le Blog de FDN

Commentaires

1. Le vendredi 03 août 2012, 11:09 par tth

eth0 Link encap:Ethernet HWaddr 70:5a:b6:4a:dc:e1

Bizarre, je ne compte que 48 bits dans la MAC !

2. Le vendredi 03 août 2012, 11:20 par madflo

tth> Benjamin parle de "64bits pour mettre le numéro de série". Il n'a pas dit qu'il n'y avait que le numéro de série dans ces 64 bits ! Il y a une règle de conversion, avec l'insertion automatique d'un padding (ff:fe) pour compléter les bits manquants.

Plus d'informations ici : http://standards.ieee.org/develop/r...

3. Le vendredi 03 août 2012, 11:22 par Natacha

Et qu'est-ce qu'il se passe si on décide de distribuer les adresses du PI une par une, et que par hasard les abonnés réclament chacun 2^64 adresses (mais une par une), et que pour des raisons techniques les adresses données une par une se trouvent, indépendamment de notre volonté, être contigües (par exemple parce que le soft d'attribution règle toutes les demandes avant de lâcher son lock) et bien alignées ?

4. Le vendredi 03 août 2012, 11:24 par regnauld

Il y aurait un lien vers la policy RIPE qui décrit cette limitation ?

5. Le vendredi 03 août 2012, 11:28 par tth

madflo> voir la note 4...

6. Le vendredi 03 août 2012, 12:01 par Xavier

Est ce que ce n'est pas un cas un peu limite aussi ?

En général, les fournisseurs d'accès sont eux même LIR, avec leur propre AS.
Donc ils ont leur bloc PA, qu'ils distribuent comme ils veulent.

Bref le RIPE n'est pas très souple pour les FAI virtuels, mais pour la plupart des FAI virtuels, être dépendant de leur fournisseur c'est leur choix à la base non ?

En réponse: qu'entend-tu par FAI virtuel ? Il me semble, par exemple, qu'un FAI qui déploie sa propre boucle locale n'est pas du tout virtuel, même moins virtuel que la majorité des "grands" (l'ADSL, c'est la boucle locale de France Télécom). Donc, quand un micro-FAI se monte pour couvrir en Wifi un village trop mal desservi par l'ADSL, il n'est pas virtuel du tout. Mais pour avoir des adresses pour ses abonnés, soit il est "client captif" chez son LIR (et alors choisir un LIR associatif est une garantie forte), soit il devient LIR (et quelques milliers d'euros pour une micro-structure, ce n'est pas rien!).

Et pour le point 5 c'est surtout que même en refilant des /48 a Mme Michu, le nombre de connexions possible est plusieurs ordres de grandeur plus grand que la population humaine prévisible.
Enfin dans le doute, on s'achemine vers un /56 par tête de pipe (256 réseaux de capacité illimité)

7. Le vendredi 03 août 2012, 12:07 par mherrb

Mais en même temps un des arguments pour IPv6, c'est que ça facilite la re-numérotation (RFC4192 par ex) en cas de changement de fournisseur, entre autres justement pour limiter les adresses PI.

Ceux qui auraient des difficultés pour renuméroter en IPv6 seraient ceux qui répetent dans le monde v6 les mauvaises pratiques du temps d'IPv4 (affectation manuelles des adresses, codage en dur,...).

Donc si toute cette propagande est vrai, pas de problème avec la politique de RIPE :-)
Mais dans la vraie vie, c'est vrai des des adresses PI c'est plus confortable.

8. Le vendredi 03 août 2012, 12:12 par chiwawa

Tu noteras que la solution est simple, c'est de devenir LIR. Il se trouve que c'est trop cher pour un FAI associatif débutant, parce que la proposition de statut LIR-XXS a été refusée au dernier RIPE meeting parce que personne dans ou autour de la fédé ne semble avoir pris la peine de la voter, pour contrebalancer les votes russes majoritairement en défaveur de la nouvelle grille tarifaire.

Les blocs PI n'ont jamais été considérés comme utilisables par des service providers, le RIPE a toujours recommandé des PA, on a juste pris la mauvaise habitude d'en détourner l'usage pour des raisons évidentes de coût d'allocation.

Enfin, concernant la taille des subnets à allouer aux abonnés, les précos sont de /48 et personne ne les suit car c'est particulièrement dispendieux. La pratique courante est de distribuer un /56 par abonné, voir un /60, ce qui fait du /48 le nouveau /24 (256 allocs possibles).

Concernant la dépendance d'un ISP à son LIR (s'il ne l'est pas lui même), c'est uniquement valable pour les blocs PA quand tu as une sous-allocation. Tu peux aussi obtenir une PA complète, surtout en v6, car chaque LIR se voit réserver à minima un /29 (8 /32 contigus) lors de la first allocation. Les autres sont dispo sur simple demande (et RIPE-488 dûment complété). Tant que ton LIR n'annonce pas le superbloc, tu l'annonce bien d'où tu veux.

Du coup, j'ai du mal à abonder dans ton sens : le RIPE n'empêche pas le déploiement d'IPv6, il faut juste jouer avec eux de façon légèrement différente pour avoir les bonnes adresses du bon type, c'est à nous de chopper le coup. Ou de payer pour que chaque FAI de la fédé puisse passer LIR (ou se regroupe). Ce qui offre quand me une certaine pérennité, donc n'est pas à prendre à la légère.

Enfin, le RIPE n'est pas qu'une troupe de vogons, on peut tout à fait aller leur parler pour leur expliquer le problème et demander à ce qu'une autre motion soit proposée à la prochaine AG. L'exception pour expérimentation et non-profit semble envisageable.

9. Le vendredi 03 août 2012, 12:36 par Emmanuel Bourguin

Xavier: "Bref le RIPE n'est pas très souple pour les FAI virtuels, mais pour la plupart des FAI virtuels, être dépendant de leur fournisseur c'est leur choix à la base non ?"

Il va falloir définir ce que tu désigne par FAI *virtuel* (même si j'ai ma petite idée sur ce que tu crois penser pouvoir définir comme un FAI virtuel, et tu te trompes alors lourdement sur le positionnement des acteurs dans la chaîne), et un quoi être un FAI *virtuel* c'est faire le choix d'être dépendant de son fournisseur. De quel fournisseur parles-tu ?

10. Le vendredi 03 août 2012, 12:51 par 22decembre

Une belle démonstration de l'absurdité administrative et bureaucratique à l'heure d'internet…
Sinon, j'ai du mal à tout comprendre… :D

11. Le vendredi 03 août 2012, 13:11 par Fyr

Le RIPE alloue un bloc PI à un End User. Celui-ci en dispose comme il l'entend, modulo les règles d'usage. Libre à ce End User d'en user comme il le souhaite : 1 IP par -membre- de l'association. Ca reste le même End User : l'association.

Tu peux même router des blocs d'IP vers qui tu veux : c'est ton routage. Juste qu'il n y aura pas d'enregistrement supplémentaire en base RIPE pour cette ou ces IP. Filer une adresse IP statique dans son DHCP (je simplifie) c'est une mécanique très différente de l'assignation d'une IP ou d'un bloc et d'en rendre compte au RIPE avec écriture en base.

Le truc c'est que si on demande un PI IPv6 au RIPE en disant : on va filer des sous-réseaux à des abonnes ( quel vilain mot vieillot, on est sur Internet non ? pas le minitel) c'est niet pour eux, et c'est pas nouveau. Je suis persuadé qu'en faisant une demande avec un plan d'adressage, non pas de membres de l'assoc vu en paquet de End User, mais de "sites" de l'association ca passera beaucoup mieux. Evidement il n'y aura pas non plus de record en base RIPE pour les assignations. C'est pas l'écriture en base RIPE qui fait l'indépendance.

Reste aussi à voter à la rentrée la nouvelle version des charging scheme 2012 où le PI IPv6 ne coutera plus rien au sonpsoring LIR. Du coup un PI IPv6 par membre (et donc une route à chaque fois).

Tu peux aussi changer le modèle d'avoir du PI partout avec sponsoring LIR, par un LIR contrôlé par les assocs partenaires (si tu veux l'indépendance.. un mini RIPE local quoi...) et basculer sur un modèle avec du PA. le jour où l'assoc partenaire sort, il lui faut un AS et ca sera 50€ et du PI, ou déclarer les holes. Rien de neuf sous le soleil. A voir avec l'archi à monter pour le routage.

En réponse: ça, c'est le choix fait historiquement par FDN, de se regrouper avec d'autres pour monter un LIR-opérateur. Mais il reste que changer de LIR, c'est renuméroter tout son réseau. Ceci dit, le choix qui consiste à demander un bloc PI /48 par abonné, j'aime beaucoup, sauf que ça va considérablement ralentir la construction des lignes ADSL.

PS Pour ceux qui croient que IPv6 c'est easy renumber je vous souhaite bon courage dans vos firewalls et routeurs et les fichiers de conf de partout.

PS2 : le RIPE c'est "nous" donc les LIR sont totalement responsables de ce qu'ils votent comme policy. Le RIPE NCC applique seulement les votes et proposition de l'ensemble des LIR, et s'y tient à la lettre, même si ca plait pas . Vieux proverbe : Si toi pas picoler à Amsterdam, toi y en a être puni.

12. Le vendredi 03 août 2012, 13:52 par svallerot

Il semble nécessaire de rectifier un peu quelques points. Les observations de départ sont presque justes, la conclusion est parfaitement stupide, mais où a-t-il dévissé ?

«les FAI membres de la Fédération FDN rencontrent un problème récurrent: il est assez facile d'obtenir des adresses IP v4, mais pratiquement impossible d'obtenir des adresses IP v6 auprès du RIPE NCC.»

Ma première réaction a été : pas étonnant, si on parle du seul LIR cité dans cet article, puisque assigner un simple /28 en PA lui demande déjà plusieurs mois, obtenir des adresses IPv6 est certainement insurmontable. Et puis je me suis ravisé ; «non, dans le sujet c'est le Ripe qui est visé, mais que lui reproche-t-on, au Ripe, qui soit encore plus bloquant ?» Et de m'apercevoir qu'il s'agissait de cette bonne vieille histoire de PI ipv6 (quelle nouveauté) ce qui m'a poussé à continuer de lire avant de m'esclaffer sur ce qui précède.

La question porte donc sur les adresses PI, c'est à dire «provider indépendant». Vous lisez bien indépendant du «provider» (et non du LIR, ce qui ne ferait pas sens) parce que le but de ces adresses est de ne pas être rattachées au pool alloué au LIR que l'opérateur (la même entité) est obligé d'annoncer tout entier et n'a pas le droit d'annoncer morcelé. C'est le principe d'agrégation qui est un des «objectifs» du Ripe, et qui vise à éviter une explosion de la table de routage mondiale (autour de 420,000 routes IPv4 actuellement, ce qui est déjà une plaie).

«Quand un LIR réserve une plage d'adresse pour un client, soit il tape dans son stock propre, et informe le RIPE. Ça donne un message du genre "Alors, pour le client XXX, qui a besoin de 256 adresses, je lui ait filé telles adresses prises dans mon stock.". Et dans ce cas là, le client ne pourra plus changer de fournisseur (c'est cool, ça).»

Intéressant. L'exemple en soi : on parle d'un besoin de 256 adresses, donc un /24, typiquement le genre de réseau routable (assez gros pour que les annonces se propagent bien partout), qui peut donc faire l'objet d'une demande d'adresses indépendantes de l'opérateur, bon exemple.

Par contre il y a un flou manifeste qui s'insinue ici : «le client ne pourra plus changer de fournisseur». Le client ne pourra pas tout à fait plaquer son opérateur parce que ces adresses sur lui rattachées, en fait. Mais il ne lui sera pas interdit de souscrire à des offres de transit chez d'autres transitaires (et ce sera possible puis ce /24 est suffisament grand pour bien se propager). Et il lui sera possible aussi d'établir des sessions de peering.

Cela s'appelle le mutlihoming est c'est la manière courante pour un petit opérateur de diversifier ses interconnections en BGP, bien qu'il ait des adresses PA.

A condition d'avoir un numéro d'AS (simple formalité), bien sûr. Puisque l'exemple de FDN est pris plus bas, je précise donc que c'est le seul détail (avoir un numéro de système autonome) qui empêche FDN d'être indépendant de son opérateur.

«Pour éviter de fragmenter le réseau, le RIPE a décidé qu'un bloc PI ne pouvait pas être sous-attribué. (..) La règle est donc: dans un bloc PI, on ne peut pas distribuer un sous-réseau à un utilisateur final.»

Ben oui : les bloc PA sont faits pour ça.

La logique du Ripe est pourtant assez simple : si on souhaite avoir des adresses à assigner par blocs à ses membres (ou clients), alors on a besoin d'être un LIR pour avoir une allocation assez grande, ce qui de fait nous rendra indépendant, et qu'on pourrra alors assigner des blocs là-dedans. Si l'indépendance permise par le multihoming ne suffit pas, ledit membre (ou client) peut aussi choisir de demander des PI, ça existe pour ça, et si à son tour il veut assigner des adresses alors rerelisez ce paragraphe.

Si la PI était morcelable alors quelle différence y aurait-il avec la PA. Dès lors, pour avoir une indépendance, tout le monde ne serait-il pas forcé d'être LIR ? Il est peu probable que cette perspective enchante tout le monde, et qu'elle soit compatible avec une gestion raisonnable des ressources.

Ce raisonnement ne s'intéresse pas davantage aux IP v4 que v6. La différence en v4, c'est qu'il pouvait utiliser une seule adresse pour livrer un service, comme par exemple une IP ADSL et que cette IP était toujours considérée comme faisant partie de l'infrastructure. Alors qu'en v6, cette IP se transforme illico presto en /64, donc en assignation d'un subnet tout entier.

IPv6 est ainsi faite, et le Ripe n'y est pour rien. Faut-il pour autant remettre en cause le principe d'agrégation ? Ce n'est pas le choix qui a été fait, et vu le nombre de réseaux /64 qu'on peut compter, n'était-ce pas à raison, on peut en débattre.

Conclusion ?

«Il suffit de prendre des bloc qui ne sont pas PI, et donc de définitivement surbordonner le FAI associatif qui fait sa demande d'un bloc d'adresse à son LIR, comme FDN l'a décidé en utlisant des adresses de Gitoyen6. Il suffit de faire comme ça, et on peut faire fonctionner de l'IPv6.»

Oui comme en v4, la «bonne manière de faire» est donc la même en général : pratiquer le multihoming sur des PA. Ce qui, non, ne subordonne pas définitivement le FAI au LIR, mais lie durablement le FAI à son opérateur.

La confusion est effectivement facile à faire quand on parle de Gitoyen qui est (comme énormément de LIRs) à la fois LIR et opérateur, ce qui d'un côté crée un lien entre des fonctions qui seraient mieux indépendantes, mais d'un autre côté permet que cet opérateur fasse l'agrégation.

Mais il serait faux de dire qu'on y est condamné, et qu'un FAI ne peut pas être indépendant, et que tout ça c'est la faute du Ripe vilain méchant. Et injuste de blâmer ce dernier pour le choix d'un LIR/opérateur qui nous lie parce qu'on l'a décidé, et qu'on a d'autres choix, et qu'on les a refusés.

J'ai bien dit refusés.

Ce qui m'amène à souligner que cet article paraît alors que les éléments sont sur la table depuis au moins un an, que pourtant il y a quatre mois l'auteur a fait voter par l'assemblée générale de FDN, malgré nombre de mises en garde sur le sujet, la décision de lier l'association à un LIR/opérateur et exclusivement à lui (en s'interdisant de devenir opérateur en plus, pour l'indépendance on repassera mais ça n'engage pas les autres FAI). On n'est donc pas sur un terrain nouveau.

Refuser l'indépendance et lier FDN à un LIR/opérateur pourquoi pas (non, je suis pas sérieux mais c'est pas le lieu), disons que ça concerne FDN et elle seule. Condamner les adhérents de FDN à la même dépendance et au même choix, c'est moins nécessaire.

Par contre refuser de considérer d'autre LIR que le LIR/operateur Gitoyen, et ainsi claquer la porte de la dépendance dans la gueule des FAI en titrant que le Ripe veut freiner le développement d'IPv6, on peut avoir le goût des titres accrocheurs mais tout de même, c'est fort de café.

Alors.

En réponse: c'est assez cocasse, au final. La question de fond, c'est toi qui l'a soulevée, il y a assez longtemps: les bloc PI en IPv6 sont inutilisables pour nos usages, et forcent les FAI associatifs à se regrouper en LIR. J'essaye d'expliquer en quoi c'est idiot (ça ne réduit pas le nombre de routes, par exemple, ça n'agrège rien, par exemple, etc). J'essaye d'exposer ça dans un billet assez simple, en essayant à tout prix de ne pas parler technique, en prenant des exemples imaginaires mais le plus clairs possibles. Et toi, tu n'y vois qu'une pierre de plus dans ton long troll contre Gitoyen. Diable. On n'est pas rendu.

Un point cependant est essentiel là-dedans: cette position du RIPE entérine le fait que le choix fait par FDN est le bon. Soit nous sommes notre propre LIR (et c'est cher pour le moment), soit nous sommes associés à d'autres et sommes membre d'un LIR, pour avoir une relation plus intéressante que simplement client d'un fournisseur devenu irremplaçable. C'est-à-dire que si on veut analyser cette question sous l'angle de "FDN et Gitoyen" alors le choix de FDN est le bon, c'est celui qui nous donne la plus grande indépendance. Puisque le seul autre choix intéressant, qui était d'utiliser des ressources indépendantes (un AS et des blocs PI) n'est plus possible en IPv6. Donc, les FAI associatifs sont nécessairement accrochés à leur LIR. Le choix d'être accroché à un LIR associatif dont nous sommes un membre majeur est donc le bon choix.

«pour une raison uniquement administrative et profondément débile liée au respect stupide que le RIPE a de ses sacro-saintes procédures»

Il faut rappeler peut-être que le Ripe discute énormément et fait évoluer ses politiques en fonction des nécessités opérationnelles et des objectifs de conservation (ne pas gaspiller) et d'agrégation. Le Ripe compte des milliers de membres qui sont appelés à s'exprimer, à proposer, et l'auteur aurait peut-être été bien inspiré de proposer une alternative à l'existant, ou de chercher une solution dans l'existant. Par exemple s'apercevoir qu'il lui est parfaitement possible en fait avec un LIR non-opérateur (comme Opdop dont je m'occupe) de donner l'indépendance souhaitée à qui en veut.

En réponse: absolument pas. Le client d'Opdop qui vient y prendre un sous-réseau IPv6 pour ses abonnés, il doit impérativement rester client d'Opdop, ne jamais se fâcher avec Opdop, ne jamais contester une facture d'Opdop, sans quoi il perd ses adresses et se retrouve à poil dehors. Il n'est donc en rien indépendant. Il est dépendant d'Opdop. Ta boîte (un jour peut-être une coopérative). Bref, pas plus indépendant que s'il joue le même jeu avec Gitoyen. Le RIPE impose donc que pour être indépendant il faut être LIR (quelques milliers d'euros par an, tout de même), alors qu'en v4 pour être indépendant il fallait un bloc PI (quelques dizaines d'euros par an).

Et tout ça pour quelle raison technique ? Réduire le nombre de routes ? Non. Tu indiques la solution pour avoir sa route bien à soi annoncée où on veut. Donc, on crée une difficulté administrative sans cause technique réelle et sérieuse. C'est stupide.

Mais si je vous l'ai dit. C'est possible et ça existe. Et si le Ripe le permet c'est peut-être que le modèle LIR non-opérateur ne correspond qu'à un si petit «marché» que ça n'est pas inquiétant, et aussi que ça ne change rien techniquement sur le nombre de routes annoncées (comme l'auteur l'a justement remarqué).

Enfin le détail qui tue, le Ripe a indiqué clairement sur son site que le plus petit bout de réseau routable conseillé, en IPv6, ce serait le /48, c'est à dire l'assignation que tout un chacun peut obtenir sans avoir à en justifier l'usage (FDN en assigne un à chacun de ses membres, d'office). Vous avez bien lu, ce que le Ripe autorise, c'est que n'importe qui soit autorisé à annoncer son propre bloc.

Le RIPE souhaiterait empêcher le déploiement d'IP v6 ? Étonnant, oui.

13. Le vendredi 03 août 2012, 17:29 par domi

@chiwawa : le "repli" sur des PA, en terme d'indépendance, est à relativiser. Si tu as besoin d'un /48 (pour pouvoir distribuer quelques dizaines de /56 ou plus petits), tu peux difficilement avoir autre chose qu'une assignation dans une allocation PA de ton LIR. Et c'est une assignation d'une tailel telle que tu ne peux pas l'emmener avec toi si tu changes et d'opérateur, et de LIR.

Tant que le LIR « joue le jeu », il peut ne pas annoncer le super-net correspondant, et te permettre de choisir tes transitaires. Mais pour garantir une certaine indépendance, ça nécessite un LIR dont tu es un acteur. Une association (comme Gitoyen) ou une coopérative (comme Opdop, un jour), par exemple.

14. Le samedi 04 août 2012, 11:44 par Cld

Extrait de la réponse faite à lulu:
'"Soit nous sommes notre propre LIR (et c'est cher pour le moment), soit nous sommes associés à d'autres et sommes membre d'un LIR, pour avoir une relation plus intéressante que simplement client d'un fournisseur devenu irremplaçable."'
Sauf qu'il ce trouve que c'est ce qu'on était avant: notre propre LIR à travers un GIE...

15. Le samedi 04 août 2012, 16:54 par svallerot

Ce billet est vraiment dommage parce que on y lit une sorte d'obstination à plaider le «tout le monde derrière Gitoyen». Contrairement à ce qui est insinué je ne suis pas en guerre contre Gitoyen, je m'en fous. Mais ce discours de la solution unique, alors qu'il y en a de meilleures, voilà bien ce à quoi je réagis.

Effectivement j'ai soulevé la question de fond il y a un moment et je suis arrivé à la conclusion que pour apporter de l'indépendance aux FAI en IPv6 alors il fallait créer un LIR qui ne soit pas un opérateur. Qui dit, qui fait.

Tu nous dis :

«le seul autre choix intéressant, qui était d'utiliser des ressources indépendantes (un AS et des blocs PI) n'est plus possible en IPv6. Donc, les FAI associatifs sont nécessairement accrochés à leur LIR. Le choix d'être accroché à un LIR associatif dont nous sommes un membre majeur est donc le bon choix»

C'est un double contre sens*.

Premièrement : l'amalgame entre LIR et opérateur... On est toujours, tout le temps, dépendant du LIR ou du Ripe pour ses adresses. LIR (PA) ou RIPE (PI) ça revient d'autant plus au même que le LIR n'a pas d'activité liée aux ressources assignées parce que qu'il se comporte alors exclusivement comme une agence locale du Ripe. On est bien moins contraint par son LIR quand celui-ci n'a pas d'autre intérêt à vous conserver captif, reformulation : on est beaucoup plus libre, de toute évidence, lors les IP ne sont pas associées à une fourniture de transit. Or ceci arrive inévitablement quand le LIR est aussi opérateur. Ceci n'est pas dirigé contre Gitoyen, c'est une évidence d'ordre général (c'est un peu comme une histoire de vente liée quelque part).

Deuxièmement le choix d'être accroché à un LIR quel qu'il soit peut éventuellement être un bon choix à condition de ne pas rendre inutilement et artificiellement ce lien exclusif. Parce que inévitablement il en résulte une dépendance forte, une perte d'autonomie évidente, et quand la relation fonctionne mal une dégradation des services est palpable.

Et c'est typiquement ce que subit FDN en ce moment. Et ça me dépasse totalement : jamais FDN n'avait été aussi dépossédée de son autonomie depuis que le GIE Gitoyen avant été crée.

Il n'y a donc aucune pertinence à diriger les FAI associatifs dans cet engrenage d'une dépendance dans laquelle ils resteront durablement figés. Et ce d'autant moins que les FAI à vocation de développement local qui le feraient auraient durablement un pied coincé à Paris.

Il est indispensable pour eux de conserver sur les mois avenir au moins (et années probablement), la plus grande marge de liberté possible pour l'implantation de leur backbone IPv4 sur les rares IP encore disponible, et ce en considérant l'éventuelle nécessité de le faire ailleurs qu'à Paris !

Et ça se joue maintenant.

«Le client d'Opdop qui vient y prendre un sous-réseau IPv6 pour ses abonnés, il doit impérativement rester client d'Opdop, (..). Bref, pas plus indépendant que s'il joue le même jeu avec Gitoyen.»

Ah, tu n'as rien compris alors.

Celui qui prend des adresses via un pur LIR, n'est lié à lui que par cette unique relation. Ne pas payer sa cotise, oui, c'est mal. Mais cette cotise est une cote-part de l'abonnement au Ripe, qui sert précisément à pouvoir disposer de ces adresses, donc en relation directe. Et rien d'autre.

En réponse : Oh ? Déconne ? L'abonnement que le LIR demande à son client est une cote-part de l'abonnement au RIPE ? Tu veux dire qu'Opdop en devenant LIR a signé un contrat avec le RIPE qui impose le prix que Opdop va facturer à ses clients ? Non ? Donc le LIR a tout loisir de changer ses tarifs. Mettons de demander le double, juste parce que ça lui fait envie et que de toutes façons le client est captif. Changer de transitaire, ça se fait en quelques jours, et c'est une opération parfaitement mineure. Changer de LIR, si tu as des adresses PA, c'est compliqué, c'est beaucoup de travail, et des emmerdes. Être accroché de force à son LIR, ce n'est pas une mince affaire. C'est bien plus embêtant que d'être accroché à son opérateur réseau.

Celui qui prend des adresses à un LIR/opérateur, est lié par ces adresses, mais aussi par la souscription obligatoire à un contrat de transit, mais aussi par la dépendance inévitable à l'interconnexion bonne ou mauvaise de cet opérateur, mais aussi par l'asujettissement de fait à la qualité de son infrastructure réseau. Et si pour l'une de ces raisons il veut quitter son opérateur, alors il perdra ses IP.

En réponse : Tiens, tu viens de rajouter un "obligatoire" qui ne vient que de ta tête. Cette souscription n'est pas obligatoire. Chez certains, oui, chez d'autres non. Ce qui tend à prouver que chaque LIR fait bien ce qu'il veut.

La différence de dépendance est majeure on ne peux pas ne pas la voir.

Il est tout à fait incompréhensible de nier ces évidences, et d'en tirer des conclusions aussi absurdes sur le Ripe, pour FDN, pour ses membres et pour les FAI alternatifs qui se montent (malgré tout le respect que j'ai pour toi).

<hl>
Enfin, sur Opdop, pour préciser: le montage sous forme coopérative progresse (évolution du statut de SCIC + retard sur des négociations fournisseur + projet complexe = du retard a été pris). Le projet est ouvert à tous types de personnes, et très preneur de temps de cerveau disponible pour avancer mieux.

(*) non ça ne suffit pas à se trouver dans le bon sens

16. Le samedi 04 août 2012, 17:09 par Salim

Benjamin, j'ai du mal avec ton raisonnement.

Je comprend ton envie d’indépendance et je la soutient.

Le RIPE qui est une association applique les règles votées par ses membres les LIR.
Les règles actuelles votées par les LIR sont simples, en v6 si tu veux être indépendant d'un LIR (ce qui est un choix politique que tous ne font pas) c'est uniquement possible en devenant LIR soit même.

Le coût d'un LIR XSMALL est de 2000€ de frais de dossier et 1200€/an.

FDN est si pauvre qu'il ne peut pas se payer une cotisation de 100€/mois pour être indépendant, c'est surprenant.

Plutôt que dire que le RIPE souhaite empêcher le déploiement de v6 ce qui me semble abusif comme conclusion, je pourrai dans le même esprit abusif que FDN pour économiser 100€/mois fait des mauvais choix et de mauvaises polémiques.

J'en profite pour demander pourquoi depuis longtemps FDN qui tient tellement a son indépendance n'est pas LIR avec son AS ?

Ne pas faire ce choix qui n'est pas cher et demander des PI v6 que la communauté ne veut pas en accusant le RIPE a tord me semble tiré par les cheveux.

Salim

17. Le lundi 06 août 2012, 16:04 par Siltaar

Facile celle là :-)

FDN a les moyens de débourser 2000 € d'abord puis 1200€/an pour obtenir et garder un certain statut administratif. À répartir sur les centaines d'adhérents abonnés, ça fera juste une augmentation mensuelle de l'ordre de l'euro, pour chacun.

Mais je pense qu'aucun des nouveaux FAI de la Fédé FDN ne peuvent annoncer qu'ils vont doubler leurs tarifs pour satisfaire un coût récurrent prohibitif, sans commune mesure avec celui de leurs infrastructures matérielles par exemple.

Imposer à tous de devenir LIR, ça veut dire empêcher un nouveau FDN de se créer, tuer dans l'œuf la dizaine d'associations qui se sont gratuitement déclarées en préfecture partout en France pour devenir des nouveaux FDN.

18. Le mardi 07 août 2012, 07:15 par pymaunier

Les mecs vous êtes LIR, si les règles en place ne vous plaisent pas il suffit de les changer.

Abonnez-vous aux ML du RIPE, proposez un changement, ce sera voté par tous les LIRs et ça sera accepté ou pas.

En réponse : oui, ce sera voté lors de la prochaine AG du RIPE, par les gens présent dans la salle. La prochaine est à Amsterdam. Regarde où étaient les précédentes. C'est toi qui invite pour les billets de train et/ou d'avion ?

Exposez cette idée et soumettez là. Les règles du RIPE sont faites par les LIRs, il faut pas juste se dire "on n'est pas content le RIPE fait n'importe quoi" il faut participer.

Après faut pas déconner, devenir LIR ça coûte pas cher quand on demande qu'un bloc et qu'un AS. Si un FAI associatif est pas capable de payer au moins ça, il y a un problème dans la matrice.

Faut être un peu sérieux et éviter que n'importe quel quidam puisse avoir un AS et un /48 pour faire joujou sur sa freebox à la maison derrière des tunnels pour proposer une connectivité pourrie avec une MTU à 814.

En réponse : alors, celle-là, c'est ma préférée. J'ai bien compris, il ne faut pas que n'importe quel quidam puisse devenir LIR, ni même avoir un AS et quelques adresses. J'ai bien compris, il faut que ces mâles attributs du pouvoir sur le réseau soient réservés aux gens sérieux et compérents. Enfin, d'ailleurs non, réservé aux gens qui peuvent payer une ressource gratuire, et qui peuvent s'offrir le luxe de traverser l'Europe (au sens large) tous les ans. Si je peux me permettre, le pense très exactement le contraire. Si la bande de trous de balle du RIPE ne sert qu'à faire en sorte que ça coûte 2000 euros d'écrire une pauvre ligne dans une base de données, alors ils sont des parias. Et si cette politique sert à exclure du réseau les gens qui n'ont pas cet argent à gaspiller, alors elle est parfaitement honteuse.

Normalement, le principe c'est que tout le monde peut venir jouer sur le réseau, sans barrière à l'entrée, sans frais idiots pour freiner. Et le RIPE fait juste le strict nécessaire, et pas plus, pour qu'on ne se retrouve pas avec deux fois les mêmes adresses, et que l'ensemble garde un tout petit peu de cohérence. Pour fonctionner le RIPE a besoin d'argent, qu'il obtient des milliers de LIR en Europe en leur demandant une cotisation. Il me semble évident que la logique doit être l'inverse de celle que tu évoques. Il faut que le premier quidam venu puisse venir jouer. Si la fonctionnement de la structure exclus des gens, alors il faut revoir ce fonctionnement. Mais ce n'était pas le propos de mon billet, au départ.

Comme on dit "pas de bras, pas de chocolat", faut pas déconner non plus.

Mais si, tu vas voir, on va déconner. On fait comme ça sur Internet depuis le début, et ça se passe très gentiment.

19. Le mardi 07 août 2012, 07:25 par pymaunier

Si au départ ce FAI associatif n'a pas les moyens pour commencer. Il peut très bien prendre un /48 PA et donc ne pas être indépendant ni multihomé.

Si le LIR qui lui a fourni ce /48 PA est assez ouvert, il lui permettra peut-être de l'annoncer chez quelqu'un d'autre pour ajouter du multihoming mais toujours en restant dépendant du LIR qui a fourni les IPs.

Ensuite quand le nombre d'abonné justifie le paiement des cotisations RIPE bah il demande son /32 PA et renumérote c'est pas la mer à boire. Free l'a bien fait quand ils sont passé de /32 à /26.

Je suis d'accord avec la politique du RIPE à l'heure actuelle. Ils sont super open sur l'affectation des IPv6 mais pour les PI c'est pas openbar non plus. C'est pas parce que y'en a beaucoup qu'il faut faire n'importe quoi au départ qu'on regrettera par la suite comme ça a pu être le cas en IPv4.

C'est sur. Le premier bloc qu'on donne aux gens, et qui sera annoncé tout seul, comme tu viens de le décrire. Le leur donner en PI, ça boulverserait la face du monde. Voyons voir, ça changerait... quoi au fait ? Techniquement rien du tout. Ce bloc correspond à une route sur le réseau mondial, de fait. Ce bloc correspond à une entrée dans la base whois, de fait. Donc ça change quoi ? Rien, seulement son statut administratif. Et donc l'opérateur va devoir re-numéroter parce que M. RIPE n'a pas voulu écrire "PI" à la place de "PA" dans la case prévue à cet effet, parce que le formulaire administratif pour demander qu'il y ait écrit "PI" date d'IPv4 et qu'on n'allait quand même pas adapter les formulaires administratifs à la réalité technique. Et tu trouves que c'est justifiable ? Toi, tu bosses chez CERFA, non ?

20. Le mardi 07 août 2012, 09:25 par domi

@svallerot : c'est marrant, parceque être administrativement dépendant d'un LIR qui annonce (actuellement, hein) ne pas faire opérateur IP, c'est pas grave. Mais être dépendant de Gitoyen, c'est très très grave. Pour moi, quand Opdop sera une coopérative, c'est juste « pareil ». Pas le même fonctionnement, mais la même dépendance choisie.

@pymaunier : oui, ça se fait, de renuméroter. Oui, c'est pas la mort. En fait, c'est même presque facile, avec une vision purement consumériste de "j'ai un accès à internet", tu changes les ips distribuées, et tu accèdes pareil à Toitube. Mais c'est bien plus contraignant quand tu héberges des services.

Pour ce qui est du fonctionnement u RIPE, Gitoyen commence à aller mettre son nez dans les ML, comme tu dis. Mais c'est loin d'être aussi simple que de dire « c'est fait par les LIR », parcequ'il y a là bas aussi plein de gens, qui, comme toi, considère qu'être opérateur IP, c'est un travail de grand, et que ça se fait pas derrière un PC de récup et un modem ADSL.

21. Le mardi 07 août 2012, 12:26 par Xavier

Pour revenir sur mon commentaire, ma définition de FAI complet :
1) Un système de collecte, en propre ou loué
2) Une interco à Internet
3) Un réseau interne pour relier le tout

Je met FDN dans la case des FAI virtuels parce que ce n'est pas un AS (et de préférence avec ses IP) et qu'il ne décide pas de son routage.

Maintenant, ce n'est qu'une vue de l'esprit.
Et pour le probleme de fond, les RIR ne sont pas très chaud sur les PI à la base, et dans l'Internet v6 encore moins (et encore il y a du progrès, au début il n'y avait pas de PI du tout).

Et puis bon, soyons franc, devoir renuméroter de temps en temps n'est pas non plus un drame, surtout en IPv6 ou les préfixes sont assez grand pour faciliter la manœuvre.
Nerim m'a changé mes IP fixes récemment (j'avais de vieilles IP PA hors du LIR de Nerim qu'ils ont du rendre). C'était un peu chiant après 11 ans, mais je m'en suis remis (et Nerim aussi, le bloc PA étant utilisé par les lan serveurs). Conséquence bonus, ca m'a changé mon /48 IPv6 (le SI de Nerim est concu pour lier les IPv4 fixes au bloc /48 IPv6 et j'en porte la responsabilité).

22. Le mardi 07 août 2012, 17:57 par svallerot

@Benjamin: non le Ripe n'impose pas au LIR de refacturer une quote-part de sa cotisation, ce que j'explique c'est que si un pur LIR ne fait que distribuer des IPs, alors le prix de ses prestations ne sera pas lié à un autre service, ce qui est enfantin à comprendre : moi vendre à toi des sucettes, toi pas lié par le prix des roudoudous ni par la qualité des car-en-sac.

Ensuite «Celui qui prend des adresses à un LIR/opérateur, est lié par (..) la souscription obligatoire à un contrat de transit», oui, j'insiste : obligatoire puisque le LIR/opérateur route, par la force des choses, du trafic vers ces adresses, il y a forcement un contrat de transit qui se met en place. Et même s'il est tacite, il est de fait : il y aura transit, il y aura accord, il y aura facturation (les opérateurs qui routent gratis c'est encore assez rare, sauf pour casser le marché bien sur).

@domi: tu peux insinuer que Opdop pourrait ne pas tenir ses engagements, mais après s'être précisément débarassé de ses AS, IP, routeurs (et même clients) pour garantir sa neutralité, ce serait ni plus ni moins se saborder, et je vois mal ce qui le motiverait.

@pymaunier: je suis curieux, quel est le mécanisme par lequel un LIR pourrait empêcher le «détenteur» d'un PA /48 de le multihomer ? ça m'inquiète un peu...

23. Le jeudi 09 août 2012, 03:00 par Loup Vaillant

Mon résumé de la discussion:

Benjamin : « Dans le cadre de l'IPV6, le RIPE rend l'indépendance des petits FAI difficile, c'est pas cool. »

Réaction initiale. Ouais, c'est pas cool.

Objection 1 : « Ils sont bien obligés, pour éviter l'explosion de telle base de donnée mondiale. Et puis on peut quand être indépendant, en faisant ci et ça, ça passe très bien! »

Benjamin : « Sauf que faire ci ou ça n'explose pas moins cette base de donnée (et en plus, tu n'est pas si indépendant que ça). La difficulté (administrative et parfois financière) d'indépendance n'est donc justifiée par aucune difficulté technique. C'est toujours pas cool. »

Objection 2 : « Oui, mais le RIPE est une asso, les LIR n'ont qu'à se rebeller (euh, participer), et ça va changer. Ci ça ne vous plaît pas, c'est bien fait pour vous, vous n'aviez qu'à participer. »

Benjamin : « Participer, la bonne blague: il faut aller à Péta au Schnock, et ça prend du temps de se faire entendre. Pas facile pour le petit nouveau. »

Il se trouve que ma mère et mon beau-père gèrent une mini-société dans le bâtiment. Pour des raisons qui m'échappent (des histoire de garanties ou d'assurances), leur société est plus ou moins obligée de faire partie d'une association. Ils ont beau être membre, leur pouvoir politique est nul. Pour commencer, les membres sont obligés de traverser la France pour assister à l'AG annuelle (sous peine de se faire mal voir, voire virer). Même tarif pour ceux qui votent contre à quoi que ce soit (ils votent à main levée, « qui est contre », « qui s'abstient »). Quand à influer sur l'ordre du jour, bon courage.

Le RIPE n'est sûrement pas aussi vilain, mais si les gros ont le pouvoir et veulent le garder, bon courage pour les petits comme Gitoyen pour se faire entendre.

Objection 3 : « Ouais, mais il faut pas autoriser n'importe quel neuneu à être FAI, quand même. »

Benjamin : « Pas d'accord. Et puis le principe à la base était était d'être le plus ouvert possible. »

Perso, je note la perte de liberté causé par un coût administratif inutile. Et puis, si le quidam est vraiment un neuneu, ça va se voir, et on aura tôt fait de mettre un terme à ses âneries.

Conclusion : De mon point de vue, les objections que j'ai repérées ne pèsent pas lourd. Limiter la liberté et le pouvoir du petit par rapport au gros ne fait qu'accentuer un déséquilibre existant, c'est pas cool. Tout coût inutile est injustifié, et donc pas cool. Lorsqu'en plus il défavorise le petit, c'est encore moins cool.

24. Le dimanche 12 août 2012, 04:00 par kihgxu

sjnvjr

25. Le dimanche 12 août 2012, 18:25 par svallerot

@Loup Vaillant: Ton résumé est un peu partial tout de même. Les arguments de Benjamin semblent prévaloir sur tous les autres. Et pourtant...

Comment ne pas comprendre tout de même, que le statut d'agresses PA est fait pour facoriser l'aggrégation. Si «tout le monde» obtient des PI rien qu'en demandant, alors personne ne prendra plus de PA et toute aggrégation deviendra impossible. Ca aurait été catastrophique en IPv4 (potentiellement 2^24 réseaux), ça le serait encore plus en IPv6 bien entendu (potentiellement 2⁴48). Que le Ripe poursuivre son but d'aggrégation est donc tout à fait sain, je n'ai lu aucun argument contre ça.

Maintenant, quand Benjamin dit «Le premier bloc qu'on donne aux gens, pourquoi ne pas le leur donner en PI», j'ose espérer qu'il ne parle pas de Mme Michu parce que bien évidement ce serait tout aussi inutile que catastrophique. Disons qu'il ne parle que des FAI, et des entités (personnes physiques ou morales) qui seraient des systèmes autonomes. La question devient beaucoup plus raisonnable, et effectivement, à partir du moment où de toutes façons ces réseaux auront un comportement de système autonome (AS), alors oui, qu'ils aient du PA ou du PI ne fait pas, en terme de nombre de routes, de différence.

Est-ce qu'il faut donc y voir un acte négatif de la part du Ripe ? Il ne faut pas oublier que la règle appliquée en IPv6 est tout à fait la même que celle appliquée en IPv4. Seulement voilà, IPv4 et IPv6 ce n'est pas la même chose. Il était difficile d'aller loin et de faire tourner tout un opérateur ou un FAI avec quelques /24 PI qui de plus, n'étant pas contigus, présentaient rapidement moins d'intérêt que de devenir LIR. Le Ripe n'avait donc pas besoin d'être très strict sur les usages de PI IPv4. On peut éventuellement le lui reprocher. Avec IPv6 par contre, il y a dans la différence d'échelle /48 - /64 un potentiel bien plus considérable pour développer une activité car ce sont 65536 et non plus seulement 256 adresses. La tentation est donc beaucoup plus forte d'utiliser du PI pour ce à quoi ça n'a jamais été destiné.

Au fait, à quoi servent les blocs PI ? Ils servent aux opérateurs (oui, aux opérateurs : il faut pouvoir annoncer ses adresses donc avoir un numéro de système autonome et opérer en BGP) qui ont besoin d'une indépendance et qui n'ont pas besoin de distribuer des adresses à des utilisateurs. Parceque cette fonction-là, c'est précisément le rôle (voire la définition) d'un LIR. Or il est tout à fait évident que, en IPv6, tout fournisseur d'accès assigne à ses abonnés des réseaux entiers, et donc, a une activité de LIR (puisque le minimum attribuables c'est 2^64 adresses). Et donc il est logique en IPv6 qu'un FAI soit LIR.

Est-ce que de ce fait, la politique qui est en place est susceptible de gèner le déploiement d'IPv6. Certainement pas, ni volontairement comme le titre de cet article l'affirme, ni involontairement. Tout simplement parce que IPv6 n'est pas une option, c'est une évidence incontournable qui s'imposera à tous dans les mois à venir, bon gré mal gré, indépendance ou pas. Une fatalité que d'ailleurs, le Ripe incite les opérateurs à prendre en compte depuis bien longtemps, loin de chercher à en ralentir la mise en oeuvre. Et vraiement on se demande pourquoi le Ripe voudrait faire une telle chose, c'est de l'utopie.

Cela peut-il avoir un impact sur le développement des FAI locaux ? On peut poser la question, effectivement. J'ai déjà apporté la réponse plus haut : on peut peut développer un FAI sur des PA, on peut mutlihomer sur de la PA (et c'est la manière normale de faire depuis que le Ripe existe), et surtout on peut créer des LIRs qui ne seront pas des opérateurs précisément pour gérer ce genre de cas. En réduisant leur relation contractuelle au simple «service» de fournir des adresses, et en garantissant toute neutralité dans l'exercice de sa fonction, le LIR qui n'est pas opérateur répond au problème.

Enfin la vraie bonne question qui peut se poser est celle du coût à affronter pour devenir LIR. C'est une question qui est en plein débat en ce moment même sur les listes du Ripe, qui discute abondament de la répartition des cotisations entre les membres. Il serait utile de présenter, maintenant, au lieu de bouder le fonctionnement contributif et ouvert, des arguments clairs sur les enjeux de l'accessibilité à ce statut pour les petits FAI. Et de proposer un modèle cohérent qui permettre de répondre aux enjeux qui se posent au lieu de tout simplement refuser de les voir.

Pour faire court, ces enjeux et données sont : le financement du registre européen, la répartition du coût sur les LIRs en tenant compte de la nécessité de ne rendre le Ripe dépendant des acteurs dominants et (a priori) de lui conserver une activité «non marchande» (les IP ne sont pas vendues), la gestion des ressources (objectifs de conservation et d'aggrégation), la neutralité, le fonctionnement démocratique, la nature sensiblement différente des différentes ressources (adresses v4, v6, numéros d'AS), la nécessité opérationnelle du Ripe (capacité administrative, mais aussi technique sur le Whois et sur les délégations de reverse DNS), la documentation et la formation des LIRs, et enfin (si je n'en oublie pas trop), les ressources et services annexes. Crier haro sur le baudet sans prendre tout ça en compte n'avance à rien.

Evidement à quelques semaines d'entamer le dernier /8, il est tard pour s'émouvoir et s'indigner sur ces questions. On se sent peut-être un peu coincé. Pourtant sur ce sujet comme sur d'autres, ce n'est pas parce qu'on prend bien trop tard la mesure du problème et conscience de la nécessité d'agir, qu'il faut faire des conclusions hâtives, ignorer les solutions que d'autres ont déjà mises en oeuvre (alors qu'il serait plus constructif de les soutenir) fussent-elles éventuellement imparfaites, et faire et dire n'importe quoi.

26. Le lundi 13 août 2012, 17:19 par Loup Vaillant

@svallerot:

Bon, il semble que nous sommes tous d'accord pour dire que multiplier le nombre de routes, c'est mal. De même, je tiens pour acquis qu'entre deux politiques qui ne changent pas de fait le nombre de routes, celle qui donne plus d'indépendance aux opérateurs pour moins cher ou moins de soucis administratifs est meilleure.

Il semble que nous sommes d'accord sur le fait que les PA multihomés ne diminuent pas le nombre de routes par rapport aux PI. Que les PI, si le RIPE voulait bien les donner, donneraient plus d'indépendance pour moins cher aux opérateurs (surtout les petits). En effet, faire appel à un LIR, quel qu'il soit, diminue l'indépendance de l'opérateur, même si dans certains cas ce n'est pas de beaucoup. Enfin, donner un PI au lieu d'un PA ne demande aucun travail supplémentaire de la part du RIPE.

À partir de ça, je ne vois pas pourquoi le RIPE ne donnerait pas des PI aux opérateurs, même si ces adresses sont ensuite redistribuées.

Le point central de l'affaire, c'est une incohérence dans la politique actuelle du RIPE sur ce qu'est le minimum syndical pour madame Michu. En IPv4, c'est une IP publique unique, fixe de préférence. (Vu la prolifération des box allumées en permanence, il est maintenant débile pour beaucoup d'opérateurs de distribuer des adresses non-fixe —sauf bien sûr pour se faire du fric sur de la rareté artificielle). Mais en IPv6, vu le nombre hallucinant d'adresses à distribuer, le minimum syndical à changé: un sous-réseau entier (/64 fixe, ou /48 fixe, ça n'a pas l'air très clair).

Si le RIPE était cohérent et voulait juste empêcher la sous-attribution, la redistributions d'adresses à partir d'un PI serait limitée au minimum syndical par utilisateur final. C'est à dire une IP unique en IPv4, ou un /64 (ou /48?) en IPv6. La sous-attribution que le RIPE veut à raison éviter n'est provoquée, par définition, que par la distribution de plus que le minimum syndical. Mais comme ces cons ont marqué « une IP publique » au lieu de « le minimum syndical », on se retrouve coincé.

En résumé, dire à la fois que le minimum syndical par utilisateur final est un sous-réseau entier, et prétendre que distribuer ce minimum syndical via un PI provoque une sous-attribution, c'est juste contradictoire.

Ensuite, si le RIPE veut vraiment interdire la redistribution d'IPv6 en PI, pourquoi ne pas le marquer explicitement? Mais alors je me pose la question: quels sont, concrètement, les effets négatifs possiblement provoqués par la redistribution aux utilisateurs finaux de /48 en PI par des opérateurs disposant d'un numéro d'AS ? Vraiment, en quoi c'est pire que la même redistribution, mais avec des adresses PA multihomés !?

(PS: je ne me prononcerais pas plus sur la gouvernance du RIPE, vu que je n'y connais strictement rien. Si les petits peuvent vraiment faire entendre leur voix, c'est cool.)

27. Le lundi 13 août 2012, 20:52 par svallerot

@Loup Vaillant:

«Il semble que nous sommes d'accord sur le fait que les PA multihomés ne diminuent pas le nombre de routes par rapport aux PI.»

Si on convertit du jour au lendemain les PA multihomées en PI, oui le nombre de routes sur Internet sera le même. Par contre si on avait assigné directement en PI beaucoup plus facilement je pense que l'impact aurait été non négligeable. Pourquoi. Parce que dans ce monde quand on n'interdit pas à un commercial de vendre n'importe quoi sans comprendre les implications techniques, eh bien il le fait, et c'est même à ça qu'on les reconnait.

«En effet, faire appel à un LIR, quel qu'il soit, diminue l'indépendance de l'opérateur, même si dans certains cas ce n'est pas de beaucoup.»

En fait, un opérateur n'a pas vraiment le choix, sauf à devenir LIR, il doit toujours faire appel à un LIR. Dès lors toute la dépendance tient dans ce qui fait l'objet du contrat. Pour une PI ou pour une PA non routée, le seul objet du contrat est le réseau assigné. Pour une PA routée, le contrat concerne en général un transit, et parfois le réseau assigné.

Dans le cas d'une PI, cela s'appelle une convention de ressource indépendante, et le Ripe propose les grandes lignes du contrat dont il impose la signature, ici : http://www.ripe.net/lir-services/re...

«Enfin, donner un PI au lieu d'un PA ne demande aucun travail supplémentaire de la part du RIPE.»

Là pardon, mais c'est bien mal connaître le fonctionnement d'un LIR. Un LIR qui n'est pas trop maladroit obtient rapidement du Ripe la capacité de faire des assignations PA avec la confiance à priori du Ripe. Cela va rapidement concerner la quasi totalité des assignations que le LIR aura à faire, et c'est une décharge de travail monumentale pour le Ripe.

C'est le mécanisme de la «fenêtre d'assignation» : https://www.ripe.net/ripe/docs/ripe... (cf. section 7.0)

Donc tout au contraire, la PI demande au Ripe un traitement de tous les dossiers alors qu'elle s'en décharge dans la quasi totalité des cas sur les LIR pour les demandes de PA.

Je n'avais pas songé à ce point, mais c'est d'ailleurs un des arguments qui est revenu dans les discussions sur les ML du Ripe, pour expliquer que les nouveaux LIRs paient des cotisations supérieures aux anciens: leur fenêtre est plus réduite, et ça fait beaucoup plus de boulot pour le Ripe ! Il est clair que si les PA actuellement multihomées avaient dû être toutes traitées et assignées par le Ripe (forcément puisque pas par un LIR), les coût du Ripe auraient explosé et les cotisations des LIRs aussi. Ce qui aurait pu avoir d'autres conséquences (moins de LIRs ?)

En IPv6 le principe est sensiblement le même, avec des modalités et des mécanismes un peu différents compte tenu des volumes.

Du coup tu comprends pourquoi le Ripe ne veut pas filer des PI à tout le monde. Certainement pas à Mme Michu qui n'aura jamais un AS ni des routeurs BGP pour les annoncer, mais pas non plus à des opérateurs qui vont vendre ces adresses et dont la vocation naturelle est par définition d'être LIRs.

«dire à la fois que le minimum syndical par utilisateur final est un sous-réseau entier, et prétendre que distribuer ce minimum syndical via un PI provoque une sous-attribution, c'est juste contradictoire»

Je concède volontiers que ça peut sembler curieux, mais il faut se dire que le Ripe n'est pas responsable de la manière dont fonctionne IPv6, donc ils composent, et ils le font avec des objectifs qui sont ceux que, aujourd'hui on estime nécesaire pour que le réseau continue à fonctionner. Ca me semble raisonnablement être un objectif qui passe avant tous les autres.

«si le RIPE veut vraiment interdire la redistribution d'IPv6 en PI, pourquoi ne pas le marquer explicitement ?»

Oh ben, passé l'effet de surprise (perso je leur ai fait reformuler 2/3 fois pour être bien sûr de comprendre, l'an dernier) c'est devenu tout à fait explicite et clair pour les LIRs qui sont les interlocuteurs du Ripe en la matière.

Il faut noter que ces (non-)changements se sont accompagnés pour IPv6 de quelques points sur les 'i', en particulier de la disparition de ce qu'on appelait en IPv4 les «End Users», c'est à dire ceux qui bénéficiaient d'une adresse et d'une seule.

«quels sont, concrètement, les effets négatifs possiblement provoqués par la redistribution aux utilisateurs finaux de /48 en PI par des opérateurs ?»

Je pense que tu as déjà toutes les réponses.

Déjà, est-ce que ça a du sens, de distribuer des PI à des gens qui n'ont pas d'AS (si j'extrapole un peu ta question) ?

Ensuite, comment le Ripe va-t-il pouvoir traiter le nombre de requêtes ?

Enfin, peut-on compter sur les gens pour ne demander que des PA (et se laisser aggréger) quand ils n'auront pas réellement besoin de PI ? Et si non, que peut-on prévoir pour la table de routage ?

Le Ripe peut-il prendre ce risque ?

Au stade actuel de ma réflexion, je pense que le véritable problème se situe plutôt dans la capacité qu'auront ceux qui auront ces «minimum syndicals» à renuméroter pour passer d'un opérateur à l'autre. Je parle de Mme Michu. Peut-être qu'elle aura un jour les moyens de payer deux abonnements à des opérateurs différents pour s'essayer à BGP, mais je crois que son plus gros souci sera de résilier l'un pour passer chez l'autre.

Bonne soirée les gen(te)s

28. Le mardi 14 août 2012, 02:59 par Loup Vaillant

Point par point:

Sur l'effet à long terme de donner des PI au lieu d'obliger aux PA multihomés, j'y ai pensé. Je conçoit que ça puisse être un risque, mais en quoi, je je le sais toujours pas. Ton argument est trop général pour être réellement applicable. Et puis la règle serait simple: point de PI pour ceux qui distribuent plus que des /48 à d'autres gens. Même ton commercial moyen devrait pouvoir l'appliquer.

J'ai mal formulé ma remarque sur l'indépendance à un LIR. Oui, on a toujours besoin de faire appel à un LIR pour avoir son bloc, même en PI. Mais en PA multihomé, on est en plus obligé de renuméroter pour changer de LIR. C'est là que réside la perte d'indépendance.

J'ignorais que les PI donnait plus de travail au RIPE que les PA équivalent. Noté. D'un autre côté, que ce travail semble si lourd me laisse songeur.

Ton insistance à répéter que les opérateurs qui distribuent des /48 à leurs clients ont, par je ne sais quelle définition, vocation à être des LIR est un peu lourde. En IPv6, le /48 est l'équivalent d'une IP unique en IPv4. Ça laisse plus de possibilités et de pouvoir aux utilisateurs finaux, mais en même temps c'était probablement le but. Donc, un FAI qui avant distribuait des adresses IPv4 uniques (via un bloc PI histoire d'être indépendant), aurait tout à coup la vocation d'être un LIR, juste parce qu'il passe en IPv6 et donc distribue des /48? Ça n'est pas très cohérent. À la limite, je préférerais te voir dire que redistribuer des IP via des blocs PI était déjà une anomalie en IPv4.

Concernant la contradiction apparente dans la politique du RIPE dans le traitement des /48v6 et des IPv4, je conçoit que le passage à l'IPv6 nécessite des changements. Mais ça n'empêche pas d'être explicite. Ils interdisent les FAI de fonctionner avec des blocs PI, soit. Mais ils devraient au strict minimum le dire dans un seul paragraphe. Je ne peux m'empêcher de penser que leur texte actuel leur permet plus ou moins d'éviter la question gênante : « mais pourquoi on peut plus distribuer de PI comme avant? ». Maintenant, c'est peut être clair pour les LIR, mais si une telle clarification a été faite, pourquoi n'a-t-elle pas été transcrite dans les textes officiels? Pour moi, ça cache soit une erreur, soit une malice.

Bon, en résumé, les seuls désavantages à autoriser les PI comme en IPv4, c'est le travail que le RIPE doit prendre en charge (à la place d'un LIR), et peut-être un nombre plus important de petit blocs PI que demanderaient les opérateurs. Ça ne me paraît pas être un gros risque, d'autant plus que je ne vois pas pourquoi on demanderait tout à coup plus de PI en IPv6 qu'en IPv4 (vu que les motifs de redistribution seraient les mêmes). Et je n'ai jamais, mais alors jamais, envisagé d'allouer un bloc PI directement à madame Michu. Ce que je suggérais, c'était d'allouer un bloc PI au FAI de madame Michu, qui pourrait ensuite lui allouer un /48 comme d'habitude. Évidemment qu'elle va renuméroter à chaque changement de FAI! Ce qu'on souhaite éviter, c'est la renumérotation de tout le monde lorsque le FAI change de LIR. Dans un monde idéal d'un internet a-centré, c'est quand même mieux lorsque mon IP fixe fournie par mon gentil FAI est vraiment fixe.

Pour revenir sur ton extrapolation: allouer des bloc PI à des gens sans AS. Euh, ça n'est pas déjà possible? D'autant que certains vont être tentés de distribuer du /128 par le WiFi, par exemple… Encore que pour ça, le /48 fourni par le FAI du mini-FAI devrait suffire. À vue de nez, ça ne semble pas très risqué, surtout si on a déjà le même schéma en IPv4. Et quand bien même ça le serait, on peut toujours décider de ne pas allouer des blocs PI aux gens sans AS. Ça réduira les possibilités, mais moins que d'interdire les PI tout court.

29. Le mardi 14 août 2012, 12:23 par svallerot

«Ton insistance à répéter que les opérateurs qui distribuent des /48 à leurs clients ont, par je ne sais quelle définition, vocation à être des LIR est un peu lourde.»

Je peux préciser de quelle définition je parle : http://www.ripe.net/ripe/docs/ripe-... : C'est tout simplement la définition même du rôle d'un LIR.

Partant, je vois mal comment (et pourquoi) un FAI qui aurait une PI et serait autorisé à en redistribuer des morceaux à ses utilisateurs ne serait pas un LIR. Comment (et pourquoi) devrait-il échapper au cadre administratif, au paiement d'une cotisation au Ripe, etc ?

«Redistribuer des IP via des blocs PI était déjà une anomalie en IPv4» ? Absolument. Ca n'a d'ailleurs jamais été autorisé, puisque les adresses utilisées par Mme Michu pour son accès ne lui ont jamais été assignées mais ont toujours appartenu à l'infrastructure de l'opérateur qui les utilise pour délivrer le service (ce qui est encore plus évident pour les IP dynamiques).

«Ce qu'on souhaite éviter, c'est la renumérotation de tout le monde lorsque le FAI change de LIR» ? OK. Alors la bonne solution vue du Ripe est que le FAI soit LIR : c'est pour ainsi dire fait pour. Note qu'il existe des statuts de micro-LIR. Mais bon, voilà, il y a toujours une masse crtitique quelque part, un seuil, un minimum. Il peut ne pas convenir, mais ce n'est pas le principe qui est mauvais, c'est juste le seuil. Et on peut aussi se demander s'il n'est pas utile de fixer un certain seuil, puisque si tout le monde avec sa Wifi peut devenir FAI (voire LIR, hein), combien de routes indépendantes est-ce qu'on va compter (question ouverte) ?

«Allouer des bloc PI à des gens sans AS, ça n'est pas déjà possible ?» Oh si c'est possible, juste c'est pas trivial d'expliquer que tu veux absolument être indépendant mais que tu n'as pas besoin d'un AS.

«Pourquoi on demanderait tout à coup plus de PI en IPv6 qu'en IPv4 (vu que les motifs de redistribution seraient les mêmes)» ? Parce que quand on ne met pas des lignes continues par terre, les gens roulent n'importe où. C'est la nature humaine, les gens font passer leur intérêt d'abord, et s'il y a du fric en jeu c'est pire. Et dans le monde des opérateurs et des FAI c'est le pognon qui commande, c'est pas bisounours land. Donc le Ripe a pour rôle de fixer des règles pour cadrer et faire en sorte que les choses se passent au mieux et jusqu'ici les règles fixées ne sont certainement pas parfaites, mais elles correspondent aux objectifs (et surtout, on n'en a pas de meilleures sous le coude).

Il faut garder en tête que l'équation est très complexe. On ne peut pas proposer de changer une règle sans considérer les implications sur tout le reste, immédiatement et dans le temps. Une erreur avec IPv6 pourrait avoir des conséquences tout à fait désastreuses pour le fonctionnement du réseau. Or dans le temps, il y a encore d'autres inconnues. Il peut donc raisonnablement sembler prudent d'avoir règles «un peu conservatrices» le temps de voir ce qui se passe avec IPv6 qui dans les mois qui viennent va connaitre un boum considérable.

Enfin je crains que si des erreurs étaient commises sur la gestion des ressources internet, ce soient in fine les petits opérateurs et FAI et les utilisateurs qui en pâtissent. Non pas que les gros aient tellement de souplesse sous le coude pour s'adapter par exemple à une explosion du nombre des routes, mais peut-être que les mesures techniques ou évolutions tarifaires qu'ils imposeraient pour leur propre sauvegarde seraient peut-être difficiles à avaler. Pure spéculation de ma part bien entendu.

30. Le mardi 14 août 2012, 23:55 par Loup Vaillant

Définition d'un LIR: une petite minute, depuis quand les FAI assignent des IP à leur clients? (Ou à leurs membres dans le cas de FDN.) Il me semble que le mot « assignation » fait référence à une démarche administrative bien précise, que les FAI ne pratiquent pas pour le grand public, même quand ils sont part ailleurs LIR. Après, on peut bien décréter que tout FAI doit payer une cotisation de LIR mais ça aura pour effet de tuer instantanément beaucoup de FAI que FDN aimerait précisément voir émerger.

Il semble que tu souhaites que tout FAI soit également LIR (ou micro-LIR, où je ne sais quoi). Perso, je crains la cotisation obligatoire et les effets que ça aura.

Concernant la redistribution des IPv4 en bloc PI, tu le fait exprès ou quoi ?! Je n'en ai rien a foutre que l'IP de madame Michu ne lui soit pas « assigné », ce qui compte c'est qu'elle a besoin d'une IP publique pour avoir son accès à internet! Je reformule ma question: trouve tu anormal qu'en IPv4 (respectivement IPv6), un FAI utilise des adresses sortie d'un bloc PI pour fournir à ses clients un accès internet? C'est clair, comme ça?

(Pardonne mon langage, mais là j'ai craqué.)

Tu n'a pas répondu à ma question : « Pourquoi on demanderait tout à coup plus de PI en IPv6 qu'en IPv4 (vu que les motifs de redistribution seraient les mêmes) ». Ton paragraphe n'est que généralités sans substance. Sérieusement relis le, il pourrait répondre à n'importe quelle objection concernant la politique du RIPE. C'est un contre-argument général, et donc non valide (de la langue de bois, en somme). Bref. Ce que je veux savoir, c'est la différence entre IPv4 et IPv6 en la matière. Ma question indique pourquoi je pense qu'il n'y a pas de différence. Quelles sont les tiennes de penser qu'en fait, il y en a?

Sur la complexité et les risques que présente la situation de changement de version d'IP, je comprends tes craintes. Perso je n'ai pas tant de craintes d'une part, et je pense qu'il est franchement inutile de prévoir des règles plus restrictives qu'avant d'autre part (vu ). Tel que c'est parti, le nombre de routes va simplement doubler pendant la période de transition (duplication v4 v6), puis va peut-être diminuer lors de l'abandon d'IPv4, puis augmenter petit à petit comme avant. Après pour étayer ces intuitions, je dois plus me renseigner.

31. Le mercredi 15 août 2012, 22:25 par svallerot

@Paul Vaillant

Quand même, il faut pas chercher loin pour trouver un FAI qui assigne des adresses à ses abonnés. Même FDN le fait. Enfin, le faisait. Les FAI qui sont LIR, c'est même l'immense majorité.

Tu crois que la cotisation au Ripe soit trop importante pour les FAI. Possible. Mais plus il y aura de LIRs et plus la cotisation baissera. Elle est déjà moins chère que la location de 5u dans un datacenter. Monter un FAI sans avoir des frais c'est pas possible, et participer au fonctionnement d'une instance neutre indépendante et non-commerciale comme le Ripe ça fait tout à fait sens.

Sur la différence entre IPv4 et IPv6 : mais quelle différence ? Ces choses ont la même nature, et ça explique que la politique du Ripe à leur égard soit sensiblement la même. C'est toi qui proposes d'assouplir l'usage des PI (en fait ce que tu proposes c'est que les FAI puissent avoir des mini PA sans être LIRS, en réalité). Donc c'est toi qui fais une différence en réalité.

Le Ripe est un régulateur. Changer les règles des usages pour les ressources publiques, pourquoi pas. Mais attention, un cycle de décision ça prend facilement 2 ans (observation, analyse, réflection, proposition, discussion, vote, mise en place). On ne change pas les règles tous les 4 matins, alors il ne faut pas se tromper.

Toi tu raisonnes avec ton «intuition» et tu «dois plus te renseigner». Ben, je crois que le Ripe a raison d'être conservateur parce que on n'a pas le droit à l'erreur : dans les deux ans qui viennent le monde entier va basculer en v6 et ça me semble pas être le moment de lâcher la bride et de faire confiance au secteur privé.

32. Le jeudi 16 août 2012, 01:18 par Loup Vaillant

(Mon prénom c'est « Loup », sans « Garou ». N'écorche pas mon prénom. Pense aux petits chatons.)

Je te cite:

• «Redistribuer des IP via des blocs PI était déjà une anomalie en IPv4» ? Absolument. Ca n'a d'ailleurs jamais été autorisé, puisque les adresses utilisées par Mme Michu pour son accès ne lui ont jamais été assignées mais ont toujours appartenu à l'infrastructure de l'opérateur qui les utilise pour délivrer le service (ce qui est encore plus évident pour les IP dynamiques).

• Quand même, il faut pas chercher loin pour trouver un FAI qui assigne des adresses à ses abonnés. Même FDN le fait. Enfin, le faisait. Les FAI qui sont LIR, c'est même l'immense majorité.

Tu ne serait pas en train de te contredire, là ? Un coup tu dis qu'à la Madame Michu, on ne lui « assigne » rien du tout, et le coup d'après tu dis que presque tous les gros FAI « assignent » des IP à leurs abonnés? (Je suppose que tous les gros sont également LIR.) Du coup tu n'a toujours pas répondu à ma question. Je reformule, encore:

• (1) En tant que FAI, peut-on raccorder un abonné à une IPv4 fixe sans pour autant lui « assigner » cette IP ?
• (2) Si c'est possible, trouve tu anormal de pouvoir le faire avec des IPv4 issus d'un bloc PI ?

Point suivant. Je te cite :

Sur la différence entre IPv4 et IPv6. mais quelle différence ? Ces choses ont la même nature, et ça explique que la politique du Ripe à leur égard soit sensiblement la même.

What… The… Fuck. Pas de différence, dis tu? Mais tu sais lire? Mais enfin, c'est précisément une différence dans la politique du RIPE à l'égard de v4 et v6 qui est l'objet de ce billet depuis le début!! Je cite Benjamin:

Ergo, il est interdit de raccorder des abonnés en IPv6 avec des blocs PI.

C'est pas une différence entre v4 et v6, ça? Une grooosse différence, même? Je me cite :

Le point central de l'affaire, c'est une incohérence dans la politique actuelle du RIPE sur ce qu'est le minimum syndical pour madame Michu. En IPv4, c'est une IP publique unique, fixe de préférence. […]. Mais en IPv6, vu le nombre hallucinant d'adresses à distribuer, le minimum syndical à changé: un sous-réseau entier […].

Si le RIPE était cohérent et voulait juste empêcher la sous-attribution, la redistributions d'adresses à partir d'un PI serait limitée au minimum syndical par utilisateur final. […] La sous-attribution que le RIPE veut à raison éviter n'est provoquée, par définition, que par la distribution de plus que le minimum syndical. Mais comme ces cons ont marqué « une IP publique » au lieu de « le minimum syndical », on se retrouve coincé.

Décryptage: les mots dans le texte n'ont pas changé (on a gardé « une IP publique »). Mais l'effet de ce non-changement provoque une différence significative dans la politique réelle : on ne peut plus redistribuer des IPv6 issues d'un bloc PI.

Je répète, il y a une différence assez nette dans la politique du RIPE concernant le traitement des IPv4 et des IPv6. D'où ma question: pourquoi? Si tu admets que v6, c'est essentiellement la même chose que v4, mais en mieux, alors tu devrais aussi admettre que ce changement est injustifié. Pourtant, tu n'a pas l'air de l'admettre… J'y vois encore une contradiction.

Franchement, si j'avais lu le texte, j'aurais sûrement crû à une erreur de copié-collé. Maintenant, constatant que cette erreur n'a toujours pas été corrigée, il y a de quoi se poser des questions.

Je vais encore me répéter, mais je tiens à enfoncer le clou. On peut comprendre que la politique du RIPE devienne plus restrictive à la faveur du passage en v6, pour des raisons de prudence. Car entendons nous bien, ils n'ont pas simplement évité de « lâcher la bride », ils l'on carrément resserrée. Soit. Mais si c'est vraiment réfléchi, si ce n'est pas juste une erreur, alors le texte actuel est malhonnête. Parce que quand on veut interdire une entrée, on ne marque pas « interdit aux mineurs », puis « interdit aux plus de 1.40m ». On met « entrée interdite ». Comme je le disait (je me cite) : Je ne peux m'empêcher de penser que leur texte actuel leur permet plus ou moins d'éviter la question gênante : « mais pourquoi on peut plus distribuer de PI comme avant? ».

C'est pourtant pas compliqué comme question: en IPv4, on pouvait raccorder les abonnés avec des IP issues d'un bloc PI. En IPv6, on ne peut plus. POURQUOOOIIII???

33. Le jeudi 16 août 2012, 11:55 par svallerot

@Loup Vaillant (pardon d'avoir écorché ton prénom)

Pourquoi, parceque en IPv6 ça implique nécessairement de détacher des subnets entiers, ce qui n'a jamais été possible ni en IPv4 ni en IPv6 sur des adresses PI. La seule et unique manière de faire cela, en IPv4 comme en IPv6, a toujours été d'assigner un bloc à part pour l'utilisateur au moyen d'une demande idoine, ça n'a pas changé, et c'est exactement le travail du LIR.

• «(1) En tant que FAI, peut-on raccorder un abonné à une IPv4 fixe sans pour autant lui « assigner » cette IP ?»

Oui c'est ce qui est fait dans 99% des cas.

• «(2) Si c'est possible, trouve tu anormal de pouvoir le faire avec des IPv4 issus d'un bloc PI ?»

Non c'est normal puisque ça ne concerne qu'une IP. Mais c'est un cas limite.

• «l'effet de ce non-changement provoque une différence significative dans la politique réelle : on ne peut plus redistribuer des IPv6 issues d'un bloc PI.»

On n'a jamais pu, même en v4. Ce que ça provoque c'est un recadrage des FAI dans les «bonnes pratiques» qui ont toujours été du même tonneau. La politique du Ripe n'a pas changé, mais IPv6 a d'autres implications opérationnelles que IPv4, c'est une évidence, et l'une de ces implications fait que développer un activité de FAI sur un bloc PI ferait de facto tomber ce FAI sous la définition de ce qu'est un LIR.

Bon, mais je ne vois pas trop où tout cela nous même. S'il faut arriver à conclure que cela n'arrange pas les nouveau FAI, j'en conviens volontiers. S'il faut arriver à dire que le Ripe est stupide ou veut bloquer le développement de FAI ou d'IPv6, c'est stupide. Et tout ça ne nous même nulle part. Pourquoi ne pas faire la somme des enjeux et contraintes évoquées plus haut et convenir que 1) la politique du Ripe est cohérente, 2) elle est prudente et utilement conservatrice, 3) il y a des solutions pour composer donc ce n'est pas non plus le drame, 4) si on trouvait plus souple ce serait utile. Ensuite, on peut réfléchir à quelle autre politique développer mais pas sans faire abstraction de la complexité du problème.

J'espère (et je crois) avoir répondu à toutes les questions sur ce sujet, donc je vais m'arrêter là sauf éventuellement si des questions nouvelles apparaissent.

34. Le jeudi 16 août 2012, 17:58 par Loup Vaillant

• «l'effet de ce non-changement provoque une différence significative dans la politique réelle : on ne peut plus redistribuer des IPv6 issues d'un bloc PI.»

On n'a jamais pu, même en v4.

Je reformule: « On ne peut plus raccorder les abonnés avec des IPv6 issus d'un bloc PI ». Alors qu'on pouvait le faire en v4, comme tu l'a clairement dit.

Bref, on pouvait en v4, on ne peut plus en v6. Pourquoi ? « parce que en IPv6 ça implique nécessairement de détacher des subnets entiers, ce qui n'a jamais été possible ni en IPv4 ni en IPv6 sur des adresses PI. » D'accord, mais cette réponse n'est pas suffisante. Il faut bien se rappeler:

• Pourquoi en IPv4, la pratique normale est de raccorder chaque abonné à une unique IP publique ? (Mon avis : parce que c'est le minimum pour qu'on appelle ça une « connexion à internet ». Pouvoir être client et serveur, tout ça.)
• Pourquoi en IPv6, la pratique normale est de raccorder chaque abonné à un /48 ? (Mon avis : parce qu'on a tellement d'IPv6 que ça serait con de s'en priver.)
• Pourquoi, en IPv4, on pouvait raccorder des abonnés avec des IP issues d'un bloc PI, et pourquoi on limitait cela à une IP par abonné ? (Mon avis : parce que le but était d'éviter les sous-attributions. Et raccorder les gens IP par IP ne provoque aucune sous-attribution ; c'est en donner plus par abonné qui provoque le gaspillage.)
• Pourquoi, en IPv6, la limite n'a pas suivi la pratique normale de raccordement ? (C'est là que je suis perplexe. Sois le RIPE est débile/méchant/vilain-pas-beau, sois je me suis trompé dans l'une de mes réponses ci-dessus. Parce que si cette limite n'est là que pour éviter les sous-attributions, il est juste évident qu'elle aurait dû être relevée à « un /48 par abonné »)

De Jure, un FAI en IPv6 n'a d'activité de LIR que si il « assigne » les /48 avec lesquels il raccorde ses abonnés. De facto, on peux bien prétendre qu'à partir du moment où il raccorde des sous-réseaux entiers il ressemble fortement à un LIR, mais le fait est qu'en IPv6 comme en IPv4, il se contente de raccorder des abonnés. Ce point n'a pour moi aucun intérêt. C'est juste des définitions, pas des effets dans le monde réel.

Maintenant sur ce qu'on pourrait convenir: (1) la politique du RIPE est cohérente en ce sens qu'il est toujours possible de la respecter. Mais la façon dont elle est formulée n'est pas nette. Une partie du texte t'autorise explicitement à raccorder les abonnés IP par IP (pas plus), mais une autre partie t'en empêche (en t'obligeant à distribuer des sous-réseaux entiers). Une telle formulation cache forcément quelque chose (soit un oubli, soit une cachotterie). Ils auraient dû au minimum poser l'interdiction explicitement. (2) Elle est effectivement prudente et conservatrice. J'ai un gros doute sur « utilement ». (3) Ça n'est pas un drame, mais c'est rageant, parce que le gain est très minime: un peu moins de travail por le RIPE, et zéro changement dans le nombre de routes (puisque que ceux qui voulaient du PI vont se rabattre sur du PA multihomé). (4) C'est sûr que si on pouvait faire plus souple, ça serait cool.

35. Le vendredi 17 août 2012, 09:43 par svallerot

• «le fait est qu'en IPv6 comme en IPv4, il se contente de raccorder des abonnés»

Ah bon ? Pourtant il y a énormément de FAI qui assignent réellement des blocs entiers d'adresses à leurs abonnés, et par exemple FDN en fait partie. Alors pour «considérer que» il se contente de raccorder des abonnés (ce qui serait réellement se mettre des oeillères), il faudrait leur interdire de faire ces assignations de blocs. Stupide, non ?

Et puis il y a un autre élément qu'on a pas évoqué : la taille d'une assignation PI, c'est /48.

Qu'est-ce qu'il va faire avec un /48 le FAI qui veut distribuer des IPv6 ? Distribuer des /64 et donc limiter ses abonner à un seul réseau ? Distribuer des /56 et se limiter à 256 abonnés ? Il ne pourra même pas répondre à un seul abonné qui lui demande un /48 puisque c'est la taille de son réseau. Alors il va demander au Ripe de lui donner un PI plus gros pour pouvoir donner de l'accès (soit-disant)... un /40 ? un /32 ?

Il me suffit de prendre l'exemple de FDN.

• assignation systématique de /48 à ses abonnés
• un bloc /38 réservé (donc ce serait la taille du PI demandé au Ripe à priori)
• pas LIR

Tu vois bien qu'on retombe très vite sur un FAI qui a tout d'un LIR (la capacité de distribuer des adresses, et un pool important) mais simplement qui ne veut pas payer la cotisation. Et acccessoirement, en tant que «non LIR» sera bien moins contraint au respect des policies.

C'est créer un statut de «non LIR» en dehors du système en fait, ça parait difficile de justifier ce fonctionnement avec deux poids deux mesures. Ca serait aussi dangereux puisque rapidement on aurait des LIR qui appartiendraient au secteur marchand et qui auraient les moyens de s'acheter une voix au Ripe, et les «non LIRs» sans le sou qui vivoteraient sur un modèle économique fragile et sans capacité de peser sur les politiques du Ripe.

Faudrait vraiment que ça reste exceptionnel.

36. Le samedi 18 août 2012, 00:17 par Loup Vaillant

Passons sur la différence entre raccordement simple et assignation en bonne et due forme. C'est vrai que si le FAI donne des IP fixes, c'est du pareil au même pour l'abonné. Et bien sûr, c'est le de facto qui devrait compter, pas le de jure. (D'ailleurs, c'est quoi la différence entre une IP fixe assignée et une IP fixe tout court ? De la paperasse en plus ? Des garanties ?)

Euh, par « taille d'une assignation PI », tu parles bien de la taille du sous-réseau qu'on donne à l'abonné ? J'ai crû un moment que tu parlais de la taille du bloc PI entier, ce qui me paraîtrait débile (à moins bien sûr de vouloir la mort des blocs PI sans vouloir l'avouer).

Pour mesurer si un FAI a une activité de LIR, je ne mesurerais pas le nombre d'adresses qu'il peut distribuer, mais le nombre d'abonnés qu'il peut servir. C'est plus pertinent dans la mesure où IPv6 multiplie les IP, pas les abonnés. Dans le cas de FDN, c'est 2^(48-38), soit 1024 abonnés. C'est pas énorme. Mon raisonnement est simple: si un FAI ne se comporte pas comme un LIR en IPv4, alors se contenter de passer à l'IPv6 (et donc distribuer des /48 à la place d'IP uniques) n'en fait pas un LIR, même de facto. Ou alors on élargit un peu la définition de « LIR » pour qu'elle englobe plus d'acteurs, mais dans ce cas ça devrait être une décision explicite, et non la conséquence involontaire du changement de norme (unique IP publique en v4, bloc entier en v6).

Dans tous les cas, il faut changer les textes. Au minimum, supprimer le bout de texte qui semble autoriser la redistribution d'IP, mais qui dans les faits est caduque (ça ne changera rien à notre affaire, mais au moins ça sera explicite). Ou alors revenir à quelque chose qui ressemble plus à la politique en place lors d'IPv4. L'un comme l'autre devrait être relativement simple. Ou alors on prend deux ans à réfléchir à autre chose…

37. Le samedi 18 août 2012, 01:53 par svallerot

• la taille d'une assignation PI.

Aujourd'hui le Ripe admet d'assigner un /48 PI par site, relativement simplement (PI ou PA d'ailleurs, pour ce qui est du nombre d'adresse le critère pris en compte est le même : celui de la réalité du besoin). Au-delà, il faut justifier et tu t'en doutes, justifier d'avoir desoin de plus d'un /48 par site, c'est pas évident évident.

Donc oui en disant /48 je parle bien du bloc PI, et non pas du sous-réseau qu'on donne à un abonné (de /64 à /48). Mais note bien : un sous-réseau, en PI, ça n'existe pas. Ce qui fait que jusqu'à ta proposition, il n'y avait aucune utilité à comparer les tailles de ces deux types de réseaux.

Puisque ça te semble absurde, je crois que tu as saisi le problème de je soulignais : il faudrait non pas seulement donner à tes FAI non-LIRs des PI, mais de très grosses PI. Et donc là, tu peux relire mon poste avec un oeil nouveau.

• «si un FAI ne se comporte pas comme un LIR en IPv4, alors se contenter de passer à l'IPv6 n'en fait pas un LIR»

Je pense que tout le monde a bien compris ton idée. Mais il faut comprendre que ce n'est pas compatible avec une politique cohérente et neutre du Ripe, car cela revient à faire des passe-droit en espérant pouvoir faire confiance au secteur privé pour qu'il s'auto discipline. C'est tout simplement hors de question car les risques sont trop graves, pour les multiples raisons que j'ai déjà détaillées ci-dessus.

C'est un peu l'histoire d'une discrète backdoor qui soudain deviendrait super populaire. Laisser faire pour sembler cohérent avec la permissivité historique ? Non : rappeler le principe et fermer la backdoor.

• «ou on élargit un peu la définition de "LIR"»

Heu, comment ? C'est un peu court. Encore une fois on ne peut pas se contenter de dire «il faudrait changer telle composante» : la question est beaucoup plus complexe que ça et doit être traitée en globalité.

38. Le samedi 18 août 2012, 20:58 par Loup Vaillant

Ah, le PI, c'est déjà un /48… C'est vrai que dans le cadre d'une utilisation personnelle (au sein d'une même organisation), c'est dur d'avoir besoin de plus de 65000 réseaux de taille illimité. Sauf que minute: un sous-réseau en PI, ça n'existe pas? Mais alors à quoi ça sert d'avoir un /48 PI, vu qu'un /64 donne déjà un nombre d'adresse illimitées (mais un seul réseau)?

Un /38, c'est gros en nombre de réseaux et nombre d'adresses, mais en proportion du nombre total d'adresses disponibles, ça reste tout petit. En comparaison, une IPv4 seule, c'est l'équivalent d'un /32…

Ta vision des LIR englobe plus d'entités en IPv6 qu'en IPv4, alors que ces entités n'ont pas changé d'activité de base (FAI qui raccorde des abonnés). D'après ce que j'ai compris, tu recommandes fortement que les FAI qui distribuent des /48 à leurs abonnés passent LIR. C'est ce que j'appelais un élargissement de la définition de « LIR ». Mais peu importe. Ce qui compte, c'est que le passage en IPv6 incite plus de monde à devenir LIR. C'est plutôt important à mes yeux, et mérite d'être statué explicitement. (Pareil pour l'interdiction d'utiliser des adresses PI pour raccorder des abonnées. C'est pas normal d'avoir fait passé un truc pareil sous le tapis.)

Je pense que tout le monde a bien compris ton idée [Pas LIR en v4 => pas LIR en v6]. Mais il faut comprendre que ce n'est pas compatible avec une politique cohérente et neutre du Ripe, car cela revient à faire des passe-droit en espérant pouvoir faire confiance au secteur privé pour qu'il s'auto discipline. C'est tout simplement hors de question car les risques sont trop graves, pour les multiples raisons que j'ai déjà détaillées ci-dessus.

Cet argument est trop général pour que je l'accepte. Des risques, pourquoi pas, mes lesquels très exactement? Des raisons qu'on a détaillés plus haut, la seule que j'ai retenue c'est du travail supplémentaire pour le RIPE (nous avions déjà rejeté le nombre de routes, puisque le PA multihomé qui sera utilisé par dépit ne change pas cet aspect des choses). Tu a d'autres risques spécifiques en tête?

Pour finir, je ne comprend pas de quels passe-droits tu parles : les règles, quelles qu'elles soient, s'appliqueraient à tout le monde, non?

39. Le samedi 18 août 2012, 21:58 par svallerot

• Mais alors à quoi ça sert d'avoir un /48 PI, vu qu'un /64 donne déjà un nombre d'adresse illimitées (mais un seul réseau)?

Tu viens de le dire : a ne pas avoir davantage de réseaux à utiliser. Mais tu avais l'air de trouver ça normal dans ton commentaire #34... tu vois, tout est affaire de seuils. Il en va de même pour le prix à payer pour être LIR aka distribuer des réseaux à ses «abonnés».

• Cet argument est trop général pour que je l'accepte

Non, désolé, j'ai vraiment détaillé outre mesure tous les aspects de cette question. Le surcroit de travail pour le Ripe n'est pas le principal problème dans la proposition que tu formules, mais plutôt le risque de lâcher la bride au secteur privé et ses conséquences sur la table de routage sur les 1 ou 2 ans à venir, le risque d'un chisme LIR / non-LIR qui bousillerait l'indépendance du Ripe. L'argument est-il général, oui certainement, mais est-il non pertinent pour autant ?

• je ne comprend pas de quels passe-droits tu parles

Relire mon poste 35 : les FAI qui disposeraient d'un PI important et seraient en capacité d'assigner des subnets à leurs abonnés bénéficieraient visiblement d'un passe-droit par rapport au régime général des LIRs.

Vraiment je crois qu'on a fait le tour de la question.

40. Le lundi 20 août 2012, 19:25 par Loup Vaillant

Le /48 PI : ce que je voulais dire, c'est qu'une entreprise a souvent besoin de séparer ses IP en plusieurs sous-réseaux séparés. Avec un /64 c'est techniquement galère voire impossible. Mais un /48 se divise facilement en sous-réseaux séparés par des routeurs. On a dû mal se comprendre, parce que je vois mal en quoi les /48 PI se comporteraient comme des /64 à cet égard. Si j'ai un /48 (PI ou pas), je peux très bien installer trois routeurs pour gérer deux sous-réseaux à moi.

Passe-droit : Note tout de même que les FAI resteraient limités par rapport à des LIR complets: ils ne distribueraient jamais que un /48 par abonnés, pas plus. Ensuite, les FAI peuvent déjà raccorder leurs abonnés avec une IPv4 PI chacun. Considères tu que c'est déjà un passe-droit ? Si oui, alors OK je comprends ta logique sur ce point. Autrement, je ne vois pas de raison de faire de différence entre une IPv4 unique et un /48 v6. Ils sont tous les deux le minimum requis pour raccorder un abonné. D'accord un /48, c'est un subnet. Mais ça change quoi exactement de distribuer un /48 au lieu d'une IPv4 unique ? C'est pas juste une entrée unique dans la table de routage dans les deux cas ?

Argument général (ou pas) : ton paragraphe cite quelques raisons spécifiques, auxquelles on peut vraiment répondre. Et ça, c'est cool. Tu dis donc :

• Le surcroit de travail pour le Ripe n'est pas le principal problème dans la proposition que tu formules […] C'est donc valable, mais faible. Nous sommes d'accord.
• conséquences sur la table de routage sur les 1 ou 2 ans à venir […] Une minute, cet argument est invalide. Pas de PI, ça veut dire PA multihomé à la place. Et donc zéro changement sur la table de routage. Ou alors convainc moi qu'on utilisera franchement moins de PA multihomés avec les règles actuelles, que de PI avec les règles que je propose.
• le risque d'un chisme LIR / non-LIR qui bousillerait l'indépendance du Ripe. Ah, ça c'est intéressant. Est tu en train de me dire qu'un certain nombre de LIR cesseraient de l'être ? Et que du coup, seul un petit nombre de (gros) LIR contrôleraient le RIPE ? Si c'est vrai c'est énorme. Mais à priori ça m'étonnerait franchement que pouvoir distribuer un /48 PI par abonné/entreprise ait un effet pareil. Quelles sont tes raisons de penser qu'une telle catastrophe serait ainsi rendue possible ?

41. Le mercredi 22 août 2012, 18:49 par svallerot

• explosion de la table de routage

Le raisonnement est simple : si tu peux avoir un PI aussi facilement qu'un PA et en faire la même chose. Pourquoi te priver ? Tu as confiance dans le secteur privé pour être sage toi ? Moi pas. Alors je me demande bien qui prendra des PA demain (qu'il ait ou non réellement besoin de PI). Et donc quelle sera la part d'internet qu'on pourra encore agréger. Je n'ai aucune raison d'être optimiste sur ce sujet.

Je sais bien, convertir aujourd'hui les PA multihomées en PI ne fait pas grossir leur nombre. Mais les comportements vont changer si les opportunités changent, on ne peut pas ignorer cette composante. Or demain nous allons convertir tout internet en IPv6. Est-ce que c'est vraiement le moment de risquer l'erreur du siècle ?

Si j'étais au Ripe je dirais non.

• chisme LIR / non-LIR

Ce n'est pas l'effet de distribuer des /48, c'est que si les petits FAI peuvent distribuer des réseaux à leurs membres, quels sont les FAI qui auront la motivation pour devenir LIRs et verser une cotisation au Ripe ? Les associatifs, qui justement n'ont pas le sou ? Les petites boites qui s'en fichent et courrent après un exercice bénéficiaire ? Non, ce sont les gros qui s'offriront le pouvoir.

Or moins de LIRs il y aura, et plus les cotisations seront chères. Et moins de LIR il y aura... etc. Cercle vicieux. Ca ne peut dévisser que d'un seul côté, mais avec un effet boule de neige et donc il est certain que ça se produira.

La dominance des riches est un travers que cherche à éviter le Ripe en répartissant les cotisations sur tout le monde (pas à équité mais avec un ordre de grandeur de 1 à 5) ce qui fait que pour les petits LIRs ça peut sembler cher. La liberté ça se paie : qui peut prétendre être libre en dépendant des puissants ?

A propos, le Ripe vient d'ouvrir la procédure d'inscription pour voter à distance lors de la prochaine AG. Qui est-ce qui disait qu'il fallait être riche pour aller participer à Amsterdam ?

42. Le jeudi 23 août 2012, 18:30 par Loup Vaillant

> Le raisonnement est simple : si tu peux avoir un PI aussi facilement qu'un PA et en faire la même chose. Pourquoi te priver ?

Moui, à ceci près que je n'ai jamais proposé de faire d'un PI la même chose qu'un PA. Il s'agit de pouvoir distribuer un /48 par client/abonné. Pas plus. OK, c'est un subnet entier, mais ça limite quand même un peu les possibilités par rapport à un PA. Pas de beaucoup, mais quand même.

> Mais les comportements vont changer si les opportunités changent, on ne peut pas ignorer cette composante.

Oui, mais on sait précisément quel changement de comportement fait exploser la table de routage : c'est de demander du PI au lieu d'un PA non-multihomé. Dis autrement, ça serait des gens qui, ne pouvant utiliser du PI pour raisons administratives, se rabattraient sur du PA non-multihomé. Mais qui aurait intérêt à faire ça ?

> Ce n'est pas l'effet de distribuer des /48, c'est que si les petits FAI peuvent distribuer des réseaux à leurs membres, quels sont les FAI qui auront la motivation pour devenir LIRs et verser une cotisation au Ripe ?

En IPv4, un FAI n'a pas besoin d'être LIR pour fonctionner normalement avec des blocs PI. Si tu avais raison, l'effet boule de neige dont tu parles aurait déjà eu lieu. Encore une fois, seuls seront concernés ceux qui distribueraient du subnet même si on restait en IPv4.

En résumé, le risque vient uniquement de ceux qui auraient souhaité distribuer des subnets même en IPv4. Ça m'étonnerais qu'on en trouve beaucoup de petits qui auraient été LIR en IPv4, mais ne le deviendraient pas si leur laissait distribuer du subnet avec des blocs PI. Vraiment, je n'y crois pas. L'indépendance, c'est cool, mais au final, la cotisation est déjà trop chère, comparée à un PA multihomé chez Gitoyen.

Après, je suis d'accord qu'il est probablement souhaitable que tout le monde ou presque devienne LIR. Moins de cotisations, moins de pouvoir aux gros, c'est très bien (à ce propos le vote à distance est un très bon pas en avant). Mais la vision catastrophique que tu présentes est vraiment trop peu probable à mes yeux. Enfin, si tu veux inciter les gens à devenir LIR, je pense que réduire les libertés de ceux qui ne sont pas LIR (comme c'est fait à l'heure actuelle avec cette histoire de PI vs /48) n'est pas une bonne stratégie. Faciliter l'entrée des petits, par exemple en faisant payer moins de cotisation, me semble beaucoup plus efficace.

43. Le lundi 27 août 2012, 22:25 par svallerot

@Loup Vaillant

J'ai déjà tout répondu à toutes tes questions et je suis un peu las de te rectifier sur des erreurs comme «En IPv4, un FAI n'a pas besoin d'être LIR pour fonctionner normalement avec des blocs PI». D'ailleurs à un moment il faut cesser de dire que ce serait mieux autrement et proposer des solutions concrètes, construites. Faire un modèle complet et simuler.

Sans ça, tes doutes et tes «je crois» ne feront pas bouger le Ripe qui lui, base ses politiques sur le travail de groupes de spécialistes, des objectifs et des responsabilités très lourds, mais aussi le vote de ses membres.

44. Le mardi 28 août 2012, 02:02 par Loup Vaillant

J'ai déjà tout répondu à toutes tes questions et je suis un peu las de te rectifier sur des erreurs comme «En IPv4, un FAI n'a pas besoin d'être LIR pour fonctionner normalement avec des blocs PI».

Quelle erreur exactement ? Tu vas me dire qu'en IPv4, un FAI non LIR ne peut pas raccorder ses abonnés avec des IP issues d'un bloc PI ? Non, bien sûr. Que ce fonctionnement n'est pas normal ? Mais c'est un jugement de valeur, alors que j'énonce un fait. Ai-je loupé un truc, ou m'a tu encore interprété de travers ?

Plus généralement, je viens de relire toute notre discussion. Tu dis répondre à toutes mes questions, mais j'ai trouvé que tu en sautais beaucoup. Tu dis corriger des erreurs, mais tu as surtout déformé mes propos. Par ailleurs, tu as souvent recours à la langue de bois, tu utilises mes aveux d'incertitude pour m'humilier, et j'ai noté plusieurs contradictions dans tes propos.