Vlákno názorů k článku Pravidla pro nové IPv4 adresy se zpřísňují, utáhněte opasky od sgfg - Musim reagovat na poslednu vetu (suvetie): „IPv4 končí a...

Přesně tak. Já z nasazení IPv6 a RFC mám pocit, že čím větší adresní prostor máme, tím více plýtváme zdroji. Koncovým bodům, ve smyslu sítí, se přiděluje standardně /64 a jde to do takových absurdit, že /64 se používají na spojovačky. Pro jeden server, rozumněj slovy jeden kus HW, jsme onehdy v jednom telehousu žádali o přidělení IPv6. Box má dvě IPv4 adresy, takže jsme chtěli k tomu adekvátní počet IPv6 adres. Provider se mne zeptal, zda chci 2 IPv6 adresy či celý /64 prefix… Co myslíte, že jsme si vzali…

Celkom nerozumiem Vasej argumentacii. Ak ste ISP, ktory ma mnozstvo predplatitelov s jednym PC, mozete takychto predplatitelov dat na jeden /64 subnet (rfc3177):
[i] When a network number is delegated to a place that [b]will not[/b] require subnetting, therefore, it might be acceptable for an ISP to give a single 64-bit prefix – perhaps shared among the dial-in connections to the same ISP router.[/i]
Ak mate predplatitela(in­stituciu), ktory ma v umysle si dalej delit siet, date mu /48 prefix (rfc3177):
[i]the IETF's IPNG working group has recommended that the address block given to a single edge network which may be recursively subnetted be a 48-bit prefix. [/i]
V com je teda problem? Mozno nerozumiem ako ste to mysleli. Dakujem.

Sice zajímavá argumentace, bohužel jediné ospravedlnění tohoto přístupu je, že někdo potřebuje „hierarchické dělení“.
K čemu? K tomu, aby si správce lépe zapamatoval kde má konkrétní síť? Je to možné, ale dost zbytečné. K lepšímu vytváření třeba firewallových pravidel? K tomuto stroji mohou pouze lidé ze státu XY a nesmějí odnikud jinud? (obvykle je to spíš tak, že je požadavek „k tomuto serveru mohou pouze lidé z obchodního oddělení odevšad“)
Podívejte se do současných globálních routovacích tabulek Internetu. Připadne vám, že tam existuje nějaká hierarchie? Je tam rozdělení maximálně tak na jednotlivé RIR, a pak už nikdo nepozná vůbec nic.
Co se týká toho příkladu, tak /53 znamená, že využívám pouze 1/16 adresního prostoru, kterou jsem dostal. To znamená, že si dotyčný dost mizerně tu hierarchii rozvrhl. Protože s dělením 16 bitů má mnohem víc volnosti než v současné situaci.

Vycházíte z toho, že hierarchie je dobrá věc. Jenže hierarchie je věc špatná. Zkuste se třeba zamyslet nad existující analogií v L2. Tam taky existuje naprosto hierarchická struktura pomocí STP. Jenomže dnes už se všichni od Cisco až po IETF snaží STP zbavit, tak aby byla síť víc full-mash, např. pomocí protokolu TRILL. TRILL je založen na klasickém směrovacím protokolu IS-IS, takže nebojte i těch 20 bytových NSAP adres se dočkáte.

„Mluvíte rozumně, ale proč to sakra autoři nenechají na mně? Proč mi někdo zakazuje normou stavět nehezký barák? Komise posuzující kulturu byly za minulého režimu do, internetu se nehodí.“
To jsou výkřiky do tmy, nic takového se neděje. Nicméně nikdy vyhovět všem.
„Pokud i vy věříte, že budou mít L2 adresy někdy víc než 8 byte, proč teď tak obhajujete obětování 50% mohutnosti směrovacího prostoru pro dočasnou feature jedné rodiny L2 protokolů z celé množiny?“
O kterém L2 protokolu mluvíte? Snad ne o Ethernetu, ten pokud vím 64-bitové adresy zatím nemá.
„Ještě bych se zeptal: vy tyto normy vidíte opravdu užitečné? Nebo převládá potrěba respektovat standardy?“
Celosvětový síťový protokol lze realizovat pouze celosvětovou normou.

Pokud si IPv6 dalo za cíl možnost autokonfigurace v libovolné síti, tak pak /64 jako maximální prefix je nutnou podmínkou, která musí být vynucena normou, tak aby se kdokoliv mohl spolehnout, že mu autokonfigurace ve správně nakonfigurované síti bude fungovat.

bez nutnosti existence serveru. Třeba si propojit dva počítače kříženým kabelem a jet.

Ano, řekl bych, že je to rozšíření tohoto chování i na ostatní typy adres.

RFC 3587 je mimo hru (viz jeho status).
RFC 4291 je řekněme zbytečně moc zaměřené na EUI-64. Můžete zkusit navrhnout změnu nebo počkat, jestli změna přijde z praktického světa sama.
„„Světu“ je jedno jak cílovou adresu k cíklovému serveru dosměruji, a jak mohutná je sít s posledním skokem, že?“
Tady opravdu jde o prosazování toho, aby se daly zařízení uzpůsobit (aspoň by default) na bezstavovou konfiguraci a aby se prosadily slušné prefixy od providerů.
Dá se říct, že tuhle snahu vítám (jako zákazník, který bude rád za /48, pokud ho vůbec dostane). Na druhou stranu uznávám, že pro fungování IPv6 routingu to nemá naprosto žádný význam.

Však vás nikdo nenutí ty standardy používat. Používejte si, co uznáte za vhodné.
Co se týká těch L2 adres, tak nepředpokládám, že by se ujalo něco výrazně delšího než MAC adresy v ethernetu.
Normy považuju za užitečné. Umožňují nám totiž vůbec fungovat. Jenom si představte výrobce šroubků, kde bychom byli bez standardů.

Takové to srovnání nevede na konstruktivní diskuzi.

„Proč to prokristapána nenechají na dotyčném. Normy jsou dobré, ale proč někomu nařizovat, jak má stavět síť, když to není nutné?“
Ty normy nic takového nenařizují. Jistě jsou jejich důsledkem určitá omezení, ale ta mají určitý praktický základ.
„zajímalo by mne, co by se stalo, kdyby někdo navrhl nový široce používaný L2 protokol o mohutnosti MAC třeba 20byte :)“
Řekněme, že se došlo k číslu 8 bajtů pro routing a 8 bajtů pro lokální adresu. Pokud by se ten názor nějak výrazně přehodnotil v daleké budoucnosti, bude k dispozici jiný hardware a pravděpodobně nebude problém přejít na další iteraci protokolu.
Chápu, že nová iterace protokolu vždy přináší i své problémy, proto malý rozbor, co by fungovalo a co ne:
Link-local adresy: fungovaly by, jen by se musely generovat jinak (asi náhodně s nějakou mírou persistence).
Stateless autoconf (EUI-64): nefungovalo by
Stateless autoconf (privacy extensions): fungovalo by bez problémů
DHCPv6 (DUID-based): fungovalo by bez problémů
Tzn byla by to určitá komplikace, nicméně neznamenala by nemožnost nasazení IPv6… na druhou stranu obětovalo by se jen to nejnutnější.
„Já patřím k těm naivkům, kteří věří, že by IPV6 síť mohla být daleko víc hierarchická.“
Pokud vím, tak mezi ně ze začátku patřili i sami návrháři IPv6.
„To ano, má více volnosti, nicméně, kdyby nebyl onen stupidní požadavek, měl by volnosti ještě 1099511627776× více.“
Ten požadavek je tu kvůli ISP, aby zákazníka zbytečně neokrádal o možnost použít aspoň těch 16 bitů k rozčlenění a stateless autoconf.
Nemá žádný vliv na to, jak si zákazník rozvrhne síť postavenou na DHCPv6, tam má tu volnost takovou, jakou si může jen přát.

ISO9000 není moje parketa, takže to nechám na jiných.
„A mají technické normy řešit obchodní vztah firma zákazník?“
Ta norma popisuje síť, ve které funguje bezstavová konfigurace. Má to další, například i bezpečnostní důsledky. Může se vám například stát, že na vaše zákazníky ve stejném /64 či dokonce /48 bude aplikován například filtr na počet requestů na některých službách.
Takže… na jednu stranu by to tam vůbec nemuselo být a vy byste byl asi spokojený. Na druhou stranu… možná nedohlédnete (ani já ne) do všech důsledků s tím spojených. Takže pokud byste prosazoval změnu v příští (pravděpodobně několikáte) iteraci jakéhokoli RFC ohledně IPv6, můžete narazit na hromadu souvisejících problémů.
Samozřejmě to lze brát jako obecně závazné a držet se daného schematu. Já to beru spíše s pohledu technického než „politického“. Takže kdekoli vím, že porušení nějakého pravidla nezpůsobí chybné chování, posuzuju pro a proti a ne zákazy/výjimky.
Můžete to brát tak, že vaši připomínku považuju za oprávněnou, i když mě její vyřešení nepálí.

ad 4) Vaše řešení ovšem narozdíl od standardu znamená, že i ta nejhloupější krabička si bude muset pamatovat směrovací informace až do prefixu /128 místo toho, aby si mohla podle rozumného předpokladu pamatovat pouze /64 (zbytek leží v místní síti). Hierarchické směrování je v dnešní situaci nesmyslné, zkuste se podívat, jakým způsobem jsou jednotliví ISP propojení. Hierarchické směrování by znamenalo hierarchickou topologii Internetu a to je něco, co je v dnešní době absolutně nepřijatelné.
Dál bych rád věděl, co byste řekl svému řediteli, až vám začnou odcházet zákazníci, protože jim kvůli vašemu nedodržování standardů přestanou fungovat některé aplikace. Řeknete mu „to je chyba těch aplikací, že nepočítají s mým geniálním rozdělením!“? (Karel s Pepou si chtějí po IPv6 telefonovat, ale ty jejich telefonky počítají jen se sítěmi většími než /64?)

Nikdo neříká, že to fungovat nebude. Nicméně:
1. IPv6 je určeno také pro sítě typu zapoj a funguj. S těmito prefixy nebude fungovat autokonfigurace, základní vlastnost IPv6. Někdo bude muset nakonfigurovat DHCPv6 server nebo nastavit adresy ručně. S tím se u normální domácnosti až tak moc nepočítá. Prostě zapojím do sítě ledničku, mediální centrum, atd., vůbec nic nenastavuju a přesto všechno funguje.
2. co se týká hierarchie, tak jistě každého potěší, když si člověk, který má videokonferenční hovor mezi Sýrií a Marokem musí komunikovat přes nějaký centrální bod s největší pravděpodobností v USA. Jak by musely vypadat ty routery, které by dělaly to přehazování paketů mezi kontinenty? V současnosti máme standardizovaný 100Gbit ethernet, ale na přehazování dat na těch nejvyšších úrovních by nestačila ani hodně tlustý vazek takových linek. Nehledě na to, když nebude slabým místem linka, tak bude slabým místem router – Cisco CRS-1 nebo CRS-3, což jsou dnes asi nejvýkonnější routery, mají pouze jeden port na 100Gbit kartě. Navíc se kvůli hierarchii nedá dost dobře řešit redundance a vyvažování provozu. Prostě – hierarchické směrování je nesmyslné, ikdyž ušetřím na složitosti routovacích tabulek.

Pořád netuším, k čemu vám teda ta hierarchizace bude. Když regiony hierarchicky rozdělím, a použiju nehierarchické routování, tak nic nevyřeším. Budu mít v routování stejný počet záznamů jako u nehierarchického routování.

sakryš… jako u nehierarchického rozdělení.

To, co je teď v IPv4 nepovažuju za bordel, ale za decentralizované řešení.

Naopak, podle mě to celé vede na to, že IPv6 se bude používat daleko víc podle potřeb, než podle těžce vyškudlených adres, jako je to teď na IPv4.
Ten systém mi připadá navržený naprosto geniálně, 16 bitů na lokální dělení (tedy 64k podsítí) a 64 bitů na automatickou konfiguraci statických adres (pomocí MAC/EUI-64), případně dynamických adres (privacy extensions).

Opravdu bylo už vyrobeno 70 bilionů síťových karet? To je poměrně silné tvrzení.

„Nevím jak je to s rezervovanými kódy pro jednotlivé výrobce a podobně, to přiznávám, jen vím, že až to někdo bude redefinovat, MAC spíše zdvojnásobí, než by přidával 2 byte. Tedy pokud jim někdo nepřiloží ke krku nůž v podobě EUI-64 :)“
V rozporu s vaším tvrzením to redefinovali právě o ty 2 bajty a tím z EUI-48 vytvořili EUI-64. EUI-64 pokud vím není ze stejné dílny jako IPv6.

IMHO není žádná potřeba redefinice. Narozdíl od IPv6. Možná bych spíš řekl, že MAC adresy příští generace budou kratší a dynamicky se domlouvající, případně vůbec žádné.

16 bitů na číslování sítí měly v IPv4 jen ty největší organzace, kterých ani v nejdivočejších snech na světě nemohlo být víc jak 256.
„Naopak MAC/EUI-64 je vlastnost vázaná na jeden z L2 protokolů“
Špatný předpoklad, EUI-64 není nijak vázána na žádný konkrétní L2 protokol. Zbytek vychází právě z tohoto špatného předpokladu.
„oni totiž 48bit MAC taky docházejí :)“
Právě proto se EUI-64 používá.

EUI-64 pokud vím tak moc vnucováno není. Koncový zákazník může svoji síť nakonfigurovat prakticky jakkoli, pokud bude navenek vypadat nakonfigurovaná správně.
Ano, dá se najít pár citací z RFC, které nasvědčují tomu, že /64 je všeobecná povinnost pro všechny zákazníky… ale pokud zákazník poruší něco, co nemá vliv na funkčnost ani z pohledu aplikací ani z pohledu vnějšího světa… řekl bych, že na sebe tuto zodpověnost může vzít.
Pokud ale to samé udělá ISP s rozsahy pro zákazníky, prakticky vždy tím zákazníka poškodí. Tyto pasáže ve standardech mají z hlediska koncového zákazníka
až příliš přísný tón, ale důvod vidím spíš ve snaze zabránit ISP zákazníka poškodit, což je ve chvályhodné.
Možná by to šlo napsat líp, ale i současné znění považuju za velmi použitelné.
Jinak EUI-64 a bezstavovou konfiguraci považuju za velmi užitečnou možnost.

64 tisíc podsítí pro jediného zákazníka je málo ?
Schválně jsem se podíval do routovacích tabulek největší czfree sítě v ČR. Cca 13 000 členů, cca 41 000 pc, cca 450 routerů různé velikosti (většina OSPF, páteřní OSPF + BGP) a interní routovací tabulka má lehce přes 1400 položek.
Jak velký musí být zákazník aby mu nestačilo 64 tisíc podsítí ? A nebude náhodou takový zákazník už tak velký, že stejně bude mít provider independent adresy ?

„Já od nového protokolu čekám pohodlnější (hierarchické) adresování, tj. jeden byte nechat na město, jeden na okrsek, jeden na hotspot a jeden na zákazníka.“
Ahááá, to jsem tu ještě nečetl (ale možná moje chyba).
„EUI-64 zbytečný favor, který se týká jen jednoho L2 protokolu“
Jen připomínám, že toto není pravda.
„(kromě nás, my se tímhle nesmyslem řídit nebudeme :) )“
Pak vězte, že to bude jeden z důvodů, proč zvolit vaši konkurenci.

Jenže ono neexistuje žádné RFC, jehož účelem je nařídit vám přidělovat /48. To RFC, o kterém mluvíte je klíčové RFC, které určuje adresování IPv6 vůbec.
To, o čem mluvíte je nejméně důležitá část tohoto RFC, bez kterého by opravdu IPv6 fungovalo. Pouze by nefungovala bezstavová konfigurace.
Ono je potřeba číst trochu mezi řádky, nejen že to v té normě napsáno je, ale i proč to tam je. To, co vy nabízíte není úplně plnohodnotné přidělení podle RFC, protože neumožňuje využít všech konfiguračních možností IPv6.
Pokud je s tímhle zákazním srozuměn, tak v tom nevidím problém. Pokud by to ale v RFC chybělo, byla by taková alokace považována za normální (standardní), což by bylo špatně, IPv6 normy by tak byly nekonzistentní.
„Víte kolik se na ní ptá lidí? 1–2%“
Většina firem se nerozhoduje podle počtu hlav, ale podle peněz.
„Navíc, váš specifický požadavek na /48 by zřejme propadl až na mů stůl (jsme celkem malá pružná firma) a já bych Vám ho schválil :)“
Tak to je jiná. Takovýhle postup by vám tu pravděpodobně schválilo daleko víc lidí. Doteď to vypadalo, že /48 nedáte.

„V dnešním Telco bysnyse, neexistuje říct zákazníkovu ne :)“
Dá se říct, že si docela dobře rozumíme. Jako zákazník bych tedy došel k výsledku, což je důležité.
K tomu RFC… řekněme, že ještě pořád chápu i důvody, proč to tam je, i důvody, proč by to tam být nemělo… a možná bych to dokázal shrnout slovy „účel světí prostředky“.
Mám pocit, že kdyby to v tom RFC nebylo a řekl bych si o /48, že byste mi možná dokázali vysvětlit, že ji nepotřebuju, a nebo že to bude stát hodně peněz :). Je to tak?

Pro mě z toho plyne důsledek: Zákazníkům to pomohlo, ISP to neomezilo víc než původní schéma v IPv4 (myslím v době plýtvání), a ISP může dávat:
/48 těm, kteří chtějí tvořit standardně řešenou podnikovou síť (teď nemyslím přesné znění RFC, ale síť, která téměř beze změny přežije změnu poskytovatelů, administrátorů i třeba velikosti).
/x, kde 48 < x < 64 těm, kteří chtějí jen jednoduché dělení na pár sítí
/64 těm, kteří mají jednu SOHO krabičku s autokonfigurací
/x, kde 64 < x < 127 těm, kteří jsou ochotni si nakonfigurovat DHCPv6, nebo kterým spravuje síť přímo poskytovatel.
/127 nedává smysl, stejně jako /31 IPv4
/128 těm, kteří chtějí připojit jediné zařízení
A samozřejmě na propojovací point-to-point sítě /x, kde 64 <= x < 127. V lepším případě se nějaká možnost ustálí, v tomhle může být dobrý nápad pro konzistenci používat /64, i když je to určitá forma plýtvání.

Na propojovací sítě obvykle nejsou nutné global adresy, měly by stačit link-local (+ jedna /128 na loopback, aby se se zařízením dalo komunikovat)

Taky pravda, ale měl jsem dojem, že mnoho lidí/organizací dává přednost adresám globálním.

Je to hodně časté, možná převažující, ale zajímalo by mne proč. Možná je to zvyk, případně nevhodné chování některého směrovacího protokolu. OSPFv3 i IS-IS mohou fungovat bez globálních adres, takže podezírám BGP pro address-family IPv6 běžící nad IPv4. Ale ani tam si nejsem jistý. My používáme link-local a zatím bez problémů.

K *vynucení* stateful konfigurace se používá stejný protokol jako k *provedení* stateless konfigurace.
Nerad bych se vás jakkoli dotkl, ale píšete tu velmi sebejistě a nepůsobí úplně dobře, že k tomu nemáte potřebný přehled. Vážně tím nemyslím nic zlého, jen bych doporučil si pro takto vehementní argumentaci (myslím ostatní příspěvky) doplnit informace o skutečném fungování protokolu IPv6. Jsem ochotný případně i pomoct.

ad agresivnější rétorika: Beru, přesto doporučuju dobrou rétoriku doplnit dobrými fakty.
„Přidělovat /48 a nechat si 2 byte na naší adresaci se mi zatraceně nelíbí a já provádím studii, jestli je to opravdu nutné.“
Nutné to není, ale přidělováním delších prefixů (menšího adresního prostoru) byste si mohli způsobit konkurenční nevýhodu, a to zvlášť v případě zákazníků, kteří budou mít vlastní routery a budou chtít využít stateless autoconfiguration na svých podsítích.
„Pokud by vše (rozuměj Windows) takto fungovalo, pak je to OK.“
Odhaduju, že s koncovými OS nebude problém. Nejsem si ale jistý, jestli krabičky zákazníků budou obsahovat DHCPv6 server.
„Jestli s s tím máte zkušenost, budu moc rád, pokud mi ji napíšete.“
Jsem ve fázi experimentování, což je přecijen o něco málo víc, než teorietizování :). Dlouhodobé nasazení IPv6 na velké síti má v merku opravdu málokdo.
Chápu vaši motivaci pro vlastní bohatou hierarchii… v tomhle opravdu 16bit prefix úplně nestačí. Situace je srovnatelná například s privátní sítí 10.0.0.0/8.
Pokud byste chtěli zákazníkům dávat nepříliš omezený privátní rozsah (řekněme 150 počítačů), musíte použít bajt. Takže vám zbydou dva bajty na členění, a zákaznická síť vypadá následovně: 10.a.b.0/24.
Udělat to stejné s veřejným rozsahem IPv4 je prakticky nemožné (/8 nedostanete).
Udělat to s veřejným rozsahem IPv6 lze (prov:ider:aab­b::/48). To už je samo o sobě pokrok.
A teď přijde konflikt tří zájmů: (Někteří) zákazníci by rádi /48, aby mohli používat bezstavovou konfiguraci, která triviálním způsobem zajišťuje statické adresy (či s privacy extensions velmi dynamické) na protokolech s hw adresou mapovatelnou na EUI-64. Vy byste rád měl víc než 16 bitů na členění uvnitř ISP. Registrátoři adres, kteří chtějí (či dokonce musejí) zabránít přílišnému plýtvání s těmito /48 rozsahy.
Někdo musí ustoupit a registrátoři to neudělají. Takže zbývají kupodivu tři možnosti (ne dvě): (1) vy obětujete vnitřní hierarchii, která nikoho kromě vás nezajímá, (2) zákazníci implementují DHCPv6, nebo (3) zákazníci obětují vás.

„nenarazíme na problémy např. s domácímy routery, ale dá se očekávat, že tyto krabičky se univerzálně poperou s jedním /64 ze strany ISP, třeba fungováním jako filtrující bridge, nebo DHCP6“
Potom nezbývá než doufat, že DHCPv6 bude všeobecně implementováno a předat zákazníkům konfigurační údaje (popřípadě jim DHCPv6 router nakonfigurovat).
Jenom úplně pro jistotu, DHCPv6 router nefunguje zdaleka tak automaticky jako DHCP(v4) NAT router. Předpokládám, že to víte, ale jistota je jistota.

„Vím, ale ani první NATy nefungovali tak automaticky jako dnes:)“
Vůbec netuším, co si pod tímto tvrzením mám představit. NAT ve smyslu IP maškarády s přednastaveným privátním rozsahem (např. 192.168.1.0/24) funguje sám o sobě.
Routovaný rozsah se musí nějakým způsobem konfigurovat. Každý zákazník má jiný.
„Selským rozumem by mělo stačit udělat krabičku jako bridge (ať mi routuje ISP), s firewallem na úrovni bridge (Linux umí, tj do plastové krabičky to číňan schová za pár dní).“
Tohle řešení už jsem viděl, ale je to obezlička a sdílení linkové vrstvy mezi zákazníky vede na některé komplikace.
To už se mi mnohem víc líbí možnost, že ISP na dálku konfiguruje použitý /64 prefix, i když ani to není ideální, protože pro firemního zákazníka se to zas bude řešit jinak.
Ale zase tu není problém odlišit úroveň zákazníka a na připojení bytů a menších firem používat /64 autoconf a modem konfigurovatelný od ISP, a /48 dávat jenom těm, co jsou schopni si tu síť sami nakonfigurovat (plus nabídnout konfiguraci jako nadstandardní službu).