[Sergey Gilfanov]

Покритикуйте план разбиения IPv6:

 

Лучше, наверное, так: (правда, зависит от того, как доступ устроен. Тут имеется в виду 'честная' L3 маршрутизация)

Одну-две-шестнадцать /56 из региона распределяем по /64 и назначаем на L3 интерфейсы доступа.

 

В каждом таком сегменте внешние адреса абонентов идут подряд с маской /64 (в результате абонентов в сегменте много может быть и сеть на каждого абонента не теряется)

Можно даже их просто прибить намертво к портам коммутаторов.

 

А уже дальше /56 и /48, что внутри сети абонента использоваться будут, пробрасываем маршрутизацией на нужного клиента/порт.

 

EDIT: абонентам старательно объясняем, что внешний адрес зависит от географического расположения и за ним ездить не будет. Пусть везде, где надо, использует адрес из его внутренней сети. (адрес внутреннего порта его маршрутизатора)

[vlad11]

Покритикуйте план разбиения IPv6:

 

Лучше, наверное, так: (правда, зависит от того, как доступ устроен. Тут имеется в виду 'честная' L3 маршрутизация)

Одну-две-шестнадцать /56 из региона распределяем по /64 и назначаем на L3 интерфейсы доступа.

 

В каждом таком сегменте внешние адреса абонентов идут подряд с маской /64 (в результате абонентов в сегменте много может быть и сеть на каждого абонента не теряется)

Можно даже их просто прибить намертво к портам коммутаторов.

 

Из региона забирается одна сеть /48 из юриков и делится на сети /64, которые назначаю в абонентский влан. И дальше статикой выдается абонетский Ipv6. К нему же статикой роутится абонентская сеть ipv6.

Юрики и физики могут быть в одних вланах. Сеть не vlan per user!

 

Между регионами поднимать ospf6 и обмениваться сетями /36 и крупнее?

 

Хз еще, что если у абонента динамический Ipv6? как его шейпить? на порту коммутатора не всегда получится.

Или вообще не шейпить ipv6 траффик? его меньше 1%...

[SLon26]

Рекомендую держаться в пределах 4 бит при разбиении сетей, /64/60/56/etc в будущем меньше будет ошибок у инженеров, ибо визуально проще будет определить границы сети. Никогда не раздавайте клиентам /64, выдавайте им хотя бы /56, иначе будут случаи когда пользователь воткнул себе 2 роутера подряд а ipv6 не работает ибо адреса второй роутер уже не сможет раздать.

 

А почему статикой? статикой хорошой юриков у кого статичные адреса и будут, для физиков используйте DHCP-PD

[Sergey Gilfanov]

Между регионами поднимать ospf6 и обменивать сетями /36 и крупнее?

Обмениваться придется всеми внутренними сетями, что абонентам выдали. Но поскольку за пределы региона переезды будут редко, то большая часть этих сетей сагрегируется в более крупные и замусоривать таблицы маршрутов более высокого уровня не будет.

 

Хз еще, что если у абонента динамический Ipv6?

Но как то же этот динамический адрес выдается. Во в этот момент и вписывать в таблицу маршрутов, что его (статическую) сетку на этот адрес маршрутизировать надо.

 

как его шейпить?

Внешние адреса абонентов шейпить сильно и у всех. Все равно там сервисов не должно быть. Сервисы должны вешаться на адреса из статической внутренней сетки абонента.

 

А почему статикой? статикой хорошой юриков у кого статичные адреса и будут, для физиков используйте DHCP-PD

Внутренние адреса абонента - статика в том смысле, что всегда одни и те же, независимо от того, что там ему на внешнем интерфейсе выдалось.

[vlad11]

Никогда не раздавайте клиентам /64, выдавайте им хотя бы /56, иначе будут случаи когда пользователь воткнул себе 2 роутера подряд а ipv6 не работает ибо адреса второй роутер уже не сможет раздать.

 

Так в плане я и написал, выдавать /56 физикам и /48 - юрикам.

 

как его шейпить?

Внешние адреса абонентов шейпить сильно и у всех. Все равно там сервисов не должно быть. Сервисы должны вешаться на адреса из статической внутренней сетки абонента.

 

Рассмотрим несколько случаев:

1) Если у абонента вместо роутера подключен комп с виндой 7-8-10.

2) Почти все сервисы слушают все ip-интерфейсы.

3) В случае src ip (Unix-Linux) берется первый по списку или меньший по разрядности IP.

 

Просмотр сообщенияvlad11 (Сегодня, 18:10) писал:

Между регионами поднимать ospf6 и обменивать сетями /36 и крупнее?

 

Обмениваться придется всеми внутренними сетями, что абонентам выдали. Но поскольку за пределы региона переезды будут редко, то большая часть этих сетей сагрегируется в более крупные и замусоривать таблицы маршрутов более высокого уровня не будет.

Вот я о том же, зачем более точные маршруты объявлять? Сеть ipv6 побита по регионам. Кто покинул регион - получает новые IP и сеть.

[SLon26]

Если "внешние" адреса эти так сильно напрягают можно link-local использовать, но будет некрасивые трасировки и неудобно траблишутить. Мы внешние привязываем к клиенту(юрики) просто потому что у него в этой же сети висят ipv4 адреса.

[Sergey Gilfanov]

Рассмотрим несколько случаев:

1) Если у абонента вместо роутера подключен комп с виндой 7-8-10.

В современных условиях это фантастический случай. 'Оператор настоятельно не рекомендует так делать'.

 

2) Почти все сервисы слушают все ip-интерфейсы.

Нормальный сервис отвечает с того IP, на который обратились. Так что слушают - неважно. А вот если с маршрутизатора что-то куда-то полезло - тогда да, имеет значение. Но речь про IPv6 идет. Делать вид, что все идет с маршрутизатора не надо. Внутренняя сеть нормально с интернета видна. Поэтому и лазить наружу должно то, что внутри сетки стоит. А маршрутизатор должен маршрутизировать.

[ipaddr.ru]

Никогда не раздавайте клиентам /64, выдавайте им хотя бы /56, иначе будут случаи когда пользователь воткнул себе 2 роутера подряд а ipv6 не работает ибо адреса второй роутер уже не сможет раздать.

Подписываюсь под призывом.

[vlad11]

Просмотр сообщенияvlad11 (Вчера, 19:07) писал:

Рассмотрим несколько случаев:

1) Если у абонента вместо роутера подключен комп с виндой 7-8-10.

 

В современных условиях это фантастический случай. 'Оператор настоятельно не рекомендует так делать'.

 

Это реальность. Доля абонентов широкополосного доступа, подключающие компьютеры напрямую составляет 20-40%. В зависимости от страны и обеспеченности региона.

 

Просмотр сообщенияSLon26 (Вчера, 18:18) писал:

Никогда не раздавайте клиентам /64, выдавайте им хотя бы /56, иначе будут случаи когда пользователь воткнул себе 2 роутера подряд а ipv6 не работает ибо адреса второй роутер уже не сможет раздать.

 

Подписываюсь под призывом.

Записал.

Случаи тройного NAT'a или с тремя роутерами зафиксированы у абонента?

[vlad11]

Просмотр сообщенияvlad11 (Вчера, 19:07) писал:

2) Почти все сервисы слушают все ip-интерфейсы.

 

Нормальный сервис отвечает с того IP, на который обратились. Так что слушают - неважно. А вот если с маршрутизатора что-то куда-то полезло - тогда да, имеет значение. Но речь про IPv6 идет. Делать вид, что все идет с маршрутизатора не надо. Внутренняя сеть нормально с интернета видна. Поэтому и лазить наружу должно то, что внутри сетки стоит. А маршрутизатор должен маршрутизировать.

 

Вот типичная виртуалка на Дебиане:

# netstat -an | grep :::
tcp6       0      0 :::80                   :::*                    LISTEN
tcp6       0      0 :::53                   :::*                    LISTEN
tcp6       0      0 :::22                   :::*                    LISTEN
tcp6       0      0 ::1:953                 :::*                    LISTEN
udp6       0      0 ::1:161                 :::*
udp6       0      0 :::53                   :::*

 

# netstat -rn -6
Kernel IPv6 routing table
Destination                    Next Hop                   Flag Met Ref Use If
2001:XXX0:51::/56              ::                         U    256 0     0 venet0
fe80::/64                      ::                         U    256 0     0 venet0
::/0                           ::                         U    1   0     0 venet0
::/0                           ::                         !n   -1  1567166 lo
::1/128                        ::                         Un   0   1  1206 lo
2001:XXX0:51::/128             ::                         Un   0   1     0 lo
2001:XXX0:51:1::2e6/128        ::                         Un   0   11223018 lo
ff00::/8                       ::                         U    256 0     0 venet0
::/0                           ::                         !n   -1  1567166 lo

 

Настройки named'a, snmpd, nginx и sshd по-умолчанию. Sendmail пришлось подкручивать, чтоб было видно по ipv6.

 

Кто виноват? Хостер, который выдал Ipv6 как "Scope:Global". Или разработчик OpenVZ, который криво сделал реализацию venet?

[Mechanic]

подскажите по практическому внедрению ip6

- если клиентов ip6 у меня нету, так и трафика там бегать не будет?

[karpa13a]

Mechanic совершенно не факт)

[ipaddr.ru]

У вас в сети уже может быть полно v6 трафика, а вы об этом и знать не будете.

[SpheriX]

Случаи тройного NAT'a или с тремя роутерами зафиксированы у абонента?

Да.

[DeeZ]

Сижу разбираюсь с ipv6, домашний провайдер пока не предоставляет нативного, по этому только 6то4

Вроде настроил, но толком не работает.

Что странно доступен ВК (трейс подозрительно короткий. похоже кэш-сервер у домашнего провайдера стоит, либо через пиринг).

Открывается ipv6.nnm-club.me, есть пинг до друга в Нижнем Новгороде (он тоже сидит на 6то4).

Но ipv6.google.com и его ДНСы не доступен.

В общем совершенно не пойму куда копать. Кто то может подсказать?

 

Трейс для 192.88.99.1 уходит через ТТК в МТС. Куда обращаться: ИС, ТТК, МТС?

[Ivan_83]

he.net или другой туннельный брокер тебе в помощь.

[DeeZ]

he.net или другой туннельный брокер тебе в помощь.

хочу пока понять именно 6to4 раз взялся.

[ipaddr.ru]

6to4 во многих местах бывает глючный. Он по природе асимметричный (почти всегда), поэтому траблшут бывает тяжёл. Хотите - можно подиагностировать косяки и позадавать вопросы вашему ближайшему 6to4 relay.

[sfstudio]

Сижу разбираюсь с ipv6, домашний провайдер пока не предоставляет нативного, по этому только 6то4

Вроде настроил, но толком не работает.

Что странно доступен ВК (трейс подозрительно короткий. похоже кэш-сервер у домашнего провайдера стоит, либо через пиринг).

Открывается ipv6.nnm-club.me, есть пинг до друга в Нижнем Новгороде (он тоже сидит на 6то4).

Но ipv6.google.com и его ДНСы не доступен.

В общем совершенно не пойму куда копать. Кто то может подсказать?

 

Трейс для 192.88.99.1 уходит через ТТК в МТС. Куда обращаться: ИС, ТТК, МТС?

 

Уже месяц-два как через 6to4 поверх ТТК до гуглов доступа нет. При этом рунет ходит нормально.

[snn]

Добрый день, коллеги, созрел тут такой вопрос... Сейчас для провайдеров лирами (по рекомендации RIPE) настойчиво предлагаются только /48 PA префиксы. Но как быть в таком случае провайдеру, если у него несколько узлов со своими магистральными каналами и за каждым нужно закрепить свои адреса? Ведь нельзя анонсировать в bgp маршруты короче /48 - например /52. Настойчиво просить лира заменить пул на /32?

[ipaddr.ru]

Добрый день, коллеги, созрел тут такой вопрос... Сейчас для провайдеров лирами (по рекомендации RIPE) настойчиво предлагаются только /49 PA префиксы. Но как быть в таком случае провайдеру, если у него несколько узлов со своими магистральными каналами и за каждым нужно закрепить свои адреса? Ведь нельзя анонсировать в bgp маршруты короче /49 - например /52. Настойчиво просить лира заменить пул на /32?

Не было такой рекомендации у райпа. И мы даем провайдерам /32 в аренду. Райп же дает PI /48.

[snn]

Извините, опечатался, речь идет про PA /48. Исторически так сложилось, что 3 года назад наша компания получила от лира блок PI /48. Лир объяснил, что PI адреса доступны только частным клиентам, а для провайдеров рекомендуется получение /48 PA. Мол можно и /32, но дороже и много заморочек с объяснением в RIPE. Тогда мы были маленькие с одним узлом и присутствием в 3 городах, по этому как-то не подумали о анонсировании через несколько узлов, а просто решили, что 65к хватит. А если и не хватит, то возьмем еще один блок... А вот теперь вылез такой головняк. Будем менять блок на /32.

[ipaddr.ru]

дороже и много заморочек с объяснением в RIPE

Вообще никаких объяснений не нужно. И заморочек нету.

[zi_rus]

Загадили одну тему не офтопом про ipv6 так что отпишусь здесь.

Нашел интересный сервис статистики у RIPE, а там куча всяких графиков. Вот построил один интересный - количество AS анонсирующих ipv6 префиксы, в процентах

http://v6asns.ripe.net/v/6?s=RU;s=US;s=CA;s=UA;s=FR

для сравнения страны из зоны ARIN и несколько и зоны RIPE.

 

Забавно наблюдать резкий рост ipv6 AS во второй половине 15 года, как раз когда ARIN объявил о полном исчерпании своего адресного пространства. там тоже люди сидели и думали что обойдется, что ненужно и тд

[st_re]

Интересно количество ipv6 only АС. А так, это все в пользу бедных сравнения. Если вдруг завтра, к примеру гугль, вырубит у себя IPв6 - мир не содрагнется, да и в массе своей не заметит.. а вот если в4 отвалится, то будут "небольшие" проблемы.