Vlákno názorů k článku IPv6: nechtěné dítě (pomalu) přichází od TP - Ono vždy záleží na způsobu výroby statistiky. Počet...
-
TP (neregistrovaný)
Ono vždy záleží na způsobu výroby statistiky. Počet klientů podporujících IPv4+IPv6 je jedna věc, ale například například AMS-IX (https://ams-ix.net/technical/statistics/sflow-stats/ipv6-traffic) - průměr 3.533 Tb/s z toho IPv6 50,2 Gb/s, takže se stále motáme kolem 1,4%. Po takřka 22 letech zavádění nikterak oslnivý výsledek.
Kritika IPv6 je tedy více než na místě. Jakákoliv diskuse a posun je ale docela obtížný pakliže je na IPv6 nahlíženo jako na nedotknutelnou, posvátnou krávu o které je přijatelné hovořit výhradně v pozitivních konotacích.
-
JD (neregistrovaný)
Technicke problemy ze v IPv6 nejsou? Ani nahodou. Klasicky pripad je DHCPv6, ktere neposkytuje adresy DNS resloveru. Takze v kontrolovane siti mate problem navic, jak zajistit, ze klient nepouziva podvrzenou DNS.
Nebo IPv6 pozaduje jako povinnou soucast IPSEC. To neni vec jednoducha z zadneho pohledu. Napriklad pro embedded zarizeni pro ktere je IPv6 pry jednodussi je to primo nocni mura. Krome toho komplikuje doprednou i zpetnou kompatibilitu, protoze siforvani se neustale meni a co se pouziva dnes je zitra zastarale a pozitri to protistrana odmitne. (SHA1 jako priklad) -
j (neregistrovaný)
WTF???
1) DNS umi posilat RA (widle to neumi prijimat)
2) DNS samozrejme posila dhcpv6 (coz je jedinej zpusob, jak to poslat widlim, bez instalace appek tretich stran)
3) IPSEC uz par let povinou soucasti ipv6 neni (bohuzel). Kdyby byl, nemusely by se resit chujoviny na tema jak zasifrujem dns ... -
JD (neregistrovaný)
Tak to, ze IPSEC uz neni povinny jsem prehledl. Alespon ze tuhle blbost vyradily. Problem s IPSEC je ten, ze zadny stav neni finalni a neustale se vyvyji. Jsou zarizeni, ktere se planuji do provozu na desitky let s tim, ze aktualizace SW je vec prakticky nemozna z duvodu bezpecnosti a s tim souvisejicim schvalovanm, ktere trva i roky. Chapejte to tak, ze napriklad technologie v chemicke tovarne musi byt predevsim bezpecna z pohledu vybuchu a bezpecnosti lidi. Sitova bezpecnost se resi jinde nez na koncovem zarizeni, napriklad tim, ze je zarizeni je pripojene na oddelenou sit, nebo tim ze neni pripojene vubec nikam a rozhrani je tam jen pro diagnostiku pri udrzbe ve vypnutem rezimu.
-
Flasi (neregistrovaný)
To je úplně zcestná argumentace. Oddělení sítě zvýší bezpečenost o několik řádů.
Samozřejmě to nezajistí 100% bezpečnost a hrozí, že když tu síť provozuje někdo, kdo tomu moc nerozumí, tak nabyde pocitu falešného bezpečí - a ignoruje ostatní možné vektory útoku.Průmysl je plný historických sběrnic, které se spoléhají pouze na fyzické oddělení - a pokud byste zvedli zadek a překonali tu fyzickou bariéru a připojili se na médium, tak ovládnete dočasně cokoliv.
Ty továrny budou samozřejmě v budoucnu přecházet na různé sítě postavené na průmyslovém ethernetu a IPv4, takže IPv6 je pro ně hudba vzdálených let. Ale je potřeba si uvědomit, že i takové sítě existují - že jsou zařízení, která budou mít za úkol fungovat až desítky let. -
Ondřej CaletkaZlatý podporovatelKlasicky pripad je DHCPv6, ktere neposkytuje adresy DNS resloveru.
Nejspíš myslíte SLAAC, protože v DHCPv6 adresy DNS serverů bez problémů mohou být. A mohou být ostatně i v ohlášeních směrovačů.
Takze v kontrolovane siti mate problem navic, jak zajistit, ze klient nepouziva podvrzenou DNS.
Můžete to trochu rozvést? Zejména pak, jakým způsobem zajišťujete, že „klient nepoužívá podvrženou DNS“ u IPv4.
Nebo IPv6 pozaduje jako povinnou soucast IPSEC.
Tohle bylo už dávno změněno na mělo by. S IPSECem je to tedy stejné jako u IPv4. Jen díky end-to-end principu by měl být IPSEC na IPv6 použitelnější.
