Внедрение IPv6 на небольшом провайдере

[MMM]

Хотелось бы расписать алгоритм внедрения IPv6.

Прошу дополнять и поправлять.

 

Итак, рассмотрим среднестатистического небольшого провайдера:

 

Возможны разные схемы:

 

1) У клиентов PPPoE/PPTP/L2TP с "реальными" IP

2) У клиентов "реальные" IP на Ethernet, выдаются по DHCP

3) У клиентов "реальные" IP на Ethernet, установлены статически

4) Также, есть варианты, которые зовутся Russian PPP, когда "локальный" IP выдаётся по Ethernet, а "реальный" - по PPP.

5) У клиентов PPPoE/PPTP/L2TP с "серыми" IP за NAT

6) У клиентов "серые" IP, выдаются по DHCP, за NAT

 

Аплинки, поддерживающие Native IPv6:

 

Комстар-Директ (AS8359)

Orange Business (AS2854)

ReTN (AS9002)

Ростелеком (AS12389)

RTcomm (AS8342)

РТцентр (AS39293)

ТТК (AS20485)

 

 

Тунели, поддерживающие IPv6 + BGP:

Hurricane Electric

Комстар-Директ

 

 

Также см. http://version6.ru/for-isp

 

 

Возьмем случай, когда у провайдера два аплинка по BGP, на одном есть Native IPv6, на другом - нет(будем использовать туннель).

Для оптимизации прохождения трафика нужно сделать 6to4 и teredo на пограничном роутере IPv6.

Также возможно BGP peering via 6to4 (http://6to4.ru/)

 

Как будем выдавать клиентам:

 

1,4,5) Выдаём префикс /56 по PPP

2,6) Выдаём /56 по DHCP

3) Выдаём /56, клиент устанавливает статически

 

Надо также учесть, что не все ресурсы, имеющие в DNS записи А и AAAA, успешно работают по v6 протоколу.

Edited January 29, 2012 by MMM

[-Ars-]

Выдаём префикс /64 по PPP

Т.е. если у клиента СРЕ с поддержкой IPv6 и он ожидает получить себе отдельные IPv6 адреса на домашние девайсы - болт?

[rm_]

Надо также учесть http://version6.ru/deprefer-ipv6

Честно не совсем понял, при чём тут та статья (актуальна только для конечных машин на туннелях).

Некоторые вопросы внедрения со стороны провайдера попытался рассмотреть на http://version6.ru/for-isp

[netime]

мда...

когда будет повсеместно ipv6(лет через 10-15) - проще его будет выдавать статически или по дхцп и не ипать мозг, т.к. к тому времени инет будет у всех. Мне например уже сейчас больше 100мб в день не уперлось - еслиб говностроители сайтов делали страницы не по 2мб то вообще 50мб.

 

CPE ставиться в режим свича и всё выдается по dhcp(через 10-15 лет).

[-Ars-]

CPE ставиться в режим свича и всё выдается по dhcp

А фаервол?

[Ivan_83]

Т.е. если у клиента СРЕ с поддержкой IPv6 и он ожидает получить себе отдельные IPv6 адреса на домашние девайсы - болт?

 

В топике по в6 я расписал как одну /64 пере раздавать и оставаться роутером. От провайдера требуется только одно: /64 эту самую засылать на интерфейс целиком, а не отдельный адрес. Если там ходит NDP - то клиентский роутер просто анонсит всю свою таблицу L2-L3 на интерфейс прова или отвечает на все запросы для /64 со стороны провайдера своим маком. Аналог прокси-арп для в6.

 

 

[vIv]

CPE ставиться в режим свича и всё выдается по dhcp

А фаервол?

Ты ещё не видел файрволлов в свичах? ;-)

[-Ars-]

От провайдера требуется только одно: /64 эту самую засылать на интерфейс целиком, а не отдельный адрес.

Я, кажется, тебя понимаю, но не уверен. Сегодня приду на работу - проверю, понял, или нет ;)

[MMM]

Надо также учесть http://version6.ru/deprefer-ipv6

Честно не совсем понял, при чём тут та статья (актуальна только для конечных машин на туннелях).

Некоторые вопросы внедрения со стороны провайдера попытался рассмотреть на http://version6.ru/for-isp

 

Имелось в виду, что даже с native ipv6 некоторые ресурсы могут иметь "кривые" настройки и не работать по v6, даже при наличии AAAA записей.

 

P.S. Ссылку на for-isp добавил

[MMM]

Я так понимаю, сейчас "внедрение" упирается в отсутствие "прошивок" для CPE и в поддержку v6 на оборудовании провайдеров.

[s.lobanov]

CPE ставиться в режим свича и всё выдается по dhcp

А фаервол?

 

Существует концепция выноса фаервола на сторону провайдера и управление им через личный кабинет. У билайна такое реализовано. Так что бойтесь, производители L3 CPE, у вас могут отнять хлеб производители "больших" железок.

[MMM]

Есть еще проблема, может быть не массовая, но:

 

у юзера дома два провайдера.

сейчас это решается приобретением роутера с двумя WAN и настройкой NAT

 

Что будет в случае v6 ?

[s.lobanov]

Есть еще проблема, может быть не массовая, но:

 

у юзера дома два провайдера.

сейчас это решается приобретением роутера с двумя WAN и настройкой NAT

 

Что будет в случае v6 ?

 

Обсуждалось в "соседнем" топике в этом разделе. Там же есть ссылка на rfc-шный draft NAT66

[netime]

CPE ставиться в режим свича и всё выдается по dhcp

А фаервол?

Когда в сети, в прямой адресации будет не 500млн. компов как сейчас, а 3-4 млрд устройств -вероятность проникновения на конкретное ус-во станет гораздо ниже, те кому он необходим всегда могут поставить на свой комп.

В данный момент именно нехватка адресов - мне например бы не помешал бы внешний адрес и не один, непонимаю почему за хромой с костылями ipv4(по сути воздух) абонент должен платить.

 

Позвонили из МГТС агитировали - "у нас хорошие тарифы безлимит". да еп кого вы сейчас безлимитом хотите удивить, зачем мне ваш стрим...

Edited January 29, 2012 by netime

[-Ars-]

Когда в сети, в прямой адресации будет не 500млн. компов как сейчас, а 3-4 млрд устройств

То, думаю, большинство присутствующих сейчас на форуме эти вопросы интересовать не будут :)

Существует концепция выноса фаервола на сторону провайдера и управление им через личный кабинет. У билайна такое реализовано. Так что бойтесь, производители L3 CPE, у вас могут отнять хлеб производители "больших" железок.

Билайн, конечно, пров не маленький. В масштабах России. Но в мире я таких тенденций ещё, тьфу-тьфу, не наблюдаю. Так, что - пугайте-пугайте, нам на хлеб с маслом пока хватает :)

[DelSt]

CPE ставиться в режим свича и всё выдается по dhcp

А фаервол?

 

Существует концепция выноса фаервола на сторону провайдера и управление им через личный кабинет. У билайна такое реализовано. Так что бойтесь, производители L3 CPE, у вас могут отнять хлеб производители "больших" железок.

возможность выбрать один из 4 ACL который повесится на virtual-access это далеко не файрвол ;)

[Картуччо]

Билайн даже в v4 это цирк с конями. PPTP/L2TP еще тот геморой со стабильностью коннекта и производительностью домашних мыльниц.

Каких либо других вариантов абоненту не предлагается в принципе. Ждать от них v6 в обозримое время даже и не стоит.

 

возможность выбрать один из 4 ACL

4й режим похож на стейтфул файрвол.

[Ivan_83]

Я, кажется, тебя понимаю, но не уверен. Сегодня приду на работу - проверю, понял, или нет ;)

 

http://forum.nag.ru/forum/index.php?showtopic=52680&view=findpost&p=670453

 

Только я не знаю как нынче с реализацией прокси NDP в осях, но там по идее кодить мало.

 

 

 

 

Есть еще проблема, может быть не массовая, но: у юзера дома два провайдера. сейчас это решается приобретением роутера с двумя WAN и настройкой NAT Что будет в случае v6 ?

 

Роутить как нить будет.

 

Когда в сети, в прямой адресации будет не 500млн. компов как сейчас, а 3-4 млрд устройств -вероятность проникновения на конкретное ус-во станет гораздо ниже, те кому он необходим всегда могут поставить на свой комп.

 

1. Когда в сети больше 1 стационарного компа - фаервол придётся настраивать больше одного раза - уже плохо.

 

2. Вероятность проникновения на конкретное устройство лишь незначительно меньше: адреса всё равно светятся в инете, на сайтах и тд, а в локалке всё по старинке, включая NDP спуфинг.

 

3. Когда устройств будет больше, будет и больше уязвимых устройств, к тому же у них будет явно больше ресурсов чем сейчас, так что я бы сказал что вероятность даже вырастет :)

 

 

 

Билайн, конечно, пров не маленький. В масштабах России. Но в мире я таких тенденций ещё, тьфу-тьфу, не наблюдаю. Так, что - пугайте-пугайте, нам на хлеб с маслом пока хватает :)

 

Вас атомы/амд х86 маложрущие железки за копейки скоро начнут теснить, тк по производительности и функционалу запросто рвут любое готовое решение. Плюс там возможность апгрейда, хотябы памяти до 4--8 гигов накинуть не дорого, система в сборе получится на уровне роутера с 128/256 оперативы от вендора, по деньгам.

 

 

[vIv]

Существует концепция выноса фаервола на сторону провайдера и управление им через личный кабинет.

Плохая концепция. Даже лень объяснять, почему.

 

Вас атомы/амд х86 маложрущие железки за копейки скоро начнут теснить, тк по производительности и функционалу запросто рвут любое готовое решение. Плюс там возможность апгрейда, хотябы памяти до 4--8 гигов накинуть не дорого, система в сборе получится на уровне роутера с 128/256 оперативы от вендора, по деньгам.

Дадим каждому хомячку возможность собрать свой embedded Linux! ага-ага...

[-Ars-]

 

http://forum.nag.ru/...ndpost&p=670453

Да-да, это я видел.

 

Вас атомы/амд х86 маложрущие железки за копейки скоро начнут теснить, тк по производительности и функционалу запросто рвут любое готовое решение. Плюс там возможность апгрейда, хотябы памяти до 4--8 гигов накинуть не дорого, система в сборе получится на уровне роутера с 128/256 оперативы от вендора, по деньгам.

Ну, вИв уже всё сказал:

Дадим каждому хомячку возможность собрать свой embedded Linux! ага-ага...

 

Провайдеру с парой десятков миллионов пользователей нужен такой геморрой? От сегоднящнего зоопарка все рыдают. Кроме того - что значит "за копейки"? Ты в курсе сколько стоят СРЕ для провайдера (при больших объемах, разумеется).

Ну и еще один ньюанс: продвинутые железки - для фриков. Простому пользователю нужно дёшево, просто, с полной поддержкой провайдера и, желательно, красиво.

[Картуччо]

Вас атомы/амд х86 маложрущие железки за копейки скоро начнут теснить, тк по производительности и функционалу запросто рвут любое готовое решение. Плюс там возможность апгрейда, хотябы памяти до 4--8 гигов накинуть не дорого, система в сборе получится на уровне роутера с 128/256 оперативы от вендора, по деньгам.

Не нужно это почти никому. Чтобы купить и запустить в работу мыльницу можно уложиться менее, чем в 1 час, с походом в магазин и обратно.

В итоге имеется решение, которое реально мало электроэнергии потребляет, не шумит, занимает минимум места.

Гомосятина с компом потребует намного больше времени при наличии навыков, без навыков вообще нереализуема.

В итоге получается пара коробок - комп и свич, намного больше места, проводов, в разы большее потребление, возможен даже шумящий кулер,

ну и гемор с настройками линукса/бзди, которые доставляют удовольствие разве что истинным эстетам. Да ещё и свич надо чтобы вланы умел, который будет стоить как типичный роутер домашний, если не дороже.

[Shiva]

Внутри уже почти всех CPE живёт линух, какая разница, поменяют железо. Будут клепать проивки для атомов.

[Ivan_83]

Дадим каждому хомячку возможность собрать свой embedded Linux! ага-ага...

 

Как минимум производители НАСов идут лесом со своей жадностью всё чаще и чаще, а учитывая что оно и роутить и качать сможет то получается роутер+нас с приличным функционалам и возможностями. (у меня всё желание-интузиазм отпало копаться с портированием фри под арм/мипс когда увидел атомы от 2к руб за плату, когда синолоджи только с юзби портами стоит 3800)

 

С чисто роутером - подождём ещё, тарифов на сотку/гиг и увидим куда пойдут атомы %)

 

 

 

 

Не нужно это почти никому. Чтобы купить и запустить в работу мыльницу можно уложиться менее, чем в 1 час, с походом в магазин и обратно. В итоге имеется решение, которое реально мало электроэнергии потребляет, не шумит, занимает минимум места. Гомосятина с компом потребует намного больше времени при наличии навыков, без навыков вообще нереализуема. В итоге получается пара коробок - комп и свич, намного больше места, проводов, в разы большее потребление, возможен даже шумящий кулер, ну и гемор с настройками линукса/бзди, которые доставляют удовольствие разве что истинным эстетам. Да ещё и свич надо чтобы вланы умел, который будет стоить как типичный роутер домашний, если не дороже.

 

Зависит от организации этого процесса. Можно сделать лайф флешку и инсталится минут за 10.

 

Есть решения, как готовые (мелкие системники клеющиеся сзади моника) так и самосбор=кустом на атом/амд, жрут они не сильно больше АРМ/мипс. Ещё есть интел и2300т, который в простое на правильной матери жрёт как атом, верхний порог тоже можно зажать, но это уже дороговатое решение, с возможностями не доступными арм/мипс из ближайшего ларька. И КПД, те производительность на Ватт у мипс/арм ниже.

 

С шумом тоже самое - можно сделать пасив, не проблема.

 

дир100 - меньше тыщи руб, 5 портов на 10/100, вланы, менеджмент влан, вроде мультикаст снупинг есть.

 

В линуксе/бсд - настройки по крайней мере есть :) Вроде есть дистрибутивы с вебмордой.

 

Плюс, как я писал выше, лёгким движением мышки, роутер превращается в НАС, торрентокачалку и тп.

 

арм/мипс - сдают позиции, тк не могут удовлетворить растущих потребностей юзеров за цену сопоставимую с атомами/амд. К тому же софт под х86 гораздо проще найти готовый во всяких респозиториях, чем искать под конкретную архитектуру проца. Тянуть последние соки с арм/мипс железки переписывая дрова чтобы добиться прироста на 3-10% то ещё удовольствие.

 

 

[Картуччо]

Зависит от организации этого процесса. Можно сделать лайф флешку и инсталится минут за 10.

Так это ж надо сделать, типичный пользователь не занимается ежедневными инсталляциями роутеров.

 

Есть решения, как готовые (мелкие системники клеющиеся сзади моника) так и самосбор=кустом на атом/амд, жрут они не сильно больше АРМ/мипс. Ещё есть интел и2300т, который в простое на правильной матери жрёт как атом, верхний порог тоже можно зажать, но это уже дороговатое решение, с возможностями не доступными арм/мипс из ближайшего ларька. И КПД, те производительность на Ватт у мипс/арм ниже.

Посмотрел каталог, не такие уж и мелкие системники и цена от 200$, и конечно же БП с вентилятором или вообще противным блоуэром.

 

С шумом тоже самое - можно сделать пасив, не проблема.

Всё можно, только кому оно надо в данный момент ?

 

дир100 - меньше тыщи руб, 5 портов на 10/100, вланы, менеджмент влан, вроде мультикаст снупинг есть.

А что-нибудь ещё на выбор ? И потом, берём локалку 100 мегабит с локальными ресурсами и реальной качкой торрентов на все 100.

Что делать с одной дыркой на роутере и соточным свичем ?

Ну да, поставить вторую плату и приходим всё туда же - несуразная цена, габариты, шум, потребление, геморой.

Самодельный блок питания, ящик из фанеры :D

 

В линуксе/бсд - настройки по крайней мере есть :) Вроде есть дистрибутивы с вебмордой.

Плюс, как я писал выше, лёгким движением мышки, роутер превращается в НАС, торрентокачалку и тп.

Всё это неподъёмный геморой для среднестатистического абонента.

 

арм/мипс - сдают позиции, тк не могут удовлетворить растущих потребностей юзеров за цену сопоставимую с атомами/амд. К тому же софт под х86 гораздо проще найти готовый во всяких респозиториях, чем искать под конкретную архитектуру проца. Тянуть последние соки с арм/мипс железки переписывая дрова чтобы добиться прироста на 3-10% то ещё удовольствие.

Вот когда в продаже появятся мыльницы с атомом, тогда и будет о чём говорить. Только боюсь, что не появятся.

[-Ars-]

арм/мипс - сдают позиции, тк не могут удовлетворить растущих потребностей юзеров за цену сопоставимую с атомами/амд

"А мужики-то и не знают!" ©

:)

Бродком, Марвел, Лантик продолжают выпускать новые платформы на своих процессорах, вместо того, чтобы использовать атомы и амд, или все бросить и самоубиться апстену. Интересно, почему? :)