LINUX.ORG.RU
ФорумAdmin

IPv6 в энтерпрайзе

 , ,


3

3

Есть у кого истории успешного внедрения IPv6 в существующих компаниях?

Предположим есть средний бизнес, около 30 офисов по стране и один центральный. Сейчас все работает на L2TP/IPsec+OSPF. Когда-нибудь придет время все это переводить на IPv6, ну допустим договоримся с ISP чтобы в региональные офисы по префиксу /64 выделили, в центральный /56 (там много подсетей). Но маршрутизаторах настраивается шифрование транзитного трафика транспортным IPsec, потребность в L2TP и OSPF отпадает (хотя, OSPF наверное в центральном останется).

А что дальше? Сейчас за пользовательскими компами закреплены IPv4 и есть фильтры по IP на маршрутизаторах и оконечных серверах. Получается, что SLAAC не подходит и надо будет IA_NA раздавать по DHCP. Но DHCPv6 не умеет раздавать def. route, типа надо использовать LinkLocal адрес маршрутизатора и вот тут мой мозг ломается, к каким проблемам это может привести? Из очевидно в трассировке не будет видно часть хопов (или в IPv6 стек умный и должен отвечать с Global адреса, а если их несколько, как он поймет с какого?)

Дальше, есть указание скрывать внешние IP при выходе в «дикий» интернет, т.к. IPv6 привязывается к юр. лицу префиксом, то надо скрывать целиком префикс...ну окей, покупаем VPN с /56, делаем до него туннельный IPsec и либо надеемся что vpn провайдер будет dhcpv6-pd в туннель пускать, либо статикой.

Окей у нас раздается на ПК конечного пользователя два адреса: один для внутренних сервисов (по dhcp), второй для внешних (по slaac). Все ПК на Windows (это от меня не зависит) т.к. там 1c и прочая порнография. Как оконечным приложениям объяснить какой адрес использовать в качестве src? И как убедиться, что трафик не «утечет» с неправильного.

А еще есть firewall...в схеме с NAT можно было сделать простой firewall, который lan-to-wan пропускает новые соедиения, а обратно только установленные, получается дополнительная линия защиты...IPv6 говорит нам о том, что между двумя хостами должна быть полная связанность, получается на маршрутизаторах надо разрешать входящие соединения wan-to-lan иначе часть сервисов может не заработать и остается надеяться на нормально работающий firewall на оконечных устройствах.

Это все пока просто размышления на фоне изучения IPv6 и я думаю что до реальной ситуации IPv6 не дойдет в виду консервативности руководства...

★★★★★

Последнее исправление: Kolins (всего исправлений: 2)
Ответ на: комментарий от Kolins

Я не знаю, почему насчёт nat-а так много негатива. Ну то есть понятно, что приложения в server-mode отваливаются, но это уже сколько лет решено проксями для протоколов более высокого уровня. Адресовать человека даже по уникальному белому ипшнику всё равно проблематично(в случае смены подсети этим человеком)

DllMain
()
Ответ на: комментарий от DllMain

Адресовать человека даже по уникальному белому ипшнику всё равно проблематично

Это позиция компании, что белые адреса (оформленные на юр. лицо) светиться не должны.

Kolins ★★★★★
() автор топика
Ответ на: комментарий от DllMain

Я не знаю, почему насчёт nat-а так много негатива.

Большая нагрузка, записи conntrack как бэ «не добавляют снижения» нагрузки, в отличии от простого роутинга.
Но с учетом указанного в топике, что сейчас робит на v4, разницы не будет и на v6.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Да там не только conntrack, надо в заголовок лезть и менять адрес+порт+чексуммы, а если ALG включен, то и транспортные заголовки читать...так что ненависть не на пустом месте.

Kolins ★★★★★
() автор топика
Ответ на: комментарий от anc

Ну и кстати с v6 conntrack никуда не уйдет по крайней мере для stateful firewall... но ему легче должно стать с flow label

Kolins ★★★★★
() автор топика
Ответ на: комментарий от DllMain

Минусы v6 имхо только ленивый не обсуждает, уже много лет. А-ля нефиг моей микроволновке в инете делать.

anc ★★★★★
()
Ответ на: комментарий от DllMain

Ну может станет как v4, когда поймут что адреса могут закончится отойдут от идеи EUI-64 и /64 на подсеть и будут более вменяемые, типа /112 выдавать...2^16 адресов для конечной квартиры или офиса - это более чем дофига.

Kolins ★★★★★
() автор топика
Ответ на: комментарий от Kolins

Кто-то тут из хэйтеров v6 писал, что когда внедрят v6 по всей планете уже будет разработан v10. Судя по «скорости» внедрения v6 у провов нам до него ещё очень далеко. Так что имхо это правильное высказывание.

anc ★★★★★
()
Ответ на: комментарий от anc

Не знаю, если отбросить фигню вида «адресов хватит всем и ещё останется» и никакую скорость миграции, v6 вполне хорош. Тот же v4 с расширением адресов и некоторыми небольшими доработками

DllMain
()
Ответ на: комментарий от DllMain

Ну если посчитать, то таких подсетей около 6млр вроде выйдет (это не вычитая мультикаст и прочие служебные), на каждого жителя по подсети не получится, но всеравно дофига и думаю мы до кризиса адресов v6 не доживем даже с /64.

Kolins ★★★★★
() автор топика
Ответ на: комментарий от DllMain

/64

Давно пилиться. Но все ещё есть проблемы по отзывам. У меня дома туннельный /64 распилин, на современных дистрах и устройствах уже норм робит. Ранее были проблемы, здесь создавал тему.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от Kolins

корона - Ничего, нас скоро всех «по сокращают» и опять хватит v4 на всю планету :)

anc ★★★★★
()
Ответ на: комментарий от anc

Этот тред намекает, что проблемы не у провов, а у клиентов. Прову глубоко фиолетово что там за байты скачут по сети, главное чтобы памяти хватало у маршрутизаторов

cobold ★★★★★
()
Ответ на: комментарий от DllMain

вангую, что v6 тоже закончатся

Вы это всерьез утверждаете? Число адресов IPv6 - 3.4*10^37 - на 14(!) порядков больше числа звезд в видимой части Вселенной.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Конечно всерьёз. Проверить, правда, мы не успеем.

P. S.: а при чём здесь соотношение кол-ва адресов и кол-ва звёзд/моекул/etc? Это же ни о чём не говорит

DllMain
()
Ответ на: комментарий от DllMain

а при чём здесь соотношение кол-ва адресов и кол-ва звёзд/моекул/etc? Это же ни о чём не говорит

Как не говорит? Адреса назначаются неким физ. объектам, которые состоят из тех самых молекул. Очевидно, что число объектов не может превышать числа их составляющих. Отсюда следует простой вывод о неисчерпаемости адресов IPv6 в обозримом будущем (несколько десятков поколений людей).

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

Адреса назначаются неким физ. объектам

Не только физическим, но и виртуальным. Число виртуальных объектов неограничено(кол-вом адресов разве что). Ну и об утечках забывать не стоит. Я не знаю, насколько сильно текут адреса, но то, что они текут - это точно. Как и любой другой ресурс без жёсткого контроля

DllMain
()
Ответ на: комментарий от Serge10

Адреса назначаются неким физ. объектам, которые состоят из тех самых молекул. Очевидно, что число объектов не может превышать числа их составляющих

Ах, да - атомы, протоны, нейтроны, электроны, кварки и прочая нечисть не учтена )

DllMain
()
Ответ на: комментарий от DllMain

Не только физическим, но и виртуальным.

Хорошо, согласен. Но насколько виртуальных объектов больше физических? Пусть даже разница будет в 2-3 порядка, принципиально это ничего не изменит.

Ну и об утечках забывать не стоит. Я не знаю, насколько сильно текут адреса, но то, что они текут - это точно. Как и любой другой ресурс без жёсткого контроля

Не понял, что Вы имеете ввиду под утечкой адресов.

Serge10 ★★★★★
()
Ответ на: комментарий от DllMain

Ну и об утечках забывать не стоит. Я не знаю, насколько сильно текут адреса, но то, что они текут - это точно.

Не, ну если верить той методички от ripe, то адреса надо раздавать префиксами минимум по /64 и того у нас уже не 2^128 адресов, а 2^64 префиксов (минус технические)...и предлагается раздавать сразу по /48 или /56 дабы на будущее расширение сети хватило, так что идея об исчерпании ipv6 не лишена смысла, только мы врядли это все застанем.

Kolins ★★★★★
() автор топика
Ответ на: комментарий от Serge10

Предполагаю что DllMain подразумевает что может оказаться приблизительно так же как и с V4. Начнем с, например у вас дома всего одно устройство но вы получаете /64 вам нужен всего один адрес, но получаете большую подсеть. Смотрим на пример в топике, ТС предполагает получить /56, сомневаюсь что у него такое кол-во устройств. Кто-то из провов, хоть и запросу выделяет и /48. Далее крупные корпорации понаберут себе кучу сетей, на всякий случай, это как раз про v4 когда «он все ещё заканчивается» а у корпораций куча нафиг не используемых сетей.

anc ★★★★★
()
Ответ на: комментарий от Serge10

насколько виртуальных объектов больше физических?

Как заблагорассудится тем, кто будет это решать. Кто ж знает

что Вы имеете ввиду под утечкой адресов

Конкретную ситуацию я здесь не обрисую, ибо не админ, не провайдер и т. д. Абстракт: кто-то взял дофига адресов, большая часть из которых никогда не используется. Вот эти адреса и утекли

DllMain
()
Ответ на: комментарий от Kolins

только мы врядли это все застанем

Ну с этим я не спорю. Я из общих соображений предполагаю - ресурса много не бывает, будь то память, процессорное время, трупут или адреса. Если не контролировать, это всё заканчивается, сколь много не было бы изначально

DllMain
()
Ответ на: комментарий от anc

может оказаться приблизительно так же как и с V4

Кстати, многие, вероятно, знают какие были изначально оценки по v4 - итого всего через 20 с небольшим лет уже наметилась проблема исчерпания

DllMain
()
Ответ на: комментарий от DllMain

Кстати, многие, вероятно, знают какие были изначально оценки по v4 - итого всего через 20 с небольшим лет уже наметилась проблема исчерпания

Кстати по годам вы практически угадали, не то что бы жестко «наметилась проблема» но за сетку стали просить обоснование, писал от балды, к тексту не прикапывались, но звоночек возник уже где-то через 18-20 лет. А раньше просто попросил, дали, без всяких обоснований.

anc ★★★★★
()
Ответ на: комментарий от DllMain

кто-то взял дофига адресов, большая часть из которых никогда не используется.

В случае IPv4 такие адреса принудительно возвращались RIPE и повторно раздавались нуждающимся, насколько я в курсе.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

адреса _принудительно_ возвращались

Здесь хотелось бы поподробнее, особенно касательно процедуры обнаружения «лишних» адресов

DllMain
()
Ответ на: комментарий от DllMain

Здесь хотелось бы поподробнее, особенно касательно процедуры обнаружения «лишних» адресов

Я тоже не сотрудник компании-LIRa, поэтому мог ориентироваться только на сообщения в Сети. Вот, например, цитата из статьи:

Когда в MIT выявили 14 миллионов внешних неиспользуемых IP-адресов, то больше половины из них 
решили перепродать действительно нуждающимся компаниями.

Serge10 ★★★★★
()
Ответ на: комментарий от DllMain

Хм, я так понял, они про свои адреса вспомнили и отдали их.

Возможно. Адреса - это актив. Держать их просто так довольно глупо, если есть свободные, выгоднее продать.

Это я к тому, что говорить о потерянных адресах - все равно, что о потерянных деньгах рассуждать. Да, наверное, одиночные случаи потери бывают. Но не в тех масштабах, чтобы серьезно повлиять на общую ситуацию.

Serge10 ★★★★★
()
Ответ на: комментарий от Serge10

если есть свободные, выгоднее продать

Цена растёт со временем, скорее всего. Поэтому держать до нахождения лучших капиталовложений

Адреса - это актив. Держать их просто так довольно глупо

Не, так это не работает - люди не рациональны, и им без разницы, что разумно, а что нет. Тут по форуму где-то бегают адепты свободного рынка, и тоже обосновывают работоспособность разумными действиями людей. Разумеется, этот самый свободный рынок не работает по тем же причинам

[написано не политоты ради, но примера для - заход уж больно знакомый был]

DllMain
()
Ответ на: комментарий от DllMain

Поддержу и дополню. Вот соседняя тема в части вложений в «виртуальность». Про продажу имени bin.com «всего-то» $339,500.00 за имя. При том что вложений 10 бакинских в год.

anc ★★★★★
()
Ответ на: комментарий от anc

Далее крупные корпорации понаберут себе кучу сетей, на всякий случай, это как раз про v4 когда «он все ещё заканчивается» а у корпораций куча нафиг не используемых сетей.

Ну так и разрешаться данная ситуация будет точно так же, как и в случае IPv4 - по мере необходимости неиспользуемые сети будут передаваться нуждающимся. Я, кстати, до сих пор не вижу существенного роста цен на IPv4-адреса, несмотря на многолетние разговоры об их исчерпании. Возможно, потому, что мне, как конечному пользователю, без надобности сети выше /24.

Это я к тому, что утечка адресов, о которой говорит DllMain, не является необратимой, со временем такие адреса вернутся в общий оборот.

Serge10 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.