Vlákno názorů k článku IPv6: nechtěné dítě (pomalu) přichází od NN - Jake "nechtěné dítě". Co to je do $%&4...

Co je na NDP horší než na ARP?

Nemusel. Ale NDP přináší oproti ARP zlepšení, sjednocuje několik různých protokolů s podobnou funkcí do jednoho protokolu, používá standardní IPv6 pakety. Stejně je potřeba IPv6 implementovat, tak proč se přitom zakonzervovat u zastaralých protokolů.

Proč u jedné dílčí věci zakonzervovat starý protokol a jiné podobné věci řešit jinak? K čemu by bylo dobré, že tady za 40 let budeme mít všechno na IPv6 a vedle toho bychom si udržovali jednu archiválii v podobě ARP?

Nezbytný není ani Internet. Nezbytný není ani IPv4 ani IPv6. Ovšem bylo výhodnější přejít na IPv4, protože se lidé poučili z chyb NCP a navrhli IPv4 lépe. Stejně tak je výhodné přejít na NDP, protože se autoři poučili z chyb ARP, IRDP a ICMP Redirect a navrhli NDP lépe. A je výhodné na to přejít právě při změně z IPv4 na IPv6, protože se stejně mění síťový stack, takže je lepší to udělat jednou než dvakrát. Dnes vám stačí rozlišit, zda zařízení umí IPv4 nebo IPv6. Představte si, že byste místo toho musel rozlišovat, zda zařízení umí IPv4 s ARP, IPv4 s NDP, IPv6 s ARP nebo IPv6 s NDP.
Vaše námitky by byly pochopitelné, kdybyste uvedl nějaký příklad, v čem je NDP horší než ARP+IRDP+ICMP Redirect. Ale vy jen obhajujete, že staré je lepší, i když má horší vlastnosti. Já vám ten názor neberu, ale pak byste se měl vrátit k doručování pomocí poštovních holubů a nepoužívat takové zbyteční modernosti jako IPv4.

„internet“ se nijak netváří, „internet“ je médium, které se nemůže nijak projevovat. Nijak se netváří ani „Internet“, protože je to jen propojení mnoha různých sítí. Dodavatelé různých síťových řešení dodávají implementace IPv6 s implementací protokolu NDP. Žádný „internet“ je k tomu nenutí – nevím, jak byste si vůbec takové nucení představoval. A nevím, co by podle vás bylo demokratičtější, než že si to každý může udělat, jak chce. Nic vám nebrání dodat na trh router nebo vytvořil modul do linuxového jádra, který bude pro objevování IPv6 sousedů používat ARP.

Pro to, abyste se dokázal připojit k Internetu, musíte používat protokoly IPv4 nebo IPv6. Jak si zařídíte komunikaci ve vaší vlastní síti, do toho vám nikdo nekecá, udělejte si to, jak chcete. Nikdo vás nenutí používat tam NDP, klidně se tam používejte ARP nebo si adresy sousedů udržujte ručně.

NDP versus ARP je možná špatný příklad, ale obecně mám u rodiny protokolů, které přicházejí s IPv6 pocit, že budeme opakovat dvacet let ladění protokolů vůči vektorům útoku, které jsou nové a nebo vektorům útoku, které jsou v IPv4 známé, a v IPv6 mají dokonce podobné teoretické řešení. Akorát v praxi se na to výrobce bezpochyby vykašle. Stejně tak tu někdo zmiňuje, že NDP nebude umožňovat nějaké "antipaterny". IMHO měli lidé pro ty antipaterny nějaký důvod. Vždyť správně nastavit a spravovat to je složitější, než standardní řešení. A ty důvody s IPv6 těžko pominou. Takže budeme znovu nacházet ohejbáky na věci, které v původním návrhu nejsou.
Neříkám, že není čas protokoly zmodernizovat. Jen z toho co jsem zaslechl mám pocit, že jde o revoluci a ne o evoluci. To je jako napsat program celý znovu a přitom se nedívat do zdrojového kódu toho původního. Tím se také poztrácí spousta vlastností, která byla do programu zavedena během jeho ostrého provozu, ale chybí jim někde zaznamenané zadání, jako k čemu ta vlastnost byla užitečná. Tak se nám nedivte, že chceme vědět, zda ten nový protokol bude zaručeně lepší. Protože kolem starého vznikla nějaká "kultura", know-how (v podobě různých utilit), a to bude zahozeno, nebo se bude muset "přeložit" pro ipv6.

Lidé pro ty antipatterny měli nějaký důvod – nedostatky IPv4. Spousta z nich je v IPv6 vyřešená. Ovšem ne tak, jak by si někteří představovali – tedy že by se vzal ten hack z IPv4 a na něj narouboval další hack v IPv6. Ale je to vyřešené čistě od začátku. Takže dotyčný administrátor musí zapomenout, jak to ohackoval v IPv4, musí si nastudovat IPv6, nadefinovat si, v čem je vlastně problém, a pak to vyřešit s prostředky, které IPv6 nabízí. V drtivé většině případů je to možné a vede to k daleko lepšímu řešení, než v IPv4 – ale vyžaduje to od administrátora nějakou práci. Když to přirovnáváte k psaní programu od začátku – je to, jako kdyby se napsal celý program znovu, přitom by se vzaly všechny známé hacky původního programu a nový program by se implementoval tak, aby ty hacky už nebyly potřeba. Jenže pak k tomu přijdou uživatelé a začnou se shánět po svých haccích, místo aby si zjistili, jak mají daný problém řešit pomocí možností nového programu.

> přitom by se vzaly všechny známé hacky původního programu

Ze skušenosti je reimplementátorům známá jen část hacků původního programu. Druhá část je pro poptavatele samozřejmost, protože už dávno zapoměli, že se to někdy řešilo, a implementátoři to pak nemají jak zjistit. Co se týče antipatternů..., Jak souvisí výše zmíněný antipattern dvou defaultních gatewayí s délkou/počtem adres v protokolu? Já předpokládám, že spíš někdo chtěl aby na sebe nějaká zařízení viděla přímo (třeba proto, že spolu mluví i jiným protokolem, než IP), ale zároveň chtěl, aby každé dostalo jinou výchozí bránu (pokud možno bez manuální konfigurace těch zařízení).

Když píšete o dvou výchozích bránách, píšete o tom hacku. Jak jsem psal, v takovém případě je potřeba nejdřív si uvědomit, jaký je vlastně ten problém, který se tím hackem řešil – a pak ten problém vyřešit pomocí prostředků, které jsou dostupné.

Jak je to s délkou adres protokolu už jsem vysvětloval. Nedává smysl všechen hardware a software předělávat teď kvůli IPv6, za dalších 10 let kvůli NDP, pak kvůli bezestavové konfiguraci. Když už se ta změna dělá, je dobré to udělat všechno najednou. Tedy je rozumné s přechodem na IPv6 vyřešit i ostatní známé problémy a navrhnout nové protokoly tam, kde ty staré mají nějaké nedostatky. To, že přechod z IPv4 na IPv6 bude problematický, bylo od začátku jasné, tak je lepší takový přechod udělat jednou a ne každých deset let. Ostatně, kdyby to bylo takhle rozdělené, bude penetrace IPv6 ještě nižší, protože by si spousta správců řekla, že zatím nebudou IPv6 nasazovat a počkají, až bude i RA a NDP.