Vlákno názorů k článku IPv6 používá 30 % uživatelů, automatickým tunelům zvoní hrana od Smazaný profil - v tom shrnutí adresního plánování se možná měl...
-
Vy jste to v popsal. Jen se ISP nedivím. Oni totiž mají hned několik problémů, zůstaňme prosím jen u koncových domácích zákazníků. První z nich je správa databáze IPv6 adres, jinými slovy, do téhle chvíle platilo "pravidlo" 1 zákazník = 1 IP adresa, nyní ale platí v horším případě 1 zákazník = /64 . Na jiné řešení většinou ISP nejsou připraveni a není to tak jednoduché, zvláště automatizovat celý tento proces. Druhý problém, který řeší je ten, že zákazník chce internet, neboli seznam, facebook, youtube a většina koncových zařízení, neboli lacinná čína, na IPv6 není připravena. Koupíte v prvním obchodě router, zapojíte do zásuvky, WAN k ISP a internet funguje (že v pozadí je DHCP a NAT nemusíte vůbec tušit). To ale u IPv6 neplatí, je nutná trochu rozsháhlejší technická znalost. Část čínských výrobců implementuje IPv6 navíc podivně. Proto ostatně, třeba na přednáškách zmiňovaná Poda, podporuje jen své koncové zařízení, IPv6 nastaví vzdáleně a zákazník dostane "internet". Je asi dobré na problematiku nepohlížet očima sociální bubliny okolo root.cz , protože zde jsou většinou v oboru technicky zdatní lidé, ISP se pohybují ve zcela jiných vodách.
-
BobTheBuilderStříbrný podporovatelA jaký je rozdíl mezi "1 zákazník = /64" (VDSL O2) a "1 zákazník = /56" (VDSL T-Mobile)?
Koncová zařízení (VDSL) na IPv6 připravená jsou, UPC dává své modemy, které IPv6 mají cca 2 roky (jakkoli to má debilní firmware).
S VDSL nebo UPC to funguje stejně - zapojíte, zapnete a máte IPv6 (a IPv4 přes CGNAT - a u T-Mobile možná i veřejnou IPv4). O ničem nevíte, IPv6 máte. Jaká rozsáhlejší technická znalost se od mně, jakožto koncáka, čeká? -
Adam KaliszStříbrný podporovatelV podstatě by to mohlo být i /60, když už chtějí šetřit. Pro absolutní většinu uživatelů je to víc než dost. Však tu /56 můžou rezervovat (a třeba na vyžádání rovnou i přidělit), ale standardně přidělit jen /60...
-
Ondřej CaletkaZlatý podporovatelMá nějaký smysl rezervovat větší blok a pak jej celý přidělit jen na požádání?
Snad jen, že během té vyřizování té žádosti můžeš zkoušet zákazníka přesvědčit, aby si koupil i lepší IPTV, IP telefon a výhodnější mobilní tarif. Jinak je to jen promarněný čas technické podpory a vyvíjení systémů, které budou výjimky spravovat.
13. 6. 2019, 10:28 editováno autorem komentáře
-
Ondřej CaletkaZlatý podporovatel
Jsou-li adresy alokované, jsou už vyplýtvané. Jejich skutečným přidělením se nic dalšího nevyplýtvá.
-
Adam KaliszStříbrný podporovatel
Nevím, nejsem v situaci, kdy bych buď a) IPv6 spravoval nebo b) byl v takovém případě nějak tlačen do opatrnosti v přidělování podsítí.
Myslím si ale, že ta myšlenka má určitou výhodu. Požadavků na rozšíření z /60 na /56 by bylo asi tak stejně, jako aktuálně požadavků na implementaci IPv6 nebo technické výtky v tomto ohledu, tedy něco, co se v technické podpoře jinak ztratí.
Výhoda by byla, že do budoucna by vždy byla flexibilita příděl zvětšit a nebo rezervovaný blok vyplnit /60 sítěmi bez přečíslování.
Taky je otázka, jak ISP svoje uživatele spravuje, jestli IP adresy v případě stěhování putují s uživatelem (a jsou tedy podobně jako např. telefonní číslo svázané s uživatelem) nebo jestli jsou IP adresy svázány s číslem okruhu (circuit ID nebo tak) a jsou na rozdíl od telefonního čísla do určité míry svázané s lokalitou. -
Ondřej CaletkaZlatý podporovatel
Výhoda by byla, že do budoucna by vždy byla flexibilita příděl zvětšit a nebo rezervovaný blok vyplnit /60 sítěmi bez přečíslování.
Tahle výhoda ovšem padne, bude-li ve skupině byť jen jediný zákazník, který si příděl nechá rozšířit. Vznikne z toho nestandardní situace, která bude vyžadovat větší pozornost a může být zdrojem chyb.Pro rezidentní zákazníky se dlouhodobá stálost adres zpravidla negarantuje. Pro ISP se proto vyplatí spíše dávat stejné kategorie zákazníků těsně k sobě a případné rozšíření adresního prostoru řešit přesunutím zákazníka do jiné skupiny. Mnohem jednodušší je ale to prostě neřešit a nechat všem dostatečně velký prostor. Což /60 není, přinejmenším do doby, než se stane běžným protokol Homenet. Do té doby si zřetězené routery ukrajují striktně hierarchicky, a tím se /60 vyčerpá velmi velmi rychle.
Nehledě na to, že uživatelé trpí potichu. Spousta zákazníků, než by se doprošovala o rozšíření přídělu, byť by to bylo zdarma, bude radši vymýšlet, jak omezení obejít pomocí NAT66 nebo třeba ProxyNDP.
-
Adam KaliszStříbrný podporovatel
Myslím, že jádrem diskuze je, že /64 je prostě nedostačující už i pro relativně jednoduché případy. Můj argument, který je jistě kompromisem je, že většině i technických rezidentních zákazníků by i /60 stačilo a ISP může příděl /60 + rezervaci /56 vidět jako určitý mezikrok, který mu pořád ještě umožňuje u menšího přídělu zůstat.
Všichni se můžeme shodnout, že /56 je asi rozumný příděl, který je v současném stavu rozhodně nasaditelný a dlouhodobě udržitelný. /48 je pro koncové zákazníky asi přeci jen moc. /64 je zase příliš málo a podporuje tvorbu rovnáků na ohýbáků. /60 je asi nejmenší "šetřivý" příděl, který by mě osobně nenadchl, ale upřímně ani neomezoval.
-
Na jedné vesnici, v rodinným domě, žila byla spokojená rodinka. Rodiče měli dva syny, Pepu a Karla. Mimo toho měli přípojku s IPv6 prefixem 2001:1234:5678:ab00::/56. Karel dělal do IT a mimo normální LAN a WiFi s prefixem 2001:1234:5678:ab00::/64 zařídil ještě kamery kolem baráku ve vlastní síti 2001:1234:5678:ab01::/64 a protože se našlo i pár IoT věcí a nechtěl i zavirovat síť, dal je do vlastní sítě 2001:1234:5678:ab02::/64.
Když byli kluci dospělí, zemřeli jim rodiče a zdědili dům na polovic. Dohodli se tak, že si dům rozpůlí, Karel bude v přízemí a Pepa si vezme patro. A že oba budou mít oddělený sítě, jenom pro návštěvy a mobily budou sdílet starou 2001:1234:5678:ab00::/64. Karel hbitě nastavil z hlavního routeru delegování prefixů na oba routery - na svůj 2001:1234:5678:ab80::/58 a Pepovi dal 2001:1234:5678:abc0::/58.
Karel si samozřejmě nechal vlastní "hlavní" síť 2001:1234:5678:ab80::/64 a IoT 2001:1234:5678:ab81::/64. Pak někdo přišel s geniálním systémem wearables, stojících na TCP/IP a gatewayi. Gateway udělá bridge pro až 16 osob, každé dá k dispozici vlastní síť /64. Takže tahle hračka požere prefix 2001:1234:5678:ab90::/60...
A jak to dopadlo?
2001:1234:5678:ab00::/56 od ISP
- 2001:1234:5678:ab00::/64 - WiFi pro návštěvy a v altánku
- 2001:1234:5678:ab01::/64 - Kamery
- 2001:1234:5678:ab80::/58 - Delegováno Karlovu routeru
-- 2001:1234:5678:ab80::/64 - Karlova LAN
-- 2001:1234:5678:ab81::/64 - Karlovy IoT
-- 2001:1234:5678:ab82::/64 - Karlovy pokusy v pracovně
-- 2001:1234:5678:ab90::/60 - osobní sítě v Karlově domácnosti
--- 2001:1234:5678:ab90::/64 - Karlovy hodinky, sluchátka, ...
--- 2001:1234:5678:ab91::/64 - Mániny (Karlova přátelkyně) osobní předměty
- 2001:1234:5678:abc0::/58 - Delegováno Pepovu routeru
-- 2001:1234:5678:abc0::/64 - Pepova LAN
-- 2001:1234:5678:abc1::/64 - Pepova IoTA těší se, že až se Karlovi a Máně narodí první svišť, dostane chůvičku s IP z rozsahu 2001:1234:5678:ab92::/64
Domácí úkol: Převyprávějte to s přídělem /64 od Kyslíkářů nebo s ubohou /60
-
to jde ale prece velice jednoduse, staci nahlednou pres pruhledne steny sve IT bubliny.... takze druha verze pohadky trochu vic z reality....
Karel ma male reznictvi a chtel mit doma internet protoze deti chteji koukat na youtube. Nechal si tedy domu zavest pripojku kterou mu technik zakoncil wifi routerem. K tomu od providera mimo jine dostal i prefix /64, coz ale vubec netusi, protoze ostatne ani netusi co to je IP adresa a je mu to tak nejak uplne jedno.
Za routerem si tedy vesele provozuje svou malou sit, pripojuje dalsi a dalsi zarizeni a ta sama od sebe funguji, staci vzdycky jen zadat jmeno a heslo k wifi. Mezitim se rodina rozsirila, pristehoval se k nim jeho bratr taky s rodinou a prestoze uz na sve male siti maji pripojene stovky zarizeni, porad vsechno funguje.
Vsichni jsou stastni a to ani netusi ze uz jim z prideleneho prefixu zbyva jen asi poslednich 18 miliard volnych adres na dalsi zarizeni.
Zazvonil zvonec a pohadky o tom ze koncak chce resit jaky dostal prefix je konec.
-
Karel jako koncák to řešit nechce, on ani neví o tom, že něco jako IP adresa existuje. Jeho děti Martin a Klára to také neřeší, zatím si vystačí s koukáním na YouTube. Ale Martina nebaví jen koukat na YouTube a vrtá se v počítačích více. Takže za rok za dva bude vědět, co je to IP adresa, síť a maska a zjistí, že jejich několik stovek zařízení v jedné síti není to pravé. Proto se rozhodne udělat podsítě, jenže neudělá, protože má k dispozici jen jednu síť. Bude to řešit s providerem a ten mu možná po roce dá za příplatek /56. A takových Martinů se začne providerovi ozývat postupně více a ten nebude řešit nic jiného, než změny prefixů u klientů. Přitom kdyby na začátku dával /56, bude moci energii věnovat třeba na vylepšování sítě a kvůli Martinovi (a jemu podobných) nebude muset ani hnout prstem.
-
Ondřej CaletkaZlatý podporovatel
Nejčastěji na nutnost podsítí lidi narazí v momentě, kdy si chtějí nějakou privátní službu nechat povolit jen pro svou IP adresu. Zjistí, že ve většině sítí s IPv6 něco takového dělat nejde jinak než rozdělením na podsítě a nebo manuální konfigurací. Což je tak nějak vlastně správně, protože drtivá většina L2 sítí stejně neobsahuje žádné zabezpečení proti nejrůznějším útokům.
-
To Gosoft:
Aky je rozdiel v sprave databaz medzi pravidlom 1zakaznik = 1IP a novym 1zakaznik = /64(/56)? Nevidim v tom nejaky strasny problem neevidovat v databaze u zakaznika pridelenu IPv4 adresu ale prideleny IPv6 rozsah. Nepripada mi to ako nadludska uloha a problem to zautomatizovat.
Za druhe nevidim problem ani v koncovych zariadeniach. Bud poskytujem vlastne zariadenie(co robi asi vecsina) alebo ak zakaznik chce pouzit vlastne zariadenie, tak s tym, ze nebude mat take garancie a mozne problemy. BFU v mojom okoli beru zariadenie od ISP(nevidel som este ani jedneho,ktory by si kupoval vlastne zariadenie. Netvrdim ale, ze taky niesu) a vlastne zariadenia chcu len ti technicky zdatny. -
Taky me to obcas napada, ale porad mi dava trosku vetsi smysl, ze v pripade malych ISP, kteri maji verejnych adres jen hrstku, je to opravdu regulacni mechanismus. Proste jich nemaji tolik, aby mohli dat kazdymu a priplatek zajisti, ze si ji poridi jen ten, kdo ji opravdu potrebuje. Pro ISP jsou to sice prachy za nic, ale opet, pokud maji verejnych adres hrstku, moc z toho nevytriskaji, tzn. nedava smysl, aby na tom nejak extra lpeli.
Trochu mi pak chybi vysvetleni, proc nenajdou trosku vic nadseni pro IPv6, ale ani to nebude moc slozity. IPv4 s NATem funguje (= vetsina zakazniku si nestezuje), ISP natoval odjakziva (= zadny velky skokovy naklady na CGNAT ho necekaji), na IPv6 se zeptaji dva zakaznici do roka (= "nikdo to nechce"), ... porad to stejny jako uz mnoho let.
-
1) IPv4 s NATem prostě nefunguje. Internet je síť sítí a má zajistit nativní přístup za zařízení A v síti X na zarízení B v síti Y. S NATem to "funguje" jen pokud A je konzument obsahu a B je veřejný zdroj obsahu (s veřejnou adresou). Proto každý, kdo chce prodávat "Internet", "Připojení k internetu" nebo si říkat "Internet Service Provider" by měl mít mechanismus, jak podmínku komunikace dvou zařízení v libovolných sítích splnit. Tou není NAT za CGNATem, ale v dnešní době výhradně IPv6.
2) Zákazníci si stěžujou. V okamžiku, kdy je online hra vykopne, protože jich hraje 20 z jedné IP adresy. V okamžiku, kdy se nemůžou dostat z venku na svůj počítač. V okamžiku, kdy některým z nich provozovatel vypne "prostředníka" v internetu a oni nedokážou ovládat mobilem topení v té samé místnosti...
3) NATuje se sice odjakživa, žeelzo mají, ale pokud firma roste, musí se posilovat. A pokud firewall bere 500W a NAT 5KW (úměrně toku, který přes něj jde), zapnutím IPv6 a penalizací IPv4 časem 10ms jde najednou po IPv4 jenom 20%, je z 4.5kW na 1.5kW. Neříkej, že to není lákavý.
4) ISPík má jistou povinnosti i k policii. S IPv4 musí evidovat, kdo, kdy a jakou adresu dostal, takže importovat DHCP CGNATu do CRM. S IPv6 prostě přidělí zákazníkovi prefix, v případě potřeby mrkne do tabulky, kdo má prefix předělený a je to odbyto. -
1) Pro 99 % BFU internet == web, a ten funguje.
2) Neznám žádného BFU co by chtěl "z venku" přistupovat ke svému počítači. V praxi je ani nenapadne, že by to mělo vůbec jít.
3) Budiž
4) Ani bych se nedivil, kdyby ISP naopak uživatelům přiděloval prefix dynamicky a to ještě tak, aby se opravdu každých 24 hodin změnil. Kdo chce prefix statický, ať si připlatí.
-
Filip JirsákStříbrný podporovatel„Nenapadne“ neznamená „nechtěl“. Myslíte, že lidé chtějí auta? Řekl bych, že ano. Ale dříve je také „nechtěli“, nenapadlo je to – chtěli rychlejší koně. Že lidé ve skutečnosti chtějí přistupovat z venku ke svému počítači jste sám napsal o kousek výš. Psal jste, že přenášejí soubory na flash disku. Zeptejte se jich, jestli by chtěli přenášet soubory z počítače na počítač stejně snadno, jako je přenášejí s flashky na počítač. že by soubor nekopírovali z jednoho počítače na flashku a z flashky na druhý počítač, ale zkopírovali by jej rovnou z prvního počítače na druhý. Samozřejmě, že by to chtěli. Ale chtěli by to, aby to fungovalo stejně jednoduše, jako s tou flashkou. Tedy žádné, že budou zjišťovat, jestli mají od ISP veřejnou IP adresu a konfigurovat NAT. Prostě jen v průzkumníku otevřou ten druhý počítač, stejně jako otvírají flashku.
-
Jenže aby v průzkumníku otevřelí ten druhý počítač, musí pro to být nakonfigurovaný. Což v defaultu není a z bezpečnostních důvodů nikdy nebude. A nastavit sdílení není v silách běžného BFU, respektive opět ani neví, že by to mělo jít.
Je potřeba vykouknout z ajťácké sociální bubliny, a podívat se na to optikou obyčejného, tupého uživatele, co je rád že PC vůbec zapne.
-
To je právě příklad, na kterém jde vidět, že stejně jako můžete mít Internet, nebo Internet, můžete taky mít IPv6, nebo IPv6, přičemž pokaždé je to kvalitativně něco jiného.
Otázkou je, zda jsou tyto paskvily či některé výmluvy obhajitelné, když např. zmiňovaný T-Mobile má IPv6 bez kompromisů (zde právě na příkladu O2 je vidět jev z 1. věty) a NEDISKUTUJE kolem toho. -
Adam KaliszStříbrný podporovatel
Můžete se prosím zmínit, kdo je Váš provider?
Na druhou stranu asi máte dual-stack... jinde nemají ani ten /92. Ta výmluva s routerem mi ale smrdí, protože pro router přeci musí být jednodušší routovat kratší prefix.
-
Ondřej CaletkaZlatý podporovatel
Možná to souvisí s kapacitou cache sousedů a náchylností k jejímu vyčerpání.
-
Adam KaliszStříbrný podporovatel
U routing-switchů, které používáme ve firmě jsem našel jen údaj o MAC address table size a to je 64k záznamů. Myslím, že to s tím nemá nic do činění a nedá se z toho odvodit, kolik ARP/ ND záznamů může maximálně koexistovat.
Mám takový hloupý pocit, že na switchi který má 2 GB RAM (Aruba 3810M, ne zrovna nový model) problém s velikostí tabulky nebude ani u velkého počtu připojených uživatelů i jejich zařízení.U IPv4 tohle řeší u providera NAT koncových zařízení, který schová vnitřní adresy za jednu veřejnou. U IPv6 by tohle mohl řešit prefix-delegation? Nemám představu, ale určitě by bylo zajímavé zjistit, jestli to může být problém... třeba se dozvíme 4. června 2020
-
Ondřej CaletkaZlatý podporovatel
MAC address table size je parametr pro L2 switch. Velikost tabulky sousedů je spíš záležitost routeru, potažmo L3 switche (což je vlastně totéž). Ale i ten sebedražší nemá kapacitu na uložení všech 18 trilionů možných sousedů v /64. Pokud tedy útočník bude posílat každý paket na jinou adresu z daného /64 a ty adresy budou navíc neobsazené, spousta routerů to bude těžko snášet protože vyčerpá veškeré prostředky Control plane na hledání neexistujících sousedů. Zmenšení podsítí, tedy prodloužení prefixu, tenhle problém zmírňuje.
-
Adam KaliszStříbrný podporovatel
Kolega se ale zmiňoval o prefixu /92, což mi stejně dá něco jako 2^36 záznamů ~ 64 miliard a i to je z praktického hlediska mimo možnosti i těch nejlepších routerů.
Jinak proto jsem psal o velikosti RAM toho modelu router-switche - protože jsem vycházel z toho, že když to neuvádí, že to asi bude záviset na RAM a bude implementováno aspoň částečně v tzv. slow-path/ softwaru. Předpokládám, že záznam v ND nebo ARP cache bude router či switch udržovat delší dobu jen pokud dostane z takové adresy odpověď?
Docela by mě to zajímalo, jak to vlastně je, zkusím se na to při nějaké příležitosti podívat. Aby to nakonec nebyl nějaký důvod jako zde:https://blog.bimajority.org/2014/09/05/the-network-nightmare-that-ate-my-week/
kdy privacy adresy shodily MIT CSAIL síť
