Кстати, про Ipv6
Sep. 26th, 2012 04:33 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
iskatelТут Furry в очередной раз вспомнила про Ipv6, переходить на который она (видимо, в рамках корпоративной солидарности) призывает как можно скорее. Вынесу из комментов Далее будет неинтересно всем, кроме коллег и заинтересованных.
Давайте для начала уточним, что тут есть несколько точек зрения. С кажой из них ipv6 выглядит по-разному, но везде он выглядит плохо. Это неизбежное зло, к сожалению, ибо времени на внедрение нормальной адресации уже нет. Но бороться с последствиями его внедрения (и в целом с быстрым внедрением) можно.
Итак, точки зрения.
Начнём сверху.
Крупные операторы (не розница). Дорого, но и так и эдак на переоборудование и внедрение дают миллиарды - так внедрим Ipv6. Подробнейший биллинговый софт тут не особо критичен, не считают тут побайтно.
Операторы, работающие с мелкими, конечными клиентами и мелкие провайдеры в целом.
Для многих на сегодня это - полный приехали.
Они лишь недавно купили "аатличные железяки от Цыски" , а теперь выясняется, что в Ipv6 с full table на железках типа 76хх 65хх [B,C]XL прийдётся попрощаться.
Но это фигня, ибо с Ipv6 не умеет работать бОльшая часть используемого биллингового софта.
А апгрейд софта по деньгам покруче, чем замена 76хх на новые Джуниперы .
Чем дальше они оттянут внедрение Ipv6, тем дешевле и менее болезненно для бизнеса это будет.
Итого - бизнес заинтересован в том , чтобы оттянуть как можно дальше Ipv6.
Производители биллингового софта. О, для них тут золотое дно. Переписывать немного, меняется аж одно поле и связанные с ним расчёты, а деньги сдирают с клиентов... ну, за переход к 4х значному обозначению года сдирали много больше, но все равно дофига.
Датацентры.
Тут ничего не поделаешь, с большим скрипом, но внедряют.
Клиенты датацентров (разные). А им-то что, они почти всегда железо арендуют. 90% проблем - на головы сотрудников ДЦ. Они переконфигурируют свои сервера (да, это время и деньги, но несравнимо мЕньшие, чем в своей корпоративной сети), а ежели кто по сей день арендует какой-то древний pix, так просто сменит и всё. Аренда же.
Корпоративные клиенты.
Тут Ipv6 - одно сплошное зло. Директор с недоумением глядит на докладные, где предлагается закупить новое оборудование. Рушатся известные типовому админу модели безопасности. В каком наркотическом бреду , какие сумасшедшие придумали, что каждый комп и каждое устройство должны иметь свой внешний адрес ?
Они ж одно дырявее другого, и если дырки в ключевых компонентах ОСей ещё как-то фиксят, то вот сетевые принтеры и прочие ip-кофеварки не фиксит почти никто.
Можно, конечно, написать новые конфиги для файрволлов, перекроить всю сеть, вспомнить про v6-to-v4, v6 nat, сменить все старые железки на новые и тд. Всё это - деньги и время очень недешевых специалистов, это работы на сети (поди объясни руководству, зачем..)
Через несколько лет будет дешевле апгрейд железа, да и софта тоже.
Домашние клиенты.
"И зачем мне этот ваш ipv6 ?" Спору нет, смена домашнего файрволла недорога. Но это тоже деньги, а почти все старые коробки - только v4. Масса программ, так или иначе работающих с ip-адресами, либо глючит при виде v6 адреса, либо ... ну, вплоть до крэша.
Вообще весело , конечно - протокол разработан в 90е, и спустя почти 20 лет проблем с купленными несколько лет назад (!) железяками и софтом выше крыши.
Общий вывод. Подавляющее большинство клиентов, от домашних до корпов, мелкие операторы заинтересованы в том, чтобы оттянуть внедрение ipv6 было как можно дальше.
update.
Граждане, ратующие за Ipv6, ознакомьтесь.
Comparison of IPv6 support in routers
Manufacturer Model Native IPv6 support? Notes
D-Link DIR-300 No (масовая модель)
D-Link DIR-615 Yes IPv6 supported by hardware revisions C1 and E. Earlier revisions and revision D do not support IPv6. (С и D ревизии - основные, продавались у нас массово, да и сейчас тоже есть. )
D-Link DIR-632 Yes
D-Link DIR-655 Yes IPv6 supported by hardware revision B. Earlier revisions do not support IPv6.
D-Link DIR-685 No
D-Link DIR-825 Yes IPv6 supported by hardware revision B. Earlier revisions do not support IPv6. IPV6 traffic unfirewalled.
825 - топовая модель, дорогая и мощная, гигабитные порты, 680 мгц процессор, 64М памяти.
Но полноценной поддержки нет даже тут. Правда, в другом месте написали, что есть, но не написали, есть ли полноценный ipv6 firewall.
Конечно, можно поставить openWRT / Tomato (и поиметь много возни с этим), что решит вопрос. Не везде, кстати, можно поставить (и не везде после этого будет нормальный wifi ), ну и типовой юзверь ставить не может и не будет.
Он просто пошлёт вас с вашим Ipv6 (и соотв. с необходимостью покупать новый роутер, причем качество реализованной там поддержки Ipv6 непонятно, в обзорах пока что практически не уделяют внимания этому вопросу, те. есть отличные шансы купить барахло, где ipv6 файрволла не будет) и будет прав.
из рассылки
I am with you on this. With the death of NAT having a stateful firewall on your internet connection is even more important than before. (Not that NAT ever provided any actual security anyway.) I would be pretty surprised if any of the major consumer router vendors released an IPv6 capable router without some kinda of built in stateful IPv6 firewall.
Перевожу - тк. придурки , разрабатывавшие ipv6, сначала выкинули из спецификации NAT, а потом вставили обратно (но урезаннный) , то файрволл, причем обязательно с поддержкой учёта состояния сессий, является жизненно необходимым. А его в обчень многих формально-поддерживающих ipv6 домашних роутерах нету.
Давайте для начала уточним, что тут есть несколько точек зрения. С кажой из них ipv6 выглядит по-разному, но везде он выглядит плохо. Это неизбежное зло, к сожалению, ибо времени на внедрение нормальной адресации уже нет. Но бороться с последствиями его внедрения (и в целом с быстрым внедрением) можно.
Итак, точки зрения.
Начнём сверху.
Крупные операторы (не розница). Дорого, но и так и эдак на переоборудование и внедрение дают миллиарды - так внедрим Ipv6. Подробнейший биллинговый софт тут не особо критичен, не считают тут побайтно.
Операторы, работающие с мелкими, конечными клиентами и мелкие провайдеры в целом.
Для многих на сегодня это - полный приехали.
Они лишь недавно купили "аатличные железяки от Цыски" , а теперь выясняется, что в Ipv6 с full table на железках типа 76хх 65хх [B,C]XL прийдётся попрощаться.
Но это фигня, ибо с Ipv6 не умеет работать бОльшая часть используемого биллингового софта.
А апгрейд софта по деньгам покруче, чем замена 76хх на новые Джуниперы .
Чем дальше они оттянут внедрение Ipv6, тем дешевле и менее болезненно для бизнеса это будет.
Итого - бизнес заинтересован в том , чтобы оттянуть как можно дальше Ipv6.
Производители биллингового софта. О, для них тут золотое дно. Переписывать немного, меняется аж одно поле и связанные с ним расчёты, а деньги сдирают с клиентов... ну, за переход к 4х значному обозначению года сдирали много больше, но все равно дофига.
Датацентры.
Тут ничего не поделаешь, с большим скрипом, но внедряют.
Клиенты датацентров (разные). А им-то что, они почти всегда железо арендуют. 90% проблем - на головы сотрудников ДЦ. Они переконфигурируют свои сервера (да, это время и деньги, но несравнимо мЕньшие, чем в своей корпоративной сети), а ежели кто по сей день арендует какой-то древний pix, так просто сменит и всё. Аренда же.
Корпоративные клиенты.
Тут Ipv6 - одно сплошное зло. Директор с недоумением глядит на докладные, где предлагается закупить новое оборудование. Рушатся известные типовому админу модели безопасности. В каком наркотическом бреду , какие сумасшедшие придумали, что каждый комп и каждое устройство должны иметь свой внешний адрес ?
Они ж одно дырявее другого, и если дырки в ключевых компонентах ОСей ещё как-то фиксят, то вот сетевые принтеры и прочие ip-кофеварки не фиксит почти никто.
Можно, конечно, написать новые конфиги для файрволлов, перекроить всю сеть, вспомнить про v6-to-v4, v6 nat, сменить все старые железки на новые и тд. Всё это - деньги и время очень недешевых специалистов, это работы на сети (поди объясни руководству, зачем..)
Через несколько лет будет дешевле апгрейд железа, да и софта тоже.
Домашние клиенты.
"И зачем мне этот ваш ipv6 ?" Спору нет, смена домашнего файрволла недорога. Но это тоже деньги, а почти все старые коробки - только v4. Масса программ, так или иначе работающих с ip-адресами, либо глючит при виде v6 адреса, либо ... ну, вплоть до крэша.
Вообще весело , конечно - протокол разработан в 90е, и спустя почти 20 лет проблем с купленными несколько лет назад (!) железяками и софтом выше крыши.
Общий вывод. Подавляющее большинство клиентов, от домашних до корпов, мелкие операторы заинтересованы в том, чтобы оттянуть внедрение ipv6 было как можно дальше.
update.
Граждане, ратующие за Ipv6, ознакомьтесь.
Comparison of IPv6 support in routers
Manufacturer Model Native IPv6 support? Notes
D-Link DIR-300 No (масовая модель)
D-Link DIR-615 Yes IPv6 supported by hardware revisions C1 and E. Earlier revisions and revision D do not support IPv6. (С и D ревизии - основные, продавались у нас массово, да и сейчас тоже есть. )
D-Link DIR-632 Yes
D-Link DIR-655 Yes IPv6 supported by hardware revision B. Earlier revisions do not support IPv6.
D-Link DIR-685 No
D-Link DIR-825 Yes IPv6 supported by hardware revision B. Earlier revisions do not support IPv6. IPV6 traffic unfirewalled.
825 - топовая модель, дорогая и мощная, гигабитные порты, 680 мгц процессор, 64М памяти.
Но полноценной поддержки нет даже тут. Правда, в другом месте написали, что есть, но не написали, есть ли полноценный ipv6 firewall.
Конечно, можно поставить openWRT / Tomato (и поиметь много возни с этим), что решит вопрос. Не везде, кстати, можно поставить (и не везде после этого будет нормальный wifi ), ну и типовой юзверь ставить не может и не будет.
Он просто пошлёт вас с вашим Ipv6 (и соотв. с необходимостью покупать новый роутер, причем качество реализованной там поддержки Ipv6 непонятно, в обзорах пока что практически не уделяют внимания этому вопросу, те. есть отличные шансы купить барахло, где ipv6 файрволла не будет) и будет прав.
из рассылки
I am with you on this. With the death of NAT having a stateful firewall on your internet connection is even more important than before. (Not that NAT ever provided any actual security anyway.) I would be pretty surprised if any of the major consumer router vendors released an IPv6 capable router without some kinda of built in stateful IPv6 firewall.
Перевожу - тк. придурки , разрабатывавшие ipv6, сначала выкинули из спецификации NAT, а потом вставили обратно (но урезаннный) , то файрволл, причем обязательно с поддержкой учёта состояния сессий, является жизненно необходимым. А его в обчень многих формально-поддерживающих ipv6 домашних роутерах нету.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2012-09-26 04:58 pm (UTC)1) раскрытие топологии сети, если мы не используем NAT
2) общение с внешним миром непосредственно cамим девайсом с его (чаще всего) сверхдырявым ip-кодом в прошивке.
3) существенно более сложный конфиг файрволла.
это не 2 и не 3 строчки, тк. какие-то входящие нам все равно нужно разрешать, и не всегда только established.
no subject
Date: 2012-10-21 09:19 am (UTC)Даже в случае с внешними адресами все стало НАМНОГО проще. Можно просто решить, что адреса, у которых установлен определенный бит не предназначен для рутинга в мир. Можно решить это даже путем flow label.
IPV6 дает взамен NAT много других вкусняшек.
Из реальных проблем есть следующие:
Необходимость изменения устройств/топологии/подобного. Да. Проблема есть.
Проблемы связанные с атаками на перепролнение NDP.
Неготовоность большого количества софта.
В остальном вкусняшек больше. Такие как отсутсвие фрагментации, ненужность NAT, возможность отказоустойчивых сетей (два рутера с RA. Если один "улетит" то второй поможет).
Да и таблица рутинга становится меньше. На порядки.
no subject
Date: 2012-10-21 10:30 am (UTC)Это очень, очень мягкая формулировка.
Огромное количество не только софта, но и железа не просто не готово, оно в принципе не поддерживает Ipv6 и уже никогда (для сотен миллионов железок) не будет его поддерживать.
Идиоты, создававшие убожество по имени ipv6, не позаботились о механизмах сетевой трансляции v6-> v4, сделав лишь тоннели для проброса трафика между V6-сегментами через V4-мир.
>>Да и таблица рутинга становится меньше. На порядки.
Это сегодня она меньше. А когда все перейдут на V6, она будет больше. И железки (те же циски 65хх и 76хх), аппаратно заточенные под v4 и имеющие поддержку V6 для галочки и на первое время, уйдут в утиль - потом в XL модули просто не влезет full table.
>> Можно просто решить, что адреса, у которых установлен определенный бит не предназначен для рутинга в мир. Можно решить это даже путем flow label.
Много чего можно, только вот для этого нужен мощный файрволл, который всё это поддерживает, и высококвалифицированный админ, который это настроит.
По факту на сегодня многие домашние/small office железки, для которых как-бы заявлен ipv6 ready / firewall, на самом деле не имеют stateful ipv6 firewall.
Какие к черту метки, оно сессии не умеет отслеживать.
===
Всего-то вместо коробки за полтинник-сотню предлагается купить младший Джунипер или аналоги.
no subject
Date: 2012-10-21 10:47 am (UTC)Зато то, что нет "обратного преобразования v6->v4 меня ОЧЕНЬ радует. Ибо огормное количество дырок и багов возникает из-за необходимости поддерживать старую и часто убогую архитектуру. Стоить отпустить ipv4 c миром. Он хорош, но свое отслужил.
> Это сегодня она меньше. А когда все перейдут на V6, она будет больше.
С чего бы? В основном 1 провайдер - 1 блок. Сейчас 1 провайдер - от двух до сотен блоков. На уровне FULL VIEW фильтровать все, что меньше /32
Внутри сети - строгая йерархия и звезда. При правильном проектировании таблицы станут меньше в разы.
С чем еще согласен с вами, что админ должен стать умней, а юзер может стать глупей.
no subject
Date: 2012-10-21 10:57 am (UTC)А добрые советчики, призывающие отпустить ipv4 c миром, не хотят это профинансировать ? для всего мира.
Сеть - она не ради сети как таковой, она строится и обслуживается ради того, чтобы в ней работали железки, с которыми работают люди.
И пока в ней есть железо и сервисы, требующие V4, прийдётся держать полноценную V4 сеть.
кстати, зачем тогда V6 , а ? И не стоит ли пришедшего с планом внедрения сотрудника ИТ-отдела немедленно спустить на землю, а план - перечеркнуть ?
Все эти лозунги "давайте быстро всё перестроим на V6" находятся в прямом противоречии с реальностью, и это одна из причин, по которой уже 2е десятилетие идёт болтовня про v6, а на практике он внедряется крайне медленно и плохо.
>>В основном 1 провайдер - 1 блок. Сейчас 1 провайдер - от двух до сотен блоков.
В теории с учетом огромного количества адресов - да, сразу будут получать блок, которого хватит навсегда.
На практике, уверен, будет иначе.
>>С чем еще согласен с вами, что админ должен стать умней, а юзер может стать глупей
Я этого не говорил, не надо.
Я говорю, что от админа требуются бОльшие усилия и затраты времени, + знания и понимание, во многих случаях - значительно бОльшие.
Многие компании (а рынок мелких и средних компаний я неплохо знаю) просто не захотят (это в ближайшем будущем. Про настоящее я даже не говорю - и так ясно) оплачивать построение хорошо спроектированной и защищенной V6 сети.
no subject
Date: 2012-10-21 11:06 am (UTC)К чему я хочу подвести - IPv6 имеет гораздо больше возможностей для более безопасной сети. При в данный момент он стоит денег и времени.
В любом случае ipv6 придет. Для чего и почему - можно спорить, но уже начинает припирать.