Le 18/12/2021 à 19:35, Wallace a écrit :
Bonsoir,
Beau travail, c'est propre et instructif même quand on fait de l'IPv6 en
prod depuis 10 ans, certaines techniques qui ne m'inspiraient pas
semblent pertinentes dans certains cas.
Pour l'IPv6 sur le réseau de l'entreprise des utilisateurs, il me reste
un blocage que je ne trouve pas dans le sommaire ni en parcourant la
partie technique, c'est le multi wan.
Prenons un cluster de firewall type Forti ou PfSense / OPNSense avec 2
ou 3 connexions Internet type box pro / GP / 4G.
Avec du v4 sur un même subnet le firewall est capable de gérer sans rien
changer sur l'adressage des postes la bascule en fonction de critère de
préférence / disponibilité / qualité des différents liens de façon
transparente.
Or en v6 il va falloir choisir un subnet v6 d'une des connexions à
annoncer aux postes, si l'accès Internet d'où vient le subnet distribué
tombe, les autres opérateurs vont pas comprendre qu'on sorte sur leur
réseau avec des adresses qui ne leur appartiennent pas.
Y a 20 ans y avait une feature marketing pour l'ipv6 c'était du roaming
entre les réseaux, mais il ne me semble pas que ça soit en place.
Du coup comment gérer ce cas?
On a pensé annoncer chaque subnet pour les connexions qui ont du v6 et
un subnet v6 pour le NAT64 / DNS64 pour les réseaux v4 only comme la 4G.
Mais on trouve ça vraiment pas propre comme façon de faire et avoir
plusieurs route par défaut ne nous plait pas vraiment. De plus le
firewall qui est responsable de prendre les décisions de bascule est
complètement ignoré et côté poste de travail il faudra attendre un
timeout pour que ça bascule (est-ce que ça marche sur tous les IoT et OS?).
Hello,
La question est très intéressante, je m'y suis confronté pour émuler un
cas qui pourrait nous arriver, et le seul truc que j'ai testé c'est
d'annoncer les 2 réseaux aux clients.. problème : c'est pas du tout
clair comment ils se comportent, ni le temps qu'ils mettent à prendre en
compte qu'un routeur ne les emmène plus.. Sur Linux c'était prohibitif
par défaut en coupant juste la patte, j'ai donc abandonné l'idée, mais
ça se tweake peut-être.. Bon et puis en plus dans un cas j'avais un
réseau bien découpé avec du SLAAC, et de l'autre côté du DHCP-PD, donc
c'est un peu tordu d'entrée de jeu...
Pas possible de faire du BGP pour le cas en question (FTTH pour l'un des
liens, à moins de monter du tunnel..), même si ça serait sans doute la
solution la plus cool. Pas sûr que d'amener de "l'intelligence" réseau
jusqu'au CPE soit une pratique courante / souhaitable ?
Et je ne connaissais pas la RFC 9096 mentionnée par Denis Fondras, mais
en gros, c'est utiliser le routeur pour balancer du RA asap à la
bascule, et d'invalider le bloc qu'il ne faut pas utiliser ? Ça suppose
que les clients soient bien disposés à honorer tout ça, mais du coup, je
vais peut-être remonter le lab, à moins que quelqu'un aie un ordre de
grandeur des comportements par défaut des OS courants ?
Faudrait un caniuse.com des features d'IPv6 en fait :P
@+
Gilou
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
