Спустя год с момента проведения всемирного дня тестирования IPv6 6 июня 2012 года состоится (http://www.internetsociety.org/news/world-ipv6-launch-solidi... всемирный день внедрения IPv6 (http://www.worldipv6launch.org/). В этот день крупнейшие web-сайты, интернет-провайдеры и производители оборудования намерены совершить самый значительный в истории Сети шаг в сторону поддержки IPv6. Если в проведённый в прошлом году день тестирования IPv6 было осуществлено (http://www.opennet.me/opennews/art.shtml?num=30821) тестовое внедрение IPv6, то 6 июня 2012 года участники акции намерены обеспечить постоянную полноценную поддержку IPv6 в своих инфраструктурах, продуктах и сервисах. Курировать мероприятие будет организация Internet Society (http://ru.wikipedia.org/wiki/Internet_Society), занимающаяся развитием и обеспечением работоспособности сети Интернет.
По мнению организаторов акции, в условиях близкого исчерпания IPv4 адресов требуется стимулироват...URL: http://www.internetsociety.org/news/world-ipv6-launch-solidi...
Новость: http://www.opennet.me/opennews/art.shtml?num=32840
Прогноз от Павла Глобы: 6 июня 2012 года будет самой черной датой для ит-саппорта.
Эх нужно бы уже заняться потихоньку.
Да все некогда да неохота.Придут молодые сильные и сместят старых опытных.
А ломом в их руках будет ipv6
Ага.Так и вижу - пришли, сказали "подвиньтесь, у нас тут IPv6", сядут, и перепишут ВЕСЬ софт!
))))
Особенно биллинги, особенно скрипты управления, особенно прошивки в старых глючных девайсах...
я уже неоднократно говорил, ipv6 это маркетинговая фича, что бы выкинуть старый хлам, и заставить купить новый.
> я уже неоднократно говорил, ipv6 это маркетинговая фича, что бы выкинуть
> старый хлам, и заставить купить новый.И отлично. Протокол не способный адресовать все устройства которые его поддерживают - явно устарел.
> я уже неоднократно говорил, ipv6 это маркетинговая фича, что бы выкинуть
> старый хлам, и заставить купить новый.Ну да, маркетинговая фича, как если бы всех пользователей SATA-дисков разом заставили юзать SAS-контроллёры, распаенные на новых материнских платах. :))
> Ну да, маркетинговая фича, как если бы всех пользователей SATA-дисков разом заставили
> юзать SAS-контроллёры, распаенные на новых материнских платах. :))SAS обратно совместим с SATA, что делает вашу ассоциацию лживой.
>> Ну да, маркетинговая фича, как если бы всех пользователей SATA-дисков разом заставили
>> юзать SAS-контроллёры, распаенные на новых материнских платах. :))
> SAS обратно совместим с SATA, что делает вашу ассоциацию лживой.Ассоциация в самый раз — переход на IPv6 не удалит совместимость с IPv4 унаследованных систем. ;)
> Ага. Так и вижу - пришли, сказали "подвиньтесь, у нас тут IPv6", сядут, и перепишут ВЕСЬ софт!
> Особенно биллинги, особенно скрипты управления, особенно прошивки в старых глючных девайсах...Вы не поверите, но было время, когда не было даже ARPANET.
PS
"Ага, Так и вижу - пришли, сказали, и реписали весь софт на Fortrane и PL1. Особенно конторы, особенно программы управления, особенно программы на старых глючных майнфреймах"Собака лает - караван идет.
На одном сайте находил правила (автор Dmitri Gribenko), составленные системным администратором для iptables и адаптированные для работы с ipv6, но, не будучи системным администратором, не смог их упростить для применения на домашнем компе. Если по ipv4 на этом сайте есть подробная инструкция в переводе А. Киселёва, то вот с ipv6 проблема.Может, есть люди, уже составишие лаконичные правила для домашних ПК (1 ПК+кабельное подключение)? Опубликуйте, пожалуйста.
> Может, есть люди, уже составишие лаконичные правила для домашних ПК (1 ПК+кабельное подключение)?
> http://version6.ru/ip6tablesЭтот вариант требует доработки.
У вас он на домашнем ПК так настроен? С форвардингом для единственного компа?
>> http://version6.ru/ip6tables
> Этот вариант требует доработки.
> У вас он на домашнем ПК так настроен? С форвардингом для единственного
> компа?Что значит для единственного? Это правила, выполняющиеся на роутере, позади которого локалка из неограниченного количества компьютеров.
>Поскольку при использовании IPv6 каждый из компьютеров вашей локальной сети будет иметь настоящий, Интернетовский IP-адрес, важно настроить на вашем маршрутизаторе сетевой экран, который будет блокировать входящие соединения из Интернета, но при этом разрешать исходящие из локальной сети.А нафига тогда вообще ipv6?
Чтобы лазить по http://ipv6.google.com/ ???
> А нафига тогда вообще ipv6?ВОТ ОН, главный вопрос всей темы. Да, на данный момент 0.4% пользователей с ipv6 пингуют 0.4% сайтов с ipv6.
Я хотел сказать, что если блокировать все входящие соединения, то на сегодня смысла в ipv6 крайне мало окажется.
Нет же! Отпадает необходимость в NAT.
К тому же, не обязательно блокировать все входящие соединения: кому-то надо блокировать, кому-то не надо блокировать, кому-то надо блокировать, но не всё
> Может, есть люди, уже составишие лаконичные правила для домашних ПК (1 ПК+кабельное
> подключение)? Опубликуйте, пожалуйста.Вообще, стандартный подход к файрволам: запретить все и разрешить только то что нужно. Что именно нужно - очень варьируется и универсальный рецепт на этот счет мало кто даст.
> Вообще, стандартный подход к файрволамЧтение некоторых статей убеждает в необходимости знания сетевых протоколов и наличии множества подводных камней невидимых неспециалистами в этой области.
> Чтение некоторых статей убеждает в необходимости знания сетевых протоколов и наличии множества
> подводных камней невидимых неспециалистами в этой области.Честное пионерское, изучение сетевых протоколов - воздается полезностями, далеко выходящими за только настройку файрвола :). Поэтому любой сколь-нибудь продвинутый пользователь имхо должен представлять себе "модель OSI" и хотя-бы примерно кто на каком уровне живет и нафига это вот так. Примерно как тот кто садится за руль машины должен хотя-бы грубо представлять себе ПДД и знать что езда на красный - запрещена, а за двойную сплошную - крепко вздрючат гайцы.
Аналогия некорректна. Ехать вы можете куда хотите, только вот туда и так машина просто не поедет. "Так" она поедет в совсем другое место. Не зависимо от вашего хотения. Правила позволяют знать куда и при каких обстоятельствах будет ездить машина. А на гайцов вы наткнётесь только если лично выедете на более менее крупную магистраль. Но там вы наврядли окажетесь не будучи профессионалом.
> Аналогия некорректна. Ехать вы можете куда хотите, только вот туда и так
> машина просто не поедет.Просто если много щелкать клювом - можно как тот британец, который излишне верил навигатору и чуть не сыграл в ящик, когда тот посоветовал свернуть в обрыв. Железки - замечательно. Если они дополняют мозг а не заменяют его. Вот я и предлагаю - использовать мозг, сделав железку лишь дополнением к нему, а не заменой оного. На кой буй нужны чьи-то там правила фаера? Они не обязаны вам подойти вообще ни разу. Разве что как пример на посмотреть.
Что за бред? Какие ещё составленные и адаптированные? Это фаирвол - пропускай что нужно и запрещай что не нужно, всё.
> На одном сайте находил правила (автор Dmitri Gribenko), составленные системным администратором
> для iptables и адаптированные для работы с ipv6, но, не
> будучи системным администратором, не смог их упростить для применения на домашнем
> компе. Если по ipv4 на этом сайте есть подробная инструкция в
> переводе А. Киселёва, то вот с ipv6 проблема.
> Может, есть люди, уже составишие лаконичные правила для домашних ПК (1 ПК+кабельное
> подключение)? Опубликуйте, пожалуйста.А я присоединюсь к вопросу, но несколько в другой форме:
Где-то видел полный список правил для корректной фильтрации и пропуска icmpv6 по полям в заголовке, может кто-нибудь подкинуть этот список? А то читать ман и составлять лень, их там много было :)
Скорее всего, будущее не за IPv6. Этот труп гальванизируют уже более десятка лет, а воз и ныне там. Необходимо более простое технологически решение.
> Необходимо более простое технологически решение.Остался сущий пустяк. Предложите его.
А предложившего такой простой и действенный вариант назовут Миссией.
Миссией Импоссибл
> Миссией ИмпоссиблОн поссибл, просто пока еще крупняк хватается за IPv6, ибо уже вложился, и попятная кажется слишком дорогой.
>> Миссией Импоссибл
> Он поссибл,Миссия - это "она", а "мессия" - "он". Просто у нас тут Генералы Фэйлоры есть. Им простительно не знать такой ерунды.
> Миссией.Вас мы для начала назовем Генерлом. Генералом Фэйлором. Потому что перепутать мессию и миссию - это довольно круто (англичанам в этом плане чуть попроще).
>> Необходимо более простое технологически решение.
> Остался сущий пустяк. Предложите его.Всё ждете, пока за вас кто-нибудь предложит?
Единственным пока вариантом на ближайшие N лет пока остаётся NAT, поскольку IPv6 - это такие грабли, которые в кошмарах не снятся. Т.е. до того момента, пока не будет вменяемого решения, IPv4 NAT - меньшее зло, чем IPv6.
> IPv6 это такие граблиПозвольте поинтересоваться причинами в основе Вашего заявления.
>> IPv6 это такие грабли
> Позвольте поинтересоваться причинами в основе Вашего заявления.Начнём хотя бы с того, что когда у каждого будет публичный ИП, то каждому придётся настраивать факервол. Даже если вы блондинко.
> Начнём хотя бы с того, что когда у каждого будет публичный ИП,
> то каждому придётся настраивать факервол. Даже если вы блондинко.+1. А если учесть, что блондинко не будет настраивать файрвол...
И это наименьшая из грабель. Наибольшие лежат в аспектах автоконфигурации клиентов.
Дарю жутко сложный "фиревол". Для начала.
!
ipv6 access-list PI-IN-01
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq telnet
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq domain
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq sunrpc
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq 389
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq 443
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq lpd
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq 631
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq 636
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq 2049
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq 2601
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq 2604
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq 3128
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq 3690
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq 9001
deny tcp any 2001:XXX:ZZZ:YYY::/64 eq 9050
deny udp any 2001:XXX:ZZZ:YYY::/64 eq sunrpc
deny udp any 2001:XXX:ZZZ:YYY::/64 eq 2049
permit tcp any any
permit udp any any
permit icmp any any
deny ipv6 any any
!
ipv6 access-list PI-OUT-01
permit tcp any any
permit udp any any
permit icmp any any
deny ipv6 any any
!
!ENDВстраивается на входном публичном интерфейсе.
2001:XXX:ZZZ:YYY:: - ваша приватная сеть. Можете использовать ANY.В правила сетевого фильтра своей системы сами оттранслируете?
руки бы оторвать за такие правила
> руки бы оторвать за такие правилаАргументы, уважаемый анонимус. Это наколеночный примитив из архива конфигураций, но когда-то работающий. Публиковать иное - нет времени и желания.
Потому, что азбука файрволостроения: закрыть все, открыть только нужное.
Ну и stateful на OUT буден полезен, да.
> Потому, что азбука файрволостроения: закрыть все, открыть только нужное.Открою вам новость имени номо эректуса волосатого.
Существует вторая крайняя парадигма. Запретить только то, что действительно необходимо запретить.> Ну и stateful на OUT буден полезен, да.
А еще будет полезен батальен спецназа на вертолетах.
>> Потому, что азбука файрволостроения: закрыть все, открыть только нужное.
> Открою вам новость имени номо эректуса волосатого.
> Существует вторая крайняя парадигма. Запретить только то, что действительно необходимо
> запретить.Это не новость, это глупость.
>>> Потому, что азбука файрволостроения: закрыть все, открыть только нужное.
>> Открою вам новость имени номо эректуса волосатого.
>> Существует вторая крайняя парадигма. Запретить только то, что действительно необходимо
>> запретить.
> Это не новость, это глупость.Да неужто? Думаю, вы жутко компетентны и умны, и приведете аргументы, кроме вашей личной паранойи. Валяйте. :)
> Существует вторая крайняя парадигма. Запретить только то, что действительно необходимо запретить.А откуда вы знаете что именно вам нужно запретить? Когда троянец уже спи...л ваши пароли - поздновато будет его запрещать, например. Ну и смысл фаера как-то теряется :)
>> Существует вторая крайняя парадигма. Запретить только то, что действительно необходимо запретить.
> А откуда вы знаете что именно вам нужно запретить? Когда троянец уже
> спи...л ваши пароли - поздновато будет его запрещать, например. Ну и
> смысл фаера как-то теряется :)"А если там будет батальен спецназу?" :)
Приведеденный пример - наипростейший для сегмента сети с известной конфигурацией. Для примера, сегмента unix рабочих станции и/или серверов, pabx и подобного, с согласованной административной политикой.
То, что вы описали в свою очередь - это сегмент сети с несанкционированным изменением конфигурации.
Это нормально ненормальная систуация, и методы для нее другие, как правило, комплексные.
Я разве написал, что парадигма выше - решение на все случаи?Вообще, RTFM по сетевой безопасности. В сети должны быть.
> "А если там будет батальен спецназу?" :)Тогда надо брать файрвол поэффективннее. ИМХО, кучка автоматических пушек, несколько беспилотных дронов и пяток бовых роботов пожалуй справятся при правильной настройке зон контроля :)
> сегмента unix рабочих станции и/или серверов, pabx и подобного, с согласованной
> административной политикой.Как кто-то из хаксоров шутит, "безопасность бывает 2 уровней: hi и нехай".
> То, что вы описали в свою очередь - это сегмент сети с
> несанкционированным изменением конфигурации.
> Это нормально ненормальная систуация, и методы для нее другие, как правило, комплексные.ИМХО влупить фаеру deny all достаточно эффективный метод защиты от кучи разного геморроя.
> Вообще, RTFM по сетевой безопасности. В сети должны быть.А зачем? У меня есть бошка на плечах, понимание моделей OSI и скиллы по наглому туннелингу файеров установленных бакланами типа тебя, это и так вполне доставляет :)
> А зачем? У меня есть бошка на плечах, понимание моделей OSI и
> скиллы по наглому туннелингу файеров установленных бакланами типа тебя, это и
> так вполне доставляет :)Наглый туннелинг файеров и умение отличать TCP от IP, это конечно, не для бакланов - достижение :)
"Мне запретили сматреть парнуху и вкантакте, а я узнал OSI и сделал наглый туннелинг фаейра, че, типа не круто?"
> Потому, что азбука файрволостроения: закрыть все, открыть только нужное.Смотря в каких целях, в ISP приведённая схема проще, ибо вы не будете каждого 10000-го абонента выслушивать о том, что у него очередной скайп, контерсрайк не работает, и добавлять по строчке пермитов в общий файрволл..
А для отдельного хоста или группы серверов, конечно "открыть, открыть, открыть - а остальное REJECT/DROP"
> в ISP приведённая схема прощеТолько речь шла о "блондинке", а не об ISP
>Только речь шла о "блондинке", а не об ISPКогда вы определите конфигуцию конкретной системы (систем в сети), тогда можно обсуждать.
До этого - диалог о сферическом коне в вакууме.Вообще, проблема высосана их пальца.
> то каждому придётся настраивать факервол. Даже если вы блондинко.А чот помешает воткнуть stateful фаер с набором правил как у нат, только без трансляции? Это и производитель может сделать - одна галка "enable stateful firewall" активная по дефолту к тому же.
> А чот помешает воткнуть stateful фаер с набором правил как у нат,
> только без трансляции? Это и производитель может сделать - одна галка
> "enable stateful firewall" активная по дефолту к тому же.Т.е. всё с теми же таблицами состояний. Правда, незадача, в IPv6 таблица состояний будет весить где-то в 6 раз больше, только из-за адресов...
Я не противник IPv6, я просто не понимаю необходимости ломать рабочий функционал IPv4 из-за расширения адресного пространства. Тем более, что этот слом только породил проблемы, не решив, де-факто, даже проблемы объёма таблиц маршрутизации.
> Т.е. всё с теми же таблицами состояний. Правда, незадача, в IPv6 таблица состояний будет весить где-то в 6 раз больше, только из-за адресов...Мозг включаем. Размер таблицы состояний = O(количества соединений). Тут не важно 32 бита в IP, 128 или мегабайт. Для блондинок default-deny фаирволл с allow all from me to any keep-state хватит за глаза.
> Мозг включаем. Размер таблицы состояний = O(количества соединений). Тут не важно 32
> бита в IP, 128 или мегабайт. Для блондинок default-deny фаирволл с
> allow all from me to any keep-state хватит за глаза.Включаем. Каждое соединение включает в себя 2 адреса. Дальше включайте мозг самостоятельно.
В Linux, может быть, будет не так заметно - там размер записи conntrack порядка 300 байт, т.е. где-то на 10% увеличится размер таблицы. В аппаратных решениях всё может быть хуже.
> Тут не важно 32 бита в IP, 128 или мегабайт.Одно из самых больших заблуждений, которое я когда-либо слышал.
>Мозг включаем. Размер таблицы состояний = O(количества соединений). Тут не важно 32 бита в IP, 128 или мегабайт.Размер таблицы не зависит от её содержимого? Оригинально.
> Т.е. всё с теми же таблицами состояний. Правда, незадача, в IPv6 таблица
> состояний будет весить где-то в 6 раз больше, только из-за адресов...У вас с математикой не просто хреново, а очень хреново.
1) Вообще, в IPv6 адрес 16 байтов а в v4 - 4 байта. Получается что адрес отличается в 4 раза. Но там еще есть порты и некоторое количество служебной информации. Поэтому будет даже меньше, ага. В 6 раз ну никак не получится. Тем более что префикс штука довольно постоянная и его каждый раз указывать не обязательно по идее, т.е. кому совсем невмоготу могут попробовать считерить, сэкономив на префиксе.
2) Вообще, stateful файрвол штука довольно опциональная и нужная не всем.
3) Производители обычно хотят продать новую железку. А там обычно оперативы больше и проц мощнее чем в старых.> Я не противник IPv6, я просто не понимаю необходимости ломать рабочий функционал
> IPv4 из-за расширения адресного пространства.В IPv4 тупо не предусмотрен адрес длиннее 32 бит. В мире уже более 2^32 девайсов способных работать по IP. Поэтому только хирургия и спасет, да. Иначе будет горка кастрированных инвалидов, реализующих что угодно но только не IPv4 в том виде каком он был задуман.
> Тем более, что этот слом только породил проблемы, не решив, де-факто,
> даже проблемы объёма таблиц маршрутизации.Кроме проблемы таблиц маршрутизации, бл, если уж мы о юзерах, в случае IPv4 я не могу вывесить вебфэйсы холодильника, телевизора и прочих микроволновок в сеть и порулить ими сидя где-то в другом месте. В случае IPv4 на нечто подобное тупо не хватает адресов. Ну не даст мне никто 10 адресов даром чтобы я мог их назначить всем. А @#$ться с этими вашими натами - вот мне больше делать нечего, да.
>А @#$ться с этими вашими натами - вот мне больше делать нечего, да.То есть @#$ться с ipv6 у вас время якобы есть... Взаимоисключающие параграфы.
Даже ярые приверженцы ipv6 на данный момент не отрицают, что переход на ipv6 на данный момент бОльший геморой, чем ipv4 nat, НО в будущее за ipv6 и этот геморрой пройти придется. Я так решил - придется так придется, как только будет 20-30% трафика в сети на ipv6, вот тогда и я дёрнусь, как isp. Надеюсь к этому времени и железо ipv6 подешевеет.
А пока тысячи хомяков сидят на своих вконтактах совершенно прекрасно и через nat :)
> как только будет 20-30% трафика в сети
> на ipv6, вот тогда и я дёрнусь, как isp. Надеюсь к
> этому времени и железо ipv6 подешевеет.
> А пока тысячи хомяков сидят на своих вконтактах совершенно прекрасно и через
> nat :)+1
> То есть @#$ться с ipv6 у вас время якобы есть... Взаимоисключающие параграфы.Ну так еслу уж ться - так с новым нормальным протоколом, которого потом на ближайшие пару столетий хватит. А не костылями, по принципу выкрасить и выбросить.
> Даже ярые приверженцы ipv6 на данный момент не отрицают, что переход на
> ipv6 на данный момент бОльший геморой, чем ipv4 nat,А все-равно придется. Не вижу смысла ссать против ветра. Перед смертью не надышишься. Поэтому дайте уже трупику спокойно умереть. Хватит его мучать.
> А пока тысячи хомяков сидят на своих вконтактах совершенно прекрасно и через nat :)Откажитесь от компьютера. Миллиарды хомяков пока живут и без него.
>> А пока тысячи хомяков сидят на своих вконтактах совершенно прекрасно и через nat :)
> Откажитесь от компьютера. Миллиарды хомяков пока живут и без него.Вы предлагаете внедрять все новые решения без оглядки на необходимость, затраты финансов и времени. Прелестно. Угадайте, уволят раньше - вас или оратора которому вы даете глупые советы?
>>> А пока тысячи хомяков сидят на своих вконтактах совершенно прекрасно и через nat :)
>> Откажитесь от компьютера. Миллиарды хомяков пока живут и без него.
> Вы предлагаете внедрять все новые решения без оглядки на необходимость, затраты финансов
> и времени.Вы хоть предыдущее сообщение прочитайте, прежде чем приписывать мне слова.
>Прелестно. Угадайте, уволят раньше - вас или оратора которому
> вы даете глупые советы?Что стебаюсь над узким взлядом - это незаметно? :)
>> Вы хоть предыдущее сообщение прочитайте, прежде чем приписывать мне слова.
> Ну хоть какая-то польза от этих бсдшников - они тоже за ipv6 вроде :)Какая польза от некоторых анонимусов, если кроме тупых попыток оскорбить и унизить - у них ничего за душонкой нет?
До сих пор я считал, что есть мир и в нем есть людей, увлеченных развитием информационных технологий. Без границ и предрассудков.
Но читая opennet & lor уже лет 10, обнаруживаю, что появился некоторый сегмент молодых людей, которые начинают себя причислять к чему-то, в развитии чего они
1 не принимали и не принимают участия, ни деньгами, не работой
2 историю чего они не знают и не понимают
3 стандарты, алгоритмы и логики дейсвия которых они не знают и изучать не намерены, в силу разных причин.Некоторые обозначают их попросту - "школота".
Интеллект как инструмент анализа, прогностики и создания чего-либо у них развит слабо, системно-аналититеские навыки так же очень слабые, как следует, знания о мире и его технологиях мозаичные, скудные, роль в этом мире в основном потребительская.Эти молодые люди, выделившись из толпы потребителей лишь тем, что потребили общественный продукт под некоторым брендом X (ровно тогда, когда инженеры сделали его инсталяцию крайне автоматической), уже считают себя членами некоей группы X, и, поскольку X - технологичный продукт, также специалистами в технологиях.
И они, эта так называемая "школота", начинают бравурно делить мир технологий на примитивные и понятные им ассоциативные группы - "линуксоиды", "бсдишники", ... далее их знания о технологиях заканчиваются.
Пользы от них инженерным (engineer - строитель, изобретатель, техник) пользы - ноль. Шума - много.
На 1 инженера приходиться минумум 10 единиц потреблядской анонимной X-школоты, которая жаждет халявы, меряется письками, уровнем и формами потреблядства, придумывает новые прозвища и все остальное биомассово-планктонистое.Вот и вся польза в развитии.
А вам, молодой человек, неплохо бы изучить историю и идеологию проектов, идуших от компьютерных лабораторий института в Беркли, и посмотреть код, и потом наконец понять - эти проекты всегда были и будут перспективными полигонами для стабильного и переносимого кода сетевых коммуникаций, и на данный момент эти проеты являются примерами реализации, к примеру, IPv6 & K, SCTP, расширений TCP.
Это делается людьми в указанных проектах для всего мира, без дебильных делений на "пацанов маего райёна и не маего". Тем более причастность к X - не более чем потреблядская.
>> Ну хоть какая-то польза от этих бсдшников - они тоже за ipv6 вроде :)
> Какая польза от некоторых анонимусов, если кроме тупых попыток оскорбить и унизить
> - у них ничего за душонкой нет?Вообще, "бсдшник" не такое уж и ругательство, скорее это просто подраузмевает некий шаблон стереотипов/взглядов которые у вас тоже есть. Мне этот шаблон не очень нравится из-за наличия в нем довольном существенных ляпов в применяемой логике.
> До сих пор я считал, что есть мир и в нем есть людей, увлеченных развитием
> информационных технологий. Без границ и предрассудков.Могу сообщить что в одном у нас точка зрения совпадает: IPv6 нужен. Да, мы разные, но в вопросах развития наши взгляды вероятно довольно хорошо пересекаются.
> Но читая opennet & lor уже лет 10, обнаруживаю, что появился некоторый
> сегмент молодых людей, которые начинают себя причислять к чему-то, в развитии
> чего ониДля начала - вы ничего не знаете о моем возрасте, но что-то вещаете про молодых людей. Вам не кажется что это некультурно?
> 1 не принимали и не принимают участия, ни деньгами, не работой
Не согласен. Во первых я за свою жизнь реализовал несколько протоколов так или иначе. И вполне себе провожу эксперименты с IPv6 и готовлюсь к его широкомасштабному запуску. Это то что должен делать любой уважающий себя человек двигающий прогресс. И да, как ни странно мне в этом сегменте маршрута с вами вполне по пути.
> 2 историю чего они не знают и не понимают
Напротив. Я стараюсь быть более-менее в курсе истории IT, в силу общего интереса к IT. И заодно - я вполне в состоянии оценить насколько сфэйлили с исторической точки зрения *bsd слив на 10 лет более молодой системе. Пробакланить 10-летнюю фору да еще с более либеральной лицензией - это еще постараться надо. Можно найти 100500 отмазок, но кого это волнует? Как и какие процессы разработки работают эффективнее - уже показано, фарш невозможно провернуть назад.
> 3 стандарты, алгоритмы и логики дейсвия которых они не знают и изучать
> не намерены, в силу разных причин.Wrong. Я наоборот люблю state of art алгоритмы. И мне интересны протоколы в массе своей. Вам бы хотелось думать что это не так? Более того - я люблю въезжать в инновационные штуки, являющиеся достижением человечества и шагом вперед. Например, нечто типа алгоритма Kademlia. Вот такая фигня :P.
> Некоторые обозначают их попросту - "шкoлота".
При том некоторые - пытаются видеть то что им хотелось бы, а не то что есть по факту. Ведь назвать оппонента чем-то таким - это же так удобно, правда? А то что я окончил школу хренадцать лет назад можно и не замечать :)
> Интеллект как инструмент анализа, прогностики и создания чего-либо у них развит слабо,
> системно-аналититеские навыки так же очень слабые, как следует, знания о мире
> и его технологиях мозаичные, скудные, роль в этом мире в основном потребительская.Это точно про меня? Я тот кто изучает протоколы и даже иногда дизайнит свои, при необходимости. Странный какой-то потребитель получается, не?
> инсталяцию крайне автоматической), уже считают себя членами некоей группы X, и,
> поскольку X - технологичный продукт, также специалистами в технологиях.А, я кажется начинаю понимать. Ты про изенов и тигаров. Которые считают что использование ими системы X автоматически делает их крутыми спецами. А я как-то вот не считаю что мое использования той или иной системы автоматом причисляет меня к крутым специалистам.
> И они, эта так называемая "шкoлота", начинают бравурно делить мир технологий на
> примитивные и понятные им ассоциативные группы - "линуксоиды", "бсдишники", ... далее
> их знания о технологиях заканчиваются.А как ты проверил где заканчиваются мои знания? Я что-то не помню чтобы высылал тебе свой коредамп :)
> Пользы от них инженерным (engineer - строитель, изобретатель, техник) пользы - ноль. Шума - много.
Есть те кому инженерный подход чужд. В частности академики от *bsd этим грешат. Задача инженера сделать чтобы хорошо работало и она приоритетнее чем академическая стройноть. У академиков ровно наоборот ;). У школoло - вообще никак, как ты верно подметил.
> На 1 инженера приходиться минумум 10 единиц потреб-дской анонимной X-шкoлоты, которая
> жаждет халявы, меряется письками, уровнем и формами потреб-дства, придумывает новые прозвища
> и все остальное биомассово-планктонистое.А вот это верно замечено. Правда я что-то не припоминаю чтобы объем захаванного являл какой-то предмет моей гордости.
> Вот и вся польза в развитии.
А чего из перечисленного является развитием? Я что-то не догнал.
> А вам, молодой человек, неплохо бы изучить историю и идеологию проектов, идуших
> от компьютерных лабораторий института в Беркли, и посмотреть код,И заодно поучиться тому как НЕ НАДО рулить проектами. Потому что когда сначала городится супердупер система универсального журналирования для всех ФС вообще, а потом оказывается что кроме древнего как г-но мамонта UFS так журналить нечего, а современным ФС вообще все это не вперлось потому что они просто иначе работают на уровне базового устройства логики. С инженерной точки зрения сие называется продолбом, потому что прорва ресурсов слита в канализацию - здоров поработали ... над неперспективным проектом без будущего.
Линуксоидные ядерщики, будучи именно толпой инженеров заинтересованы не в академической крутизне концепций а в том чтобы оно нормально ездило по реальным дорогам реальной планеты. Поэтому у них как-то расходование человеческих ресурсов в целом получается оптимальнее. А учтя что этих ресурсов еще и больше... ;)
> и потом наконец понять - эти проекты всегда были и будут перспективными полигонами
> для стабильного и переносимого кода сетевых коммуникаций, и на данный момент
> эти проеты являются примерами реализации, к примеру, IPv6 & K, SCTP, расширений TCP.SCTP помнится больше всех проталкивал вообще IBM. Который его в линух усиленно пропихивал. И там он есть. И даже некие баги оного протокола там отлавливали. Правда особого распостранения SCTP так и не получил.
> Это делается людьми в указанных проектах для всего мира, без дебильных делений
> на "пацанов маего райёна и не маего". Тем более причастность к X - не более чем потреб-дская.В моем случае это не "потребццкая" а "поведенческая" классификация. Я так называю типовые шаблоны поведения. И да, я не виноват что некоторые двуногие достаточно предсказуемы для того чтобы можно было выделить типовые шаблоны поведения вплоть до того что ты заранее знаешь что и как сделает вон тот индивид еще до того как он реально это сделает.
Не ответ, а просто классическая сказка. Спасибо за доставленное удовольствие в кофе-брейк :)> Вообще, "бсдшник" не такое уж и ругательство, скорее это просто подраузмевает некий
> шаблон стереотипов/взглядов которые у вас тоже есть.Таки пренебрежительное именование применяется в контексте с целью рангового унижения оппонента или нет? Определитесь пожалуйста.
У "вас шаблоны" - это у меня лично, или вы указываете некий неопределенный круг лиц?
> Мне этот шаблон не очень нравится из-за наличия в нем довольном существенных ляпов в применяемой логике.
Идеальная модель мировозрения - это ваша лично? Иная не совпадает с вашей? Не нравиться вам, и что из этого следует?
>> Но читая opennet & lor уже лет 10, обнаруживаю, что появился некоторый
>> сегмент молодых людей, которые начинают себя причислять к чему-то, в развитии
>> чего они не принимали и не принимают участия, ни деньгами, не работой
> Для начала - вы ничего не знаете о моем возрасте, но что-то
> вещаете про молодых людей. Вам не кажется что это некультурно?Получается, вы в данном ответе себя сами идентифицировали. Далее у вас текст исходя из этой самоидентификации.
>> А вам, молодой человек, неплохо бы изучить историю и идеологию проектов, идуших
>> от компьютерных лабораторий института в Беркли, и посмотреть код,
>И заодно поучиться тому как НЕ НАДО рулить проектами.Надеюсь, вы напишете КАК НАДО РУЛИТЬ проектами. С указанием приближенно идеальных, в соотвествии с их техническими заданиями, имеющимися ресурсами, контекстом проведения, и оптимальной структурой управления в целях достижения ключевых показателей.
"Рулить проектами" для того "что бы просто ездило" - это новое слово в управлении проектами. Надо будет это включить в следущую редакцию ITIL и направить как стандарт ISO.
>Линуксоидные ядерщики, будучи именно толпой инженеров заинтересованы не в академической крутизне концепций а в том чтобы оно нормально ездило по реальным дорогам реальной планеты.
Вот это очень интересно. Особенно про "толпу инженеров". И про "просто нормально ездило". А понятие "академическая крутизна" просто доставило удовольствие :)
Так сколько лет назад вы окончили школу? Только школу, без института?
>> Пользы от них инженерным (engineer - строитель, изобретатель, техник) пользы - ноль. Шума - много.
>Есть те кому инженерный подход чужд. В частности академики от *bsd этим грешат.Как понимаю, есть маги станкостроения и поэты машинного кода? Не укажете конкретно, где и кто?
Вы не напишете пофамильно "академиков от *bsd"? Насколько понимаю, вы разобрались в этой теме.
>Потому что когда сначала городится супердупер система универсального журналирования для всех ФС вообще, а потом оказывается что кроме древнего как г-но мамонта UFS так журналить нечего, а современным ФС вообще все это не вперлось потому что они просто иначе работают на уровне базового устройства логики.
RTFM. Матчасть GEOM и UFS. Херню городите.
>Поэтому у них как-то расходование человеческих ресурсов в целом получается оптимальнее. А учтя что этих ресурсов еще и больше... ;)
На основании какого объективного анализа сделаны данные выводы? Оптимальнее чего и по каким ключевым критериям, и в каких еденицах измерения? Цели оптимизации - что бы "просто ездило", или есть более стратегические цели?
Извините, вы какой анонимус? А то их много, путаюсь, непонятно с кем диалог.
только вот, незадача, к моменту когда траф подтянется к 20-30% практически все соседи-конкуренты будут выдавать по пару десятков ipv6 адресов каждому
и админу прийдётся искать новую работу, потому как пользователи переметнулись к более вменяемым соседям, которые решили не ждать падения цен, а позаботились обо всём заблаговременно...
> только вот, незадача, к моменту когда траф подтянется к 20-30% практически все
> соседи-конкуренты будут выдавать по пару десятков ipv6 адресов каждому
> и админу прийдётся искать новую работу, потому как пользователи переметнулись к более
> вменяемым соседям, которые решили не ждать падения цен, а позаботились обо
> всём заблаговременно...Никто никаких пару десятков адресов выдавать не будет. Потому, что если это и нужно кому-то, то только задротам, решившим съэкономить на доступе к сети подключившись всем гуртом на одно подключение, тем более, что сотка мегабит уже стоит недорого и ее всем хватит.
Конечному пользователю от ipv6 не будет никакого прока и следовательно, никаких перебежек только из-за этого не будет.
читал, читал... и надоелоНе надо думать за меня, за пользователя. И бирки вешать всем тоже перестаньте.
Я возьму 10 IP, а зачем я разберусь без вас. Вы же можете продать или не продать , а если не вы так кто-то другой.
Если бы все это было никому не нужно, его бы и не было.
> Конечному пользователю от ipv6 не будет никакого прока и следовательно, никаких перебежек
> только из-за этого не будет.Возможность доступиться к своему холодильнику без траха с настройкой ната и попросить микроволновку погреть корм пока я еще только еду - фича, даже если вам с вашей убогой инфраструктурой и гипертрофированной жабой и удобнее было бы думать иначе. При чем это фича понятная даже хомяку. Настроить холодильник регаться на бесплатном имени типа dyndns может кто угодно кто видел браузер и сайты. А вот въехать что такое нат и форвардинг портов - уже не всем дано. А тем кому дано - геморрой тоже как-то не в кайф.
> 2) Вообще, stateful файрвол штука довольно опциональная и нужная не всем.Огаугу, хомячки без него превратятся в ботнет за считанные дни.
> В IPv4 тупо не предусмотрен адрес длиннее 32 бит.
Достаточно было изменить адресацию. Вместо изменения адресации сломали всё.
> А @#$ться с этими вашими натами - вот мне больше делать нечего, да.
Ну дык идите уже в IPv6, почему вы пишете на этот сайт через IPv4?
"Достаточно было изменить адресацию. Вместо изменения адресации сломали всё."
+1Добавили бы пару байт на адресацию и всё проблема решена нет надо было учудить. Одни заголовки и то выросли в 2 раза.....
>> 2) Вообще, stateful файрвол штука довольно опциональная и нужная не всем.
>Огаугу, хомячки без него превратятся в ботнет за считанные дни.Вас волнует судьба хомячков?
>> В IPv4 тупо не предусмотрен адрес длиннее 32 бит.
>Достаточно было изменить адресацию. Вместо изменения адресации сломали всё.Где же вы были лет 10-12 назад?
>> А @#$ться с этими вашими натами - вот мне больше делать нечего, да.
>Ну дык идите уже в IPv6, почему вы пишете на этот сайт через IPv4?# host opennet.ru
opennet.ru has address 77.234.201.242
opennet.ru mail is handled by 10 zhadum.tyumen.ru.# host ipv6.google.com
ipv6.google.com is an alias for ipv6.l.google.com.
ipv6.l.google.com has IPv6 address 2a00:1450:4010:c00::63# ping6 ipv6.l.google.com.
PING6(56=40+8+8 bytes) 2001:xxxx:xxxx:xxxx::f2:8 --> 2a00:1450:4010:c00::63
16 bytes from 2a00:1450:4010:c00::63, icmp_seq=0 hlim=52 time=134.201 ms
16 bytes from 2a00:1450:4010:c00::63, icmp_seq=1 hlim=52 time=134.189 ms
16 bytes from 2a00:1450:4010:c00::63, icmp_seq=2 hlim=52 time=133.287 msЧерез тунельный посредник, но тунель перманентный и свой ipv6 адрес сети. Года как два. Работает как часы. Хотя еще бывают моменты, когда ipv6 internet сегменты расползаются.
Допустим, получаю в дороге временный ipv6 адрес посредством miredo, а к своим сетям от сетей брокера miredo пути нет.А nat уже поперек глотки. Не могем использовать двунаправленные сервисы, и вообще где есть listen на стороне.
И прочая фигня около этого. Например, через MTS super5G не создается l2tp туннель. Про gre уже молчу, невозможен в принципе.
А если два nat навстречу другу другу - то вообще сливай воду, причем танцы вокруг pat не всегда помогут, да и неудобно это, и достало.
>>Огаугу, хомячки без него превратятся в ботнет за считанные дни.
> Вас волнует судьба хомячков?Меня волнует число ботнетов, спам, траф и pps, ими генерируемый.
>>Достаточно было изменить адресацию. Вместо изменения адресации сломали всё.
> Где же вы были лет 10-12 назад?К сожалению, не там, где надо бы было. 12 лет назад я был студентом.
> Через тунельный посредник, но тунель перманентный и свой ipv6 адрес сети.
Это хорошо, пока юзеров <0.5%. С ростом числа юзеров "туннельные посредники" захлебнутся трафиком.
>> Через тунельный посредник, но тунель перманентный и свой ipv6 адрес сети.
> Это хорошо, пока юзеров <0.5%. С ростом числа юзеров "туннельные посредники" захлебнутся
> трафиком.Но тогда у нас уже будет мало-мальски отработанная методика и маленько отработанный код, не так ли?
Тунельные брокеры - это переходное решение, и это написано в азбуке, и их аннотациях.Вообще, мир несовершенен. Эксплутационные хвосты IPv4 будут сказываться в обществе еще долго, очень долго. И придется искать компромиссы, ибо ... нельзя сказать миру - давайте, выключимся на 3 месяца, подумаем, и быстренько все переделаем.
Вы же знаете такой термин - унаследованные системы?Вообще, вы так горячо ищете недостатки в технологии... может смысл уравновесить их преимуществами?
Или вы боитесь, что не освоите технологический переход?
> Но тогда у нас уже будет мало-мальски отработанная методика и маленько отработанный код, не так ли?Не так. Когда тогда, кто это мы и какая такая методика и насколько отработанной она будет?
> знаете такой термин - унаследованные системы?
Нет, не знает. Он специально пришел сюда, что бы вы ему тыкали в лицо с умным видом фразами типа "это написано в азбуке" и "мир несовершенен" и задали кучу вопросов, заместо разъяснения своей позиции.
> может есть смысл уравновесить их преимуществами?
Есть, но не забывая о том новые недостатки должны перевесить новые недостатки. Первостепенная задачи админа обеспечить работоспособность существующей системы. Ну, конечно кроме таких интерпрайз-аминов как вы, которым неважно что их сети периодически недоступны из Интернета. Как вы там писали?
> Допустим, получаю в дороге временный ipv6 адрес посредством miredo, а к своим сетям от сетей брокера miredo пути нет.
> Или вы боитесь, что не освоите технологический переход?А чего боитесь вы? Хотите об этом поговорить?
Не надо мерить всех по себе, далеко не у всех такие специфические задачи как у вас, большинству таки стабильность важнее чем отдельные фичи. Это же написано в азбуке.
А по существу вопроса - освойте уже туннелирование которое работает через NAT. И смиритесь уже что мир не совершенен.
>> Но тогда у нас уже будет мало-мальски отработанная методика и маленько отработанный код, не так ли?
> Не так. Когда тогда, кто это мы и какая такая методика и
> насколько отработанной она будет?1 Знание логики ipV6 и ее отличий от ipV4
2 Знание кодовой базы, что где и как
3 Опробированые решения и опыт их получения>> знаете такой термин - унаследованные системы?
> Нет, не знает. Он специально пришел сюда, что бы вы ему тыкали
> в лицо с умным видом фразами типа "это написано в азбуке"
> и "мир несовершенен" и задали кучу вопросов, заместо разъяснения своей позиции.Товарищъ публикуется. А не пришел. Человек, который хочет узнать - читает этот гребаный мануал, и пробует ставить и решать задачи.
А не пишет 20 сообщений, общий смысл которых "мир дерьмо, и живет не по тем стандартам".
>> может есть смысл уравновесить их преимуществами?
> Есть, но не забывая о том новые недостатки должны перевесить новые недостатки.
> Первостепенная задачи админа обеспечить работоспособность существующей системы. Ну,
> конечно кроме таких интерпрайз-аминов как вы, которым неважно что их сети
> периодически недоступны из Интернета. Как вы там писали?Так и флаг с ними. Их кто трогает? Хоть флажками пусть данные передают, хоть почтовыми голубями.
Стандарты в мире пишутся без их участия.>> Допустим, получаю в дороге временный ipv6 адрес посредством miredo, а к своим сетям от сетей брокера miredo пути нет.
>> Или вы боитесь, что не освоите технологический переход?
> А чего боитесь вы? Хотите об этом поговорить?У меня два года как некоторые как пара площадок работают по транспорту ipV6. Для получения опыта. Даже методички небольшие написал.
> Не надо мерить всех по себе, далеко не у всех такие специфические
> задачи как у вас, большинству таки стабильность важнее чем отдельные фичи.
> Это же написано в азбуке.Да. Но проблема в некоторых из них - ради сохранения своей мифической "стабильности" они готовы задушить любого, кто предложить инновации.
> А по существу вопроса - освойте уже туннелирование которое работает через NAT.
Ух ты. Это круто! Может вы и H323 через NAT? и IPsec? Ну вы круты!
> И смиритесь уже что мир не совершенен.
:)
"Присоединяйтесь, Мюнхаузен, присоединяйтесь" (c) Шварц.
> Ух ты. Это круто! Может вы и H323 через NAT? и IPsec?
> Ну вы круты!Думаю, с помощью какого-нибудь решения, которое это будет туннелировать внешне в tcp/udp это вполне возможно.
Впрочем, это всё равно костыльно. Лучше уж перейти на v6 сразу и навсегда.
>> Ух ты. Это круто! Может вы и H323 через NAT? и IPsec? Ну вы круты!
> Думаю, с помощью какого-нибудь решения, которое это будет туннелировать внешне в tcp/udp
> это вполне возможно.NAT traversal, мать его...
http://en.wikipedia.org/wiki/NAT_traversal
При том, что половина оргинальной логики, та, в которой listen socket на стороне клиента, все одно как минимум через жопу работает, если вообще работает в конкретной ситуации.Еще веселее, когда два встречных NAT... (тут у меня начинается один сплошной мат).
При том, что реально блок адресов получить становиться все cложнее, инженерные службы в рф, да и не только - полтора инженера на 1000 маркетологов, и просить у провайдера что-то сделать сложнее типового 2+2 - утрировано, проще свой кабель для клиента проложить.
> Впрочем, это всё равно костыльно.
И вот эти workarounds, к примеру, в fbsd, что под рукой:
http://svnweb.FreeBSD.org/base/release/9.0.0/sys/netinet/lib.../
Аналогичные во других.> Лучше уж перейти на v6 сразу и навсегда.
При том что иметь гибридный стек ipv4/6 стандарты никак не мешают.
> Огаугу, хомячки без него превратятся в ботнет за считанные дни.Да вообще-то нынче по статистике до 2/3 хомяков - доступны на вход. Поэтому ничего принципиально не изменится. Благо провы и так убили наиболее опасные протоколы типа виндовых шар по портам.
>> В IPv4 тупо не предусмотрен адрес длиннее 32 бит.
> Достаточно было изменить адресацию. Вместо изменения адресации сломали всё.Да, еще ряд фирменных дебилизмов выпилили, типа маразма когда роутер должен фрагментировать пакеты сам. Ну и круто, меньше работы роутерам. Конечно там своих дебилизмов - есть. Но по крайней мере ряд известных пролечили.
> Ну дык идите уже в IPv6, почему вы пишете на этот сайт через IPv4?
Дык когда будет поддерживать v6 - и приду ведь.
Сначала пишем сервисы, которые слушают непонятно какие порты и творят с полученной информацией незнамо что, запускаем их, даем и полномочия, а потом пытаемся исправить проблему, прачась за NATом? Вам это не кажется малость кривым решениеи проблемы?
> Сначала пишем сервисы, которые слушают непонятно какие порты и творят с полученной
> информацией незнамо что, запускаем их, даем и полномочия, а потом пытаемся
> исправить проблему, прачась за NATом? Вам это не кажется малость кривым
> решениеи проблемы?А вы объясните это хомячкам...
> А вы объясните это хомячкам...А у хомячков и так вирусов навалом. Что с натом, что без. Зато когда хомячок хочет вывесить вебморду какого-нибудь холодильника - тут начинается гемор. Надо портфорвард настраивать, да еще на недефолтные порты, так что потом просто сходить в браузере на красивый адрес не проканает.
> А у хомячков и так вирусов навалом. Что с натом, что без.
> Зато когда хомячок хочет вывесить вебморду какого-нибудь холодильника - тут начинается
> гемор. Надо портфорвард настраивать, да еще на недефолтные порты, так что
> потом просто сходить в браузере на красивый адрес не проканает.Я представляю собой немаленький ISP. Доля таких реквестов по моей статистике - 0.014%. Почти никому не нужно ничего пробрасывать наружу. Не особо сложные случаи мы всё же решаем, а привередливых клиентов с требованиями посылаем к конкурентам :)
> Я представляю собой немаленький ISP. Доля таких реквестов по моей статистике -
> 0.014%. Почти никому не нужно ничего пробрасывать наружу.10-12 лет назад совсем немаленькие ISP рассказывали мне хором - а нафига каждому свой сайт?
> 10-12 лет назад совсем немаленькие ISP рассказывали мне хором - а нафига
> каждому свой сайт?Действительно - нафига васе пупкину сайт. Ничего не изменилось - сайты есть только у тех, кому они нужны. _каждому_ они не нужны, и у _каждого_ их нет.
> Действительно - нафига васе пупкину сайт.Чтобы вести там свой бложик, рулить своим холодильником и микроволновкой, попутно глядя в камеру наблюдения что в его отсутствие никто не вломился и прочая. Все это уже появляется, а вот ipv4 к этому ну совсем никак не готов. Ну не должно быть такого даунизма что я должен звонить провайдеру чтобы, бл, к морде своей вебкамеры доступиться. Это ад, содом и геморрой. Вот тех кто готов так долбаться и есть 0.014%, но это не значит что эта жалкая величина являет собой спрос на эту услугу. Это число тех кто готов трахать мозг себе и службе поддержки провайдера.
>> Действительно - нафига васе пупкину сайт.
> Чтобы вести там свой бложик, рулить своим холодильником и микроволновкой, попутно глядя
> в камеру наблюдения что в его отсутствие никто не вломился и
> прочая. Все это уже появляется, а вот ipv4К этому не готов сам вася, а не ipv4. Ну и вася будет жестко удивлён, когда его камерой ночью порулят, сняв приват-видео васи с женой, поскольку пароли задавать не приучен.
> будет жестко удивлён, когда его камерой ночью порулят, сняв приват-видео васи
> с женой, поскольку пароли задавать не приучен.На самом деле таких вась в ipv4 - есть. Правда ну порулили вы камерой смотрящей приват-мега-супер ... в гараже васи. Правда вот что вася с женой забыл в гараже? :)
>> 10-12 лет назад совсем немаленькие ISP рассказывали мне хором - а нафига
>> каждому свой сайт?
> Действительно - нафига васе пупкину сайт. Ничего не изменилось - сайты есть
> только у тех, кому они нужны. _каждому_ они не нужны, и
> у _каждого_ их нет.Конечно, я написал утрировано. Что можно ожидать от человека, если он вырос максимум с проводным телефоном. Пока нет у каждого физического лица. В ЕС+USA+Юг Азии - норма у каждого юридического лица. Но количество на лицо за 10 лет увеличилось на три порядка минимум.
Будут новые возможности - будут новые типовые решения.Сайт в мобильном - почему бы и нет? :)
> Я представляю собой немаленький ISP. Доля таких реквестов по моей статистике - 0.014%.
> Почти никому не нужно ничего пробрасывать наружу.А вы никогда не думали что такая доля реквестов - это не потому что юзерам не хотелось бы сходить на мойолодильник.мояхата.рф, а потому что как раз вот такой вот геморрой - надо куда-то звонить, с каким-то бубном плясать, блаблабла.
>> Я представляю собой немаленький ISP. Доля таких реквестов по моей статистике - 0.014%.
>> Почти никому не нужно ничего пробрасывать наружу.
> А вы никогда не думали что такая доля реквестов - это не
> потому что юзерам не хотелось бы сходить на мойолодильник.мояхата.рф, а
> потому что как раз вот такой вот геморрой - надо куда-то
> звонить, с каким-то бубном плясать, блаблабла.+1. Спасибо, мои мысли читаете :)
> Позвольте поинтересоваться причинами в основе Вашего заявления.Позволю. Как насчет выдать подсеть IPv6 по PPPoE? На клиентский роутер-мыльницу? Много ли мыльниц с поддержкой IPv6? Сколько из них могут нормально бриджевать IPv6? Если они бриджуют - можно ли их называть роутерами? Как быть с файрволингом хомяков (NAT решает эту проблему, отчасти)? Сколько-таки выдаваять хомякам - /64, /56, или как "белым людям" - /48? Если выдавать более /64 - что-таки делать с роутингом через мыльницы? Ну и так далее - если интересно, читайте тему на наге - там уже 30 с лишним страниц полемики, больше вопросов, чем ответов.
С интересом почитаю. Что значит нага?
> С интересом почитаю. Что значит нага?
> Позволю. Как насчет выдать подсеть IPv6 по PPPoE? На клиентский роутер-мыльницу?А нафига. Проще выдать /64 мыльнице, и чтоб она могла еще и кофемолке раздать нормальный белый айпи. Тогда юзер сидя в кафехе сможет указать своей кофемолке что ей надо делать. Сейчас для этого юзеру приходится "стоя, в гамаке".
>> Позволю. Как насчет выдать подсеть IPv6 по PPPoE? На клиентский роутер-мыльницу?
> А нафига. Проще выдать /64 мыльнице, и чтоб она могла еще иИменно. Теперь прочитайте первое слово моего вопроса. КАК? В рамках IPv6 автоконфигурация клиента представляет собой замечательное извращение. Кроме того - если мыльница выдаст далее /xx: эти /xx - это что? /128? а вдруг там еще такой роутер-мыльница? ему чего выдавать и как? но это еще не всё: выдав - будем действовать свитчем или роутером? свитчем - пропускать маки из /64 в сторону провайдера, до 65к маков - провайдеру это очень не понравится. подменять мак на свой собственный, и дальше транслировать? вариант, но уже тоже своеобразный NAT, хоть и без трекинга соединений, поадресный. т.е. меняем шило на мыло. ну и на сладкое: по PPPoE/PPTP/L2TP можно выдать только p-t-p IPv6. как быть с этим? стандартов автоконфигурации поверх PPP для IPv6 - только router solicitation, еще тот геморрой.
> выдав - будем действовать свитчем или роутером?OMG. Не вижу смысла с вами говорить при таком уровне. Учите матчасть.
>> выдав - будем действовать свитчем или роутером?
> OMG. Не вижу смысла с вами говорить при таком уровне. Учите матчасть.Это вы учите матчасть, для начала. Подсеть у них общая. Причём общая с провайдером, если линк-локалов нет.
Вопрос в следующем:
Провайдер - xxx.1/64
"Роутер" - xxx.2/64
За "роутером" - xxx.yyy/64
Итак - каким образом "роутер" будет пробрасывать фреймы от xxx.yyy к внешней сети? Подумайте, прежде чем ответить. А потом - подумайте, свитч он, или роутер.
> Итак - каким образом "роутер" будет пробрасывать фреймы от xxx.yyy к внешней
> сети? Подумайте, прежде чем ответить. А потом - подумайте, свитч он, или роутер.Если нечто роутит - это, очевидно, роутер.
>[оверквотинг удален]
>> OMG. Не вижу смысла с вами говорить при таком уровне. Учите матчасть.
> Это вы учите матчасть, для начала. Подсеть у них общая. Причём общая
> с провайдером, если линк-локалов нет.
> Вопрос в следующем:
> Провайдер - xxx.1/64
> "Роутер" - xxx.2/64
> За "роутером" - xxx.yyy/64
> Итак - каким образом "роутер" будет пробрасывать фреймы от xxx.yyy к внешней
> сети? Подумайте, прежде чем ответить. А потом - подумайте, свитч он,
> или роутер.А за каким ему фреймы пробрасывать? Можно вопрос? Ethernet? ATM? FrameRelay? FDDI? =)
> А за каким ему фреймы пробрасывать? Можно вопрос? Ethernet? ATM? FrameRelay? FDDI?
> =)Ethernet, в обсуждаемом случае.
Теоретически - да, достаточно
route: xxx.1/128 -> WAN
route: xxx.2/128 -> LAN, self
route: xxx/64 -> LAN
route: 0 -> xxx.1
И выдавать юзерам .2 как GW.
Слегка костыльно, но работать будет.
Правда, не видел пока мыльниц с этим функционалом.
> Ethernet, в обсуждаемом случае.А если я по вафле или блутусу пакеты кидаю - что он должен пробрасывать? PDU блутуса в эзернет? Это как?
> Правда, не видел пока мыльниц с этим функционалом.
Любая, если в нее openwrt влить и пошаманить с настройкой. Не совсем по юзерски, зато можно сделать покруче цыски по цене г-на и палок.
> А если я по вафле или блутусу пакеты кидаю - что он
> должен пробрасывать? PDU блутуса в эзернет? Это как?Вы путаете L2 и L3. ДОСН.
> Любая, если в нее openwrt влить и пошаманить с настройкой. Не совсем
И как, каждый хомячок к этому готов?
Скачать прошивалка.exe и openwrt.bin.
Скормить последний первой и ура!-Я крутой сисадмин!
> Вы путаете L2 и L3. ДОСН.Нет, я то их как раз не путаю, поэтому мне и интересно - какого ... вы что-то там про мак-адреса вещаете. Они вообще не обязаны существовать на всех мыслимых типах линков. И на половине и не сущестуют.
> И как, каждый хомячок к этому готов?
Насчет каждого не скажу, но вообще там вебморда есть для типовых операций. И живые разработчики, которые вполне вменяемы.
>[оверквотинг удален]
>> =)
> Ethernet, в обсуждаемом случае.
> Теоретически - да, достаточно
> route: xxx.1/128 -> WAN
> route: xxx.2/128 -> LAN, self
> route: xxx/64 -> LAN
> route: 0 -> xxx.1
> И выдавать юзерам .2 как GW.
> Слегка костыльно, но работать будет.
> Правда, не видел пока мыльниц с этим функционалом.Вы не верно расписали. Будет например как то так:
route: xxx.1/128 -> WAN
route: xxx.2/128 -> LAN, self
route: yyy/64 -> LAN
route: 0 -> xxx.1Но скорее всего клиентам будут раздавать не /64 а немного больше.
Это именно те основные грабли IPv6, на которые я указывал - идиотичность организации клиентских подсетей. Речь идёт не о _статически_ преднастроенных линках, а о тоннах хомячков с автоконфигурацией.
Можно, конечно, по другой (правильной) схеме действовать: клиентскому роутеру выдавать линковые адреса, и затем давать ему целую сеть для раздачи. Роутить на него. Но тут тоже подстерегают грабельки, и нефиговые:1. При 40000 клиентов таблица роутинга на концентраторе станет крайне неприятной.
2. Концентраторов, способных оное делать - немного.
3. Клиентских роутеров с такими способностями (схватить линковую подсеть, и клиентскую отдельно) - ещё меньше.
> 3. Клиентских роутеров с такими способностями (схватить линковую подсеть, и клиентскую
> отдельно) - ещё меньше.Клиентскому роутеру надо всего ничего - знать дефолт гейтвей у прова и за какую подсеть он у себя отвечает. Все неизвестное - прову. Все что в свою подсеть - в свою подсеть. Где он там и на что напряжется?!
>> 3. Клиентских роутеров с такими способностями (схватить линковую подсеть, и клиентскую
>> отдельно) - ещё меньше.
> Клиентскому роутеру надо всего ничего - знать дефолт гейтвей у прова и
> за какую подсеть он у себя отвечает. Все неизвестное - прову.
> Все что в свою подсеть - в свою подсеть. Где он
> там и на что напряжется?!На передачу сведений о том что позади него провайдеру. Или вы думаете, что провайдерские роутеры умеют угадывать, что там за адреса позади клиентских мыльниц?
> На передачу сведений о том что позади него провайдеру. Или вы думаете, что провайдерские роутеры умеют угадывать, что там за адреса позади клиентских мыльниц?** поперхнулся чаем**
Основы маршрутизации проходили?
> что провайдерские роутеры умеют угадывать, что там за адреса позади клиентских
> мыльниц?Гым, а только совпадение префикса /64 посмотреть и пулять все с оным в сторону хомякового роутера на его интерфейс, которому это /64 и выдано - не того? А он пусть дальше уже и разбирается куда это девать. Ему виднее что он там и кому выдал. Прововскому роутеру это все вообще нафига знать?
> На передачу сведений о том что позади него провайдеру.Простите, пров и так знает что за ним /64 подсеть которую сам же и выдал. Знать какое именно (N из 2^64) там воткнуто провайдеру не обязательно. Его дело - втолкать это на наш маршрутизатор. Куда и как мы это внутри себя денем - явно не прововские проблемы.
> Или вы думаете, что провайдерские роутеры умеют угадывать, что там за адреса
> позади клиентских мыльниц?Я думаю что они могут без проблем узнать что вон ту /64 подсеть - вон в тот девайс, раз уж пров мне это /64 и выдал, собственно. Кто там дальше это по адресатам распихает уже совсем не прововские проблемы :)
> Именно. Теперь прочитайте первое слово моего вопроса. КАК? В рамках IPv6 автоконфигурация
> клиента представляет собой замечательное извращение.В смысле? Чего там извратного? Каждый желающий выйти в сеть по дефолту получает /64 и может поэтому адресовать внутри себя еще 2^64 девайсов с белыми айпишниками.
> Кроме того - если мыльница выдаст далее /xx: эти /xx - это что? /128? а вдруг там
> еще такой роутер-мыльница?А какие проблемы выдавать подсеть помельче? Если вам для дома не хватит 2^64 адресов - ну я не знаю даже. Пока вон 2^32 на всю толпу как-то пилят. А тут в 2^32 раз больше адресов - и вдруг не хватит одному несчастному дому?! Там чуть ли не каждую бациллу можно будет своим айпишником снабдить.
> ему чего выдавать и как? но это еще не всё: выдав - будем действовать свитчем
> или роутером?ИМХО свич должен быть свичом, роутер - роутером. Что там провайдеру удобнее - пусть озвучит в требованиях к клиенту в договоре.
> свитчем - пропускать маки из /64 в сторону провайдера, до 65к маков -
> провайдеру это очень не понравится.Не вижу каким боком провайдеру эти маки сдались. Хотя если они ему чем-то мешают, пусть требует роутер вместо свича. Будет 1 мак - роутера. На то и роутер, чтоб broadcast domain лимитировать.
> подменять мак на свой собственный, и дальше транслировать? вариант, но уже
> тоже своеобразный NAT,А я думал - обычный роутер. На то и роутер чтобы IP пакеты перекидывать, не заботясь о том что такое какой-то там MAC.
> хоть и без трекинга соединений, поадресный. т.е. меняем шило на мыло.
Роутинг - не натинг.
> ну и на сладкое: по PPPoE/PPTP/L2TP можно выдать только p-t-p IPv6. как быть с
> этим? стандартов автоконфигурации поверх PPP для IPv6 - только router solicitation,
> еще тот геморрой.Закoпать и не вспоминать. Так, если по уму. Вот уж когда у юзеров железки то разгрузятся в разы - так это когда им не надо будет рюхать все это кривое фуфло. Routed сеть - это то как оно было изначально задумано. Наиболее простой и быстрый вариант и вполне работоспособный. А неплательщиков надежнее всего глушить, извиняюсь, просто отключением порта на свиче. Иначе оный может протиснуться через соседа или где там еще, нащупав лазейку в сетке.
>> ну и на сладкое: по PPPoE/PPTP/L2TP можно выдать только p-t-p IPv6. как быть с
>> этим? стандартов автоконфигурации поверх PPP для IPv6 - только router solicitation,
>> еще тот геморрой.
> Закoпать и не вспоминать. Так, если по уму. Вот уж когда у
> юзеров железки то разгрузятся в разы - так это когда им
> не надо будет рюхать все это кривое фуфло. Routed сеть -
> это то как оно было изначально задумано. Наиболее простой и быстрый
> вариант и вполне работоспособный. А неплательщиков надежнее всего глушить, извиняюсь,
> просто отключением порта на свиче. Иначе оный может протиснуться через соседа
> или где там еще, нащупав лазейку в сетке.Насчёт вашего отношения к L2 VPN для данного применения согласен, но вот отключать абонента на порту... Я бы вот посмотрел как бы вам работалось тем менеджером, которому ВСЕ отключившиеся абоненты звонят, что бы узнать - это блокировка сработала, или технические неполадки?
> Насчёт вашего отношения к L2 VPN для данного применения согласен, но вот
> отключать абонента на порту... Я бы вот посмотрел как бы вам
> работалось тем менеджером, которому ВСЕ отключившиеся абоненты звонят, что бы узнать
> - это блокировка сработала, или технические неполадки?У меня в городе почти все провайдеры выключают порт абонента за абонплату.
> работалось тем менеджером, которому ВСЕ отключившиеся абоненты звонят, что бы узнать
> - это блокировка сработала, или технические неполадки?А какая разница? Все-равно и так и так звонить будут если интернет упадет.
> А какая разница? Все-равно и так и так звонить будут если интернет
> упадет.Ни-и. У нас на PPPoE вешается L4R, и абоненты узнают о граблях с балансом путём насильственного попадания на страницу ЛК. А теперь сделайте это на свитчах.
>> А какая разница? Все-равно и так и так звонить будут если интернет
>> упадет.
> Ни-и. У нас на PPPoE вешается L4R, и абоненты узнают о граблях
> с балансом путём насильственного попадания на страницу ЛК. А теперь сделайте
> это на свитчах.А не надо такого делать.
> А не надо такого делать.Ага. Надо конечно же саппорт нагрузить звонками отключаемых абонентов до отказа.
У нас абоненты еще и заплатить в отключке могут, и сайт с кабинетом видят, чтобы долг посмотреть. Это удобно, и этим пользуются реально.
> с балансом путём насильственного попадания на страницу ЛК.Ну попал я на страницу ЛК? И? Провов которые бы вменяемо разрешали при этом платежи через онлайн системы так чтобы это еще и работало я как-то не встречал. Да, прикольно придумано - написано: вы можете оплатить онлайн, так сяк и эдак. Только вот наш фаер давит все что не мы, поэтому не судьба - где-то примерно в середине транзакции вам об этом расскажут. Поэтому как максимум можно грустно поффтыкать на страницу.
А потом, оплатив - почертыхаться на то что это гуано засело в кешах браузера, резольвера или чего там еще, в зависимости от метода hijack-а моего траффика. И вместо нормального сайта - гребаная страница прова, от которой фиг отделаешься.
Нормальные провы с такими схемами биллинга в таком случае просто давят доступ, оставляя доступ только к своему сайту, а я дальше сам схожу, если мне оно надо. А вот вытряхивать это паскудство из кешей - утомительное начинание.
Алсо, если я юзал tor/vpn/... - такой перехват вообще работать не будет как правило. Что к лучшем. В гробу я видел пудаков роющихся в моем траффе, нарушая закон о тайне связи.
> Насчёт вашего отношения к L2 VPN для данного применения согласен, но вот
> отключать абонента на порту... Я бы вот посмотрел как бы вам
> работалось тем менеджером, которому ВСЕ отключившиеся абоненты звонят, что бы узнать
> - это блокировка сработала, или технические неполадки?Странно, МГТС так делает, другие ГТС тоже и не жужжат, чего вдруг образуется нового в интернетах?
> В смысле? Чего там извратного? Каждый желающий выйти в сеть по дефолту
> получает /64КАК ИМЕННО получает? Желательно описать процесс отдельно для DHCP-винды, DHCP-Linux, DHCP-MacOS, PPPoE, PPTP, L2TP, для разных типов мыльниц, ну и на сладкое - для Windows XP. В случае IPv4 всё очевидно, в случае же IPv6 единства нет, а PPPoE/PPTP/L2TP вообще представляют из себя сказочные грабли.
>> Кроме того - если мыльница выдаст далее /xx: эти /xx - это что? /128? а вдруг там
>> еще такой роутер-мыльница?
> А какие проблемы выдавать подсеть помельче?Проблема в телепатическом выделении мыльницей подсети помельче. Либо юзеру всё равно придётся руками писать подсети, либо одно из двух.
> Не вижу каким боком провайдеру эти маки сдались. Хотя если они ему
Вот именно, что не видите. Поэтому и пишете чушь. Намекаю: у свитчей есть CAM, которая не безразмерна (обычно 8-16к на свитч доступа), при этом свитчи доступа часто объединяются в линейки, кольца или звёзды по несколько штук. Кроме того, даже эти 8-16к имеют некоторую коллизионность, поскольку свитчи доступа работают не с маками, а с хешами. Если с каждого юзера вместо одного мака будем видеть десяток - сетям будет плохеть.
>> ну и на сладкое: по PPPoE/PPTP/L2TP можно выдать только p-t-p IPv6. как быть с
> Закoпать и не вспоминать.А управлять 100500 хомячков как предполагаете? Статика годна только для пионернетов, где юзеров не много. В больших сетях нужна статистика, нужно динамическое управление полосой пропускания, причём желательно быстрое, без вмешательства в конфиги железок. Есть концентраторы доступа, которые IPoE поддерживают, но с IPv6 у них всё так же туго.
> А неплательщиков надежнее всего глушить, извиняюсь, просто отключением порта на свиче.
Отключить разом несколько десятков тысяч портов в момент изменения состояния биллинга - это задача, конечно же, очень простая. Особенно с учётом того, что ряд свитчей по причине аварий в этот момент может отсутствовать. Потом ещё придётся сохранить конфиги на паре тысяч свитчей разных моделей (некоторые из которых в случае сборной солянки из покупных пионернетов могут вообще управления не иметь...). И - ваше счастье, если от первого момента до второго ни один свитч не упадёт.
В случае PPPoE/PPTP/L2TP это делается "на счёт раз", без особого напряга и запинок - тупой записью в базу RADIUS, и выдачей CoA для "живых" сессий на считанное число априори живых концентраторов. А вот управление портами годится, повторюсь, только для пионернетов с считанными десятками свитчей.
>>> Иначе оный может протиснуться через соседа или где там еще, нащупав лазейку в сетке.
Лазейку в PPPoE? Ну-ну...
>В больших сетях нужна статистика, нужно динамическое управление полосой пропускания
>Отключить разом несколько десятков тысяч портов в момент изменения состояния биллингану так и пишите, что "продаём траффик, а не интернет". Зачем вам биллинг? Считать, сколько юзер торрентов накачал за свю абонентку? Вам не пофиг? Всё, что вам надо - выдача ограничений скорости на клиентском порту и бухгалтерия, отвечающая за контроль оплаты. Отключать за неуплату в 3 дня, у нас даже гиганты не будут даже пробовать - как набежит сумма в 2-3 абонентки - отключают до полной оплаты. Если вы такие крупные, боитесь потерь в 30$?
> Отключать за неуплату в 3 дня, у нас даже гиганты не будут даже пробовать -
> как набежит сумма в 2-3 абонентки - отключают до полной оплаты.
> Если вы такие крупные, боитесь потерь в 30$?Вы не поверите - крупняк (100000+ абонентов по городу, количество городов не важно) при авансовой системе оплаты отключает сразу же после списания. При кредитной - нет, но у физиков кредитная оплата сейас есть только у РТ.
> Вы не поверите - крупняк (100000+ абонентов по городу, количество городов не
> важно) при авансовой системе оплаты отключает сразу же после списания. При
> кредитной - нет, но у физиков кредитная оплата сейас есть только
> у РТ.ну вот и зачем? Хотя бы такой вариант вам в голову не приходил? Кто-то забыл заплатить/в командировке, а оплатить он можешь в данный момент только через интернет-банк. И вы: а) теряете деньги, б) клиента, в) гадите себе в имидж, вместо того, чтобы позвонить клиенту, выяснить причину, потом проконтролировать. Это не сервис, а продажа талонов.
> ну вот и зачем? Хотя бы такой вариант вам в голову не
> приходил? Кто-то забыл заплатить/в командировке, а оплатить он можешь в данный
> момент только через интернет-банк. И вы: а) теряете деньги, б) клиента,
> в) гадите себе в имидж, вместо того, чтобы позвонить клиенту, выяснить
> причину, потом проконтролировать. Это не сервис, а продажа талонов.Хых. У нас клиенты могут заплатить через Internet-банкинг (VISA/MC) даже при погашенном доступе - они видят сайт, кабинет с техсаппортом онлайновым, и систему банка-партнёра для оплаты визой. Это вам не порт на свитчах класть.
> Хых. У нас клиенты могут заплатить через Internet-банкинг (VISA/MC) даже при погашенном
> доступе - они видят сайт, кабинет с техсаппортом онлайновым, и систему
> банка-партнёра для оплаты визой.----------------
Раша... хорошо. Нет у меня визы. Есть у меня счет. Гуляй-вася? Впрочем, вы даже не понимаете. Забейте. Я верю, придёт нормальная компания и вам сильно гимморойно будет конкурировать :)
Я не из РФ, если что :(
> КАК ИМЕННО получает? Желательно описать процесс отдельно для DHCP-винды, DHCP-Linux, DHCP-MacOS,Какой в ж... dhcp? У ipv6 автоконфигурация без всяких dhcp есть, для начала.
> PPPoE, PPTP, L2TP,
А это вообще маздай. Как раз наконец провы купят себе нормальное оборудование вместо горбатых пионернетовских останков. Делать коммерческую сетку из офисно-домашних свичей - ну знаете, как-то не совсем правильно. Нормальные провы уже давно выводы сделали. А с нормальными свичами можно и более-менее обычный роутинг использовать. Как раз железки у хомяков разгрузятся в несколько раз. А то железку способную осилить pptp на 50 мбит в 2 стороны - это еще суметь надо. Хрень за 1300 рублей точно сольется на этом начинании. А вот чисто роутинг больших пакетов - даже оно осилит.
>> А какие проблемы выдавать подсеть помельче?
> Проблема в телепатическом выделении мыльницей подсети помельче. Либо юзеру всё равно придётся
> руками писать подсети, либо одно из двух.Ну например если тебе дали /64, выдавать /32 всем кто за тобой. Только не надо лечить что 2^32 подсетей с 2^32 девайсов в каждой не хватит домашнему юзеру, ага. Он там может хоть всех бацилл в доме айпишником снабдить.
> каждого юзера вместо одного мака будем видеть десяток - сетям будет
> плохеть.Ну если у вас оборудование которому плохеет, потребуйте чтобы подключение делалось через роутер. Тогда вы не будете видеть мак-адреса чего либо кроме роутера.
> А управлять 100500 хомячков как предполагаете? Статика годна только для пионернетов,
Обычная механика ipv6 + тушить порты через ремотное управление свичом тем кто принципиально не платит. Так ща куча провов с v4 делает, иногда взаимоизолируя хомячков через вланы для уменьшения хаков. И вот что-что а удаленное тушение порта биллингом - ну никак не обойдешь. Тогда как все эти горбыли обычно оставляют те или иные лазейки шибко вумным неплательщикам, заваливаются напрочь при любом отказе серверов и какой там еще геморрой. Не говоря о том что для их терминации нужен обуенный парк серверов.
> где юзеров не много. В больших сетях нужна статистика, нужно динамическое управление
> полосой пропускания, причём желательно быстрое, без вмешательства в конфиги железок.А какая биллингу разница - параметры на серваке покрутить или параметры на железке? Примерно однохренственно получается. Тем более что скорость по интранету мало кого волнует, а скорость интернета можно нарезать и где-то ближе к граничным узлам уже.
> Есть концентраторы доступа, которые IPoE поддерживают, но с IPv6 у них всё
> так же туго.Да просто поразвели извращений всяких а теперь еще и пытаются доказать что это не они виноваты в том что на костылях бегать неудобно.
>> А неплательщиков надежнее всего глушить, извиняюсь, просто отключением порта на свиче.
> Отключить разом несколько десятков тысяч портов в момент изменения состояния биллинга -
> это задача, конечно же, очень простая.Эта задача - подсмотрена, извините, у реальных провайдеров, которые реально так делают - биллинг видя что бабла нет просто идет и кладет порт через интерфейс управления свича. Так реально делает ряд провов. Вполне цивильно работает, всем все понятно и всех вроде устраивает. И для юзера вполне цивильно, и для прова, и работает как обычный такой роутинг для всего оборудования. Очень мило и позитивно получается и все довольны. И нагрузка на малосильные хомячьи роутеры минимальная, в отличие от левых оверлейных протоколов.
До провов кстати доперло что хорошо, когда периоды тарификации абонентов размазаны по времени и поэтому не надо как раз нагибать тысячи абонентов синхронно. Сначала именно была фиксированная дата оплаты. И саппорты дружно вешались в день оплаты, когда тысячи хомяков тотально перегружали колцентры, т.к. половина конечно же забудет про дату оплаты. Сейчас до всех вменяемых провов уже дошло что это не умно и у каждого хомяка оплата - когда он деньги на счет внес, ну и когда внесенное закончилось, соответственно. Поэтому никаких десятков тысяч портов за раз. Никаких тысяч пострадавших в сутки. Все равномерно раскидано, как раз потому что так лучше всем. И биллингу, и хомякам, и прову.
> Особенно с учётом того, что ряд свитчей по причине аварий в этот
> момент может отсутствовать.Ну да, конечно, а повторить попытку - религия не позволит, вероятно. К тому же если свич отсутствует - юзер и так уже выключен :). Насколько справедливо его вообще @#нуть биллингом при этом - вопрос вообще интересный. Ему по идее пересчет должны бы сделать за отвал сети, не?
> управления не иметь...). И - ваше счастье, если от первого момента
> до второго ни один свитч не упадёт.Я уж не знаю как вы нашли проблемы там где их нет, но я знаю нескольких реально существующих провов (довольно крупных) которые делают так как я описал. Какие-то отличия у них могут быть в деталях, но с точки зрения подключающегося это все-равно остается наиболее прямой вариант. С минимальной нагрузкой на хомяковый роутер. И я не вижу почему там не должен взлететь v6.
> В случае PPPoE/PPTP/L2TP это делается "на счёт раз", без особого напряга и
> запинок - тупой записью в базу RADIUS, и выдачей CoA для
> "живых" сессий на считанное число априори живых концентраторов.Ага, а при отвале концентраторов или радиуса у таких будаков вообще такой ад и содом начинается что саппорт готов застрелиться. Вся сеть дружно идет звонить в колцентр, он немедленно становится перегружен и время ожидания в очереди немедленно взлетает вплоть до трех часов слушания музыки (что вставляет при звонке с мобильника).
> А вот управление портами годится, повторюсь, только для пионернетов с считанными десятками свитчей.
Вообще-то именно так делают несколько очень крупных провов, с десятками-сотнями тысяч абонентов. У них получается. Ну а я с удовольствием ими пользуюсь, соответственно. Потому что в гробу я видал кайф 50 мбит pptp разгребать или там куковать совсем без интернета если концентраторы дадут дуба. Да и двойной интерфейс к прову "сначала WAN-DHCP, потом впн поверх" - это дико нестандартное местечковое извращение. В остальном мире так почти не делают вообще.
> Лазейку в PPPoE? Ну-ну...
Сильно зависит от организации сети. Если мне дали айпи на WAN по DHCP и там чего-то доступно - почему бы собственно и нет? В то время как против положенного порта вообще ничего и не придумаешь - только бабло в кассу...
>>> А то железку способную осилить pptp на 50 мбит в 2 стороны - это еще суметь надо. Хрень за 1300 рублей точно сольется на этом начинании.Netgear WNR1000 не сольётся, до 80-100 метров в обе стороны симметрично, синхронно. Linux.
>>> Какой в ж... dhcp? У ipv6 автоконфигурация без всяких dhcp есть, для начала.
Ага. Целых 3 разных. Кросс-вендорной совместимости ждать придётся долго.
>>> А это вообще маздай. Как раз наконец провы купят себе нормальное оборудование вместо горбатых пионернетовских останков. Делать коммерческую сетку из офисно-домашних свичей - ну знаете, как-то не совсем правильно. Нормальные провы уже давно выводы сделали. А с нормальными свичами можно и более-менее обычный роутинг использовать.
Самый надёжный доступ - L2, VLAN per user с концентрацией на BRAS. Никаких проблем, с которыми сталкиваются самоделкины в L3нетах, там нет. Кроме того, такая идеология доступа близка к типовым решениям на базе VC - ADSL, GPON и пр., т.е. можно вообще унифицировать сеть, не оглядываясь на оборудование. А L3неты будут вынуждены городить огород в таких условиях.
>>> Ну если у вас оборудование которому плохеет
Не "у нас", а практически у всех мало-мальски крупных сетей доступа есть такая проблема. Можно конечно на доступ ставить L3-коммутаторы, но 400 рублей за 10 метров вы при этом абоненту уже не дадите. Это, правда, вопрос из другой области.
>>> Обычная механика ipv6 + тушить порты через ремотное управление свичом тем кто принципиально не платит.
И получать 100500+ звонков в саппорт, затраты на саппорт себя при этом не окупят. Не порты тушить надо, а L4R делать. Нормальные сети так и делают, пионернеты могут тушить порты сколько им влезет.
>>> А какая биллингу разница - параметры на серваке покрутить или параметры на железке?
Огромная. Заливка параметров в RADIUS для 10000+ абонентов - <1 сек, заливка параметров на ~1000 разномастных свитчей для тех же 10000+ абонентов с сохранением конфигов в flash - убиться можно. Даже если распараллеливать сильно.
>>> Ну да, конечно, а повторить попытку - религия не позволит, вероятно. К тому же если свич отсутствует - юзер и так уже выключен :). Насколько справедливо его вообще @#нуть биллингом при этом - вопрос вообще интересный.
Очень интересный, учитывая то, что отлетевший из-за питания свитч через час встанет, и абонент благополучно пойдёт качать гигабайты торрентом. Хотя должен бы быть отключен.
>>> Ага, а при отвале концентраторов или радиуса у таких будаков вообще такой ад и содом начинается что саппорт готов застрелиться.
У нас кластеризованный RADIUS (всё, включая БД, кластеризовано), и кластер концентраторов. Шанс отвала таков, что реально ни одного отвала этих подсистем за несколько лет не случалось.
> Хрень за 1300 рублей точно сольется на этом начинании.
> Netgear WNR1000 не сольётся, до 80-100 метров в обе стороны симметрично, синхронно. Linux.Там, если не ошибаюсь 400МГц атерос? Это недурно, но насчет симметричных 100Мбит вы все-таки загибаете IMO. А еще есть фаер, да и QoS недурно бы гонять. На обработку PPTP, даже в виде accel-я, требуется довольно много ресурсов (по сравнению с просто роутингом). Хотя-бы потому, что ppp - вообще довольно задрюканый и извращенский протокол, с эксейпингом и прочим геморроем из эпохи диалапа. Там 80-100Мбит будут буквально в потолок возможностей проца, и то не факт (где пруф с бенчмарками, например?).
>>>> Какой в ж... dhcp? У ipv6 автоконфигурация без всяких dhcp есть, для начала.
> Ага. Целых 3 разных. Кросс-вендорной совместимости ждать придётся долго.В смысле, 3 разных? Автоконфигурация в RFC на IPv6 помнится была прописана.
> Самый надёжный доступ - L2, VLAN per user с концентрацией на BRAS.
А что будет с вашей надежностью при отказе BRAS или недоступности из-за отказа каких-то каналов по пути? Фигакнется вообще все? И все стадо хомяков дружно повиснет на проводе саппорта, выстроив очередь в коллцентр длиной в три часа слушания музыки?
>>>> Обычная механика ipv6 + тушить порты через ремотное управление свичом тем кто
>>>> принципиально не платит.
> И получать 100500+ звонков в саппорт, затраты на саппорт себя при этом
> не окупят. Не порты тушить надо, а L4R делать. Нормальные сети
> так и делают, пионернеты могут тушить порты сколько им влезет.Обломайтесь, так делают далеко не пионернеты а вполне крупные провы с десятками, если не сотнями тысяч абонентов. Они просто волевым решением приняли за правило - совсем дерьмо не ставить. Минимальным требованием к железу соответственно является управляемый свич с возможностью отстрела портов + простым фаером для удавки добрых душ путающих LAN и WAN и отдающим толпе хомяков левые айпи (фаер на свиче эти потуги просто аккуратненько зарубает, в отличие от пионернетов падающих в хлам). При том все это умеет даже довольно дешевенькое барахлишко от длинков и прочая, минимально ориентированное на именно провайдинговые нужды. Просто нормальные провы сетку строят с нуля из более-менее вменяемого оборудования, а дятлы - скупили самопальные пионернеты, собранные из офисных свичей на соплях, вот и маятся с своими PPTP и прочим. Поэтому если кто-то юзает pptp - это вполне надежный индикатор на предмет того чем является его сеть.
>>>> А какая биллингу разница - параметры на серваке покрутить или параметры на железке?
> Огромная. Заливка параметров в RADIUS для 10000+ абонентов - <1 сек, заливка
> параметров на ~1000 разномастных свитчей для тех же 10000+ абонентов с
> сохранением конфигов в flash - убиться можно. Даже если распараллеливать сильно.А зачем заливать 10 000 абонентов на регулярной основе? Как я понимаю, у таких провов биллинг пашет себе в фоне да попинывает свичи изредка, рубая тех кто по состоянию на прямо сейчас - задолжал и включая тех кто заплатил. Жесткий реалтайм при этом не жмет, изменений состояний в единицу времени - мало, потому что даты тарификации у всех хомяков разные, так что операции размазываются по времени. Хорошо и биллингу, требования к скорости оного сильно падают, и саппортам, нагрузка на которых размазывается равномерно вместо авралов "ой, а у нас тут 10К абонентов уже 3 часа висят в очереди". Ну, а вы представляете себе что расскажут о провайдере абоненты провисевшие 3 часа на линии? Правильно, бодрый заряд бесплатной и эффективной антирекламы от нескольких тысяч хомяков вам гарантирован.
> свич отсутствует - юзер и так уже выключен :). Насколько справедливо его вообще @#нуть
> биллингом при этом - вопрос вообще интересный.
> Очень интересный, учитывая то, что отлетевший из-за питания свитч через час встанет,
> и абонент благополучно пойдёт качать гигабайты торрентом. Хотя должен бы быть отключен.Если биллинг делался не совсем кретинами, он должен бы отметить у себя что вон та операция не получилась и надо б ее иногда повторять. Ну отвалится у юзера порт. Пусть даже через 10 минут качки торентов, когда биллинг пойдет повторять операцию в очередной раз. Поскольку оплата обычно ведется кусками в недели или месяцы - на фоне этого считанные минуты и даже полчаса - вообще ничего не решают. Ну пусть даже редиска покачает лишние полчаса торенты. В конце концов, если он за месяц платит - так может и фиг бы с ним, а?
> У нас кластеризованный RADIUS (всё, включая БД, кластеризовано), и кластер концентраторов.
> Шанс отвала таков, что реально ни одного отвала этих подсистем за
> несколько лет не случалось.Избыточная централизация ещи никого до добра не доводила. Одно дело если биллинг где-то там в фоне портами щелкает, а в принципе и без него все работает: его отвал на полчаса вообще никто не заметит. И другое дело - если как у вас. Любой отвал биллинга будет означать полный факап всех хомяков, даже заплативших, ну и полный адъ для саппорта. И несколько тыщ злых хомяков, провисевших 3 часа в очереди, которые с удовольствием отыграются порекламив конкурента у которого такого дебилизма нет.
>[оверквотинг удален]
> является управляемый свич с возможностью отстрела портов + простым фаером для
> удавки добрых душ путающих LAN и WAN и отдающим толпе хомяков
> левые айпи (фаер на свиче эти потуги просто аккуратненько зарубает, в
> отличие от пионернетов падающих в хлам). При том все это умеет
> даже довольно дешевенькое барахлишко от длинков и прочая, минимально ориентированное на
> именно провайдинговые нужды. Просто нормальные провы сетку строят с нуля из
> более-менее вменяемого оборудования, а дятлы - скупили самопальные пионернеты, собранные
> из офисных свичей на соплях, вот и маятся с своими PPTP
> и прочим. Поэтому если кто-то юзает pptp - это вполне надежный
> индикатор на предмет того чем является его сеть.Вам только что сказали фразу vlan per user. Для него как раз нужно нормальное оборудование и в ядре и на агрегации и на доступе. А то, что вы описали - ну это и есть, что называется "сэкономили".
У меня отключился порт, хз, кабель мне в подъезде порезали или что еще случилось. Нужно звонить в ТП. И обязательно, позвонит каждый, даже если знает, что его отключили за неуплату. Как минимум для того, что бы узнать сколько у него долг. Пара тыщ абонов в день, это такая нехилая нагрузка.
А теперь сравниваем с вариантом вторым: отключенный абонент при любом запросе в инет редиректится в свой личный кабинет. Там у него и информация о платежах, и заплатить оттуда можно и с сапортом связаться. И кнопочку "доверительный платеж" рублей на 50-100 может жмакнуть.По поводу того, что брасы могут навернуться, ну это смешно, они и в том и в другом любом случае есть. И если они навернуться, при этом все абоненты пострадают, если конечно они не закластеризованы.
> У меня отключился порт, хз, кабель мне в подъезде порезали или что
> еще случилось. Нужно звонить в ТП. И обязательно, позвонит каждый, даже
> если знает, что его отключили за неуплату.Странно. Почему же я не звоню а сразу допираю - о, пора денег прову дать. Как минимум 1 пример не катит -> вы завираете насчет "все". Некоторые провы также додумались слать смс с напоминанием и прочая.
> Как минимум для того, что бы узнать сколько у него долг. Пара тыщ абонов в
> день, это такая нехилая нагрузка.Во первых, условные рефлексы даже у собак вырабатываются, а у абонентов и подавно. Во вторых, такую нагрузку коллцентр крупного прова обязан тянуть в штатном режиме, т.к. в случае малейшего факапа туда обрушится в 10 раз больше хомяков запросто. Если вы не можете обслужить 2к, что вы будете делать когда при факапе в очередь влетит 10к хомяков? Продержите их там 3 часа? Знаете какой они за это потом антипиар вам сделают? Местные провы - знают, и потому предприняли все для исключения такой ситуации :)
> А теперь сравниваем с вариантом вторым: отключенный абонент при любом запросе в
> инет редиректится в свой личный кабинет.Половина дятлов забудет пароль, а еще половина потеряет бумажку с ним. У оставшихся часть паролей сопрет троян или там что еще. И тоже саппорту придется раком стоять. Потом после оплаты это гумно еще и из кешей не вытряхнется коих может быть чуть более чем дофига.
> Там у него и информация о платежах, и заплатить оттуда можно и с сапортом связаться. И
> кнопочку "доверительный платеж" рублей на 50-100 может жмакнуть.Если она есть - не так уж плохо.
> По поводу того, что брасы могут навернуться, ну это смешно, они и
> в том и в другом любом случае есть. И если они навернуться,
> при этом все абоненты пострадают, если конечно они не закластеризованы.Да ну бросьте, излишняя централизация никого до добра не доводила. Конечно можно создать себе сперва проблем, собрав все в единую точку отказа а потом ипстись с ее размазкой на кластер, желательно географически распределенный - странный вариант. Двойная работа хз ради чего.
>>> Если мне дали айпи на WAN по DHCP и там чего-то доступно - почему бы собственно и нет?Ну да - там доступен MAC PPPoE-концентратора, ибо VLAN per user...
> Ну да - там доступен MAC PPPoE-концентратора, ибо VLAN per user...А это опять же подразумевает что-то вменяемое в роли свича, а не офисное фуфло на соплях.
Т.е. в случае IPv4 всё просто, могут быть цепочки DHCP/NAT<-DHCP/NAT<-DHCP/NAT<-... в разумных пределах. в случае IPv6 пользователю надо будет заморачиваться с адресацией
> в случае IPv6 пользователю надо будет заморачиваться с адресациейДа ладно вам, распилить например 2^64 -> 2^32 подсетей * 2^32 девайсов. Хомякам до усрача хватит.
Проще выделить хомяку две сети /64
Одну - на сам роутер, а вторую на его домашнюю сеть.
> Позволю. Как насчет выдать подсеть IPv6 по PPPoE?Такой проблемы в IPv6 просто нет, и любая железка умеющая IPv6 с этим справится. Наличие железок до сих пор не умеющих v6 конечно проблема, но никто же не предлагает мгновенно бросать v4.
> Как быть с файрволингом хомяков (NAT решает эту проблему, отчасти)?
NAT ничего не решает, NAT это костыль. Вы с белыми IP народ тоже "фаирволите", или вообще былых не даёте? В любом их этих случаев вам не место на рынке. В другом случае и с IPv6 проблем у вас не будет.
> Сколько-таки выдаваять хомякам - /64
64 конечно, нахрена больше? Автоматическое назначение адресов будет работать, все свои девайсы можно воткнуть без проблем.
> читайте тему на наге
Читали. Там половина контингента вообще не удосужились почитать о v6 и аргументы у них уровня "я адрес не запомню". Вы тоже к ним относитесь, кстати.
>> Позволю. Как насчет выдать подсеть IPv6 по PPPoE?
> Такой проблемы в IPv6 просто нет, и любая железка умеющая IPv6 с
> этим справится.Пример в студию: чем выдавать, чем принимать. Умеющих IPv6 железок уже тонны, но вот с автоконфигурацией массовой у всех пока засада - хомячковые роутеры просто не имеют единства в оной, или вообще оную не умеют.
> проблема, но никто же не предлагает мгновенно бросать v4.
А иначе не получится - дуалстековость ломает связность очень часто.
>> Сколько-таки выдаваять хомякам - /64
> 64 конечно, нахрена больше? Автоматическое назначение адресов будет работать, все свои
> девайсы можно воткнуть без проблем.И роутер-за-роутером - тоже? И даже VPN? А хомячки этим пользуются.
> Читали. Там половина контингента вообще не удосужились почитать о v6 и аргументы
> у них уровня "я адрес не запомню". Вы тоже к ним относитесь, кстати.Контингент там - провайдерский, он смотрит на проблему вовсе не со стороны сферического юзера в квадрате, а со стороны тех, кому этих сферических в квадрате потом на своей шее везти. Отсюда и аргументы - ибо начнёт звонить именно ваш контингент, и пытаться 500 раз спрашивать адресацию, которую 100% не запомнит.
> И роутер-за-роутером - тоже? И даже VPN? А хомячки этим пользуются.Ну пусть роутер пилит свое /64 на что-то помельче. Например 2^32 субсеток 2^32 адресов - до усрачки любому дому с любой мыслимой комбинацией роутеров. Можно хоть нанороботов разводить.
>> проблема, но никто же не предлагает мгновенно бросать v4.
> А иначе не получится - дуалстековость ломает связность очень часто.ипы v4, вообще-то, никто отменять не собирается. им в v6 просто выделен спец диапазон.
> И роутер-за-роутером - тоже? И даже VPN? А хомячки этим пользуются.
роутер-за-роутером весь интернет построен. все нынешние 383 тыс. префиксов. И что?
> Контингент там - провайдерский, он смотрит на проблему вовсе не со стороны
> сферического юзера в квадрате, а со стороны тех, кому этих сферических
> в квадрате потом на своей шее везти. Отсюда и аргументы -
> ибо начнёт звонить именно ваш контингент, и пытаться 500 раз спрашивать
> адресацию, которую 100% не запомнит.Контингент там самый разный. Ещё более разный чем среди провайдерских специалистов.
>Как насчет выдать подсеть IPv6 по PPPoE?/64 повесить на интерфейс(SLAAC). Если клиент это роутер, то он наверняка будет просить через DHCPv6, делегировать ему префикс и ISP должен делегировать ему дополнительный /56-64 на интерфейс. Можно и /48 если всем клиентам хватит одной /32, вторую при таком расточительстве могут и не дать. Кто то может начать рвать и метать, увидев целых два маршрута на ppp интерфейсе и в шейпере, но именно так оно было задумано изначально.
>Много ли мыльниц с поддержкой IPv6?
Мыльниц практически нет совсем, если конечно не считать перепрошиваемые Linux'ом. Они теперь самый большой тормоз внедрения IPv6.
>Сколько из них могут нормально бриджевать IPv6?
А как вообще бриджить каналы разного типа PPPoE <--> Ethernet? Только костылями, принимать RA, передавать в PPPoE, затем подменять в ответе IP-адрес шлюза на свой link-local адрес LAN интерфейса. Не видел ни одной реализации подобного костыля и сомневаюсь, что когда нибудь увижу.
>>Как насчет выдать подсеть IPv6 по PPPoE?
> /64 повесить на интерфейс(SLAAC).Не получится, только p-t-p. Так уж оно задумано, и так в RFC.
> Если клиент это роутер, то он наверняка будет просить через DHCPv6
И вот тут наступает главная засада для реализаций... В IPv4 адрес можно было выдать прямо в согласовании PPP, не заморачиваясь с дополнительными протоколами на виртуальных интерфейсах, что упрощало реализацию. Впору предлагать RFC для такой автоконфигурации поверх PPP, избегая DHCPv6.
>> /64 повесить на интерфейс(SLAAC).
> Не получится, только p-t-p. Так уж оно задумано, и так в RFC.Я такую схему уже тестировал, pppoe-server на Linux + RA + DHCPv6 information для DNS, в качестве клиента была Win7. Всё работало прекрасно, если забыть про учёт.
>> Если клиент это роутер, то он наверняка будет просить через DHCPv6
> И вот тут наступает главная засада для реализаций... В IPv4 адрес можно
> было выдать прямо в согласовании PPP, не заморачиваясь с дополнительными протоколами
> на виртуальных интерфейсах, что упрощало реализацию. Впору предлагать RFC для такой
> автоконфигурации поверх PPP, избегая DHCPv6.Конечно, передача настроек непосредственно при конфигурации интерфейса предпочтительней, однако есть вероятность, что Microsoft уже завершила развитие своего IPv6 стека и добавления новых фич и протоколов от неё уже не дождёшься. Вывод такой сделал я на том основании, что довольно простой, но невероятно полезный для России с её Ethernet сетями без CPE у клиентов, протокол 6rd они так и не реализовали.
> Я такую схему уже тестировал, pppoe-server на Linux + RA + DHCPv6
> information для DNS, в качестве клиента была Win7. Всё работало прекрасно,
> если забыть про учёт.+1. Я тоже такое сейчас тестирую, правда в силу необходимости держать ещё по 2 процесса на юзера сомневаюсь в необходимости пускать это в продакшн - и так PPP-процессов вагон, ещё и это... Да и XP/мыльницы не поддерживают, что само по себе пока грабли.
В принципе - угу, вариант есть, но больно уж он костыльный с точки зрения организации BRAS.
6rd нету.В Европах будет ещё хуже - ADSL CPE IPv6 не умело, и уметь не будет ещё долго, ибо у 90% клиентов старенькие хуавеи, и фиг их кто бросится менять. Ну и опять же там чаще всего PPPoE/PPPoATM...
>>Много ли мыльниц с поддержкой IPv6?
> Мыльниц практически нет совсем, если конечно не считать перепрошиваемые Linux'ом. Они теперь
> самый большой тормоз внедрения IPv6.Я и писал об этом: GNU/Linux тормозит с переходом на IPv6. На Фре уже всё готово, даже выпущены сборки IPv6-only, начали тестировать протокол на соответствие производительности.
Вот только не надо рассказывать сказки о гибридах IPv4+IPv6. Иначе люди всё так же будут вязнуть в "смоляной яме" парадигмы IPv4.
> Я и писал об этом: GNU/Linux тормозит с переходом на IPv6. На Фре уже всё готово,В линухе тоже все готово. А то что в мыльницах линь древний и ipv6 не собран - так это, фряхой там вообще и не пахло, если уж на то пошло.
> даже выпущены сборки IPv6-only, начали тестировать протокол
> на соответствие производительности.Ага, теперь ты мне найди хоть 1 мыльницу с бсд, выпускаемую серийно. Чур juniper не предлагать, хомяки обуеют от цен на такую "мыльницу" :)
> Вот только не надо рассказывать сказки о гибридах IPv4+IPv6. Иначе люди всё
> так же будут вязнуть в "смоляной яме" парадигмы IPv4.Что за махровое ламерство? А я то надеялся что у тебя приступы адекватности и дальше продолжатся.
>> Позвольте поинтересоваться причинами в основе Вашего заявления.
> Позволю. Как насчет выдать подсеть IPv6 по PPPoE?http://www.networksorcery.com/enp/protocol/ipv6cp.htm
> На клиентский роутер-мыльницу?
> Много ли мыльниц с поддержкой IPv6?20 лет назад. "Много ли компьютеров подключено к internet?"
> Сколько из них могут нормально бриджевать IPv6?
А что, проблема поменять софтваре в следующей модификации, или в той же самой?
> Если они бриджуют - можно ли их называть роутерами?
Действительно, сложный вопрос.
>Как быть с файрволингом хомяков (NAT решает эту проблему, отчасти)?
Вам написать скрипт с познанием listen в сети, и написанием динамического фильтра, или сами?
Мне лениво.> Сколько-таки выдаваять хомякам - /64, /56, или как "белым людям" - /48?
Действительно, проблема :)
>> Много ли мыльниц с поддержкой IPv6?
> 20 лет назад. "Много ли компьютеров подключено к internet?"IPv6 уже почти 20 лет с начала внедрения. И ничего c мертвой точки так и не сдвинулось. 0.5% сети, способных хоть как-то общаться на IPv6 - это курам на смех за 20 лет. Из этих 0.5% реальную связность с остальными имеет в лучшем случае половина.
>>Как быть с файрволингом хомяков (NAT решает эту проблему, отчасти)?
> Вам написать скрипт с познанием listen в сети, и написанием динамического фильтра,Мне не надо - каждому хомяку напишите, и установите.
>>> Много ли мыльниц с поддержкой IPv6?
>> 20 лет назад. "Много ли компьютеров подключено к internet?"
> IPv6 уже почти 20 лет с начала внедрения. И ничего c мертвой
> точки так и не сдвинулось. 0.5% сети, способных хоть как-то общаться
> на IPv6 - это курам на смех за 20 лет. Из этих 0.5% реальную связность с остальными имеет в лучшем случае половина.Вы не поверите. 5000 лет понадобилось, что бы перейти от сигнальных огней к радио-связи.
>>>Как быть с файрволингом хомяков (NAT решает эту проблему, отчасти)?
>> Вам написать скрипт с познанием listen в сети, и написанием динамического фильтра,
> Мне не надо - каждому хомяку напишите, и установите.А в их устройство будет имлантировано. Нафика им знать? Они что, в IPv4 знают что такой TCP? :)
кроме всего прочего, если к каждому компьютеру в мире будет прикриплён один ІР адрес, то всё - капец анонимности в интернете
Ну вот у меня белый IP, но я анонимен. Тор и i2p никто не отменял, ня?
> кроме всего прочего, если к каждому компьютеру в мире будет прикриплён один
> ІР адрес, то всё - капец анонимности в интернетеИз NAT довольно галимый анонимизатор - он вашу геолокацию выдает с точностью до пятака который граблями можно прочесать. Нахрен такая "анонимность" нужна? Tor какой-нибудь и то эффективнее.
> кроме всего прочего, если к каждому компьютеру в мире будет прикриплён один
> ІР адрес, то всё - капец анонимности в интернетебред. каждый легко могет организовать массу тунелей через посредников.
поменять ip-src сокета станет только легче.
>Позвольте поинтересоваться причинами в основе Вашего заявления.Грабли, грабли подтверждаю. Основная причина: пацаны мы тут вам адресное пространство увеличили, так не значительно, чтоб чуть ли не каждый атом на земле хватило, а вместе с ними вылезли косячки всякие, но мы придумали как от них избавиться.
Вот например адрес нечитаем стал, но мы придумали, будем нули двоеточием заменять, а поскольку в браузерах этот знак используется как обозначение протокола то будем писать адрес в квадратных скобах.
Адресное пространство в память маршрутизатора не залезает, но мы придумали: используйте агрегацию маршрутов.
Широковещательные запросы ipv6 с легкостью положат любой сегмент сети, но мы придумали brodcast не будет ваще, а поскольку без него сеть нормально работать не сможет то функционал передадим в multicast, да так чтобы он был теперь обязательным, но так чтобы igmp похоронить. icmp пускай теперь работает multicast и пусть называется icmpv6. А ещё ARP отменим и заменим его NDP.
Теперь ARP-шторма не будет, будет NDP-шторм, NDP-спуфинг и много других занимательных для администраторов сетей.
И еще пацаны, мы рубим фишку, поэтому переименуем TTL в hop limit, а TOS/DSCP мы переименуем в Trafic class, всё равно их используют именно так.
Поднимем границы MTU, фигня что остались сети ATM.
Что еще, ах да сделаем ipsec обязательным, теперь хош не хошь а 51,50 протоколы и 500/udp,4500/udp должны быть открыты.
Отменим контрольные суммы! Пускай протоколы более высокого уровня сами разруливают ситуации, сделаем crc для udp теперь обязательным.
Вот мы и родили редкостного уродца не совместимого с прошлой версией проткола, а все проблемы не наши, пускай оборудование это всё теперь поддерживает, и ipv4 и ipv6 одновременно. Не наше дело как это будет внедряться, максимум что мы можем предложить это инкаспуляцию ipv4 адресов в ipv6 адреса, и всяческие туннели вроде teredo.
> Вот мы и родили редкостного уродца не совместимого с прошлой версией проткола,Бурчание? Вы предлагали решения лучше и комплекснее, и их отвергли?
>Бурчание? Вы предлагали решения лучше и комплекснее, и их отвергли?Нет меня никто не спрашивал, и спрашивать не будет, но чувство что пытаются лопухнуть всегда появляется в свете таких новостей.
А особенно умиляет когда очередной пионер вылезает на сцену с призывами поломать всю инфраструктуру (а внедрить ipv6 по другому никак не получиться), и назначает "врагов народа", то это провайдеры, то это производители дешевого оборудования, то производители не дешевого оборудования, которые мешают уже второй десяток лет переходу.
Цель моего предыдущего поста перевести "новшества" с языка маркетингового бреда, на язык технического специалиста.
Одно из возможных решений проблемы нехватки адресного пространства уже представлено в этом топике и решается на уровне прошивок пограничных маршрутизаторов, без изменений сложившейся архитектуры.
>>Бурчание? Вы предлагали решения лучше и комплекснее, и их отвергли?
> Нет меня никто не спрашивал, и спрашивать не будет, но чувство что
> пытаются лопухнуть всегда появляется в свете таких новостей.
> А особенно умиляет когда очередной пионер вылезает на сцену с призывами
> поломать всю инфраструктуру (а внедрить ipv6 по другому никак не получиться)"Поломать"? Хех...
Чего-то вас занесло. Уж поверте, вложения на измененния в мире пипл считает довольно скурпулезно, по пфенигу и центу. И ITIL описали, как помниться, не в РФ, и 20 лет назад. Для примера.
Чего-то у вас какие-то максималисткие представления.
> Одно из возможных решений проблемы нехватки адресного пространства уже представлено в
> этом топике и решается на уровне прошивок пограничных маршрутизаторов, без изменений
> сложившейся архитектуры.Пока вы додумались "на уровне прошивок" (пилять, что за терминология...), поезд технологий уже пришел к станции Стандарты.
С добрым утром! И добро пожаловать!
>Чего-то вас занесло. Уж поверте, вложения на измененния в мире пипл считает довольно скурпулезно, по пфенигу и центу. И ITIL описали, как помниться, не в РФ, и 20 лет назад.В огороде бузина а Киеве дядька. Что же за эти 20 лет ipv6 никто внедрять не хочет? Не потому ли что как раз "пипл считает".
>Пока вы додумались "на уровне прошивок" (пилять, что за терминология...), поезд технологий уже пришел к станции Стандарты. С добрым утром! И добро пожаловать!
Бла-бла-бла. Речь не связанная, презрение ко всем, отсутствие мысли, единственный посыл всего этого спича: "Я тут самый умный и не буду снисходить до объяснения почему вы тут все идиоты, а еще я знаю умное слово "итил" и ненавижу все русское".
> В огороде бузина а Киеве дядька. Что же за эти 20 лет
> ipv6 никто внедрять не хочет? Не потому ли что как раз
> "пипл считает"."_Никто_ внедрять не хочет" - вы новость-то прочитали? С чего-то все началось?
>>Пока вы додумались "на уровне прошивок" (пилять, что за терминология...), поезд технологий уже пришел к станции Стандарты. С добрым утром! И добро пожаловать!
> Бла-бла-бла. Речь не связанная, презрение ко всем, отсутствие мысли, единственный посыл
> всего этого спича: "Я тут самый умный и не буду снисходить
> до объяснения почему вы тут все идиоты, а еще я знаю
> умное слово "итил" и ненавижу все русское".Ваши вымыслы, и, уж извините, дурацкие. ИТ мир интернационален в силу трансграничности идеологии. Но объективно технологии связи большей частью выдуманы и _внедрены_ массового на европейской и североамериканской территории. Вам остается либо принять стандарты, либо городить свой огородик, и предлагать его принять.
Либо подключась к разработке следующих, в рабочие группы.
Ну а насчет "умного слова" IT IL :), так до его понимания дорасти надо, через опыт и интеллект.
Чего вы так болезненно реагируете? У вас проблемы? Вы хотите о них поговорить :)
PS Лучше готовтеcь к дню IPv6 :)
> Всё ждете, пока за вас кто-нибудь предложит?Вообще-то всё уже предложили, и не просто с расширейние адресного пространства, а с миллионом дополнительных плюшек.
> Единственным пока вариантом на ближайшие N лет пока остаётся NAT
Чушь это. У меня и моего хостинга нативный ipv6 ещё с прошлого дня IPv6. NAT остался только для тунеллинга в v4 и сдохнет вместе с ним.
>> Всё ждете, пока за вас кто-нибудь предложит?
> Вообще-то всё уже предложили, и не просто с расширейние адресного пространства, а
> с миллионом дополнительных плюшек.
>> Единственным пока вариантом на ближайшие N лет пока остаётся NAT
> Чушь это. У меня и моего хостинга нативный ipv6 ещё с прошлого
> дня IPv6. NAT остался только для тунеллинга в v4 и сдохнет
> вместе с ним.У одного московского миллиардера есть мазерати, но он на нём не ездит, потому что зимой в россии оно не заводится.
Если бы куча доп. плюшек решала всё... и тем не менее уже скоро 20 лет как, а мир по-прежнему на ИПв4.
> Вообще-то всё уже предложили, и не просто с расширейние адресного пространства, а
> с миллионом дополнительных плюшек.Жду список плюшек за номерами от 1 до 1000000...
> Жду список плюшек за номерами от 1 до 1000000...Адресное пространство уже миллион плюшек. Как тебе штуки типа 6LoW PAN? Интернет вещей? Он создается сегодня. У меня уже есть с десяток девайсов способных использовать интернет.
6LoW PAN? 6LoW PAN - это костыль, внедряющий IPv6 вместо MAC-адресации для локальных сетей. Смысл - неочевиден, оно всё равно нероутинговое.
> 6LoW PAN? 6LoW PAN - это костыль, внедряющий IPv6 вместо MAC-адресации для
> локальных сетей.MAC адресации недостаточно для передачи данных.
>> 6LoW PAN? 6LoW PAN - это костыль, внедряющий IPv6 вместо MAC-адресации для
>> локальных сетей.
> MAC адресации недостаточно для передачи данных.В рамках PAN - достаточно. Тем более, что для 6LoW пришлось всё равно лепить AL. Не проще ли было оставить кесарю кесарево, а AL слепить на PAN Router - что для IPv4, что для IPv6? Но да - надо же как-то добавить стоимости.
> В рамках PAN - достаточно.Тебя не смущает что MAC это вообще понятие лишь сильно некоторых физических интерфейсов? А у иных физических интерфейсов MAC может и не быть в привычном виде.
> Но да - надо же как-то добавить стоимости.
Стоимости ... чего? Сам по себе ipv6 ничего не стоит, например в случае линя или иной бесплатной реализации.
> Смысл - неочевиден, оно всё равно нероутинговое.Смысл более чем очевиден. Самоорганизующиеся сети из мелочи типа датчиков и прочих нанороботов.
> Смысл более чем очевиден. Самоорганизующиеся сети из мелочи типа датчиков и прочих
> нанороботов.Для этого достаточно MAC-адресации. Bluetooth возьмите, как пример.
>> Смысл более чем очевиден. Самоорганизующиеся сети из мелочи типа датчиков и прочих
>> нанороботов.
> Для этого достаточно MAC-адресации. Bluetooth возьмите, как пример.Sockets? RTFM.
>> Смысл более чем очевиден. Самоорганизующиеся сети из мелочи типа датчиков и прочих
>> нанороботов.
> Для этого достаточно MAC-адресации. Bluetooth возьмите, как пример.MAC адреса недостаточно для выхода за пределы подсети. Для десятков тысяч устройств в одной подсети связь по MAC нереальна — слишком много накладных расходов.
> Для этого достаточно MAC-адресации. Bluetooth возьмите, как пример.Да, а теперь зароути мне пакеты прилетевшие по блутусу в вайфай. Или "это не нужно!!1111"? А я вот считаю иначе. Что в гробу я видал ограничивать видимость девайса его физическим уровнем и его конкретной реализацией.
> Единственным пока вариантом на ближайшие N лет пока остаётся NAT,Это не решение. По такой же логике можно сломать вам ноги а потом выдать инвалидную коляску как решение. А то что вы при этом не сможете на лыжах покататься - да ладно, можно же и так обойтись.Как-то ты же колесить сможешь, ну и ладненько. Вот NAT - это переломанные ноги у логики протокола, обеспечивающие массу неудобств и технических проблем всем вокруг. И юзерам и админам.
>> Единственным пока вариантом на ближайшие N лет пока остаётся NAT,
> Это не решение. По такой же логике можно сломать вам ноги аЭто костыли. А IPv6 - это попытка вживить в больного PC на базе FreeBSD, и надеяться, что он сам по себе станет киборгом.
> А IPv6 - это попытка вживить в больного PC на
> базе FreeBSD, и надеяться, что он сам по себе станет киборгом.Не, это как раз сборка робота с нуля, если уж нужен именно робот. Да, с недостатками человекообразных, зато на человека похож. А вот ващи наты и префиксы - это как вы и сказали. Писюк примотанный к человеку - типа андроид готов.
> Не, это как раз сборка робота с нуля, если уж нужен именно
> робот. Да, с недостатками человекообразных, зато на человека похож. А вот
> ващи наты и префиксы - это как вы и сказали. Писюк
> примотанный к человеку - типа андроид готов.Чем вам префиксы не угодили? Вы думаете их ипв6 нету? Там как-раз таки одна VLSM и остаётся.
> Чем вам префиксы не угодили? Вы думаете их ипв6 нету? Там как-раз
> таки одна VLSM и остаётся.Не сами префиксы, а те извращения которые тот господин предлагает. Нафиг надо докостыливать v4, совместимость все-равно пролюбится везде, а проблема будет решена только наполовину.
> Не сами префиксы, а те извращения которые тот господин предлагает. Нафиг надо
> докостыливать v4, совместимость все-равно пролюбится везде, а проблема будет решена только наполовину.Такое префиксирование решило бы ещё и проблему размера таблиц маршрутизации слегка. Можно в большинстве случае было бы хранить только AS-префикс, как точку назначения, пренебрегая конкретным IP-пространством. За исключением специфичных случаев. В IPv6 же имеем те же грабли, когда AS для многосвязности обязательно надо PI.
> Такое префиксирование решило бы ещё и проблему размера таблиц маршрутизации слегка.
> Можно в большинстве случае было бы хранить только AS-префикс, как точку назначения,
> пренебрегая конкретным IP-пространством. За исключением специфичных случаев. В IPv6 же
> имеем те же грабли, когда AS для многосвязности обязательно надо PI.Ой, слушайте, я вот только одно не понял: а почему вы думаете что цыски и прочие с энтузазизмом взялись бы это допиливать для старых моделей, выжимая последние соки из их ASICов и прочего? У них такой цели нет - они напротив хотят продать вам новую железку. И не будут они для древнего хлама до упора допиливать новые фичи в фирмварях. Поэтому мне совершенно не очевидно - где вы тут видите профит. Все-равно ваша фигня с префиксами нестандарт.
Более того - ну вот допустим я клиент. У меня нет личного AS, допустим. Как мне поиметь роутабельные из всего интернета адреса в числе более 1? И что должно быть префиксом? А это через какой механизм мне назначается? Ну явно не через обычный механизм получения AS, да? И чо мне указывать при посылке пакета прову как префикс? Ну вот IPv6 простите регламентирует эти моменты и более-менее внятно, а вы - не очень :)
>> Не сами префиксы, а те извращения которые тот господин предлагает. Нафиг надо
>> докостыливать v4, совместимость все-равно пролюбится везде, а проблема будет решена только наполовину.
> Такое префиксирование решило бы ещё и проблему размера таблиц маршрутизации слегка. Можно
> в большинстве случае было бы хранить только AS-префикс, как точку назначения,
> пренебрегая конкретным IP-пространством. За исключением специфичных случаев. В IPv6 же
> имеем те же грабли, когда AS для многосвязности обязательно надо PI.В IPv6 используется маршрутизация "от источника", что избавляет маршрутизаторы от просмотра таблиц маршрутизации IPv6-пакетов.
Агрегирование адресов уменьшает размер адресных таблиц маршрутизаторов, что сокращает накладные расходы на служебные функции — обновление таблиц маршрутизации и обмен служебным трафиком между маршрутизаторами.
Индивидуальный адрес (unicast) интерфейса конечного узла — то, что в IPv4 называется уникальным адресом узла (состоящим из номера сети и номер узла, как известно) — глобальный агрегируемый адрес, имеет поле идентификатора интерфейса длиной 64 бит. Так вот, это поле может содержать MAC-адрес интерфейса (48 бит) или адрес конечного узла АТМ (48 бит) или номер виртуального соединения ATM (<28 бит) или другие идентификаторы интерфеса конечного устройства, которому действительно достаточно 64 бит. Использование в качестве номера узла его MAC-адреса избавляет маршрутизаторы применять протокол ARP — достаточно отбросить старшую часть глобального агрегированного адреса.
Кроме того, на каждом маршрутизаторе: 1) не обрабатываются необязательные параметры заголовка IPv6-пакета; 2) IPv6-пакеты не фрагментируются — минимальный MTU вдоль всего пути обязаны найти конечные узлы сети.
Этого мало?
>>> NAT - это переломанные ноги у логики протокола, обеспечивающие массу неудобств и технических проблем всем вокруг. И юзерам и админам.NAT - это то, чем пользуются "по умолчанию" большинство юзеров, и многие админы. Причём первые не замечают от него особо никаких неудобств (ибо во всех мыльницах он есть), а вторые - сознательно, для скрытия инфраструктуры сети от внешнего мира. И - поверьте, если IPv6 "пройдёт" (а шансы на это есть, но не очень большие) - админы аккуратненько придумают себе v6 NAT, и имплементируют в ОС.
А вот IPv6 рискует создать грабли всем. Причём как раз таки первые из них будут в необходимости юзерам вбивать руками адреса на своё железо (ибо автоконфигурация в v6 - это вещь мощная, но гиблая в плане сложности), а админам - файрволить всё имплицитом. Ну да это уже лирика.
> NAT - это то, чем пользуются "по умолчанию" большинство юзеров, и многие админы.А потом начинается бухтеж:
- Админ не может гранулярно забанить засранца и под раздачу попадает вся помойка.
- Юзер недоволен тем как работают программы.
- Роутеры у юзеров глючат, потому что спихивать на мелкую железку трекинг 100500 соединений - то еще варварство.
> Причём первые не замечают от него особо никаких неудобств (ибо
> во всех мыльницах он есть),Угу. До тех пор пока торрент не качнут. Потом половина мыльниц где фирмваре делали дебилы просто виснет и уходит в ребут, да и сама скорость скачки как-то так себе т.к. входящие соединения не проходят.
В общем бег на костылях. А для секурти, извините, нужен stateful firewall. То что нат до кучи некое извратное подобие изображает - вообще побочно.
> А потом начинается бухтеж:
> - Админ не может гранулярно забанить засранца и под раздачу попадает вся
> помойка.В IPv6 будет не лучше - гранулярно будут банить /48, а то и /32 - ничего не меняется. Всё еще хуже - адресно /128 банить будет бессмысленно, минимум /64. Т.е. всё те же яйца, только в профиль.
> - Юзер недоволен тем как работают программы.
С IPv6 будет ещё хуже - юзер очень долго будет недоволен отсутствием связности с рядом сегментов сети, и необходимостью руками вбивать конфигурацию.
> - Роутеры у юзеров глючат, потому что спихивать на мелкую железку трекинг 100500 соединений - то еще варварство.
Согласен. Но трекинга не избежать, ибо юзера надо файрволить. И мелких железок тоже не избежать - ибо WiFi.
>> Причём первые не замечают от него особо никаких неудобств (ибо
>> во всех мыльницах он есть),
> Угу. До тех пор пока торрент не качнут. Потом половина мыльниц где
> фирмваре делали дебилы просто виснет и уходит в ребут, да и
> сама скорость скачки как-то так себе т.к. входящие соединения не проходят.Сегодня даже на дешевых Netgear WNR1000 (~1300 рублей) проблем нет, от 4к до 16к коннектов они держат легко и ненавязчиво, торрентам столько не надо. У вас какие-то не те мыльницы, вестимо.
> В общем бег на костылях. А для секурти, извините, нужен stateful firewall.
Что, собственно, тоже трекинг. А теперь вы заставьте хомяка этот stf настроить так, чтобы он ему торренты качать не мешал. С роутером проще.
> В IPv6 будет не лучше - гранулярно будут банить /48, а то
> и /32 - ничего не меняется.Для начала будет достаточно индивидуально фигакнуть /64 принадлежащие конкретному индивиду. Захочет ли ему пров выдать иные и на каких условиях - другой вопрос. В случае нат проблема в том что один адрес вообще принадлежит ораве, а уникального нет. Поэтому под раздачу заведомо попадает вся помойка.
> Всё еще хуже - адресно /128 банить будет бессмысленно, минимум /64.
И что? Это накроет лишь домохозяйство 1 субъекта. То что у него не смогут посещать сервер холодильник и микроволновка - ну ой, какой хозяин. такие и приборы. Пусть вместе отдыхают.
> Т.е. всё те же яйца, только в профиль.
С той разницей что воздаяние будет прилетать "Васе и его холодильнику". А не "Васе, Пете, Коле, Славе и еще 150 различным персонажам, которых угораздило обитать на этом IP".
>> - Юзер недоволен тем как работают программы.
> С IPv6 будет ещё хуже - юзер очень долго будет недоволен отсутствием
> связности с рядом сегментов сети, и необходимостью руками вбивать конфигурацию.Связность утрясется, конфигурации - не больше чем обычно. Даже меньше - как минимум автоконфигурацию айпишника предусмотрели заранее. Конечно кривовато, но лучше чем никак.
> Согласен. Но трекинга не избежать, ибо юзера надо файрволить. И мелких железок
> тоже не избежать - ибо WiFi.Далеко не любому юзеру надо именно stateful firewall. Ну и новые железки для юзеров обычно в разы мощнее старых.
> Сегодня даже на дешевых Netgear WNR1000 (~1300 рублей) проблем нет, от 4к
> до 16к коннектов они держат легко и ненавязчиво, торрентам столько не
> надо. У вас какие-то не те мыльницы, вестимо.Это почему это не надо? Торрент может сделать 1000 соединений за короткое время. С учетом того что в дефолтной фирмваре время трекинга бывает крайне шибанутое и достигает нескольких часов, а ремоты бывают разными и отвечать вообще не обязаны, бывает так что в таблице трекинга зависает множество соединений. Половина их них могут на самом деле уже быть дохлыми, но об этом все узнают сильно опосля. Наилучший вариант - не трекать соединения совсем. Иначе с торентом есть риск при актиивных закачках испытать странные спецэффекты. Кстати 16к коннектов, говорите? А сколько у него оперативки? А то некоторые вдупляют в эту таблицу нереальные значения а потом юзер фигеет когда девайс начинает вставать колом или глючить от того что таблица трекинга съела всю память и настал хардкорный OOM который не лечится.
>> В общем бег на костылях. А для секурти, извините, нужен stateful firewall.
> Что, собственно, тоже трекинг. А теперь вы заставьте хомяка этот stf настроить
> так, чтобы он ему торренты качать не мешал. С роутером проще.Торенты вообще пускать через stateful - зло. Памяти на трекинг не напасешься, нужен реально мощный пепелац. Минимум 32 мб памяти хотя-бы, чтоли. А лучше 64-128. Сомнительно что такое продадут за 1300 рублей.
> И - поверьте, если IPv6 "пройдёт"
> (а шансы на это есть, но не очень большие) - админы
> аккуратненько придумают себе v6 NAT, и имплементируют в ОС.Ну да. Чтобы оставить себе ту же работу.
1. Работники не должны быть независимыми от работодателя в плане использования информационных ресурсов организации.
2. Личные ноутбуки и планшеты в корпоративной среде — бред больного админа.
3. Все корпоративные компьютеры должны физически находится в пределах радиуса корпоративной сети и управлятся правилами политики безопасности организации.Вместо того, чтобы заниматься "приземлением" VPN до уровня конечного пользователя и настоящими цифровыми подписями, повсеместно используется ресканы репринтов печатных документов, отсканированные подписи и электронная почта на основе пересылки электронных копий склипированных таким образом документов. Это называется "Документооборот по-российски". Зато всё за NAT'ом и проксей, которая защищает корпоративную сеть неизвестно от чего (все пользователи и так имеют свободный доступ в интернет), одмины работой обеспечены, да. :))
Сферические кони в вакууме, увы, не отменяют необходимости решать _реальные_ проблемы.
> Сферические кони в вакууме, увы, не отменяют необходимости решать _реальные_ проблемы.Проблема в том, что внедрение IPv6 способствует решению этих самых проблем на уровне отдельного пользователя. То есть, то, к чему так стремились администраторы, решается внедрением IPv6.
> Проблема в том, что внедрение IPv6 способствует решению этих самых проблем на
> уровне отдельного пользователя. То есть, то, к чему так стремились администраторы,
> решается внедрением IPv6.И как же оно решит эти проблемы? Поразвёрнутей, пожалуйста.
>> Проблема в том, что внедрение IPv6 способствует решению этих самых проблем на
>> уровне отдельного пользователя. То есть, то, к чему так стремились администраторы,
>> решается внедрением IPv6.
> И как же оно решит эти проблемы? Поразвёрнутей, пожалуйста.Проблемы решаются на уровне отдельного пользователя. Наконец-то пользователь приобретает не только права, но и личную ответственность за то, что он (от его имени) делает в сети, так как в IPv6 внедрены неотключаемые механизмы подтверждения подлинности и защиты (шифрования) передваемой информации. Другими словами, корпоративная сеть из зарегулированных "стад" пользователей IPv4 при переходе на новый уровень (IPv6-only) без участия администратора превращается в демократическое общество, где любое нарушение сетевой политики определяется с точностью до узла и его владельца.
> Проблемы решаются на уровне отдельного пользователя. Наконец-то пользователь приобретает
> не только права, но и личную ответственность за то, что он > (от его имени) делает в сети, так как в IPv6 внедрены неотключаемые механизмы подтверждения подлинности и защиты (шифрования) передваемой информации.Вы путаете механизм обеспечения целостности с механизмом подтверждения подлинности.
> Другими словами, корпоративная сеть из зарегулированных "стад" пользователей
> IPv4 при переходе на новый уровень (IPv6-only) без участия администратора превращается
> в демократическое общество, где любое нарушение сетевой политики определяется с точностью
> до узла и его владельца.Ой-ой-ой, как наивно. Узел, как и в случае с NAT, определить получится. А вот пользователя без участия администратора - нет, поскольку как минимум адреса должны быть назначены администратором, да и подтвердить идентичность пользователя не получится - адреса назначаются железу, а не прокладке между клавиатурой и креслом.
>> Проблемы решаются на уровне отдельного пользователя. Наконец-то пользователь приобретает
>> не только права, но и личную ответственность за то, что он > (от его имени) делает в сети, так как в IPv6 внедрены неотключаемые механизмы подтверждения подлинности и защиты (шифрования) передваемой информации.
> Вы путаете механизм обеспечения целостности с механизмом подтверждения подлинности.Ничего я не путаю — иди изучай IPsec.
>> Другими словами, корпоративная сеть из зарегулированных "стад" пользователей
>> IPv4 при переходе на новый уровень (IPv6-only) без участия администратора превращается
>> в демократическое общество, где любое нарушение сетевой политики определяется с точностью
>> до узла и его владельца.
> Ой-ой-ой, как наивно. Узел, как и в случае с NAT, определить получится.
> А вот пользователя без участия администратора - нет, поскольку как минимум
> адреса должны быть назначены администраторомТвоя ошибка в том, что адреса в IPv6 назначаются администратором. ;) Иди читай про IPv6.
> , да и подтвердить идентичность пользователя
> не получится - адреса назначаются железу, а не прокладке между клавиатурой
> и креслом.Я этого и не говорил, что адреса назначаются "прокладке". Иди читай.
>> Вы путаете механизм обеспечения целостности с механизмом подтверждения подлинности.
> Ничего я не путаю — иди изучай IPsec.IPSec может подтвердить целостность сообщения. Оно может подтвердить подлинность _аппаратного_ источника сообщения, его связь с SA. Но оно никогда не подтвердит подлинность отправки самого сообщения. Само сообщение может быть сформировано неожиданным отправителем, и сетевой протокол источник формирования сообщения не подтверждает. Пример из жизни: ты подтверждаешь подлинность своих документов подписью. Я заставляю тебя под дулом подписаться под нужными мне документами. Ты никогда не докажешь отсутствие подлинности подписи данных документов. То же самое с софтом - подтвердить подлинность аппаратного источника ты сможешь, но никогда не подтвердишь факт отправки этого сообщения _легитимным_ софтом в штатных условиях. IPSec не решает этой проблемы.
> Твоя ошибка в том, что адреса в IPv6 назначаются администратором. ;) Иди читай про IPv6.
При том, что пользователь может назначить себе случайный/произвольный адрес - вся идея привязки пользователя к адресу и подтверждения подлинности по адресу превращается в пшик. Более того, даже при условии наличия администратора спуфинг никто не отменял.
>>> Вы путаете механизм обеспечения целостности с механизмом подтверждения подлинности.
>> Ничего я не путаю — иди изучай IPsec.
> IPSec может подтвердить целостность сообщения. Оно может подтвердить подлинность _аппаратного_
> источника сообщения, его связь с SA. Но оно никогда не подтвердит
> подлинность отправки самого сообщения. Само сообщение может быть сформировано неожиданным
> отправителем, и сетевой протокол источник формирования сообщения не подтверждает.Я тебе ещё раз говорю: IPv6 работает на уровне узлов сети, а не людей. За каждым узлом стоит пользователь или программа, работающая от ЕГО имени. Вспомни одно из первых моих сообщений в этой теме об ОТВЕТСТВЕННОСТИ пользователя. С IPv4 NAT'ом нельзя даже проконтролировать, с какого узла послано вон то сообщение во внешнюю сеть, так как таблица состояний по понятным причинам недолговечна. В ситуации с IPv6-узлом это исключено в принципе.
Отношение человека и подответственного ему узла в IPv6 регулируется уже другими (юридическими) соглашениями, но IPv6 работает на уровне узлов, а не людей, и работает замечательно, по крайней мере в теории, пока не внедрён повсеместно.
> Пример из жизни:
Не подходит — человеческие поступки не распространяются на железную логику и беспристрастие машин. Иначе это будет считаться архитектурным багом.
>> Твоя ошибка в том, что адреса в IPv6 назначаются администратором. ;) Иди читай про IPv6.
> При том, что пользователь может назначить себе случайный/произвольный адресНеверно. Адрес IPv6 не случайный и не назначается пользователем. Иди читай.
> С IPv4 NAT'ом нельзя даже проконтролировать, с какого
> узла послано вон то сообщение во внешнюю сеть, так как таблица
> состояний по понятным причинам недолговечна. В ситуации с IPv6-узлом это исключено
> в принципе.Ещё как можно. NAT это вам не прокся. Всего он не скрывает.
> Неверно. Адрес IPv6 не случайный и не назначается пользователем. Иди читай.Иди матчасть изучай. В том числе твоей любимой FreeBSD. Ещё как назначается. Было бы надо.
Не ссорьтесь, Вы оба правы. IPv6 назначаются 3-мя разными способами, от МАС-адреса от маршрутизатора и автоконфигурированием APIPA, и это не окончательный список.
>> С IPv4 NAT'ом нельзя даже проконтролировать, с какого
>> узла послано вон то сообщение во внешнюю сеть, так как таблица
>> состояний по понятным причинам недолговечна. В ситуации с IPv6-узлом это исключено
>> в принципе.
> Ещё как можно. NAT это вам не прокся. Всего он не скрывает.NAT скрвает всё, что творится во внутренней подсети, которую он, собственно, огораживает от внешнего мира. Циганский паспорт: вся семья (пользователи) пользуется одним документом, удостоверяющим личность владельца (NAT'а). Нет никакой возможности без костылей (логов) и периодического частого сканирования временных таблиц трансляции узнать, какой конкретно из узлов внутренней подсети пользуется соединением с внешней сетью.
>> Неверно. Адрес IPv6 не случайный и не назначается пользователем. Иди читай.
> Иди матчасть изучай. В том числе твоей любимой FreeBSD. Ещё как назначается.
> Было бы надо.Именно "было бы надо" — это из эпохи IPv4 DHCPv6 приплели. Якобы для усиления контроля.
> не людей. За каждым узлом стоит пользователь или программа, работающая от
> ЕГО имени.Например, троян. О котором юзер знать не знает. Давайте заставим юзеров отвечать за трояны, угу.
> В ситуации с IPv6-узлом это исключено в принципе.
Почему же исключено? Пользователь каждый раз берет себе новый адрес внутри /xx, и доволен. А с учётом автоконфигурации - это может быть и рандомный адрес. Т.е. шило на мыло.
> Неверно. Адрес IPv6 не случайный и не назначается пользователем. Иди читай.
Это не значит, что пользователь не может его назначить. Иди читай.
> Например, троян. О котором юзер знать не знает. Давайте заставим юзеров отвечать за трояны, угу.Это не так уж и плохо. Мне со своей колокольни иной раз хочется дать по шапке юзеру с которого валит спам мегабайтами.
> хочется дать по шапке юзеру с которого валит спам мегабайтами.Уж во всяком случае хочется забанить ипы в фаере с которых откровенно троянская или создающая нагрузку активность идет. И как-то не очень хорошо если при этом прилетит еще 100 честным юзерам.
>> не людей. За каждым узлом стоит пользователь или программа, работающая от
>> ЕГО имени.
> Например, троян.
> О котором юзер знать не знает. Давайте заставим юзеров отвечать за трояны, угу.Ты опять сводишь вопрос технического соответствия протокола к компетенции пользователя (в данном случае, по обнаружению троянов и вредоносного ПО). IPv4 тоже не умеет детектировать вредоносное ПО, если что. ;)
Кстати, трояны и побочная сетевая активность в случае использования IPv6 достаточно легко обнаруживаются на уровне конкретного узла сети.
>> В ситуации с IPv6-узлом это исключено в принципе.
> Почему же исключено? Пользователь каждый раз берет себе новый адрес внутри /xx,
> и доволен. А с учётом автоконфигурации - это может быть и
> рандомный адрес. Т.е. шило на мыло.Пользователь IPv6 не может себе выбрать произвольный адрес — протокол не позволит ему работать в глобальной сети.
> Кстати, трояны и побочная сетевая активность в случае использования IPv6 достаточно легко
> обнаруживаются на уровне конкретного узла сети.КАК?
> Пользователь IPv6 не может себе выбрать произвольный адрес — протокол не позволит
> ему работать в глобальной сети.БГГ. В пределах своего /64 (или более) "узла" - легко может.
> БГГ. В пределах своего /64 (или более) "узла" - легко может.Поэтому и накрывать сразу его /64, чтоб жизнь малиной не казалась.
> Например, троян. О котором юзер знать не знает. Давайте заставим юзеров отвечать
> за трояны, угу.С натом именно так и выходит: поспамил один, а почта отлупливается потом у всех. Очень мило.
>>> Проблемы решаются на уровне отдельного пользователя. Наконец-то пользователь приобретает
>>> не только права, но и личную ответственность за то, что он > (от его имени) делает в сети, так как в IPv6 внедрены неотключаемые механизмы подтверждения подлинности и защиты (шифрования) передваемой информации.
>> Вы путаете механизм обеспечения целостности с механизмом подтверждения подлинности.
> Ничего я не путаю — иди изучай IPsec.Да не будут IPsec глобально использовать для IPv6. Это утопия. Останется как и сейчас - своя ниша.
> Да не будут IPsec глобально использовать для IPv6. Это утопия. Останется как
> и сейчас - своя ниша.Больно геморный в настройке. И вообще довольно своеобразный протокол.
>> И - поверьте, если IPv6 "пройдёт"
>> (а шансы на это есть, но не очень большие) - админы
>> аккуратненько придумают себе v6 NAT, и имплементируют в ОС.
> Ну да. Чтобы оставить себе ту же работу.
> 1. Работники не должны быть независимыми от работодателя в плане использования информационных
> ресурсов организации.Т.е. какой-то эникейщик будет указывать коммерческому директору, куда ходить и что смотреть? Бред.
> 2. Личные ноутбуки и планшеты в корпоративной среде — бред больного админа.
Что в этом плохого? Куча инженеров, куча программистов, которые спокойно могут работать дома, а на работу приходить только на совещание, и согласование планов. Сейчас любой телефон уже компьютер с автономным выходом в сеть и фотоаппаратом, отбирать? ГЛушить?
Яйца в осадок не выпадут?
> 3. Все корпоративные компьютеры должны физически находится в пределах радиуса корпоративной
> сети и управлятся правилами политики безопасности организации.Я не могу провести презентацию своего продукта клиенту? Техник не может клиенту поднять сеть? Инженер не может получить документацию и почту с работы находясь на "объекте"?
> Вместо того, чтобы заниматься "приземлением" VPN до уровня конечного пользователя и настоящими
> цифровыми подписями, повсеместно используется ресканы репринтов печатных документов,
> отсканированные подписи и электронная почта на основе пересылки электронных копий склипированных
> таким образом документов. Это называется "Документооборот по-российски". Зато всё за NAT'ом
> и проксей, которая защищает корпоративную сеть неизвестно от чего (все пользователи
> и так имеют свободный доступ в интернет), одмины работой обеспечены, да.
> :))У тебя нет ни малейшего представления о защите информации, документообороте, и бизнес-процессах в реальной организации.
> У тебя нет ни малейшего представления о защите информации, документообороте, и бизнес-процессах в реальной организации.Ох, не буду называть реальную организацию, где это ВСЁ. Поплохеет. ;)
>> У тебя нет ни малейшего представления о защите информации, документообороте, и бизнес-процессах в реальной организации.
> Ох, не буду называть реальную организацию, где это ВСЁ. Поплохеет. ;)Вот уж с чем соглашусь. У нас размер и формальная "солидность" конторы не говорит ни о чём. Скорее даже о плохом говорит.
я как-то упустил подробности протокола, да и использовать негде, просвятишь, если есть время и желание, о граблях?
А если вам предложат, то вы тут же реализуете. Я правильно понял?
> А если вам предложат, то вы тут же реализуете. Я правильно понял?Нет. Убедить остальных в том что это круче всего остального станет вторым пунктом вашей предвыборной программы. А кому сейчас легко? :)
Если честно - самым банальным вариантом кажется AS-IPv4. Роутинг в интернет организован на базе AS, и не трогая особо сам протокол, можно бы было просто добавить в схему адресации AS-префикс, позволив каждой AS иметь собственные 4 миллиарда адресов. Это разом бы решило многие проблемы в части адресации, как из разряда управляемости, так и из разряда достаточности в плане количества адресов. Но - нет же, надо было городить совершенно иной протокол.
> было просто добавить в схему адресации AS-префикс,И чем бы это облегчило участь? Софт всяко надо переделывать, юзерские железки в массе своей тоже. Где выигрыш наступает?
>> было просто добавить в схему адресации AS-префикс,
> И чем бы это облегчило участь? Софт всяко надо переделывать, юзерские железки
> в массе своей тоже. Где выигрыш наступает?Легче. Это всё тот же IPv4, только с дополнительным полем. firmware позволит сделать такой апгрейд даже на многих железных реализациях v4 (в L3-свитчах). Не на всех. Но на многих. А вот IPv6 - это совершенно другой протокол, для которого надо делать отдельную аппаратную реализацию.
> Легче. Это всё тот же IPv4, только с дополнительным полем. firmware позволит
> сделать такой апгрейд даже на многих железных реализациях v4 (в L3-свитчах).
> Не на всех. Но на многих. А вот IPv6 - это совершенно другой протокол,
> для которого надо делать отдельную аппаратную реализацию.В юзерских железках обычно линь, там то как раз никаких особых проблем нет, +1 модуля ядра хватило бы. Вот только не все производители отпускают ручник вовремя.
> В юзерских железках обычно линь, там то как раз никаких особых проблем
> нет, +1 модуля ядра хватило бы. Вот только не все производители
> отпускают ручник вовремя.В том-то и дело, что с IPv6 это не так. Кроме модуля ядра надо ещё придумать, как его от провайдера автоконфигурить. То безумие с автоконфигурацией, что есть в IPv6... оно безумие и есть. Не было печали - придумали перекроить DHCP...
> ядра надо ещё придумать, как его от провайдера автоконфигурить. То безумие
> с автоконфигурацией, что есть в IPv6... оно безумие и есть.Но для автоконфигурации от провайдера этого безумия вполне хватит, как ни странно.
> Но для автоконфигурации от провайдера этого безумия вполне хватит, как ни странно.Не хватит. Пока нет стандарта автоконфигурации для PPP, кроме ptp-адресов - будут грабли. Впору хоть идти и RFC предлагать, только оформлять заколебусь.
> Не хватит. Пока нет стандарта автоконфигурации для PPP,Сдохли б вы уже с вашими пережитками диалапа, да?
> В юзерских железках обычно линь, там то как раз никаких особых проблем
> нет, +1 модуля ядра хватило бы. Вот только не все производители
> отпускают ручник вовремя.find /lib/modules/2.6.32-5-amd64/ -name *ip6*|wc
17 17 1155
find /lib/modules/2.6.32-5-amd64/ -name *ipv6*|wc
4 4 249
Первые циферки в результатах видете? Итого, минимум 21 модуль...
> Первые циферки в результатах видете? Итого, минимум 21 модуль...Минимум? Да вы упоролись. Насчет "максимум" или "в моей системе" я еще поверю. Но вы сами это спороли.
> Где выигрыш наступает?А выигрыш в том, что всё имеющееся будет работать с _минимальными_ доработками, ибо _слегка_ меняется только структура адреса, и ничего более.
> А выигрыш в том, что всё имеющееся будет работать с _минимальными_ доработками,Если доработки нужны - никого не колебет их размер. Если уж они нужны - можно и нормально сделать.
> Если доработки нужны - никого не колебет их размер. Если уж они
> нужны - можно и нормально сделать.Угу. Представьте себе провайдера со 100500 _магистральных_ коммутаторов L3. Что проще - заменить фирмварь, или заменить железо?
>> Если доработки нужны - никого не колебет их размер. Если уж они
>> нужны - можно и нормально сделать.
> Угу. Представьте себе провайдера со 100500 _магистральных_ коммутаторов L3. Что проще -
> заменить фирмварь, или заменить железо?Выложить фирмварь на TFTPD конечно проще. Мне нравиться ход ваших мыслей. Вместо ipv6 bgpv5?
> Выложить фирмварь на TFTPD конечно проще. Мне нравиться ход ваших мыслей. Вместо
> ipv6 bgpv5?Зачем, в BGPv4 концепт ASIPv4 вполне бы вписался. Там проблема с ASIC'ами будет, но не везде.
>> Выложить фирмварь на TFTPD конечно проще. Мне нравиться ход ваших мыслей. Вместо
>> ipv6 bgpv5?
> Зачем, в BGPv4 концепт ASIPv4 вполне бы вписался. Там проблема с ASIC'ами
> будет, но не везде.Тем не менее, сам порядок записи и настройки измениться, размеры заголовков изменяться, то же относиться и к igp(ospf и т.п.)
> Тем не менее, сам порядок записи и настройки измениться, размеры заголовков изменяться,
> то же относиться и к igp(ospf и т.п.)Это да. Но это всё софтово решабельно, в принципе. А в случае циски - решабельно полностью, у них в большинстве L3 свитчей CAM'ы позволяют такие извращения.
> то же относиться и к igp(ospf и т.п.)Не. IGP можно не менять, на то он и IGP, достаточно убрать AS-префикс с адреса, и внутри IGP получим чистые IPv4 адреса. Изменится только конфигурация - какой AS-префикс использовать для распространяемых внутри IGP адресов.
Т.е. клоню к тому, что каждая автономка внутри своих IGP может даже чистые IPv4-адреса использовать, не меняя IGP, достаточно только доработать стек протоколов для IPv4+AS адресации. BGP изменений потребует. Хотя и в изменении IGP особых проблем нет.Т.е., доработка тоже критичная - поскольку меняется структура адреса, придётся менять весь софт, включая микропрограммы ASIC'ов. Но это не так сложно, поскольку меняется только адрес - сама суть DHCP, ICMP, IGMP, EGP/IGP и прочих - остаётся на месте. В IPv6 же сломали всё.
> В IPv6 же сломали всё.Если не перестать думать категориями IPv4.
>> В IPv6 же сломали всё.
> Если не перестать думать категориями IPv4.А если перестать - получаем сеть без связности, которая ещё не скоро достигнет уровня IPv4. Более 20 лет с реализации концепции прошло, а воз и ныне там.
"На упреждение": 10 лет идёт активное пропихивание, безуспешное пока, правда. В 1992 появился концепт, в 1996 его действительно воплотили. Т.е. 20 лет концепту, 16 лет протоколу, 10 лет активного внедрежа. Толку - менее 1%. Такими темпами лет через 100-150, не раньше.
>>> В IPv6 же сломали всё.
>> Если не перестать думать категориями IPv4.
> А если перестать - получаем сеть без связностиНет. Если перестать думать категориями IPv4, то мы получим умного админа, которому больше незачем рулить "стадами" пользователей. ;)
> Нет. Если перестать думать категориями IPv4, то мы получим умного админа, которому
> больше незачем рулить "стадами" пользователей. ;)В общем, да. Потому что ходить этим пользователям будет практически некуда. А еще получим зоопарк.
> Нет. Если перестать думать категориями IPv4, то мы получим умного админа, которому
> больше незачем рулить "стадами" пользователей. ;)Обоснуй?
> Если не перестать думать категориями IPv4.Охренеть. Я опять согласен с iZEN. Что-то у него прямо проблески здравого смысла в последнее время oO
И - да - это деньги. Поэтому размер - очень даже колебёт...
> И - да - это деньги. Поэтому размер - очень даже колебёт...Да, что-то мне подсказывает что 2^64 пользователей - доходнее чем 2^32 :))
> Да, что-то мне подсказывает что 2^64 пользователей - доходнее чем 2^32 :))Число пользователей, увы, не изменится...
> Число пользователей, увы, не изменится...Зато запросы подрастут и можно побольше бабла стрясать.
>> Число пользователей, увы, не изменится...
> Зато запросы подрастут и можно побольше бабла стрясать.Агащазблин.
> Если честно - самым банальным вариантом кажется AS-IPv4. Роутинг в интернет организован
> на базе AS, и не трогая особо сам протокол, можно бы
> было просто добавить в схему адресации AS-префикс, позволив каждой AS иметь
> собственные 4 миллиарда адресов. Это разом бы решило многие проблемы в
> части адресации, как из разряда управляемости, так и из разряда достаточности
> в плане количества адресов. Но - нет же, надо было городить
> совершенно иной протокол.А как бы это выглядело для клиентского софта?
Для юзера, ну, примерно так:12345.123.64.57.12
или 12345/123.64.57.12
или как угодно.Для софта... 8 байт в адресе (AS32) вместо 4. Т.е. изменения для софта - минимальнейшие.
Маршрутные таблицы тоже могли бы жутко упроститься - теперь вместо кучи всяких 1.2.3.0, 2.4.5.0 для одной AS, можно бы было направлять целую AS.0.0.0.0/0
> Для юзера, ну, примерно так:
> 12345.123.64.57.12
> или 12345/123.64.57.12
> или как угодно.
> Для софта... 8 байт в адресе (AS32) вместо 4. Т.е. изменения для
> софта - минимальнейшие.
> Маршрутные таблицы тоже могли бы жутко упроститься - теперь вместо кучи всяких
> 1.2.3.0, 2.4.5.0 для одной AS, можно бы было направлять целую AS.0.0.0.0/0Это всё равно изменения - то есть, весь существующий софт и протоколы надо адаптировать. Вот если бы новый протокол на первом этапе позволял апгрейдить только лишь магистральные маршрутизаторы, BGP-спикеры и прочее провайдерское, не трогая весь софт - тогда это было бы жизнеспособно. А так нет.
А есть кто из саппорта корбины? Как клиенты могут получить ipv6?
> А есть кто из саппорта корбины? Как клиенты могут получить ipv6?Там PPTP/L2TP, если не ошибаюсь? С них - скорее всего никак. У ЮЛ, где статика, может быть, у ФЛ - вряд ли.
> Там PPTP/L2TP, если не ошибаюсь? С них - скорее всего никак. У
> ЮЛ, где статика, может быть, у ФЛ - вряд ли.И pptp и l2tp оба работают ниже 3-го уровня. им пофигу, что там у вас летает выше их самих.
> И pptp и l2tp оба работают ниже 3-го уровня. им пофигу, что
> там у вас летает выше их самих.Ниже 3 уровня, если уж по-хорошему, работает только PPPoE. PPTP/L2TP используют третий уровень для отправки инкапсулированных данных. Но это в нашем случае не важно.
Все правильно - и PPPoE, и PPTP инкапсулируют PPP, которому пофиг, что летает поверх него. L2TP, в целом, тоже пофиг. Проблема в другом - автоконфигурация повех PPP основной массой ОС просто не поддерживается в силу отсутствия единого её варианта.
> силу отсутствия единого её варианта.Потому что уже пора бы по хорошему уже забыть о своей хрени из эпохи диалапа.
> Потому что уже пора бы по хорошему уже забыть о своей хрени
> из эпохи диалапа.Альтернативу, сходную по управляемости, предложите?
> Альтернативу, сходную по управляемости, предложите?Нет. Я не виноват что некоторые хотят тарифицировать IP (который вообще для тарификации никогда не предназначался) с точностью как опсос звонки. Это изврат по определению.
По примерно этой причине все пришло в основном к сериям анлимов для хомяков. И хомякам хорошо (не надо платить за то что некто с анлимом тебя малость пофлудил) и провам (ARPU растет). Так более естественно для IP получается.
> Там PPTP/L2TP, если не ошибаюсь?Да, ребята не плохо сэкономили на железе.
>> Там PPTP/L2TP, если не ошибаюсь?
> Да, ребята не плохо сэкономили на железе.В чём экономия? Эти управляемые протоколы требуют концентраторов доступа. Ребята просто получили управляемость, которая на статике/динамике IPoE в больших масштабах даже не приснится.
> В чём экономия?В том что дерьмовость неуправляемых свичей пионернетов в свое время компенсировали вот такими вот извращениями. В нормальной сети построенной на нормальном оборудовании все эти извращения нафиг не нужны.
> В том что дерьмовость неуправляемых свичей пионернетов в свое время компенсировали вот
> такими вот извращениями. В нормальной сети построенной на нормальном оборудовании все
> эти извращения нафиг не нужны.Пионернет - это как раз таки попытка управлять портами вместо RADIUS'ов. Когда у вас будет несколько тысяч свитчей - поймёте, о чем я.
> Пионернет - это как раз таки попытка управлять портами вместо RADIUS'ов.Пионернет отличается от нормальной сети тем что строится на какашечном оборудовании, вплоть до мелкого офисного свича в щитке подвешенного на сопли китайской девственницы и витую пару. Нормальное оборудование умеет и управленеи портами и простенький файрвол и что там еще. И вот как раз там то никаких проблем с этим нет и ряд вполне серьезных и больших сеток так и делает. Потому что они могут позволить себе в отличие от пионернета нормальные свичи заточенные под провайдинг а не какой-то взятый из загашников свич для офиса.
> Когда у вас будет несколько тысяч свитчей - поймёте, о чем я.
Расскажите это провам с десятками или даже сотнями тысяч абонентов. Или вы думаете что я сам придумал эту схему? :))
Самому себе рассказать, т.е.?
> Самому себе рассказать, т.е.?Ну можете и самому себе. Я что, виноват чтоли что на свете есть больные на голову провайдеры? То ipv6 им плох, то порт на свиче гасить не айс, то подавай замер траффика пипеткой, ценой концентрации всей критичной инфраструктуры в одном месте и снижения надежности. Я конечно понимаю что юзер - ваш злейший враг, но именно поэтому мое бабло и достается тем у кого юзер - друг. А таким не обязательно меня пипеткой RADIUSа мерять, создавая мне гемор, при том что я плачу 35 тугриков разом за месяц. Это называется конкуренция, фигле. И да, разгруз моего роутера в три раза так что я могу на нем крутить QoS и торренты - это вполне себе конкурентное преимущество прова, приколись? :)
> В чём экономия? Эти управляемые протоколы требуют концентраторов доступа. Ребята просто
> получили управляемость, которая на статике/динамике IPoE в больших масштабах даже не
> приснится.С точностью до наоборот. Плюс надёжность. Лишний прибамбас в виде БРАСов её мяго выражаясь не добавляет.
Да. BRAS - точка отказа. Зато - полная управляемость, возможность изменения параметров "на лету", управления трафиком не только на базе портов (в данном случае - пользователей), но и списков доступа (на свитчах - не прокатит, поскольку при изменении списка доступа придется распихивать его по всем свитчам).И - да - самое важное: независимость от типа используемого оборудования доступа.
> Да. BRAS - точка отказа.Более того - когда в такой сети вылетают сервера впн или концентраторы - саппорты дружно стреляются. А в более-менее обычной роутинговой сети такой точки отказа тупо нет.
>> Да. BRAS - точка отказа.
> Более того - когда в такой сети вылетают сервера впн или концентраторы
> - саппорты дружно стреляются. А в более-менее обычной роутинговой сети такой
> точки отказа тупо нет.У нас гораздо более одного концентратора, при этом вылет одного не скажется на работоспособности сети ровным счётом никак - обрыв сессии у ряда абонентов, с последующим переконнектом (у кого роутеры - вообще автоматическим). Вопрос в том, что "в таких сетях", о которых вы говорите, их готовить не умеют.
> У нас гораздо более одного концентратора, при этом вылет одного не скажется
> на работоспособности сети ровным счётом никак - обрыв сессии у ряда
> абонентов, с последующим переконнектомАга, очень "приятно". Особенно во всяких IM и ирках, онлайн играх и прочая. Знаете как юзеры любят падучий интернет? В нормальной сети базированной на свичинге и латентность ниже что геймерам по душе, и принципиально нет этих полетов ;)
> (у кого роутеры - вообще автоматическим).
Да, только там айпишник чего доброго сменится и прочая. Не, вконтактерам и тем кто раз в месяц почту проверяет это может и пофиг, но они и покупают самые бомжовские тарифы, соотвественно. А вот всяким там онлайн игрокам, любителям асек, ирок и прочая такой пров явно не подарок. И это является откровенным конкурентным НЕДОСТАТКОМ.
> Вопрос в том, что "в таких сетях", о которых вы говорите, их готовить не умеют.
Ну вы описали типичного такого ppp-based прова. Достающего своей летучестью и враждебностью к юзерам. Конечно и кактус можно жрать, только при наличии конкуренции как-то оказывается что шоколад - вкуснее и не колется.
Что же до надежности - она обеспечивается кластером BRAS'ов.
> Что же до надежности - она обеспечивается кластером BRAS'ов.Ну да, наверное он дешевый и его содержание бесплатно. Ага.
>> Что же до надежности - она обеспечивается кластером BRAS'ов.
> Ну да, наверное он дешевый и его содержание бесплатно. Ага.Дешевле, чем попытка управлять сборной солянкой свитчей, каждый из которых может отсутствовать в энный момент времени.
> Дешевле, чем попытка управлять сборной солянкой свитчей, каждый из которых может отсутствовать
> в энный момент времени.Не вижу фундаментальных проблем пометить вон те операции как неуспешные и периодически их повторять, например. А у таких как вы недопровов интернет летает на каждый пук, что пофигу только совсем негордым и дешевым юзерам, которым срать на пинг, смену айпишника и прочие геморрои, любезно предоставляемые таким горе-провом.
А приколитесь, слушаете вы радио онлайн а тут у вас сессия отваливается. И радио полностью теряет линк. Потому что айпи сменился. Что вы скажете о таком прове? ;)
Господа очень нехватает полноценного FAQ по IPv6 с полным описанием всех аспектов нового протокола. Начиная от того как пинговать заканчивая сложными темами вроде как настроить NAT или пробросить GRE или выяснить поддерживает мой роутер IPv6.
Если прошивка роутера поддерживает IPv6, разве это не значит, что и роутер его поддерживает?
> Если прошивка роутера поддерживает IPv6, разве это не значит, что и роутер
> его поддерживает?Как бы удивительно ни было на данный момент - но нет. Поддержка собственно IPv6 не означает, что железкой поддерживается автоконфигурация как роутера, так и устройств за ним в нужных вариантах. Т.е. номинально оно есть, фактически - неюзабельно.
> Как бы удивительно ни было на данный момент - но нет. Поддержка
> собственно IPv6 не означает, что железкой поддерживается автоконфигурация как роутера,
> так и устройств за ним в нужных вариантах.IPv6 прописывает автоконфигурацию прямо в RFC. Как ее при этом можно не реализовать???
одно не понимаю о чем спор?
разве кто-то говорил что ип4 6 июня похерят? будет и то и другое насколько я понимаю, особенно учитывая тот факт что адресация ип4 есть подмножество ип6...
> одно не понимаю о чем спор?Да истерика некоторых проснувшихся товарищей.
Побуянят, да пойдут RTFM :)
>> одно не понимаю о чем спор?
> Да истерика некоторых проснувшихся товарищей.
> Побуянят, да пойдут RTFM :)Да уже пошли, подумали, и махнули рукой. Именно поэтому IPv6 за 16 лет дальше 0.5% тестового внедрежа не двинулся.
>>> одно не понимаю о чем спор?
>> Да истерика некоторых проснувшихся товарищей.
>> Побуянят, да пойдут RTFM :)
> Да уже пошли, подумали, и махнули рукой.Вы телепат? :)
>Именно поэтому IPv6 за 16 лет дальше 0.5% тестового внедрежа не двинулся.
Вы все бубните, продолжая искать себе оправдания? :)
Да, массив хостов по ipV4 большой - и растет пока я пишу, но адреса заканчиваются, nat ограничивает реализацию сетевых алгоритмов как косой по одному месту, ...Не удивлюсь, если лет через 5-7 вас впендюрят - где ipV6? почему то-се не работает, и вы взахлеб будете писать о преимуществах ipV6 :)
Да, давеча глянул в торенто-качалку - а ipv6 хостов ~четверть. 25%.
Скрин нужен, или так поверите?
>> Да уже пошли, подумали, и махнули рукой.
> Вы телепат? :)Да нет, я просто непосредственно участвую в процессе хоть какого-то внедрежа оного. Пока что перспективы для массого использования нет. Постоянно её ищем, но по разным фронтам столько грабель, что до момента устаканивания их со стороны разработчиков протокола можно даже не дёргаться.
>>Именно поэтому IPv6 за 16 лет дальше 0.5% тестового внедрежа не двинулся.
> Вы все бубните, продолжая искать себе оправдания? :)Это не оправдания, это медицинский факт.
> Не удивлюсь, если лет через 5-7 вас впендюрят - где ipV6?
А я - удивлюсь. Потому, что как только ipv6 станет применимым, мы его внедрим. Быстро и ненавязчиво. Пока что это не так.
> Да, давеча глянул в торенто-качалку - а ipv6 хостов ~четверть. 25%.
> Скрин нужен, или так поверите?1. v6->v4 маппинги
2. через мсявной туннель, от которого толку, как от козла молока
> Постоянно её ищем, но
> по разным фронтам столько грабель, что до момента устаканивания их со
> стороны разработчиков протокола можно даже не дёргаться.Может, если отделить, дело таки не в ipV6, а в его реализациях у конкретных софтописателей и железкопроизводителях? Тогда да - большинство софта где-то ближе к последней миле в эрефии к ipv6 непременимо. В эрефии слава богу что в некоторых местах ipv4 есть.
Но это не значит, что ситуация не будет меняться.
>> Да, давеча глянул в торенто-качалку - а ipv6 хостов ~четверть. 25%.
>> Скрин нужен, или так поверите?
> 1. v6->v4 маппинги
> 2. через мсявной туннель, от которого толку, как от козла молокаНомера не смотрел. Как-то сильно удивился наверное :)
Однако, сиды, с нормальным трафиком.
>[оверквотинг удален]
> web-сайты, интернет-провайдеры и производители оборудования намерены совершить самый
> значительный в истории Сети шаг в сторону поддержки IPv6. Если в
> проведённый в прошлом году день тестирования IPv6 было осуществлено (http://www.opennet.me/opennews/art.shtml?num=30821)
> тестовое внедрение IPv6, то 6 июня 2012 года участники акции намерены
> обеспечить постоянную полноценную поддержку IPv6 в своих инфраструктурах, продуктах и
> сервисах. Курировать мероприятие будет организация Internet Society (http://ru.wikipedia.org/wiki/Internet_Society),
> занимающаяся развитием и обеспечением работоспособности сети Интернет.
> По мнению организаторов акции, в условиях близкого исчерпания IPv4 адресов требуется стимулироват...
> URL: http://www.internetsociety.org/news/world-ipv6-launch-solidi...
> Новость: http://www.opennet.me/opennews/art.shtml?num=32840в Ipv6 есть термин default gateway?
> в Ipv6 есть термин default gateway?Ну конечно. А куда же он денется?
IPv6 - это средство с помощью которого любым девайсом будет управлять каждый кто только этого пожелает. Хакнуть к примеру 1М микроволновок, чайников, тостеров (и прочей хрени) и заставить их в час Х включиться одновременно и авария нехилинького такого масштаба обеспечена. Это перспективы для хомячков.
Ну а для админов - прощай NAT, да здравствуй IPv6 (Welcome all to my local net!)
> IPv6 - это средство с помощью которого любым девайсом будет управлять каждый
> кто только этого пожелает. Хакнуть к примеру 1М микроволновок, чайников, тостеров
> (и прочей хрени) и заставить их в час Х включиться одновременно
> и авария нехилинького такого масштаба обеспечена. Это перспективы для хомячков.вам бы триллеры с ужастиками писать.
> Ну а для админов - прощай NAT, да здравствуй IPv6 (Welcome all
> to my local net!)учимся таки писать сетевой фильтр и отличать TCP от IP не только по количеству букв?
Да-с... Детская болезнь (или боязнь новизны?) продолжатся...
А ещё несколько месяцев назад кто-то из ISOC обещал в 2012 году провести ipv6week.
Какой смысл снова проводить IPv6 день, если ещё в прошлом году было понятно, что за одни сутки невозможно собрать хоть какую-то мало-мальски полезную статистику?> MAC адреса недостаточно для выхода за пределы подсети
Ну, от вас не ожидал. Почитайте статью "Всемирная сеть Ethernet".
Для скептиков:
Как там было в рекламе? "Вы ещё полоскаете? А мы уже рубим! И скоро придём к вам!"
В прошлом году в день внедрения IPv6 вообще не работало обновление из репозиториев и сайты открывались с задержкой.
А у нас и сегодня "репозитарии" доступны по IPv6. И никаких особенных задержек нет.
В прошлом году в этот день было пару жалоб на медленное открытие фейсбуков и прочих твиттеров. Зато от людей, которые не были подключены к инету по PPPoE, а инет, тем не менее, у них открывался поступали не жалобы а удивлённые вопросы как такое может быть.
> А у нас и сегодня "репозитарии" доступны по IPv6. И никаких особенных
> задержек нет.
> В прошлом году в этот день было пару жалоб на медленное открытие
> фейсбуков и прочих твиттеров. Зато от людей, которые не были подключены
> к инету по PPPoE, а инет, тем не менее, у них
> открывался поступали не жалобы а удивлённые вопросы как такое может быть.Доступны-то они доступны, но мой провайдер IPv6 не поддерживает, а в день тестирования все программы обращались к репам по IPv6-адресу и ни за что не желали подключаться по IPv4.
а что же microsoft молчит. или они забили. Они потом изобретут новый протокол, как всегда :)
> а что же microsoft молчит. или они забили. Они потом изобретут новый
> протокол, как всегда :)Они купили блок ipv4 айпи и им на ближайшее время для своих северов хватит. А так у них ipv6 тоже реализован, если что.
[quote]По мнению организаторов акции, в условиях близкого исчерпания IPv4 адресов требуется стимулировать компании для внедрения IPv6 и сделать это лучше всего на примере лидеров индустрии. Проводимая акция даст понять, что IPv6 уже не относится к разряду экспериментов, а является необходимостью и важным шагом в эволюции Сети, который нужно сделать уже сейчас, не откладывая на потом. Целью мероприятия является достижение миграции на IPv6 1% процента пользователей Сети, т.е. по расчётам устроителей после проведения Дня внедрения IPv6 как минимум 1% пользователей будут заходить на сайты по IPv6. По данным компании Google, в настоящий момент только 0.40% пользователей имеют возможность прямого обращения к IPv6-сетям. [/quote]Лично мне хорошо и на IPv4. Никогда эти акции не поддерживал и не собираюсь поддерживать.
>[оверквотинг удален]
> [quote]По мнению организаторов акции, в условиях близкого исчерпания IPv4 адресов требуется
> стимулировать компании для внедрения IPv6 и сделать это лучше всего на
> примере лидеров индустрии. Проводимая акция даст понять, что IPv6 уже не
> относится к разряду экспериментов, а является необходимостью и важным шагом в
> эволюции Сети, который нужно сделать уже сейчас, не откладывая на потом.
> Целью мероприятия является достижение миграции на IPv6 1% процента пользователей Сети,
> т.е. по расчётам устроителей после проведения Дня внедрения IPv6 как минимум
> 1% пользователей будут заходить на сайты по IPv6. По данным компании
> Google, в настоящий момент только 0.40% пользователей имеют возможность прямого обращения
> к IPv6-сетям. [/quote]1% пользователей Сети как раз составляют пользователи FreeBSD. Логично. :))
> 1% пользователей Сети как раз составляют пользователи FreeBSD. Логично. :))Угу, 1%. В твоих мечтах. Посмотри на openstat.ru чтоли на проценты. Тебе правда не понравится.
> Лично мне хорошо и на IPv4. Никогда эти акции не поддерживал и
> не собираюсь поддерживать."Лично мне хорошо и в пещерах. Никогда эти акции по строительству хижин не поддерживал и не собираюсь поддерживать"
Шутка :)
Движение в сторону нового протокола - это конечно хорошо, особенно в свете глобальной нехватки адресов. Мне уже надоело платить 150 руб. за один (1) v4 адрес.
Но на сколько столетий хватит адресов, если оптимистически считать, что может быть ~4 млрд провайдеров? :-)