Jump to content
Local
nindzja

Внедрение ipv6 в маленькую сеть!

Recommended Posts

2 minutes ago, Baneff said:

Ну я на всякий случай спросил. Сейчас вот увидел в опциях ядра и вспомнил :).

Ну а не надо, так и не надо, меньше сущностей - спокойнее сон.

 

Да там особо сложного ничего нет. Мне была интересна мультимаршрутность и устойчивость протокола. Сделал, протестировал, и отложил в сторону. Будут просьбы - буду включать. Актуален, например, для биллингов, при установке их в облаке "у черта на куличках".

Share this post


Link to post
Share on other sites

Подал я заявку на ipv6 /48 и получил ответ, что PI низзя, можно талько PA. Это как? А говорили всё просто :)

Share this post


Link to post
Share on other sites

Алё, народ! Давайте вернёмся к теме обсуждения.

Почему LIR предлагает мне взять PA ipv6 /48, то есть подсеть из своего блока, а не независимую PI подсеть, как это было принято в ipv4 ?

Говорит PI не для провайдеров, только для собственного применения, такие нынче правила и что PA ничем не хуже - функционал тот-же.

Как такое может быть?

Share this post


Link to post
Share on other sites

Там надо почитать. Насколько я помню, на выдачу ipv6 устанавливали другую политику выдачи блоков, и провайдерам теперь не выдают PI.

 

https://www.ripe.net/publications/docs/ripe-707

 

Я не запрашивал, поэтому это только то, что вертится в голове.

 

Share this post


Link to post
Share on other sites
28 минут назад, vop сказал:

Там надо почитать. Насколько я помню, на выдачу ipv6 устанавливали другую политику выдачи блоков, и провайдерам теперь не выдают PI.

И как тогда происходит маршрутизация? Если есть несколько внешних каналов, то через любой из них всё равно идёт обмен с маршрутизатором владельца блока из которого выделена подсеть? А с миром общается уже только этот маршрутизатор владельца блока? Как-то так? Странно это.

Share this post


Link to post
Share on other sites
17 minutes ago, Baneff said:

И как тогда происходит маршрутизация? Если есть несколько внешних каналов, то через любой из них всё равно идёт обмен с маршрутизатором владельца блока из которого выделена подсеть? А с миром общается уже только этот маршрутизатор владельца блока? Как-то так? Странно это.

 

https://tools.ietf.org/html/rfc6296

 

Если вы ISP, даете доступ клиентам, то берете несколько префиксов от каждого uplink'a. Ну и транслируете.

Share this post


Link to post
Share on other sites
10 минут назад, vop сказал:

 

https://tools.ietf.org/html/rfc6296

 

Если вы ISP, даете доступ клиентам, то берете несколько префиксов от каждого uplink'a. Ну и транслируете.

Это шутка? Или это такое изощрённое издевательство? Это называется "ipv6 намного проще чем ipv4"?

Share this post


Link to post
Share on other sites
2 hours ago, Baneff said:

Это шутка? Или это такое изощрённое издевательство? Это называется "ipv6 намного проще чем ipv4"?

 

Это один из вариантов multihomed ipv6. Вот тут немного подробнее:

 

https://en.wikipedia.org/wiki/Multihoming#IPv6_multihoming

 

В любом случае, обычный классический подход народу не очень нравится из-за огромных таблиц роутинга.

 

В ipv6 действительно все проще. В первых, ip в этой версии иммет более "утилитарное" значение, так-как запоминать его просто неразумно, держаться за свой "адрес" глупо, и оперировать надо в основном доменом, который в ipv6 должен перестраиваться динамично, в случае с рутингвыми траблами (как - фиг его знает). А во вторых - адресов достаточно, их не надо экономить, и ничего не мешает брать на каждый аплинк свой префикс.

 

Если вы не ISP а хостинг-агрегатор или облачныйпровайдер, то там немного другие постановки.

Edited by vop

Share this post


Link to post
Share on other sites
8 часов назад, vop сказал:

В любом случае, обычный классический подход народу не очень нравится из-за огромных таблиц роутинга.

Народу в моём лице очень не нравится, что нужно у каждого аплинка (коих несколько) покупать за 100 эуров их PA префикс. Также народу не нравится, что нужно заниматься опять НАТ-ом, транслируя адреса между каналами.  Адресов-то много, но опять НАТ, да ещё и посложнее предыдущего? А то, что остальному народу, которому нравится, жаль прикупить копеечной памяти чтобы таблицы маршрутизации влазили и из-за этого провайдерам придётся изгаляться вместо простого и очевидного решения - это что? Дикость, имхо, затыкание дыр первой попавшейся под руку затычкой. Короче - нет слов, одни матюки. Если правило - то давайте для всех. Проведём ревизии всех, кто получил PI ipv6 и выясним, кто из них провайдер, а кто нет. Если провайдер, то PI отобрать и выдать кучу PA блоков, пускай себе транслирует на здоровье. То-то веселье начнётся. Как тебе такое, Илон Маск?

Share this post


Link to post
Share on other sites

Кстати, понятно теперь, почему тут молчанка по этому вопросу. То неслабые баталии разворачиваются по мелким вопросам, а тут почти полная тишина, кроме @vop никто не отвечает. Думаю все, кто в теме, как-то уже затарились всеми правдами и неправдами PI блоками и теперь молчат в тряпочку, ну на  всякий случай :)

Edited by Baneff

Share this post


Link to post
Share on other sites

Продолжу свой монолог :) . Так вот, LIR говорит: берите что дают, PA блок вам подойдёт не хуже, чем вожделенный PI, независимая мультихом маршрутизация работает аналогично. Типа единственная разница - это привязка на обслуживание к этому конкретному лиру. Типа если захочу поменять лира на другого - они этот блок заберут и нужно будет получать новый блок у нового лира. Кто в теме, это так и есть? Тогда раздувание таблиц маршрутизации всё равно имеет место быть и райп озабочен только привязкой потребителей к лирам, раз издаёт такие указы. Чо-то вообще мрак, ничего непонятно.

Share this post


Link to post
Share on other sites

1. Первый абсурд - это попытка торговать префиксами так же, как торговали сетками в ipv4. Этот товар не стоит столько. И не должен столько стоить. Пока будут пытаться продавать - ipv6 будет тормозиться.

2. Речь не идет о NAT'е. Речь идет о трансляции 1в1 Никаких таблиц коннектов держать не надо, адресов достаточно. Не нравится - есть другие варианты.

3. И речь идет о совершенно другой идеологии, при которой сетки не растаскиваются в рамках PI, а держаться "кучками". Никто не будт таскать/48 по разным роутингам.

 

Поэтому, когда IRы "проникнутся" новыми идеями, тогда дело и пойдет. К этому надо привыкать. Как я писал, у ipv6 немного другая утилитарная нагрузка.

 

https://labs.ripe.net/Members/stephen_strowes/visibility-of-prefix-lengths-in-ipv4-and-ipv6

Цитата:

In other words, people have had time to make a grand old mess of things.

 

Типа, був час та натхнення, что бы устроить старый добрый бардак. :)

Edited by vop

Share this post


Link to post
Share on other sites
10 минут назад, vop сказал:

1. Первый абсурд - это попытка торговать префиксами так же, как торговали сетками в ipv4. Этот товар не стоит столько. И не должен столько стоить. Пока будут пытаться продавать - ipv6 будет тормозиться.

2. Речь не идет о NAT'е. Речь идет о трансляции 1в1 Никаких таблиц коннектов держать не надо, адресов достаточно. Не нравится - есть другие варианты.

3. И речь идет о совершенно другой идеологии, при которой сетки не растаскиваются в рамках PI, а держаться "кучками". Никто не будт таскать/48 по разным роутингам.

 

Поэтому, когда IRы "проникнутся" новыми идеями, тогда дело и пойдет. К этому надо привыкать. Как я писал, у ipv6 немного другая утилитарная нагрузка.

 

1. То есть ваша рекомендация - забить на ipv6 и ждать пока у лиров наступит просветление и они начнут раздавать ipv6 бесплатно? Боюсь я не доживу...

2. Да, это не называется НАТ, но суть та-же: замена одних адресов на другие на лету. Лишняя сущность присутствует, а лишние сущности умножают скорбь, коей и так в этой жизни с избытком.

3. Идеология понятна. Не понятно, почему именно провайдерам отказывают, а всем остальным нет? Сети /48 других участников рынка что, маршрутизируются неким волшебным способом и не раздувают таблицы маршрутизации? По факту кол-во пользователей в сети не бесконечно и "раздувание" существующих таблиц больше чем в два раза не будет, а такое "раздутие" вполне можно выдержать. Память дешевая, скорость обработки таблиц слабо зависит от их размера - в чём проблема?

 

И вы так и не ответили на вопрос: правду говорит лир или лукавит по поводу того, что технически разницы в маршрутизации блоков /48 PA и PI нет никакой, что вполне возможна независимая маршрутизация /48 PA ipv6 по аналогии с /48 PI ipv4 неким волшебным способом.

Share this post


Link to post
Share on other sites
58 minutes ago, Baneff said:

 

1. То есть ваша рекомендация - забить на ipv6 и ждать пока у лиров наступит просветление и они начнут раздавать ipv6 бесплатно? Боюсь я не доживу...

2. Да, это не называется НАТ, но суть та-же: замена одних адресов на другие на лету. Лишняя сущность присутствует, а лишние сущности умножают скорбь, коей и так в этой жизни с избытком.

3. Идеология понятна. Не понятно, почему именно провайдерам отказывают, а всем остальным нет? Сети /48 других участников рынка что, маршрутизируются неким волшебным способом и не раздувают таблицы маршрутизации? По факту кол-во пользователей в сети не бесконечно и "раздувание" существующих таблиц больше чем в два раза не будет, а такое "раздутие" вполне можно выдержать. Память дешевая, скорость обработки таблиц слабо зависит от их размера - в чём проблема?

 

И вы так и не ответили на вопрос: правду говорит лир или лукавит по поводу того, что технически разницы в маршрутизации блоков /48 PA и PI нет никакой, что вполне возможна независимая маршрутизация /48 PA ipv6 по аналогии с /48 PI ipv4 неким волшебным способом.

 

У меня сейчас три аплинка (хотя я не провайдер). Они вообще не дают ipv6. :) Но я нашел двух провайдеров ipv6 для "личных нужд" - мне хватает.

 

Я не знаю, что делать провайдерам. ipv6 развивать надо, что бы не "застали врасплох". Вопрос не в бесплатной раздаче, а в ipv6, как свойстве предоставления линка. Возможно в рамках стоимости самого линка. Сущность ip адреса меняется в v6. Но это, как я понимаю, вопросы, которые продолжают дискутироваться. Как бы новые возможности открылись, а применить их с толком и красотой пока не понятно, как.

 

По второму - ничто так не умножает скорбь и не вносит столько звеньев ненадежности, как дробные таблицы межпровайдерского рутинга.:) Поэтому все потихоньку автоматизируются, ручной труд убирается, и трансляцию никто не будет замечать. Она прозрачная в обе стороны. Простая технологическая сущность.

 

Про лира - пока все находится в ненавязчивых рекомендациях, лиры имеют некоторую свободу действий и решений. Я думаю, что в скором времени в ipv6 не будет понятий PI и PA. По сути, там будут все адреса PA. Мне кажется, что будет проще стать самому лиром, если у вас большое село, и в нем есть несколько провайдеров, которых можно привязать к себе. И просить /29 - /32.

 

PS Я так думаю, лиры исполняют так, как умеют. Как привыкли на v4. :)

 

Edited by vop

Share this post


Link to post
Share on other sites

Что-то я как-то бестолково пишу. :) Сходил, покушал. Решил дополнить.

 

Представьте ситуацию. Вы покупаете ether-какрту. А продавец говорит, что, мол, там есть MAC-адрес, за него надо заплатить. И более того, надо ежегодно оплачивать его использование... :) Странно, что никто еще не додумался торговать MAC-ами. Потому, что MACи - это абсолютно технологический компонет, вокруг которого нет никакого фетиша. Вот если вы производите сетевое оборудование, то  тут уже другой вопрос - вам необходимо получить свой mac-префикс. Или прикинуться китайцем :)

 

Введение ipv6 так же подкинуло идею отказаться от фетиша ip-адреса от слова "совсем". Превратить его в чисто технологический компонент. Адресное пространство ipv6 позволяет так к ним относиться.

 

Следующее, современный интернет уже давно разделил суть узлов сети, определив их как производителем услуг и потребителем. От этого зависит разная политика предоставления ip адресов.

 

Если вы потребитель, то совершенно не важно, какой именно у вас адрес в каждый конкретный момент. Учитывая то, что этот адрес генерит само устройство случайным образом в рамках префикса, если по хорошему. При этом, для потребителя совершенно не важно, как и как быстро меняется префикс. Адреса перестают быть фетишем, их уже не надо настраивать вручную, и тем более, запоминать. Фетишем становятся домены с dns, в том числе, динамические.

 

Другое дело производители услуг. Тут уже стоит закреплять адреса за серверами, которые предоставляют услуги. При этом, в эпоху cdn, значимость этого падает.

 

Что делать при нескольких линках. Если речь идет о серверной стороне - нет проблем - прописываем в dns 2 и более адресов по количеству линков, как это делается сейчас для ipv4. Если речь идет о потребителе интернет-услуг - то вариантов много - от прозрачной трансляции до выдачи нескольких ip на каждого потребителя. Если вы ставите 2 eth-карты в компьютер - вас не смущает, что ваш узел имеет два разных mac-адреса. Точно так же не должно смущать несоклько префиксов, если вы создаете multihomed систему.

 

Я так понимаю, что в ipv6 стараются построить сеть без всех этих безумных и ненужных обменов километровыми таблицами рутинга. Если вы покупаете сетевое оборудование - оно идет со своими MAC-адресами. А если вы покупаете uplink - то он должен быть "укомплектован" достаточным количеством ipv6 адресов.

 

Ну вот как-то так.

 

Что делать сейчас небольшому провайдеру. Если у одного взять /48, а другие аплинки возьмутся их анонсить - так и делать. На какое-то время хватит.

Share this post


Link to post
Share on other sites
6 часов назад, Baneff сказал:

Кстати, понятно теперь, почему тут молчанка по этому вопросу. То неслабые баталии разворачиваются по мелким вопросам, а тут почти полная тишина, кроме @vop никто не отвечает. Думаю все, кто в теме, как-то уже затарились всеми правдами и неправдами PI блоками и теперь молчат в тряпочку, ну на  всякий случай :)

 

обратитесь в нетассист! 

Share this post


Link to post
Share on other sites
 
обратитесь в нетассист! 
Підтримую. Я також звертався до них. Допомогли у отриманні статуса ЛІР, та власної АС.
Якщо з фінансами важко, то вони також виступають тунельним брокером(безкоштовно).
ЗІ: не реклама. Але реально допомагають у продвиганні в6.

Отправлено с моего ASUS_X00TD через Tapatalk

Share this post


Link to post
Share on other sites
1 минуту назад, ua.feldsher сказал:

Підтримую. Я також звертався до них. Допомогли у отриманні статуса ЛІР, та власної АС.

 

Это все похоже, опять на торговлю, тока в более крупных масштабах - хочешь PI - становись ЛИРом !

Share this post


Link to post
Share on other sites
Это все похоже, опять на торговлю, тока в более крупных масштабах - хочешь PI - становись ЛИРом !
Так, схоже. Але якщо задача стоїть запустити, і розібратися в роботі, то мабуть це один із найпростіших шляхів.
Ну, і як варіант, інвестиція на майбутнє. Якщо реально почнуть торгувати, то буде чим :-).

Через місяць після отримання префіксу і налаштування бордеру все проанонсувалося.(аплінки треба пінати, бо автоматизації по в6 поки нема, роблять руками). Зараз працює в тестовому режимі. На 20-25 роутерів (мікротік) делігую по /64. А вони вже в середину хомнет роздають по slaac. Із тплінків, завелася лише одна моделька, на старій прошивці(але глибоко не копав). Трафіку поки не багато, близько 50 мбіт. В основному ютуб.

Зі: весь фулвью в6 ~75к префіксів.

Отправлено с моего ASUS_X00TD через Tapatalk

Share this post


Link to post
Share on other sites
8 минут назад, ua.feldsher сказал:

Із тплінків, завелася лише одна моделька,

Какая если не секрет

Share this post


Link to post
Share on other sites
Какая если не секрет
Зараз не маю де глянути. Завтра відпишуся.

Отправлено с моего ASUS_X00TD через Tapatalk

Share this post


Link to post
Share on other sites

А как по мне - ipv6 бесполезная и изначально хреново продуманная концепция, созданная профессорами-теоретиками, а не сетевиками.

Можно ж было сделать не "что б круто было", а с сохранением совместимости и практичности, расширить адресное пространство еще на 2 байта ZZ.ZZ.XX.XX.XX.XX с сохранением IPV4 сетей как одного из подмножеств V6. Старое железо работало бы на ура, минимальные изменения в конфигурациях и мозгах.

 

В современной реализации никто не думал как будут выделяться блоки, где хранить эти 128 бит, как их вообще раздавать кастомерам и как обеспечить переход с V4.

Придумали и сказали "внедряйте".

По планам должно было быть молниеносное внедрение с 11 года, в виде "кто не включил в6 - тот лох", еще в те времена помню в каждой теме по выбору железа были фразы от NEPa "эта железка не умеет V6, через год придется выбросить". Но таки прошло 7 лет, 3 поколения железок сменилось, а оно все так же и остаётся диковинной штуковиной, ненужной ни потребителям, ни операторам. И железкам все еще V6 нужен "на вырост".

 

Если хостерам внедрение вылилось в минимальное усложение конфигурации и в принципе нынче половина интернета доступна на v6 only(но лишь половина!), то у операторов готовность минимальна. А у клиентов все еще хуже, 90% CPE не умеют нормально в V6.

P.S. в win7 был встроен 6to4 брокер(торредо), и даже работал. Пару лет назад обслуживающий хост у майкрософта сдох, с тех пор дуал-стек у win7 исчез. И всем пофигу, ничего не изменилось кроме того что моя домашняя винда теперь не проходит тест ipv6-ready.

 

На данный момент не вижу никакого смысла во внедрении V6, разве что если это не требует никаких финансовых и временных затрат, just for fun.

  • Like 3
  • Thanks 1

Share this post


Link to post
Share on other sites

P.S.S вот нахрена заложена концепция выдачи конечному клиенту /64? Зачем ему эти зиллиарды адресов? Если цель уйти от НАТа полностью - 16 бит для этого достаточно с огромным запасом, остальное гигантизм и понты.

Share this post


Link to post
Share on other sites
2 минуты назад, KaYot сказал:

P.S.S вот нахрена заложена концепция выдачи конечному клиенту /64? Зачем ему эти зиллиарды адресов? Если цель уйти от НАТа полностью - 16 бит для этого достаточно с огромным запасом, остальное гигантизм и понты.

и как все это будет отслеживаться ? в борьбе с кибер-преступниками ?

Share this post


Link to post
Share on other sites
13 минут назад, kvirtu сказал:

и как все это будет отслеживаться ? в борьбе с кибер-преступниками ?

Тут как раз проблемы никакой, целый блок /64 выдан клиенту и любой IP входящий в него - проблема клиента.

А вот то что сейчас даже списки блокировок ничего не знают про V6 - забавно.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×