Praktické dotazy k IPv6

KapitánRUMFree

Re:Praktické dotazy k IPv6
« Odpověď #30 kdy: 19. 09. 2012, 14:10:00 »
Jinak to už jste slyšel, že v IPv6 má jedno síťové rozhraní více IP adres?

Jistě, ale to šlo i u IPv4, a právě k vůli výjimkám pro firewall se mi to ale vůbec nelíbí.


DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Praktické dotazy k IPv6
« Odpověď #31 kdy: 19. 09. 2012, 14:51:39 »

No dobrá pán slovíčkaří, místo aby přiznal chybu. Takža nejdřív argumenty. Dané rfc má v scenario termín "Customer networks", to k jednotnému číslu. Brání něco mít prefix delegation i na těch ostatních routerech v síti?

Ano, brání. A to konkrétně nehierarchická struktura sítě. Představte si jednoduchou síť se čtyřmi routery spojenými do čtverce, s jedním routerem připojeným k providerovi. V síti běží dynamický směrovací protokol (OSPF, IS-IS, ...). Od kterého routeru dostane prefix router ležící napříč? Jak zajistíte, aby při připojení dalšího routeru dostal nadřazený router další prefixy, pokud svoje už vyčerpal? Jak budete požadovat prefixy, když vypadne jedna z linek (ale síť je pořád funkční)?

Vámi navrhované dělení není možné - právě kvůli redundanci sítě a výpadkům jedné linky. Můžete oznamovat celý prefix. To už ale není prefix delegation podle RFC a víc se to podobá mému návrhu šířit celý prefix přes routovací protokol.



Citace
Mám pokračocat ad hominem nebo uznáš, že řešení tu je?

Asi budete muset pokračovat ad hominem, ale s někým jiným.

Sten

Re:Praktické dotazy k IPv6
« Odpověď #32 kdy: 19. 09. 2012, 17:15:00 »
Jo, až na to, že dotyčné RFC je v jednotném čísle. Umožňuje nakonfigurovat 1 router, nikoliv celou síť. A sítí rozumím něco o více routerech.

Jeden prefix delegation konfiguruje jeden router, ale samozřejmě těch prefix delegations můžete poslat, kolik uznáte za vhodné, stejně jako ten nakonfigurovaný router může delegovaný prefix rozsekat jakkoliv podle své úvahy a použít pro prefix delegation na routery pod ním.

Ano, brání. A to konkrétně nehierarchická struktura sítě. Představte si jednoduchou síť se čtyřmi routery spojenými do čtverce, s jedním routerem připojeným k providerovi. V síti běží dynamický směrovací protokol (OSPF, IS-IS, ...). Od kterého routeru dostane prefix router ležící napříč? Jak zajistíte, aby při připojení dalšího routeru dostal nadřazený router další prefixy, pokud svoje už vyčerpal? Jak budete požadovat prefixy, když vypadne jedna z linek (ale síť je pořád funkční)?

Router ležící napříč se multicastem na obou vnějších rozhraních zeptá všech tam přítomných routerů na prefix přes DHCPv6, což se doručí oběma routerům na hranách, a oba ty routery přepošlou požadavek na delegaci na hlavní router, který prefix přidělí, a protože žádající je v obou případech ten stejný router, tak dostane v obou případech stejný prefix. Oba routery potom routeru napříč vrátí ten stejný prefix, takže zduplikováním se nic nestane. Pokud jedna linka nefunguje, prostě se to přidělí jen přes tu druhou. Pokud spadnou obě, prefix delegation selže, ale protože stejně nebudete mít přístup do internetu, tak ve výsledku k žádné škodě nedojde a lokálně bude fungovat jenom ULA.

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Praktické dotazy k IPv6
« Odpověď #33 kdy: 19. 09. 2012, 17:54:36 »
Jo, až na to, že dotyčné RFC je v jednotném čísle. Umožňuje nakonfigurovat 1 router, nikoliv celou síť. A sítí rozumím něco o více routerech.

Jeden prefix delegation konfiguruje jeden router, ale samozřejmě těch prefix delegations můžete poslat, kolik uznáte za vhodné, stejně jako ten nakonfigurovaný router může delegovaný prefix rozsekat jakkoliv podle své úvahy a použít pro prefix delegation na routery pod ním.

Ano, brání. A to konkrétně nehierarchická struktura sítě. Představte si jednoduchou síť se čtyřmi routery spojenými do čtverce, s jedním routerem připojeným k providerovi. V síti běží dynamický směrovací protokol (OSPF, IS-IS, ...). Od kterého routeru dostane prefix router ležící napříč? Jak zajistíte, aby při připojení dalšího routeru dostal nadřazený router další prefixy, pokud svoje už vyčerpal? Jak budete požadovat prefixy, když vypadne jedna z linek (ale síť je pořád funkční)?

Router ležící napříč se multicastem na obou vnějších rozhraních zeptá všech tam přítomných routerů na prefix přes DHCPv6,

Jaký multicast? DHCPv6 používá buď link-local multicast, tj. i na všech okolních routerech by musely být DHCPv6 servery, nebo site-local multicast (FF05::1:3), ale site-local adresy byly zrušeny RFC 3879.

Citace
což se doručí oběma routerům na hranách, a oba ty routery přepošlou požadavek na delegaci na hlavní router, který prefix přidělí, a protože žádající je v obou případech ten stejný router, tak dostane v obou případech stejný prefix. Oba routery potom routeru napříč vrátí ten stejný prefix, takže zduplikováním se nic nestane. Pokud jedna linka nefunguje, prostě se to přidělí jen přes tu druhou. Pokud spadnou obě, prefix delegation selže, ale protože stejně nebudete mít přístup do internetu, tak ve výsledku k žádné škodě nedojde a lokálně bude fungovat jenom ULA.

připouštím, že by to tak do jisté míry fungovat mohlo (pomineme-li ten multicast na site-local adresy).

Ale mít jeden DHCPv6 server na routeru, který pouze přiděluje prefixy a druhý DHCP server, který přiděluje další parametry (předpokládám, že nebudete chtít pustit správce sítě do konfigurací parametrů pro IP telefony), mi přijde jako  zbytečný overkill.

Re:Praktické dotazy k IPv6
« Odpověď #34 kdy: 25. 09. 2012, 08:05:01 »
Sakra, to je zajímavá diskuse, taková pěkná směsice různých úrovní odborníků, teoretiků a haló-rádoby-odborníků (už si budu muset zase zakázat číst diskuse o ipv6 na rootu :D).
Jako haló-rádoby-odborník přidávám svou trochu do mlýna.
Pokud jde o jednorázovou a trvalou změnu providera, jediným správným řešením je síť přeadresovat.
To je právě problém. Náklady na změnu adresace, pokud větší firma takové náklady vyčíslí vyjde jím takové číslo, které je bude nutit zůstat u současného ISP, což se logicky nelíbí. Nesporná výhoda NATU v tomto smyslu je, že změna se realizovala vlastně na pár zařízeních a tím to haslo (relativně malá závislost na PA adresách). Z mnoha věcí zmiňme jenom nastavení paketového FW v síti kde používáte "security in depth". Samozřejmě někdo může navrhout způsob konfigurace filtrů pouze specifikací posledních /64 bitů adres, konfigurace filtrů pomocí DNS (nebo mDNS dokonce) apod... Zde se myslím čeká na nějaké doporučované postupy, best practice protože se dostáváme do nových neověřených postupů. A to vyřešením FW bude vyřešena jenom jedna z věcí.

Síťová tiskárna určitě bude používat i automatickou adresu (nebo rovnou několik, třeba ULA). Lokálně se k ní ale bude přistupovat hlavně přes lokální adresu, a to nejspíš ještě přes mDNS, takže konkrétní adresa vás vůbec nebude zajímat.
Styl administrace "ono to nějak funguje" nemají rádi všichni. Rovnou řekněte, že na to budeme mít supadupa web management, kde se přidá ikonka tiskárny a konfigurace se automaticky vygeneruje a rozpošle do všech dotčených zařízení.

stejně jako ten nakonfigurovaný router může delegovaný prefix rozsekat jakkoliv podle své úvahy a použít pro prefix delegation na routery pod ním.
.....
Router ležící napříč se multicastem na obou vnějších rozhraních zeptá všech tam přítomných routerů na prefix přes DHCPv6, což se doručí oběma routerům na hranách, a oba ty routery přepošlou požadavek na delegaci na hlavní router, který prefix přidělí, a protože žádající je v obou případech ten stejný router, tak dostane v obou případech stejný prefix. Oba routery potom routeru napříč vrátí ten stejný prefix, takže zduplikováním se nic nestane. Pokud jedna linka nefunguje, prostě se to přidělí jen přes tu druhou. Pokud spadnou obě, prefix delegation selže, ale protože stejně nebudete mít přístup do internetu, tak ve výsledku k žádné škodě nedojde a lokálně bude fungovat jenom ULA.
Až budete mít čas prosím, prosím připravte takový malý labáček, takový "proof of concept" jak to děláte, rád si to zkusím nastavit.


j

Re:Praktické dotazy k IPv6
« Odpověď #35 kdy: 25. 09. 2012, 09:18:11 »
PI adresy rozhodně není snadné získat, pokud k jejich použití není objektivní důvod (a to, že někdy v budoucnu možná budu měnit providera a nechce se mi přeadresovávat síť, objektivní důvod není). Kdyby všichni používali PI adresy, globální směrovací tabulka by narostla do astronomických rozměrů a Internet by měl dost problémů zůstat pohromadě.

Pokud jde o jednorázovou a trvalou změnu providera, jediným správným řešením je síť přeadresovat. Taková změna se neděje příliš často a vždy je spojena s náklady navíc. Pokud jde o zálohování občasného výpadku a při výpadku vystačí síť s nouzovým režimem, kdy nejde navazovat spojení dovnitř, pak bych volil po dobu výpadku bezestavový NAT, který dočasně přeloží původní nefunkční prefix na nový, funkční.

Co ma lokalni provider spolecnyho s globalni routovaci tabulkou? Vyhoda IPv6 je prave v tom, ze prakticky vubec nic. Predpokladal bych (pokud v RIPE a spol nesedi banda totalnich idiotu) ze rekneme CR ma "pridelen" nejaky prefix, a providerum se prideluji rozsahy z toho prefixu => pokud budu mit PI adresy, tak to budou resit "mistni" provideri, ale v globani tabulce se vubec nic nezmeni.

Triviální, použitelné pouze u malých sítí, kde si to správce může obejít i sám. Až budete mít síť, kde budete mít velkou lokalitu využívající 135 /64 prefixů, několik malých lokalit využívajících 40 /64 prefixů a pobočky s jedním routerem využívajícím 8 /64 prefixů, teprve potom to začne být s přidělováním zajímavé.

Co je to vlastní prefix? Myslíte PI adresy? Ty se přidělují jenom za poměrně specifických situací.
Pokud budu mit takhle rozsahlou sit, tak je PI rozsah zcela bezna vec, protoze pri takhle rozsahly siti mam minimalne nekolik pripojek ven.

Santiago

Re:Praktické dotazy k IPv6
« Odpověď #36 kdy: 25. 09. 2012, 09:55:12 »
> Co ma lokalni provider spolecnyho s globalni routovaci tabulkou? Vyhoda IPv6 je prave v tom, ze prakticky vubec nic. Predpokladal bych (pokud v RIPE a spol nesedi banda totalnich idiotu) ze rekneme CR ma "pridelen" nejaky prefix, ...

To znacne precenujes realne moznosti agregace. Agregace probiha prakticky vyhradne na urovni LIRu (~ISP), tedy agreguji se PA adresy jednoho LIRa a propagovane s jednim AS number. PI adresy (stejne jako PA bloky pridelene ruznym LIRum) se obecne navzajem neagreguji. Agregace na 'narodni' urovni je nesmysl. Zaprve se tak adresy neprideluji a zadruhe se tak ani neroutuje (v zahranici neni jeden smer 'k CR', protoze ruzni mezinarodni tranzitni ISP mohou mit blize k ruznym lokalnim ISP).

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Praktické dotazy k IPv6
« Odpověď #37 kdy: 25. 09. 2012, 10:52:29 »
Pokud budu mit takhle rozsahlou sit, tak je PI rozsah zcela bezna vec, protoze pri takhle rozsahly siti mam minimalne nekolik pripojek ven.

Tak třeba české univerzity, které mají mnohdy i komplikovanější infrastrukturu, žádného jiného providera než CESNET nemají.

ISP

Re:Praktické dotazy k IPv6
« Odpověď #38 kdy: 25. 09. 2012, 11:32:37 »
Pokud budu mit takhle rozsahlou sit, tak je PI rozsah zcela bezna vec, protoze pri takhle rozsahly siti mam minimalne nekolik pripojek ven.

Tak třeba české univerzity, které mají mnohdy i komplikovanější infrastrukturu, žádného jiného providera než CESNET nemají.

"několik přípojek ven" != "více providerů"

Jeden solidní provider je určitě lepší než více nesolidních.

DgBd

  • ****
  • 282
    • Zobrazit profil
    • E-mail
Re:Praktické dotazy k IPv6
« Odpověď #39 kdy: 25. 09. 2012, 12:04:56 »
Pokud budu mit takhle rozsahlou sit, tak je PI rozsah zcela bezna vec, protoze pri takhle rozsahly siti mam minimalne nekolik pripojek ven.

Tak třeba české univerzity, které mají mnohdy i komplikovanější infrastrukturu, žádného jiného providera než CESNET nemají.

"několik přípojek ven" != "více providerů"

Jeden solidní provider je určitě lepší než více nesolidních.

To sice ne, ale pokud budete připojen jenom k jednomu providerovi, tak PI adresy patrně nedostanete.

Stanley Mlha

Potřebuji pro IPv6 jiný SWITCH?
« Odpověď #40 kdy: 15. 10. 2012, 14:55:43 »
Možná triviální dotaz. Momentálně je celá síť za NATem a jede přes IPv4. Pokud budu chtít dotáhnout IPv6 z routeru na koncový počítač, mohu použít současný switch (který nemá o IPv6 zmínku), nebo musí být nový, který "něco" splňuje.
Jaký je rozdíl mezi řiditelným a jiným switchem?

Re:Potřebuji pro IPv6 jiný SWITCH?
« Odpověď #41 kdy: 15. 10. 2012, 16:20:25 »
Možná triviální dotaz. Momentálně je celá síť za NATem a jede přes IPv4. Pokud budu chtít dotáhnout IPv6 z routeru na koncový počítač, mohu použít současný switch (který nemá o IPv6 zmínku), nebo musí být nový, který "něco" splňuje.
Switch funguje na ethernetové vrstvě a o IP nic neví. O IP musí něco vědět router.

Jaký je rozdíl mezi řiditelným a jiným switchem?
V tom, že se jeden se dá řídit a druhý ne :) Např. se u něj dá nastavit, že na nějakém portu může být jenom zařízení s určitou MAC adresou, že určitý port bude zařazený do nějaké VLANY apod. Jinak, obvykle se tomu říká "managovatelný". "Řiditelný" jsem ještě neslyšel, to je zas nějakej fikanej čechismus :)