[Картуччо]

А ничего потом. Сотовики через нат обслуживают абонентов намного больше, чем все проводные провайдеры вместе взятые.

И ничего, никто не жалуется. Причём количество внешних адресов очень и очень умеренное используется.

Никаких тройных не надо.

И даже торренты научились раздавать будучи за файрволом и натом.

[xcme]

Слышал, что а Яндексе вообще отказались от использования серых адресов. Любой девайс получает там белый IP, хоть это даже телефон. Посчитали что так проще и, в конечном итоге, дешевле.

[ChargeSet]

Большинство спокойно сидит за двумя NAT и не парятся

 

какое прогрессивное решение, а потом что делать? тройной нат? четверной? n-ный?

Ваша ирония понятна, я сам за ввод ipv6 в массовую эксплуатацию. Я к тому, что rest of world не готов к этому. Как очень метко заметили выше, ip6 опасен. Вы готовы взять на себя ответственность за абонентов? За их дырявые cpe и некомпетентность?

[Ivan_83]

Прошло время а IPV6 никуда и не пошел - на месте стоит (считайте пошел на...к).

Меньше 1%, Карл! У нас в Литве еще меньше. Дальнейший диалог считаю бессмысленным по IPV6.

Сами то чего ждёте, внедряйте.

 

 

Мне вот кажется, что невысокий процент проникновения IPv6 конкретно в РФ и в других странах не может говорить о том, что что-то не так с IPv6, но говорит о том, что что-то не так с этими странами.

Конкретно теперь в РФ и вправду многое не так: придурки взялись клепать законы об интернете.

Сейчас мало просто поднять ипв6, нужно там ещё и фильтрацию обеспечить.

 

 

Но сам факт необходимости доступа извне на все устройства локальной сети стал как-то совсем неочевиден, даже более того, нахрен не нужен и опасен.

Это ты зря.

Тут всему виной огромная централизация пользователей по всяким соц сетям и их низкая=никакая грамотность в целом.

В идеальном мире всё должно быть p2p а для этого ипв6 просто идеален.

[Macil]

Ошибка рассуждений заключается в том, что вы принимаете тот факт, что специалист должен разбираться по-полной в оборудовании

Я бы согласился, но проблема в том что OpenFlow машшшт флоу, иначе сегмент сети превращается в тыкву. Специалист должен не просто знать спецификацию и понимать семантику работы, а ещё понимать как это всё работает в рамках конкретной аппаратной реализации, версии фирмвари, и даже конкретной конфигурации устройства. Для этого разработан механизм TTP (Table Type Patterns). И даже мой весьма поверхностный обзор OpenFlow показывает для чего это было сделано.

Например, "чертова физика" занимает нехилую долю на рынке смартфонов.

На рынке смартфонов физика совсем другая: штампуется материнская плата высокой интеграции, у линеек пожиже — сторонней разработки и производства со стандартной фирмварью на которую только нужно натянуть свои скины (опять же, по аутсорсу). Андроид убрал приличную долю «реальных» затрат на содержание своей команды разработчиков (или в крайнем случае доработчиков), а универсальность и распространённость платформы позволила превратить смартфон из «звонилки» в *массовую* платформу для потребления контента. Короче говоря, андроид масштабные коэффициенты таки снизил.

 

Другой пример из области электроники. Есть в Великобритании НКО Raspberry Pi Foundation. Выпускает линейку (уже линейку) одноимённых «одноплатников» миллионными тиражами. В самой конторе только проектирование, разработка фирмвари, пиар, и управление. Заказы размещают на стороне, продажами занимаются только в виде B2B посредников. Привлекают нехилые ресурсы сторонних организаций и компаний.

 

С сетями — всё с точностью до наоборот. Если в области электроники своя материально-техническая база скорее исключение, то в области телекома по-другому и быть-то не может. А с ростом объёма растут затраты на поддержку, эксплуатацию и расширение. И честно, положа руку на сердце, какие новые горизонты открываются оператору с ростом материально-технической базы? Толпы хомячков, толпы приравненных к хомячкам обитателей офисных центров? А способность участвовать в «интересных» проектах определяется совсем не «толщиной».

 

И каким тут боком прописалась SDN? При всём своём желании, она не сможет уменьшить количество погонных километров оптических сетей, количество узлов доступа, количество узлов агрегации, количество необходимого оборудования, количество монтажников, сварщиков и линейных инженеров. Скорее наоборот даже увеличит затраты на оборудование уровня доступа. Плюс добавит затраты на управление...

 

Есть еще одно модное слово, которого выше не встретил: "коммодитизация".

Это всего лишь ещё один оборот спирали от «тупых» свитчей начала 2000-х до тех же тупых свитчей но с внешними мозгами. Есть основание предполагать что всё будет именно как с VoIP под SIP. IP-телефоны стали коммодити? И да, и нет. Циски с цисками, алкатели с алкателями, авайи с авайями. Да, конечно, и китайцы с китайцами, но без гарантии. И такая же закономерность: либо инвестируем в людей, и тогда они нам делают уникальное решение, либо инвестируем в железки, но жрём что дают и весь вендорский программно-аппаратный стек целиком.

 

А такая фигня, как "Смена протоколов", например, может происходить на всей сети быстро и безопасно. Без выноса трех четвертей оборудования.

В текущих условиях такая «фигня» как смена версии OpenFlow означает вынос 100% оборудования.

[Macil]

А ничего потом. Сотовики через нат обслуживают абонентов намного больше, чем все проводные провайдеры вместе взятые.

И ничего, никто не жалуется. Причём количество внешних адресов очень и очень умеренное используется.

Ага, трейсрут мобильного Мегафона — просто песня. Левая геолокация и гугл с капчами — давно уже из бага превратились в фичу. Жаловаться — бесполезно. У остальной большой тройки ещё хуже.

[saaremaa]

Сами то чего ждёте, внедряйте.

Пробовали. Ответ ChargeSet полностью описывает ситуацию.

 

Ipv6 сейчас просто не нужен, ровно как и не особо нужен sdn.

[zi_rus]

rest of world не готов к этому

что-то меня это не останавливает, спокойно пользуюсь дома ipv6 и по возможности все коммуникации на него перевожу внутри home сети, да и на прошлой работе сервера тоже в ipv6 загонял, почти все даже заработало.

 

ip6 опасен. Вы готовы взять на себя ответственность за абонентов? За их дырявые cpe и некомпетентность?

в ipv4 все такое же дырявое и все такие же некомпетентные. чтобы провести атаку на абонента, надо знать его ip адрес, а в ipv6 только чтобы одну сеть просканить это большая проблема, а уж чтобы массово находить хосты в интернете это совсем тяжко.

Просто посчитаем, берем какую-то сеть /64 где мы пытаемся найти жертву, нам неизвестны остальные 64 бита, 16 из них мы знаем это FFFE, остается угадать MAC, два бита оттуда мы тоже знаем, остается 46 неизвестных бит, предположим что в сети у нас 1000 компов и получаем:

1000 компов / (2^46) = 1.42 * 10^(-9)% = 0.00000000142% - это равнозначно если бы в существующем интернете работало всего 4 компьютера и вам сказали узнать их адреса. в реальности компов в сети будет меньше десяти, то есть это все равно что во всем интернете был только один комп и его периодически выключают

 

ну и раз уж тема про sdn...

В текущих условиях такая «фигня» как смена версии OpenFlow означает вынос 100% оборудования.

неужели это проблема всей техологии SDN или все таки это разработчикам надо по ушам надавать чтобы такого не происходило

[wanderer_from]

Я бы согласился, но проблема в том что OpenFlow машшшт флоу, иначе сегмент сети превращается в тыкву. Специалист должен не просто знать спецификацию и понимать семантику работы, а ещё понимать как это всё работает в рамках конкретной аппаратной реализации, версии фирмвари, и даже конкретной конфигурации устройства. Для этого разработан механизм TTP (Table Type Patterns). И даже мой весьма поверхностный обзор OpenFlow показывает для чего это было сделано.

В одном абзаце четыре противоречия самому себе :)

ОпенФлоу безусловно должен быть флоу. Точно так же, как BGP должен стоять в бордер. И там и там - если перестает работать, то получается тыква. Специалист называется специалистом, потому что специализируется - кто-то будет специализироваться на аппаратных реализациях, кто-то на на фирмварях. А кто-то на API для управления фирмварями. И отдельно для - TTP. Система телекоммуникаций стала достаточно сложна, чтобы знать все о ней одному "среднему специалисту". Эволюция "от простого к сложному", брат.

 

С сетями — всё с точностью до наоборот. Если в области электроники своя материально-техническая база скорее исключение, то в области телекома по-другому и быть-то не может.

Почему? Телеком какой-то особенный? Там компьютеры не на бинарной логике?

 

По остальным замечаниям вижу какую-то боль, но не понимаю ее экономической сущности. Например, IP-телефония не стала коммодити, потому что коммодити стали мессенджеры и прочее ОТТ. У них миллиардные абонбазы и срать они хотели на транспорт до конечного абонента, ибо решение их - только софт.

 

И каким тут боком прописалась SDN? При всём своём желании, она не сможет уменьшить количество погонных километров оптических сетей, количество узлов доступа, количество узлов агрегации, количество необходимого оборудования, количество монтажников, сварщиков и линейных инженеров. Скорее наоборот даже увеличит затраты на оборудование уровня доступа. Плюс добавит затраты на управление...

Опять противоречия и попытки сравнения круглого с мягким. SDN, я повторюсь, это маркетинговый термин, который означает "программно-конфигурируемые сети". Не аппаратно. Программно. Сколько раз это нужно повторить? Разницу между кабелем и устройством маршрутизации нужно написать?

 

А то, что на земле кому-то все равно придется работать - так радоваться надо! Рынок растет, растет применение сетей - тот же "просто голос", например, нахрен никому уже не нужен, а нужна универсальная среда передачи кучи данных от IoT, видео-шмидео и прочая непотребщина. В общем, без работы не останемся ближайшие пятьдесят лет точно.

 

В текущих условиях такая «фигня» как смена версии OpenFlow означает вынос 100% оборудования.

Неправда. Иди снова читай доки. Начни вообще с самого начала (документ 2009 года)

[ChargeSet]

что-то меня это не останавливает, спокойно пользуюсь дома ipv6 и по возможности все коммуникации на него перевожу внутри home сети, да и на прошлой работе сервера тоже в ipv6 загонял, почти все даже заработало.

Ок, вы на острие прогресса. И что? Rest of world это немного больше людей и устройств, чем вы и ваша домашняя сеть.

в ipv4 все такое же дырявое и все такие же некомпетентные. чтобы провести атаку на абонента, надо знать его ip адрес, а в ipv6 только чтобы одну сеть просканить это большая проблема, а уж чтобы массово находить хосты в интернете это совсем тяжко.

<skip>

Согласен, но абоненты, сидящие за NAT автоматически вне опасности.

Какой процент провайдеров даёт честный белый уникальный IP своим абонентам? Сколько таких абонентов в хозяйстве оператора? В первом вопросе вряд ли провайдер настолько щедр, а во втором - их один хрен мало, и это в основном юрлица, которые понимают, зачем оно им надо и защищают себя сами силами своих админов.

Сканирование диапазонов ipv6 не есть проблема, мне кажется это почешется сделать любой владелец любого более-менее крупного ботнета.

[stas_k]

Согласен, но абоненты, сидящие за NAT автоматически вне опасности.

в большинстве бытовых роутеров реализация NAT уязвима к проникновению извне.

 

 

 

https://community.rapid7.com/community/metasploit/blog/2014/10/21/r7-2014-17-nat-pmp-implementation-and-configuration-vulnerabilities

 

http://www.opennet.ru/opennews/art.shtml?num=40922

Изменено 7 января, 2016 пользователем stas_k

[Картуччо]

Какой процент провайдеров даёт честный белый уникальный IP своим абонентам?

Сдаётся, что может не по проценту провайдеров, но по проценту абонентов это будет большинство.

Потому что крупные типа Ростелекома и Билайна дают именно внешние адреса, пусть и динамические.

Но при этом из-за широкой потребности в вайфай всё равно все сидят за домашним натом.

А на роутерах, как правило, и стейтфул файрвол по-умолчанию включен, по крайней мере для IPv4.

Один домашний комп, в который приходит кабель от провайдера это уже, наверное, исключение.

[Ivan_83]

Пробовали. Ответ ChargeSet полностью описывает ситуацию.

Хомякам это лишним не будет.

 

 

ip6 опасен. Вы готовы взять на себя ответственность за абонентов? За их дырявые cpe и некомпетентность?

Какой маразм!

Ты труба, даёшь инет остальное не твоё дело.

 

Сканирование диапазонов ipv6 не есть проблема, мне кажется это почешется сделать любой владелец любого более-менее крупного ботнета.

Да да, иди посканируй, хотя бы одну /64.

А кроме этого ОС ещё и временные ипв6 адреса берёт, которые нужны для повышения приватности, она их юзает какое то время и потом освобождает и берёт новые.

[ChargeSet]

stas_k, по линкам 1,2 миллиона устройств уязвимы. Примерно. Я бы не сказал, что это много.

 

Картуччо,

А что, мегателекомы прямо каждому абоненту дают уникальный белый адрес? Сдается мне, у них абонентов в принципе больше, чем выдано адресов в российский сегмент интернетов. Не сходится.

 

Ivan_83,

Вы вот "хомякам" идите объясните, что у них интернет плохо работает из-за их кривых рук/дырявых роутеров/засранных компов, а не из-за провайдера. Так или иначе, я не против ipv6, я считаю, что сейчас он не к месту и не ко времени

[st_re]

ip6 опасен. Вы готовы взять на себя ответственность за абонентов? За их дырявые cpe и некомпетентность?

Какой маразм!

Ты труба, даёшь инет остальное не твоё дело.

 

ну тем не менее жалобы от абонентов что "мы через ваш интернет заразаились" тоже имеют место быть.. Опять же очередные плачи Ярославен про "днс зафудили". Для 99% абонентов входящий доступ не нужен вообще. Я бы предпочел чтобы он был всем им закрыт по умолчанию. Кому надо, пускай снимет галочку в личном кабинете (да, естественно такая возможность должны быть, и 1% ей легко воспользуется).

 

Сканирование диапазонов ipv6 не есть проблема, мне кажется это почешется сделать любой владелец любого более-менее крупного ботнета.

Да да, иди посканируй, хотя бы одну /64.

А кроме этого ОС ещё и временные ипв6 адреса берёт, которые нужны для повышения приватности, она их юзает какое то время и потом освобождает и берёт новые.

 

да, сканировать наверное не стоит. Проще собирать списки живых, заманивая на "свои" ресурсы. Правда обычно там же можно сразу и заразить зашедшего через HTTP, не заморачиваясь IP, NAT или прочими фаерволами. Всегда найдется лапух, нажавший на "да, проверить на вирусы" в достаточных количествах. Как и открывший "список плановых проверок налоговой на следующий год" свалившийся на почту, даже если он всего лишь помошник кладовщика.

[pppoetest]

ip6 опасен. Вы готовы взять на себя ответственность за абонентов? За их дырявые cpe и некомпетентность?

Какой маразм!

Ты труба, даёшь инет остальное не твоё дело.

Вы это леммингам объясните.

[Картуччо]

А что, мегателекомы прямо каждому абоненту дают уникальный белый адрес?

У всех провайдеров, что я пользовался, всегда был внешний динамический адрес, зафиксировать можно было за деньги.

Это крупный регионал, вошедший в МТС, а теперь Билайн.

Не раз приходилось настраивать подключения к Ростелеком, тоже всегда был внешний адрес.

Из сотовых операторов до некоторого момента Теле2 выдавал всем публичные адреса.

Да и сейчас, насколько приходится иногда слышать, RIPE крупным операторам выдаёт адреса без особых вопросов.

 

сейчас он не к месту и не ко времени

3й десяток лет протоколу пошёл :)

 

да, сканировать наверное не стоит. Проще собирать списки живых

Не могу вспомнить, где читал про взлом домашних роутеров.

Никто там ничего не сканировал. Из провайдерской локалки как-то заходили.

[Умник]

Да и сейчас, насколько приходится иногда слышать, RIPE крупным операторам выдаёт адреса без особых вопросов.

Это невозможно. Правила для всех одни. Тем более у дотошных европейцев. Хотя да, /22 один раз каждый еще может получить. Если пока не получил.

https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion/reaching-the-last-8

 

"мы через ваш интернет заразаились"

Именно так. И в 99% случаев это результат осознанной деятельности абонента в результате перехода по ссылке "скачать что-то без смс и регистрации". Их еще и от этого провайдер должен защищать?

[Macil]

А то, что на земле кому-то все равно придется работать - так радоваться надо! Рынок растет, растет применение сетей - тот же "просто голос", например, нахрен никому уже не нужен, а нужна универсальная среда передачи кучи данных от IoT, видео-шмидео и прочая непотребщина. В общем, без работы не останемся ближайшие пятьдесят лет точно.

Угу, щазз. Без работы в ближайшие 50 лет не останутся монтажники, сварщики и линейные/оперативные инженеры. Это можно сказать точно. SDN, в маркетинговом или OpenFlow ключе следует рассматривать «от физики», а не наоборот. Не нужно терять из виду грешную землю, воспаряя в эмпиреи SDN. Чистая SDN будет только в виртуальных средах типа vSwitch. В железках, будет гибридная модель. Вендорспецифичная. Зависящая от аппаратной реализации.

 

Неправда. Иди снова читай доки.

Да читал я доки... Например: https://www.opennetworking.org/images/stories/downloads/sdn-resources/technical-reports/TR_Multiple_Flow_Tables_and_TTPs.pdf Учитывая отсутствие фактуры, только это и остаётся делать.

[Macil]

неужели это проблема всей техологии SDN или все таки это разработчикам надо по ушам надавать чтобы такого не происходило

Нет. Проблема железе. Это примерно как OpenGL. Только определённое подмножество (и определённое подмножество расширений, не забываем про них) API может работать на определённой аппаратной реализации GPU. OpenFlow оставляет простор для вендорспецифичности. Как через механизм расширений, так и прямым текстом в спецификации.

 

Самый простой пример: возможен режим работы, когда флоу-таблицы будут строиться коммутатором автоматически на основании MAC learning. С точки зрения протокола, это будет две зеркальные флоу-таблицы, но в реальности это будут представления некой вендорской аппаратной таблицы. В OpenFlow 1.5 добавлен механизм egress флоу-таблиц, позволяющий строить флоу, когда решение о форвардинге уже принято, и при необходимости его изменять. Понятно дело, спецификация OpenFlow даже не пытается описывать семантику работы этого режима.

 

Не получаются «тупые» свичи, к сожалению.

Изменено 8 января, 2016 пользователем Macil

[wanderer_from]

В железках, будет гибридная модель. Вендорспецифичная. Зависящая от аппаратной реализации.

вот как раз цель SDN уйти от вендорспецифичности. Давай еще раз прочитаем white pappers

 

* Programmability by operators, enterprises, independent software vendors,

and users (not just equipment manufacturers) using common programming

environments, which gives all parties new opportunities to drive revenue

and differentiation;

 

 

 

Понятно дело, спецификация OpenFlow даже не пытается описывать семантику работы этого режима.

Понятное дело, что семантика описывается в другом документе, который еще даже не разработан.

 

Я выше ссыль давал - там есть картинка про слона. Так вот, это правильная картинка. Особенно с учетом, что SDN еще находится в глубокой разработке даже концептуально - ты сейчас щщупаешь в темноте отдельные части еще даже не родившегося слона

[Macil]

ты сейчас щщупаешь в темноте отдельные части еще даже не родившегося слона

Как будто я один? Судя по тому что я читаю, разработчики OF тоже щупают в темноте.

 

Подводя итоги:

 

1. Лёд тронулся. Новый уровень программных систем пришёл в сети. Это — круто. Но это предполагает новые уровни ответственности и новые уровни технического ценза.

 

2. OF бесконечно долго будет существовать бок о бок с традиционными сетевыми решениями.

 

3. OpenFlow — попытка привнести Open Source идеологию в область сетевого оборудования.

 

4. SDN — это не новая техническая концепция. Это вариант реинжиниринга бизнес-процессов. Реинжиниринг приводит как к потрясающим успехам, так и к потрясающим же фейлам.

 

5. Это всё будет ой как нескоро.

 

6. Вся надежда на китайцев коммодитизацию.

 

7. В настоящий момент SDN — 100% хайп.

 

Остаётся только запасаться поп-корном и ждать. Я сомневаюсь, что когда «дело дойдёт до дела», вендоры так просто сдадут возможность трахать мозги навязывать свои программно-аппаратные стеки своим клиентам.

[Macil]

Ещё интересная ссылка https://www.opennetworking.org/images/stories/downloads/sdn-resources/solution-briefs/sb-network-monetization.pdf Монетизация. Негусто, но вот зацепила цитата

A better approach is to deploy only a simpler OpenFlow-enabled NID at the customer site, obviating the need to install and manage a separate router. Similarly, in the central office the expensive aggregation router can be replaced by a more cost-effective Layer 2+ OpenFlow-enabled switch

 

Т.е. в определённых условиях OpenFlow сможет снизить затраты на агрегацию?

[Ivan_83]

Вы вот "хомякам" идите объясните, что у них интернет плохо работает из-за их кривых рук/дырявых роутеров/засранных компов, а не из-за провайдера. Так или иначе, я не против ipv6, я считаю, что сейчас он не к месту и не ко времени

Ты бы хоть опрос среди абонентов провёл, чтобы легитимизировать своё мнение "ненужон".

Хомякам нужен сервис а не отмазки: плохо работает инет - выдайте или своих людей или аффилированных, которые всё про диагностируют, объяснят и исправят.

 

ну тем не менее жалобы от абонентов что "мы через ваш интернет заразаились" тоже имеют место быть..

Кто то же должен быть виноват :)

Есть кто сам понимает что виноват, есть кто вечно на других валит.

 

Опять же очередные плачи Ярославен про "днс зафудили". Для 99% абонентов входящий доступ не нужен вообще. Я бы предпочел чтобы он был всем им закрыт по умолчанию. Кому надо, пускай снимет галочку в личном кабинете (да, естественно такая возможность должны быть, и 1% ей легко воспользуется).

Сделай, обзови "сервис автоматической защиты абонента" :)

 

да, сканировать наверное не стоит. Проще собирать списки живых, заманивая на "свои" ресурсы.

Говорю же: соберут а он через час протухнет. Или раньше.

[Macil]

wanderer_from, кстати говоря более правильный термин не «коммодитизация» а white-box switch и brite-box switch (т.е. branded white-box). Он, правда, не имеет отношения к SDN... Хотя, ради этого всё и обычно затевается.