Vlákno názorů k článku IPv6 – nechtěné dítě? od administratorsite1 - Podle mě je důvod pro odmítání IPv6 strašně...
-
Petr M (neregistrovaný)
Jenomže na to je tam řada autokonfiguračních mechanismů. IPv6 jsem psal ručně 3x. 2x konfigurace tunelu, jednou lokální prefix sítě. IPv4 píšu tak 4x denně...
Navíc ta "jednoduchá" IPv4 vznikla v době, kdy internet řadu věcí neuměl a řada věcí byla možná ve Sci-Fi.
Při vzniku IPv4 se třeba nepočítalo se streamováním videa. Prostě se přenese mail (pokaždý jiný = jiný spojení se serverem), nebo si někdo vyžádá www stránku s textem (těch pár kB se pošle znovu, nebylo jak sdílet lajnu k modemu). Výsledek? Dneska video server vyprodukuje třeba 1,5Mbps stream, přihlásí se 100 klientů, bum, máme 150Mbps s tím, že u přímýho přenosu každý paket jede ve 100 kopiích... V IPv6 to řeší MLD a PIM, v IPv4 partneři se servery ve víc datacentrech po cestě ($$$) a/nebo vyšší kapacita linek a výkonnější routery ($$$).
Taky v době, kdy účastník byla na 99,99% krabice 20+kg bez CRT monitoru se vůbec nepočítalo s mobilitou, sdílení vědeckých prací bez utajení nepožadovalo šifrování, QoS se dodělávalo za běhu,... Dalo by se hodně dlouho pokračovat.
-
Ondřej CaletkaZlatý podporovatelTohle je častý nářek, ale většinou lichý. Moje adresa vypadá třeba
2001:db8:1:2::145. Opravdu vám to připadá o tolik složitější, než adresa192.0.2.145?Samozřejmě, existují i ošklivé dlouhé adresy, ale takové se téměř nikdy nikam ručně nepíšou, ty prostě samy vzniknou. IPv6 navíc umožňuje sítě v podstatě neomezeně segmentovat, takže třeba i firewallová pravidla by měla vždy reflektovat celou podsíť (tu hezčí levou půlku adresy), nikoli konkrétní adresu. To je ostatně dobré i z hlediska bezpečnosti, nemíchat v jedné podsíti stanice s různými oprávněními – tím se eliminuje riziko získání práv odcizením adresy souseda.
Problém je, že tohle se těžko kombinuje s IPv4 v podobě dual-stacku. Proto je lepší nové sítě navrhovat IPv6-only a IPv4 řešit pouze jako službu nad IPv6.
-
MP (neregistrovaný)
Firewallova pravidla, do kterych si napisete jen tu hezkou levou pulku. Mnoho serveru ma silne omezeny zpusob pripojeni.
Nebo databaze. Prijde zadost od zakaznika pro povoleni konkretniho uzivatele na konkretni db z konkretni IP. Budete kvuli tomu povolovat cely segment, aby jste nemusel nikam psat tu osklivou dlouhou adresu?
A co kdyz bude mit zapnute privacy extension? -
Petr M (neregistrovaný)
- Možnost mít několik IPv6 na stroji
- Možnost si udělat lokální "internet" na fc::/7 a mít tam klidně miliardu /64 sítí na podobný věci, veřejně jde jenom front end.
- PE neřeš, stroj má tak jako tak stabilní generickou adresu, PE se používá jenom ne přístup ven, ne dovnitř.
- Autorizace se snad i dneska standardně řeší jinak, než filtrací IP adres. Nebo teď to snad je tak, že se přístup řeší pomocí filtrace IPv4 a krom Franty Vomáčky z horní dolní pustíš ještě půl jeho okresu za stejným NATem? -
j (neregistrovaný)
Dalsi co netusi jak vubec sit funguje ....
Jakou IP ma ten uzasnej zakaznik DNESKA? Olala ... ZADNOU. Respektive za tou jeho "jednou" IP, kterou nekam namastis je asi tak tisicovka nebo taky deset tisicovek dalsich lidi. Takze se prave povolil pristup polovine statu.
Narozdil od toho v ipv6 povolim tu JEDNU /56 (napriklad) a vim, ze to je rozsah JEDNOHO subjektu. A privacy ext me nijak nedojmou.
-
Ondřej CaletkaZlatý podporovatel
Firewallova pravidla, do kterych si napisete jen tu hezkou levou pulku.
Ještě jsem neviděl firewall, kde by se pravidla nezadávala jako kombinace adresa/délka prefixu.
Nebo databaze.
S jinými nemám zkušenosti, ale MySQL/MariaDB umí žolíkový znak % i v IP adrese, takže stačí napsat
2001:db8:1:2:%.Prijde zadost od zakaznika pro povoleni konkretniho uzivatele na konkretni db z konkretni IP.
Náš zákazník, náš pán. Když se někdo chce střílet do nohy, nebráníme mu. V tomhle případě adresu okopíruju a vložím, nikam nic nezapisuju.
A co kdyz bude mit zapnute privacy extension?
To je problém toho zákazníka, ne můj. Ale když mě bude každou půhodinu diktovat novou adresu k povolení, asi zasáhne ratelimit a pošlu ho do háje.
