Vlákno názorů k článku
DNS-SD objevování a přímé propojení účastníků za NATem Wireguard tunelem
od Petr Topiarz - Ano, technologicky a na úrovni světové komunikace je...
-
Ano, technologicky a na úrovni světové komunikace je ipv4 historií. Nicméně v malé podnikové síti je dhcp s ipv4 podle mne výhoda, protože zkuste se v síti s ipv6 kolegy z IT zeptat, jakou má adresu Radek. Kolega se zamyslí a pak řekne:
- "Ten má přece fe80::201:3fff:fe03:9c15."
- "Skvělé" , zajásáte a napíšete hned z hlavy do firewallu povolení této adresy pro určitou službu/server. -
Filip JirsákStříbrný podporovatelTo myslíte vážně? Že tohle je rozhodující důvod, proč používat IPv4 a ne IPv6? Že tohle je vůbec nějaký důvod? Víte například o tom, že s použitím IPv6 se zařízení v té malé podnikové síti nerozmnoží, takže se jejich adresy budou stále – stejně jako u IPv4 – lišit jen v posledním bajtu?
-
Adam KaliszStříbrný podporovatelAhoj Petře, mrkni se prosím na https://knihy.nic.cz/#IPv6-2019 čte se to dobře a je tam všechno na aktuální úrovni. Dobrý (i když místy o facku starší) je i volně přístupný kurz od RIPE NCC: https://academy.ripe.net/enrol/index.php?id=2
Jak jsem psal, IPv4 v lokální síti je z mého pohledu v pořádku, ale dříve nebo později budeš chtít mluvit s vnějším světem a tam IPv6 už brzo nebude volitelným doplňkem, ale asi spíš nutným předpokladem.V síti se obyčejně na lidsky čitelné věci používá DNS ;-) Radek bude mít např. pc42.example.com taky bys nejspíš chtěl až na výjimky používat GUA - tedy global unicast adresy. Firemní prefix si tam lze snadno zapamatovat a významné servery třeba právě jako DNS bude nejspíš něco jako 2001:db8:2468:f000::1/64 protože nejspíš prvních 48 bitů budeš mít na pevno, dalších 16 si +- budeš moc zvolit, podle adresního plánu a posledních 64 u serveru můžeš (a asi bys i měl) nastavit staticky.
Na firewallu v ACL na routovacím switchi asi dává smysl řešit pravidla na úrovni /64 nebo kratším prefixu. Jedna /64 je jedna bezpečnostní skupina a obyčejně jeden "link" např. VLAN. Jelikož jich ve firmě úplně bez problému můžeš mít 64k, tak mi to přijde jako docela dostatečná granularita. (16x celý běžný VLAN prostor o 4094 VLAN?) Na vyžádání je jistě dobře možné dostat i víc prostoru, aby se dobře řešila organizační hierarchie apod.
Když budu chtít něco jen tak ad hoc na lince něco bez dalšího nastavování DNS, routeru apod. poslat, tak udělám ping na ff02::1%<iface> normálně mi odpoví všechna zařízení na lince (VLAN) a kolegy se zeptám na poslední 4 cifry adresy, což na 99% bude sedět.
https://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtml#link-local
