Vlákno názorů k článku IPv6: nechtěné dítě (pomalu) přichází od IPv6 Hater:) - Dovolim si jednu poznamku, kterou jsem jeste na...
-
IPv6 Hater:) (neregistrovaný)
Dovolim si jednu poznamku, kterou jsem jeste na zadnem z IPv6 evangelizujicich for nevidel. Hlavni problem z pohledu ISP je (nebo alespon cca. pred rokem, kdy jsem IPv6 resil) ten, ze neni mozne vnutit pres DHCPv6 ani SLAAC default gateway jinou nez je primo iface daneho DHCP/SLAAC. Davno neni problem ani DNS, jak pro SLAAC tak DHCPv6, ale pokud se vam, ve jmenu autokonfigurace, nastavi jako gateway ip adresa DHCPv6 nebo RA serveru, tak s tim v prostredi ISP moc nepochodite, protoze pokud vam ma fungovat prefix delegation, tak potrebujete DHCPv6, ale zaroven potrebujete klientum poslat spravnou gw a ne adresu sveho DHCP serveru. Dalsi problem je DUUID, protoze ten se meni a neni to MAC, takze dalsi promenna, kdy musite myslet za koncaky, resp. hlidat/evidovat jejich DUUID. Je samozrejme pravda, ze pokud by ISP neresil, kdo ma co za prefix, tak to bude jakztakz fungovat at uz s SLAAC nebo DHCP, ale do toho se nikdo, kdo chce mit svoji sit trochu pod kontrolou proste nepusti, protoze to smrdi akorat pruserem a momentalne to 99% zakazniku proste neoceni. Pokud je situace u DHCPv6/SLAAC ohledne jine gw vyresena, tak se omlouvam za ot. Problem s DUUIDem kazdopadne trva a jen tak nezmizi. Staticky pridelovat a routovat IPv6 prefixy samozrejme lze, ale momentalne pridelovani ipv4:ipv6 podle zajmu uzivatelu vychazi, tak asi 5000:1. Coz asi uznate neni zrovna enormni zajem o IPv6. Krome poblaznenych studentu a adminu z VS o to vlastne nikdo zajem ve skutecnosti nema.
-
Ondřej CaletkaZlatý podporovatelVýchozí brána se v IPv6 nastavuje buď ručně, nebo na základě ohlášení směrovačů. Žádná jiná možnost není a vůbec to nesouvisí s SLAAC ani DHCPv6 – to jsou protokoly na přidělení IP adresy a případně dalších parametrů koncovému uzlu. Jako adresa brány se skutečně použije adresa směrovače, který ohlášení poslal, ale tak je to v pořádku a jinak to nedává smysl. Pokud chcete, aby zařízení používalo jinou výchozí bránu, musíte mu zajistit spojení s touto bránou a pokud to spojení existuje, pak tím spojením protečou ohlášky od té správné brány a nastaví se to samo správně.
DUID se mění, MAC adresy se taky mění. Kde je rozdíl? Jen je nepříjemné, když je potřeba kvůli souběhu IPv4 a IPv6 evidovat obojí – o důvod víc proč IPv4 z přístupové sítě vyhodit. Nebo si můžete pořídit takový hardware, který vám do DHCP zpráv (v4 i v6) při předávání bude přidávat identifikátor portu, po kterém zpráva přišla přidělování adres otočíte proti tomuto. Takhle to ostatně pokud vím dělají snad všichni velcí ISP.
-
IPv6 Hater:) (neregistrovaný)
Ale to je prave ten problem. Pokud chci mit sit zautomatizovanou natolik, ze dojde vzdy k prideleni stejneho prefixu konkretnimu zakaznikovi, musim evidovat DUUID a jit cestou DHCPv6. Jenze presvedcit paterni cisco, aby si informace o prefixu a DUUIDu bralo z externi db je problem, takze potrebujete externi DHCPv6, ktery je podstane flexibilnejsi. Tady ale narazime na problem s GW, protoze dostanete ip DHCP serveru. Chapu, ze z principu navrhu to neni nic proti nicemu, ale pokud potrebuju mit nad pridelovanim ip adres kontrolu a zaroven to mit navazano na system pro spravu zakazniku/siti, tak uz to problem je. Pritom by stacila moznost mit v DHCPv6 serveru moznost podsunout jinou GW.
Samozrejme muzete mit DHCPv6 pro PD a RA pro prideleni GW, ale taky musite mit router pro zakaznika, ktery to zvladne a ne kazdemu se chce dat za router misto 500,- Kc treba 2000,- Kc, atd. Taky ne kazdy zakazik ma na konci router. S cimz zase souvisi problem s DUUIDem.
Protoze MAC, narozdil od DUUID, se vam nezmeni jen pri prebootovani do jineho OS nebo preinstalaci systemu, takze tech problemu, kdy to budete muset vysvetli zakaznikovi je tam vicero.
Btw. pokud vite o cisco switchi s podporou IPv6, ktery umi predavani identifikatoru o portu, aspon se dvema 1G/10G SFP/SFP+ porty v cene do 5K/10K ,- Kc, tak sem s nim. Samozrejme muze byt necisco, ale zase by mel umet rapid-pvst s pathcost method long.
Proste prestoze to vypada jako peace of cake, tak tech cernych petru tam par je a z pohledu koncoveho zakaznika, ktery dostane svoji /56 videt nejsou.
Nerikam, ze vsechny tyto problemy nejde nejak obejit/vyresit, ale za stavu, kdy o IPv6 projevi zajem jeden zakaznik rocne se to proste nevyplati.
-
Ondřej CaletkaZlatý podporovatel
Pokud chci mit sit zautomatizovanou natolik, ze dojde vzdy k prideleni stejneho prefixu konkretnimu zakaznikovi, musim evidovat DUUID a jit cestou DHCPv6.
Nemusíte. Stačí přidělovat podle identifikátoru okruhu, který vám do DHCP zpráv vloží relay agent podle fyzického portu, na kterém je zákazník připojen.
Tady ale narazime na problem s GW, protoze dostanete ip DHCP serveru.
Ne, tak to vážně nefunguje. Adresu brány přiděluje brána samotná, DHCPv6 server jí vůbec přidělit neumí. Čili každé zařízení se dozví správnou adresu brány prostě jen tím, že ho k té správné bráně připojíte. Nijak jinak.
Pritom by stacila moznost mit v DHCPv6 serveru moznost podsunout jinou GW.
Viz výše, DHCPv6 neumí poskytnout vůbec žádnou bránu.
Samozrejme muzete mit DHCPv6 pro PD a RA pro prideleni GW, ale taky musite mit router pro zakaznika, ktery to zvladne a ne kazdemu se chce dat za router misto 500,- Kc treba 2000,- Kc, atd.
Tohle zvládne každý router, který umí IPv6, protože jinak to ani dělat nejde. Bez RA se router nemá jak dozvědět adresu brány a zbývá tak jenom ruční konfigurace.
Protoze MAC, narozdil od DUUID, se vam nezmeni jen pri prebootovani do jineho OS nebo preinstalaci systemu, takze tech problemu, kdy to budete muset vysvetli zakaznikovi je tam vicero.
DUID se vám zase nezmění, když se klient připojí jinou síťovou kartou ze stejného počítače. Navíc díky němu může DHCPv6 fungovat i po linkách, které žádné MAC adresy nemají, například PPP.
Btw. pokud vite o cisco switchi s podporou IPv6, ktery umi predavani identifikatoru o portu, aspon se dvema 1G/10G SFP/SFP+ porty v cene do 5K/10K ,- Kc, tak sem s nim. Samozrejme muze byt necisco, ale zase by mel umet rapid-pvst s pathcost method long
Na tohle je potřeba ptát se dodavatelů. Oni dodávají primárně to, o co mají zákazníci zájem. Když nebude zájem, nebude funkčnost. Existuje k tomu třeba hezký dokument RIPE-554, který shrnuje, jakým způsobem požadovat ICT vybavení, pokud chcete poptávat HW pro IPv6.
Nerikam, ze vsechny tyto problemy nejde nejak obejit/vyresit, ale za stavu, kdy o IPv6 projevi zajem jeden zakaznik rocne se to proste nevyplati.
Tak jistě. IPv6 by měl být zájem především ISP. Uživateli je to většinou naprosto ukradené.
-
hm (neregistrovaný)
Výchozí brána se v IPv6 nastavuje buď ručně, nebo na základě ohlášení směrovačů. Žádná jiná možnost není...
Tohle není vymyšleno příliš šťastně.
Vede to k tomu, že např. nelze nastavit rozdílnou výchozí bránu pro různé klienty v jedné síti. Všichni klienti jsou nastaveni stejně, což omezuje některé scénáře. V IPv6 třeba nelze určité klienty přesměrovat na jednu default gw a určité klienty na jinou, podle aktuální potřeby správce sítě. Přitom tento scénář se u IPv4 v některých situacích používá a nemožnost to samé udělat v IPv6 je pak problém.
Další problém je třeba nemožnost specifikovat globální IPv6 unicast adresu jako výchozí bránu. Opět je to limitace pro některé návrhy a požadavky klientů.
...
:(
-
Ondřej CaletkaZlatý podporovatel
Ano, koncepce směrování je navržena tak, aby bránila používání anti-vzorů, jakým je například sdílení stejného spojového (L2) segmentu pro více nezávislých sítí – což je totéž jako nastavovat rozdílnou výchozí bránu pro různé klienty v jedné síti. Není k tomu žádný důvod, zbytečně se tím snižuje bezpečnost, neboť na spojové vrstvě obvykle nedochází k žádné autentizaci.
-
Ondřej CaletkaZlatý podporovatel
Je spousta věcí, které se běžně používají a přitom to je anti-vzor. Možná zkuste trošku rozvést, proč byste mohl potřebovat, aby v rámci jednoho segmentu používaly různé stanice různou bránu.
A mimochodem, globální adresu výchozí brány můžete nastavit jenom ručně. Vzhledem k tomu, že brána musí být přímo dostupná na segmentu, stačí (a autokonfigurace tak funguje) použít vždy jen Link-Local adresu.
-
hm (neregistrovaný)
proč byste mohl potřebovat, aby v rámci jednoho segmentu používaly různé stanice různou bránu
Už jsem psal v předchozím příspěvku - load balancing.
globální adresu výchozí brány můžete nastavit jenom ručně
Mno však ano - právě proto ten předchozí povzdech, že je naprd, že to nejde. Dost zbytečné omezení protokolu.
-
Filip JirsákStříbrný podporovatelS IPv6 můžete load balancing udělat snadno – IPv6 od začátku počítá s tím, že v síti bude několik směrovačů. Naopak s IPv6 s tím máte automaticky vyřešenou i zálohu, protože každý směrovač se ohlašuje sám, nemáte tedy v síti nějaký centrální bod, při jehož výpadku přestane vše fungovat.
-
j (neregistrovaný)
"Už jsem psal v předchozím příspěvku - load balancing."
Takze dalsi ukazka toho, ze netusis jak IP (nejen v6) funguje ... kdyz bude v siti vic GW se stejnou prioritou, tak se bude provoz rozkladat sam. Pricemz bych vazne chtel videt ten jeden segment s desitkama tisic stroju, aby to melo nejaky smysl.
-
j (neregistrovaný)
Viz OC, navic neni problem mit v siti smerovacu vic, kazdej muze mit dokonce svoji prioritu, a kdyz nejaky z nich umre, tak se vse naprosto prirozene a samo posle pres ty ostatni. Narozdil od IPv4 jde je treba resit vsemozne zhuverilosti - napriklad klinetovi odpojit port, aby si poslal novy dhcp req a dostal novou gw.
BTW: Podle MAC si muzu dovolit pridelovat adresy tak maximalne v siti, kde mam vyhradne vlastni HW.
-
Sob (neregistrovaný)
Je mi jasny, ze me ostatni zakaznici prehlasujou. Protoze kdyz doted stacilo najit na domacim routeru spravnou diru na vrazeni kabelu, proc najednou zavadet nejaky "komplikovany" nastavovani. Ja to chapu. Ani DHCP neni nutne problem, pokud ISP dokaze garantovat, ze prefix zustane stejnej. Ale prece jenom staticka konfigurace by ho motivovala urcite vic, aby do toho fakt nehrabal. A ja opravdu nechci adresy, ktery budou sice verejny, ale teoreticky se muzou petkrat denne zmenit.
