De mon coté je constate: La plupart des gens du métier abordent IPv6 comme si c'était IPv4 avec plus adresses et des adresses plus grandes. Ils essaient de transposer leur savoir faire IPv4 directement sans creuser plus la question ou comprendre les différences fondamentales entre les 2 protocoles. Ce manque de rigueur et de formation nuit le plus a IPv6. En fait, le plus grand tord des créateurs d'IPv6 est de l'avoir appelé IPv6...idem pour DHCPv6, les gens transposent sans chercher a comprendre les nuances. Les noms portent a confusion et on croit que c'est la meme chose en "version 2.0"...
On le voit dans ce sujet, plein de personnes font juste la transposition directe de qu'ils connaissent en IPv4 a IPv6 (sécurité, renumérotation si changement de FAI, interco de réseaux privés, etc). La meilleur façon d'aborder IPv6 c'est de complètement oublié IPv4. Ne pas chercher a refaire comme c'était en IPv4. Bien se former et comprendre les concepts propre a IPv6. Par exemple: on a des tonnes d'adresses dispo et de types différents (link-local, ula, gua). On n'est pas forcé d'utiliser les IP public (gua) pour causer en interne. On peut avoir plein d'addresses par machines notamment plusieurs gua et plusieurs ula. On peut ainsi changer les adresses gua de tout un parc d'un coup en quelques secondes sans perturber les flux internes . On peut utiliser les link-local pour l'imprimante ou l'iot qui se trouve sur le meme segment, pour la gateway locale ou pour un lien point a point, etc et non SLAAC sur un serveur ce n'est pas forcement "le mal", il y a les "ip token" notamment. Bref y'a plein de façons de faire suivant sa typo, sa taille, ses ressources humaines, son contexte, ses prestataires, sa sécurité, etc. faut juste oublier comment on faisait avec IPv4 et faire un design propre et adapté...commencer par se forcer correctement. Un autre grand tord fait a IPv6 c'est de vouloir imposer le "dual stack" et parler de transition. Pour un petit serveur web public pourquoi pas, derriere une box grand public pourquoi pas. Mais en entreprise sur un réseau interne complexe non. D'ailleurs pas mal de gens attendent que les environments 'ipv6 only' soit stables pour basculer (IPv6 only + passerelles vers legacy IPv4 ) plutôt que de devoir gérer le complexité et le coût d'un dual stack, surtout si ca n'apporte rien en pratique... Le ven. 8 mars 2019 à 14:04, David Ponzone <david.ponz...@gmail.com> a écrit : > > Côté sécu IPv6, je viens de recevoir ça: > > https://www.internetsociety.org/deploy360/ipv6/security/faq/ > <https://www.internetsociety.org/deploy360/ipv6/security/faq/> > > > > Le 8 mars 2019 à 11:57, Radu-Adrian Feurdean > > <fr...@radu-adrian.feurdean.net> a écrit : > > > > On Fri, Mar 8, 2019, at 00:23, Florent H. CARRÉ (COLUNDRUM) wrote: > >> À l'heure actuelle, le passage en full IPv6 est actuellement bloqué de > >> mon côté parce qu'on perdrait l'avantage d'avoir un firewall d'étage, > >> un firewall global de site … > > > > N'importe quoi. > > Deployer du v6 (v6-only ou dual-stack, peu importe) ne t'emepeche pas > > d'avoir un firewall. Ou plusieurs firewalls. Cote securite, c'est meme > > reccomande a un certain moment. > > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
