[jab]

Для сегодняшней системы характерен такой момент: RIR выдаёт диапазоны LIR'у, LIR - клиенту, клиент - своему клиенту. Если клиент взял чьи-то адреса, то он уже "обязан" брать от него и траффик (это если без "чёрной магии"). В изложенной модели же клиент с тем же успехом может взять адреса и траффик от другого провайдера.

 

:-))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))

[Kirya]

Для сегодняшней системы характерен такой момент: RIR выдаёт диапазоны LIR'у, LIR - клиенту, клиент - своему клиенту. Если клиент взял чьи-то адреса, то он уже "обязан" брать от него и траффик (это если без "чёрной магии").

 

Уберите это место, иначе сейчас вас помидорами закидают. Серьезно...

[Виктор С. Грищенко]

:-))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))

Там написано "без чёрной магии" типа мега-NAT. PI-адреса - это бывает редко и почти неправда.

Что Вас так обрадовало?

[Виктор С. Грищенко]

Уберите это место, иначе сейчас вас помидорами закидают. Серьезно...

Не-а. Подразумевается штатная, стандартная, простая модель. Если кто-то использует тот или иной механизм её обхода - дело хозяйское, не об этом (TE) речь. Глобально, траффик пойдёт к автономке, анонсирующей данный префикс.

 

А из помидоров сделаем кетчуп.

[jab]

:-))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))

Там написано "без чёрной магии" типа мега-NAT. PI-адреса - это бывает редко и почти неправда.

Что Вас так обрадовало?

 

Не, ну Вы хоть понимаете почему бывают "редко" PI, почему RIRы

перестали работать напрямую с юзерами минуя LIR, почему "редко"

анонсируются блоки PA через чужую AS ? И почему везде

мега-NAT на preferenced static routing ?

 

И вот тут пришли на белом коне Вы, гуру в лазоревых одеждах

и решили поломать устоявшуюся за десять лет практику. :-)

Я даже не буду вдаваться в техническую реализацию.

[Виктор С. Грищенко]

:-))))))))))))))))))))))))))))))))))))))))))))))))))))))))))))

Там написано "без чёрной магии" типа мега-NAT. PI-адреса - это бывает редко и почти неправда.

Что Вас так обрадовало?

Не, ну Вы хоть понимаете почему бывают "редко" PI, почему RIRы

перестали работать напрямую с юзерами минуя LIR, почему "редко"

анонсируются блоки PA через чужую AS ?

Потому что PI-префиксы не аггрегируются, а анонс маленьких префиксов через чужую автономку поломает аггрегацию и маршрутизационные таблицы взорвутся.

И почему везде мега-NAT на preferenced static routing ?

В силу предыдущих пунктов.

И вот тут пришли на белом коне Вы, гуру в лазоревых одеждах и решили поломать устоявшуюся за десять лет практику. :-) Я даже не буду вдаваться в техническую реализацию.

Она раньше устоялась. Как только придумали автономки. Для того времени, кстати, вполне разумно. Тогда факт связности был уже большим достижением и относительно RTT ещё никто не привередничал. И хождение траффика через улицу в Москве осуществлялось через Америку в своё время.

[Виктор С. Грищенко]

P.S. Ломать я ничего не собираюсь.

[Kirya]

Виктор С. Грищенко, Раз не хотите разбираться в существующей модели, почитайте чтоли на досуге регламенты http://www.ripe.net/ . Также от себя замечу, что порядок получения PI в ipv6 сейчас полностью уведомительный, так что время, когда каждый, кто хочет иметь именно свой блок IP адресов, далеко не за горами.

 

А пока брошу маленький камешек в вашу систему, в который я так и не нашел упоминания об одном аспекте. Что с аутентификацией и спуфингом делать ? Если любой узел может стать транзитным (хотя б даже теоритически) получается что анонс через себя "всего интернета" становится сопоставим по сложности со сменой mac-адреса на сетевухе ? Как с этим-то бороться ? Это ж какое раздолье хакерам-то получается...

[Виктор С. Грищенко]

Виктор С. Грищенко, Раз не хотите разбираться в существующей модели. почитайте чтоли на досуге регламенты http://www.ripe.net/ . Также от себя замечу, что порядок получения PI в ipv6 сейчас полностью уведомительный, так что время, когда каждый, кто хочет иметь именно свой блок IP адресов далеко не за горами.

Осталось только чтобы этот его блок глобально маршрутизировался при этом. Я почитаю, спасибо.

 

А пока брошу маленький камешек в вашу систему, в который я так и не нашел упоминания об одном аспекте. Что с аутентификацией и спуфингом делать ? Если любой узел может стать транзитным (хотя б даже теоритически) получается что анонс через себя "всего интернета" становится сопоставим по сложности со сменой mac-адреса на сетевухи ? Как с этим-то бороться ?

Если он сможет передавать весь этот траффик, причём - с меньшим RTT, чем "легальные" аплинки - то пусть работает, не будем отвлекать :)

Вопрос, как понять, что он не придумывает ответы сам? Вероятно, рутер должен убедиться, что и по каноническому маршруту и через вновь обнаружившийся аплинк отвечают те же устройства.

Можно посылать часть пакетов туда - часть сюда, злоумышленник не будет знать "ту, другую" часть потока.

Можно без затей перечислить допустимые аплинки каким-либо способом, остальных же использовать только для shortcuts.

Много разных вариантов есть.

[Виктор С. Грищенко]

так что время, когда каждый, кто хочет иметь именно свой блок IP адресов, далеко не за горами.

Кстати, вы не могли бы тогда вкратце мне объяснить следующий момент. Допустим, пользователи (В.Пупкин Лтд) расхватали 10млн таких префиксов. Держать 10mln entries в DFZ - неприятно. Значит, их надо как-то аггрегировать? Как?

Как определить те из этих PI блоков, которые уже надоели своим хозяевам и больше не используются? И т.д. и т.п.

[Kirya]

Если он сможет передавать весь этот траффик, причём - с меньшим RTT, чем "легальные" аплинки - то пусть работает, не будем отвлекать :)

Вопрос, как понять, что он не придумывает ответы сам? Вероятно, рутер должен убедиться, что и по каноническому маршруту и через вновь обнаружившийся аплинк отвечают те же устройства.

Можно посылать часть пакетов туда - часть сюда, злоумышленник не будет знать "ту, другую" часть потока.

Можно без затей перечислить допустимые аплинки каким-либо способом, остальных же использовать только для shortcuts.

Много разных вариантов есть.

 

Уже представляю себе группу людей, который делают у себя спец. роутер, через который скажем, для примера, маскируется под Ситибанк, и при этом действительно имеет канал туда и в это же время легальный канал кладется по какой-либо причине. Вообщем Левин с Митником отдыхают...

[Виктор С. Грищенко]

Пошёл читать ripe.net. Пока легче не стало

[address-policy-wg] Re: [ipv6-wg] IPv6 PI

 

To: Lea Roberts < lea.roberts@localhost >, ipv6-wg@localhost , roger@localhost

From: Roger Jorgensen < rogerj@localhost >

Date: Mon, 21 Nov 2005 17:10:10 +0100 (CET)

On Mon, 21 Nov 2005, Lea Roberts wrote:

<snip>

> the problem with using ASNs is that when you think over the projected

> lifetime of IPv6, there will be *lots* of ASNs. Note that the 4-byte ASN

> draft is entering the standards track in IETF. Don't think that tying PI

> to ASNs is anything more that passing the problem to the next generation

> (if that long... :-)

>

> It would seem obvious that as network connectivity becomes essential for

> doing business, it must be reliable. It is unwise to carry forward the

> IPv4 multi-homing model for network resilience with just faith that the

> system will be able to scale to an ever larger number of routes. IPv6 has

> so far failed to deliver on its original promise of seamless renumbering

> and multi-homing using multiple prefixes. The hard problems still need to

> be solved in a way that can scale for decades to come.

 

Can't we all just drop using the word multihoming and IPv6 PI?

They all reflect back to how thing was done with IPv4 and those ways are

doomed to fail with IPv6 simply due to the size of the IP space.

 

Last I checked around there were some promissing new proposal on the

way for how to solve this very basic problem. And in the meantime, drop

the thought about multihoming and PI space, start to think about other

ways to use the possibility IPv6 give us. Just to mention maybe the

biggest advantage, we have that extended header part of IPv6, it give us

endless possibilities.

 

and yes I do have some idea about how it can be done but no one really

bother to consider geo-based IP's either so... :) Not to forget it quite

likely will undermine the entire business case for how ISP's today

operate.

 

------------------------------

Roger Jorgensen |

rogerj@localhost | - IPv6 is The Key!

[Гoсть]

Все правильно, любая система построенная на доверии - очень плохая система. Например SMTP, я уж не говорю об МММ ;)

[Виктор С. Грищенко]

Уже представляю себе группу людей, который делают у себя спец. роутер, через который скажем, для примера, маскируется под Ситибанк, и при этом действительно имеет канал туда и в это же время легальный канал кладется по какой-либо причине. Вообщем Левин с Митником отдыхают...

А зачем нам нужен https? Я конечно понимаю, что в эту сторону спор будет бесконечный, но полагаться на IP как на гарантию безопасности и в наше время никто не хочет почему-то...

[Kirya]

так что время, когда каждый, кто хочет иметь именно свой блок IP адресов, далеко не за горами.

Кстати, вы не могли бы тогда вкратце мне объяснить следующий момент. Допустим, пользователи (В.Пупкин Лтд) расхватали 10млн таких префиксов. Держать 10mln entries в DFZ - неприятно. Значит, их надо как-то аггрегировать? Как?

Как определить те из этих PI блоков, которые уже надоели своим хозяевам и больше не используются? И т.д. и т.п.

 

1. Вы все-таки Ripe-то почитайте. А если есть дополнительные вопросы можно подписаться в maillist по ipv6 http://www.ripe.net/mailman/listinfo/ipv6-wg и получить компетентный ответ. (Я просто действительно не знаю, по каким признакам вычисляется как и кому какой блок отдавать в IPv6, поэтому ничего придумывать от себя не хочу)

2. Что PI, что PA блоки в текущем состоянии, для того чтоб попасть в DFZ вообще должы быть так или иначе съанонсированы. А раз они не используются они не с анонсированы=> их нет и в DFZ. :)

[Виктор С. Грищенко]

можно подписаться в maillist по ipv6http://www.ripe.net/mailman/listinfo/ipv6-wg

Looks dead.

 

Там такая же петрушка начнётся, так что ближайшую неделю я лучше здесь потренируюсь :)

 

P.S. А про мёртвые души - каюсь, неудачная импровизация :)

[Kirya]

Уже представляю себе группу людей, который делают у себя спец. роутер, через который скажем, для примера, маскируется под Ситибанк, и при этом действительно имеет канал туда и в это же время легальный канал кладется по какой-либо причине. Вообщем Левин с Митником отдыхают...

А зачем нам нужен https? Я конечно понимаю, что в эту сторону спор будет бесконечный, но полагаться на IP как на гарантию безопасности и в наше время никто не хочет почему-то...

 

Ничто не мешает "группе лиц" поднять свой фейковый https сервер-снифер и далее действовать по намеченному плану. Тут никакая криптография не поможет.

Вопрос на самом деле глобальнее.

Дав каждому элементу системы возможность управлять глобальной маршрутизацией мы автоматически даем возможность каждому элементу управлять и всей сетью, а следовательно и управлять связностью.

А такая система не нужна по определению.

[Invisible Hand]

Виктор С. Грищенко,

 

Вы бы отвлеклись на минуту от продвинутых сетевых терминов. В Вашем изложении нет ясности даже на уровне базовых понятий и алгоритмов, а Вы уже оптимизируете полиси глобальных регистратур.

 

Ладно бы Вы, как теоретик, только инженерных вещей не понимали. Но и с элементарной экономикой тоже полных швах. Ответьте на простой вопрос - кто будет содержать Ваши "IX", через которые пойдет основной обмен трафиком? Сегодня стоимость строительства площадки типа TeleCity или Equinix, удовлетворяющей требованиям взрослых международных операторов - от 100 млн USD (не говоря об эксплуатации). Налог введете или к всеобщей сознательности будете призывать? А кто будет оплачивать пропуск трафика между разными "IX-ами" на терабитных скоростях? Дальше не развиваю, времени жалко.

 

Подумайте на досуге, если решите продолжать с этой идеей - посылайте статью в IEEE, там Вас китайцы с индийцами замочат более тщательно.

[Виктор С. Грищенко]

Invisible Hand, ваши первые замечания пришлись "в молоко", ваши вторые замечания уходят в область, которая вообще не обсуждалась, т.е. "в небо". Экономические вопросы здесь вообще обсуждать преждевременно, пока речь шла лишь о вычислительной сложности. Придумать можно много чего, но это просто не имеет смысла делать сегодня.

 

Хотел бы заметить, что я в своём ответе указал, что протокол установления shortcuts - это path vector или distance vector протокол, т.е. в этом плане не уступает по выразительной силе BGP. Траффик, в свою очередь, ходит не между IX-ами, а между устройствами, и никакой проблемы в реализации этого процесса я не вижу. Вы черезчур проворно тасуете сущности совершенно разных уровней, и в этом плане Ваша нехватка времени очень кстати.

[Виктор С. Грищенко]

Ничто не мешает "группе лиц" поднять свой фейковый https сервер-снифер и далее действовать по намеченному плану. Тут никакая криптография не поможет.

Вопрос на самом деле глобальнее.

Дав каждому элементу системы возможность управлять глобальной маршрутизацией мы автоматически даем возможность каждому элементу управлять и всей сетью, а следовательно и управлять связностью.

А такая система не нужна по определению.

Вот я, например, могу купить на Украине миллион тонн чугуна и продать в Америке, обвалить рынок, устроить глобальный кризис и развалить мировую экономику.

Именно поэтому мне не разрешают владеть деньгами, а выдают только карточки на бесплатные обеды!

Круто?

[Виктор С. Грищенко]

Траффик, в свою очередь, ходит не между IX-ами, а между устройствами, которые кому-то принадлежат, и никакой проблемы в реализации этого процесса (обмена траффиком) владельцами устройств я не вижу.

 

А который владелец которому и сколько платит - это проблемы владельцев, а не проблемы маршрутизации. Маршрутизация решает задачу передачи траффика по предоставленным каналам.

[jab]

Потому что PI-префиксы не аггрегируются, а анонс маленьких префиксов через чужую автономку поломает аггрегацию и маршрутизационные таблицы взорвутся.

 

Это случилось уже потом, а сначала интырнет был маленький, всем

хватало памяти, префиксы не резали. Но анонсироваться все-равно

хрен получалось, а мастерство организации пограничного

взаимодействия сводилось преимущественно к работе печенью.

 

А теперь скажите пожалуйста, на основании чего я вдруг разрешу

у себя на роутерах транзитный траффик из чужих сетей с которыми

у меня нет договорных отношений и при этом еще и буду им RTT

обеспечивать ?

[Виктор С. Грищенко]

А теперь скажите пожалуйста, на основании чего я вдруг разрешу

у себя на роутерах транзитный траффик из чужих сетей с которыми

у меня нет договорных отношений и при этом еще и буду им RTT

обеспечивать ?

Хотите - запретите. Найдут путь - обойдут автоматически. Не найдут - новый проложат или договариваться придут. Там есть два основных механизма маршрутизации - "по дереву" (любому из) и "по анонсам". В DFZ (на IX) не работает "дерево", простым "листьям" (конечным устройствам с 1 линком) не нужны анонсы. Запретив достаточное количество возможностей, можно выстроить схему, практически идентичную современной. (О! Это истинно математический подход. Каков должен быть набор ограничений, чтобы изложенная схема была эквивалентна современной?)

[thodin]

Может быть я чего-то не понимаю, но вообще моя задача - деньги зарабатывать, а не связность сетей каких-то обеспечивать.

 

Можно объяснить на пальцах, как реализация данной схемы позволит заработать больше денег региональному оператору и мироеду? Без экономической основы вообще бессмысленно какие-то новые схемы строить.

[jab]

Хотите - запретите. Найдут путь - обойдут автоматически. Не найдут - новый проложат или договариваться придут.

 

Вот примерно так все сейчас и работает. Так в чем суть изменений ?

в добавлении к таблице анонсируемых префиксов еще и RTT ?

Или в пропаганде плоских сетей ? Когда юзер цепляется к юзеру и

анонсит туда все что попало ? Все-равно зарежут уровнем выше.