Vlákno názorů k článku Na návštěvě stavby olejového datacentra: bunkr pro servery v Hluboké od Pavouk - Jestli dobre pocitam, tak do rozsahu 256 adres...

Ne, psalo se o 254 serverech, které se vejdou do jednoho IP rozsahu. Takže třeba
.0 – server1
.1 – server2
…
.253 – server254
.254 – rezerva
.255 – broadcast

Takže se vejdou.

Máte naprostou pravdu. Některým lidem se tady nedá nic vysvětlit. Někdy to nechtějí pochopit. Někdy platí úměra - čím více anonymní, tím více přesvědčený :-)

Jak jsem uvedl - my stejně vše nenasadíme, protože si vždy něco necháváme jako "hardwarovou zálohu". Nevyužité IP se využijí, protože pár klientů bude chtít o IP navíc.

Ne, nenapsal jsem žádnou blbost. V segmentu /24 je právě 256 adres použitelných klienty. IP protokol používá pro směrování pouze IP adresy, nezná žádnou adresu sítě nebo masku sítě. Rozdělení na sítě je pouze administrativní záležitost a věc zvyku a dohody. Např. to, že se IP adresa s lokální adresou obvykle používá jako broadcast. Ano, je dost programů, které s tímhle počítají, takže pokud byste takovou adresu použil jako IP adresu zařízení, budou některé programy protestovat a některé možná nebudou vůbec fungovat. Ale to je nedokonalost těch programů. Pokud s tou adresou bude komunikovat někdo z venku sítě, nebude s tím mít žádný problém, protože dotyčný vůbec netuší, jestli máte ve své síti /24 nebo /22 nebo třeba /16. To, že se lokální adresa se samými nulami označuje jako adresa sítě a obvykle se při adresování vynechává, je už čistě administrativní záležitost, nevím o tom, že by tu adresu nějaký program řešil nějak speciálně (což neznamená, že takový neexistuje). Router ani brána ani nic takového také nemusí být součást daného adresního prostoru, i když jsou zařízení propojená s dalšími sítěmi. Zařízení mohou být např. dostupná i pod jinými IP adresami a spojení do jiných sítí mohou mít přes ně. A nebo prostě může mít brána nebo router IP adresu z jiného rozsahu. Např. v datacentru můžete mít přidělený „rozsah“ /32, a není s tím žádný problém.

To, že víte, jak se něco obvykle dělá, ještě neznamená, že rozumíte tomu, jak to celé doopravdy funguje. Takže pokud někdo napíše něco, co není v souladu s vašimi omezenými znalostmi, nutně to neznamená, že píše blbosti – možná prostě jenom ví o dané věci víc, než vy.

Diskuze tady byla o tom, jestli lze na /24 využít adresy {N, SN, 0} a {N, SN, -1} jako zdrojové adresy pro odchozí provoz.
Nikoli, diskuse byla o tom, jestli lze do rozsahu /24 dostat 254 serverů. Přičemž vynecháme-li řešení, že to ve skutečnosti bude součást /23 sítě nebo větší, pořád jsou k dispozici minimálně tři řešení, z nichž dvě neodporují žádnému RFC.

jako zdrojové adresy pro odchozí provoz. A k tomu tvrdím, že při dodržení RFC to nelze.
Jenže rozdělení IP adresy na adresu sítě a lokální část adresy platí jenom v té vaší síti. Jakmile paket opustí hraniční router směrem ven, je zdrojová IP adresa prostě jen IP adresou, žádná adresa sítě tam není. Takže o tom vašem porušení RFC se nikdo nedozví a nikomu to nevadí.

A navíc, jak už bylo mnohokrát řečeno, když z prostoru /24, tedy 256 adres, odeberete ty dvě krajní „rezervované“, pořád vám zbyde 254 adres k použití, což k pokrytí 254 serverů stačí.

O žádné globální změně nebyla řeč. Dokonce ani nebyla řeč o tom, že by ten rozsah /24 musel tvořit samostatnou síť.

Sítě třídy A až E dle RFC1122 se už dnes nepoužívají, ukázalo se, že je potřeba jemnější dělení (někdy se ze setrvačnosti síť o příslušné velikosti označuje daným písmenem, ale to neznamená, že není možné mít i jinak velké sítě). Podstatné ale je, že tohle jsou doporučené postupy pro organizaci lokální sítě, vtip internetu ale spočívá v tom, že dokud budete umět přijímat a odesílat správně strukturované IP pakety, můžete s okolním internetem bez problémů komunikovat, bez ohledu na to, jak vypadá vaše interní struktura sítě. Takže když vám řeknu, že máte navázat spojení s IP adresou 216.58.209.0, tak vám nic nebrání takové spojení navázat, protože z venku nevíte nic o tom, jestli v cíli je cílová síť 216.58.209.0/24 nebo třeba 216.58.208.0/22. Nicméně tohle jsem uváděl jako perličku, že když máte síť pod kontrolou a víte, co děláte, dají se použít i ty rezervované IP adresy.

Podstatné je ale to, že i když odečtete tyto rezervované IP adresy, je k dispozici v /24 síti 254 IP adres k přidělení, což pro 254 serverů stačí.

Ad 1 – Nepsal jsem nic o tom, zda někdo něco povoluje nebo nepovoluje. Psal jsme, co je technicky proveditelné, pokud víte, co děláte.
Ad 2 – To se právě mýlíte, protože celá ta věc kolem adres sítí platí jenom v té síti (pokud ji chcete dodržovat). Jakmile paket projde přes hraniční router té sítě, je to prostě paket se zdrojovou a cílovou IP adresou, a nikdo neví, jak je ta síť uvnitř uspořádaná. Psal jsem vám to i na konkrétním příkladu, na kterém jste si mohl ověřit, že vaše tvrzení není platné. Pokud na něm stále trváte, tak by mne zajímalo, zda tedy adresu 216.58.209.0 je možné jako odchozí adresu použít nebo ne, zda to podle vás je adresa sítě nebo adresa zařízení.
Ad 3 – Opakovaně jsem vám vysvětloval, že IP adresa výchozí brány nemusí být z rozsahu dané sítě. Zdá se, že jste tuto informaci ještě nevstřebal, protože jste se ji ani nepokusil vyvrátit, ani s ní nepočítáte ve svém tvrzení. Např. některá datacentra přidělují koncovým zařízením IP adresy ze sítě /32, tam se vám žádná výchozí brána opravdu nevejde.

Ad 2 – Vy nejste v té koncové síti, kde paket vznikne. Vy např. provozujete nějaký server a přijde vám paket se zdrojovou adresou 216.58.209.0. Zahodíte ho na firewallu s poukazem na nějaké RFC, že má ten paket špatnou zdrojovou IP adresu? Představte si to jako reálné řešení vašeho routování a firewallu, pokud potřebujete další informace, třeba o rozsahu zdrojové sítě, tak si je zjistěte tak, jak byste to dělal v reálném případu. Asi byste to nezjišťoval v diskusi na Rootu.

Ad 3 – Proč by to mělo nějaké RFC povolovat? Potřebujete na všechno povolení RFC, nebo zvládnete něco udělat sám, tak, aby to žádnému RFC neodporovalo?

Až budete příště zase někomu doporučovat, že si má něco vyzkoušet, vyzkoušejte si to nejdřív sám. Mám tu zrovna před sebou jeden VPS. IP adresa je přidělovaná přes DHCP, já jsem nic v konfiguraci IP adres a routování neměnil, takže se nemusíte bát, že by tam bylo něco zákeřně nastavené, abych vás zmátl. Pozměnil jsem jenom prefixy sítí:

# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether aa:bb:cc:dd:48:2b brd ff:ff:ff:ff:ff:ff
    inet 111.222.114.82/32 brd 111.222.114.82 scope global ens3
       valid_lft forever preferred_lft forever
    inet6 2001:1111:2222:3333::475/128 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::f816:3eff:feea:482b/64 scope link
       valid_lft forever preferred_lft forever

# ip route
default via 111.222.114.1 dev ens3
111.222.114.1 dev ens3  scope link

Připojený jsem tam přes SSH přes IPv4, takže myslím můžeme předpokládat, že tam IPv4 docela obstojně funguje a spojení se světem přes IPv4 ten server má.

Víte, ono nestačí přečíst si nějaké RFC, ono je potřeba taky pochopit, jak to celé funguje. Třeba takový router nebo výchozí brána, to není žádná magie. To je prostě záznam v routovací tabulce, který říká „pokud máš paket s cílovou adresou z tohohle rozsahu (nebo s libovolnou cílovou adresou v případě výchozí brány), pošli ho zařízení s touhle IP adresou. Takže když chci příslušný router nebo bránu použít, musím akorát umět poslat paket zařízení s danou IP adresou. Proč by ta IP adresa musela být ze stejného síťového rozsahu, jako jiná IP adresa toho zařízení?

Proč by musela být ze stejného rozsahu?

Patrně by nemusela, ale použití scope link na adresu gw mimo rozsah je celkem prasárna, která bude fungovat na linuxu, ale je otázka, jestli bude fungovat na jiných operačních systémech.

Nehledě na to, že pořád mluvíte o komunikaci mimo danou síť, ale komunikace může probíhat i v rámci sítě a pak budete mít samozřejmě problém se dostat na stroj s adresou broadcastu. Třeba takové ssh 1.2.3.255 v síti /24 bych řekl, že fungovat nebude, stejně jako cokoliv jiného na TCP.

Ono zahrávat si s hraničními případy, které RFC moc nedefinuje, většinou znamená koledovat si o problémy, protože každý implementátor síťového stacku si to může vyložit jinak.

Patrně by nemusela, ale použití scope link na adresu gw mimo rozsah je celkem prasárna, která bude fungovat na linuxu, ale je otázka, jestli bude fungovat na jiných operačních systémech.
Máte na podporu svých tvrzení nějaké argumenty? Proč by to měla být prasárna, proč by to někde nefungovalo?

Viděl jste někdy router? Jedno zařízení s jednou IP adresou připojené do internetu, tam bude pravděpodobně výchozí brána. Druhé zařízení s jinou IP adresou z jiného rozsahu připojené do lokální sítě. Když ten router do internetu přeposílá paket z lokální sítě nebo ze svého rozhraní, které je součástí lokální sítě, má ten paket zdrojovou IP adresu z nějaké sítě, ale jako výchozí brána se použije IP adresa z úplně jiné sítě. To je taky celkem prasárna? Nebo v čem se to liší od vašeho příkladu?

Nehledě na to, že pořád mluvíte o komunikaci mimo danou síť, ale komunikace může probíhat i v rámci sítě a pak budete mít samozřejmě problém se dostat na stroj s adresou broadcastu. Třeba takové ssh 1.2.3.255 v síti /24 bych řekl, že fungovat nebude, stejně jako cokoliv jiného na TCP.
Adresa broadcastu je ta, která je tak nakonfigurovaná, ne ta, kterou kterou uhodnete na základě masky sítě. A jak už jsem mnohokrát psal, broadcast adresu v té /24 klidně můžete namapovat na tradiční .255, protože v té síti pořád ještě zbyde dost IP adres.

Ono zahrávat si s hraničními případy, které RFC moc nedefinuje, většinou znamená koledovat si o problémy, protože každý implementátor síťového stacku si to může vyložit jinak.
Při implementaci síťového stacku jsou RFC popisující administrativní záležitosti dost nezajímavá, význam mají maximálně pro nastavení rozumných defaultů pro obslužné utility.

Ten příklad s /32 je zavádějící, protože fakticky neříká, že default gw leží v jiné síti, ale že na ens3 jsou dvě sítě, přičemž druhá /32 je síť s adresou gatewaye.
Ne, nejsou tam dvě sítě. Dvě překrývající se sítě, to by byla opravdová prasárna.

Takže ne, nedá se specifikovat gw na jiné síti.
Napsal jste chybné tvrzení a pak z něj vyvodil závěr, který z něj neplyne. Specifikovat bránu na jiné síti samozřejmě lze, není nic, co by tomu bránilo. Vyzkoušejte si to.

Rozdělím své odpovědi na sérii, ať nepoztrácíme kusy vlákna.

Patrně by nemusela, ale použití scope link na adresu gw mimo rozsah je celkem prasárna, která bude fungovat na linuxu, ale je otázka, jestli bude fungovat na jiných operačních systémech.

Máte na podporu svých tvrzení nějaké argumenty? Proč by to měla být prasárna, proč by to někde nefungovalo?

Zkuste to nastavit na Windows a můžeme pokračovat :-) Druhá věc je ta, že dost často máte různé appliance, které sice mohou být postavené na linuxu, ale ke konfiguraci přímo na úrovni CLI se nedostanete, takže vám zůstane jediná možnost, jak to nastavit v nějakém grafickém bazmeku, který na to není připravený.

Zkuste to nastavit na Windows a můžeme pokračovat :-)
Ve Windows to samozřejmě nastavit jde. Dokonce snáz než v Linuxu, protože jim nemusíte extra vysvětlovat, že router mají opravdu hledat v lokální síti.

Druhá věc je ta, že dost často máte různé appliance, které sice mohou být postavené na linuxu, ale ke konfiguraci přímo na úrovni CLI se nedostanete, takže vám zůstane jediná možnost, jak to nastavit v nějakém grafickém bazmeku, který na to není připravený.
Akorát nevím, jak jste přišel na to, že na těch 254 serverů budou instalovat zrovna nějakou takovouhle šílenost.

Jinak tomuto vašemu příkladu se říká směrování a je zcela v pořádku.
To jsem rád. Ovšem jsou tady tací, pro které je směrování něco neznámého, o směrovací tabulce asi v životě neslyšeli a pravděpodobně si myslí, že se routuje nějak podle masky lokální sítě nebo jak.

Akorát jste zapomněl zmínit, že ta "brána z jiné sítě" je "brána spadající do stejné sítě jako je síť na daném interface"
Nic takového jsem zmínit nezapomněl, protože to není pravda. Uváděl jsem tu příklad (možná jste se v něm nezorientoval, Root to zformátoval velmi podivně), kdy síť na daném interface je 111.222.114.82/32, nebo-li celou síť tvoří jedna jediná IP adresa. Do téhle sítě se už opravdu žádná další IP adresa nevejde. Jako výchozí brána je na tom počítači nastavena IP adresa 111.222.114.1, a pokud jste se ještě nesmířil s tím, že v té výše uvedené síti je jen jediná IP adresa, snad si alespoň dokážete ověřit, že IP adresa 111.222.114.1 opravdu není součástí sítě 111.222.114.82/32.

Viděl jste někdy router? Jedno zařízení s jednou IP adresou připojené do internetu, tam bude pravděpodobně výchozí brána. Druhé zařízení s jinou IP adresou z jiného rozsahu připojené do lokální sítě. Když ten router do internetu přeposílá paket z lokální sítě nebo ze svého rozhraní, které je součástí lokální sítě, má ten paket zdrojovou IP adresu z nějaké sítě, ale jako výchozí brána se použije IP adresa z úplně jiné sítě. To je taky celkem prasárna? Nebo v čem se to liší od vašeho příkladu?

Ano, viděl jsem router. Můžete na mne mluvit třeba jazykem Cisco IOS, Juniper Junos, nebo HP Comware, což pokrývá asi 99 % trhu všech zařízení, kterým se dá říkat "router" nebo "L3 switch".

Jinak tomuto vašemu příkladu se říká směrování a je zcela v pořádku. Akorát jste zapomněl zmínit, že ta "brána z jiné sítě" je "brána spadající do stejné sítě jako je síť na daném interface"

Ten příklad s /32 je zavádějící, protože fakticky neříká, že default gw leží v jiné síti, ale že na ens3 jsou dvě sítě, přičemž druhá /32 je síť s adresou gatewaye. Takže ne, nedá se specifikovat gw na jiné síti.

Jen bych upozornil na můj vstup do vlákna, kdy jsem mluvil o tom, že z diskuze vynechávám specialitky typu /23 nebo /32, anycast apod.
Takže závěr je, že to nejde, s výjimkou případů, kdy to jde…

diskuze byla o něčem jiném, Vy se jí snažíte stáčet směrem, který Vám vyhovuje
Diskuse byla o tom, zda se do rozsahu /24 vejde 254 serverů. Diskusi stáčím tím směrem, že to jde – což je myslím celkem pochopitelné, když se diskutuje, obvykle lidé uvádějí argumenty na podporu svých tvrzení.

Pokud to opravdu chcete podložit, ukažte mi funkční příklad s nastavením default GW (jediné položky směrovací tabulky, abych to upřesnil) mimo rozsah sítě na /24, o který jsem žádal. Rád se poučím.
Už jsem vám tu podobný příklad uváděl, to si to fakt nedokážete odvodit sám? Nebo si přečíst manuál?

Začněte s tím, že máte na zařízení přidělenou jen IP adresu 10.0.0.100 a routu do 10.0.0.0/24 přes 10.0.0.1. Žádnou jinou IP adresu ani routu nastavenou nemáte. Chcete nastavit že výchozí brána je 192.168.123.1.

Na Linuxu:

ip route add 192.168.123.1/32 dev eth0
ip route add default via 192.168.123.1 dev eth0

Na Windows:

netsh interface ipv4 add route 0.0.0.0/0 "Ethernet" 192.168.123.1

Ano, na Linuxu je to trochu zvláštní, že musíte předem explicitně uvést, že ten router je fakt v místní síti, ale to není nic, na co by se nedalo přijít.

To ale není to, co po vás tazatel chtěl. Co vy uděláte je to, že na L2 síť dáte další L3 síť a do té pak směřujete default, což je v pořádku. Ten interface má dva L3 rozsahy, přičemž adresu má pouze z jednoho, což nesplňuje požadavek toho, co chtěl předřečník.

už to vaše "Žádnou jinou IP adresu ani routu nastavenou nemáte." není pravda, protože tu routu jste uvedl hned na prvním řádku příkladu.

@DgBd, 15:44: Připadá mi, že se tak soustředíte na to, abyste mi oponoval, že už vám nezbývají síly ještě se držet tématu diskuse a občas už ani na to, aby váš komentář byl ještě příčetný.

Co vy uděláte je to, že na L2 síť dáte další L3 síť a do té pak směřujete default, což je v pořádku.
Celá ta diskuse začala větou z článku: „Jsou úplně stejné a je jich přesně 254, takže se nám vejdou do jednoho IP rozsahu.“ Myslím, že je z toho zřejmé, že se bavíme o L3 síti. L2 do toho není potřeba tahat, pokud budeme předpokládat, že na úrovni L2 to realizovatelné je. Představte si třeba několik propojených L2 switchů, každý z těch serverů bude zapojen do jednoho portu switche a navíc bude ještě do jednoho portu připojen router. Takže realizovatelné to myslím je a dále se snad můžeme bavit o L3 síti.

Ten interface má dva L3 rozsahy, přičemž adresu má pouze z jednoho, což nesplňuje požadavek toho, co chtěl předřečník.
Nevím, jak definujete pojem „interface má rozsahy“. Podstatné je, že to rozhraní má IPv4 adresu z jednoho rozsahu, a jako výchozí bránu má nastavenou IPv4 adresu, která není v rozsahu L3 sítě, jejíž je to zařízení součástí. Tedy je možné realizovat přesně to, o čem je celou dobu řeč – 254 serverů v jedné /24 L3 síti, dvě krajní adresy sítě rezervované, a router s IP adresou, která není součástí té /24 L3 sítě. Pokud chtěl tazatel něco jiného, pak je to problém jeho požadavků, ne problém, který by bránil řešení té situace. Ostatně celá diskuse začala právě tím, že Pavouk něco předpokládal, půlku těch předpokladů ani neuvedl, ale hlavně ty jeho předpoklady nemusí být splněné.

už to vaše "Žádnou jinou IP adresu ani routu nastavenou nemáte." není pravda, protože tu routu jste uvedl hned na prvním řádku příkladu.
A tady už se dostáváme k tomu, kdy píšete z cesty. Když se popíší výchozí podmínky, a pak se popíše změna, která se po té udělá, je logické, že po té změně už neplatí ony výchozí podmínky. Když vám někdo napíše „máte červený plot, a ten natřete na zeleno“, je dost bláznivé reagovat na to tvrzením, že přece není pravda, že je plot červený, když ho pak natřete na zeleno. Je potřeba rozlišovat, že plot na začátku červený je, a teprve po natření bude zelený. Stejně tak v mém příkladu je výchozí situace taková, že máte nastavenou jenom jednu jedinou routu – do sítě 10.0.0.0/24. To je výchozí stav, máte nastavenou jenom tuhle jedinou routu a žádnou jinou – a teprve posléze tam začnete přidávat další routy (čímž se ten výchozí stav samozřejmě změní). Už to chápete? Ano, mohl jsem ten příklad popsat úplně od nuly, že nemáte přidělenou žádnou IP adresu a nastavenou žádnou routu, ale předpokládal jsem, že tady diskutují lidé, kteří si umí ten výchozí stav představit a možná dokonce nakonfigurovat. No a způsob, jak to nastavit, jsem popisoval proto, abyste si to mohli vyzkoušet. Protože tady byli tací, kteří nevěřili tomu, že to jde, a nevěřili ani když jsem popsal ten výsledný stav. Takže jsem vám napsal krok za krokem příkazy, abyste si mohli do virtuálu nainstalovat Linux nebo Windows a na vlastní prsty a oči se přesvědčit, že to doopravdy je možné.

Já myslím, že jsme si své postoje už vyjasnili, ať si z toho každý vybere to, co uzná za vhodné.