Auteur Sujet: IPv6 sur le LAN d'une entreprise  (Lu 10965 fois)

0 Membres et 1 Invité sur ce sujet

nicox11

  • Abonné Orange Fibre
  • *
  • Messages: 190
  • Toulouse (31)
IPv6 sur le LAN d'une entreprise
« Réponse #12 le: 21 février 2021 à 17:14:51 »
On parle de l'adressage, que j'ai plutôt bien compris.
Par contre quid du DHCP en IPv6.
Il en parle dans son premier post. Dans une entreprise, la philosophie c'est de le garder aussi en IPv6 ou on est plutôt pour ne pas faire de DHCP (SLAAC ?)
Par exemple pour un réseau local de particulier, je suis plutôt sans DHCP. Quels avantages/inconvénient ?

doctorrock

  • Abonné Orange Fibre
  • *
  • Messages: 931
  • Draguignan 83
IPv6 sur le LAN d'une entreprise
« Réponse #13 le: 23 février 2021 à 23:10:43 »
DHCP ca fait un service en plus à maintenir, donc une possibilité de failure supplémentaire.
Avec SLAAC, pas besoin d'une machine ou d'un routeur pour gérer l'adressage du segment : les postes eux-mêmes s'arrangent entre eux pour ça.

Nh3xus

  • Réseau Deux Sarres (57)
  • Abonné MilkyWan
  • *
  • Messages: 3 247
  • Sarrebourg (57)
IPv6 sur le LAN d'une entreprise
« Réponse #14 le: 23 février 2021 à 23:51:19 »
Oui mais tu peux utiliser DHCPv6 en mode stateless pour palier au fait que certains OS ne savent pas tirer partie de la configuration DNS publiée dans les RA.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
IPv6 sur le LAN d'une entreprise
« Réponse #15 le: 24 février 2021 à 13:06:18 »
Ne pas chercher a répliquer ce qu'on fait en IPv4. IPv6 n'aurait pas du s'appeler IPv6, ce n'est pas une "évolution" d'IPv4 c'est différent.
Il faut bien 'reset ses réflexes' et "penser" IPv6 et pas transposer IPv4.

600+ postes ... si y'a des sous-réseaux il faut distribuer des préfixes avec du DHCPv6-PD entre routeurs de facon a propager automatiquement tout changement du prefix racine fournit par l'opérateur. Mais dans le cadre d'une entreprise on peut aussi  demander un bloc ASSIGNED PI (provider independant) directement pour soi et le faire router par un ou plusieurs opérateurs (ce qui permet de la redondance de routage et/ou du load balancing). Comme ça le bloc est lié a jamais a la société et ne changera pas avec l'opérateur. La demande d'un ASSIGNED PI se fait via son opérateur ou dans certains cas directement avec le RIPE. Cela a surtout un intérêt si on héberge des services accessibles de l'extérieur sans utiliser un cloud public ou un service frontal comme Cloudflare (ou solution maison de reverse proxy).
Ensuite on distribue des sous-préfixes de son bloc via DHCPv6-PD.

Ne pas faire de DHCPv6 statefull pour les postes ou sauf si vraiment on n'a pas le choix.
SLAAC + éventuellement DHCPv6 stateless (mais que si besoin des options non supportées par SLAAC, genre des options Active Directory ou de téléphonie).
SLAAC avec "ip token" pour les VMs/serveurs.

Ne pas hésiter à mettre plusieurs GUA ou ULA sur une même machine (on ne manque pas d'IPv6 meme publiques...).
On peut 'bind' chaque service a une IPv6 dédiée plutôt que bind a toutes les IPs de la machine comme on fait souvent par défaut. Cela permet de lier un service a une adresse et déplacer le service sur une autre machine sans changer l'adresse (plus de délai cache dns , mémorisation).
ULA+GUA permet aussi de faire de la sécurité simple: on ouvrira (bind) un serveur intranet que sur sa LUA par exemple et pas sur sa GUA. Avoir 2 GUA, une que pour un service en écoute l'autre pour sortir sur le Net permet aussi d'avoir plus de sécurité (l'adresse d'écoute est offusquée et peut-être géré sur le firewall différemment de l'autre adresse).
Il faut juste 'repenser' le tout avant et faire attention comment on lance les services sensibles qui écoutent sur des ports.
Utiliser des "reverse proxy" en amont simplifient les choses aussi.

Apres rien n'oblige à faire ULA+GUA, on peut tout faire en GUA et gérer la sécurité au(x) 'border(s)' du réseau (firewall & vpn notamment) ou a niveau applicatif. C'est souvent plus simple et sur. Choisir une stratégie de sécurité avant de faire un plan d'adressage.

Bref cela dépend beaucoup du contexte de chaque entreprise.
De plus en plus de sociétés n'ont quasi plus que des postes & imprimantes sur leur LAN donc pas la peine de faire compliquer (ca peut faire peur d'exposer son serveur Intranet en IPv6 public mais avec une bonne authentification 2FA cela n'est pas moins sécurisé qu'un accès VPN sur un serveur intranet avec IP privée  comme on voit trop souvent en ce moment- c'est en fait comparable a GDrive ou OneDrive). Internet au début était comme cela, toutes les machines avaient une IPv4 public. C'est l'invention du NAT qui a introduit de la confusion et ce mélange malsain sécurité/ip privées/NAT/plan d'adressage réseau.

Du coup pour le télétravailleur chez lui ou au bureau c'est pareil au niveau de son poste.Y'a pas de session VPN (et de coûts associés) ou autres. Les locaux physiques ou chez soi c'est pareil vu des ressources serveurs.
Franchement la sécurité au niveau 3 (IP) via des cloisonnement d'adresses privées et/ou des access-list c'est un peu le passé vu l'évolution des architectures et des usages. Prendre cela en compte en passant a IPv6 permet de simplifier son déploiement.
 
Dernier point: le dual stack n'est pas forcement ce qu'il y a de mieux. Passer a IPv6 en gardant IPv4 n'apporte pas grand chose si ce n'est du travail en double a tout les niveaux. Pas mal de sociétés attendent (certaines se lancent déjà même) de faire de l'"IPv6 pur" avec éventuellement un sous LAN 'IPv4 only' pour les équipements & services non compatibles et une passerelle DNS64+NAT64 pour y accéder.


val0308

  • Abonné SFR fibre FttH
  • *
  • Messages: 11
  • Rouen 76
IPv6 sur le LAN d'une entreprise
« Réponse #16 le: 28 février 2021 à 23:07:33 »
Merci pour vos retours, j'y vois désormais plus clair

M@yeulC

  • Abonné Bouygues Telecom 4G/5G
  • *
  • Messages: 42
  • Cambrousse Ardéchoise ou Lyon
IPv6 sur le LAN d'une entreprise
« Réponse #17 le: 19 mars 2021 à 16:35:35 »
Super réponse kgersen, c'est le genre de post que j'aurais aimé lire avant de devoir trouver tout cela par moi même. Bon, après je n'ai de l'expérience que sur mon réseau local...

Apres rien n'oblige à faire ULA+GUA, on peut tout faire en GUA et gérer la sécurité au(x) 'border(s)' du réseau (firewall & vpn notamment) ou a niveau applicatif. C'est souvent plus simple et sur. Choisir une stratégie de sécurité avant de faire un plan d'adressage.

Oui, moi je voyais plus la chose comme cela, ça évite de retomber dans le cas où on doit choisir des adresses IP locales, et puis ensuite se coordonner via https://ula.ungleich.ch/ pour qu'elles soient globalement uniques :P
Autant utiliser le préfixe opérateur, avec un DNS local si besoin, et bloquer au niveau du pare-feu. Question: le search domain est-il encore d'actualité en IPv6? Je vois mal le donner en SLAAC? À moins que ça ne se fasse?

Ne pas chercher a répliquer ce qu'on fait en IPv4. IPv6 n'aurait pas du s'appeler IPv6, ce n'est pas une "évolution" d'IPv4 c'est différent.
Il faut bien 'reset ses réflexes' et "penser" IPv6 et pas transposer IPv4.

600+ postes ... si y'a des sous-réseaux il faut distribuer des préfixes avec du DHCPv6-PD entre routeurs de facon a propager automatiquement tout changement du prefix racine fournit par l'opérateur.

Quand on fait le plan d'adressage IPv6, on détermine plusieurs préfixes /64, pour chacun des sous-réseaux. Un routeur envoie des paquets "router advertisement" pour le SLAAC sur chacun des sous-réseaux. Chaque routeur demande la délégation de préfixe via IPv6-PD.

Après, j'ai tendance à dire: une IP par service. Personellement, je les mets tous dans le même /64, et l'IP configurée manuellement sur l'interface du serveur. Mais je ne sais pas si c'est la bonne pratique? Par exemple, si on bouge physiquement la machine sur la zone d'un autre /64, je ne saurais pas comment la rendre accessible simplement sans changer L'IP? À moins d'ajouter manuellement une règle de routage en sortie de réseau pour rediriger vers le bon routeur?


Merci pour la mention des assigned PI, je vais regarder cela.

val0308

  • Abonné SFR fibre FttH
  • *
  • Messages: 11
  • Rouen 76
IPv6 sur le LAN d'une entreprise
« Réponse #18 le: 20 mars 2021 à 19:19:43 »
Super réponse kgersen, c'est le genre de post que j'aurais aimé lire avant de devoir trouver tout cela par moi même. Bon, après je n'ai de l'expérience que sur mon réseau local...

Entièrement d'accord, IPv6 est encore que trop peu abordé dans les écoles/centres de formations et peu maitrisé par beaucoup de professionnels, entre tout ce qu'on peut lire de bon et mauvais c'est important d'avoir ces précisions qu'ont apportés kgersen ainsi que les autres membres sur ce sujet !

vocograme

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 151
IPv6 sur le LAN d'une entreprise
« Réponse #19 le: 23 avril 2021 à 11:31:50 »
Hello tout le monde, je viens poser aussi ma question sur ce sujet fort intéressant  :)

Depuis un petit moment je commence à m'intéresser à IPv6 (pour mon réseau local), j'ai bien lu vos conseils et je me pose une question concernant l'assignation des adresses. J'ai bien compris que pour les GUA, outre besoin spécifique il vaut mieux les laisser se configurer automatiquement. Du coup ma question concerne les ULA, qu'est ce que vous conseillez par rapport à celles-ci, les attribuer manuellement à chaque machine ou mettre en place un DHCPv6 ?

Merci d'avance pour les éclaircissements  ;)

lechercheur123

  • AS2027 MilkyWan
  • Expert
  • *
  • Messages: 1 296
  • Montauban (82)
    • AS208261 - Pomme Télécom
IPv6 sur le LAN d'une entreprise
« Réponse #20 le: 23 avril 2021 à 13:16:15 »
Hello tout le monde, je viens poser aussi ma question sur ce sujet fort intéressant  :)

Depuis un petit moment je commence à m'intéresser à IPv6 (pour mon réseau local), j'ai bien lu vos conseils et je me pose une question concernant l'assignation des adresses. J'ai bien compris que pour les GUA, outre besoin spécifique il vaut mieux les laisser se configurer automatiquement. Du coup ma question concerne les ULA, qu'est ce que vous conseillez par rapport à celles-ci, les attribuer manuellement à chaque machine ou mettre en place un DHCPv6 ?

Merci d'avance pour les éclaircissements  ;)

Salut,

Personnellement, je laisse les ULA se configurer avec SLAAC, sauf pour mes "services" (NAS par exemple) que je configure en statique, vu que je veux pouvoir y accéder facilement.

vivien

  • Administrateur
  • *
  • Messages: 47 076
    • Twitter LaFibre.info
IPv6 sur le LAN d'une entreprise
« Réponse #21 le: 23 avril 2021 à 14:03:17 »
Un document de plus de 70 pages, dont l'auteur principal est Jean-Charles Bisecco, détaillant les différents points techniques de la mise en place d'IPv6 en entreprise va sortir en novembre 2021.

Il va être partagé dans quelques semaines au sein de la task force IPv6.

Je vous propose donc de vous inscrire (c'est Gratuit, c'est l'Arcep qui anime) à la Task-Force IPv6 en France pour avoir le document en avant première et surtout faire des retours pour l'enrichir avant sa publication.

vocograme

  • Abonné RED by SFR fibre FttH
  • *
  • Messages: 151
IPv6 sur le LAN d'une entreprise
« Réponse #22 le: 24 avril 2021 à 16:57:11 »
Salut,

Personnellement, je laisse les ULA se configurer avec SLAAC, sauf pour mes "services" (NAS par exemple) que je configure en statique, vu que je veux pouvoir y accéder facilement.

D'accord je vois, je commence à comprendre le mécanisme, du coup il suffit de distribuer notre préfixe ULA dans le réseau visé, et tout le petit monde configure son IP.
Merci des précision  ;)

Un document de plus de 70 pages, dont l'auteur principal est Jean-Charles Bisecco, détaillant les différents points techniques de la mise en place d'IPv6 en entreprise va sortir en novembre 2021.

Il va être partagé dans quelques semaines au sein de la task force IPv6.

Je vous propose donc de vous inscrire (c'est Gratuit, c'est l'Arcep qui anime) à la Task-Force IPv6 en France pour avoir le document en avant première et surtout faire des retours pour l'enrichir avant sa publication.

Merci pour le lien  :D

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
IPv6 sur le LAN d'une entreprise
« Réponse #23 le: 24 avril 2021 à 18:51:29 »
Hello tout le monde, je viens poser aussi ma question sur ce sujet fort intéressant  :)

Depuis un petit moment je commence à m'intéresser à IPv6 (pour mon réseau local), j'ai bien lu vos conseils et je me pose une question concernant l'assignation des adresses. J'ai bien compris que pour les GUA, outre besoin spécifique il vaut mieux les laisser se configurer automatiquement. Du coup ma question concerne les ULA, qu'est ce que vous conseillez par rapport à celles-ci, les attribuer manuellement à chaque machine ou mettre en place un DHCPv6 ?

Merci d'avance pour les éclaircissements  ;)

la première question a se poser c'est : quel besoin fait que des ULA sont nécessaires ?