Comments 98
IPv6 куда более продуманный, и его главная проблема — миллионы человек, которые выучили ipv4 и на этом кривая обучения у них закончилась.
А icmp redirect делался для доверенных локалок, во всех остальных случаях его обработку отключают. Вы бы ещё рассказали как с помощью ipv4 можно подключиться к незапароленному root ssh чьему-то.
При этом столько всякой замысловатенькой хрени было придумано для обхода NAT — и что же, всё это зря? Зря мучились, старались, стоя и в гамаке упражнялись? Это противоречит духу олимпиадности, на котором основан современный айти.
Поддерживает 340 триллионов, ТРИЛЛИОНОВ, ТРИЛЛИОНОВ!!! интернет-адресов
Ну зачем ТАК ОРАТЬ?
«Тысяча тысяч» вместо «миллион».
«Миллион миллиардов» вместо «квадриллион».
«340 триллионов триллионов триллионов» это как раз и есть 340 * 10^12 * 10^12 * 10^12 = 3.4 10^38
Просто наверное мало кто поймет если сказать 340 ундециллионов.
Я не понял, вообще впервые слышу это слово и не понимаю зачем придумывать названия терминам, используемым пару раз в жизни — это нерациональная трата времени и памяти. Спасибо за гостеприимство, но пожалуй, я останусь
Я не понял, вообще впервые слышу это словоВ Ваших руках доступ во всемирную сеть, к поисковым системам, википедии, а Вы такое говорите…
Также есть специальная нотация для записи встроенного и отображённого IPv4 на IPv6. В ней последние 2 группы знаков заменены на IPv4-адрес в его формате. Пример:
::ffff:192.0.2.1
Будьте любезны заменить все "Спецучреждения ООН" и тому подобное либо на Международный Союз Электросвязи(МСЭ) либо на ITU. Читая статью думаешь что сам Генсек ООН это все предлагает а не международный организация чья цель это развитие стандартов телекомуникации
Третья © и четвертая (D)
У вас парсер скушал (С), в результаате получился символ копирайта.
А по теме статьи — выдумывать любые прожекты может кто угодно, и с любым образованием и опытом реального внедрения, особенно если ему за это деньги платят, не гляда на разумность его работы. Думаю, ООН и ITU себя только выставили не очень хорошо.
Интернет и сети живут по RFC (другими словами, логика всегда «лучше бы сделать вот так», но нет средств выкрутить руки тем, кто что-то там нарушает, кроме как бойкотирование со стороны некоторых), так что на своей, отдельно взятой территории, мне не запретить назначать адреса как я хочу.
Другое дело, что за все время существования IPv6 я не так и много встречал хотя бы внятных рекомендаций, как спланировать деплой IPv6 в сети (начиная от того, какого размера сеть покупать, и до того, сколько на каждый, скажем, филиал компании, назначать адресов, с объяснением зачем так делать. Все эти «каждому конечнику не менее /64» выглядит глупостью, ведь это снижает число возможных конечников, ничего, по сути, не давая выгадать (кроме маневра при деплое). И с этой точки зрения я бы предложил ISU-ную бумажку прочитать, и совместно напридумать разумный план раскатывания нового протокола (хоть habraplan-ом его назвать, если это как-то поможет), полмира будет благодарно.
Выделение адресов это только самое начало проблемы. Я вот пару раз пытался подступиться к тому, как для IPv6 настраивать файрвол, чтобы контроль получился таким же плотным, как я привык в IPv4 — ага, щаз. Там столько особенностей маршрутизации, что за пару часов в этом полноценно разобраться нереально. А тратить на вопрос как настроить файрвол для IPv6 идентично текущему (домашний комп, но больше 20 сетевых интерфейсов, включая vlan-ы, пару ISP, локалку, vpn-ы, docker, etc.) неделю — у меня столько свободного времени нет, проще выключить IPv6 в ядре, чтобы наверняка, и забить.
Top-Level Aggregation — транснациональные поставщики услуг.
Next-Level Aggregation средние и мелкие поставщики услуг.
Site-Level Aggregation — подсеть отдельного абонента, например подсетей одной корпоративной сети.
Идентификатор интерфейса — наконец адрес устройства.
Тут нормально расписаны подробности.
И устройства должны получать адреса иерархично, в зависимости от их назначения.
«Каждому конечнику не менее /64» — основная фича протокола. Протоколы канального уровня, например Ethernet, используют MAC адрес для адресации в разделяемой среде — в пределах одного провода. Для отображения IP адреса используется ещё одна таблица. В IPv6 MAC адрес интерфейса вносится внутрь IP адреса, в младшую часть, что бы процедурв оборачивание IP пакета в кадр канального уровня сводилось к отбрасыванию старшей части адреса.
IPv6 — продуманная система, которая берёт на себя обязанности не только IPv4, но и ещё двух протоколов. Очень грустно наблюдать, что даже на habr люди враждебно относятся к протоколу.
IPv4 исходно был куда как проще для понимания, вспомните, вы сами как долго концепцию его понимали, впервые столкнувшись? Да, он был проще, и многое формально было не в нем, а в других стандартах, но, по совести, оно не всегда было и нужно, а в v6 положили все-все, и с горкой, и сделали «можно и так, и так» — много как бы необязательных вариантов стало.
Да что так говорить, не так много роутеров, которые бы ipv6 просто полностью поддерживали. Если вы знаете таковые из недорогих — скажите, и назовите толковые инструкции, как людям их настроить, чтобы прямо правильно-правильно было. Тогда и на Хабре, и везде куда как выше % счастливых юзеров, а не «злобных хетеров» (на самом деле, как я писал выше — нет), будет.
Поправьте, если ошибаюсь, но, вроде бы, стандарт IPv6 поддерживается многими устройствами уже давно.
Для большинства пользователей переход на IPv6 будет незаметен. (в один прекрасный день просто айпишник заменится на новый и всё)
upd: речь про пользовательские роутеры. как там у телекомопов — мне не ведомо.
И это не говоря про настройки у клиентов на компах.
А уж телекому такие шашки, вроде как, особо и не нужны: их железки могут по железу или софту не уметь хорошо IPv6, как может и биллинг не знать о такой экзотике — и все это для того, чтобы юзеры в разу чаще звонили в ТП и жаловались, что интернет глючит?
К примеру, если до Tier 1 (Top-Level Aggregation сети) не два, а к примеру 4 провайдера, как им делить адресное пространство?
Насчет /64 тоже всё не гладко, да ARP убрали, но теперь есть NDP. Та самая ещё одна таблица. Плюс к которой 12 байт на каждый пакет бесполезной нагрузки. Где же тут продуманность?
В картинке можно добавить что в interface id может быть что угодно. Главное чтоб не было одинаковых ipv6 у разных узлов.
Добавлю что interface id не только генерируется случайно но и меняется периодически. Но для сервера это не удобно и можно выключить этот режим.
Также у интерфейса может быть и несколько IPv6 и возникает проблема когда пакет приходит на фиксированный IPv6 а ответ идёт с динамического и естественно на том конце не в курсе кто им ответил. Не знаю баг это или фитча.
Также у интерфейса может быть и несколько IPv6 и возникает проблема когда пакет приходит на фиксированный IPv6 а ответ идёт с динамического и естественно на том конце не в курсе кто им ответил. Не знаю баг это или фитча.Ну так и IPv4 адресов тоже может быть несколько на одном интерфейсе, там как-то с этим справляются же?
Многие ITшники считают, что адреса IPv6 выглядят очень плохо и неудобно в сравнении с IPv4, даже не вдаваясь в остальные подробности и проблемы протокола.
С железом опять же, много лет были проблемы. Люди не будут просто так менять оборудование ранее запланированного срока эксплуатации не получая ничего взамен.
В данный момент в основном уже везде поддерживается, в том числе аппаратно. За исключением опять же всяких старых домашних маршрутизаторов. Как мотивировать владельца его поменять? Работает же.
И остаётся проблема прикладного софта, который может быть рассчитан исключительно на IPv4.
Поэтому и выходит так долго.
А в России, учитывая некоторый застой в телекоме и финансовые проблемы, даже не представляю когда хоть сколько то массовый характер приобретёт IPv6.
А в России, учитывая некоторый застой в телекоме и финансовые проблемы, даже не представляю когда хоть сколько то массовый характер приобретёт IPv6.В Германии ещё во многих городах люди на ADSL сидят, но треть пользователей на IPv6, во Франции — тоже свыше 20%, а в соседней Испании — меньше 3%, почти как в России.
Так что ситуация явно не так проста, как вы хотите её представить…
Протокольно, правда, уже лет 15 не улучшается. Зато что-то новое в VDSL появлялось относительно недавно.
Про застой я имел в виду скорее экономическую составляющую. С технической точки зрения у нас более менее хорошо. Смотря, конечно, где.
Давайте даже уточним, вы гигабитную железку видели, чтобы она ipv4 умела, а ipv6 — нет?
Домашние маршрутизаторы 10 лет назад точно в большинстве не умели.
И до сих пор приходится видеть в работе маршрутизаторы типа Cisco 1601 (скажем 1997 года выпуска) с многолетними аптаймами. Оно не умеет много чего кроме IPv6 :)
Впрочем лет 5-6 роутеры получили-таки ASICи с поддержкой IPv6 и в некоторых странах уже половина траффика по IPv6 идёт. Что случилось в России, которая в деле внедрения IPv6 отстаёт даже от некоторых стран Африки — я не знаю. Так-то в России новые технологии (4G, 5G и прочее), внедряются достаточно быстро…
1. «Прямо вот сейчас» сложнее (гораздо) банить по IP, т.к. адресов гораздо больше, чем IPv4. Поэтому всякие «подконтрольные» провайдеры и затягивают с переходом, а остальные следуют их примеру.
2. «Конспирологическая теория (в будущем)» для чебурнета IPv6 не нужно. Достаточно IPv4 местного, с головой.
Как-то не очень в это верится…
Вот тут, скорее всего, близкое к реальному состояние.
Про сотовых операторов молчу. Хотя еще сколько лет назад они кричали, что в6 идеален для роуминга данных.
Хотя там дом.ру есть, которого можно считать крупным.
А вот когда хотя бы один сотовый оператор запустит поддержку, вот тут сразу встанет вопрос апгрейда систем СОРМ и всяких Яровых. И будет это очень не бесплатно и не на добровольной основе.
Сотовые сидят на CGN и горя не знают. Всё довольно таки отлажено.
https://spb.mts.ru/personal/mobilnaya-svyaz/uslugi/mobilnaya-svyaz/dostup-k-ipv6/
Хотя бы один — давно есть...
Правда, кроме постов Билайна, написанных сторонними специалистами, ни Би, ни Мега по текстам ничем последнее время не блещут, чтобы показать, что им интересно внедрять новое, и не для галочки и крупных тендеров, а именно полноценно. Может, однажды поймут?
На то есть несколько причин. Первая — человеческий фактор. В мире не так много компаний, в которых технические специалисты могут убедить менеджмент начать переход на IPv6
Начнем с того, что ИТ-специалистов, понимающих IPv6, можно пересчитать по пальцам. Здесь имеется в виду не прочитавшие статью на вики и решившие, что знают, а именно имеющих понимание отличий протоколов IPv4 и IPv6, имеющих в голове роадмап перехода и хотя бы примерную карту разложенных граблей на этом пути.
Ну и продиктовать по телефону, с шумом и помехами, «пингани 192.168.0.123» гораздо проще, чем 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d, да и не запомнить наизусть десяток таких адресов!
«пингани 192.168.0.123» гораздо проще, чем 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d, да и не запомнить наизусть десяток таких адресов!
Если опустить вопрос про СОРМы. А у сотовиков, которые фактически тоже магистралы, ещё и вполне реальны упомянутые проблемы биллинга и всяких прочих сопутствующих систем.
Неспроста же службы, много общающиеся по телефону, типа ЖЭКов и пр., стараются делать почту типа 12345@mail.ru.
Proquint переводит бинарные данные в слова которые вы можете прочитать целиком. В данном случае ipv6 адрес 2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d это 5 слов: фабад-букум-даког-болил-дусух-момов-бивоб-линит
Скриптом переведёт обратно в HEX и получит исходный IPv6 адрес.
Можно просто использовать удобные адреса по началу. Вот например ipv6 DNS адреса гугла:
2001:4860:4860::8888
2001:4860:4860::8844
Если не учитывать нули "::" то те самые 64 бита.
Диктуем:
Две тысячи один.
Две группы. Сорок восемь. Шестьдесят.
Нули.
Чере восьмёрки.
Второй адрес оличается последней группой.
Восемь восемь четыре четыре.
А для того чтобы всем просто вылезти из под NATов 64 бит мало.
Пример:
- Адрес провайдера 4ре октета (x.x.x.x).
- Адрес в локальной сети провайдера (10.y.y.y) ещё 3 октета.
- Адрес в локальной сети пользователя (192.168.z.z) ещё 2 октета.
Итого: (x.x.x.x.y.y.y.z.z) 9 октетов или 72бита
Можно просто использовать удобные адреса по началу.
Ага, торгуйтесь с провайдером, чтобы он вам выдал именно красивые адреса (забесплатно, естественно). И учтите что вы не гугл. А ещё вам может потребоваться оперировать не своими адресами, чей владелец об этом вообще не думал.
А для того чтобы всем просто вылезти из под NATов 64 бит мало.
Ваше 4-3-2 (а лучше записать как 32-24-16) весьма спорно по каждому пункту. Что же касается домашних NAT'ов, то убирать их — эатея однозначно вредная, т.к. у неё есть куча минусов и только один, крайне сомнительный, плюс (прямой доступ к любому устройству из интернета по умолчанию, без настроек и без ведома владельца). Кому в самом деле нужен доступ — осознанно настроит свой роутер, а схема без него — куча плохо настроенных, да и просто дырявых устройств наружу в инет без прямого не то желания владельца.
Так что остаётся только 4-3 и ещё целый свободный байт.
Так провадеру самому будет удобно их обслуживать.
NAT не для этого был придуман. Для закрытия портов есть межсетево́й экра́н.
4-3 это если провайдер использует один локальный диапазон. В другом случае будет все 4-4.
Конечно можно придумывать дальше костыли. Зачем тогда нужен новый протокол который тут же упрётся в лимит? Можно дальше сидеть на ipv4 окружённым NAT'ами и не беспокоиться о том что кто то сможет напрямую не используя промежуточные сервера для преодоления NAT связаться с вами.
крайне сомнительный, плюс (прямой доступ к любому устройству из интернета по умолчанию, без настроек и без ведома владельца)Как же мы, бедные, выжили в эпоху диалапа да и вообще до повсеместного внедрения NAT?
До Win95 OSR2 был IP стек в основном в виде Trumpet Winsock. Внутренние сервисы систем не были доступны по IP.
Когда же пошла OSR2, практически сразу начались ping of death и прямой доступ к сервисам на портах 137-139, абсолютно незащищённых (или через пароль, который из-за ошибок в SMB подбирался посимвольно за пару секунд). Тогда массово вводились запреты на доступ извне на эти порты; я сам, работая тогда в провайдере, участвовал во введении соответствующих фильтров на кошках и на юниксовых раутерах.
Чуть позже к этому набору добавился порт 445, но и этого не хватало — пошли меры по тотальному ограничению возможности входящих соединений. Да, это был уже NAT на диалапе. Опционально, но был. Мы давали его через спец. меню входа, запуская таким юзерам slirp; а, например, Зенон (московский) сделал возможность задания суффикса логина для тех, кто хочет такой режим. Это уже 1998 или 1999.
Потом пошли 2000 и XP, с ними вначале было полегче, но к моменту появления SP2 для XP были данные, что непатченая XP (исходной редакции) живёт в открытом интернете до первого заражения вирусом — около 7 минут. Это были данные по США. Для нас (Украина, Россия) реальной цифрой было что-то около от 20 минут до часа, что тоже откровенно ничтожно — тот же SP2 выкачать за это время было просто нереально. Носили на дисках (CD, немного DVD), патчили, только тогда выходили…
сколько я тогда ловил у юзеров подобных дырявых систем — такое было впечатление, что кто-то сглазил на «таскать вам, не перетаскать»…
И NAT на разраставшихся тогда (середина 2000х) домосетках выглядел как такая себе манна небесная — «ура! мы защищены!» хотя тут же ловили вирус из письма, пришедшего через законное исходящее POP или IMAP соединение…
Так что как именно выжили — вопрос сложный. Тяжело выжили, с потерями. И это всё ещё не закончилось…
В эпоху диалапа — в какую именно?В ту самую, ужасы которой вы так красочно описываете.
В детройтах и выше достаточно было отвязать службы нетбиоса от сетевого интерфейса, чтобы всё это прекратилось — операция на десять секунд. Почему этого не хватало, вы не объяснили, а интересно было бы знать, т.к. teardrop был закрыт как раз с чикаги на детройт а других актуальных эксплойтов той поры я что-то не припомню.
Да, голая XP без сп ловила из инета сассер сразу же, это точно. Лечилось это, кстати, так же — отвязкой smb-шных потрохов от интерфейса. Но я также помню, что к тому моменту большинство рабочих станций было на вин2к, к которой уже вышло достаточно много сервиспаков и стала она вполне устойчивой и юзабельной. Очень быстро после этого сп2 для ХР стал встроенным и в ретейловых и в ОЕМных дистрах.
Так что как именно выжили — вопрос сложный. Тяжело выжили, с потерями. И это всё ещё не закончилось…Ну, дырок уровня sasser'а с виндами давно уже не случалось, всё больше локальные эксплойты мутятся. Сегодня, опять же, встроенный файрволл и антивирус, вот это всё. А неудобств, связанных с невозможностью p2p связи из коробки без всяких там туннелей и stun'ов, всё больше.
Потому что знание об этом было сильно ограниченным. Я узнал об таких регулировках уже через пару лет, от коллег из интеграторов — это при том, что вроде бы в провайдерах должны были такие вещи знать одними из первых. Возможно, работал технологический разрыв — люди, которые работали только с Unix, не представляли себе даже приблизительно, где такое правится на Windows. Были одни коллеги, у которых стояло всё провайдерское хозяйство на NT, позже на Win2000, но на вопрос «а как вы добились, что их не ломают»? следовал такой поток подробностей, что из нас никто не был в состоянии запомнить — потому что полная заточка (а не просто «отвязать от интерфейса») была сильно объёмнее.
Я готов заранее принять любые обвинения в невежестве и верхоглядстве с нашей стороны, но проблема в том, что это было тотальным свойством обстановки, и потоки пострадавших клиентов это только подтверждали.
> Но я также помню, что к тому моменту большинство рабочих станций было на вин2к, к которой уже вышло достаточно много сервиспаков и стала она вполне устойчивой и юзабельной.
Доля тех «рабочих станций» была ничтожной от всех пользователей, у которых любимый вариант был «ZverCD с базара плюс MDaemon оттуда же и пошли рассылать рекламу своих туров». Потому и первое, что говорили таким — как правильно настроить тот же MDaemon, чтобы он не был open relay, и это хватало, чтобы понизить градус до терпимого…
> А неудобств, связанных с невозможностью p2p связи из коробки без всяких там туннелей и stun'ов, всё больше.
Угу. Но это тоже постепенно лечится, хоть и медленно…
Спецучреждение ООН опубликовало план перехода на IPv6 — IT-сообщество им недовольно