Přechod na IPv6

[pauli]

Zdravím, existuje nějaká doporučena forma přechodu na ipv6 (respektive dualstack) pro malé ISP (do 1000 užívatelů)?

V rámci lokální sítě jsem si udělal pár konfigurací, abych měl představu, nyní chci zažádat svého ISP o přídělení IPv6 prefixu, nevím jaký (velikost) prefixu dostanu tak uvidím.

Mám představu, že nejprve vyřeším linux servery, které mám těď na veřejných IPv4 adresách aby dostali IPv6 konektivitu, pak rozsekám přidělených prefix na mekší kousky a ty naroutuji na páteřní routery v síti a odtud pak dále k lidem, tak aby každá koncová přípojka měla /64 prefix.

Jak vyřešit např. spojovačky mezi routery, které teď mám typicky v ipv4 jako /30 a jsou neveřejné, v 6ce budou dostupné z celého světa a to se mi moc nelíbí, nějak jsem asi nepochopil jak mají fungovat link-local adresy (fe80::...), které se generují sami, myslel jsem si právě, že to fungoje jako spojovačky, ale mezi sebou mi nepingají, tak nevím.

Paul.

[Reklama]

[ES]

Na spojovacky se link-local adresy pouzivaji snad vzdy.

[M.]

Kolik dostaneš záleží od toho, kde budeš žádat. Pokud přímo u RIPE a staneš se LIR, tak nafasuješ nejméně /32 (říci si můžeš o /29). Pokud budeš žádat u svého tranzitu, tak ti asi dá ze svého jeden blok /48, protože tě bude považovat za jedmu koncovou síť. Pravidla RIPE říkají, že když LIR přiděluje blok k němu připojenému ISP, tak je na jejich dohodě, kolik ti dá, minimálně ten příděl /48 pro koncovou síť, může víc.
Koncákovi musíš dát minimálně jednu /64, aby mu, to fungovalo se stavem dnešní autokonfigurace. Dával bych víc, někomu to občas nemusí stačit. Koncák domácnost fasuje /60 a malá firma /56. Můžeš dávat lidem jednu /64 a firmě třeba to /60 jako výchozí stav, ale dávej to s mezerama v masce /60 a /56, ať pak stačí jen zvednou masku, když bude potřebovat víc. Až si zasereš celou /48 takto, tak pak buď vydyndáš od uplinku další nebo začneš příděly zahušťovat.
Na linkách mezi routery ti stačí link-local adresy, nezapomínej, že u ping a spol v případě link local adres se musí uvádět i interface, protože link local adresa se může opakovat na různých linkách. My routerům dáváme jen jednu globální /128 adresu na loopback interface, na ostatních ifacech jsou jen link local a řeší se to pomocí OSPFv3 routingu.

[Kokos99]

Koncový zákazník by neměl nikdy dostat /64, protože mu tím pádem buď dáte 1 adresu, nebo znemožníte EUI-64. Aby to nakonec díky super ISPčkám nedopadlo s IPv6 hůř, než s IPv4, když všichni budou dlabat na doporučení. Ale zase je to fajn věc na rozlišení, od koho brát internet a od někoho, kdo dá /64 opravdu ne.

[M.]

Totíální většina ISP v ČR dává koncákům v základu jednu /64, včetně O2 a zdar. :-)
S jednou /64 udělám doma jeden LAN segment s přislušnou autokonfigurací a EUI64. Což asi většině domácností stačí, nikdy nebude chtít víc.
Když budu chtít segmentů /64 víc (zvlášť LAN a wifi, zvlášť pro návštěvy, ...), tak pak je otázka, jak mi můj připojovatel a za co vyjde vstříc s rozšířením přídělu...

[Reklama]

[Santiago]

Myslim, ze /64 pro vetsinu domacnosti v pohode staci. Samozrejme do toho nepocitam spojovaci adresy mezi hranicnim routerem domacnosti a siti ISP (i kdyz ty mohou zustat link-local).

[Sten]

Koncový zákazník by neměl nikdy dostat /64, protože mu tím pádem buď dáte 1 adresu, nebo znemožníte EUI-64. Aby to nakonec díky super ISPčkám nedopadlo s IPv6 hůř, než s IPv4, když všichni budou dlabat na doporučení. Ale zase je to fajn věc na rozlišení, od koho brát internet a od někoho, kdo dá /64 opravdu ne.

RFC 6177 sice doporučuje dávat /56, ale dále uvádí, že může být vhodné dát by default koncovému zákazníkovi /64 a až na požádání (it should be easy) to rozšířit na /56, případně až /48 (nebo i něco mezi, pokud možno děleného na nibbly kvůli reverzním záznamům). Těch zákazníků, co potřebují víc než jednu síť, je totiž stále velmi málo.

[Lucker]

@Kokos99: Souhlas, od IPv6 očekávám veřejnou IP adresu pro každý zařízení doma připojené k internetu, tedy s nějakou /64 na routeru a zbytek za NATem (protože chci používat EUI-64) se můžou jít vycpat. Samozřejmě pokud mi na požádání dají /56, tak nemám problém, to že ostatní se nechají "okrást" je už jejich problém.

[M.]

Spíše bych řekl, že RFC6177 říká, že by koncák měl dostat výrazně více, než jednu /64, ale je zbytečné, aby dostal celou /48 (jak si přálo starší RFC3177). Kdy uvádí, že třeba /56 by mohlo být dostatečně OK. Proti jedné /64 celkem brojí, ale je uváděno jako technologické minimum reálné funkčnosti dneska. Co jsi citoval z toho summary je, že zkrátka má mít šanci snadno získat vícénásobky /64, než aktuálně má. Což znamená, že dávám příděly s dírama, ať můžu snadno přidávat jen změnou masky pro danou koncovou síť. Nebo dávat rovnou to /60 home a /56 malofirma (a i tak nechávám díry na další povýššení), což má i výhodu zarovnání na čtyřbity kvůli případné delegaci reverzů v ip6.arpa, což se má dle RFC6177 také brát v potaz (u firmy bych pak řešení reverzníního DNS a požadavku na delegaci čekal, pokud jim to IPv6 má k něčemu být, u home koncáku zase spíše ne).

Myslim, ze /64 pro vetsinu domacnosti v pohode staci. Samozrejme do toho nepocitam spojovaci adresy mezi hranicnim routerem domacnosti a siti ISP (i kdyz ty mohou zustat link-local).

Ano, i spojovák ISP a koncák může být nas linklocalu, mám to tak, ale záleží dost na tom, co tam koncák bude mít za router (pokud vůbec nějaký) a co daný router bude umět v oblasti IPv6. Jediné, čemu je vhodné se určitě vyhnout při použití link localu tak diktovat koncákům staticky přidělené link local adresy, protože řada krabiček to neumí nastavit (že zkrátka koncáku řeknu, nastav si u sebe na WAN fe80::666/64 a já na ni budu routovat ten tvůj 2001:DB8:AAA:BBB0::/60 segment).

[M.]

@Kokos99: Souhlas, od IPv6 očekávám veřejnou IP adresu pro každý zařízení doma připojené k internetu, tedy s nějakou /64 na routeru a zbytek za NATem (protože chci používat EUI-64) se můžou jít vycpat. Samozřejmě pokud mi na požádání dají /56, tak nemám problém, to že ostatní se nechají "okrást" je už jejich problém.

Ale ten /64 nedostáváš na router (asi myslíš jako na linku mezi tebe a ISP), ale na tvoji lokální LAN, dokonce na tom spoji mezi tvým routerem a routerem ISP nemusí být vůec globální blok, ale často se dává.
Oni ISPíci většinou čekají, že dnešni routery pro IPv6 NAT nepodporují, takže ti něco musí dát k tobě domů na LAN segment.

Samozřejmě je pak ještě možný případ, že ISPík nehrazuje tvůj domácí router, že ti posílá na port k tobě přímo tu jednu /64 pomocí SLAAC (případně tu jednu /64 posílá na celý barák a jen switch dělá izolaci domácností od sebe, ať si nelezou do zelí) a zároveň i něco 192.168.1.0/24 přes DHCP a dělá routování u sebe a případně i NAT z té IPv4 dál, že ti to nabízí tak, že pak nemusíš mít vlastní router, jen si tam přímo píchneš počítač, pokud máš jeden, nebo dáš switch nebo tupé AP a za to pícháš home komply, to je jiné. Pak fakt záleží na domluvě, že chci stejně i tak vlastní router, zda bude ochoten ti tam přes DHCPv6-PD na něj něco pustit.

[Dotaznik]

Rozumim tomu dobre, ze genialni navrh nejakych internich mechanizmu vyzaduje, aby se minimalne pridelovalo 2^64 adres? Neni to malo? Ja si myslim, ze jednou budeme mit tolik lednicek a splachovacu, ze to bude problem. Dekuji

[M.]

To Dotaznik: Ano, současná specifikace IPv6, která říká povinný způsob jak se musí umět každé koncové zařízení konfigurovat pomocí bezestavové autokonfigurace (SLAAC), tak funguje jen když LAN segment má /64. Bohužel řada věcí to jinak, než přes SLAAC neumí. Kdyby uměly statickou plnou ruční konfiguraci nebo stavové DHCPv6, tak maska může být libovolná, ale s tím se nedá počítat (a dlouho ani nebude moci).
Pokud by ti jedna /64 nestačila, tak máš mít možnost snadno si rozšířit příděl až na /48, což by mohlo stačit i pro větší mrazírenský sklad...
Je ot dáno tím, jak se odvozuje v té konfiguraci těch 64 bitů LAN části od MAC adresy (tuo je to tu vícekrát uvedení EUI64). Další věcí je anonymizační rozšíření, kdy si zařízení náhodně adresy mění pro ztížení sledování konkrétního zařízení dle stejné LAN části adresy v různých sítích, jak cestuje mezi sítěmi a pak je i argument, že takto velký LAN segment minimalizuje reálnost skenovaní, co je kde za krabici.

[Dotaznik]

Prijde mi, ze plytvani je primo v nejakem rfc o ipv6. Proc treba na segment pro hosty mam chtit dalsich 2^64 adres, to je mimo moje chapani. Ti lide od ipv6, ac asi technicky vzdelani, evidentne nechapou, jaky svinstvo je exponenciala.

[M.]

Těch /64, to je téma stejné, jako kvadratura kruhu. :-) Určitě si dříve kvůli němu akademici dali i do držky...
Samotné IPv6 je na délce masky nezávislé a může být libovolná (takže třeba bod-bod link používají masky /126 nebo /127). Ale ve specifikaci, co musí každý IPv6 host uěmt, že minimálně musí umět autokonfiguraci pomocí SLAAC. A ta funguje jen na LAN segmentu s maskou /64. Protože se těch 64-biztů odvozuje od MAC adresy. A proč teda není maska /96, ldyž Ethernet MAC má jen 48-bitů? Ptrotože se počítalo, že budou MAC větší. A už dneska jsou, takže nám do baráků začíná lézt třeba ZigBee, a to používá už MAC adresy 64-bitové. Takže převod MAC na IPv6 LAN část je přímá.
Takže s /64 je nejlépe s esmířit a bát to tak, že jedne blok /64 je co dříve jendá IP adresa a tak nám IPv6 narozstlo z původních 32 bitů u IPv4 na 64 bitů u IPv6 a k tomu mám dalších 64 bitů k dobru na smetí v LAN segmentu...

Jinak i s jedním přidělelným blokem /64 jde udělat oddělený guest segment sítě, dá se řešit izolací portů, klientů od sebe a neuvidí vzájemně na sebe (nebo jen nějakým vybraným směrem, ať už pomocí ND proxy nebo offlink stavu adresy). Ale jednodušší je mít pro ně další vyhrazený /64 segment...

[Sten]

Prijde mi, ze plytvani je primo v nejakem rfc o ipv6. Proc treba na segment pro hosty mam chtit dalsich 2^64 adres, to je mimo moje chapani. Ti lide od ipv6, ac asi technicky vzdelani, evidentne nechapou, jaky svinstvo je exponenciala.

Nemyslete o IPv6 jako o 128-bitových adresách, ale jako o 64-bitových sítích. On ten zlom na 64 bitech není náhodný, ale je to omezení současných počítačů, co zvládají efektivně routovat.

Co se týče těch exponenciál, jestlipak víte, kolik je 2⁶⁴ / počet obyvatel Země či jak malou plochu na Zemi může mít každá síť /64?