Carrier-grade NAT = 100.64.0.0/10

[Majklik]

Tak už i máme přidělen speciální IP blok pro ISPíky, kteří nedávají veřejná IPčka koncákům, ale NATují je u sebe (aka CGN, LSN, NAT444 a další vyymyšlené názvy), což se asi týká nemalé části zde přítomnch.
Ve své přístupvé síti nemám používat IPčka dle RFC1918 (10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16) , ale k tomu určený blok 100.64.0.0/10, aby se předešlo kolizi IPček v případné síti koncového zakazníka. Už jsem i několikrát zažil, pokud zákoš je rozlehlejší firma a tuneluje si tuny prefixů v 10/8. U domácího koncáka, kde typický router jede 192.168.1.0/24 v LAN asi takový problém běně nenastane.
Viz RFC6598 (status Internet Best Current Practice).

[hapi]

a teď ještě jednou a česky protože nechápu proč bych měl ten rozsah začít používat když podle všeho to je defakto 192.168.0.0/16 a ještě k tomu ty aktuální nemám používat.

[Rudolf Dvořák]

No tak to by bylo super kdyby to delali vsichni. Dokaze me pekne nasrat kdyz u meho ispika mam pripojenej mikrotik a pustim si netwatch na nejakou ipadresu lokalni site nebo z vpnky a ono to pinga o uplne jinou ip adresu v jeho siti idealne ipadresu jineho klienta. Tak jako pravidlo do firewallu je jednoduche. Ale tohle by se mi zamlouvalo vice. Jendnou jsem se u klienta trefil jeho rozsham lokalnich 10.0.0.0/16 presne do ispikova rozsahu. A to je pak na posr*** protoze ISP menit nechtel a ja internet potreboval. (Jednalo se o zmenu ISP).

[Majklik]

Jak píše Ruda, cílem tohoto segmentu v síti ISP je zabránit kolizi se sítí koncové připojené sítě.
Zkrátka chceš připojit koncového zákazníka, dát mu IP 10.10.10.10/24 na WAN port jeho routeru a on se začne kroutit, že to je problém, protože má router na to, aby mu dělal tunel do firmy a na druhé straně tunelu má firemní servery na síti 10.10.10.0/24. A tohle se zkrátka stává.
A aby se tomu předešlo, tak se vyhradil ten segment 100.64... pro síť ISPíka a koncovým sítím zůstává to 10..., 172.16... a 192.168.... Jiný důvod to nemá.

[soooc]

Az bude nekdo říkat, že je IPv4 adres málo, tak mu připomenu tyhle ptákoviny

Jinam mě dojalo, že dle tohohle seznamu http://www.iana.org/assignments/ipv4-ad ... .xml#note3 má UK ministerstvo obrany celé /8 ... no jo a pak kde ty adresy jsou. Další /8 má Ford

[hapi]

10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16

máme 3x na výběr a musela se udělat 4 možnost? až se to zavede všude tak zase bude problem.

[soooc]

Tak už i máme přidělen speciální IP blok pro ISPíky, kteří nedávají veřejná IPčka koncákům, ale NATují je u sebe (aka CGN, LSN, NAT444 a další vyymyšlené názvy), což se asi týká nemalé části zde přítomnch.
Ve své přístupvé síti nemám používat IPčka dle RFC1918 (10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16) , ale k tomu určený blok 100.64.0.0/10, aby se předešlo kolizi IPček v případné síti koncového zakazníka. Už jsem i několikrát zažil, pokud zákoš je rozlehlejší firma a tuneluje si tuny prefixů v 10/8. U domácího koncáka, kde typický router jede 192.168.1.0/24 v LAN asi takový problém běně nenastane.
Viz RFC6598 (status Internet Best Current Practice).

Řešili jsme stejný problém mockrát, vždy se to vyřešilo hravě přidělením veřejné na rozhraní a nebo šikovnou přeadresací/NAT pravidlem

[Majklik]

Az bude nekdo říkat, že je IPv4 adres málo, tak mu připomenu tyhle ptákoviny

Jinam mě dojalo, že dle tohohle seznamu http://www.iana.org/assignments/ipv4-ad ... .xml#note3 má UK ministerstvo obrany celé /8 ... no jo a pak kde ty adresy jsou. Další /8 má Ford

To je dáno historicky z dob, kdy se nebyl classless routing. Velké firmy dostaly blok, který odpovídá /8 masce, menší dostaly ekvivalent /16 a případně /24, zkrátka adresy třídy A, B, C. A vzhledem k tomu, že není princip odebrání, tak jim to zůstává..

10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16

máme 3x na výběr a musela se udělat 4 možnost? až se to zavede všude tak zase bude problem.

Blbé je, pokud ISPík bude mít použit 10/8, zákazník navázaně na svoji firmu 10/8 a budeš tu kolizi řešit jak? Někdo bude muset uhnout a občas to není jendoduché. Provozuji síť, která má pár set VPN konců, takže vím, jak se blbě občas trefuje.
Pokud historicky ty 3 bloky byly určeny pro privátní koncové sítě, tak jim to zůstává, ISPíkům se vyhradil nový 100.64... segment, který nemají zase používat koncové sítě. Kolizi samozřejmě na 100% nevyloučíš, ale tento princip eliminuje kolizi mezí sítí ISP a zákazník. Vždy se najde pako, které si nastaví IPčka jaká chce, znám jendoho ISP, který má síť postavenou na segmentu 192.0.0.0/8 a neřeší vůbec, že tam je pár pěkných kolizí...
Ale pravda, pokud by všichni ISP to používali, tka budu řešit jiný problém, že mám řadu bodů připojeno duálně až čtyřnásobně, takže zase hrozí, že budu mít konflikt na routeru těchto 4 sítí ISP.
Z podobných kolizních důvodu v podstatě zrušili site local adresy v IPv6 (FEC0::/10) a nehradili je pomocí unique local adres (ULA - FC00::/7), kde máš v RFC4193 doporučený algoritmus volby dalších 40 bitů prefixu tak, že výsledný prefix /48 je sestaven tak, aby byla maximální šance, že nedojde ke kolizi, kdyby se v budoucnu náhodou musely některé sítě používající ULA propojit.

[Majklik]

Řešili jsme stejný problém mockrát, vždy se to vyřešilo hravě přidělením veřejné na rozhraní a nebo šikovnou přeadresací/NAT pravidlem

Jo, dokud máš veřejky, co můžeš dávat lidem, tak tenhle problém tě netrápí.

[hapi]

takže další důvod přejít na IPv6 že?

[Rudolf Dvořák]

Ano hapi, už konečně přejít na IPv6, ale dost lidí na to pořád kašle. A už se tady řešil ten problém s tim, aby "ISP", kteří nejsou reální ISP měli dost adres, aby bylo pro všechny dost.

Jinak tohle je super věc tento rozsah, ale řekněte kdo ho bude opravdu používat. Řekl bych, že víc jak polovina ne.

Ano pokud mam na firme konekt od firmy kde mam vsechno komplet na verejnych IP, tak neni treba resit nejaky lokalni subnet. Ten je volny vzdy.

/edit: coz je uplne super pokud mi ISP da nejakou IP adresu z /30 rozsahu. Idealne, jeho vlastniho, tedy ne lokalniho. Ted muze pouzivat vyse zmineny.

[hapi]

takže to mám chápat tak že 100.64.0.0/10 je vyhrazen defakto pro neveřejnej transport uvnitř sítě a na konce tedy userům dávat klasiky?

[Rudolf Dvořák]

takže to mám chápat tak že 100.64.0.0/10 je vyhrazen defakto pro neveřejnej transport uvnitř sítě a na konce tedy userům dávat klasiky?

Tak to nevim ale podle mě je to na transport + userum na je jijch domaci routery, kde nemaj verejnou IP. Ale to RFCko jsem necetl. To musi rict nekdo jinej.

[Majklik]

Ten segment je určen k tomu, že pokud zákazníkům nedávám veřejné adresy na WAN stranu jejich routerů, tak mám dávat IPčka z toho rozsaho 100.64.0.0/10. Stejně tak, pokud mám nějaké prostředky ve své sítí dostupné zákazníkům, které nejsou na veřwjnýh IPčkách (DNS servery, SMTP, ...), tak by mly mít IPčko z tohoto rozsahu.
zkrátka je to za účelem, aby se předešlo kolizi s neveřejnými IPčkami dle toho RFC1918.
Tohle RFC z pohledu Česka přišlo trochu pozdě, protože většina malých ISP NATuje provoz zákazníků na bráně už leta, ve světě je to zcela ojedinělé případy a teprve teď, s docházením IPv4 adres budou ISPíci tlčeni něco tkaového používat víc, tak byl určen tento segment pro bránění kolizí sítě ISP a koncového klienta.
Je mi jasníé, že kdo má natahánu 10/8 po poůlce okresu, toa si předělávat nebude, ale může se inspirovat pro nové loklaity.
Pokud mám nasysleny tuny veřejných IPček, každý zakazník má svoji a servery dostupné pro ně mají tkaé svoji veřejnou IP, tak mi tenot segment nic neřeší do doby, než mi dojdou a budu muset šáhnout po CGN.