none7 Опубликовано 26 июня, 2012 · Жалоба Расширение IPv4/BGPv4/etc. номером AS (причём вначале в принципе его можно было бы делать только на бордерах, старое железо смогло бы работать по "старому" v4, с условием, что не участвует в обмене роутинговой информацией) обошлось бы куда дешевле, и не пришлось бы 20 лет почти безуспешно пытаться его внедрять. А как быть с конечными серверами и клиентами, они тоже должны его поддерживать, IPv6 даже спустя 20 лет не может дождаться своей поддержки большинством. А так же всё ПО общающееся с интернетом, в том числе серверные скрипты, которые пишут пользователи плохо разбирающиеся в сетях. Всё L3 оборудование провайдера должно поддерживать это расширение. Проблемы те же самые, что и у IPv6, только биллинг и возможно CPE обновлять не нужно, но если их производители обратили бы внимание на IPv6 10 лет назад, то проблемы замены оборудования сейчас бы не стояли. Мне самым экономичным решением видится инкапсуляция протокола в UDP, но с IPv6 тоже так можно и собственно самый успешный переходный механизм Teredo так и работает. Сейчас наиболее разумным для провайдеров будет проталкивать изменения в rfc Teredo необходимые им, а так же требовать у вендоров железки необходимые для работы улучшенного Teredo. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 26 июня, 2012 (изменено) · Жалоба А как быть с конечными серверами и клиентами, они тоже должны его поддерживать Естественно. Старое неапгрейдеабельное железо в пределах AS теоретически смогло бы общаться и на "голом" v4, благо это в основном доступ по управлению, который априори во внешний мир выпущен редко. С клиентами проблем в принципе 0 - один номер протокола + одно поле в заголовке (или вообще в IP Options, без смены протокола), т.е. "малой кровью", поскольку полностью перепиливать стек не нужно - запилилось бы за год во всех ОС де-факто. На время запиливания и переходный период достаточно было бы просто не трогать схему адресации (не использовать пересекающиеся адреса) но уже добавить AS-префиксы. С роутерами посложнее, вероятно, всё-таки новый стек протоколов маршрутизации, но целиком и полностью базирующийся на существующем v4-стеке. Тоже не бог весть какая страшная задача - магистральное оборудование как правило имеет все возможности по перепрограммированию (добавили же v6 в 6500/7600/etc.). Хуже всего дело обстояло бы с теми железками, у которых часть v4 жестко реализована в ASIC'ах, и изменить размеры адресов или взять адреса из Option'ов нереал. Но проблемы вовсе не те же самые. Помимо собственно IP, IPv6 на корню ломает: ARP, ICMP, DHCP, IGMP, PPP (в плане конфигурирования адреса), схему broadcast/multicast, и добавляет тучу костылей типа трех разных механизмов автоконфигурации, Teredo, 6to4 и прочих, коих в случае AS-extended v4 не потребовалось бы вообще (максимум - простейшее с точки зрения софта и железа преобразование старого v4 в AS-prefixed на выходах бордеров, и, при необходимости - обратно). Понятно, что сделано это не просто так, а с целью устранить некоторые недостатки IPv4, но вот то, что устранение этих недостатков само оказалось одним фатальнейшим недостатком (необходимостью менять всё и сразу) - уже факт. Насчёт Teredo... Если уж и внедрять в живой сети - то "чистый" IPv6, в дуалстеке. Понятно, что костыль можно временно использовать для совместимости с решениями, всё еще не поддерживающими протокол. Но городить костыли для поддержки протокола в целом - неправильно опять же с точки зрения технической политики. Если вдруг эта тенденция наметится, то сие будет означать, что протокол мертворождённый изначально. Если уже не наметилась. Изменено 26 июня, 2012 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 26 июня, 2012 (изменено) · Жалоба Сейчас наиболее разумным для провайдеров будет проталкивать изменения в rfc Teredo необходимые им, а так же требовать у вендоров железки необходимые для работы улучшенного Teredo. Может быть вы хотели сказать 6rd? самый успешный переходный механизм Teredo так и работает самый успешный Ох же лол. Citation, как говорится, needed. Изменено 26 июня, 2012 пользователем rm_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex/AT Опубликовано 26 июня, 2012 (изменено) · Жалоба Насчёт технически не красивого решения я не согласен. Я имел в виду именно технополитический аспект, не технический. Но и с точки зрения техники всё не совсем гладко - при разработке не учли особенностей реального железа совершенно. Например вот тут всё очень хорошо видно: http://inconcepts.biz/~jsw/IPv6_NDP_Exhaustion.pdf Кстати есть вопрос к практикам, поскольку планируем IPv6 на сети: как боретесь с тем, что один хост на подсети /64 теоретически может полностью завалить роутящую железку? Из ближайшего решения видится только IPv6-MAC binding с 1 адресом на хост, или лимит записей NDP на порту, но тогда смысл в выдаче /64 отпадает по факту. Увы, менее /64 типовое SOHO CPE зачастую не поддерживает. И может быть свалено изнутри подобным же образом, никаких ограничений нет, т.е. юрлица в группе риска. Либо всегда давать пировые адреса, и за них проталкивать /64, но такое извращение ходовые CPE "для физиков" также не поддерживают. Изменено 26 июня, 2012 пользователем Alex/AT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 26 июня, 2012 · Жалоба Либо всегда давать пировые адреса, и за них проталкивать /64, но такое извращение ходовые CPE "для физиков" также не поддерживают. Именно только такое и поддерживают, выдаётся один адрес (для самой CPE с WAN-стороны), и уже за него "проталкивается" (роутится через него) та самая /64 или больше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 26 июня, 2012 · Жалоба Но и с точки зрения техники всё совсем не так гладко - при разработке не учли особенностей реального железа совершенно. Например вот тут всё очень хорошо видно: http://inconcepts.bi..._Exhaustion.pdf NDP может разрастись: - довесить памяти, она нынче дешёвая - пущай вендоры не жопятся; - выдавать не /64 а /120 (те обычные 256 адресов подсеть) - в будущем может перепилят рфк (в начале написал, потом прочитал слайд с этой рекомендацией :) ); - забить - кому надо, переспросят перед посылкой пакета; - лимит ндп записей на интерфейс/влан; - лимит ндп записей на мак + портсек на 1-4 мака у юзеров. Ещё ничего не написали про ндп спуфинг, чего уж там, если критиковать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 26 июня, 2012 · Жалоба Либо всегда давать пировые адреса, и за них проталкивать /64, но такое извращение ходовые CPE "для физиков" также не поддерживают. Именно только такое и поддерживают, выдаётся один адрес (для самой CPE с WAN-стороны), и уже за него "проталкивается" (роутится через него) та самая /64 или больше. У нас на стенде немного не так: в порт выдается /64. Если в порт поставить роутер, то из этой /64 он получит себе адрес, назначит себе на WAN, и пошлет запрос на префикс. В ответ выдаем в порт /60. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
none7 Опубликовано 26 июня, 2012 · Жалоба Может быть вы хотели сказать 6rd? 6rd требует поддержки CPE и требует поддержки себя в L3-коммутаторах, если конечно нет желания потратить целую сеть /32 только на раздачу одной /64 на IPv4-адрес. Teredo легко проходит через большинство натов, если поставить у провайдера железку для проксирования(relay) и выдать IPv6-адрес из диапазона провайдера, то будет работать на всех типах натов и без задержки первого пакета. При этом железка может быть stateless если клиент сам будет поддерживать подключение, что позволит сделать железку дешёвой. Если каждый IPv4 адрес будет обладать своей сетью /64, то проблем с банами клиентов не будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 26 июня, 2012 (изменено) · Жалоба Teredo легко проходит через большинство натов, если поставить у провайдера железку для проксирования(relay) и выдать IPv6-адрес из диапазона провайдера, Простите что? Да-да, я знаю, нужно срочно переделать RFC и всё сразу станет хорошо. Только зачем цепляться за слово "Teredo", если ваша костылетуннельная система поверх UDP не будет иметь к нему никакого отношения? Не лучше ли просто взять и прямо сейчас использовать AYIYA или TSP? Это если вообще, зачем-то продолжать давить странную идею, что в рамках одного провайдера ему при деплое обязательно зачем-то потребуется заворачивать IPv6 в IPv4 UDP. Изменено 26 июня, 2012 пользователем rm_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
netime Опубликовано 26 июня, 2012 (изменено) · Жалоба IPv6 так медленно идёт не потому, что "адреса не кончаются" (даже если кончатся - NAT спасёт отц^W провайдеров по первости), а потому, что технополитически представляет из себя достаточно угрёбищное решение ака "и на руинах новый мир построим" - т.е. предлагается сломать всё (отлично) работающее, и заставить всех всю сеть строить заново. Расширение IPv4/BGPv4/etc. номером AS (причём вначале в принципе его можно было бы делать только на бордерах, старое железо смогло бы работать по "старому" v4, с условием, что не участвует в обмене роутинговой информацией) обошлось бы куда дешевле, и не пришлось бы 20 лет почти безуспешно пытаться его внедрять. угу. тысячи разработчиков со всего мира разрабатывали IPv6 а тут появляется русский вася и говорит что это угребищное решение... Перейдут США и Китай с Японией а тихая гавань будет сырьевым придатком точне v4 придатком..и вас никто не спросит... вот вот о чем Я говорил и говорю. v4 это костыль. поборники v4 предлагают городить очередные костыли v4 типа "Расширение IPv4/BGPv4/etc. номером AS" в bgp и так есть номер AS. Будущий мир это планшетники и IPv6. Cколько не делай костылей с v4 всё равно Вас всех ждет неизбежный V6. Кстати есть вопрос к практикам, поскольку планируем IPv6 на сети: как боретесь с тем, что один хост на подсети /64 теоретически может полностью завалить роутящую железку? Вы имеете ввиду что хост может сгенерировать 2^64 записей в таблице маршрутизации роутера? Насчот уязвимостей, а вы в курсе что в обычном вашем любимом pppoe посторонний хост может легко дропать чужие соединений? Сбросить чужоую pppoe сессию в своем сегменте, может даже школьник если знает как. Изменено 26 июня, 2012 пользователем netime Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 26 июня, 2012 · Жалоба "Коммунизм - неизбежное будущее человечества!" (с) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
none7 Опубликовано 26 июня, 2012 · Жалоба Простите что? Что мешает изменить структуру адреса, ведь оно не будет конфликтовать с сетью 2001::/32 | prefix (3-64) | client ip bits (64-prefix) | server (32) | port (16) | symmetric (1) | anything (15) | Естественно желательно передать список локальных сетей. Не лучше ли просто взять и прямо сейчас использовать AYIYA или TSP? В этих протоколах отсутствует оптимизация маршрута. Эти протоколы не лелеет Microsoft и придётся клиентам, что то доустанавливать, в случае Teredo MS пришлёт обновление почти всем. Это если вообще, зачем-то продолжать давить странную идею, что в рамках одного провайдера ему при деплое обязательно зачем-то потребуется заворачивать IPv6 в IPv4 UDP. Знаете другой способ быстро развернуть IPv6 с минимальными затратами и при наличии IPv4 only CPE купленных полгода назад. Естественно CPE никто кроме гиков перепрошивать не станет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 26 июня, 2012 · Жалоба Знаете другой способ быстро развернуть IPv6 с минимальными затратами и при наличии IPv4 only CPE купленных полгода назад. Естественно CPE никто кроме гиков перепрошивать не станет. А кому прямо сейчас (кроме гиков) нужен ipv6? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rm_ Опубликовано 26 июня, 2012 · Жалоба быстро развернуть IPv6 с минимальными затратами Оууууукей. Быстро и с минимальными затратами проталкиваем фундаментальное изменение в RFC. Быстро и с минимальными затратами уговариваем Микрософт его реализовать, и тут же разослать в виде критичного апдейта на все винды, включая XP, включая нелицензионные. Главное это всё можно сделать очень быстро! Буквально на той неделе. Ну и затраты тоже будут самыми минимальными! А самое главное, CPE менять не придётся. :D Знаете другой способ быстро развернуть IPv6 с минимальными затратами Быстро и с минимальными затратами v6 разворачивается на сетях, использующих PPPoE или L2TP. Just sayin'. и при наличии IPv4 only CPE купленных полгода назад Клиенты за таковыми никакого v6 не получат, и это нормально. Изобретать сумасшедшие костыли на базе тередо чтобы им его не смотря ни на что дать - нецелесообразно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 26 июня, 2012 · Жалоба Быстро и с минимальными затратами v6 разворачивается на сетях, использующих PPPoE или L2TP. Just sayin'. А также, практически без геморроя, разворачивается 6VPE на mpls. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
netime Опубликовано 26 июня, 2012 (изменено) · Жалоба Планшетники и IPv6 это НЕИЗБЕЖНОЕ будущее. Мне вчера звонил сотрудница из Билайна она мне уделила примерно 30 минут выслушав мою речь про IPv6 в конце сказал типа как вы посмели мне звонить не включив v6 Билайне, просил соединить с техническим администратором не соединила гнида. еще она сказала что вылечилась от интернет- зависимости благодаря работе - теперь у нее интернет на работе ,в смартфоне и дома(3 интернета) на что Я ей указал что она заражает интернет-зависимостью других и что пора кончать с этим надо повышать цену на интернет примерно 1500р в месяц чтобы люди побросали свои компутеры и пошли в оффлайн. а никто не знает чем сгенрировать на хосте 2^64 записей ipv6 в роутер? у меня гдето был генератор мак-адресов для проверки памяти свичей... но это не то нужен ipv6 генратор. Изменено 26 июня, 2012 пользователем netime Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
homeuser Опубликовано 26 июня, 2012 · Жалоба а вообще ndp attack это растущая таблица mac-ip(v4/v6)? если так то её ограничить типа MAC-binding желательно динамический с n кол-вом маков (пусть 5-10) на 1 порт и с обновлением каждые m минут (также 5-10), если такое возможно. пользователю это также оговаривается и пусть ставит роутер если хочет иметь больше подключений. возможно такое сделать или это скажется сильно на оборудовании? и пусть пользователь получает /64 и софт пишется под /64 и ndp attack не будет. я прально понимаю? или в чем ошибся? (ткните носом что почитать, пож-та) дело в том что ipv6 УЖЕ запущен и никто его утверждённые спецификации менять уже не будет (это будет ещё тяжелее чем сам запуск ipv6). остаётся либо L3 тунель (типа pppoe) либо такое ограничение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bel Опубликовано 26 июня, 2012 · Жалоба Для себя я сделал такой вывод: нормальный провайдер не будет предоставлять доступ без CPE. На CPE будет возложена функция распределённой защиты ядра сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
netime Опубликовано 26 июня, 2012 · Жалоба а вообще ndp attack это растущая таблица mac-ip(v4/v6)? если так то её ограничить типа MAC-binding желательно динамический с n кол-вом маков (пусть 5-10) на 1 порт и с обновлением каждые m минут (также 5-10), если такое возможно. Только ndp нету в v4. "растущая таблица mac-ip" это arp и вроде только для v4. в v6 вроде нет arp или есть? а как выглядит ndp таблица? Получается в широковещательном домене будет 2^64 адресов v6? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
homeuser Опубликовано 26 июня, 2012 · Жалоба netimeмне кажется это своего рода аналоги. должна быть таблица сопоставления MAC для ethernet и ip адрес, в в4 это arp в в6 это скорее всего та самая ndp. не? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
netime Опубликовано 26 июня, 2012 · Жалоба homeuser с v4 всё ясно а v6 именно так скорее всего и есть. но неужели 2^64 на broadcast домен... кстати проводил отловлю пакетов в своем сегменте - v6 запросы есть чуть меньше чем клиентов. и такое наверняко в любой сети. много у народа висты и семерок стоит... bel как пров узнает что у абонента именно CPE ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bel Опубликовано 26 июня, 2012 · Жалоба netimeмне кажется это своего рода аналоги. должна быть таблица сопоставления MAC для ethernet и ip адрес, в в4 это arp в в6 это скорее всего та самая ndp. не? NDP использует ICMPv6. Wikipedia: Протокол Обнаружения Соседей Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
homeuser Опубликовано 26 июня, 2012 (изменено) · Жалоба belспасибо, а есть ли запрос когда маршрутизатор не знает мас адреса и опрашивает сеть на поиск абонента с ip таким то? или отправляет всем в этом L2 сегменте? и в чем тогда заключается ndp attack? из презентации я так понял что это аналог arp в той статье тоже написано что заменитель... Изменено 26 июня, 2012 пользователем homeuser Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bel Опубликовано 26 июня, 2012 · Жалоба как пров узнает что у абонента именно CPE ? Нормальный провайдер будет просто продавать CPE в комплекте с подключением. Специально делать ограничение не вижу смысла. Подключиться без CPE можно будет при условии поддержки абонентским терминалом модели предоставления доступа, которую выберет провайдер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
netime Опубликовано 26 июня, 2012 (изменено) · Жалоба Насчот ресурсов требующих на IPv6. про исчерпание IPv4 - вот куда ресурсы уходять: "Несколько организаций вернули большие блоки IP-адресов, в частности Стенфордский университет, который вернул адреса сети класса A в 2000-м году, дав 16 миллионов IP-адресов (процесс перенастройки 56 тысяч единиц оборудования занял два года" 2 года потрачено из-за перенастройки v4. Это как назвать? преимущество и дальше сидеть на v4? из Вики "Стоимость уменьшения используемого адресного пространства сопоставима с однократным переходом на IPv6." Изменено 26 июня, 2012 пользователем netime Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...