classic.ISPforum.cz

Ahoj,

nevidím tu tohle téma, a tak mi nedá o tom nenapsat - RIPE v pátek vydalo poslední zbytky IPv4 adres podle starýho distribučního schématu (počet IPv4 adres podle potřeby). Odteď získá každý LIR (člen RIPE) právě a jen 1024 IPv4 adres (blok /22). PI adresy už se nebudou přidělovat vůbec.

Jak jste na tom s vašimi zásobami? Dáváte klientům veřejky?

A už se připravujete na IPv6?

jj slysel jsem o tom. Znamena to ze IP adresy uz RIPE neprideli zadne nebo mam jeste sanci nejakej malej blok par Ccek dostat?

od RIPE už ne. Pokud ale nakupuješ od nějakého ISPka, je možný, že od něj ještě něco vyžebráš

Tome, kdybys byl LIR (=člen RIPE s poplatkem ~50k ročně), tak máš šanci dostat 1024 adres. Víc ani ťuk. Tzn. každej LIR může získat 1024 adres a jak je rozdělí (třeba mezi menší ISP), to už je na něm. Firma, která dneska vstoupí do RIPE a nezíská adresy jinak (nákupem nějakýho bloku od jinýho LIRa), bude muset masivně nasadit NATy.

Hlavně když došly na IANNA tak o kolo toho byl rozruch, ale když došly i v RIPE, tak nikdo nic neřekne.

Na to můžu říct jediné, konečně se tak stalo. V odhadech neustálé odkládání vyčerpání IPv4 prostoru vedlo pouze k tomu, že se tato problematika přestala brát seriózně. Nevím, v jakém stádiu standardizace je IPv6 multihoming (mimochodem trestuhodné opomenutí při návrhu IPv6), ale i když bude vyřešen, pořád odhaduju, že NAT v přístupových sítích přežije ještě mocnou řádku dalších let.

IPv6 Multihoming (bohužel) odpovídá stavu, který panoval v době návrhu i v IPv4 světě, tj. počítá s využitím BGP.

Tehdy se NAT pro multihoming nepoužíval (a není to správně ani dneska), takže bych to neoznačil jako "trestuhodné opomenutí".

A je pro sítě střední velikosti (řekněme firemní, ne-ISP) optimální používat BGP? Především ekonomicky? Trestuhodné opomenutí to je, nějak se pozapomnělo sledovat vývoj v IPv4 ...
U menších sítěk je to ještě výraznější ... stačí jim pitomých pár desítek mbit (byť na DSL třeba) a horkotěžko budou navazovat BGP peery i kdyby se jim nakrásně chtělo. Nemluvě opět o nákladech.
Nebo se počítá s tím, že multihoming v tomto typu sítě bude znamenat sice multi, ale jen k jednomu tomu samému ISP? Těžko říci, jaké jsou zvyklosti třeba v americe, nebo i u nás vlastně.

zajdee píše:IPv6 Multihoming (bohužel) odpovídá stavu, který panoval v době návrhu i v IPv4 světě, tj. počítá s využitím BGP.

Tehdy se NAT pro multihoming nepoužíval (a není to správně ani dneska), takže bych to neoznačil jako "trestuhodné opomenutí".

zajdee píše:Tehdy se NAT pro multihoming nepoužíval (a není to správně ani dneska), takže bych to neoznačil jako "trestuhodné opomenutí".

Dovolím si oponovat. NAT pro IPv4 multihoming se používal v 95% případů vždycky. Málokdo disponuje AS a jistě se shodneme, že pro běžnou kancelář to můžeme považovat za zbytečnou komplikaci.

Jenže pojem vždycky může narazit na stáří obou věcí - mám takový pocit, že IPv6 je tu s námi déle, než rozumně využitelný NAT (resp PAT). Odkdy je tu s námi netfilter (tedy SNAT/DNAT) v linuxu? Bych řekl cca rok 2001 a jádro 2.4. Maškaráda z předchozích jader sice použít asi šla také, ale těžko říci po takové době.
A první RFC o IPv6 je z roku 96. Kolik firem, lidí, bylo tenkrát připojeno k internetu? Zase tolik asi ne ... když webové stránky v současné podobě jsou tu s námi jen o pár let déle. Prakticky veškeré služby té doby si troufnu tvrdit byly stále na dávkovém principu (přenosy souborů, pošta), takže multihoming nijak extra potřeba nebyl.

V každém případě sice možná NAT není ideologicky správný, ale minimálně pro tyto účely je dost elegantní a bezproblémový.

Zdeněk Švarc píše:

zajdee píše:Tehdy se NAT pro multihoming nepoužíval (a není to správně ani dneska), takže bych to neoznačil jako "trestuhodné opomenutí".

Dovolím si oponovat. NAT pro IPv4 multihoming se používal v 95% případů vždycky. Málokdo disponuje AS a jistě se shodneme, že pro běžnou kancelář to můžeme považovat za zbytečnou komplikaci.

Mimochodem jedno z řešení multihomingu využívá autokonfiguraci - prostě mám v síti dva rozsahy, každý od jiného ISP. A jede ten, co je zrovna lepší Zjednodušeně řečeno. Ale mě osobně se to zrovna moc nelíbí. Představa, že mi dovnitř sítě probublává nějaký segment, jehož poskytovatel zrovna najel do online stavu mě vcelku děsí. V každém případě to nebude tak rychlé, jako přehození IP adresy v NATce.

hele to my vysvětlete. Píšete tu o multihomingu jak by to bylo dobrý ale zapomínáte v jádru na dvě věci. Za prvé, lidi nejsou pomalu ochotní platit jednu konektivitu natož dvě. A za druhé, neni to tak dávno co se tu vedla diskuze o tom jak BGP routery nestíhaji procházet obrovský routovací tabulky IPv6 protokolu a proto někteří propagujou pouze /48 a teď se chce aby se propagovaly i jednotlivý prefixy koncových zákazníků. To je na hlavu ne?

Jo ... je to na hlavu Ale ty tabulky nejsou tak velký jako u IPv4, ani zdaleka. 10381:421187. To je brnkačka a ještě dlouho bude.

Ten problém se spíš týkal starších HW boxů, kdy neunesou nárůst tabulek z poslední doby. Měli to tam zjevně jen aby se neřeklo. V linuxu je také default limit jen 4096 sítí ... dost jsem s tím strávil, neboť se to při překročení chová dost podivně

hapi píše:hele to my vysvětlete. Píšete tu o multihomingu jak by to bylo dobrý ale zapomínáte v jádru na dvě věci. Za prvé, lidi nejsou pomalu ochotní platit jednu konektivitu natož dvě. A za druhé, neni to tak dávno co se tu vedla diskuze o tom jak BGP routery nestíhaji procházet obrovský routovací tabulky IPv6 protokolu a proto někteří propagujou pouze /48 a teď se chce aby se propagovaly i jednotlivý prefixy koncových zákazníků. To je na hlavu ne?

Ale řeč je o těch, co dvě konektivity potřebují. A ať si torrentáří, voyáři, youtubáři a facebokáři tvrdí co chtějí, oni to nejsou ...

Já s dovolením vznesu dotaz.. Bavíme se tu většinou o ISP sítích = IPv6 pro end-usery. Ale mě zajímá, JAKÝM způsobem nasadit IPv6 v korporátní sféře? Popravdě, ještě jsem se tím detailně nezabýval, ale umí MK všechny featury na IPv6 jako na IPv4? Jakým způsobem se bude re-distribuovávat IP rozsah ve firemní sítí, když nyní se o to stará DHCP na Active Directory? A poslední připomínka = bezpečnost.
Nemám zájem přece část serverů, který jsou určeny JEN pro vnitropodnikovou síť (ale bude pojem VNITROpodniková síť stále platit, když budou mít všechny počítače IPv6 nativně=public IP?) vystavovat na public net.

Díky.

Zda MK umí na IPv6 vše co je potřeba je na delší diskusi. Ale odpověď je, že umí fakt jen základ. Vše okolo SLAAC, DHCP je v podstatě k ničemu. Nemluvě o tom, že pokud chceš Active directory, musíš se obrátit na microsoft ...

Jsi jeden z těch, co to mají zakořeněné v hlavě jako "složité" a nechce to ven. Mám obdobný problém. Firewall je firewall, tak jako u IPv4, stejně i pro IPv6 - bez toho se neobejdeš. A už je naprosto fuk, co to je za adresy - jenom zmizí NAT. Není problém napsat pravidlo, že tato adresa, tento segment smí ven, ale už ne dovnitř. To je princip stavového firewallu. Trochu s tím cvičí ty "privacy extensions" (každou chvilku je adresa jiná), ale to jde vypnout. A na linuxu to je vypnuté defaultně.

A u IPv6 je jedno takové pravidlo, které není u IPv4 úplně obvyklé. Každé rozhraní má několik adres. A z toho globálních je vcelku fuk, kolik jich je. A existuje i private segment (obdobně jako 192.168.x.x u ipv4 atp), který prostě na gateway řízneš pro jistotu celý. A zvnitřku sítě budeš používat ten. Stejně bez DNS to není moc použitelný.

Pokud je síť plochá, jen switchovaná, můžeš používat i link-local adresy, ty nejsou routovatelné.

sub_zero píše:Já s dovolením vznesu dotaz.. Bavíme se tu většinou o ISP sítích = IPv6 pro end-usery. Ale mě zajímá, JAKÝM způsobem nasadit IPv6 v korporátní sféře? Popravdě, ještě jsem se tím detailně nezabýval, ale umí MK všechny featury na IPv6 jako na IPv4? Jakým způsobem se bude re-distribuovávat IP rozsah ve firemní sítí, když nyní se o to stará DHCP na Active Directory? A poslední připomínka = bezpečnost.
Nemám zájem přece část serverů, který jsou určeny JEN pro vnitropodnikovou síť (ale bude pojem VNITROpodniková síť stále platit, když budou mít všechny počítače IPv6 nativně=public IP?) vystavovat na public net.

Díky.

V každém případě pro korporátní sféru je to naopak o dost jednodušší, než pro ISP (zvlášť menší). Už jenom proto, že máš i stanice pod svou kontrolou.

Já se tedy přikláním jednoznačně k názoru, že IPv6 není ideální cesta ! k čemu je mít všechen HW public, proč mít domácí síť public ? mě vyhovuje mít schovaný ty moje 4 počítače za jedním routerem. !
Je třeba si uvědomit jednu zásadní věc ! a to je ta že IPv6 v návrhu jaký známe ( aby každé zařízení mělo svojí public IP) je pouze cesta a myšlenka nad 100% dohledem nad tím co kdo na internetu dělá, je to o to snáze dohledatelné, zneužitelné a obecně já jsem proti takovému dohledu a kontrole provozu internetu. ! přeberte si to jak chcete, ale já se rozhodně budu IPv6 bránit tak dlouho jak to jen půjde (ideálně do té doby než někdo vymyslí a udělá NAT pro IPv6.