Кстати, про Ipv6
Sep. 26th, 2012 04:33 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
iskatelТут Furry в очередной раз вспомнила про Ipv6, переходить на который она (видимо, в рамках корпоративной солидарности) призывает как можно скорее. Вынесу из комментов Далее будет неинтересно всем, кроме коллег и заинтересованных.
Давайте для начала уточним, что тут есть несколько точек зрения. С кажой из них ipv6 выглядит по-разному, но везде он выглядит плохо. Это неизбежное зло, к сожалению, ибо времени на внедрение нормальной адресации уже нет. Но бороться с последствиями его внедрения (и в целом с быстрым внедрением) можно.
Итак, точки зрения.
Начнём сверху.
Крупные операторы (не розница). Дорого, но и так и эдак на переоборудование и внедрение дают миллиарды - так внедрим Ipv6. Подробнейший биллинговый софт тут не особо критичен, не считают тут побайтно.
Операторы, работающие с мелкими, конечными клиентами и мелкие провайдеры в целом.
Для многих на сегодня это - полный приехали.
Они лишь недавно купили "аатличные железяки от Цыски" , а теперь выясняется, что в Ipv6 с full table на железках типа 76хх 65хх [B,C]XL прийдётся попрощаться.
Но это фигня, ибо с Ipv6 не умеет работать бОльшая часть используемого биллингового софта.
А апгрейд софта по деньгам покруче, чем замена 76хх на новые Джуниперы .
Чем дальше они оттянут внедрение Ipv6, тем дешевле и менее болезненно для бизнеса это будет.
Итого - бизнес заинтересован в том , чтобы оттянуть как можно дальше Ipv6.
Производители биллингового софта. О, для них тут золотое дно. Переписывать немного, меняется аж одно поле и связанные с ним расчёты, а деньги сдирают с клиентов... ну, за переход к 4х значному обозначению года сдирали много больше, но все равно дофига.
Датацентры.
Тут ничего не поделаешь, с большим скрипом, но внедряют.
Клиенты датацентров (разные). А им-то что, они почти всегда железо арендуют. 90% проблем - на головы сотрудников ДЦ. Они переконфигурируют свои сервера (да, это время и деньги, но несравнимо мЕньшие, чем в своей корпоративной сети), а ежели кто по сей день арендует какой-то древний pix, так просто сменит и всё. Аренда же.
Корпоративные клиенты.
Тут Ipv6 - одно сплошное зло. Директор с недоумением глядит на докладные, где предлагается закупить новое оборудование. Рушатся известные типовому админу модели безопасности. В каком наркотическом бреду , какие сумасшедшие придумали, что каждый комп и каждое устройство должны иметь свой внешний адрес ?
Они ж одно дырявее другого, и если дырки в ключевых компонентах ОСей ещё как-то фиксят, то вот сетевые принтеры и прочие ip-кофеварки не фиксит почти никто.
Можно, конечно, написать новые конфиги для файрволлов, перекроить всю сеть, вспомнить про v6-to-v4, v6 nat, сменить все старые железки на новые и тд. Всё это - деньги и время очень недешевых специалистов, это работы на сети (поди объясни руководству, зачем..)
Через несколько лет будет дешевле апгрейд железа, да и софта тоже.
Домашние клиенты.
"И зачем мне этот ваш ipv6 ?" Спору нет, смена домашнего файрволла недорога. Но это тоже деньги, а почти все старые коробки - только v4. Масса программ, так или иначе работающих с ip-адресами, либо глючит при виде v6 адреса, либо ... ну, вплоть до крэша.
Вообще весело , конечно - протокол разработан в 90е, и спустя почти 20 лет проблем с купленными несколько лет назад (!) железяками и софтом выше крыши.
Общий вывод. Подавляющее большинство клиентов, от домашних до корпов, мелкие операторы заинтересованы в том, чтобы оттянуть внедрение ipv6 было как можно дальше.
update.
Граждане, ратующие за Ipv6, ознакомьтесь.
Comparison of IPv6 support in routers
Manufacturer Model Native IPv6 support? Notes
D-Link DIR-300 No (масовая модель)
D-Link DIR-615 Yes IPv6 supported by hardware revisions C1 and E. Earlier revisions and revision D do not support IPv6. (С и D ревизии - основные, продавались у нас массово, да и сейчас тоже есть. )
D-Link DIR-632 Yes
D-Link DIR-655 Yes IPv6 supported by hardware revision B. Earlier revisions do not support IPv6.
D-Link DIR-685 No
D-Link DIR-825 Yes IPv6 supported by hardware revision B. Earlier revisions do not support IPv6. IPV6 traffic unfirewalled.
825 - топовая модель, дорогая и мощная, гигабитные порты, 680 мгц процессор, 64М памяти.
Но полноценной поддержки нет даже тут. Правда, в другом месте написали, что есть, но не написали, есть ли полноценный ipv6 firewall.
Конечно, можно поставить openWRT / Tomato (и поиметь много возни с этим), что решит вопрос. Не везде, кстати, можно поставить (и не везде после этого будет нормальный wifi ), ну и типовой юзверь ставить не может и не будет.
Он просто пошлёт вас с вашим Ipv6 (и соотв. с необходимостью покупать новый роутер, причем качество реализованной там поддержки Ipv6 непонятно, в обзорах пока что практически не уделяют внимания этому вопросу, те. есть отличные шансы купить барахло, где ipv6 файрволла не будет) и будет прав.
из рассылки
I am with you on this. With the death of NAT having a stateful firewall on your internet connection is even more important than before. (Not that NAT ever provided any actual security anyway.) I would be pretty surprised if any of the major consumer router vendors released an IPv6 capable router without some kinda of built in stateful IPv6 firewall.
Перевожу - тк. придурки , разрабатывавшие ipv6, сначала выкинули из спецификации NAT, а потом вставили обратно (но урезаннный) , то файрволл, причем обязательно с поддержкой учёта состояния сессий, является жизненно необходимым. А его в обчень многих формально-поддерживающих ipv6 домашних роутерах нету.
Давайте для начала уточним, что тут есть несколько точек зрения. С кажой из них ipv6 выглядит по-разному, но везде он выглядит плохо. Это неизбежное зло, к сожалению, ибо времени на внедрение нормальной адресации уже нет. Но бороться с последствиями его внедрения (и в целом с быстрым внедрением) можно.
Итак, точки зрения.
Начнём сверху.
Крупные операторы (не розница). Дорого, но и так и эдак на переоборудование и внедрение дают миллиарды - так внедрим Ipv6. Подробнейший биллинговый софт тут не особо критичен, не считают тут побайтно.
Операторы, работающие с мелкими, конечными клиентами и мелкие провайдеры в целом.
Для многих на сегодня это - полный приехали.
Они лишь недавно купили "аатличные железяки от Цыски" , а теперь выясняется, что в Ipv6 с full table на железках типа 76хх 65хх [B,C]XL прийдётся попрощаться.
Но это фигня, ибо с Ipv6 не умеет работать бОльшая часть используемого биллингового софта.
А апгрейд софта по деньгам покруче, чем замена 76хх на новые Джуниперы .
Чем дальше они оттянут внедрение Ipv6, тем дешевле и менее болезненно для бизнеса это будет.
Итого - бизнес заинтересован в том , чтобы оттянуть как можно дальше Ipv6.
Производители биллингового софта. О, для них тут золотое дно. Переписывать немного, меняется аж одно поле и связанные с ним расчёты, а деньги сдирают с клиентов... ну, за переход к 4х значному обозначению года сдирали много больше, но все равно дофига.
Датацентры.
Тут ничего не поделаешь, с большим скрипом, но внедряют.
Клиенты датацентров (разные). А им-то что, они почти всегда железо арендуют. 90% проблем - на головы сотрудников ДЦ. Они переконфигурируют свои сервера (да, это время и деньги, но несравнимо мЕньшие, чем в своей корпоративной сети), а ежели кто по сей день арендует какой-то древний pix, так просто сменит и всё. Аренда же.
Корпоративные клиенты.
Тут Ipv6 - одно сплошное зло. Директор с недоумением глядит на докладные, где предлагается закупить новое оборудование. Рушатся известные типовому админу модели безопасности. В каком наркотическом бреду , какие сумасшедшие придумали, что каждый комп и каждое устройство должны иметь свой внешний адрес ?
Они ж одно дырявее другого, и если дырки в ключевых компонентах ОСей ещё как-то фиксят, то вот сетевые принтеры и прочие ip-кофеварки не фиксит почти никто.
Можно, конечно, написать новые конфиги для файрволлов, перекроить всю сеть, вспомнить про v6-to-v4, v6 nat, сменить все старые железки на новые и тд. Всё это - деньги и время очень недешевых специалистов, это работы на сети (поди объясни руководству, зачем..)
Через несколько лет будет дешевле апгрейд железа, да и софта тоже.
Домашние клиенты.
"И зачем мне этот ваш ipv6 ?" Спору нет, смена домашнего файрволла недорога. Но это тоже деньги, а почти все старые коробки - только v4. Масса программ, так или иначе работающих с ip-адресами, либо глючит при виде v6 адреса, либо ... ну, вплоть до крэша.
Вообще весело , конечно - протокол разработан в 90е, и спустя почти 20 лет проблем с купленными несколько лет назад (!) железяками и софтом выше крыши.
Общий вывод. Подавляющее большинство клиентов, от домашних до корпов, мелкие операторы заинтересованы в том, чтобы оттянуть внедрение ipv6 было как можно дальше.
update.
Граждане, ратующие за Ipv6, ознакомьтесь.
Comparison of IPv6 support in routers
Manufacturer Model Native IPv6 support? Notes
D-Link DIR-300 No (масовая модель)
D-Link DIR-615 Yes IPv6 supported by hardware revisions C1 and E. Earlier revisions and revision D do not support IPv6. (С и D ревизии - основные, продавались у нас массово, да и сейчас тоже есть. )
D-Link DIR-632 Yes
D-Link DIR-655 Yes IPv6 supported by hardware revision B. Earlier revisions do not support IPv6.
D-Link DIR-685 No
D-Link DIR-825 Yes IPv6 supported by hardware revision B. Earlier revisions do not support IPv6. IPV6 traffic unfirewalled.
825 - топовая модель, дорогая и мощная, гигабитные порты, 680 мгц процессор, 64М памяти.
Но полноценной поддержки нет даже тут. Правда, в другом месте написали, что есть, но не написали, есть ли полноценный ipv6 firewall.
Конечно, можно поставить openWRT / Tomato (и поиметь много возни с этим), что решит вопрос. Не везде, кстати, можно поставить (и не везде после этого будет нормальный wifi ), ну и типовой юзверь ставить не может и не будет.
Он просто пошлёт вас с вашим Ipv6 (и соотв. с необходимостью покупать новый роутер, причем качество реализованной там поддержки Ipv6 непонятно, в обзорах пока что практически не уделяют внимания этому вопросу, те. есть отличные шансы купить барахло, где ipv6 файрволла не будет) и будет прав.
из рассылки
I am with you on this. With the death of NAT having a stateful firewall on your internet connection is even more important than before. (Not that NAT ever provided any actual security anyway.) I would be pretty surprised if any of the major consumer router vendors released an IPv6 capable router without some kinda of built in stateful IPv6 firewall.
Перевожу - тк. придурки , разрабатывавшие ipv6, сначала выкинули из спецификации NAT, а потом вставили обратно (но урезаннный) , то файрволл, причем обязательно с поддержкой учёта состояния сессий, является жизненно необходимым. А его в обчень многих формально-поддерживающих ipv6 домашних роутерах нету.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2012-10-21 11:10 am (UTC)Решает кучу проблем со спуфингом/man in the middle / авторизцией (можно забыть PPPxX)/не нужно никаких таблиц с маками пользователя. Прописал на влане ему /64 и пусть он ее использует как хочет.
Само собой не забыть поставить лимит в сотню NDP на каждый влан.
no subject
Date: 2012-10-21 12:07 pm (UTC)Или же речь об провайдере и продаже интернета ? Так там , опять же, мелким хорошо давать pppoE / L2TP (хуже), крупным - статику и вланы.
no subject
Date: 2012-10-21 12:23 pm (UTC)Плюс стоит учитывать, что либо всю сеть делать с поддержкой ipv6 на железе (cisco 2960/3560/3750 и выше) либо просто прокинуть влан на дешевых (нынче) но очень приятных 2950T и поставить два софт рутера с кучей влан.
По деньгам - минимум, с точки зрения стабильности и защищенности весьма хорошо.
no subject
Date: 2012-10-21 12:32 pm (UTC)С pppoE шейпера, роутинг и балансировка нагрузки делаются очень хорошо и относительно недорого.
Клиента вообще не касается, вышел из строя BRAs концентратор №19 или нет, просто сессия передернется.
То, что предлагали Циско, Джунипер, Алкатель для шейперов и балансировки нагрузки, стоило совсем других денег, если строить хорошо. С огромной разницей.
Или же несколько дешевле (но все равно дороже хорошей pppoE сети), но хуже по балансировке и возможностям гибкого назначения шейперов.
Варианты Linux-servers-BRAS без pppoE тоже получались значительно хуже, чем с ним, по тем же критериям.
no subject
Date: 2012-10-21 12:33 pm (UTC)Не о хостинге, конечно же.