Nejvhodnější čas pro nasazení IPv6...
...bude někdy mezi 2014 až 2016, do té doby ti, kteří se do toho hrnou po hlavě zaplatí vývoj, protože budou kupovat ještě drahá zařízení a vychytají chyby...
Z mého pohledu je dobře, že Evangelisti do toho lákají ovce na pořážku, někdo to zaplatit musí a stejně tak si někdo musí nabít kušnu, aby mohl radit :-)
Mňo, já osobně mám v mobilu veřejnou IP, kterou vážně nepotřebuju a jsem obecně toho názoru, že IPv4 adres je dost, jen jsou nesmyslně porůznu vyplácané.
Mimo to IPv6 adresy jsou jako hrábě na zametání chodníku, proč to tak je pochopí každý, kdo používá příkaz PING.
Jo a můžete si na mě smlsnout, že nemám pravdu, že IPv6 je krásná, že každá pračka potřebuje veřejnou IP a že k vůli NATu je život většiny lidí neplnohodnotný.
NAT může za:
- nízkou porodnost
- globální oteplování
- dluh USA
- krizi v Evropě
- rasismus
- Rómskou a cikánskou zločinnost
- Rómskou diskriminaci
- neúrodu
- drahý benzín
- světový terorismus
- nepokoje na Blízkém východě
- špatné Americké filmy
A tohle všechno IPv6 vyřeší.
Jasně.
To není o tom, že by nebyli schopní. Tohle je de facto standard adresace malých providerů, který je jen mírnou modifikací de facto standardu velkých providerů, kteří dávají na domácnost/firmu jednu veřejnou.
Ale má to jednu nevýhodu při adresování IPv6, protože tito malí provideři mají v IPv6 méně prostoru pro vlastní členění sítě než v IPv4. Pokud jsou sami zákazníci providera, který jim dá /48, tak při připojování /64 koncových sítí mají k dispozici 16 bitů pro rozdělení sítě místo 24 bitů, které jim poskytuje 10.0.0.0/8.
Společně s debilním zápisem IPv4 v kombinaci desítkové a dvěstěpadesátšestkové soustavy to činí mapování mezi adresací IPv4 a IPv6 takřka nemožné.
Naštěstí je tu i možnost postavit celou síť IPv6-only a IPv4 zpřístupnit buď tunelem nebo překladem. Do budoucna nevidím velkou šanci v tom, že by se každému chtělo udržovat a monitorovat dualstack.
Aha, tak to poslem nieco, co som pisal aj inde, nech vidite aj nieco viac.. Hadajte, kolkonasobny NAT to je.
$ tracepath -n root.cz
1: 192.168.1.11 0.240ms pmtu 1500
1: 192.168.1.1 3.140ms
1: 192.168.1.1 1.137ms
2: 192.168.88.1 1.768ms
3: 10.0.1.1 2.935ms
4: 192.168.20.1 5.071ms
5: 10.1.1.1 23.867ms
6: no reply
7: 192.168.102.13 18.384ms
8: 192.108.148.55 28.694ms asymm 11
9: 81.31.41.17 27.285ms asymm 12
10: 81.31.39.82 23.927ms asymm 11
11: 91.213.160.118 23.041ms reached
Resume: pmtu 1500 hops 11 back 54
Mno jevi se to jako aspon 6, pripadne az 8. To se z tohodle neda presne vycist. Technicky by to mohlo byt taky podstatne min, ale vychazim z predpokladu, ze routovani mezi 192 vs 10 siti neni uplne bezny + minimalne 2 tam byt musi (mezi verejnou a privatni siti jeden + druhy na ty duplicite IPcek).
Toto ovsem pokladam za velmi dobry duvod pro "duvodnou sebeobranu" ... ;D.
hm... podle tech latencí hádám, že buď je Váš poskytovatel velký amatér, nebo "kupujete" připojení od souseda,
který to kupuje od souseda,
který to kupuje od souseda,
který to kupuje od souseda,
.....,
který to kupuje od známého,
který má přístup ke kolejní síťi a připojuje vás všechy přes wifi pojítko :D.
Kdyby šel IPv6 nasadit bezbolestně paralelně do stávající infrastruktury, bylo by nasazování mnohem dále.
Jenže někteří chytrolíni vůbec nedomysleli systém přechodu a dostali geniální nápad - nový protokol prostě lidem vnutit. Proto v operačních systémech nastavili experimentální IPv6 jako preferovaný před odladěným IPv4.
Po včerejším "velkém zapnutí" nám tak přestaly některé weby chodit. Oprava byla velmi snadná - vypnout na počítačích IPv6.
„Kdyby šel IPv6 nasadit bezbolestně paralelně do stávající infrastruktury, bylo by nasazování mnohem dále.“
Na to perfektně sedí známé pořekadlo o rybách.
„Jenže někteří chytrolíni vůbec nedomysleli systém přechodu a dostali geniální nápad - nový protokol prostě lidem vnutit. Proto v operačních systémech nastavili experimentální IPv6 jako preferovaný před odladěným IPv4.“
Tak na to doporučuju si jít stěžovat Microsoftu, ten šel ještě o několik kroků dál a IPv6 aktivně protlačuje. Open source systémy jsou relativně konzervativní.
Nicméně nevidím žádný důvod, proč ve výchozí konfiguraci preferovat IPv4.
„Po včerejším "velkém zapnutí" nám tak přestaly některé weby chodit.“
Tak když jste to nezvládli opravit při loňském testu, nebo jste si zanesli do sítě chybu během roku, tak vás to nakoplo alespoň teď.
„Oprava byla velmi snadná - vypnout na počítačích IPv6.“
Zlepšit globální stav IP konektivity byl podle mě jeden z hlavních cílů akce. Zbavit se blbě nakonfigurovaných sítí je dost důležité pro další rozvoj internetu.
Takže díky, že jste tu blbě zkonfigurovanou síť alespoň částečně opravili. Akorát bych se asi vykašlal na to řešit to na úrovni jednotlivých počítačů a řešil bych to místo toho na úrovni celé sítě.
Znova, s prednastavenou IPv4 by se prechod na IPv6 konal, ale az v okamziku, kdy by skutecne nebylo kde brat => dost pravdepodobne by dochazelo ke zhrouceni siti ... Do ty doby by sice existovala mozna celkem "spousta" siti s Ipv6, ale ta by nefungovala, protoze by to nikdo nepouzival, a nikdo by tudiz nemel ani tuseni, ze to vlastne nefunguje.
Pokud je IPv6 preferovana v situaci, kdy ma IPv6 minimum lidi ( a z nich 99% jsou geekove, kteri vedi co delaji ), tak se jeji funkcnost odladi na tomto pidivzorku. Opak by byla naprosta katastrofa.
Zkusil bych si predstavit zhruba nasledujici situaci. V roce 2044 dojde nejaky hlavni hlavoun, sef vsech sefu ... k rozhodnuti, ze IPv6 je uz "vsude" a IPv4 tedy vypneme, a to prave "letos", 4.4. aby se to dobre pamatovalo. A 4.4, ve 4:44 udela nekdo "switch off" a vypne routovani na IPv4.
Naprosto dokonaly zpusob jak behem okamziku znicit internet. 80% siti se zhrouti okamzite a zbytek do hodiny, neb nikdo nepocital s timhle a s tamtim a onim ... protoze vsichni vesele porad pouzivali IPv4, a Ipv6 traffic byl naprosto mizivy.
1) IPv6 by fungovalo paralelně s IPv4 tam, kde IPv4 není, nebo si to aplikace explicitně vyžádá.
2) Momentálně na drtivé většině sítí není IPv6 nasazeno, tedy nefunguje. Zabývat se hypotetickými budoucími sítěmi, kde nasazeno bude a přesto nebude fungovat, je naprosto mimo mísu.
3) Geekové vědí dobře, co dělají a dokážou si to nastavit. Není-li IPv6 odladěno, je potřeba ho ladit. Až bude odladěno, je možno začít opatrně nasazovat i v sítích, kde geekové nejsou.
4) Vymýšlíte nesmyslný katastrofický scénář. IPv4 jde vypínat postupně naprosto jednoduchým způsobem - nastavit vyšší ceny IPv4 konektivity oproti IPv6. Zákazníci postupně přejdou sami. IPv4 pak nebude nikdo vypínat, protože samovolně vymizí sám.
Nasazování původního IP protokolu se také dělalo paralelně ke staré infrastruktuře (typicky Novellovská síť na IPX). Staré protokoly se pak rušily postupně, až když bylo jisté, že je nikdo nepoužívá. Nevidím žádný objektivní důvod, proč by to nemohlo být i u IPv6.
Sak IPv6 se taky nasazuje paralelne k IPv4, jen jednoduse tam kde nasazena je ma prednost pred IPv4, jednoduse proto, aby se na ni provoz postupne a sam presunul => na ubytku IPv4 provozu bude videt, jak prechod postupuje.
Nesmyslny scenar vymyslite vy, pokud budu mit zprovoznenu paralelne IPv4 + IPv6 a prednost bude mit IPv4, tak jak overim, ze IPv6 v siti funguje, kdyz ji nikdo nebude pouzivat? Aha, nijak. Jak overi server, ze je pripraven pro IPv6 klienty, kdyz bude mit i IPv4 a tudiz k nemu vsichni budou chodit jen po IPv4? Taky nijak.
IPv6 odladeno je dostatecne, nemluvim o ladeni protokolu ale o ladeni konfigurace site, to se jaksi bez realneho provozu delat neda.
Naprosto mimo misu je naopak nazor, ze by nekdo zprovoznoval IPv6 a cekal na to, az se najde nekdo, kdo nema IPv4 aby mu to vygenerovalo nejaky traffic. Siti kde je "zprovozneno" IPv6 a nefunguje to, je uz ted celkem hromada, tim ze zacnou zakznici rvat, ze "jim to nefunguje" to aspon ISPcka donuti to spravit.
„Tak znovu:
S přednastavenou preferencí IPv4 by byl přechod na IPv6 rychlejší.“
Tím, že se to bude opakovat, se to pravdou nestane.
„Default IPv4 => zavádění IPv6 nerozbíjí to, co už funguje na IPv4 => IPv6 má jen přínosy a žádné problémy => IPv6 je rychleji nasazováno.“
Bohužel pak IPv6 ztrácí i většinu přínosů, tím, že se nepoužije. Navíc tím ztrácí na reálném otestování.
"Tím, že se to bude opakovat, se to pravdou nestane."
Proto jsem toto tvrzení podpořil argumentem v další větě.
"Bohužel pak IPv6 ztrácí i většinu přínosů, tím, že se nepoužije."
Řeč byla o produkčních sítích, kde funguje IPv4 a IPv6 se teprve zavádí. Tam IPv6 žádný přínos nemůže ztratit, protože ještě žádný přínos nemá.
"Navíc tím ztrácí na reálném otestování."
No vidíte a já si naivně myslel, že IPv6 už otestované je a začíná se nasazovat naostro.
Vas bych si jako ITka nenajal, kdyz si myslite, ze neco nekde zapnete a ono to bude fungovat ... tak naivni pohled sem uz dlouho nezazil. Co myslite, je apache + php + mysql odladene? nejspis ano, kdyz tuhle kombinaci pouziva miliony webu? => kdekoli to nainstalujete bude to bez jakehokoli otestovani fungovat naprosto vpohode, ze?
lol
„No vidíte a já si naivně myslel, že IPv6 už otestované je a začíná se nasazovat naostro.“
„Nasazovat naostro“ ve smyslu jak se IPv6 teď nasazuje je jen další kolo testování. A není to specialita IPv6, jsou to i další síťové technologie, operační systémy, aplikace...
Je třeba se trochu podívat do reality a odhadnout si, kolik „nasazování naostro“ v praxi probíhá na něčem řádně otestovaném. Ono by to řádné testování totiž stálo mnohem víc než to nasazení, nejspíš řádově.
Ono se stačí podívat na stav toho NetworkManageru, to je softwarová záležitost, je to opensource, běžně se používá, ale přesto ve většině IPv6 setupů selhává (což se teďka naštěstí mění).
1) Dejte příklad technologie, která při nasazování zcela cíleně rozbije funkčnost něčeho jiného.
2) Podívejte se na realitu z pohledu admina sítě o cca 800 počítačích, kde na nepřetržité funkci závisí jeho výplata, možná i zaměstnání. Budete tam "nasazovat testováním" cokoliv, z čeho je momentální užitek minimální, ale může to celou síť rozhodit?
3) Na všech serverech se IPv6 nejprv testuje na zvláštní sub-doméně (ipv6.root.cz) a teprve potom přehazuje na ostrou. Ve většině LAN se to bude dělat taky tak. Akorát přibyde jeden krok navíc - před začátkem testování obejít všechny stroje v síti a všude IPv6 vypnout.
Akorát přibyde jeden krok navíc - před začátkem testování obejít všechny stroje v síti a všude IPv6 vypnout.
Aha. No, jestli obcházíš stroje, tak to úplně chápu tvé rozhorčení. Tak si místo remcání nastuduj, jak správu počítačů dělat centrálně a ušetříš sto jarních kilometrů po firmě. :-)))
1) Proti IPv6 nebojuju, naopak kritizuju návrhové vady, které komplikují přechod z IPv4.
2) Z koleje už jsem dávno pryč. Naštěstí. Jinak bych si musel udělat letní brigádu a rozchodit dual-stack dřív, než se začnou lidi nastěhovávat. Za běhu už by to nešlo.
Jinak na tvoje prskání už nehodlám reagovat.
Bože, kolik narcisů ještě máš v rukávě? Tento je výživný až až... Mimochodem, podle generalizace a ignorování obsahu textu, na nějž reagují, poznáte je... K věci: IPv6 nenabízí pouze řešení časem stále více palčivého kapacitního problému, ale také naprosto ničím nezaručenou provozní funkcionalitu. Velké instituce sice mají výhodu v možnosti centrální koordinace přechodu včetně časování a podmínek paralelního provozu, ale v řadě z nich je naprosto zoufalá situace v komunikaci mezi IT specialisty a manažery, což je zrada, s níž žádný článek na téma IPv6 nepočítá. Domácí uživatelé jsou zcela závislí na třech externích faktorech: OS (tady buďme rádi za linux), modemy a routery (to, co ohledně podpory IPv6 činí výrobci, je tristní) a konečně provider (jeho přečástá neochota si komplikovat život dříve než není vyhnutí se všemi negativními důsledky). Vedle toho je tu (ne)znalost uživatelů. Z toho plyne, že poskytovatelé obsahu si nemohou dovolit nic jiného než dlouhé paralelní období v dual stacku.
„1) Dejte příklad technologie, která při nasazování zcela cíleně rozbije funkčnost něčeho jiného.“
Prakticky jakákoliv, když se nasazuje dostatečně blbě. Co třeba firewall (či nová implementace firewallu)?
„2) Podívejte se na realitu z pohledu admina sítě o cca 800 počítačích, kde na nepřetržité funkci závisí jeho výplata, možná i zaměstnání. Budete tam "nasazovat testováním" cokoliv, z čeho je momentální užitek minimální, ale může to celou síť rozhodit?“
Bez interního testování a bez řádného plánu? *Nikoliv*.
Ale pokud mezi těmi 800 počítačích jsou nějaké Windows, tak se mi tam IPv6 nasadí tak nějak samo, a rozhodně si netroufnu ho ignorovat, pokud mi na té síti záleží. Microsoft mi tam totiž sám nasadí Teredo (druh červa, viz wikipedia), který mi otevírá síť světu.
Když to navíc zadropuju na firewallu, tak nevím, jak ty Windows budou přistupovat ke službám na IPv6 a IPv4. Měly by před Teredem prioritizovat
IPv4, ale dokud to vlastnoručně nevyzkouším, tak nebudu mít klid.
„3) Na všech serverech se IPv6 nejprv testuje na zvláštní sub-doméně (ipv6.root.cz) a teprve potom přehazuje na ostrou.“
A je to tak dobře. Tenhle způsob testování umožňuje v první fázi zjistit, jestli náhodou nemá s IPv6 problémy samotná aplikace (root třeba zobrazuje v6 adresy). Ale zrovna root už má IPv6 zapnuté na www docela dlouho, takže prošel všemi fázemi testování a jede „naživo“. Teď už i mnozí velcí včetně Google.
„Ve většině LAN se to bude dělat taky tak.“
Metoda testování IPv6 na LAN sítích je odlišná. Nasadí se na jednom stroji a zkouší se, co nefunguje. Pak na jednom oddělení. Obcházet počítače a vypínat IPv6 je IMO pitomost, když to jde řešit REJECTem na firewallu. A ten už je IMO dnes otestovaný dostatečně.
„Akorát přibyde jeden krok navíc - před začátkem testování obejít všechny stroje v síti a všude IPv6 vypnout.“
Podle mě je v tak velké síti mnohem elegantnější přidružit nasazení IPv6 k nějaké nevyhnutelné velké změně a nebo přepínat jenom zařazení do portů VLANů, pokud je to v dané situaci možné.
„Přestože by mohla být stejná a mnohem jednodušší, jak jsem popsal na úplném začátku. Nicméně, teď už je to jen takové "kdyby".“
To je věc, ve které se naše názory liší :).
„Za tipy k rozcházení IPv6 vám děkuji, budou se mi hodit.“
Už jsem myslel, hlavně díky diskuzi na začátku, že se pod tímhle článkem zadaří jenom ošklivý flame :).
„1) Dejte příklad technologie, která při nasazování zcela cíleně rozbije funkčnost něčeho jiného.“
»Prakticky jakákoliv, když se nasazuje dostatečně blbě. Co třeba firewall (či nová implementace firewallu)?«
Ano, takže přiznáváte, že IPv6 je nasazována dostatečně blbě. Resp. je snaha tento nesmyslně navržený (a do dneška nedotažený protokol) lidem vnutit pod zástěrkou jakése (dostatečně blbé) ideologie...
„Ano, takže přiznáváte, že IPv6 je nasazována dostatečně blbě.“
Jistě. Stejně jako IPv4 a všechny ostatní síťové technologie. Z nějakého důvodu si každý druhý myslí, že má počítačové sítě na háku stejně jako politiku a fotbal.
„Resp. je snaha tento nesmyslně navržený (a do dneška nedotažený protokol) lidem vnutit pod zástěrkou jakése (dostatečně blbé) ideologie...“
Stejně jako všechny předchozí nesmyslně navržené (a do dneška nedotažené) protokoly (akorát tu závorku jsem musel ukončit dřív, protože mi to nešlo přes prsty). A tou blbou ideologií bude jistě konspirační teorie o vyčerpávání IPv4 adres, kterých je ve skutečnosti stále hromada :).
Tak dost lidí to zvládlo už loni po jednodenním testu. Ale živý provoz několika významných serverů už je opravdu důvod síť opravit.
Přitom stačí tak málo, a to je *nikdy* nedropovat IPv6 požadavky zevnitř sítě ven (tedy vždy alespoň REJECT). Vypnutí IPv6 na koncových uzlech je taky alternativa, když si někdo neumí nebo nemůže správně nastavit firewall, nebo pro rozumné OS stačí vypnout oznamnování routerů přímo na síťových prvcích, aby to člověk nemusel dělat jednotlivě.
A jak to vidí běžný člověk? Mám doma chytrou krabičku, říkají tomu router. Rozbalím, zapojím a nic nenastavuji, protože to funguje od začátku. Za to připojím 2-3 domácí počítače. Fejsbuk i porno mi fungují, hry taky, protože dedicated servery už jsou prakticky jen v rukou vydavatele. Inteligenti mi nadávají, že prý jsem tupá ovce a ignoruji IPV6 a kvůli mně to ignoruje i můj poskytovatel, nezvyšuje se penetrace a tím pádem se brzdí rozvoj celého lidstva. A co si myslím já? Že IPV6 je další slovo, kterým se ze mě někdo snaží vytáhnout peníze (za novou chytrou krabičku, za někoho kdo to správně nastaví - případně za můj čas s nastavováním). A kdy mě to začne zajímat? Až nějaká z těch 3 uvedených věcí přestane fungovat. To bude tak možná kolem roku 2020.
Podpis: 90% obyvatelstva
Prosím nerozohňujte se, stejně s tím nic nenaděláte :-). Uvedené věty se dají použít i na firmy a obecní správu. Nedovedu si představit, proč by u nás ve firmě někdo ztrácel čas změnou infrastruktury na IPV6. Kolik to bude stát? Hodně. Co to dnes přinese? Hmm.
„A jak to vidí běžný člověk?“
Kdyby nám sem každý běžný česky píšící člověk přišel říci svůj názor na téma, kterému nerozumí… :). A kdyby proklikali reklamy :).
Nic proti běžnému českému názoru, o tom žádná, ale asi teďka nepůjdu prolést weby o lékařství, abych ke každé novince napsal svůj laický názor.
Obávám se, že právě "laický názor" je ten, který ve výsledku zaplatí tuhle čistě akademickou záležitost s IPV6. A jediný způsob, jak všechny donutit používat něco co nepotřebují, jsou výhružky typu "za půl roku dojdou adresy a svět se zhroutí, rychle s tím něco dělejte". Naštěstí většina lidí to rozumně ignoruje - nejenom domácnosti, ale i firmy. Jako konzultant ERP systémů to vidím u všech našich zákazníků. :-D
„Obávám se, že právě "laický názor" je ten, který ve výsledku zaplatí tuhle čistě akademickou záležitost s IPV6.“
Obávám se, že moje peněženka si o „laickém názoru“ myslí něco jiného.
„Jako konzultant ERP systémů to vidím u všech našich zákazníků. :-D“
Jo, kdyby mojí specializací byly konzultace ERP systémů, tak bych mě třeba taky technologický svět spíše otravoval.
,,Jo, kdyby mojí specializací byly konzultace ERP systémů, tak bych mě třeba taky technologický svět spíše otravoval."
Výborně, tak se zachovejte jako ERP konzultant a neotravujte s IPv6 ty, kdo o něj nemají zájem :-)
Taky do Vás nehustím, že je nejvyšší čas přejít na Windows, protože Linux se pokouší prosadit už 15 let a jeho penetrace je stále na úrovni statistické chyby.
„Výborně, tak se zachovejte jako ERP konzultant a neotravujte s IPv6 ty, kdo o něj nemají zájem :-)“
V této diskuzi se jistě takoví, které by tato technologie nezajímala, vzhledem k tomu, že se nachází pod článkem o IPv6 :). Navíc mám obavu, že sis mě s někým spletl. Ještě nějaké rady v zásobě máš, moudrý rádce?
„Taky do Vás nehustím, že je nejvyšší čas přejít na Windows, protože Linux se pokouší prosadit už 15 let a jeho penetrace je stále na úrovni statistické chyby.“
Ale pokud je to tvůj názor, tak to klidně napiš. Ideální to bude pod článkem o Windows, ale když to dáš pod článek o operačních systémech obecně, tak to bude taky k věci.
Navíc tím pomůžeš trochu dovzdělat tu část linuxáků, kteří se ještě něčím takovým nechají vyvést z míry.
Ono je to naopak. Výrobci ERP by rádi protlačili IPv6 ke svým zákazníkům a prodali to jako další novou úžasnou feature nové verze, kvůli které stojí za to investovat do upgradu. Jenže zákazníci to nějak nechtějí. Člověk by čekal, že firma, kde běží 5000 PC bude nadšená z toho, že všechny budou mít veřejnou IP adresu a vyřeší tak odvěký problém, kdy jsou schováni za 64 veřejnými IP adresami. A ono nic. Jejich IT oddělení na otázku "IPv6?" odpovídá "jo, byli jsme na nějakých prezentacích, ale neukázali nám jedinou výhodu a akorát nás varovali před hromadou věcí, na které si nově budeme muset dávat pozor".
Takže ne, velké firmy provozující ERP (továrny, obchodní firmy, opravny, investiční skupiny apod.) o IPv6 nestojí a je to pro ně strašák a ne lákadlo. A to přesto, že velké ERP systémy už tohle vesměs implementované mají. Takže o IPv6 nikdo nikoho nepřesvědčuje, IPv6 je tabu :-)
Mno ... jedna z mych naprosto osobnich zkusenosti s jistym "ERP" ...
Jeho dodavatel/vyrobce neni schopen dlouhodbe (10+let) zajistit neduplicitni cisla dokladu (= ano, ctete dobre, klidne se muze stat, ze vzniknou DVE (nebo vice) RUZNYCH trebas faktur se STEJNYM cislem). Zato umi nova verze lupu (neco jako prohlizece) ...
Takze implementace IPv6 bych se rozhodne nebal.
Zato znam par adminu firem, kteri provozuji site mezi pobockami a jsou na ne kladene vsemozne silene pozadavky, ktere na IPv4 prakticky nelze realizova nijak rozumne (a nerozumna reseni si nemusou dovolit), pricemz na IPv6 by to slo.
Samozrejme, pokud komunikujete s nekym, kdo si rika "IT manager" = nerozpozna klavesnici od mysi, neni se co divit. Par takovych totiz znam velmi osobne.
„akorát nás varovali před hromadou věcí, na které si nově budeme muset dávat pozor“
To mohli být klidně i u mě :).
Před lety mi na školení o IPv6 přišly dva lidi, mohl to být tak rok 2009, nadšení, že se s tím budou dobře propojovat jejich pobočky. Po jednodenním školení děkovali a odcházeli spokojení, že se včas dozvěděli, že to je pro jejich účel zcela nevhodné řešení a neztratili tím víc než ten jeden den.
„Takže o IPv6 nikdo nikoho nepřesvědčuje“
Ono proč taky, že.
Mno... po dlouhé době čtu od Vás příspěvek s užitnou hodnotou. Díky.
Ale nechápu rozčarování lidí.
IPv4 funguje.
Směřovat v internetu k IPv6 je jediná cesta, která má smysl.
Uživateli je jedno přes který protokol běží google, FB, voip, iptv, nebo ovládání domácí zařízení.... požaduje pouze funkcionalitu.
IPv6 není ve stejné fázi(na stejné úrovni) jako IPv4 co se týče možností nasazení ve firemním prostředí.
Aby IPv6 byl na stejné úrovni jako IPv4 bude stát peníze.
Do IPv6 bylo již tolik investováno, že jinou cestu budovat nebudou (stejně jako se chrání investice do IPv4).
Z hlediska uživatele je nevýhodný krok velkých hráčů k tomu, že zavedli IPv6. Z hlediska velkých hráčů je to logický krok ve smyslu "my už do IPv6 investovali hodně, tak prosím přidejte tu trochu do mlýna také.".
Pokud tou trochou je jenom to, že se v síťi odstraní problémy s interoperabilitou mezi protokoly, je opravdu důvod si stěžovat?
Řekněme že je toy ve fázi přetahování se o to, kdo zaplatí další vývoj (tím nemyslím blogování o nepoužitelnosti apod. ale další rozvoj IPv6 aby měl požadované vlastnosti jak z hlediska standardů tak z hlediska implementace).
U administrátorů a IPv6 si myslím, že není dobré si hrát na ignoranta. Jsou dva IP protokoly, kdyby si admini vzpoměli, kolik toho bylo před absolutní nadvládou IPv4 a eternetu, určitě by dali za pravdu, že toho zase tolik na učení není. Naopak ignorovat existenci IPv6 je z hlediska bezpečnosti ve firemním prostředí absolutní nezodpovědnost, která hraničí až s vědomým odborným selháním jedince.
IPv6 (mimo jine) smeruje prave k tomu aby bylo mozne BFUcku snadno zajistit funcionalitu => konecne snad nebudem muset na forech, diskusich, mailistech ... neustale a dokola odpovidat na dotazy "proc mi nejde stahovat z DCcka kamose", "proc sem pasiv", "proc vidim 150 peeru, ale pripoji se jich jen 5" ... na coz je dnes prakticky univerzalni odpoved "protoze NAT".
Nekde tady kolem jsou stesky ohledne toho, ze krabky neumi IPv6 ... kolik % krabek umi trebas UPNP? A kolik % lidi to ma nakonfigurovane?
Ad bezpecnost, neni od veci mit IPv6 firewall nakonfigurovany i v pripade, ze IPv6 konektivitu nema.
„Mno... po dlouhé době čtu od Vás příspěvek s užitnou hodnotou. Díky.“
Tak ono když se člověk snaží odpovídat tady na hromadu toho balastu, tak se v tom jen těžko může hledat reálná užitná hodnota :). Užitnou hodnotu vkládám do prezentací a článků, že, ty jsou k tomu určené.
„Řekněme že je toy ve fázi přetahování se o to, kdo zaplatí další vývoj (tím nemyslím blogování o nepoužitelnosti apod. ale další rozvoj IPv6 aby měl požadované vlastnosti jak z hlediska standardů tak z hlediska implementace).“
To není tak úplně pravda. IPv6 a IPv4 nejsou dva oddělené světy, spíš se jedná o další vývoj IP protokolu do několika směrů, viz třeba IPsec, který dnes nabízí možnosti jak naložit s NATem.
Další vývoj RFC zajišťují obvykle ti, kteří je zajišťovat chtějí nebo se to stane součástí jejich práce.
Další vývoj hardware a software zajišťují ti, kteří chtějí ten HW a SW nabízet.
Podle mě jsou karty rozdány :).
„Naopak ignorovat existenci IPv6 je z hlediska bezpečnosti ve firemním prostředí absolutní nezodpovědnost, která hraničí až s vědomým odborným selháním jedince.“
Přesně tak.
Technologický svět mě neotravuje, ale baví. Spíš mě otravuje vnucování pseudopokroku všem bez rozmyslu. To víte, že by se mi veřejná adresa hodila i jinde v domácí síti, než jen na routeru. Ale v současném stavu IPV6 je pro mě zprovozňování naprostá ztráta času. Proč? Např. zde:
http://oskar.blog.root.cz/2010/09/27/prakticke-problemy-s-ipv6-cast-druha/
A jaký vliv na názor má to, že se živím něčím jiným, než jsou síťové technologie? Ukázal jsem vám skutečnost z reálného světa. Tak zkuste roztáhnout závěsy na svém kolejním pokoji a podívat se ven. Až budete makat za výkon tak zjistíte, že super úžasná vychytávka, u které koncák funkčně nic nepozná (kromě nových chyb a nových problémů), se blbě prodává. Je sice skvělé ji vyvíjet a prosazovat, ale dobrý pocit nikoho neuživí. Že se v některých firmách daří prosadit projekt "převedeme vás na IPV6"? Super, taky bych se chtěl přiživit na téhle vlně a pumpnout někoho, kdo tomu nerozumí.
Že velké firmy nemají jinou možnost a musí přejít na IPV6, jak říká nadpis článku? To snad ne. To je jako říct, že ropa dojde a nemáme jinou možnost než si koupit auto na baterky. Kolik z vás tak učinilo? (eliminujme názor studentíků co jezdí sockou)
„Ale v současném stavu IPV6 je pro mě zprovozňování naprostá ztráta času.“
Pro tento problém mám úplně skvělé řešení. Nenasazuj. Fakturu pošlu ;).
„Ukázal jsem vám skutečnost z reálného světa.“
Já teď nevím, jestli se mě snažíš rozesmát nebo rozplakat. Při čtení tvého komentáře se cítím, jak když mi na dům zaklepali Jehovisti.
„Tak zkuste roztáhnout závěsy na svém kolejním pokoji a podívat se ven.“
A přečíst si časopis „Probuďte se“?
„Až budete makat za výkon tak zjistíte, že super úžasná vychytávka, u které koncák funkčně nic nepozná (kromě nových chyb a nových problémů), se blbě prodává. Je sice skvělé ji vyvíjet a prosazovat, ale dobrý pocit nikoho neuživí.“
V tom případě bych měl asi roztrhat svůj živnosťák, spálit daňová přiznání a jít si hodit mašli :).
Ale dobře, ať nejsem tak zlý. Je vidět, že máš spoustu zkušeností z praxe. Měl bych tedy podle tebe zrušit domácí IPv6 rozsah? Zrušit rozsah veřejných IPv4? Přestat jezdit na konference, kde se vyskytují nové technologie nebo nedej bože IPv6?
Rád si tvé rady vyslechu. Když budou alespoň dostatečně vtipné (za arbitra volím Oskara, autora článku, na který ty sám odkazuješ), můžeš si ke mě přijet pro pětikilo.
„Že velké firmy nemají jinou možnost a musí přejít na IPV6, jak říká nadpis článku?“
Název článku mě nezajímá, to si vyřiď s jeho autorem.
„(eliminujme názor studentíků co jezdí sockou)“
A... pán je snob. Hezké.
Přesně tak, jak říká Nfn.
Jeho domácí počítače stejně používají adresy 10.0.0.x , takže je úplně jedno, jakou adresu on má do vnější sítě Internetu. Takže by klidně stačilo, aby jeho nodem/NAT do vnější sítě uměl používat adresu IPV6 a na nic by on nemusel sahat.
Jedině nechápu, proč o tomhle nikdo na konferenci nic neříkal. Přece snad musí být kromě nepraktickýc akademiků i u nás pár lidí, kteří budou schopni s providery zajistit obyčejnnou výměnu (inteligentních) modemů a tím okamžitě vyřešit problém přechodu na IPV6 i pro domácnosti. - Ale třeba pár policejních donašečů z kademického prostředí z nějakého důvodu chce, aby přes IPV6 mohli fízlovat jednotlivé počítače v domácnostech.
Ne, ono opravdu nestačí, aby to uměl router, protože to je vám na nic. Pokud nebudou ty kompy routerem mít svou IPv6 adresu, tak se Nfn bude pořád rozčilovat, že mu pomalu a blbě chodí stahování přes torrent, Franta se bude rozčilovat, že si na počítači zapomněl na flashce zkopírovat seminární práci a i když ho nechal zapnutý, tak mu to je k ničemu, protože se na něj vzdáleně nepřipojí a Pepa, který se vrtá v Linuxu, bude vytvářet tunely přes nějaký free VPS hosting, aby se domů dostal přes SSH, protože holt přes pětinásobný NAT to jinak nepůjde, ani kdyby se rozkrájel.
Ty si zapojis blbo krabku a az zjistis, ze by sis rad trebas po priletu na letiste doma pustil topeni, tak prijdes na to, ze to nejde, protoze sis krabicku nenakonfiguroval a "od prirody" to nefunguje. A mozna ti pak taky nekdo rekne, ze kdybys nemel uplne blbou krabku, ale trochu chytrejsi a mel IPv6, tak do prohlizece ve svym mobilu napises "topeni.ume-doma.cz" a nastavis si tam ze ma zacit topit.
A kdyby ta IPv6 krabka byla ještě o trochu chytřejší a byla zabezpečená, tak se tam bez předchozí konfigurace stejně nedostaneš. Tedy předpokládám, že firewall na krabce bude mit zablokovanou iniciaci spojení zvenčí jak do sítě, tak na konfiguraci routeru samotného.
Bez toho zabezpečení je to docela nepříjemná věc, protože ti doma třeba někdo zatopí naschvál, aby sis toho všiml, a pak ti bude tvrdit, že má pod palcem celý tvůj život. Jako není to úplně až taková sranda.
Normalni clovek pouziva nejake heslo, to zaprve, zadruhe IPv6 ma ve specifikaci takovou peknou vec, IPsec se tomu rika => vase domaci krabka(pripadne primo to topeni) muze autentizovat vas delefon (napr) a pak se nemusite k topeni prihlasovat. Staci kdyz vase zarizeni vedi, ze tento klic je opravnen. Tudiz zadny firewall ani fitrovani netreba.
Technicky bych to videl tak, ze krabka vam bude plnit funkci radius serveru a kazdy zarizeni ktery si poridite s ni sparujete podobnejako kdyz chcete pouzivat BT (= dojde ke vzajemne vymene klicu).
Hehlede na to, ze pokud pominu tyhle pekny veci, tak ve spouste sitich se dostanete na web(:80), ale ne uz na :46873 a doma si kasi vic nez jedno zarizeni na :80 nepustite pokud nemate adresy.
Scifi? Nikoli, tohle vsechno lze uz ted rozdchodit, pravda, ne uplne BFU friendly.
„Normalni clovek pouziva nejake heslo“
Právě :).
Zbytek tvého komentáře je spousta zajímavých věcí, které úplně mimo kontext. Buď to bude dobře zabezpečené, nebo to bude jednoduché, nebo nějaký kompromis mezi tím. Kdo někdy řešil zabezpečení reálných systémů, tak ví, že zabezpečení se nějakým způsobem na jednoduchosti a použitelnosti odráží.
Zabezpeceni a nejen to vzdycky skonci tam, kde zacina blb a takovych je ... :D
Parkrat sem mel tu cest resit bezpecnost ruznych firem, vzdycky to zacalo tim, jak sou pro ne jejich data strasne dulezita, a jak strasne moc je treba je zabezpecit a skoncilo na tom, ze managorstvo si prece musi mit moznost pripojit do site cokoli (nefiremni notesy, pekne zavirovane zdomova ...)
Strasne sem se musel smat v jedne firme, kde dlouhodobe resili, jak znemoznit "vyhazovanemu" uzivateli, aby se prihlasil na notes (na kterem mel lokalni data), pricemz zaroven musel ten notes fungovat offline. Nedokazali pochopit, ze to je naprosto nerealizovatelny, leda snad ze bych odpalil na jeho barak nakou strelu a znicil ho i s notesem ...
Pritom co ja vim, tak i hodne podprumerny user si fireni data ke kterym ma pristup sosne hned v den nastupu ... co kdyby se to hodilo, ze ...
Jinak vyse uvedene si dokazu predstavit i velmi user friendly (=> user nemusi vubec tusit ze ma nejaky klic, pouziva ipsec ...), to ze to ted user friendly udelat lze jen za cenu vlastniho bastleni je jina vec.
„Zabezpeceni a nejen to vzdycky skonci tam, kde zacina blb a takovych je ... :D“
Takhle se bezpečnost taky dělat nedá :).
„Jinak vyse uvedene si dokazu predstavit i velmi user friendly (=> user nemusi vubec tusit ze ma nejaky klic, pouziva ipsec ...), to ze to ted user friendly udelat lze jen za cenu vlastniho bastleni je jina vec.“
Já s tebou naprosto souhlasím. Je to lákavá představa. Já ale mluvil o aktuální realitě a tomu jaksi nelze oponovat „co by kdyby“. Pokud dokážeš přesvědčit výrobce, aby něco takového bylo běžně k dispozici, tak budu jenom rád.
Jednoho dne bude mít Jarda IPv6 a Franta jen IPv4.
Franta na návštěvě uvidí, jak Jarda volá Tondovi (zadarmo), když napíše do nějakého programu sip:tonda.novak.kotehulky.net. A že mu Honza nasdílel porno na jeho domácím počítači. A že když do prohlížeče napíše kancl234.klima.autoservis.kotehulky.net, může si v kanceláři zapnout klimatizaci a nastavit teplotu. Půjde se poradit za odborníkem, a ten mu řekne: To u vás nejde! Váš router neumí IPv6. A váš provider ho neposkytuje.
Lidé si zvykli na jednosměrný internet, sdílení přes uložto, nepřímou komunikaci přes nejrůznější brány, a takový internet jim připadá normální. Bude nějakou dobu trvat, než se výrobci softwaru novému světu IPv6 přizpůsobí, a než i koncový uživatel objeví kouzlo peer-to-peer komunikace, ale pak to podle mne lidé sami začnou pokládat za běžné, a budou to vyžadovat.
Tak, lidé nic nesdíleli, protože to prostě bylo poměrně obtížné.
Existoval tu jistý IQ filtr, který odděloval zrno od plev.
A teď otázka:
Je dobře, že bude možné brouzdat po netu a čučet, kdo má otevřený share?
No, tak tím si nejsem fakt jistý.
V modelu Uživetel -> server je totiž vždy nejvíc ohrožený server až k vůli zranitelnosti serveru je zranitelný i uživatel. V každém případě - když je server konkrétní služby dobře zabezpečený - uživateli v podstatě nehrozí riziko.
Na druhou stranu v modelu Uživatel -> Uživatel jsou ohroženi všichni a virem nebo vlastní blbostí a jedním kliknutím budou moci nasdílet světu celý svůj home.
Přeji ti, aby každému z tvého rodu umřelo na rakovinu dítě za každého BFU, který k vůli profláknutí svých fotek na net spáchá sebevraždu.
Veřejnou adresu totiž potřebuje do 5% uživatelů.
Ostatní si mohou myslet, že jí potřebují, ale vlastně jí nepotřebují.
NAT není ochrana jako taková, ale dostatečná ochrana proti hloupému sdílení. A co udělá blbej užívák, když bude chtít nasdílet svoje fotky?
Vypne firewall, nepovolí port, o kterém nebude vědět, který povolit má, prostě ho vypne. Když k tomu připočteme bezpečnostní chyby, neaktualizovaný software, slabá hesla a defaultní sdílení složek, je IPv6 pohroma. Pěti procentům fašistických IPv6 fanatiků to pomůže s bittorentem, zbytku to bude buď jedno nebo škodit.
Treba se vyrobce "jedineho spravneho" OS nauci ho nakonfigurovat tak, aby to fungovalo spravne. Ono mu nic jinyho nezbude, kdyz tu 6tku bude mit kazdej a budou na nej chodit hromadny zaloby o miliardy dolaru, ze kvuli jejich nezabazpecenymu systemu mi nekdo vypnul kompresor v akvarku a chiply mi rybicky.
A lidi se taky (mozna) naucej, ze kdyz daj litr na hodinu "lopate", ktera jim !mozna! spravi auto (pozor, mluvim o autorizovanych servisech, garazisti jsou obecne daleko spolehlivejsi a kdyz neco neumej, tak to reknou!), tak ze 1500 na hodinu nekomu, kdo jim nakonfiguruje firewall neni zas tak moc.
Neznam zadny dobre zabezpeceny server(a samo, klidne priznam, urcite po sobe nechavam i ja diry, ktere objevi nekdo jiny), rad bych se o nejakem dozvedel, takze klidne jmenovat ... :D.
Jinak ja na tebe budu hodnej, ja ti preju jen to, aby ti umrelo tolik clenu tvyho rodu, kolik natu vedlo ke smrti (napr infarktem ...).
Verejnou adresu potrebuje kazdej uzivatel, jen mozna plati, ze 95% z nich neni schopno tu potrebu formulovat.
A kua nepis tady ty sracky o tom, ze nat je ochrana. Nat je asi tak stejna ochrana, jako kdyz si ho namazes husim sadlem.
> Je dobře, že bude možné brouzdat po netu a čučet, kdo má otevřený share?
Proskenovat celý prostor IPv4 je dnes už hračkou, ale jak byste to chtěl udělat v adresním prostoru IPv6?
Navíc, ten, kdo nechce, aby věci byly veřejné, už dnes použije alespoň heslo.
> V modelu Uživetel -> server je totiž vždy nejvíc ohrožený server
Vážně? Řekněte to těm milionům uživatelům napadených počítačů, jejichž jediný software je webový prohlížeč, a přitom se ji v počítači prochází tajemný Administrátor.
> kliknutím budou moci nasdílet světu celý svůj home.
A kolik lidí spáchalo sebevraždu kvůli profláknutým datům, protože jim nějaký „odborník“ na bezpečnost řekl: Nemáš veřejnou IP adresu, tak jsi v pohodě? Anebo vlastní blbostí přidali jedním kliknutím do archivu na megaupload fotku, která tam rozhodně přijít neměla? Blbost tohoto typu prostě se neodpouští. A když někdo odklikává varování bez čtení, tak ať si pak nese následky.
> Vypne firewall, nepovolí port, o kterém nebude vědět, který povolit má, prostě ho vypne.
Samostatně pracující počítač nepotřebuje rozlišovat mezi vnitřní a vnější sítí. Tedy firewall v podstatě nepotřebuje. Služby, které nechce propagovat veřejně do sítě, nemají co běžet. Pokud to výrobci softwaru dělají jinak, a vynucují tím používání firewallu, je to vina výrobců. A pokud už tam firewall je, a software s tím firewallem nespolupracuje, je to opět vina výrobců.
> Když k tomu připočteme bezpečnostní chyby, neaktualizovaný software, slabá hesla a defaultní sdílení složek, je IPv6 pohroma.
Opět stejný problém. V základním nastavení samostatně stojícího domácího počítače nemá co běžet jakákoliv služba, která propaguje zdroje do veřejné sítě. Jediným zranitelným objektem je pak jádro.
aha, takze ja ma podminky, tak to chci co nejdrvi a ostatni at mi polibi sos, kazdy nema kolejni sit, kazdy nema netbox, k cemu mi na adsl ci upc a podobnych 90% pripojeni moznost pristupu na muj nas, abych mohl dedovi ukazat video s vnoucky, kdyz na jeho stazeni budu cekat hodinu? to uz je lepsi vratit se ke kabelovemu prenos -flashdisk do kabele a jdu :)
sam bych take rad abych mohl pristupovat ke svym strojum primo, ale za soucasne rychlosti UP je mi to k nicemu, takze mi to nechybi a ipv6 mi nic nooveho neprinese, dokud nebudu mit up/down 1:1 a spolu se mnou vedsina ostatnich
„aha, takze ja ma podminky, tak to chci co nejdrvi a ostatni at mi polibi sos“
A co bysis přál, abych ve své síti IPv6 vypnul? Na mé síti by IPv6 nikomu kromě mě škodit neměla, takže ano, ať mi každý políbí šos.
To je stejné jako bys chtěl, abych s každým konzultoval, jeslti mám doma pít černý nebo zelený čaj.
„sam bych take rad abych mohl pristupovat ke svym strojum primo, ale za soucasne rychlosti UP je mi to k nicemu, takze mi to nechybi a ipv6 mi nic nooveho neprinese, dokud nebudu mit up/down 1:1 a spolu se mnou vedsina ostatnich“
1) Rychlost se počítá na megabity, ne na poměr up/down.
2) Ono se ti klidně může stát (neříkám, že zrovna tobě), že když si otestuješ rychlost proti něčemu jinému než známým speedtestům, že zjistíš, že máš poměr 1:1. Testoval jsem to u jednoho zákazníka, který měl oficiálně 100/10, přes speedtest.net 70/9, a můj test proti něčemu, co není známý speedtest vyšel cca 9/9, tedy tvé milované 1:1.
A k cemu ti bude linka se 100Mbit uploadem, kdyz se stejne na svuj domaci stroj nepripojis? Navic kdykoli bezi jakakoli diskuse s telecumem/upc a spol, tak oni tvrdi, ze zakaznici up nechteji. => pozadoval si rychlejsi up od sveho ISP?
Ja sem si vybral takovou linku, ktera vyhovuje me a nehodlam platit za nejakou zmrveninu. Jestli ty za zmrveninu platis, to je tvoje vec, ale nestezuj si.
K čemu linka se 100Mbit uploadem, když se na domácí stroj nikdo nepřipojí? To je jednoduché. Třeba rozesílání fotek z dovolené v příloze emailu vyžaduje netriviální objem dat na uploadu. Ve výsledku možná větší, než kdyby se oslovený podíval přes funkce na sdílení na pár fotek, které ho v náhledu zaujaly.
Stejně tak upload nekonvertovaného HD MJPEG videa z foťáku ve formátu .mov na Youtube dá uploadu zabrat.
podla mna je najvacsia psychologicka haluz, ze ma kazdy verejnu IP. ked si to ludia nezabezpecia tak to moze byt dost pru.er. A este ked sa dozvedia, ze oni su vlastne viditelni vsetci z netu, tak to este len bude rodeo :D za natom boli +- ako tak akoze kryti, aspon to mohli zvalit na ten nat a firewall. ked to dobre chapem, tak bude mat kazdy svoj firewall na osobnom pocitaci? no zbohom, polovica ludi ani nevie na co to je. nie kazdy lahko prijme fakt, ze je v ipv6 teoreticky lahsim tercom.
"Privela" IPv6 adries je vhodnejsie chapat ako podsiet(e). V tomto naozaj nastal psychologicky posun chapania sieti z pohladu ISP smerom k BFU.
Co sa tyka firewallu, stale bude niekde medzi chladnickou a internetom brana. Okrem routingu s filtrovanim zostava dalsou moznostou box s transparentnym bridging firewallom, ktory sa mi zda byt velmi vhodny na IPv6. Na tomto sa okrem zrusenia NATovania vela veci nemeni.
Samozrejme toto neriesi zranitelnost v ramci podsiete, a stale sa hodi mat aspon zakladny filter na kazdom koncovom bode.
„podla mna je najvacsia psychologicka haluz, ze ma kazdy verejnu IP. ked si to ludia nezabezpecia tak to moze byt dost pru.er. A este ked sa dozvedia, ze oni su vlastne viditelni vsetci z netu, tak to este len bude rodeo :D“
Mnozí mají dodnes přípojku pro jeden počítač s veřejnou IP. NAT ke každé přípojce je relativně nová vymoženost. Takže s tímto už zkušenosti jsou.
Ale mám pocit, že alespoň v jedné věci by ten NAT mohl bezpečnosti pomoci a to, že takovíti lidé, co si dnes pletou NAT s firewallem, budou zítra požadovat „alespoň“ ten firewall.
„ked to dobre chapem, tak bude mat kazdy svoj firewall na osobnom pocitaci?“
Firewall se dá používat na různých úrovních, já osobně preferuju pro domácnosti firewall už na routeru, povolené navázání spojení ven a povolené případně jednotlivé výjimky dovnitř. Pro klikače, co používají webová rozhraní, se toho v podstatě moc nezmění.
V IPv4 je mozne skenovanie rozsahu adries, takze napriklad nepatchnuty WinXP dostane cerva behom desiatok minut po pripojeni v verejnou IPv4 adresou, bez akejkolvek akcie uzivatela. V IPv6 je to nerealne.
Takze na jednej strane v IPv4 mozno pouzit psychologicke zabezpecenie NAT, v IPv6 je psychologicke zabezpecenie nemoznost uhadnut adresu. V kazdom pripade je to iba psychologicke a firewall/antivir/aktualizacie to nenahradi!
„V IPv4 je mozne skenovanie rozsahu adries, takze napriklad nepatchnuty WinXP dostane cerva behom desiatok minut po pripojeni v verejnou IPv4 adresou, bez akejkolvek akcie uzivatela. V IPv6 je to nerealne.“
To, co tu píšeš je taky pravda jenom částečně a jenom za určitých okolností.
„Takze na jednej strane v IPv4 mozno pouzit psychologicke zabezpecenie NAT, v IPv6 je psychologicke zabezpecenie nemoznost uhadnut adresu. V kazdom pripade je to iba psychologicke a firewall/antivir/aktualizacie to nenahradi!“
+1
Zdaleka ne jen pri restartu, jak casto se bude IPcko menit zavisi na nastaveni, muze byt klido jina co minutu. Technicky to funguje tak, ze si OS pamatuje vsechny predchozi, dokud pomoci nich probiha nejaka komunikace. Ale neni problem mit otevreno 100 konexi a kazdou z jine adresy.
Nemůžu si pomoct, ale situace mi přípomíná historii s 64bitovými procesory. IP6 je takové Itanium, které řeší spoustu věcí, ale nikdo ho vlastně moc nechce/nepotřebuje. Asi by pomohlo nějaké IP4_64, tj. "jen" přidat větší rozsah adresace, ale na to není takový tlak jako byl u procesorů (kdy byl nedostatek paměti daleko větší problém než je dnes nedostatek IP adres).
„64 bitový procesor potřebuje každý, kdo chce využít více než cca 3,5 GB RAM bez nějakých obstrukcí.“
V jednom procesu. Což není až tak častý požadavek.
„IPv6 potřebuje každý, kdo chce k internetu připojit více než cca 3 miliardy PC a dalších zařízení.“
Spíš každý, kdo nedostal od providera tolik IPv4, kolik má chce do internetu připojit strojů plus rezervu?
Protoze M$ to potrebuje pro svoje zamery, jednoduse dost tezko nekomu dorucit napr. IM aniz bych ho nutil byt trvale pripojen kamsi, a to se v pripade mobilnich siti realizuje blbe, navic to pak sezere baterku behem okamziku, zato nechat to jen semo tamo poslat IPcko, lze velmi snadno.
Jsou firmy kde mate skoleni za odmenu a musite dodelat chybejici hodiny. Takove jsou. Jsou firmy kde se jinak nez praxi se zelezem nenaucite protoze nejsou prachy na lab. Jedina moznost jak z toho ven je odjet do zahranici nebo se stehovat do Prahy.
Pan je zrejme rozmazleny korporatem/statnimi institucemi, kde se na nakou petku nehledi. Nekdy neni spatne byt na zacatku chude ditko ktere se musi protriskat jak se da. Mate pak motivaci a vice si veci vazite.
Opravdu nechapu co proti panu Simerdovi a jeho stylu skoleni muze mit. Jako byvaly ucitel a vecny student to myslim dokazu zhodnotit.
bohuzel ipv6 byl jeden velky fail, skousel jsem jit na naky ipv 6 web, ale nesel mi, tak sem volal na upc (muj isp) a tam mi rekli ze ipv 6 nepodporuji a nerekli mi zadny termin, kdy to podporovat budou. pry to nezvladaj windowsy tak to nemuzou nasadit (slova typka na technicke podpore)
takze jediny zpusob by bylo tunelovat to pres stavajici ipv 4 pripojeni, jenze jsem za routerem a verejnou ip nemam jen pro sebe, tak nevim jestli v tom nebude nejaky zadrhel.
Existuje někde nějaká statistika, která by říkala kolil lidí je za NATem a jak je na tom s konektivitou? Zajímá mě většina uživatelů internetu, tedy BFU, a to procentuelně. Kolik poskytovatelů používá symetrický NAT a nefunguje u nich ani NAT traversal (hlavně velkých)? Existence NATu je samozřejmě problém pro VoIP telefonii, herní konzole s připojením do internetu a jiné p2p protokoly a vynucuje si tak ze strany poskytovatele služby dodatečné zdroje tam kde by jinak šlo využívat konektivity uživatelů.
Pro všechny ty kdo tvrdí, že veřejnou IP nepotřebují - lidé s takovými názory brzdí inovace. Zeptejte se třeba vašich dětí, jestli veřejnou IP nepotřebují. Používají Skype nebo podobný software? Pokud jste si byli schopni zajistit porty u vašeho poskytovatele, budiž. Pokud ale necháváte ostatní uzly sítě přeposílat váš traffic, tak jen parazitujete na konektivitě druhých aniž byste sami přispívali. Aby služby VoIP mohly být ještě víe rozšířeny, je třeba zbavit se odpadu jménem NAT, protože v produkčním prostředí prostě není představitelné, abyste třeba staré babce sdělili že nemůže zavolat své vnučce, protože nemá povolené porty.
Jediný způsob jak to má vypadat je že uživatel stáhne instalátor, odkliká Next, spustí a registruje se podle jednoduchých instrukcí a ono mu to jede, vždy a za všech okolností.