Sergey Gilfanov Опубликовано 29 сентября, 2015 · Жалоба Покритикуйте план разбиения IPv6: Лучше, наверное, так: (правда, зависит от того, как доступ устроен. Тут имеется в виду 'честная' L3 маршрутизация) Одну-две-шестнадцать /56 из региона распределяем по /64 и назначаем на L3 интерфейсы доступа. В каждом таком сегменте внешние адреса абонентов идут подряд с маской /64 (в результате абонентов в сегменте много может быть и сеть на каждого абонента не теряется) Можно даже их просто прибить намертво к портам коммутаторов. А уже дальше /56 и /48, что внутри сети абонента использоваться будут, пробрасываем маршрутизацией на нужного клиента/порт. EDIT: абонентам старательно объясняем, что внешний адрес зависит от географического расположения и за ним ездить не будет. Пусть везде, где надо, использует адрес из его внутренней сети. (адрес внутреннего порта его маршрутизатора) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 29 сентября, 2015 · Жалоба Покритикуйте план разбиения IPv6: Лучше, наверное, так: (правда, зависит от того, как доступ устроен. Тут имеется в виду 'честная' L3 маршрутизация) Одну-две-шестнадцать /56 из региона распределяем по /64 и назначаем на L3 интерфейсы доступа. В каждом таком сегменте внешние адреса абонентов идут подряд с маской /64 (в результате абонентов в сегменте много может быть и сеть на каждого абонента не теряется) Можно даже их просто прибить намертво к портам коммутаторов. Из региона забирается одна сеть /48 из юриков и делится на сети /64, которые назначаю в абонентский влан. И дальше статикой выдается абонетский Ipv6. К нему же статикой роутится абонентская сеть ipv6. Юрики и физики могут быть в одних вланах. Сеть не vlan per user! Между регионами поднимать ospf6 и обмениваться сетями /36 и крупнее? Хз еще, что если у абонента динамический Ipv6? как его шейпить? на порту коммутатора не всегда получится. Или вообще не шейпить ipv6 траффик? его меньше 1%... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SLon26 Опубликовано 29 сентября, 2015 · Жалоба Рекомендую держаться в пределах 4 бит при разбиении сетей, /64/60/56/etc в будущем меньше будет ошибок у инженеров, ибо визуально проще будет определить границы сети. Никогда не раздавайте клиентам /64, выдавайте им хотя бы /56, иначе будут случаи когда пользователь воткнул себе 2 роутера подряд а ipv6 не работает ибо адреса второй роутер уже не сможет раздать. А почему статикой? статикой хорошой юриков у кого статичные адреса и будут, для физиков используйте DHCP-PD Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 29 сентября, 2015 · Жалоба Между регионами поднимать ospf6 и обменивать сетями /36 и крупнее? Обмениваться придется всеми внутренними сетями, что абонентам выдали. Но поскольку за пределы региона переезды будут редко, то большая часть этих сетей сагрегируется в более крупные и замусоривать таблицы маршрутов более высокого уровня не будет. Хз еще, что если у абонента динамический Ipv6? Но как то же этот динамический адрес выдается. Во в этот момент и вписывать в таблицу маршрутов, что его (статическую) сетку на этот адрес маршрутизировать надо. как его шейпить? Внешние адреса абонентов шейпить сильно и у всех. Все равно там сервисов не должно быть. Сервисы должны вешаться на адреса из статической внутренней сетки абонента. А почему статикой? статикой хорошой юриков у кого статичные адреса и будут, для физиков используйте DHCP-PD Внутренние адреса абонента - статика в том смысле, что всегда одни и те же, независимо от того, что там ему на внешнем интерфейсе выдалось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 29 сентября, 2015 · Жалоба Никогда не раздавайте клиентам /64, выдавайте им хотя бы /56, иначе будут случаи когда пользователь воткнул себе 2 роутера подряд а ipv6 не работает ибо адреса второй роутер уже не сможет раздать. Так в плане я и написал, выдавать /56 физикам и /48 - юрикам. как его шейпить? Внешние адреса абонентов шейпить сильно и у всех. Все равно там сервисов не должно быть. Сервисы должны вешаться на адреса из статической внутренней сетки абонента. Рассмотрим несколько случаев: 1) Если у абонента вместо роутера подключен комп с виндой 7-8-10. 2) Почти все сервисы слушают все ip-интерфейсы. 3) В случае src ip (Unix-Linux) берется первый по списку или меньший по разрядности IP. Просмотр сообщенияvlad11 (Сегодня, 18:10) писал: Между регионами поднимать ospf6 и обменивать сетями /36 и крупнее? Обмениваться придется всеми внутренними сетями, что абонентам выдали. Но поскольку за пределы региона переезды будут редко, то большая часть этих сетей сагрегируется в более крупные и замусоривать таблицы маршрутов более высокого уровня не будет. Вот я о том же, зачем более точные маршруты объявлять? Сеть ipv6 побита по регионам. Кто покинул регион - получает новые IP и сеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SLon26 Опубликовано 29 сентября, 2015 · Жалоба Если "внешние" адреса эти так сильно напрягают можно link-local использовать, но будет некрасивые трасировки и неудобно траблишутить. Мы внешние привязываем к клиенту(юрики) просто потому что у него в этой же сети висят ipv4 адреса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 29 сентября, 2015 · Жалоба Рассмотрим несколько случаев: 1) Если у абонента вместо роутера подключен комп с виндой 7-8-10. В современных условиях это фантастический случай. 'Оператор настоятельно не рекомендует так делать'. 2) Почти все сервисы слушают все ip-интерфейсы. Нормальный сервис отвечает с того IP, на который обратились. Так что слушают - неважно. А вот если с маршрутизатора что-то куда-то полезло - тогда да, имеет значение. Но речь про IPv6 идет. Делать вид, что все идет с маршрутизатора не надо. Внутренняя сеть нормально с интернета видна. Поэтому и лазить наружу должно то, что внутри сетки стоит. А маршрутизатор должен маршрутизировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 29 сентября, 2015 · Жалоба Никогда не раздавайте клиентам /64, выдавайте им хотя бы /56, иначе будут случаи когда пользователь воткнул себе 2 роутера подряд а ipv6 не работает ибо адреса второй роутер уже не сможет раздать. Подписываюсь под призывом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 29 сентября, 2015 · Жалоба Просмотр сообщенияvlad11 (Вчера, 19:07) писал: Рассмотрим несколько случаев: 1) Если у абонента вместо роутера подключен комп с виндой 7-8-10. В современных условиях это фантастический случай. 'Оператор настоятельно не рекомендует так делать'. Это реальность. Доля абонентов широкополосного доступа, подключающие компьютеры напрямую составляет 20-40%. В зависимости от страны и обеспеченности региона. Просмотр сообщенияSLon26 (Вчера, 18:18) писал: Никогда не раздавайте клиентам /64, выдавайте им хотя бы /56, иначе будут случаи когда пользователь воткнул себе 2 роутера подряд а ipv6 не работает ибо адреса второй роутер уже не сможет раздать. Подписываюсь под призывом. Записал. Случаи тройного NAT'a или с тремя роутерами зафиксированы у абонента? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 29 сентября, 2015 · Жалоба Просмотр сообщенияvlad11 (Вчера, 19:07) писал: 2) Почти все сервисы слушают все ip-интерфейсы. Нормальный сервис отвечает с того IP, на который обратились. Так что слушают - неважно. А вот если с маршрутизатора что-то куда-то полезло - тогда да, имеет значение. Но речь про IPv6 идет. Делать вид, что все идет с маршрутизатора не надо. Внутренняя сеть нормально с интернета видна. Поэтому и лазить наружу должно то, что внутри сетки стоит. А маршрутизатор должен маршрутизировать. Вот типичная виртуалка на Дебиане: # netstat -an | grep ::: tcp6 0 0 :::80 :::* LISTEN tcp6 0 0 :::53 :::* LISTEN tcp6 0 0 :::22 :::* LISTEN tcp6 0 0 ::1:953 :::* LISTEN udp6 0 0 ::1:161 :::* udp6 0 0 :::53 :::* # netstat -rn -6 Kernel IPv6 routing table Destination Next Hop Flag Met Ref Use If 2001:XXX0:51::/56 :: U 256 0 0 venet0 fe80::/64 :: U 256 0 0 venet0 ::/0 :: U 1 0 0 venet0 ::/0 :: !n -1 1567166 lo ::1/128 :: Un 0 1 1206 lo 2001:XXX0:51::/128 :: Un 0 1 0 lo 2001:XXX0:51:1::2e6/128 :: Un 0 11223018 lo ff00::/8 :: U 256 0 0 venet0 ::/0 :: !n -1 1567166 lo Настройки named'a, snmpd, nginx и sshd по-умолчанию. Sendmail пришлось подкручивать, чтоб было видно по ipv6. Кто виноват? Хостер, который выдал Ipv6 как "Scope:Global". Или разработчик OpenVZ, который криво сделал реализацию venet? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mechanic Опубликовано 21 октября, 2015 · Жалоба подскажите по практическому внедрению ip6 - если клиентов ip6 у меня нету, так и трафика там бегать не будет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
karpa13a Опубликовано 21 октября, 2015 · Жалоба Mechanic совершенно не факт) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 22 октября, 2015 · Жалоба У вас в сети уже может быть полно v6 трафика, а вы об этом и знать не будете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SpheriX Опубликовано 22 октября, 2015 · Жалоба Случаи тройного NAT'a или с тремя роутерами зафиксированы у абонента? Да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DeeZ Опубликовано 24 октября, 2015 · Жалоба Сижу разбираюсь с ipv6, домашний провайдер пока не предоставляет нативного, по этому только 6то4 Вроде настроил, но толком не работает. Что странно доступен ВК (трейс подозрительно короткий. похоже кэш-сервер у домашнего провайдера стоит, либо через пиринг). Открывается ipv6.nnm-club.me, есть пинг до друга в Нижнем Новгороде (он тоже сидит на 6то4). Но ipv6.google.com и его ДНСы не доступен. В общем совершенно не пойму куда копать. Кто то может подсказать? Трейс для 192.88.99.1 уходит через ТТК в МТС. Куда обращаться: ИС, ТТК, МТС? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 24 октября, 2015 · Жалоба he.net или другой туннельный брокер тебе в помощь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DeeZ Опубликовано 24 октября, 2015 · Жалоба he.net или другой туннельный брокер тебе в помощь. хочу пока понять именно 6to4 раз взялся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 24 октября, 2015 · Жалоба 6to4 во многих местах бывает глючный. Он по природе асимметричный (почти всегда), поэтому траблшут бывает тяжёл. Хотите - можно подиагностировать косяки и позадавать вопросы вашему ближайшему 6to4 relay. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sfstudio Опубликовано 25 октября, 2015 · Жалоба Сижу разбираюсь с ipv6, домашний провайдер пока не предоставляет нативного, по этому только 6то4 Вроде настроил, но толком не работает. Что странно доступен ВК (трейс подозрительно короткий. похоже кэш-сервер у домашнего провайдера стоит, либо через пиринг). Открывается ipv6.nnm-club.me, есть пинг до друга в Нижнем Новгороде (он тоже сидит на 6то4). Но ipv6.google.com и его ДНСы не доступен. В общем совершенно не пойму куда копать. Кто то может подсказать? Трейс для 192.88.99.1 уходит через ТТК в МТС. Куда обращаться: ИС, ТТК, МТС? Уже месяц-два как через 6to4 поверх ТТК до гуглов доступа нет. При этом рунет ходит нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snn Опубликовано 21 ноября, 2015 · Жалоба Добрый день, коллеги, созрел тут такой вопрос... Сейчас для провайдеров лирами (по рекомендации RIPE) настойчиво предлагаются только /48 PA префиксы. Но как быть в таком случае провайдеру, если у него несколько узлов со своими магистральными каналами и за каждым нужно закрепить свои адреса? Ведь нельзя анонсировать в bgp маршруты короче /48 - например /52. Настойчиво просить лира заменить пул на /32? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 23 ноября, 2015 · Жалоба Добрый день, коллеги, созрел тут такой вопрос... Сейчас для провайдеров лирами (по рекомендации RIPE) настойчиво предлагаются только /49 PA префиксы. Но как быть в таком случае провайдеру, если у него несколько узлов со своими магистральными каналами и за каждым нужно закрепить свои адреса? Ведь нельзя анонсировать в bgp маршруты короче /49 - например /52. Настойчиво просить лира заменить пул на /32? Не было такой рекомендации у райпа. И мы даем провайдерам /32 в аренду. Райп же дает PI /48. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snn Опубликовано 24 ноября, 2015 · Жалоба Извините, опечатался, речь идет про PA /48. Исторически так сложилось, что 3 года назад наша компания получила от лира блок PI /48. Лир объяснил, что PI адреса доступны только частным клиентам, а для провайдеров рекомендуется получение /48 PA. Мол можно и /32, но дороже и много заморочек с объяснением в RIPE. Тогда мы были маленькие с одним узлом и присутствием в 3 городах, по этому как-то не подумали о анонсировании через несколько узлов, а просто решили, что 65к хватит. А если и не хватит, то возьмем еще один блок... А вот теперь вылез такой головняк. Будем менять блок на /32. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ipaddr.ru Опубликовано 24 ноября, 2015 · Жалоба дороже и много заморочек с объяснением в RIPE Вообще никаких объяснений не нужно. И заморочек нету. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 8 января, 2016 · Жалоба Загадили одну тему не офтопом про ipv6 так что отпишусь здесь. Нашел интересный сервис статистики у RIPE, а там куча всяких графиков. Вот построил один интересный - количество AS анонсирующих ipv6 префиксы, в процентах http://v6asns.ripe.net/v/6?s=RU;s=US;s=CA;s=UA;s=FR для сравнения страны из зоны ARIN и несколько и зоны RIPE. Забавно наблюдать резкий рост ipv6 AS во второй половине 15 года, как раз когда ARIN объявил о полном исчерпании своего адресного пространства. там тоже люди сидели и думали что обойдется, что ненужно и тд Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 8 января, 2016 · Жалоба Интересно количество ipv6 only АС. А так, это все в пользу бедных сравнения. Если вдруг завтра, к примеру гугль, вырубит у себя IPв6 - мир не содрагнется, да и в массе своей не заметит.. а вот если в4 отвалится, то будут "небольшие" проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...