'est le mal comme un petit mantra, ça n'en fera pas une vérité pour autant. Rappelez-moi, l'IPv6 c'etait pas suppose regler exactement ce probleme : communication de bout-en-bout, sans proxy, translateur ou encore serveur intermediaire ? L'ecosysteme IPv4 existe et c'est partout. L'ecosysteme IPv6 n'existe PAS, et aparamment il y a beaucoup trop peu de gens prets a contribuer a sa creation pour que ca voit jamais le jour. Pour ceux qui ont zappe des choses : l'Internet n'est pas compose que des frontaux et eyeballs ! C'est un ecosysteme tout entier, dont certaines parties ne sont pas visibles (ou au moins pas directement visibles), mais restent quand-memes vitales ou au minimum tres importantes. La solution a priori simple aujourd'hui - frontaux et proxies qui font de la translation v4-v6 - c'est la peste de demain (si c'est pour se limiter a ca, je prefere le NAT, dans tous ses versions). S'il faut l'implementer quand-meme aujourd'hui, faut mieux la voir comme solution transitoire, non pas comme solution definitive. --- Liste de diffusion
Re: Re : Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
Autre considération : à se regarder en chiens de faïence, ça risque peu de progresser. L'Internet actuel (limitons nous à la L3) a cela de particulier qu'il n'a pas été bâti uniquement par les industriels, ie. avec quelques motivations autres que commerciales. Espérer la même dynamique pour la migration vers un autre Internet (toujours la limitation L3, qu'on ne joue pas trop sur les mots), c'est illusoire pour deux raisons : l'inertie due à l'ampleur de l'existant, l'inertie due intérêts (industriels) dans l'existant. Le reste de la question se résume (presque) à choisir entre tenir à la barraque ou bâtir le château. Sans assez de monde à se salir les mains, le château ne verra pas le jour ; une fois bâti par contre, le droit d'entrée devient considérable. Je ne veux pas jouer les Pascal, mais à supposer que le château s'élève, je préfèrerais être du bon côté des remparts (malheureusement, je n'ai pas le réseau pour prêter la main). Quelqu'un me rappelle comment on arrive du switch L2 à une prise de bec sur IPv6 ? On n'est pourtant pas sur [MISC]. On Sat, 2011-12-24 at 00:20 +0100, Fabien VINCENT wrote: Discussion fort intéressante mais au combien inefficace (chacun son rythme de déploiement, quand on voit que l'injection SQL de milliers de CMS découverte y a plus de 10 ans est tjs codée par les mêmes pignouffes qui sortent de la même école, et qu'on leur a tjs pas dit qu'il fallait utiliser mysql_escapestring(), je me demande combien de temps va durer ou plutot survivre IPv4). Perso, mon annonce de préfixe /32 IPv6 s’arrête à l'interface Null0 du routeur du seul opérateur qui veut bieen peerer avec moi en IPv6 ( ce qui n'est pas le cas sur les 2 autres) Donc en bref, cela ne sert à rien d'aller plus loin tant que je n'aurais pas 1 voir 2 autres opérateurs en peer BGP sur IPv6 (parce sinon on m'engueulera quand ca tombera d'un côté). Pire, tant que le DNS de ma boite saura pas résoudre les milliers de ndd en IPv6, résolus en IPv4 today, je ne vois pas pourquoi je me presserai à le faire sur l'infra réseau. C'est pas question d'avoir une vision d'1,73mm, c'est question que chaque chose en son temps. Et que pour l'instant, les 2 seuls raisons que je vois : - Le commercial, c'est aujourd'hui lui qui fait tourner boutique, et celui pour lequel tout le monde baisse son pantalon quand on lui présente un contrat de qq centaines / milliers d'euros Et oui c'est bien lui qui me dit que le Cloud c'est génial (alors que ca fait 10 ans qu'il a mis à l'assimiler), il a pas encore compris IPv6 j'en profite le temps qu'il me laisse tranquille avec ca, et qu'il me demande pas 25.000 pubs sur le site con-mercial de la boite ou on arrive a vendre des AS comme des Asynchronous System (alors j'ose même pas imaginer ce que donnerait une présentation d'un hextet et des avtages d'ipv6). - Pourquoi je m'emmerderai à passer du temps a faire des VS IPv6, du routage BGP IPv6, du firewalling IPv6, et changer les sysconfig/networking des milliers de machines alors que les opérateurs sont en train de nous faire du CGN pour faire du NAT de NAT ??? si pas de clients, pas de bussiness, pas d'utilité (trouvé moi un seul DSI qui dira je veux l'hébergement 2 fois plus chers parce qu'ils sont IPv6 ready et pas seulement ready par un logo) Bref, quand les opérateurs et les admins sys/réseau/sécu (et dans cet ordre là) auraient fait leur boulot, on pourra parler d'un déploiement IPv6 ... Quand on voit que les IPv6 day, en particulier chez FB, c'est mettre des LB qui font des VS en IPv6 mais avec du forwarding vers un serveur qui n'a qu'une adresse IPv4, je me dis que j'ai encore au moins un an devant moi ! Noyeux Joel a frnog ;) *Fabien VINCENT* --- Twitter : @beufanet Mail : fab...@beufa.net Mail : fabvinc...@gmail.com --- 2011/12/23 Surya ARBY arbysu...@yahoo.fr Je doute que qui que ce soit ici voit les proxys et autres passerelles de translation comme étant une solution pérenne et une cible (en tous cas j'ai rien vu passer qui allait dans ce sens) mais chez certains le transitoire ça peut durer trs longtemps pour tout un tas de raison (inertie de la boite, criticité des applis qui font que pour modifier la prod tu as une fenêtre de tir par an...) Et migrer la peste de demain, c'est peut-être ce qui te donnera du travail :) Si le réseau c'était si simple, je pense que beaucoup sur cette ML n'aurait pas de travail dans cette industrie. De : Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net À : Surya ARBY arbysu...@yahoo.fr; Damien Fleuriot m...@my.gd Cc : frnog@frnog.org frnog@frnog.org Envoyé le : Vendredi 23 Décembre 2011 22h50 Objet : Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard On Fri, 23 Dec 2011 19:41:46 +
Re: Re : Re : [FRnOG] Re : [TECH] Re: Recherche switch L2 supportant RA-guard
2011/12/23 Radu-Adrian Feurdean fr...@radu-adrian.feurdean.net: On Fri, 23 Dec 2011 19:41:46 + (GMT), Surya ARBY arbysu...@yahoo.fr said: Après on peut se répéter ipv6 si c'est pas de bout-en-bout c'est le mal comme un petit mantra, ça n'en fera pas une vérité pour autant. Rappelez-moi, l'IPv6 c'etait pas suppose regler exactement ce probleme : communication de bout-en-bout, sans proxy, translateur ou encore serveur intermediaire ? Sans proxy ? Quel intérêt ? Un proxy ça t'apporte du cache (performances, réduction de l'utilisation de la bande passante), du contrôle d'accès, et même un certain niveau de sécurité une fois couplé à un antivirus. Pourquoi je voudrais me débarrasser de mes proxies ??? Si tu parlais de *reverse* proxies, ils sont tout aussi défendables ! Mes loadbalancers, qui finalement sont des reverse proxies hein, ils apportent: - offloading gzip - offloading SSL - filtrage layer 7 - flexibilité ! (suppression/ajout d'une machine dans le pool de backend sans que les clients ne voient rien, c'est quand même le pied, notamment pour les maintenances). Pourquoi je voudrais me débarrasser d'eux aussi ? L'ecosysteme IPv4 existe et c'est partout. L'ecosysteme IPv6 n'existe PAS, et aparamment il y a beaucoup trop peu de gens prets a contribuer a sa creation pour que ca voit jamais le jour. Pour ceux qui ont zappe des choses : l'Internet n'est pas compose que des frontaux et eyeballs ! C'est un ecosysteme tout entier, dont certaines parties ne sont pas visibles (ou au moins pas directement visibles), mais restent quand-memes vitales ou au minimum tres importantes. Je suis curieux, développe un peu ? La solution a priori simple aujourd'hui - frontaux et proxies qui font de la translation v4-v6 - c'est la peste de demain (si c'est pour se limiter a ca, je prefere le NAT, dans tous ses versions). S'il faut l'implementer quand-meme aujourd'hui, faut mieux la voir comme solution transitoire, non pas comme solution definitive. Ca a ses avantages, notamment tous ceux que j'ai cités plus haut concernant les proxies et rproxies. Ca a également d'autres avantages tels qu'un meilleur contrôle de son périmètre et une sécurité accrue, à mon sens. --- Liste de diffusion du FRnOG http://www.frnog.org/