@mirtouf c'est un /128 sur leskimsufi ?
@mikmak
IPSG = ?
Chez Online, DHCP et DHCPv6 distribuent les IP aux serveurs ?
C'est le switch l'option permettant d'identifier le client ?
IPSG = IP source guard, c'est en gros comme une ACL "dynamique" sur le port qui check l'IP source des paquets
DAI = dynamic ARP inspection, le process qui vérifie les paquets ARP et qui matchent que la MAC + IP ca colle bien avec l'entrée DHCP
en IPv4 l'ID c'est la mac address pour du DHCP oui, couplé à un port-security sur le port pour bloquer les MACs non validées par notre SI.
c'est un ptit peu moins vrai depuis qu'on a fait nos propres switchs qui nous permettent de (bcp) simplifier la sécurisation :
sur un switch constructeur, dans 99% des cas, ils sont basés sur du learning dynamique (apprendre les MACs qui poppent sur les ports de switchs, associés les IPs grace au DHCP, etc etc) (et pour passer ca en statique, c'est juste galère et pas prévu pour <= non les "learning disable" des switchs, c'est une grosse blaque hein
quand on maitrise 100% du switch, dans un environnement maitrisé (VLANs/serveurs), on s'en fout à 200% du learning auto, on préfère pousser une conf et donc par exemple dire "tel port = tel mac + telle IP + tel VLAN", pas besoin de l'apprendre quand le serveur/OS démarre, on le sait d'avance, ca évite des broadcasts inutiles "ou quelle est la MAC machine" ou des comportemtents de switchs foireux du type "ha j'ai pas trouvé la mac de telle IP, bon ben je vais balancer partout, au cas où ca interesse qq'un" (très bonne idée quand une IP se fait DDoS par ex et que l'OS a crashé
en IPv6, l'ID enfin "DUID" est de type LLT (iirc), donc un truc non basé sur la MAC ce qui permet à un client de déplacer son subnet sur le serveur/VM de son choix
il y a pas mal d'avantages au DHCPv6-PD, personnellement je vois la chose comme suit :
on alloue un /48 par client
le client découpe en /56 par serveurs
il devrait en théorie faire une requete DHCPv6-PD par serveur pour récupérer son /56
à sa charge de router ses sous-subnets (/64 par ex) dans ses VMs, tunnels whatever depuis ce serveur
en cas de besoin, il peut basculer une VM ailleurs, et y refaire un DHCPv6-PD pour récupérer le(s) /64 qui vont bien sur le nouveau serveur (pour moi c'est un mode "secours", sinon il déplace le /56 directement), il peut meme faire une requete DHCPv6 pour son /48 complet et avoir un serveur dédié a des bascules de backup par exemple, bref, on peut désigner de plusieurs manières son réseau sans polluer de routes statiques les routeurs et gérer une infra de déploiement
l'objectif est de limiter la segmentation IPv6, c'est sans doute pas parfait, mais c'est quand meme franchement plus clean d'un point de vue techo que des "ipv6 route xxxx/64" sur tous les routeurs, on a un protocole fait pour ca autant l'utiliser (bon les clients ont été loooongtemps bien buggés comme il faut mais bon ...)
après pour ceux qui ralent des /128 sur les VPS , je pense qu'ils oublient un peu vite qu'il faut une base pour router des subnets, donc déjà avoir un endpoint qui ping, c'est un pas en avant
Mik