Příspěvky

1

Sítě / Re:Jak získat vlastní IPv6 rozsah?

« kdy: 28. 11. 2025, 19:19:56 »

Dá se nějak získat vlastní (= mimo rozsah mého ISP) blok IPv6 adres pro osobní potřebu?

Mám připojení přes více poskytovatelů (drátové, wifinové, plus LTE jako záloha - všechny s problematickou rychlostí/spolehlivostí, takže přepínám na to, co zrovna funguje), a navrch VPN z jiné lokality.
Používám rozsah (/56) od jednoho z poskytovatelů, ale problém je, že to "neteče" přes jiná připojení, pokud přepnu. (Tohle fungovávalo u tunelu pod HE...)
Opakovaně jsem se dočetl, že pro tyto případy je možné získat vlastní blok adres, ale netuším, kde, jak, a za kolik.

Přesné podmínky najdete zde, včetně toho na co smíte a nebo nesmíte PI adresy použít.

https://www.ripe.net/manage-ips-and-asns/ipv6/request-ipv6/how-to-request-an-ipv6-pi-assignment/

O ASN si můžete zažádat také, ale pokud nebudete mít alespoň dva upstream providery nemá to moc smysl. Pak vám váš rozsah může do globální tabulky poslat jakýkoli operátor s kterým se domluvíte (po úpravě patřičných RPSL záznamu v RIPE databázi).

2

Sítě / Re:Jak získat vlastní IPv6 rozsah?

« kdy: 28. 11. 2025, 19:16:52 »

Je uplne jedno, jak routovaci tabulky vypadaly v minulosti a tudiz jak to mame z tohoto duvodu dnes. Proc by dnesni ipv4 routovaci tabulka nemohla byt proste 2^32 dlouhe pole 32b polozek, kde kazda polozka je gw a cilova ipv4 adresa indexem do tohoto pole? To je 16GB, jestli se nepletu. Tudiz o velikosti tabulky ani o rychlosti prohledavani to neni. Ciste technicky by to urcite slo. V drevnich dobach se ze stejneho duvodu zvladl prechod na classless ipv4 a nebeska klenba se na nas nezritila. Jina vec je, ze ipv4 uz je opravdu prezitek. To jen tak na okraj.

Jinak nekoliduje nahodou dnesni pozadavek na maximalni roztrideni vsech sitovych kramu do separatnich vlan s mechanizmem ipv6 pro delegaci prefixu? Jak pracne je nastavit si subdelegaci casti ipv6 rozsahu od poskytovatele do nekolika urovni vnitrnich segmentu site? Muzou ty kusy ipv6 rozsahu byt ruzne velke?

Dobrý den, vaše úvaha je správná, nicméně se vždy najde najde několik ALE. Typicky totiž nemáte TCAM v routeru v řádech GB, ale MB - dnes mají routery typicky max. 5 milionů prefixů v TCAM (ano, jsou i FP5 s 10 mil. + komprese apod).

Musíte také počítat s tím, že ASBR má několik cest a je potřeba si všechny prefixy, všech cest, pamatovat pro přepočítávání - tj. potřebujete RAM - úplné teoretické minimum pro uložení všech IPv4 + relevantní next-hop je 32GB - k tomu nějaká režie, bavíme se tady pro každý upstream o desitkách GB možná stovkách a jen pro IPv4. Dnes má IPv6 globální tabulka kolem 240tis. prefixů k tomu. Pro TCAM je to cca 6MB navíc bez komprese. Také je potřeba si uvědomit, že typické ASBR ještě musí alokovat TCAM a RAM směrem do ISP, kam v lepším případě ukládá "jen" MPLS tagy, ale třeba také dělá export/import pro zákaznické VRF.

Můj názor je, že zas až tak jednoduché to není a jakékoli drobení jak IPv4, tak IPv6 nepomáhá stabilitě a rychlosti konvergence.

3

Sítě / Re:Jak funguje překlad ICMP přes NAT?

« kdy: 13. 12. 2024, 18:08:38 »

Filtrování ICMP u IPv4 je též špatný nápad kvůli hledání síťových problémů a zejména kvůli PMTUD. Také se dost často filtruje UDP traceroute (ano sám mám občas máslo na hlavě).

Zafiltrovat ICMPv6 je stejné, jako zafiltrovat ethertype 0x0806 (ARP) u IPv4. U IPv6 je to ještě pikantnější o ICMP ve ztřetězené hlavičce - což dokáže poměrně pěkně zatopit firewallům. Také se dost často stává, že u ACL se zapomene na local-link IPv6 aresy.

Nicméně to jsme trochu odbočili od původního tématu ... 

4

Sítě / Re:Jak funguje překlad ICMP přes NAT?

« kdy: 13. 12. 2024, 17:01:55 »

Při odmítnutí spojení se zpět posílá ICMP Type-3 (unreachable), jež obsahuje informace o původním paketu v payloadu. Parsováním ICMP odpovědi (zde Type-3 unreachable) - obsahu - zjistí NATující router ke kterému spojení odpověď patří a díky povolenému "RELATED" zprávu správně přepošle. Viz packet capture.

Zdroje ke čtení:
https://networklessons.com/cisco/ccie-routing-switching-written/icmp-internet-control-message-protocol
https://linux.die.net/man/8/iptables

RELATED -- meaning that the packet is starting a new connection, but is associated with an existing connection, such as an FTP data transfer, or an ICMP error.

5

Sítě / Re:Získání aktuálního firmware Cisco

« kdy: 20. 08. 2024, 16:20:23 »

Kontaktujte distributora, NXOS vám dodá. Pokud máte validní podporu a nebo subscribční licenci na NXOS, pak si nechte vás kontrakt nahrát do support portálu a NXOS si stahněte.

Mimochodem např. Fortigate od verze 7.4 bez zaplacené podpory již neupgradujete i přesto že FW máte k dispozici.

6

Studium a uplatnění / Re:Požadavky teamleadra na cíle každý rok

« kdy: 14. 02. 2024, 09:52:47 »

Jako každý nástroj se i tento dá využít a zneužít. Velmi dlouho jsem jej v korporátním prostředí považoval na nástroj pomsty HR oddělení. Poté jsem se ale sám ocitl v roli nadřízeného a zjistil jsem, že je to nástroj užitečný. Ovšem musí se správně uchopit.

Ve vašem případě je uchopen špatně na obou koncích. Váš teamleader velmi pravděpodobně celý proces dodržuje pouze proto, aby si mohl odškrtnout splněný úkol, který mu korporát nařizuje. Vy zase lžete o tom, co je pro vás důležité a celá situace vede k tomu, že vy jste frustrovaný a váš teamleader vůbec netuší, že jste jednou nohou na odchodu. Celé to také vypovídá o nevšímavosti a nedostatku empatice vašeho teamledera, který nejspíš ani netuší, že je něco špatně. To povede k trvalému rozkladu vztahů.

Dle mého názoru by se tyto "1:1" setkání měla zakládat na naprosté důvěře a neměla by se brát osobně (ano i ostrá výměna názorů může být prospěšná). Představuji si, že vy sdělíte teamleaderovi, že vaším hlavním cílem je vyvážený poměr "práce/osobní život" (work-life balance) a on vám zkusí (pokud je to v jeho silách) vyjít natolik vstříc, aby jste byl spokojený. V důsledku toho se budete citít v práci lépe, možná více uvelněně a vaše "shrábnout prachy a vypadnout" se změní na "mám čas na děti/rodinu/koníčky a odpočinu si, nevyhořím a jsem rád, že mám práci, kde mě respektují". To povede k lepšímu (netoxickému) pracovnímu prostředí.

V loňském roce jsem "1:1" jednání vynechal a kolegové sami letos přišli s tím, kdy budou. Ano jsme malá firma, ale i tak si všech vážím a naslouchám jim (snažím se).

7

Sítě / Re:CGNAT - počet domácností za jednou IP

« kdy: 03. 08. 2023, 06:49:29 »

V roce 2009, kdy jsem něco podobného měl na starosti, se běžně na 1 IPv4 veřejnou adresu (tenkrát to byl NAT na clusteru linux serverů) překládalo kolem 1 tisíce domácích uživatelů. Hlavním problémem tehdejší doby byl spíš počet paketů za sekundu než počet připojených zákazníků.

Dnes bych čekal, že se usilí bude směřovat do IPv6….