Re: [FRsAG] IPv6 only la fin de l'IPv4 privée
Bonjour, Le 21 nov. 2012 à 13:26, Wallace a écrit : > Le 20/11/2012 23:23, Radu-Adrian Feurdean a écrit : >> >> On Tue, Nov 20, 2012, at 17:42, Wallace wrote: >> >>> Si on est là pour faire du hosting maitrisé avec infogérance (c'est mon >>> cas). On a affecté un /64 par client comme y a 10 ans où on attribuait >>> des PI /24. >> Comme nous ne sommes plus il y a 10ans, vaut mieux allouer un /56 par >> client "standard", voir un /48 si le client est "suffisamment grand" >> (chacun est libre de definir ca). >> >> Ca permet : >> - d'avoir plusieurs subnets par client. chaque subnet = 1 x /64 >> (subnet, pas serveur) >> - de mieux gerer l'espace d'addressage >> - de mieux gerer la securite par client. >> - d'avoir de la marcge pour l'eventuelle croissance de l'archi du >> client. >> >> Dans le cas improbable ou tu arrives a "griller" tout ton /32, avec >> enormement de clients (un /32 = 16M x /56 = 64K x /48, donc..), tu >> peux toujours demander un deuxieme, alouer un /56 par client est suppose >> passer sans probleme (c'est juste qu ca n'a du jamais arriver a >> personne). > C'est un point de vue, mais j'ai constaté que laisser des trous > importants d'ip libres ne sert à rien à part pré réserver des millions > d'adresses et apporter des erreurs de configurations. > Typiquement entre deux adresses où juste un pauvre caractère est changé > en plein milieu de l'adresse, cela perturbe tout le monde, les clients, > les admsys. Je vais expliquer ce que j'ai cru comprendre de la bonne pratique du /64 par subnet (hormis les IX dont il est recommandé qu'ils utilisent des /127). A vrai dire même mon opinion personnelle penchait auparavant pour toujours diviser un /64 quelque soient les circonstances, je suis moins catégorique maintenant. Déjà ce n'est pas pour réserver des milliards d'adresses que la pratique du /64 par subnet est optée, c'est plutôt pour assurer une cohérence dans le routage. L'une des hantises avouée du RIPE NCC (sans être membre, il suffit de lire les documents publics) est de s'assurer que le déploiement d'IPv6 ne pollue pas les tables de routage comme cela peut être le cas aujourd'hui avec la désagrégation des préfixes IPv4. Pour cela, il faut une politique unique, quelque soit le cas d'usage (réseau résidentiel ou serveurs). Avec une taille minimale des PI IPv6 à /48 et une taille minimale des PA IPv6 à /32, on s'attend donc que la granularité du routage soit dans ces eaux là. Si sur une plateforme tu assignes un /64 par client et que pour une raison ou une autre un jour tu veuilles migrer ce client vers une autre plateforme ou un autre AS tu seras a priori obligé de polluer les tables de routages de tes peers (a vrai dire je ne suis même pas sûr que quand IPv6 sera réellement déployé ce genre d'annonces seront acceptées). Ensuite on peut aussi considérer cette pratique par rapport à du firewalling ou du blacklisting. La granularité minimale acceptable du blacklisting en IPv6 est le /64, car c'est le plus grand préfixe à partir duquel tu peux être à peu près certain (par rapport aux standards) qu'il appartient ou est contrôlé par une entité unique (utilisateur pour le cas d'une connexion résidentielle, sysadmin pour le cas d'un serveur), donc tu peux te faire plaisir à bannir le /64 entier. A noter que l'on pourrait choisir de blacklister des /128 mais dans ce cas c'est courir le risque de se faire DoS son firewall avec une simple connexion Freebox (2^64 règles de firewall ça fait mal ! ;)). Par conséquent, si l'un des serveurs du /64 se fait compromettre tous seront blacklistés (notamment pour des MX). C'est moins grave dans ton cas vu que c'est un /64 par client unique. C'est inadmissible par contre dans le cas de Amen qui à voir leur site offre 2 adresses (!!!) IPv6 par serveur (j'attends la confirmation du service client que ce sont bien 2 /128). Pour résumer, je paraphraserais un collègue qui me disait "en IPv6 il faut réapprendre à gaspiller", ce que je commence à comprendre. On considère par convention (et par standard) que les 64 premiers bits de l'adresse sont réservés au réseau et les /64 derniers bits sont dévolus à l'hôte. Pour cela, l'équivalent d'un /24 IPv4 n'est pas un /64 IPv6 mais plutôt un /48 IPv6. On aurait un truc du genre: /12 IPv6 <=> /8 IPv4 (allocations RIR) /32 IPv6 <=> /16 - /22 IPv4 (allocations PA) /48 IPv6 <=> /24 IPv4 (assignations PI) /64 IPv6 <=> /32 IPv4 (hôte) A ce titre les assignations d'IPv6 sur les dédibox (/48) paraissent par contre un peu démesurées Note que je ne cherche pas à critiquer ton setup, je fais exactement le même genre de choses dans certains cas, par contre c'est un adressage qui je pense peut avoir ses limites. Au passage si tu veux discuter de ton point de vue le G6 accueille les opérateurs et administrateurs système les bras ouverts ! ;) > > Il y avait eu une très bonne présentation à un FRNog sur le subnetting > ipv6 pour un opérateur. > Je vais voir à retrouver le lien. Ca m'intéres
Re: [FRsAG] IPv6 only la fin de l'IPv4 privée - Présentation subnetting ipv6 au FRNOG
Le 22/11/2012 11:14, Emmanuel Thierry a écrit : > Il y avait eu une très bonne présentation à un FRNog sur le subnetting > ipv6 pour un opérateur. > Je vais voir à retrouver le lien. > Ca m'intéresse ! :) > Hop retrouvé message ici http://www.mail-archive.com/frnog@frnog.org/msg14362.html document là http://www.as8218.eu/frnog-ipv6-subnetting.pdf signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] IPv6 only la fin de l'IPv4 privée - Présentation subnetting ipv6 au FRNOG
Le jeudi 22 novembre 2012 à 18:59, Wallace écrivait: > Hop retrouvé > message ici > http://www.mail-archive.com/frnog@frnog.org/msg14362.html > document là > http://www.as8218.eu/frnog-ipv6-subnetting.pdf Le redacteur de la-dite prez vient de me souffler dans l'oreillette que la version sur as8218.net n'est pas maintenue et qu'il faut allez là pour la version kivabien http://www.maunier.fr/tech/ipv6-subnetting Le PDF est le même, mais les mises à jour seront faites sur ce site F. -- « Bonsoir, monsieur. Est-ce vous qui avez demandé le service .Au temps pour moi. ? . Non . Ah, au temps pour moi. » -- Alfred, le groom mythomane in. Palace ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] IPv6 only la fin de l'IPv4 privée
Le 22/11/2012 11:14, Emmanuel Thierry a écrit : > > Je vais expliquer ce que j'ai cru comprendre de la bonne pratique du /64 par > subnet (hormis les IX dont il est recommandé qu'ils utilisent des /127). A > vrai dire même mon opinion personnelle penchait auparavant pour toujours > diviser un /64 quelque soient les circonstances, je suis moins catégorique > maintenant. > Déjà ce n'est pas pour réserver des milliards d'adresses que la pratique du > /64 par subnet est optée, c'est plutôt pour assurer une cohérence dans le > routage. L'une des hantises avouée du RIPE NCC (sans être membre, il suffit > de lire les documents publics) est de s'assurer que le déploiement d'IPv6 ne > pollue pas les tables de routage comme cela peut être le cas aujourd'hui avec > la désagrégation des préfixes IPv4. Pour cela, il faut une politique unique, > quelque soit le cas d'usage (réseau résidentiel ou serveurs). Avec une taille > minimale des PI IPv6 à /48 et une taille minimale des PA IPv6 à /32, on > s'attend donc que la granularité du routage soit dans ces eaux là. > Si sur une plateforme tu assignes un /64 par client et que pour une raison ou > une autre un jour tu veuilles migrer ce client vers une autre plateforme ou > un autre AS tu seras a priori obligé de polluer les tables de routages de tes > peers (a vrai dire je ne suis même pas sûr que quand IPv6 sera réellement > déployé ce genre d'annonces seront acceptées). Alors oui cela peut se comprendre pour la table de routage, quand on voit le prix de la ram pour un routeur qui est vraiment abusé, j'imagine pas la full view internet v6 dans 50 ans ou plus ... Néanmoins mon constat est que le réseau n'aime pas déjà à l'heure actuelle couper des blocs et les annoncer à droite à gauche sur un même réseau. Si le routage simple n'est pas possible c'est changement d'adressage. Pour ce qui est d'un client qui partirait avec son subnet chez un autre prestataire, je ne suis pas non plus obligé de lui fournir une PI ipv6 dans mon bloc principal. Je doute que si on demande à un loueur d'infra de router notre bloc v6 ailleurs il accepte. La mobilité des ipv6 pour moi c'est sur des AP pour des personnes, pas pour des serveurs. D'ailleurs il me semble que la norme pour prévoir la mobilité n'est pas encore au point et refusé par pas mal de monde. Donc vis à vis de ce redécoupage, je pense pas être gêné, au pire j'attribue un nouveau subnet pour des manips ou une migration. > > Ensuite on peut aussi considérer cette pratique par rapport à du firewalling > ou du blacklisting. La granularité minimale acceptable du blacklisting en > IPv6 est le /64, car c'est le plus grand préfixe à partir duquel tu peux être > à peu près certain (par rapport aux standards) qu'il appartient ou est > contrôlé par une entité unique (utilisateur pour le cas d'une connexion > résidentielle, sysadmin pour le cas d'un serveur), donc tu peux te faire > plaisir à bannir le /64 entier. A noter que l'on pourrait choisir de > blacklister des /128 mais dans ce cas c'est courir le risque de se faire DoS > son firewall avec une simple connexion Freebox (2^64 règles de firewall ça > fait mal ! ;)). > Par conséquent, si l'un des serveurs du /64 se fait compromettre tous seront > blacklistés (notamment pour des MX). C'est moins grave dans ton cas vu que > c'est un /64 par client unique. C'est inadmissible par contre dans le cas de > Amen qui à voir leur site offre 2 adresses (!!!) IPv6 par serveur (j'attends > la confirmation du service client que ce sont bien 2 /128). Là effectivement y a un gros risque. Mais apprendre à gaspiller c'est revenir dans les années 80/90 et penser qu'un /8 ipv4 serait trop petit pour un réseau de machines (sans virtualisation). > > Pour résumer, je paraphraserais un collègue qui me disait "en IPv6 il faut > réapprendre à gaspiller", ce que je commence à comprendre. On considère par > convention (et par standard) que les 64 premiers bits de l'adresse sont > réservés au réseau et les /64 derniers bits sont dévolus à l'hôte. Pour cela, > l'équivalent d'un /24 IPv4 n'est pas un /64 IPv6 mais plutôt un /48 IPv6. On > aurait un truc du genre: > /12 IPv6 <=> /8 IPv4 (allocations RIR) > /32 IPv6 <=> /16 - /22 IPv4 (allocations PA) > /48 IPv6 <=> /24 IPv4 (assignations PI) > /64 IPv6 <=> /32 IPv4 (hôte) Oui ça c'est ce que le l'on voit partout. Mais bonjour la gestion ipma ... mais aussi la sécurité. Truc tout bête la plupart des gens vont mettre une ipv6 par machine, à tous les coups elle va finir par :1 Pour scanner un réseau suffira de prendre tous les /64 possible et tester la :1 pour savoir le nombre d'os derrière? Cette vue me gêne et me dérange dans la gestion, dans le quotidien, ... aucune chance d'apprendre à retenir un préfix ... > A ce titre les assignations d'IPv6 sur les dédibox (/48) paraissent par > contre un peu démesurées > Note que je ne cherche pas à critiquer ton setup, je fais exactement le même > genre de choses dans certains cas, par co
Re: [FRsAG] IPv6 only la fin de l'IPv4 privée - Présentation subnetting ipv6 au FRNOG
Le 22/11/2012 19:09, Snarf a écrit : > Le redacteur de la-dite prez vient de me souffler dans l'oreillette > que la version sur as8218.net n'est pas maintenue et qu'il faut allez > là pour la version kivabien http://www.maunier.fr/tech/ipv6-subnetting > Le PDF est le même, mais les mises à jour seront faites sur ce site F. Super merci pour l'info! signature.asc Description: OpenPGP digital signature ___ Liste de diffusion du FRsAG http://www.frsag.org/
Re: [FRsAG] IPv6 only la fin de l'IPv4 privée
On 22/11/2012 19:12, Wallace wrote: Néanmoins mon constat est que le réseau n'aime pas déjà à l'heure actuelle couper des blocs et les annoncer à droite à gauche sur un même réseau. Si le routage simple n'est pas possible c'est changement d'adressage. C'est un constat en v6 ? Parce que les recommandations du Ripe sont que les /48 soient routables et à ce que j'ai lu sur les listes d'opérateurs, c'est le cas chez la très vaste majorité des opérateurs. Pour ce qui est d'un client qui partirait avec son subnet chez un autre prestataire, je ne suis pas non plus obligé de lui fournir une PI ipv6 dans mon bloc principal. Il y a contradiction entre "PI" et "dans mon bloc principal". En IPv4 la technique classique et normale de multihoming d'un FAI (par exemple) était qu'il annonce son bout de PA avec son AS à ses transitaires. Je n'ai vu aucune documentation qui indique que cette politique du Ripe ait changé. Je doute que si on demande à un loueur d'infra de router notre bloc v6 ailleurs il accepte. Un loueur d'infra je ne sais pas, mais un commercial vendeur de transit j'en suis moins sur. Assez probable que j'essaie prochainement, je tâcherai de penser à vous faire un retour. Sachant que des personnes sont dessus depuis plus de 15 ans, ils ont du faire le tour de toutes les questions avant nous, faut juste tenter d'en savoir un peu plus. Il y a une "best current opérational practices", ratifiée au Nanog 54 et qui donc émane de gens plutôt dans le coup, probablement une bonne référence. http://www.ipbcop.org/ratified-bcops/bcop-ipv6-subnetting/ ___ Liste de diffusion du FRsAG http://www.frsag.org/
