Комментарии 42
Мне кажется, вы совершили ошибку, разрезав сеть на /120-е. Тут адреса нет смысла экономить, наоборот, необходимо составить такой план адресации, чтобы в будущем не возникло необходимости renumbering.
Полезный мануал от RIPE по составлению плана адресации:
www.ripe.net/training/material/IPv6-for-LIRs-Training-Course/IPv6_addr_plan4.pdf
Полезный мануал от RIPE по составлению плана адресации:
www.ripe.net/training/material/IPv6-for-LIRs-Training-Course/IPv6_addr_plan4.pdf
А, стоп. Вы встроили IPv4 адреса в IPv6. Имеет смысл, беру свои слова обратно.
Еще есть причина по которой нежелательно использовать /64 сеть — inconcepts.biz/~jsw/IPv6_NDP_Exhaustion.pdf (IPv6 NDP exhaustion attack) Но это применимо там где можно отказаться от SLAAC.
Все-таки нутром чуял, что такое огромное количество узлов в /64 сети к добру не приведет. А вот понять почему — знания подкачали. Спасибо.
Но если сеть на управляемых коммутаторах спасает tools.ietf.org/html/rfc6105 RA guard, грубо говоря аналог DHCP snooping.
Спасибо за ссылку. Очень интересный материал.
Большое спасибо за статью. Насколько я понял у Вас на компьютерах клиентов используются как IPv4, так и IPv6 адреса. Собственно возник вопрос, а возможно ли оставить на клиентах только IPv6 адреса и «натить» их в IPv4 роутера (в 192.0.2.2 в Вашем случае)?
Нет, сопрягать протоколы таким образом нельзя. Здесь нет «обратной совместимости».
Самое большее, что можно сделать в такой конфигурации — использовать HTTP-прокси, к которой будете обращаться по IPv6, а она уже в свою очередь — по IPv4 дальше, в том числе — методом CONNECT, т.е. вы получите tcp-тоннель до точки назначения, имеющий IPv4-адрес, хотя вы сами обращались по IPv6.
Самое большее, что можно сделать в такой конфигурации — использовать HTTP-прокси, к которой будете обращаться по IPv6, а она уже в свою очередь — по IPv4 дальше, в том числе — методом CONNECT, т.е. вы получите tcp-тоннель до точки назначения, имеющий IPv4-адрес, хотя вы сами обращались по IPv6.
Буквально так нельзя, однако, можно использовать NAT64+DNS64, чтобы дать доступ IPv6-only машинкам к IPv4-only хостам по IPv6. Выделяется подсеть /96 в которую один-в-один мапится адресное пространство IPv4, после чего DNS64 дописывает записи типа AAAA туда, где их нет.
Самое проблематичное при переходе на IPv6 адресацию — это перевод всей инфраструктуры компании на данную адресацию. Всевозможные приложения, сервисы, клиенты и т.д.
А почему вы не стали пользоваться технологией 6to4? Если есть статический белый адрес, вы «бесплатно» получаете v6-подсеть /48.
Я вот воспользовался — нигде регистрироваться не надо, просто ставим соответствующий драйвер (ну, делал я это в Linux, так что sit) и настраиваем тоннель. Инструкции — простейшие, к тому же, как выяснилось, в моём дистрибутиве всё уже сделано за меня — надо только сказать ему, от какого интерфейса взять собственно статический адрес ;)
Я вот воспользовался — нигде регистрироваться не надо, просто ставим соответствующий драйвер (ну, делал я это в Linux, так что sit) и настраиваем тоннель. Инструкции — простейшие, к тому же, как выяснилось, в моём дистрибутиве всё уже сделано за меня — надо только сказать ему, от какого интерфейса взять собственно статический адрес ;)
На последней конференции RIPE была очень интересная презентация
ripe62.ripe.net/presentations/31-2011-05-02-dualstack.pdf
Один из результатов исследования: 12-20% всех 6to4 соединений не устанавливаются. Почему? Потому что вы надеетесь на работоспособность сервера, стоящего неизвестно где, выбираемого далеко не оптимальным образом, управляемого неизвестно кем. Естественно, у него нет обязательств предоставлять вам качественный сервис.
ripe62.ripe.net/presentations/31-2011-05-02-dualstack.pdf
Один из результатов исследования: 12-20% всех 6to4 соединений не устанавливаются. Почему? Потому что вы надеетесь на работоспособность сервера, стоящего неизвестно где, выбираемого далеко не оптимальным образом, управляемого неизвестно кем. Естественно, у него нет обязательств предоставлять вам качественный сервис.
Видимо, имеется ввиду серверы с anycast-адресами 192.88.99.XXX?
Наверное, мне повезло, но проблем не наблюдал. Правда, с чего бы их наблюдать — ресурсов-то, которые я использую, в IPv6 нет :)
Кроме того, проблем не может возникнуть, пока связываются две 6to4-сети — они связываются помимо таких серверов. Тут проблема коннективити IPv4, давно решённая.
Наверное, мне повезло, но проблем не наблюдал. Правда, с чего бы их наблюдать — ресурсов-то, которые я использую, в IPv6 нет :)
Кроме того, проблем не может возникнуть, пока связываются две 6to4-сети — они связываются помимо таких серверов. Тут проблема коннективити IPv4, давно решённая.
Поэтому для таких целей надо использовать 6rd, где anycast сервер 6to4 делаете вы сами.
Через миллион лет на вас будет смотреть как ныне на какой-нибудь IBM или L3 и спрашивать: а зачем это вам аж /64 блок?
Мечты о переводе сети компании на прогрессивные технологии, как правило, обламываются об танковые ежи вроде сетевых принтеров, которым уже лет по 8, а так же самые суровые заграждения — клиент-банки.
Из 4-х программ подобного рода только у одного банка есть бета с поддержкой IPv6. Один зелёный вообще ответил «зачем это вам? разумеется, не будет никакого IPv6 по меньшей мере в ближайшие два года.»
Поэтому, пока что вся радость только дома.
Из 4-х программ подобного рода только у одного банка есть бета с поддержкой IPv6. Один зелёный вообще ответил «зачем это вам? разумеется, не будет никакого IPv6 по меньшей мере в ближайшие два года.»
Поэтому, пока что вся радость только дома.
Тупые принтеры отлично проксируются через CUPS. Т.е. мы печатаем (по IPv6) на CUPS, а он уже сам там сам разберётся, как с притером договориться.
Тоже не всё гладко. У старых принтеров бывают мега-дрова написанные бог-знает как, которые просто не работают через костыли. Они даже в XP SP3 не работают, надо включать режим совместимости для родной софтины управления печатью. Например, старые сетевые Xerox с двусторонней печатью и переплётом. Через костыль остаётся только односторонняя печать.
Для ipv6 надо не забыть про Firewall, и про машины нужна какая то защита.
Как можно меньше портов наружу.
Как можно меньше портов наружу.
слоупоки
черт, картинка не вставилась: www.kame.net/img/kame-anime-small.gif
вы чо такие дурачки минусующие? только на забре этиx статей про туннелброкеров было уже овер9000. неговоря уже про интернеты и про то что эти брокеры давно боян. нынче уже модно к магестралам ойпи6 линки иметь, например такое:
#sh ip bgp ipv6 unicast sum | i 20485
2A00:1E48: Ч: Н::2 4 20485 1258916 344040 2135823 0 0 15w0d 5888
ну и соответственно человеческе разданные ойпишнички у пользователей и 10/10 набранных баллав у разных ip6 тестеров Ж)
но все это имеет пока что чисто исследовательский характер. с начала года таблица ойпи6 хоть и вырасла на 2/3, но далеко не все занимаются этим ойпи6. даже без туннелброкеров длина аспаса весьма впечатляет, а уж с ними и подавно. еще долго придется ждать когда все операторы в интернетах между собой и иксами построят ойпи6 связность и наступить эквивалентное ойпи4 щастье по качеству.
а с вашей заметкой, только и смотреть как черепашка ластами двигает.
#sh ip bgp ipv6 unicast sum | i 20485
2A00:1E48: Ч: Н::2 4 20485 1258916 344040 2135823 0 0 15w0d 5888
ну и соответственно человеческе разданные ойпишнички у пользователей и 10/10 набранных баллав у разных ip6 тестеров Ж)
но все это имеет пока что чисто исследовательский характер. с начала года таблица ойпи6 хоть и вырасла на 2/3, но далеко не все занимаются этим ойпи6. даже без туннелброкеров длина аспаса весьма впечатляет, а уж с ними и подавно. еще долго придется ждать когда все операторы в интернетах между собой и иксами построят ойпи6 связность и наступить эквивалентное ойпи4 щастье по качеству.
а с вашей заметкой, только и смотреть как черепашка ластами двигает.
рано ещё этим заниматься
А почему использована именно статическая конфигурация туннелей? Можно ли было использовать 6to4 или isatap туннели? Или будут подводные камни?
На последней конференции RIPE показали результаты исследования, которые говорят, что автоматические туннели не предоставляют достаточный уровень качества обслуживания.
habrahabr.ru/blogs/internet/119968/?reply_to=3929078#comment_3929534
habrahabr.ru/blogs/internet/119968/?reply_to=3929078#comment_3929534
Очень зря Вы перенесли адресацию IPv4 на Вашу IPv6-сеть. Для того, чтобы не запоминать адреса, есть DNS. С другой стороны, при использовании сетей /120 у Вас пропадает возможность использовать кучу замечательных плюшек IPv6, среди которых есть, например, stateless автоконфигурация.
Подскажите, пожалуйста, как использовать автоконфигурацию и при оставить сеть разбитой на подсети, каждая в отдельном vlan-е, дабы избежать огромных широковещательных доменов?
Вам жалко /64? :) Почему не взять один /48 и не поделить его на /64 так, как душе угодно? В Вашем распоряжении подсетей будет 65536. Разве это мало?
Вы меня наверное неправильно поняли. Или я Вас.
При stateless автоконфигурации устройство получит адрес fe80::1/64. Другое устройство может получить fe80::2/64. При этом они будут считать, что находятся в одной сети, но на деле могут оказаться в разных vlan-ах.
Или же наоборот, один компьютер получит fe80:aaaa::1/64, а другой — fe80:bbbb::1/64. Устройства будут считать, что находятся в разных сетях, а в действительности будут в одной.
Также непонятным остается вопрос настройки маршрутизатора, так как у него на соответствующих интерфейсах должны автоматически настроиться адреса, которые будут шлюзами для соответствующих сетей.
Я был бы благодарен Вам, если бы Вы подкинули толковую ссылку, где описываются эти моменты подробно.
При stateless автоконфигурации устройство получит адрес fe80::1/64. Другое устройство может получить fe80::2/64. При этом они будут считать, что находятся в одной сети, но на деле могут оказаться в разных vlan-ах.
Или же наоборот, один компьютер получит fe80:aaaa::1/64, а другой — fe80:bbbb::1/64. Устройства будут считать, что находятся в разных сетях, а в действительности будут в одной.
Также непонятным остается вопрос настройки маршрутизатора, так как у него на соответствующих интерфейсах должны автоматически настроиться адреса, которые будут шлюзами для соответствующих сетей.
Я был бы благодарен Вам, если бы Вы подкинули толковую ссылку, где описываются эти моменты подробно.
Вот здесь, к сожалению, не подскажу, я с vlan знаком достаточно поверхностно, увы :( Так что могу только посоветовать гуглить.
Почитайте про IPv6 Router Advertisments.
Вы НА РОУТЕРЕ настраиваете, какому из локальных интерфейсом какую сеть раздавать. Хоть /64, хоть /63, какой надо, такой длины она и будет. Главное, чтобы меньше 64.
Компы в локалке, посредством router solicitation-сообщений находят какой-нибудь роутер и просят у него префикс. Потом ставят себе такие настройки: префикс — как выдал роутер, суффикс — основан на MAC-адресе интерфейса, которому назначается адрес, шлюз — роутер, который отозвался.
Вы НА РОУТЕРЕ настраиваете, какому из локальных интерфейсом какую сеть раздавать. Хоть /64, хоть /63, какой надо, такой длины она и будет. Главное, чтобы меньше 64.
Компы в локалке, посредством router solicitation-сообщений находят какой-нибудь роутер и просят у него префикс. Потом ставят себе такие настройки: префикс — как выдал роутер, суффикс — основан на MAC-адресе интерфейса, которому назначается адрес, шлюз — роутер, который отозвался.
fe80::/64 адреса это link-local адреса, stateless autoconfiguration это совсем другое. www.debian-administration.org/article/655/Running_IPv6_in_practice
почитайте про /120 вот здесь:
blog.ioshints.info/2010/11/ipv6-addressing-how-wrong-can-you-get.html
blog.ioshints.info/2010/11/ipv6-addressing-how-wrong-can-you-get.html
кому не интересно проходить квест IPv6 — (!!! спойлер !!!) посмотреть черепаху
Спасибо за полезную информацию. К сожалению, ещё очень малое количество провайдеров предоставляет IPv6
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Плавный переход сети компании на IPv6