Sergey Gilfanov Опубликовано 29 июня, 2015 · Жалоба Туннель вообще-то это не только доступ, но и защита/шифрование. В IPv6 вроде IPSEC собирались делать штатной возможностью, но насколько это реально, не в курсе. Да и кроме ипсека есть другие технологии тунеллирования-защиты, плюс могут быть отдельные требования к шифрованию. Потому, IPv6 вообще никоим образом не отменяет VPNы. Большая часть удаленных сервисов все равно свой транспорт само шифрует. Ибо 'локальная сетка' - уже давно не сильно доверенная среда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 29 июня, 2015 · Жалоба Большая часть удаленных сервисов все равно свой транспорт само шифрует. Ибо 'локальная сетка' - уже давно не сильно доверенная среда. Подпишитесь кровью под тем, что никакой сервис из тех, что живут в локальной сети большой компании не передаст ничего важного clear-text'ом? :) Например за каждый кейс будут лишать премии. Я бы так и делал.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 29 июня, 2015 · Жалоба и да, пока ещё ни одного запроса на L3VPN не видел, чтобы хоть кто-нибудь просил IPV6 L3VPN, все без исключения хотят только ipv4 Сначала ipv6 развернется в глобальной сети, а потом спустится в частные. Tier-1 и Tier-2 уже давно развернули v6, тормозят развите Tier-3 которые здесь и тусуются, ищут отмазки, лишь бы ничего не делать. вы даже себе не представляете сколько всякого старья крутится на каком-нибудь rhel4, solaris8 или freebsd4.X/6.X(кстати,что с freebsd 5?) где-то в глубине энтерпрайзов за десятью фаерволами, это реальный мир, хорошо это или плохо не даю оценку, просто констатирую факт. В 2009 году я мигрировал сервер, на котором был какой-то Linux с ядром 2.2.X (кстати, щас глянул, последний релиз ядра 2.2 был в 2004 году, так что всего 5 лет прошло с момента последнего релиза) собственно это никак не мешает развертывать ipv6. v4 может еще 20 лет работать параллельно с новым протоколом, пока все это старье не смигрируется в новую инфраструктуру Я не ищу причин чтобы не внедрять. Я ищу причины, чтобы внедрять. Высокодоходным клиентам не надо, b2c кастомерам пофиг(кроме <1% задротов). Поиграться можно и в виртуалках. Будет экономическое обоснование - будет ipv6. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 29 июня, 2015 · Жалоба Все просто, эффект от ipv6 будет когда кончатся ipv4 адреса. А они кончатся рано или поздно, и тут каждый решает, быть готовым к этому моменту или ждать грома Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 29 июня, 2015 · Жалоба Подпишитесь кровью под тем, что никакой сервис из тех, что живут в локальной сети большой компании не передаст ничего важного clear-text'ом? :) cleartext в большой локалке большой компании и так утечет, независимо от того, что он снаружи в туннеле. Вот, кстати, еще один аргумент: в один прекрасный момент две большие организации объединяются или большая покупает маленькую или просто нужно какой-то внутренний сервис совместно использовать. И тут выясняется, что у них пересекающееся адресное пространство. Из тех самых серых адресов. Дальнейшее - ну, не слишком весело обычно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 29 июня, 2015 · Жалоба cleartext в большой локалке большой компании и так утечет, независимо от того, что он снаружи в туннеле. Да ладно.. С чего бы? Вот, кстати, еще один аргумент: в один прекрасный момент две большие организации объединяются или большая покупает маленькую или просто нужно какой-то внутренний сервис совместно использовать. И тут выясняется, что у них пересекающееся адресное пространство. Из тех самых серых адресов. Дальнейшее - ну, не слишком весело обычно. Вай, как недальновидно мыслите :) Тем, кто продает компанию - этот вопрос пофиг. А вот тем, кто в ней работает - совсем нет :) Ибо отсутствие геморроя при слиянии сетей означает что их уволят быстро и со свистом! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 29 июня, 2015 · Жалоба cleartext в большой локалке большой компании и так утечет, независимо от того, что он снаружи в туннеле. Да ладно.. С чего бы? Чем больше сеть, тем больше вероятность, что на какой-нибудь важный интерфейс зловред посадят, чтобы этот cleartext снять. Вот, кстати, еще один аргумент: в один прекрасный момент две большие организации объединяются или большая покупает маленькую или просто нужно какой-то внутренний сервис совместно использовать. И тут выясняется, что у них пересекающееся адресное пространство. Из тех самых серых адресов. Дальнейшее - ну, не слишком весело обычно. Вай, как недальновидно мыслите :) Тем, кто продает компанию - этот вопрос пофиг. А вот тем, кто в ней работает - совсем нет :) Ибо отсутствие геморроя при слиянии сетей означает что их уволят быстро и со свистом! Кого надо уволить, уволят и так и так. С большой вероятностью - до того, как сети перенумеруют. В результате покупающая сторона получает совершенно лишнюю головную боль, которой можно было избежать, используя IPv6. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 29 июня, 2015 · Жалоба Вот, кстати, еще один аргумент: в один прекрасный момент две большие организации объединяются или большая покупает маленькую или просто нужно какой-то внутренний сервис совместно использовать. И тут выясняется, что у них пересекающееся адресное пространство. Из тех самых серых адресов. Дальнейшее - ну, не слишком весело обычно. В результате покупающая сторона получает совершенно лишнюю головную боль, которой можно было избежать, используя IPv6. А сколько раз вы участвовали в слиянии, если не секрет? ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 29 июня, 2015 · Жалоба А сколько раз вы участвовали в слиянии, если не секрет? ;) То ли два, то ли три раза было. Со стороны тех кто покупает, и не сходя с родного кресла. И подряд, когда одно слияние не успевало завершиться - начиналось следующее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 29 июня, 2015 · Жалоба Ну и неужели пересекающиеся сети самая большая проблема? Это же самая мелочь на фоне остальных проблем которые могут возникнуть (и возникают). :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 29 июня, 2015 · Жалоба а чё, ipv6 пересекаться не будут чтоль? (локалки двух сливающихся предприятий). или же все искренне верят, что а) каждое предприятие будет иметь свой блок или б) будет производиться ренамберинг всех компов при переключении на резервного оператора. Нет конечно, NAT66 не зря придумали(ради мультихоминга без bgp). И будут в локалках предприятий по сути те же самые серые адреса, только уже ipv6, а не ipv4. И также они пересекаться будут, потому что нумеровать будут сначала fd00::/8, вместо того, чтоб придумывать или где-то брать рандомные биты для выполнение RFC4193 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 29 июня, 2015 · Жалоба Все просто, эффект от ipv6 будет когда кончатся ipv4 адреса. А они кончатся рано или поздно, и тут каждый решает, быть готовым к этому моменту или ждать грома например, для некоторого оборудования нужно покупать лицензии, чтоб заработало ipv6. зачем их покупать сейчас, если ipv6 реально понадобится, допустим, через 2 года, а к тому времени это оборудование уже уйдёт на склад или куда-нибудь на переферию, где обработкой L3 может и не будет уже заниматься так, в целом, к ipv6 конечно нужно быть готовым. поднять его на asbr-ах хотя бы, возможно в bb своей сети. вдруг всё-таки появится жирный клиент с админом типа rm_, который убедит записать требование ipv6 в тендер Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 29 июня, 2015 · Жалоба И также они пересекаться будут, потому что нумеровать будут сначала fd00::/8, вместо того, чтоб придумывать или где-то брать рандомные биты для выполнение RFC4193 Есть надежда, что соответствующие люди все-таки будут знать, что можно uuidgen ради рандомных битов запустить. Ну и в сети тупо генераторы адресов для этого rfc4193 есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 29 июня, 2015 · Жалоба Чем больше сеть, тем больше вероятность, что на какой-нибудь важный интерфейс зловред посадят, чтобы этот cleartext снять. Есть сети, где это физически невозможно сделать. Кого надо уволить, уволят и так и так. С большой вероятностью - до того, как сети перенумеруют. В результате покупающая сторона получает совершенно лишнюю головную боль, которой можно было избежать, используя IPv6. Если кто-то мне покажет крупную корпоративную ipv6-only сеть - тому сразу поставлю пару бутылок дорогого вискаря. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 29 июня, 2015 (изменено) · Жалоба Если кто-то мне покажет крупную корпоративную ipv6-only сеть - тому сразу поставлю пару бутылок дорогого вискаря. Полагаю, что этот пример не подойдет под все ваши критерии, но он достаточно убедителен сам по себе - Terastream. Вот ещё маленькая статья Пепельняка, там много ссылок. Во, кстати, копаясь в блоге Пепельняка, нашел приличную цитату (рядом с тем местом, где Иван цитирует Хьюстона): Hint: You don’t need a business case for IPv6. It’s a business continuity solution. Изменено 29 июня, 2015 пользователем ipaddr.ru Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 29 июня, 2015 · Жалоба Полагаю, что этот пример не подойдет под все ваши критерии, но он достаточно убедителен сам по себе Ну у нас на бэкбоне тоже ipv6 fully implemented. Это ни о чем не говорит - построить ipv6 сеть не сложно. А вот полностью перейти на ipv6 - это уже другая история.. Страшная и ужасная. Поэтому про нее никто не пишет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snvoronkov Опубликовано 30 июня, 2015 · Жалоба И будут в локалках предприятий по сути те же самые серые адреса, только уже ipv6, а не ipv4. И также они пересекаться будут, потому что нумеровать будут сначала fd00::/8, вместо того, чтоб придумывать или где-то брать рандомные биты для выполнение RFC4193 А Вам зачем routable local unicast? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 30 июня, 2015 · Жалоба Если кто-то мне покажет крупную корпоративную ipv6-only сеть - тому сразу поставлю пару бутылок дорогого вискаря. http://www.internetsociety.org/deploy360/resources/case-study-facebook-moving-to-an-ipv6-only-internal-network/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 30 июня, 2015 · Жалоба http://www.internetsociety.org/deploy360/resources/case-study-facebook-moving-to-an-ipv6-only-internal-network/ Отличная фраза из презентации: Don’t make IPv6 an all or nothing proposition. You will fail. Ну и 100% они так и не добились. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 30 июня, 2015 · Жалоба Ну у нас на бэкбоне тоже ipv6 fully implemented. Это ни о чем не говорит - построить ipv6 сеть не сложно. А вот полностью перейти на ipv6 - это уже другая история.. Страшная и ужасная. Поэтому про нее никто не пишет :) Вы то ли не дочитали, то ли недопоняли, как мне кажется. В этом проекте IPv6 в провайдерской сети дотянут до клиента. Полностью и без альтернатив. А уже поверх этой сети как сервис бегает v4. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
thodin Опубликовано 30 июня, 2015 · Жалоба А уже поверх этой сети как сервис бегает v4. А какой в этом коммерческий смысл, если все работает и так? Перевод же на ipv6 - это деньги. У DT денег много, а у нас не очень. Тратить их на всякие развлечения не хочется.. Лишних людей тоже нет. Ни одного запроса от клиентов на ipv6 нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 30 июня, 2015 · Жалоба А какой в этом коммерческий смысл, если все работает и так? Перевод же на ipv6 - это деньги. У DT денег много, а у нас не очень. В статье было, что у них в результате в этой сети MPLS-а нет. Having a simple logical topology greatly simplifies the routing. They use a single simple IGP instance with no MPLS whatsoever. Лицензия на него тоже ведь денег требует? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 30 июня, 2015 (изменено) · Жалоба А какой в этом коммерческий смысл, если все работает и так? Перевод же на ipv6 - это деньги. У DT денег много, а у нас не очень. Тратить их на всякие развлечения не хочется.. Лишних людей тоже нет. Ни одного запроса от клиентов на ipv6 нет. Коммерческий смысл таков, что дешевле это сделать сейчас, чем пытаться сделать потом, когда из-за невнедрения v6 вы станете терять позиции на рынке. Вы, конечно, IPv6 не видите (и не увидите из IPv4 cloud), но его уже 8% (и это не гугловская статистика). Изменено 30 июня, 2015 пользователем ipaddr.ru Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 30 июня, 2015 · Жалоба сертификация по какому сертификату? Пёс его знает. Я думаю, что внутренняя, EMC^2-овская. А может и американское что-то. Не интересовался специально. Могу уточнить, если очень надо :) Видимо сертификат на право клеить голографические наклейки "* ip v6 ready" В отличие от блистательного v4, который видимо работать криво не может просто по-определению. может. но это легко диагностируется примитивными пингами и трейсроутами. я не представляю себе диагностику ipv6. зато легко представляю пару фатальных опечаток в ip адресе. на маршрутизаторе. или dhcp сервере. Вот, кстати, еще один аргумент: в один прекрасный момент две большие организации объединяются... И тут выясняется, что у них пересекающееся адресное пространство. Из тех самых серых адресов. Дальнейшее - ну, не слишком весело обычно. Вай, как недальновидно мыслите :) Тем, кто продает компанию - этот вопрос пофиг. А вот тем, кто в ней работает - совсем нет :) Ибо отсутствие геморроя при слиянии сетей означает что их уволят быстро и со свистом! Херня. :) лично исправлял такую ситуацию, когда во всех семи офисах крупной компании адреса раздавались дешевыми D-Link`ами по умолчанию в 192.168.1.0/24. 192.168.1.1 маршрутизатор, 192.168.1.2 сервер, 192.168.1.3 нас. в каждом офисе. а что, это же удобно! легко помнить! В результате покупающая сторона получает совершенно лишнюю головную боль, которой можно было избежать, используя IPv6. Заботливо подложены грабли в виде Link-Local и Unique-Local Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 30 июня, 2015 · Жалоба Коммерческий смысл таков, что дешевле это сделать сейчас, чем пытаться сделать потом, сто пакетов переданных в ipv6 приносят такой же доход как и сто пакетов ipv4. у меня множество оборудования не поддерживает ipv6. множество программ, сервисов, не поддерживает ipv6. вот когда большинство оборудования и всё ПО в результате естественной эволюции дорастет - тогда я начну медленно внедрять. сейчас это неоправданные расходы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...