[ntil]

Вопрос №1 Чтобы оператор получил IPv6 PI и мог делегировать подсетки своим пользователям - ему необходимо быть LIRом ? типа как переделегация подсетей без LIR есть нарушение полиси? или все как с v4 - есть PI выдаешь пользователям адреса ?

 

Вопрос №2 - если есть v4 PI (и AS тоже есть) - я могу выдавать своим пользователям адреса v6 (из диапазона 2002:: соответствующего моему блоку v4)6to4 (размеренностью, например по /56) ?

 

Вопрос №3 - Если второе - да - могу ли я анонсировать BGP IPv6 адреса своих 6to4 сетей и нормально пирится по v6, чтобы трафик ходил не через шлюзы ( которые 6to4 ), непонятно где находящиеся.

[dmvy]

1. PI-адреса выпрашиваются у RIPE под конечного пользователя (Вы) и сразу являются assignment, т.е. передача еще кому-то либо невозможна. Вы можете использовать эти адреса как свою инфра-структуру, т.е. давать абоненту по 1 ip необходимый для предоставления услуги, но маршрутизировать абоненту подсеть нельзя. Можно получить AS и PA-адреса от вышестоящего LIR, а он в свою очередь при создании объектов добавит вам возмжность самим делать assignment из вашего allocation (все дальнейшие обновления можете делать сами).

 

2. по BGP у вас примут только global unicast. вот текущая таблица fullview ipv6

* 2001:8000::/20     B 170        100            >2a01:620:1:8::1  12389 6939 4637 1221 I
* 2001:b000::/21     B 170        100            >2a01:620:1:8::1  12389 6939 7018 7018 9680 3462 17419 I
* 2002::/16          B 170        100            >2a01:620:1:8::1  12389 6939 I
* 2003::/19          B 170        100            >2a01:620:1:8::1  12389 3257 3320 I
* 2400::/12          B 170        100            >2a01:620:1:8::1  12389 6939 293 3445 3562 I
* 2400::/20          B 170        100            >2a01:620:1:8::1  12389 6939 17832 9270 4766 I

 

3. единственное, что можно оптимизировать в ipv6: поднять у себя 192.88.99.1 для туннелей абонента, но все равно на этом хосте должен быть нативный ipv6 хоть в каком-нибудь виде. так вы оптимизируете исходящий трафик от абонентов.

[martin74]

Подскажите, что мне сделать дальше. Блок адресов есть. Принципиальное согласие аплинков на ipv6 есть.

А вот как дальше? По какому принципу выбираются адреса для линков? Как мне правильно это все у себя порезать? Или в рамках ipv6 у меня плоская сеть получается?

 

Насчет невозможности выделения. Блок /48 у меня есть. Я из него могу выдавать толко одиночные ipv6 адреса на клиентов? А если я все таки решусь на выдачу подсетей - где мне их взять то? У ipaddr.ru другого блока не нашел в продаже ;)

[dmvy]

вот "тетрадка" с тренингов по распределению адресного пространства:

http://www.ripe.net/lir-services/training/OLD%20material/IPv6-for-LIRs-Training-Course/IPv6-for-LIRs-Training-Exercise%204.pdf/at_download/file

 

в терминологии ipv6, как она разрабатывалась, /48 - это не катит для провайдинга. в будущем придется пересматривать address plan. RIPE может дать блок потолще, если очень нужно, но лучше обзавестись настоящими PA, раз AS уже есть (то, что вы не являетесь LIR, проблемы быть не должно). Весь потенциал ipv6 раскрывается при /32.

 

PS. если о будущем думать пока не хотите, то забейте и давайте абонентам сетки без оформления в RIPE.

 

вот еще почитать, но слайды староваты уже... http://www.ripe.net/lir-services/training/OLD%20material/IPv6-for-LIRs-Training-Course/IPv6-for-LIRs-Training-Slides.pdf/at_download/file

[ntil]

1. PI-адреса выпрашиваются у RIPE под конечного пользователя (Вы) и сразу являются assignment, т.е. передача еще кому-то либо невозможна. Вы можете использовать эти адреса как свою инфра-структуру, т.е. давать абоненту по 1 ip необходимый для предоставления услуги, но маршрутизировать абоненту подсеть нельзя. Можно получить AS и PA-адреса от вышестоящего LIR, а он в свою очередь при создании объектов добавит вам возмжность самим делать assignment из вашего allocation (все дальнейшие обновления можете делать сами).

 

2. по BGP у вас примут только global unicast. вот текущая таблица fullview ipv6

* 2001:8000::/20     B 170        100            >2a01:620:1:8::1  12389 6939 4637 1221 I
* 2001:b000::/21     B 170        100            >2a01:620:1:8::1  12389 6939 7018 7018 9680 3462 17419 I
* 2002::/16          B 170        100            >2a01:620:1:8::1  12389 6939 I
* 2003::/19          B 170        100            >2a01:620:1:8::1  12389 3257 3320 I
* 2400::/12          B 170        100            >2a01:620:1:8::1  12389 6939 293 3445 3562 I
* 2400::/20          B 170        100            >2a01:620:1:8::1  12389 6939 17832 9270 4766 I

 

3. единственное, что можно оптимизировать в ipv6: поднять у себя 192.88.99.1 для туннелей абонента, но все равно на этом хосте должен быть нативный ipv6 хоть в каком-нибудь виде. так вы оптимизируете исходящий трафик от абонентов.

 

не понял - я должен дуду абоненту давать только по /128 чтобы избежать плясок с лирами?

так и не понял - для полноценной выдачи /56 клиентом мне необходимо быть лиром да\нет\ , а в случае получения РА ?

если получить PA - я смогу строить нормальный BGP с аплинками (мой лир не мой аплинк) ?

если получить PA - ассигменты каждому клиенту делать ручками? ничерта не понял.

что делать, если я получу РА и вдруг захочу уйти к другому лиру через год ?

[dmvy]

с PI-адресами (assignment) вы сможете прописывать /64 адрес на линке к абоненту(-ам) и они могут полчать из этой подсети 1 или более ip. подесть будет ваша по сути, вы ее контролируете и означает что-то типа remark: INFRA.

когда вы собираетесь давать абонентам подсети, то нужно сделать assignment предположим по /56 или пишите сразу /50, но добавляете поле AGGREGATED-BY: /56, что позволит указать этот диапазон как абонентский. Но повторюсь, PI уже являются assignment. И при спаме с этих адресов будет заблокирован весь блок, т.к. считается, что это один абонент.

 

BGP можно сделать с любыми адресами. Главное, чтобы была возможность (достаточно прав) сделать объект route, где будет поле origin AS[ваша автономка].

 

можно автоматизировать процесс заведения в RIPE объектов assignment (либо почта, либо webupdates и еще куча вариантов). опять же в ipv6 можно агрегировать assigments. создаете одну большую запись, но при это оговариваетесь, что блоки даются по /56 (или любой другой маске). Тем самым спам фильтры будут брать во внимание самый малый объект в RIPE, по которому банить спамеров и остальные сетки останутся нетронутыми.

 

уйти вы просто так не сможете. трансфер подсетей не самая тривиальная задача. нужно разобрать, а нужно ли вам это? у вас будет mnt-объект из под которого вы сможете сами редактировать вашу сеть и помощь LIR не понадобится. вы можете даже через другого LIR получить еще адреса и использовать их в своей AS. практически даже возможно убрать права на редактирование у вашего LIR на ваши объекты.

 

Во общем, жизнь без LIR не так уж и плоха...

[ntil]

Тоесть, если я Вас правильно понял, мне должно быть достаточно РА для полноценной работы ISP ?

И сколько просить для для 2-3к абонентов? /30 ?

[dmvy]

с /32 ipv6 блоком вы сможете обеспечить 64 тысячи абонентов сетками /48 как рекомендует RIPE. /30 вам не нужен. нужно лишь грамотно и удобно сделать address plan. И вообще PA более операторские адреса. PI берут чаще юр-лица и ну очень маленькие операторы, пока не подросли до PA или LIR.

[Дятел]

Что-то я не понял, про какую рекомендацию /48 на абонента идет речь.

Нашел только, что когда больше чем /48 на организацию - нужно регистрировать объект.

When more than a /48 is assigned to an organisation, it must be registered in the database as a separate object with status 'ASSIGNED'.

http://www.ripe.net/ripe/docs/ripe-552

[dmvy]

Что-то я не понял, про какую рекомендацию /48 на абонента идет речь.

Нашел только, что когда больше чем /48 на организацию - нужно регистрировать объект.

When more than a /48 is assigned to an organisation, it must be registered in the database as a separate object with status 'ASSIGNED'.

http://www.ripe.net/ripe/docs/ripe-552

на тренингах говорили примерно следующее: если клиент оговаривается, что когда-то у него будет расширение или вам это показалось, то давайте сразу /48. все приводится к аггрегированию и невозможности дать абоненту вторую ipv6-сеть. лучше сразу дать больше. "as a separate object" означает, что вы должны заполнить поля в объекте специально для абонента, т.е. указать, что за контора и возможности область ее работы. физикам можно выделать аггрегированно с типовыми полями, типа "net for private subscribers".

[rm_]

не понял, про какую рекомендацию /48 на абонента идет речь.

Это из https://www.rfc-editor.org/rfc/rfc3177.txt

позже вышел https://www.rfc-editor.org/rfc/rfc6177.txt

там такой рекомендации уже нет, заменена на "давать значительно больше одной /64, например по /56"

[martin74]

Ммм... Я провайдер. Моя задача - обеспечить абоненту связность. Я сейчас например подниму у себя IPv6 связность для своего /48 блока, выделю оттуда пул для своих сервисов, назначу на сервера, и выделю пул, который будет на pppoe выдаваться... Собственно в чем запрет выдавать эти адреса клиентам? Или мы о разных клиентах говорим?

 

Если по правильному, то мне нужен /32 блок. Правильно? А где его взять? ;) Например у того же ipaddr.ru я не вижу других блоков, кроме /48...

[Дятел]

не менее /32 дает райп любому лиру.

[martin74]

Да не лир я....

[Дятел]

да куда уж больше чем /48.....

[Hawk128]

/48 это только 65к клиентов... Если по стандартам выдавать.

[dmvy]

думаю, что какой-нибудь знакомый лир может для вас и /32 получить и дать возможность выделять сети именно вашему MNT объекту. ipv6 не добавляют к членским взносам. так что за потраченное время заплатите лиру

[homeuser]

Hawk128 вам мало 65к клиентов? при таком кол-ве клиентов уже давно пора быть лиром, поэтому ...

[martin74]

Эм. Я честно до сих пор не понял - надо ли мне фиксировать выдачу подсетей из своего блока своим клиентам...

Ведь если мой клиент подключится к соседнему провайдеру - ему выдадут ipv6 подсеть из блока того провайдера. Я искренне сомневаюсь, что кто то кроме меня будет роутить мои подсети ;)

65к клиентов - это почти в два раза больше того, что есть у меня сейчас. И перспектив такого роста в моем городе я не вижу ;) А если я когда то выйду за пределы своего города - что, я тогда не смогу купить себе еще /32 блок? Мне ж никто не запрещает держать больше одного блока ipv6 адресов? )

[homeuser]

martin74 думаю так:

1 расчитываю на статические минимум /64 (а лучше /56 или хотя б /60) т.к. мне хочеться иметь доступ к своим данным и хранить их у себя. к тому же если мои адреса будут забанены на нужном мне форуме не изза моих действий - это повод подумать о смене прова.

2 если я подключился ещё к другому прову и он дропает трафик с чужим адресом - я не обижусь. на то он мне свой адрес выдал. (хотя жаль что lisp не работает)

[martin74]

Т.е. на самом деле основная проблема - это если один из адресов моего /48 блока попадется на спаме - то забанят весь блок?

А почему это не срабатывает в IPv4? Мне честно приходят абузы на адреса из моих блоков, я их честно обрабатываю....

[homeuser]

martin74 банить скорее всего будут по /64. потому что это некоторая логическая единица наподобие одного ipv4 с натом за которым сидят куча юзеров в одной локалке с адресом взятым от балды (каждый может поменять его как хочет).

Изменено 3 июля, 2012 пользователем homeuser

[ntil]

1. PI-адреса выпрашиваются у RIPE под конечного пользователя (Вы) и сразу являются assignment, т.е. передача еще кому-то либо невозможна. Вы можете использовать эти адреса как свою инфра-структуру, т.е. давать абоненту по 1 ip необходимый для предоставления услуги, но маршрутизировать абоненту подсеть нельзя. Можно получить AS и PA-адреса от вышестоящего LIR, а он в свою очередь при создании объектов добавит вам возмжность самим делать assignment из вашего allocation (все дальнейшие обновления можете делать сами).

 

2. по BGP у вас примут только global unicast. вот текущая таблица fullview ipv6

* 2001:8000::/20     B 170        100            >2a01:620:1:8::1  12389 6939 4637 1221 I
* 2001:b000::/21     B 170        100            >2a01:620:1:8::1  12389 6939 7018 7018 9680 3462 17419 I
* 2002::/16          B 170        100            >2a01:620:1:8::1  12389 6939 I
* 2003::/19          B 170        100            >2a01:620:1:8::1  12389 3257 3320 I
* 2400::/12          B 170        100            >2a01:620:1:8::1  12389 6939 293 3445 3562 I
* 2400::/20          B 170        100            >2a01:620:1:8::1  12389 6939 17832 9270 4766 I

 

3. единственное, что можно оптимизировать в ipv6: поднять у себя 192.88.99.1 для туннелей абонента, но все равно на этом хосте должен быть нативный ipv6 хоть в каком-нибудь виде. так вы оптимизируете исходящий трафик от абонентов.

 

Ха. вот так вопрос опять всплыл. есть например уже v6 PI , также остается еще v4 PI , они в одной автономке. теперь вопрос:

 

если я подыму 6to4 транслятор - то тогда я должен аннонсить 2002::/16, чтобы он заработал. только я вот не хотю чтобы весь 6то4 трафик от ближайших соседей, у кого нет транслятора шел через меня. как быть ? могу я аннонсить только ту часть 2002::/16 , которая соответствует моей v4 PI ?

[ichthyandr]

Не знаю в тему или нет, можно конечно переходить на ipv6 и раздавать адреса абонентам, но куда их выпускать с этими адресами?

http://www.bgp4.as/looking-glasses

[ntil]

Не знаю в тему или нет, можно конечно переходить на ipv6 и раздавать адреса абонентам, но куда их выпускать с этими адресами?

http://www.bgp4.as/looking-glasses

дык dual-stack жеж.

v4 - через нат, v6 - нативно

и если ничего не делать, то ничего и не будет.

а трафик кстати-то растет, вот гугл как зеркало мировой революции - http://www.google.com/intl/en/ipv6/statistics.html

 

кстати на предыдущий вопрос может кто-то-таки ответит?