man781 Posted September 19, 2016 Posted September 19, 2016 Тут форумчане/коллеги посоветовали вкурить перед внедрением ipv6 отличный чумовой документ "IPv6 для знатоков IPv4" http://yarique.bitbucket.org/ipv6_ru/ipv6_ru.htm#_Toc364345768 (еще раз огромное спасибо за ценную ссылку!) Давайте тут обсудим некоторые моменты. 1. Например, раздел: 2.4. Область и зона действия адреса IPv6 После его прочтения я офигел (всмысле не очень понял). Но суть такая, что можно не заморачиваться с белыми огромными сетками для организации стыка точка-точка между моим бгп маршиком и маршиком аплинка, а заюзать линк локал адреса для поднятия бгп? И при этом не влияет на нормальный транзит юзерского ipv6 трафика. Причем, я так понял, что грамотно разруливается ситуация, когда у маршика и вверх и вниз юзается одинаковая лин локал подсеть - с помощью этих сущностей "Область и зона действия адреса IPv6". Т.е. между моим брасом и юзерским роутером тоже можно/нужно юзать линк-локал адреса. А юзеру я передам /64 белый префикс (Prefix Discovery) - чтобы его роутер уже раздал внутрь локалки абоно белые ipv6..... Кто может на пальцах пояснить весь этот прикол? И как тогда v6 трассировка выглядлит, если по всей цепи маршики для стыка юзают линк локал адреса? 2. Кто может на пальцах объяснить принципиальные отличия мультикаста ipv4 от мультикаста ipv6 ? P.S. Потом еще будут вопросы, но пока хватит....) Вставить ник Quote
ShyLion Posted September 19, 2016 Posted September 19, 2016 Но суть такая, что можно не заморачиваться с белыми огромными сетками для организации стыка точка-точка между моим бгп маршиком и маршиком аплинка, а заюзать линк локал адреса для поднятия бгп? Ну не обязательно /64 делать на линк с апстримом. Можно делать /120, например. Тем более обычно апстрим выделяет подсетку на линк. Таковых линков он может из одной /64 100500 штук и непонятно почему ему должно быть их жалко. Насчет линк-локал: оно конечно можно, но зачем? Трейс не будет работать, потому что роутер не найдет адрес, пригодный для соурса, а линк-локал он использовать не может, потому что он линк-локал. Короче проблема надуманая. Т.е. между моим брасом и юзерским роутером тоже можно/нужно юзать линк-локал адреса. А юзеру я передам /64 белый префикс (Prefix Discovery) - чтобы его роутер уже раздал внутрь локалки абоно белые ipv6..... Не нужно. Роутеру абонента тоже вероятно захочется в интернет сходить. Вставить ник Quote
flamaster Posted September 19, 2016 Posted September 19, 2016 В любом интерфейсе будет link local, но рекомендуют добавить global address-а. Лучше не зацикливаться на мелочах. Вставить ник Quote
Mystray Posted September 19, 2016 Posted September 19, 2016 Трейс не будет работать, потому что роутер не найдет адрес, пригодный для соурса, а линк-локал он использовать не может, потому что он линк-локал. При правильной настройке - будет. Один единственный /128 из global-scope на loopback роутера - достаточно. ТСу: вот даже статейка и рфц есть: http://blog.apnic.net/2016/02/16/change-of-paradigm-with-ipv6-no-global-addresses-on-router-interfaces/ https://tools.ietf.org/html/rfc7404 Вставить ник Quote
man781 Posted September 19, 2016 Author Posted September 19, 2016 интересная пеструшка получается..) Вставить ник Quote
zi_rus Posted September 19, 2016 Posted September 19, 2016 Трейс не будет работать, потому что роутер не найдет адрес, пригодный для соурса, а линк-локал он использовать не может, потому что он линк-локал. При правильной настройке - будет. Один единственный /128 из global-scope на loopback роутера - достаточно. ТСу: вот даже статейка и рфц есть: http://blog.apnic.net/2016/02/16/change-of-paradigm-with-ipv6-no-global-addresses-on-router-interfaces/ https://tools.ietf.org/html/rfc7404 именно. я только так и строю ipv6 Вставить ник Quote
ShyLion Posted September 20, 2016 Posted September 20, 2016 именно. я только так и строю ipv6 Роутер сам определяет наличие global адреса на лупбеке или как-то указывать ему нужно? Какие платформы? Вставить ник Quote
zi_rus Posted September 20, 2016 Posted September 20, 2016 На циске, он сам определяет когда ему надо выбрать с каким адресом посылать ответ, у него просто выбора не остается. тут правда есть нюансы, это актуально для Р-роутеров, руки не дошли проверить что будет в случае РЕ, когда кроме лупбека еще есть клиентские интерфейсы. и второе, в случае нарушения маршрутизации, по р2р до железки уже не доберешься, я реально пробовал через link-local, но никак, кажется циска даже написала что такой вариант не поддерживается ну и надо помнить что если между двумя железками есть параллельные L3-линки - нельзя понять по какому из них прошел трафик, всегда будет ответ с адреса лупбека. Вставить ник Quote
ShyLion Posted September 20, 2016 Posted September 20, 2016 Ну короче сэкономить один /64 блок на целого оператора смысла никакого. Как и в энтерпрайзе. Вставить ник Quote
man781 Posted September 20, 2016 Author Posted September 20, 2016 Т.е. между моим брасом и юзерским роутером тоже можно/нужно юзать линк-локал адреса. А юзеру я передам /64 белый префикс (Prefix Discovery) - чтобы его роутер уже раздал внутрь локалки абоно белые ipv6..... Не нужно. Роутеру абонента тоже вероятно захочется в интернет сходить. Ну, пусть ходит по Ipv4 :) ********* А если серьезно: Т.е. для юзерских роутеров нужно выдавать IPv6 адрес из отдельного пула, а девайсам за роутером - отдельный IPv6 prefix /64? Или можно из биллинга через радиус на BRAS выдавать первый адрес из подсети /64 - для WAN интерфейса роутера (Framed IPv6 Address), и эту же всю подсеть /64 (IPv6 Prefix) - чтобы юзерский роутер выдавал из нее - юзерским девайсам на LAN/Wifi фейсе? Разрулиться так? Вставить ник Quote
Mystray Posted September 20, 2016 Posted September 20, 2016 р2р до железки уже не доберешься вроде бы на каких-то иосах работает https://supportforums.cisco.com/discussion/12182581/it-possible-ssh-router-another-its-ipv6-link-local-address нельзя понять по какому из них прошел трафик, всегда будет ответ с адреса лупбека. Предлагали такое: https://tools.ietf.org/html/rfc5837#section-4.3 но похоже вендоры игнорят. Ну или я не встречал. мплс инфу инжектят, а вот по интерфейсам - не видно. как-то указывать ему нужно У Джунов есть set system default-address-selection, после такого он всегда шлет собственные пакеты с primary адреса, который берется с lo0.0 Вставить ник Quote
saaremaa Posted September 20, 2016 Posted September 20, 2016 Т.е. для юзерских роутеров нужно выдавать IPv6 адрес из отдельного пула, а девайсам за роутером - отдельный IPv6 prefix /64? Что мешает отдать сразу абоненту /56 на роутер, а дальше уж сами :) Вставить ник Quote
man781 Posted September 20, 2016 Author Posted September 20, 2016 Мне всего дали /48 :) К тому же у меня тунели. Нафиг на одну учетку (тунель) давать /56 ? Ну и по существу - так могу я так сделать или нет (выдать роуетру первый адрес из под сети для wan фейса, и остальное ввиде префикса /64 - для lan) - или так не прокатит ? Вставить ник Quote
zi_rus Posted September 20, 2016 Posted September 20, 2016 вроде бы на каких-то иосах работает https://supportforum...k-local-address может в каких-то иосов что-то и работает, но в тех иосах что были у меня - ничего не получилось, и в этом проблема, сеть надо строить не на каких-то иосах, а на тех что есть Ну короче сэкономить один /64 блок на целого оператора смысла никакого. адресов не жалко, а вот трудозатраты технически р2р адреса использоваться не будут, ospfv3 работает по link-local, isis вообще без ip, для трейса тоже глобальный адрес не нужен (хотя нюансы мы обсудили) вот и получается что развешивать р2р адреса на железки надо для исключительных и как правило аварийных случаев, а все остальное время они будут висеть без дела и пользы Вставить ник Quote
saaremaa Posted September 20, 2016 Posted September 20, 2016 Вот смотрите как у меня сделано с Пчелами: - Межоператорский стык у нас 2a00:xxxx:xxxx:1::11/127 на этих адресах у нас поднят BGP IpV6. - через эту сессию мы анонсируем свой блок. P.S. На линк-локал адресах у нас не заработало. P.S.1. RIPE рекомендует вообще использовать подсеть /64 на точка-точка линках. IPV6 Multicast Вставить ник Quote
ShyLion Posted September 21, 2016 Posted September 21, 2016 Мне всего дали /48 :) Попросите - еще дадут. Это же не ipv4. адресов не жалко, а вот трудозатраты Какие трудозатраты-то? :) IPv4 не трудно было, а IPv6 стало трудно? Вставить ник Quote
zi_rus Posted September 21, 2016 Posted September 21, 2016 IPv4 не трудно было, а IPv6 стало трудно? адрес в 4 раза длиннее как минимум, накосячить проще, следовательно требуется больше внимания как при настройке так и при учете предлагаю на скорость написание ip адреса, 4 раза в4 адрес написать или один в6 Вставить ник Quote
saaremaa Posted September 21, 2016 Posted September 21, 2016 предлагаю на скорость написание ip адреса, 4 раза в4 адрес написать или один в6 А DNS использовать? Вставить ник Quote
zi_rus Posted September 21, 2016 Posted September 21, 2016 dns это опять учет я за днс, но он ничего не меняет, когда будешь настраивать адрес на интерфейсе, ты будешь настраивать адрес, а не доменное имя, хотя может вендоры вам такое реализуют если хорошо попросите. циска (мне известна как минимум циска) например дает задать на всю коробку один префикс, а на порту прописывать только интерфейсную часть адреса, они заверяют так просто переезжать с одной сети на другую, но в общем это сохо проблема, а не оператора, но что-то в этом есть Вставить ник Quote
ShyLion Posted September 22, 2016 Posted September 22, 2016 Свой префикс запомнить один раз, как мобильник жены. Ну и да, у циски с этим просто: http://packetlife.net/blog/2008/dec/13/ipv6-general-prefixes/ Вставить ник Quote
zi_rus Posted September 22, 2016 Posted September 22, 2016 чем больше длина своего префикса, тем чаще он будет меняться, а чем меньше, тем больше интерфейсная часть адреса которую надо набирать. так или иначе но с ipv6 адресами работать геморней, и если есть возможность не работать с ними используюя линк-локал для работы внутренних протоколов, то ей надо пользоваться Вставить ник Quote
ShyLion Posted September 22, 2016 Posted September 22, 2016 чем больше длина своего префикса, тем чаще он будет меняться, а чем меньше, тем больше интерфейсная часть адреса которую надо набирать. так или иначе но с ipv6 адресами работать геморней, и если есть возможность не работать с ними используюя линк-локал для работы внутренних протоколов, то ей надо пользоваться Т.е. запомнить, продиктовать по телефону, записать проще fe80::2e0:edff:fe34:7b31 чем Хорошо:известный:префикс:1::2 ? Вставить ник Quote
Mystray Posted September 22, 2016 Posted September 22, 2016 чем больше длина своего префикса, тем чаще он будет меняться, а чем меньше, тем больше интерфейсная часть адреса которую надо набирать. так или иначе но с ipv6 адресами работать геморней, и если есть возможность не работать с ними используюя линк-локал для работы внутренних протоколов, то ей надо пользоваться Т.е. запомнить, продиктовать по телефону, записать проще fe80::2e0:edff:fe34:7b31 чем Хорошо:известный:префикс:1::2 ? Никто же не мешает на интерфейс навешивать fe80::1/64 дополнительно Вставить ник Quote
ShyLion Posted September 22, 2016 Posted September 22, 2016 Никто же не мешает на интерфейс навешивать fe80::1/64 дополнительно нуянезнаю. я так делать не буду точно. Если уж руками прописывать, то глобальный адрес, для траблшутинга оно как-то интереснее. Вставить ник Quote
zi_rus Posted September 22, 2016 Posted September 22, 2016 Т.е. запомнить, продиктовать по телефону, записать проще fe80::2e0:edff:fe34:7b31 стесняюсь спросить кому и как может помочь продиктованный по телефону линк-локал адрес? чем Хорошо:известный:префикс:1::2 это будет настроено на первом линке, дальше будет хуже и хуже, и хуже, и хуже, и хуже... и в общем ничего не меняет хорошо известный префикс сам запомнится после сотни упоминаний, для этого не нужно чтобы вендор поддерживал его конфигурирование в стиле циско (а может так в rfc прописано, я хз,не искал), а вот если будет плохо известная часть, та которая требует диктовки по телефону или набора в консоль или чего-то еще и все, система не работает. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.