"Comcast To Bring IPv6 To Residential US In 2010 (http://tech.slashdot.org/story/09/06/18/1417201/Comcast-To-B...)" - в связи с нехваткой IPv4 адресов, Comcast, один из крупнейших операторов кабельных сетей США, планирует осуществить переход на IPv6 уже в следующем году, начало внедрения IPv6 намечено на конец текущего года.URL: http://tech.slashdot.org/story/09/06/18/1417201/Comcast-To-B...
Новость: http://www.opennet.me/opennews/art.shtml?num=22232
Уже давно пора!
Есть-ли смысл внутреннюю сеть компании переводить? За и против?
Если вы задаёте такой вопрос - то лучше не нужно :-)IpV6 в локалке вам ничего не даст, всё = весь мир вы увидете через 6to4, что само-собой отстой и просто усложняет управление сетью, а когда лет через 10 (хотя на опеннете вроде была статья, что весь мир будет 6-нут до 12-го года) 6 будет распространён - вам всё равно придётся покупать подсетку и менять адресацию, и то, для офисного планктона с их небольшими требованиями выделенный IPшник это чересчур, думаю локалки останутся ipv4 ещё очень долго.
Вроде положительно пишеле о v6, а мыслите категориями v4.> для офисного планктона с их небольшими требованиями выделенный IPшник это чересчур
_Не_будет_ при IPv6 не выделенных IP.
>Вроде положительно пишеле о v6, а мыслите категориями v4.
>
>> для офисного планктона с их небольшими требованиями выделенный IPшник это чересчур
>
>_Не_будет_ при IPv6 не выделенных IP.Будут-будут)
nat - это не только средство для экономии ip адресов.
Это ещё и отличный защитник клиентских компьютеров от внешних атак.
NAT? Отличный защитник?
>NAT? Отличный защитник?Да просто некоторые придрочились уже микроскопом гвозди забивать и им теперь кажется что это так и надо, а когда предлагают взять в руки молоток - протестуют :D
>>NAT? Отличный защитник?
>
>Да просто некоторые придрочились уже микроскопом гвозди забивать и им теперь кажется
>что это так и надо, а когда предлагают взять в руки
>молоток - протестуют :DУгарайте, угарайте)
Вам (и нам, и всему миру) впереди ешё много лет микроскопом гвозди забивать - делать трансляцию ipv4 в ipv6 и обратно.А нат, как защитник - если вы не понимаете, как он может защищать, то вам это и не нужно.
Защитник сети - это жесткий firewall по принципу
1) снаружи внутрь пускаем только к определенным парам хост:порт.
2) остальные запросы снаружи рубимОчень хороший защитник - это когда еще дополнительно
1) изнутри наружу пускаем через proxy-сервер
на proxy-сервере контролируем кто куда ходит
2) изнутри наружу пускаем только от определенных хостов к определенным хостам
и чем меньше этот список - тем лучше
3) остальные запросы изнутри наружу рубимРазумеется firewall должен быть со статами
Nat как-то конечно защищает клиентские компьютеры.
Но нужно защищать еще сам роутер.
И если у вас несколько IP-адресов - тогда их тоже нужно защищать.
Хорошо, если снаружи внутрь ставим файрвол, то зачем в обратную сторону прокси?
>Хорошо, если снаружи внутрь ставим файрвол, то зачем в обратную сторону прокси?Для кеширования, ну и аутентификации(на проксе), имхо.
не только.
проверка трафика на вирусы (см. например sqid + clamav), отрубание тунелей (по крайней мере усложнение этого), а то вот даже как-то так бывает http://www.opennet.me/tips/info/1896.shtml ... ну и ещё много чего можно придумать...
ну и прокся может быть (а я так думаю, что должна) прозрачной.
Для вылавливания вирусов.А я считаю что proxy не должен быть прозрачным.
Это вредно и криво.
Все это многословие можно заменить двумя - пакетный фильтр.
Современные же файрволы выполняют более широкие функции:
VPN-сервисы, проактивную защиту от атак, разграничения доступа к сетевым ресурсам, блокирования вирусов, червей, шпионского ПО и других вредоносных программ, спама и атак типа "фишинг", контроль протоколов и приложений (web, e-mail, ftp, голос и мультимедиа, субд, icq, p2p и т.п), защита от атак «переполнение буфера», нарушения RFC, аномалий, подмены адреса, поддержка отказоустойчивых конфигураций.Прокси в целом к защите отношения не имеет.
А вот NAT, как правило, является неотъемлимой частью файрвола.
>Все это многословие можно заменить двумя - пакетный фильтр.
>Современные же файрволы выполняют более широкие функции:
>VPN-сервисы, проактивную защиту от атак, разграничения доступа к сетевым ресурсам, блокирования вирусов,
>червей, шпионского ПО и других вредоносных программ, спама и атак типа
>"фишинг", контроль протоколов и приложений (web, e-mail, ftp, голос и мультимедиа,
>субд, icq, p2p и т.п), защита от атак «переполнение буфера», нарушения
>RFC, аномалий, подмены адреса, поддержка отказоустойчивых конфигураций.
>
>Прокси в целом к защите отношения не имеет.
>А вот NAT, как правило, является неотъемлимой частью файрвола.proxy еще как имеет отношение к защите.
Или у вас все наружу ходят напрямую ?
> Это ещё и отличный защитник клиентских компьютеров от внешних атак.Вообще-то по нормальному защитником сети является *файрвол*.
Может покажусь занудным, но по русски это называется межсетевой экран. Это более точное и ёмкое понятие, чем дебильные "файрволы" и "брандмауэры".
Вот ВЫ и печатайте "межсетевой экран" если вам не лениво.Флаг вам в руки и барабан на шею.А мне мои пальцы ломать неохота.Поэтому я как-нибудь обойдусь термином "файрвол".Потому что он в 2.5 раза короче и для меня это - решает.К тому же данное слово прекрасно понимают все кому оно было адресовано.И если язык нужно немного изменить для того чтобы стало лучше (сократить в 2.5 раза термин - это отлично) - отлично, ему придется измениться. World is not read-only.ЗЫ осталось еще придумать русский термин для "NAT", ну-ка изобразите?И кстати "роутеры" и даже "маршрутизаторы" - тоже как оказалось не русские слова нифига.Ну-ка придумайте что-то русское?И кстати мне всегда было интересно - каким русским словом назвать буржуйскую multimedia :)
> Вот ВЫ и печатайте "межсетевой экран" если вам не лениво.Флаг вам в руки и барабан на шею.А мне мои пальцы ломать неохота.Поэтому я как-нибудь обойдусь термином "файрвол"Охота покороче: МЭ. Куда уже короче.
>ЗЫ осталось еще придумать русский термин для "NAT", ну-ка изобразите?
Сетевая трансляция адресов.
>И кстати "роутеры" и даже "маршрутизаторы" - тоже как оказалось не русские слова нифига.
Маршрутизатор вполне русское, по крайней мере слово маршрут можно найти в любом словаре, а вот "роутер" и не русское и не английское, это попытка прочитать английское слово router [ˈru:tə] без знания транскрипции. Применение этого термина, нечто иное как одновременная роспись в незнании английского и маршрутизации.
>.И если язык нужно немного изменить для того чтобы стало лучше (сократить в 2.5 раза термин - это отлично) - отлично, ему придется измениться.
Уже проходили. Хватит нам всяких Даздраперм.
>словаре, а вот "роутер" и не русское и не английское, это
>попытка прочитать английское слово router [ˈru:tə] без знания транскрипции. Применение этого
>термина, нечто иное как одновременная роспись в незнании английского и маршрутизации.Произношение "раутер" скорее исключение, чем правило в России, так же как и хорошее знание английского в среде "кампутерщиков".
>Произношение "раутер" скорее исключение, чем правило в России, так же как и
>хорошее знание английского в среде "кампутерщиков".ты из принципа говоришь "ландан" вместо "лондон"?
>>ЗЫ осталось еще придумать русский термин для "NAT", ну-ка изобразите?
>Сетевая трансляция адресов.Не "сетевая трансляция адресов", а "трансляция сетевых адресов".
>"роутеры" и даже "маршрутизаторы" - тоже как оказалось не русские слова нифига.довольно странно, если бы транслитерация от слова router оказалось русской, более того, оно еще и произносится - раутер. А маршрут появилось при Петре I из немецкого языка, уже можно считать русским :-)
А как вам клавиатура от студии Артемия Лебедева. Интерфейс: "УСБ", ОС: "Виндоус", "МакОС".
>Может покажусь занудным, но по русски это называется межсетевой экран. Это более
>точное и ёмкое понятие, чем дебильные "файрволы" и "брандмауэры".Вот лично мне кажется что как эту сущность называют 95% процентов админов, то так эта сущность и называется.
Если 95% процентов говорят и пишут - firewall, то значит так оно и есть.
Остальные 5% могут говорить как угодно.Борцы за чистоту русского языка должны учитывать, что русский язык - это не канонические писания Святой Церкви. И русский язык (и вообще любой язык) со временем меняется.
Так же следует учитывать, что большие группы, объединенные между собой определенным родом деятельности, придумывают сами себе свой расширенный вариант языка - чтобы лучше понимать друг друга и для удобства. Так же следует учесть, что так скажем официальный толковый словарь русского языка не включает в себя кучу новых слов, и тем более не включает в себя специальные термины, применяемые отдельными большими группами.Исходя из всего вышесказанного писать фразу "по-русски это называется" на специалированном компьютерном форуме тебе никто не запретит, но следует учесть как и ответную негативную реакцию, так и просто что все тебя проигнориуют с такими заявлениям.
>Исходя из всего вышесказанного писать фразу "по-русски это называется" на специалированном компьютерном
>форуме тебе никто не запретит, но следует учесть как и ответную
>негативную реакцию, так и просто что все тебя проигнориуют с такими
>заявлениям.Ну ведь не проигнорировали :-) Эффект достигнут :-)
> но по русски это называется межсетевой экранВ 2 раза длиннее, никак не точнее и емче. Брандмауэр действительно дебильно, называется это Firewall и никак иначе. Давайте так - считаете что можете показаться занудным - просто молчите. Ваш патриотизм тут совсем ни к месту, а в русском языке нужных слов просто нет.
Брандмауер (Brandmauer) - это дословный перевод на немецкий слова "firewall"
>> но по русски это называется межсетевой экран
>
>В 2 раза длиннее, никак не точнее и емче. Брандмауэр действительно дебильно,
>называется это Firewall и никак иначе. Давайте так - считаете что
>можете показаться занудным - просто молчите. Ваш патриотизм тут совсем ни
>к месту, а в русском языке нужных слов просто нет.А как писать изволите: файрвол фаервол, фаерволл, файерволл и т.д. ?
И при чем тут патриотизм, межсетевой экран это понятней чем огонь-стена.
>> Это ещё и отличный защитник клиентских компьютеров от внешних атак.
>
>Вообще-то по нормальному защитником сети является *файрвол*.Сетевая трансляция адресов, это одна из функций межсетевого экрана, пакетная фильтрация это его другая функция, аутентификация --- третья, есть и четвертая и пятая и десятая. О чем спор?
>>> Это ещё и отличный защитник клиентских компьютеров от внешних атак.
>>
>>Вообще-то по нормальному защитником сети является *файрвол*.
>
>Сетевая трансляция адресов, это одна из функций межсетевого экрана, пакетная фильтрация это
>его другая функция, аутентификация --- третья, есть и четвертая и пятая
>и десятая. О чем спор?Для общего развития и понимания о чем речь: РД ФСТЭК Межсетевые экраны
http://www.fstec.ru/_docs/doc_3_3_006.htm
БраТ!
Убери этот документ. все это интересует только тех кто кому нужны эти самые межсетевые экраны. Всем остальным хватает фаервола и всех его производных.
А если честно то поделки которые имеют сертификат вышеупомянутой тобой конторы имеют несколько куцый функционал хотя зачастую строятся на открытих платформах которые в нативном своем виде умеют гораздо больше :)
>БраТ!
>Убери этот документ. все это интересует только тех кто кому нужны
>эти самые межсетевые экраны. Всем остальным хватает фаервола и всех его
>производных.
>А если честно то поделки которые имеют сертификат вышеупомянутой тобой конторы имеют
>несколько куцый функционал хотя зачастую строятся на открытих платформах которые в
>нативном своем виде умеют гораздо больше :)Документ как документ, и там есть классификация.
Спор о том, что больше половины участников дискуссии не понимают что такое трансляция адресов и межсетевой экран, но при этом считают себя компитентнымы делать свои не компетентные заявления...
Действительно. Это уже не говоря о тех, кто даже спелчекер не удосужился осилить.
Ты считаешь что это супер сложные для понимания вещи?
Или ты так неуважительно относишся к тем тех кто читает опеннет? ;)
>Спор о том, что больше половины участников дискуссии не понимают что такое
>трансляция адресов и межсетевой экран, но при этом считают себя компитентнымы
>делать свои не компетентные заявления...
> компитентнымыПростите, компетентными)
Я это и имею ввиду, нахер он им
> 6 будет распространён - вам всё равно придётся покупать подсетку и менять адресациюА почему ее сразу не купить?Чтобы не было геморроя и не надо было ничего менять.
> для офисного планктона с их небольшими требованиями выделенный IPшник это чересчур
В IPv6 айпишников хватит для того чтобы назначить их каждой блохе на каждой собаке, не говоря уж о каждом офисе и машине в нем.
>> 6 будет распространён - вам всё равно придётся покупать подсетку и менять адресацию
>
>А почему ее сразу не купить?Чтобы не было геморроя и не надо
>было ничего менять.Чтобы все полноценно работало подсетку IPv6 вам должен выдать ваш вышестоящий непосредственный провайдер.
А если у него IPv6 ?Кстати первый раз слышу, что подсетку нужно покупать.
Мне как-то бесплатно давали все время.
Я так понимаю провайдеры деньги берут на траффик.
Некоторые особо наглые еще и за IP-адреса берут, но это хамство - IP-адрес у провайдера тоже не платный, а выдан сверху бесплатно.>
>> для офисного планктона с их небольшими требованиями выделенный IPшник это чересчур
>
>В IPv6 айпишников хватит для того чтобы назначить их каждой блохе на
>каждой собаке, не говоря уж о каждом офисе и машине в
>нем.Я думаю ввиду отсутстви IPv6-стека на блохе она не может быть подключена к IPv6 :)
>>> 6 будет распространён - вам всё равно придётся покупать подсетку и менять адресацию
>>
>>А почему ее сразу не купить?Чтобы не было геморроя и не надо
>>было ничего менять.
>
>Чтобы все полноценно работало подсетку IPv6 вам должен выдать ваш вышестоящий непосредственный
>провайдер.
>А если у него IPv6 ?Это в общем никого не парит. Получаеш лир и береш себе блок с автономкой :)
Ставиш роутер с BGP и вперед!!!>
>Кстати первый раз слышу, что подсетку нужно покупать.
>Мне как-то бесплатно давали все время.
>Я так понимаю провайдеры деньги берут на траффик.
>Некоторые особо наглые еще и за IP-адреса берут, но это хамство -
>IP-адрес у провайдера тоже не платный, а выдан сверху бесплатно.
>Провайдеры за блоки адресов платят RIPE NNC (Европа)
за 1 IP деньги грех брать вот если тебе сеть /22 нужна то можно подумать :)
Один раз мне пришлось кардинально менять структуру IP-адресов сети.
Это когда с 256 реальных IP-адресов пришлось переходить на 64 реальных IP + 4096 внутренних IP. Процесс правда был длительный - какое-то время в сети было 256+64 реальных адреса.А про мелкие перенумерации я уже сбился со счета сколько раз делал.
Очень удобно иметь Switch layer3 с поддержкой VLAN.
Кол-во VLAN-ов только растет.Так что еще одна перенумерация не пугает.
А собственно какая разница - есть у компьютера внутри реальный IP-адрес или внутренний IP-адрес ? Ведь все равно этот адрес должен быть выдан.
Я думаю смысл есть.
Проверите что все оборудование совместимо с IPv6.
Что ПО совместимо с IPv6.
Узнаете много интересного :)Минусы есть.
И пока их больше чем плюсов.
Это большая работа - перевести на IPv6.
И при этом еще ведь нужно поддерживать работу IPv4 совместно с IPv6.
ПО точно не готово. Можно с него начать процесс.
Нет лучше начать с сети. И вылавливать баги в по. Если переход начнется то ПО начнут допиливать быстрей.
Многое ПО готово.Но - не все...
>ПО точно не готово. Можно с него начать процесс.Вот интересно, как можно проверять ПО на IPv6, если у вас нет сетки IPv6 ?
Вычитывать код что-ли ?
>Есть-ли смысл внутреннюю сеть компании переводить?Если продакшн - наверное рановато.Если потестить - уже давно пора заценить на зуб "а как оно?".Все-равно айпишники у V4 закончатся.Да их собссно уже не хватает - например у каждого в кармане мобилка.Устройство способное получить айпи адрес.На все уже сейчас айпи наверное не хватит.Посему городят полуработающие наты :E
>Есть-ли смысл внутреннюю сеть компании переводить?Никакого смысла в этом нет. Ни сейчас, ни в будущем. Суть ipv6 - дать внешний ip каждому дивайсу, которому такой ip нужен. Например, телефону, брелоку с ключами или автомобилю. Компьютеру внутри корпоративной сети такой адрес не нужен.
>Никакого смысла в этом нет. Ни сейчас, ни в будущем.В будущем (дальнем) IPv4 отправиться на свалку истории.И это будет раньше чем туда проследует IPv6.Поэтому будет момент когда будет использоваться только IPv6.И такой момент приближается.Хоть он будет и не завтра.
>Суть ipv6 - дать внешний ip каждому дивайсу, которому такой ip нужен. Например,
>телефону, брелоку с ключами или автомобилю. Компьютеру внутри корпоративной сети такой
>адрес не нужен.Нет, разумеется, можно по старинке колотить микроскопами по гвоздям юзая нат.Но нат - это именно костыль.Протокол был задуман без него.В итоге почем зря нагружаются роутеры.Не говоря уж о том что в IPv6 для разгрузки роутеров приняты и иные меры.А если вам нужен файрвол - так им и пользуйтесь.Нат всего лишь эрзац-замена.Кривая и горбатая.И сети "завтра" должны быть именно такими.А не коллекцией костылей и подпорок.Другое дело что протоколу еще только предстоит испытать на себе всю силищу хацкеров и т.п..
>Но нат - это именно костыль.Начнем с того, что видов NAT множество. И PAT это всего лишь один видов, хотя и самый распространенный. И с появлением IPv6, NAT никуда не пропадает. Более того его роль возрастает, в связи с необходимостью трансляции IPv6 в IPv4 и наоборот. Основополагающими документами служат: RFC 1933, RFC 2766, RFC 3142, RFC 4213.
> Никакого смысла в этом нет. Ни сейчас, ни в будущем. Суть ipv6 - дать внешний ip каждому дивайсу, которому такой ip нужен. Например, телефону, брелоку с ключами или автомобилю. Компьютеру внутри корпоративной сети такой адрес не нужен.Не вижу ничего плохого. Или фейковый ip вас вводит в ощущение повышенной защищенности?
>Не вижу ничего плохого. Или фейковый ip вас вводит в ощущение повышенной
>защищенности?Не фейковый, читай RFC.
Ощущение здесь не причем. Это практически работает.
Никто не говорит, что это - панацея. Но это защитит комп от атак извне хотя бы для того, чтобы стянуть обновления.
>Не фейковый, читай RFC.
>Ощущение здесь не причем. Это практически работает.
>Никто не говорит, что это - панацея. Но это защитит комп от
>атак извне хотя бы для того, чтобы стянуть обновления.МЭ + набор нужных прокси = достаточно. Если еще и NAT - то для любителей паранойи.
Мыслите шире. Вам не нужен, остальному миру нужен.
Учитыая кол-во "качественного" офисного софта, заточенного под IPv4 переход офисов на IPv6 состоится оч. нескоро. Плюс нет необходимости для офиса. Мне стрёмно открывать каджой машине полный доступ в инет :)
>Мне стрёмно открывать
>каджой машине полный доступ в инет :)для этого используются файрволы, разграничивающие доступ в обе стороны.
Какая нехватка адресов? Адресов туча. Спаммеры вон целые сетки /24 покупают чтоб слать письма. Сюда смотреть.
http://www.iana.org/assignments/ipv4-address-space/
Вот зачем форду сетка /8? Забрать к чертям всё что LEGACY.
>Какая нехватка адресов? Адресов туча.Попробуйте назначать хотя-бы мобильникам (коих более миллиарда) айпишники нормальные а я на это посмотрю.Миллиард - это почти четверть всего диапазона V4... ;)
И на данный момент если в корпоративную сеть надо попасть с мобильного устройства - это целая эпопея иногда :E
>>Какая нехватка адресов? Адресов туча.
>
>Попробуйте назначать хотя-бы мобильникам (коих более миллиарда) айпишники нормальные а я на
>это посмотрю.Даже в России есть опсосы назначающие каждой трубке, выходящей в интернет, публичный IP адрес. И, естественно, адреса нужны не одновременно всем абонентам сотовых сетей.
А сколько кофеварок и чайников и утюгов простаивает без своего адреса.
Нету у моего мобильника своего айпи, и это радует.
А меня совсем не радует, ибо не могу я напрямую переслать файл с мобильника на комп и обратно. И свой айпи у чайника - это будущее, ибо чайник сможет через интернет напомнить, что он закипел :)
>не могу я напрямую переслать файл
>с мобильника на комп и обратно.а я могу, блютуз с этим справляется без использования IP адресов :-)
А если расстояние между мобильником и компом несколько километров, неужели блютуз дотянется?
>А если расстояние между мобильником и компом несколько километров, неужели блютуз дотянется?
>GPRS/EDGE ? А там уж по возможностям трубки, тем или иным способом. У меня, кстати, оператор, который выдает публичный IP адрес.