Comments 42
Мне кажется, вы совершили ошибку, разрезав сеть на /120-е. Тут адреса нет смысла экономить, наоборот, необходимо составить такой план адресации, чтобы в будущем не возникло необходимости renumbering.
Полезный мануал от RIPE по составлению плана адресации:
www.ripe.net/training/material/IPv6-for-LIRs-Training-Course/IPv6_addr_plan4.pdf
Полезный мануал от RIPE по составлению плана адресации:
www.ripe.net/training/material/IPv6-for-LIRs-Training-Course/IPv6_addr_plan4.pdf
+6
А, стоп. Вы встроили IPv4 адреса в IPv6. Имеет смысл, беру свои слова обратно.
+8
Еще есть причина по которой нежелательно использовать /64 сеть — inconcepts.biz/~jsw/IPv6_NDP_Exhaustion.pdf (IPv6 NDP exhaustion attack) Но это применимо там где можно отказаться от SLAAC.
+1
Все-таки нутром чуял, что такое огромное количество узлов в /64 сети к добру не приведет. А вот понять почему — знания подкачали. Спасибо.
0
Но если сеть на управляемых коммутаторах спасает tools.ietf.org/html/rfc6105 RA guard, грубо говоря аналог DHCP snooping.
0
Спасибо за ссылку. Очень интересный материал.
+2
Большое спасибо за статью. Насколько я понял у Вас на компьютерах клиентов используются как IPv4, так и IPv6 адреса. Собственно возник вопрос, а возможно ли оставить на клиентах только IPv6 адреса и «натить» их в IPv4 роутера (в 192.0.2.2 в Вашем случае)?
+2
Нет, сопрягать протоколы таким образом нельзя. Здесь нет «обратной совместимости».
Самое большее, что можно сделать в такой конфигурации — использовать HTTP-прокси, к которой будете обращаться по IPv6, а она уже в свою очередь — по IPv4 дальше, в том числе — методом CONNECT, т.е. вы получите tcp-тоннель до точки назначения, имеющий IPv4-адрес, хотя вы сами обращались по IPv6.
Самое большее, что можно сделать в такой конфигурации — использовать HTTP-прокси, к которой будете обращаться по IPv6, а она уже в свою очередь — по IPv4 дальше, в том числе — методом CONNECT, т.е. вы получите tcp-тоннель до точки назначения, имеющий IPv4-адрес, хотя вы сами обращались по IPv6.
+1
Буквально так нельзя, однако, можно использовать NAT64+DNS64, чтобы дать доступ IPv6-only машинкам к IPv4-only хостам по IPv6. Выделяется подсеть /96 в которую один-в-один мапится адресное пространство IPv4, после чего DNS64 дописывает записи типа AAAA туда, где их нет.
+1
Самое проблематичное при переходе на IPv6 адресацию — это перевод всей инфраструктуры компании на данную адресацию. Всевозможные приложения, сервисы, клиенты и т.д.
+2
А почему вы не стали пользоваться технологией 6to4? Если есть статический белый адрес, вы «бесплатно» получаете v6-подсеть /48.
Я вот воспользовался — нигде регистрироваться не надо, просто ставим соответствующий драйвер (ну, делал я это в Linux, так что sit) и настраиваем тоннель. Инструкции — простейшие, к тому же, как выяснилось, в моём дистрибутиве всё уже сделано за меня — надо только сказать ему, от какого интерфейса взять собственно статический адрес ;)
Я вот воспользовался — нигде регистрироваться не надо, просто ставим соответствующий драйвер (ну, делал я это в Linux, так что sit) и настраиваем тоннель. Инструкции — простейшие, к тому же, как выяснилось, в моём дистрибутиве всё уже сделано за меня — надо только сказать ему, от какого интерфейса взять собственно статический адрес ;)
+3
На последней конференции RIPE была очень интересная презентация
ripe62.ripe.net/presentations/31-2011-05-02-dualstack.pdf
Один из результатов исследования: 12-20% всех 6to4 соединений не устанавливаются. Почему? Потому что вы надеетесь на работоспособность сервера, стоящего неизвестно где, выбираемого далеко не оптимальным образом, управляемого неизвестно кем. Естественно, у него нет обязательств предоставлять вам качественный сервис.
ripe62.ripe.net/presentations/31-2011-05-02-dualstack.pdf
Один из результатов исследования: 12-20% всех 6to4 соединений не устанавливаются. Почему? Потому что вы надеетесь на работоспособность сервера, стоящего неизвестно где, выбираемого далеко не оптимальным образом, управляемого неизвестно кем. Естественно, у него нет обязательств предоставлять вам качественный сервис.
+4
Видимо, имеется ввиду серверы с anycast-адресами 192.88.99.XXX?
Наверное, мне повезло, но проблем не наблюдал. Правда, с чего бы их наблюдать — ресурсов-то, которые я использую, в IPv6 нет :)
Кроме того, проблем не может возникнуть, пока связываются две 6to4-сети — они связываются помимо таких серверов. Тут проблема коннективити IPv4, давно решённая.
Наверное, мне повезло, но проблем не наблюдал. Правда, с чего бы их наблюдать — ресурсов-то, которые я использую, в IPv6 нет :)
Кроме того, проблем не может возникнуть, пока связываются две 6to4-сети — они связываются помимо таких серверов. Тут проблема коннективити IPv4, давно решённая.
0
Поэтому для таких целей надо использовать 6rd, где anycast сервер 6to4 делаете вы сами.
+1
Через миллион лет на вас будет смотреть как ныне на какой-нибудь IBM или L3 и спрашивать: а зачем это вам аж /64 блок?
+1
Мечты о переводе сети компании на прогрессивные технологии, как правило, обламываются об танковые ежи вроде сетевых принтеров, которым уже лет по 8, а так же самые суровые заграждения — клиент-банки.
Из 4-х программ подобного рода только у одного банка есть бета с поддержкой IPv6. Один зелёный вообще ответил «зачем это вам? разумеется, не будет никакого IPv6 по меньшей мере в ближайшие два года.»
Поэтому, пока что вся радость только дома.
Из 4-х программ подобного рода только у одного банка есть бета с поддержкой IPv6. Один зелёный вообще ответил «зачем это вам? разумеется, не будет никакого IPv6 по меньшей мере в ближайшие два года.»
Поэтому, пока что вся радость только дома.
+1
Тупые принтеры отлично проксируются через CUPS. Т.е. мы печатаем (по IPv6) на CUPS, а он уже сам там сам разберётся, как с притером договориться.
0
Тоже не всё гладко. У старых принтеров бывают мега-дрова написанные бог-знает как, которые просто не работают через костыли. Они даже в XP SP3 не работают, надо включать режим совместимости для родной софтины управления печатью. Например, старые сетевые Xerox с двусторонней печатью и переплётом. Через костыль остаётся только односторонняя печать.
0
Вы знаете, тут как нельзя лучше подойдёт высказывание:
«Xerox — это копировальный аппарат. Принтеры — это HP.»
«Xerox — это копировальный аппарат. Принтеры — это HP.»
+3
Для ipv6 надо не забыть про Firewall, и про машины нужна какая то защита.
Как можно меньше портов наружу.
Как можно меньше портов наружу.
0
слоупоки
-10
черт, картинка не вставилась: www.kame.net/img/kame-anime-small.gif
-2
вы чо такие дурачки минусующие? только на забре этиx статей про туннелброкеров было уже овер9000. неговоря уже про интернеты и про то что эти брокеры давно боян. нынче уже модно к магестралам ойпи6 линки иметь, например такое:
#sh ip bgp ipv6 unicast sum | i 20485
2A00:1E48: Ч: Н::2 4 20485 1258916 344040 2135823 0 0 15w0d 5888
ну и соответственно человеческе разданные ойпишнички у пользователей и 10/10 набранных баллав у разных ip6 тестеров Ж)
но все это имеет пока что чисто исследовательский характер. с начала года таблица ойпи6 хоть и вырасла на 2/3, но далеко не все занимаются этим ойпи6. даже без туннелброкеров длина аспаса весьма впечатляет, а уж с ними и подавно. еще долго придется ждать когда все операторы в интернетах между собой и иксами построят ойпи6 связность и наступить эквивалентное ойпи4 щастье по качеству.
а с вашей заметкой, только и смотреть как черепашка ластами двигает.
#sh ip bgp ipv6 unicast sum | i 20485
2A00:1E48: Ч: Н::2 4 20485 1258916 344040 2135823 0 0 15w0d 5888
ну и соответственно человеческе разданные ойпишнички у пользователей и 10/10 набранных баллав у разных ip6 тестеров Ж)
но все это имеет пока что чисто исследовательский характер. с начала года таблица ойпи6 хоть и вырасла на 2/3, но далеко не все занимаются этим ойпи6. даже без туннелброкеров длина аспаса весьма впечатляет, а уж с ними и подавно. еще долго придется ждать когда все операторы в интернетах между собой и иксами построят ойпи6 связность и наступить эквивалентное ойпи4 щастье по качеству.
а с вашей заметкой, только и смотреть как черепашка ластами двигает.
-2
рано ещё этим заниматься
-11
А почему использована именно статическая конфигурация туннелей? Можно ли было использовать 6to4 или isatap туннели? Или будут подводные камни?
0
На последней конференции RIPE показали результаты исследования, которые говорят, что автоматические туннели не предоставляют достаточный уровень качества обслуживания.
habrahabr.ru/blogs/internet/119968/?reply_to=3929078#comment_3929534
habrahabr.ru/blogs/internet/119968/?reply_to=3929078#comment_3929534
+1
Очень зря Вы перенесли адресацию IPv4 на Вашу IPv6-сеть. Для того, чтобы не запоминать адреса, есть DNS. С другой стороны, при использовании сетей /120 у Вас пропадает возможность использовать кучу замечательных плюшек IPv6, среди которых есть, например, stateless автоконфигурация.
+2
Подскажите, пожалуйста, как использовать автоконфигурацию и при оставить сеть разбитой на подсети, каждая в отдельном vlan-е, дабы избежать огромных широковещательных доменов?
0
Вам жалко /64? :) Почему не взять один /48 и не поделить его на /64 так, как душе угодно? В Вашем распоряжении подсетей будет 65536. Разве это мало?
+2
Вы меня наверное неправильно поняли. Или я Вас.
При stateless автоконфигурации устройство получит адрес fe80::1/64. Другое устройство может получить fe80::2/64. При этом они будут считать, что находятся в одной сети, но на деле могут оказаться в разных vlan-ах.
Или же наоборот, один компьютер получит fe80:aaaa::1/64, а другой — fe80:bbbb::1/64. Устройства будут считать, что находятся в разных сетях, а в действительности будут в одной.
Также непонятным остается вопрос настройки маршрутизатора, так как у него на соответствующих интерфейсах должны автоматически настроиться адреса, которые будут шлюзами для соответствующих сетей.
Я был бы благодарен Вам, если бы Вы подкинули толковую ссылку, где описываются эти моменты подробно.
При stateless автоконфигурации устройство получит адрес fe80::1/64. Другое устройство может получить fe80::2/64. При этом они будут считать, что находятся в одной сети, но на деле могут оказаться в разных vlan-ах.
Или же наоборот, один компьютер получит fe80:aaaa::1/64, а другой — fe80:bbbb::1/64. Устройства будут считать, что находятся в разных сетях, а в действительности будут в одной.
Также непонятным остается вопрос настройки маршрутизатора, так как у него на соответствующих интерфейсах должны автоматически настроиться адреса, которые будут шлюзами для соответствующих сетей.
Я был бы благодарен Вам, если бы Вы подкинули толковую ссылку, где описываются эти моменты подробно.
0
Вот здесь, к сожалению, не подскажу, я с vlan знаком достаточно поверхностно, увы :( Так что могу только посоветовать гуглить.
-2
Почитайте про IPv6 Router Advertisments.
Вы НА РОУТЕРЕ настраиваете, какому из локальных интерфейсом какую сеть раздавать. Хоть /64, хоть /63, какой надо, такой длины она и будет. Главное, чтобы меньше 64.
Компы в локалке, посредством router solicitation-сообщений находят какой-нибудь роутер и просят у него префикс. Потом ставят себе такие настройки: префикс — как выдал роутер, суффикс — основан на MAC-адресе интерфейса, которому назначается адрес, шлюз — роутер, который отозвался.
Вы НА РОУТЕРЕ настраиваете, какому из локальных интерфейсом какую сеть раздавать. Хоть /64, хоть /63, какой надо, такой длины она и будет. Главное, чтобы меньше 64.
Компы в локалке, посредством router solicitation-сообщений находят какой-нибудь роутер и просят у него префикс. Потом ставят себе такие настройки: префикс — как выдал роутер, суффикс — основан на MAC-адресе интерфейса, которому назначается адрес, шлюз — роутер, который отозвался.
+3
fe80::/64 адреса это link-local адреса, stateless autoconfiguration это совсем другое. www.debian-administration.org/article/655/Running_IPv6_in_practice
0
почитайте про /120 вот здесь:
blog.ioshints.info/2010/11/ipv6-addressing-how-wrong-can-you-get.html
blog.ioshints.info/2010/11/ipv6-addressing-how-wrong-can-you-get.html
+3
Спасибо за полезную информацию. К сожалению, ещё очень малое количество провайдеров предоставляет IPv6
0
Sign up to leave a comment.
Плавный переход сети компании на IPv6