Jump to content
Калькуляторы

Внедрение IPv6 на небольшом провайдере

Хотелось бы расписать алгоритм внедрения IPv6.

Прошу дополнять и поправлять.

 

Итак, рассмотрим среднестатистического небольшого провайдера:

 

Возможны разные схемы:

 

1) У клиентов PPPoE/PPTP/L2TP с "реальными" IP

2) У клиентов "реальные" IP на Ethernet, выдаются по DHCP

3) У клиентов "реальные" IP на Ethernet, установлены статически

4) Также, есть варианты, которые зовутся Russian PPP, когда "локальный" IP выдаётся по Ethernet, а "реальный" - по PPP.

5) У клиентов PPPoE/PPTP/L2TP с "серыми" IP за NAT

6) У клиентов "серые" IP, выдаются по DHCP, за NAT

 

Аплинки, поддерживающие Native IPv6:

 

Комстар-Директ (AS8359)

Orange Business (AS2854)

ReTN (AS9002)

Ростелеком (AS12389)

RTcomm (AS8342)

РТцентр (AS39293)

ТТК (AS20485)

 

 

Тунели, поддерживающие IPv6 + BGP:

Hurricane Electric

Комстар-Директ

 

 

Также см. http://version6.ru/for-isp

 

 

Возьмем случай, когда у провайдера два аплинка по BGP, на одном есть Native IPv6, на другом - нет(будем использовать туннель).

Для оптимизации прохождения трафика нужно сделать 6to4 и teredo на пограничном роутере IPv6.

Также возможно BGP peering via 6to4 (http://6to4.ru/)

 

Как будем выдавать клиентам:

 

1,4,5) Выдаём префикс /56 по PPP

2,6) Выдаём /56 по DHCP

3) Выдаём /56, клиент устанавливает статически

 

Надо также учесть, что не все ресурсы, имеющие в DNS записи А и AAAA, успешно работают по v6 протоколу.

Edited by MMM

Share this post


Link to post
Share on other sites

Выдаём префикс /64 по PPP

Т.е. если у клиента СРЕ с поддержкой IPv6 и он ожидает получить себе отдельные IPv6 адреса на домашние девайсы - болт?

Share this post


Link to post
Share on other sites
Надо также учесть http://version6.ru/deprefer-ipv6

Честно не совсем понял, при чём тут та статья (актуальна только для конечных машин на туннелях).

Некоторые вопросы внедрения со стороны провайдера попытался рассмотреть на http://version6.ru/for-isp

Share this post


Link to post
Share on other sites

мда...

когда будет повсеместно ipv6(лет через 10-15) - проще его будет выдавать статически или по дхцп и не ипать мозг, т.к. к тому времени инет будет у всех. Мне например уже сейчас больше 100мб в день не уперлось - еслиб говностроители сайтов делали страницы не по 2мб то вообще 50мб.

 

CPE ставиться в режим свича и всё выдается по dhcp(через 10-15 лет).

Share this post


Link to post
Share on other sites

CPE ставиться в режим свича и всё выдается по dhcp

А фаервол?

Share this post


Link to post
Share on other sites
Т.е. если у клиента СРЕ с поддержкой IPv6 и он ожидает получить себе отдельные IPv6 адреса на домашние девайсы - болт?

 

В топике по в6 я расписал как одну /64 пере раздавать и оставаться роутером. От провайдера требуется только одно: /64 эту самую засылать на интерфейс целиком, а не отдельный адрес. Если там ходит NDP - то клиентский роутер просто анонсит всю свою таблицу L2-L3 на интерфейс прова или отвечает на все запросы для /64 со стороны провайдера своим маком. Аналог прокси-арп для в6.

 

 

Share this post


Link to post
Share on other sites

CPE ставиться в режим свича и всё выдается по dhcp

А фаервол?

Ты ещё не видел файрволлов в свичах? ;-)

Share this post


Link to post
Share on other sites

От провайдера требуется только одно: /64 эту самую засылать на интерфейс целиком, а не отдельный адрес.

Я, кажется, тебя понимаю, но не уверен. Сегодня приду на работу - проверю, понял, или нет ;)

Share this post


Link to post
Share on other sites
Надо также учесть http://version6.ru/deprefer-ipv6

Честно не совсем понял, при чём тут та статья (актуальна только для конечных машин на туннелях).

Некоторые вопросы внедрения со стороны провайдера попытался рассмотреть на http://version6.ru/for-isp

 

Имелось в виду, что даже с native ipv6 некоторые ресурсы могут иметь "кривые" настройки и не работать по v6, даже при наличии AAAA записей.

 

P.S. Ссылку на for-isp добавил

Share this post


Link to post
Share on other sites

Я так понимаю, сейчас "внедрение" упирается в отсутствие "прошивок" для CPE и в поддержку v6 на оборудовании провайдеров.

Share this post


Link to post
Share on other sites

CPE ставиться в режим свича и всё выдается по dhcp

А фаервол?

 

Существует концепция выноса фаервола на сторону провайдера и управление им через личный кабинет. У билайна такое реализовано. Так что бойтесь, производители L3 CPE, у вас могут отнять хлеб производители "больших" железок.

Share this post


Link to post
Share on other sites

Есть еще проблема, может быть не массовая, но:

 

у юзера дома два провайдера.

сейчас это решается приобретением роутера с двумя WAN и настройкой NAT

 

Что будет в случае v6 ?

Share this post


Link to post
Share on other sites

Есть еще проблема, может быть не массовая, но:

 

у юзера дома два провайдера.

сейчас это решается приобретением роутера с двумя WAN и настройкой NAT

 

Что будет в случае v6 ?

 

Обсуждалось в "соседнем" топике в этом разделе. Там же есть ссылка на rfc-шный draft NAT66

Share this post


Link to post
Share on other sites

CPE ставиться в режим свича и всё выдается по dhcp

А фаервол?

Когда в сети, в прямой адресации будет не 500млн. компов как сейчас, а 3-4 млрд устройств -вероятность проникновения на конкретное ус-во станет гораздо ниже, те кому он необходим всегда могут поставить на свой комп.

В данный момент именно нехватка адресов - мне например бы не помешал бы внешний адрес и не один, непонимаю почему за хромой с костылями ipv4(по сути воздух) абонент должен платить.

 

Позвонили из МГТС агитировали - "у нас хорошие тарифы безлимит". да еп кого вы сейчас безлимитом хотите удивить, зачем мне ваш стрим...

Edited by netime

Share this post


Link to post
Share on other sites

Когда в сети, в прямой адресации будет не 500млн. компов как сейчас, а 3-4 млрд устройств

То, думаю, большинство присутствующих сейчас на форуме эти вопросы интересовать не будут :)

Существует концепция выноса фаервола на сторону провайдера и управление им через личный кабинет. У билайна такое реализовано. Так что бойтесь, производители L3 CPE, у вас могут отнять хлеб производители "больших" железок.

Билайн, конечно, пров не маленький. В масштабах России. Но в мире я таких тенденций ещё, тьфу-тьфу, не наблюдаю. Так, что - пугайте-пугайте, нам на хлеб с маслом пока хватает :)

Share this post


Link to post
Share on other sites

CPE ставиться в режим свича и всё выдается по dhcp

А фаервол?

 

Существует концепция выноса фаервола на сторону провайдера и управление им через личный кабинет. У билайна такое реализовано. Так что бойтесь, производители L3 CPE, у вас могут отнять хлеб производители "больших" железок.

возможность выбрать один из 4 ACL который повесится на virtual-access это далеко не файрвол ;)

Share this post


Link to post
Share on other sites

Билайн даже в v4 это цирк с конями. PPTP/L2TP еще тот геморой со стабильностью коннекта и производительностью домашних мыльниц.

Каких либо других вариантов абоненту не предлагается в принципе. Ждать от них v6 в обозримое время даже и не стоит.

 

возможность выбрать один из 4 ACL

4й режим похож на стейтфул файрвол.

Share this post


Link to post
Share on other sites
Я, кажется, тебя понимаю, но не уверен. Сегодня приду на работу - проверю, понял, или нет ;)

 

http://forum.nag.ru/forum/index.php?showtopic=52680&view=findpost&p=670453

 

Только я не знаю как нынче с реализацией прокси NDP в осях, но там по идее кодить мало.

 

 

 

 

Есть еще проблема, может быть не массовая, но: у юзера дома два провайдера. сейчас это решается приобретением роутера с двумя WAN и настройкой NAT Что будет в случае v6 ?

 

Роутить как нить будет.

 

Когда в сети, в прямой адресации будет не 500млн. компов как сейчас, а 3-4 млрд устройств -вероятность проникновения на конкретное ус-во станет гораздо ниже, те кому он необходим всегда могут поставить на свой комп.

 

1. Когда в сети больше 1 стационарного компа - фаервол придётся настраивать больше одного раза - уже плохо.

 

2. Вероятность проникновения на конкретное устройство лишь незначительно меньше: адреса всё равно светятся в инете, на сайтах и тд, а в локалке всё по старинке, включая NDP спуфинг.

 

3. Когда устройств будет больше, будет и больше уязвимых устройств, к тому же у них будет явно больше ресурсов чем сейчас, так что я бы сказал что вероятность даже вырастет :)

 

 

 

Билайн, конечно, пров не маленький. В масштабах России. Но в мире я таких тенденций ещё, тьфу-тьфу, не наблюдаю. Так, что - пугайте-пугайте, нам на хлеб с маслом пока хватает :)

 

Вас атомы/амд х86 маложрущие железки за копейки скоро начнут теснить, тк по производительности и функционалу запросто рвут любое готовое решение. Плюс там возможность апгрейда, хотябы памяти до 4--8 гигов накинуть не дорого, система в сборе получится на уровне роутера с 128/256 оперативы от вендора, по деньгам.

 

 

Share this post


Link to post
Share on other sites
Существует концепция выноса фаервола на сторону провайдера и управление им через личный кабинет.

Плохая концепция. Даже лень объяснять, почему.

 

Вас атомы/амд х86 маложрущие железки за копейки скоро начнут теснить, тк по производительности и функционалу запросто рвут любое готовое решение. Плюс там возможность апгрейда, хотябы памяти до 4--8 гигов накинуть не дорого, система в сборе получится на уровне роутера с 128/256 оперативы от вендора, по деньгам.

Дадим каждому хомячку возможность собрать свой embedded Linux! ага-ага...

Share this post


Link to post
Share on other sites

Да-да, это я видел.

 

Вас атомы/амд х86 маложрущие железки за копейки скоро начнут теснить, тк по производительности и функционалу запросто рвут любое готовое решение. Плюс там возможность апгрейда, хотябы памяти до 4--8 гигов накинуть не дорого, система в сборе получится на уровне роутера с 128/256 оперативы от вендора, по деньгам.

Ну, вИв уже всё сказал:

Дадим каждому хомячку возможность собрать свой embedded Linux! ага-ага...

 

Провайдеру с парой десятков миллионов пользователей нужен такой геморрой? От сегоднящнего зоопарка все рыдают. Кроме того - что значит "за копейки"? Ты в курсе сколько стоят СРЕ для провайдера (при больших объемах, разумеется).

Ну и еще один ньюанс: продвинутые железки - для фриков. Простому пользователю нужно дёшево, просто, с полной поддержкой провайдера и, желательно, красиво.

Share this post


Link to post
Share on other sites

Вас атомы/амд х86 маложрущие железки за копейки скоро начнут теснить, тк по производительности и функционалу запросто рвут любое готовое решение. Плюс там возможность апгрейда, хотябы памяти до 4--8 гигов накинуть не дорого, система в сборе получится на уровне роутера с 128/256 оперативы от вендора, по деньгам.

Не нужно это почти никому. Чтобы купить и запустить в работу мыльницу можно уложиться менее, чем в 1 час, с походом в магазин и обратно.

В итоге имеется решение, которое реально мало электроэнергии потребляет, не шумит, занимает минимум места.

Гомосятина с компом потребует намного больше времени при наличии навыков, без навыков вообще нереализуема.

В итоге получается пара коробок - комп и свич, намного больше места, проводов, в разы большее потребление, возможен даже шумящий кулер,

ну и гемор с настройками линукса/бзди, которые доставляют удовольствие разве что истинным эстетам. Да ещё и свич надо чтобы вланы умел, который будет стоить как типичный роутер домашний, если не дороже.

Share this post


Link to post
Share on other sites

Внутри уже почти всех CPE живёт линух, какая разница, поменяют железо. Будут клепать проивки для атомов.

Share this post


Link to post
Share on other sites
Дадим каждому хомячку возможность собрать свой embedded Linux! ага-ага...

 

Как минимум производители НАСов идут лесом со своей жадностью всё чаще и чаще, а учитывая что оно и роутить и качать сможет то получается роутер+нас с приличным функционалам и возможностями. (у меня всё желание-интузиазм отпало копаться с портированием фри под арм/мипс когда увидел атомы от 2к руб за плату, когда синолоджи только с юзби портами стоит 3800)

 

С чисто роутером - подождём ещё, тарифов на сотку/гиг и увидим куда пойдут атомы %)

 

 

 

 

Не нужно это почти никому. Чтобы купить и запустить в работу мыльницу можно уложиться менее, чем в 1 час, с походом в магазин и обратно. В итоге имеется решение, которое реально мало электроэнергии потребляет, не шумит, занимает минимум места. Гомосятина с компом потребует намного больше времени при наличии навыков, без навыков вообще нереализуема. В итоге получается пара коробок - комп и свич, намного больше места, проводов, в разы большее потребление, возможен даже шумящий кулер, ну и гемор с настройками линукса/бзди, которые доставляют удовольствие разве что истинным эстетам. Да ещё и свич надо чтобы вланы умел, который будет стоить как типичный роутер домашний, если не дороже.

 

Зависит от организации этого процесса. Можно сделать лайф флешку и инсталится минут за 10.

 

Есть решения, как готовые (мелкие системники клеющиеся сзади моника) так и самосбор=кустом на атом/амд, жрут они не сильно больше АРМ/мипс. Ещё есть интел и2300т, который в простое на правильной матери жрёт как атом, верхний порог тоже можно зажать, но это уже дороговатое решение, с возможностями не доступными арм/мипс из ближайшего ларька. И КПД, те производительность на Ватт у мипс/арм ниже.

 

С шумом тоже самое - можно сделать пасив, не проблема.

 

дир100 - меньше тыщи руб, 5 портов на 10/100, вланы, менеджмент влан, вроде мультикаст снупинг есть.

 

В линуксе/бсд - настройки по крайней мере есть :) Вроде есть дистрибутивы с вебмордой.

 

Плюс, как я писал выше, лёгким движением мышки, роутер превращается в НАС, торрентокачалку и тп.

 

арм/мипс - сдают позиции, тк не могут удовлетворить растущих потребностей юзеров за цену сопоставимую с атомами/амд. К тому же софт под х86 гораздо проще найти готовый во всяких респозиториях, чем искать под конкретную архитектуру проца. Тянуть последние соки с арм/мипс железки переписывая дрова чтобы добиться прироста на 3-10% то ещё удовольствие.

 

 

Share this post


Link to post
Share on other sites

Зависит от организации этого процесса. Можно сделать лайф флешку и инсталится минут за 10.

Так это ж надо сделать, типичный пользователь не занимается ежедневными инсталляциями роутеров.

 

Есть решения, как готовые (мелкие системники клеющиеся сзади моника) так и самосбор=кустом на атом/амд, жрут они не сильно больше АРМ/мипс. Ещё есть интел и2300т, который в простое на правильной матери жрёт как атом, верхний порог тоже можно зажать, но это уже дороговатое решение, с возможностями не доступными арм/мипс из ближайшего ларька. И КПД, те производительность на Ватт у мипс/арм ниже.

Посмотрел каталог, не такие уж и мелкие системники и цена от 200$, и конечно же БП с вентилятором или вообще противным блоуэром.

 

С шумом тоже самое - можно сделать пасив, не проблема.

Всё можно, только кому оно надо в данный момент ?

 

дир100 - меньше тыщи руб, 5 портов на 10/100, вланы, менеджмент влан, вроде мультикаст снупинг есть.

А что-нибудь ещё на выбор ? И потом, берём локалку 100 мегабит с локальными ресурсами и реальной качкой торрентов на все 100.

Что делать с одной дыркой на роутере и соточным свичем ?

Ну да, поставить вторую плату и приходим всё туда же - несуразная цена, габариты, шум, потребление, геморой.

Самодельный блок питания, ящик из фанеры :D

 

В линуксе/бсд - настройки по крайней мере есть :) Вроде есть дистрибутивы с вебмордой.

Плюс, как я писал выше, лёгким движением мышки, роутер превращается в НАС, торрентокачалку и тп.

Всё это неподъёмный геморой для среднестатистического абонента.

 

арм/мипс - сдают позиции, тк не могут удовлетворить растущих потребностей юзеров за цену сопоставимую с атомами/амд. К тому же софт под х86 гораздо проще найти готовый во всяких респозиториях, чем искать под конкретную архитектуру проца. Тянуть последние соки с арм/мипс железки переписывая дрова чтобы добиться прироста на 3-10% то ещё удовольствие.

Вот когда в продаже появятся мыльницы с атомом, тогда и будет о чём говорить. Только боюсь, что не появятся.

Share this post


Link to post
Share on other sites

арм/мипс - сдают позиции, тк не могут удовлетворить растущих потребностей юзеров за цену сопоставимую с атомами/амд

"А мужики-то и не знают!" ©

:)

Бродком, Марвел, Лантик продолжают выпускать новые платформы на своих процессорах, вместо того, чтобы использовать атомы и амд, или все бросить и самоубиться апстену. Интересно, почему? :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this