IPv6 ease of use

[lojzak]

Mám pocit, že odpor vůči IPv6 je způsoben tím, že zápis IPv6 adresy je jiný než zápis IPv4 adresy.  Ti, kdo píší, že IPv6 je geekovina a nedotažený bastl jsou frustrování, že najednou neumí pracovat s hexadecimálními čísly. A nebo je to forma autismu - celou dobu byli zvyklí na na dekadický zápis adresy po osmi oktetech a najednou by se měli učit něco jiného. 

Zajímalo by mě, jakou mají zarytí odpůrci IPv6 praxi se správou IPv6 sítí.

[Reklama]

[Milfaus]

Zajímalo by mě, jakou mají zarytí odpůrci IPv6 praxi se správou IPv6 sítí.

Stejnou, jakou jsem měl s provozem dualstacku Novell Netware a IPv4 protokolu.

Jde o to, že u IPv4 můžeš mít hodně vysokou kontrolu nad tím, jaké má zařízení IP adresu.
Nastavíš si pravidla na firewallu pro dané IP adresy, které jsou neměnná.
S IPv6 tuto kontrolu můžeš získat také, ale řekl bych za podstatně, podstatně, podstatně vyššího úsilí a navíc potřebuješ provozovat oba protokoly zároveň. V korporátní praxi je problém ten, že 1/2 výrobních zařízení IPv6 neumí a nezná, tj. je s IPv6 zcela nepoužitelná a to včetně těch nově prodávaných. Navíc potřebuješ dost přesně zkoumat to, co má jakou adresu, kam to leze a neleze. Debilní implementace debilního protokolu jen dráždí už tak uhnané a vystresované ajťáky, kteří se starají, aby měl každý Lojza od lisu na gumovky práci, protože ten lis sbírá data. IPv4 a IPv6 mají odlišnou logiku a ty musíš mít v provozu oba protokoly. Líp by bylo Lojzu vyhodit z práce a fabriku přesunout do Číny, ale i ten (dost možná) retardovaný Lojza má ženu a děti, které potřebuje nakrmit. Je jasné, že Lojza tomu nerozumí, protože mu doma na tabletu a notebooku značky Acer všechno celkem šlape a může si prohlédnout to svoje porno, když tedy přijde z gumovkárny, ale Lojzův svět je jen ubohá zjednodušenina skutečnosti.

[slezi2]

Mám pocit, že odpor vůči IPv6 je způsoben tím, že zápis IPv6 adresy je jiný než zápis IPv4 adresy.  Ti, kdo píší, že IPv6 je geekovina a nedotažený bastl jsou frustrování, že najednou neumí pracovat s hexadecimálními čísly. A nebo je to forma autismu - celou dobu byli zvyklí na na dekadický zápis adresy po osmi oktetech a najednou by se měli učit něco jiného. 

Zajímalo by mě, jakou mají zarytí odpůrci IPv6 praxi se správou IPv6 sítí.

A Vy?

Mám na starost menší síť (cca 2500 klientů) a IPV6 bych rád nasadil do ostrého provozu,ale bohužel na náš model sítě se   špatně(neříkám že to nejde)aplikuje.Např. přidělení prefixu /56 pro uživatele co má TP-LINK.Po každém n-tém(n = náhodné číslo) restartu má jiný IAID ,což v mikrotiku znamená přidělení jiného prefixu.Celkově je IPV6 v zařízeních nedotažené.To je z pohledu ISP.
Co se týká koncových uživatelů.tam většinou není problém.Stačí dát router(i ten TP-LINK) a funguje to.
Mě osobně by stačilo,kdyby prefix šel v DHCP-PD přidělovat dle mac adresy.
Jinak proti IPV6 nic nemám.

[Milfaus]

To je z pohledu ISP.

Musíš zavést PPPoE :-D Jednak budeš mít lepší přehled o tom, co se děje, jednak půjde lépe sdílet jediná veřejná IP adresa, těch 2 500 lidí se ti za ní v pohodě vejde, stačí jim dát limit 25 současných spojení :-D Navíc jim při té příležitosti můžeš dát i IPv6. Kdo nezaplatí, ten PPPoE spojení naváže jen na stránku s velkým nápisem "Zaplať zmrde!"
(Ve skutečnosti mám PPPoE rád.)

Protože když se pokusíš zavádět IPv6 na silně routované síti, budeš chtít fail over, load balancing a podobné koniny uvnitř routované sítě, celkem tě to zabaví :-D Hlavně pokud se pokusíš to realizovat čistě na IPv6, ta implementace řady výrobců je vážně zralá 

Jinak je tvoje práce jen prodávání housek, prostě klonuješ konfiguraci A na n stanic, to není nic, kde by IPv6 dělala problémy.

[Milfaus]

... ten PPPoE spojení naváže, ALE DOSTANE SE JEN na stránku s velkým nápisem "Zaplať ...

Edit s ohledem na "lidi s oblibou napichující hnidy" tzn. hnidopichy.

[Reklama]

[asdf111]

Mám pocit, že odpor vůči IPv6 je způsoben tím, že zápis IPv6 adresy je jiný než zápis IPv4 adresy.  Ti, kdo píší, že IPv6 je geekovina a nedotažený bastl jsou frustrování, že najednou neumí pracovat s hexadecimálními čísly. A nebo je to forma autismu - celou dobu byli zvyklí na na dekadický zápis adresy po osmi oktetech a najednou by se měli učit něco jiného. 

Zajímalo by mě, jakou mají zarytí odpůrci IPv6 praxi se správou IPv6 sítí.

nikomu nic nebrani zacat pouzivat ipv6 adresy v tomto formate
32.1.4.112.92.59.0.0.82.229.73.255.254.238.136.103
alebo
0010000000000001 0000010001110000 0101110000111011 0000000000000000 0101001011100101 0100100111111111 1111111011101110 1000100001100111


@Milfaus v ipv6 funguje aj staticka konfiguracia aj DHCPv6, cize kontrola nad firewallmi je tu zabezpecena v rovnakej miere ako na ipv4, to ze tu mame moznost SLAAC je len prijemny bonus, v datacentrach to je velmi prijemny bonus, kedze su IPcky deterministicke podla MAC. jedine co skomplikuje firewall pravidla su privacy extensions, ale tie sa spravidla pouzivaju len na outbound konektivitu a skor na domace pouzitie, cize nic co by bolo treba definovat na firewalloch.

[MP]

Obecně pro původní požadavky pro mximální jednoduchost a stálost vnitřní sítě, tak je asi řešení nasazení ULA adres do vnitřní sítě (fc00::/7) a na těch primárně jede vnitřní IPv6 provoz. Ty už jsou neměnné i při změně vnější konektivity a k tomu paralelně zařízení dostávjí i globální IPv6 adresu(y) dle aktuální konektivity, která se mění dle situace a uplinku. Funguje víc než dobře.

Jak tohle bude fungovat v pripade VPN a obou stranach pouziti fc00::/7?

[Jenda]

Jak tohle bude fungovat v pripade VPN a obou stranach pouziti fc00::/7?

Tak ono to není fc00::/7, ale fc00:40_náhodných_nebo_assignovaných_bitů::/48, takže pravděpodobnost náhodné kolize je 2^-40. A když k ní dojde, tak to bude úplně stejně na prd jako když se připojuješ z domova, kde máš síť 192.168.0.0, do práce, kde mají síť 192.168.0.0. Tak mě napadá, nemůžeš si u IPv6 pomoct stejně jako u link local, tj. fc00:kolize::%eth0?

[Jenda]

Jde o to, že u IPv4 můžeš mít hodně vysokou kontrolu nad tím, jaké má zařízení IP adresu.
Nastavíš si pravidla na firewallu pro dané IP adresy, které jsou neměnná.
S IPv6 tuto kontrolu můžeš získat také, ale řekl bych za podstatně, podstatně, podstatně vyššího úsilí

Já bych řekl, že jim je buď nastavím staticky úplně stejně, nebo se vygenerují z MAC adresy po přijmutí RA úplně stejně, nebo jim je přidělí DHCPv6 úplně stejně.

[Filip Jirsák]

Obecně pro původní požadavky pro mximální jednoduchost a stálost vnitřní sítě, tak je asi řešení nasazení ULA adres do vnitřní sítě (fc00::/7) a na těch primárně jede vnitřní IPv6 provoz. Ty už jsou neměnné i při změně vnější konektivity a k tomu paralelně zařízení dostávjí i globální IPv6 adresu(y) dle aktuální konektivity, která se mění dle situace a uplinku. Funguje víc než dobře.

Jak tohle bude fungovat v pripade VPN a obou stranach pouziti fc00::/7?

To je prostě špatný nápad. IPv6 adres je dost, je jich spousta. Jakmile chcete po IPv6 komunikovat mezi více sítěmi, požijte normální routovatelné IPv6 adresy, které vám přidělí ISP. Klidně pak tunelujte provoz přes VPN, to je jedno. Ale ULA nebo link-local adresy jsou určené opravdu jen pro lokální provoz, pokoušet se s jejich pomocí komunikovat ven (byť přes VPN) je špatně. A obecně, pokud někdo chce použít ULA nebo link-local adresy, měl by opravdu chápat principy IPv6. Pokud je někdo chce použít jenom jako náhradu privátních adres z IPv4, nejspíš dělá něco špatně a vymstí se mu to.

[MP]

Jak tohle bude fungovat v pripade VPN a obou stranach pouziti fc00::/7?

Tak ono to není fc00::/7, ale fc00:40_náhodných_nebo_assignovaných_bitů::/48, takže pravděpodobnost náhodné kolize je 2^-40. A když k ní dojde, tak to bude úplně stejně na prd jako když se připojuješ z domova, kde máš síť 192.168.0.0, do práce, kde mají síť 192.168.0.0. Tak mě napadá, nemůžeš si u IPv6 pomoct stejně jako u link local, tj. fc00:kolize::%eth0?

Pravdepodobnost kolize je tentokrat mnohem vyssi, nebot kazdy se bude snazit pouzivat zapamatovatelny rozsah. A nejde mi ani tak o klienty jako spis o routery/vpn koncentratory.

[MP]

Obecně pro původní požadavky pro mximální jednoduchost a stálost vnitřní sítě, tak je asi řešení nasazení ULA adres do vnitřní sítě (fc00::/7) a na těch primárně jede vnitřní IPv6 provoz. Ty už jsou neměnné i při změně vnější konektivity a k tomu paralelně zařízení dostávjí i globální IPv6 adresu(y) dle aktuální konektivity, která se mění dle situace a uplinku. Funguje víc než dobře.

Jak tohle bude fungovat v pripade VPN a obou stranach pouziti fc00::/7?

To je prostě špatný nápad. IPv6 adres je dost, je jich spousta. Jakmile chcete po IPv6 komunikovat mezi více sítěmi, požijte normální routovatelné IPv6 adresy, které vám přidělí ISP. Klidně pak tunelujte provoz přes VPN, to je jedno. Ale ULA nebo link-local adresy jsou určené opravdu jen pro lokální provoz, pokoušet se s jejich pomocí komunikovat ven (byť přes VPN) je špatně. A obecně, pokud někdo chce použít ULA nebo link-local adresy, měl by opravdu chápat principy IPv6. Pokud je někdo chce použít jenom jako náhradu privátních adres z IPv4, nejspíš dělá něco špatně a vymstí se mu to.

Takze zatimco pri ipv4 proste nastavim redundanci na urovni verejne IP adresy mezi VPN koncentratory v pripade vice  isp, tak u ipv6 budu muset duplikovat acl/cryptomapy pro rozdilne IP rozsahy? Chapu to spravne ty normalni routovatelne ipv6 adresy z vaseho prispevku?

[Milfaus]

Ono je dost problematické chtít na IPv6 implementovat principy z IPv4, jsou to jiné světy.
Nejsnazší je zahodit všechno, co víš a začít znova, bohužel.

[Filip Jirsák]

Takze zatimco pri ipv4 proste nastavim redundanci na urovni verejne IP adresy mezi VPN koncentratory v pripade vice  isp, tak u ipv6 budu muset duplikovat acl/cryptomapy pro rozdilne IP rozsahy?

To záleží na tom, co bude umět váš software. V IPv4 podporuje redundanci na úrovni veřejné IP adresy, kterou prostě nastavíte, nic nebrání tomu, aby v IPv6 podporoval redundanci na úrovni prefixu sítě, kterou prostě nastavíte. A nebo se prostě vykašlete na nějaký drahý VPN koncentrátor, který tvoří single point of failure, a prostě použijete IPsec pro end-to-end šifrování.

Ono je dost problematické chtít na IPv6 implementovat principy z IPv4, jsou to jiné světy.
Nejsnazší je zahodit všechno, co víš a začít znova, bohužel.

Z hlediska návrhu sítě spíš bohudík. Ano, znamená to naučit se nové věci.
Stejně tak většina lidí zahodila vše, co věděla o ježdění na koních, a začali se učit řídit auta. Dnes se na silnicích nepohybují lidé, kteří by se snažili auta řídit jako koně – bohudík, nikoli bohužel.

[Milfaus]

Stejně tak většina lidí zahodila vše, co věděla o ježdění na koních, a začali se učit řídit auta. Dnes se na silnicích nepohybují lidé, kteří by se snažili auta řídit jako koně – bohudík, nikoli bohužel.

To není přesné.
Jezdili jsme pohodlně autem a teď máme používat tohle: