Comments 135
>Политика отвергания инициируемых извне соединений обеспечивает безопасность, но это обеспечивается файерволом маршрутизатора и не является свойственным для NAT. Большинство не-NAT файерволов будет делать то же самое.
Неужели свойственным для NAT является трансляция всех входящих соединений куда-либо? Мне всегда казалось, что ему свойственно отбрасывание всех входящих соединений, и только если трансляция с определенного порта куда-то специально задана, то содинения не отбрасываются.
>Просто удивительно, что еще кто-то до сих пор думает, что NAT добавляет безопасности, но, видимо, некоторые так считают.
Я так считаю: за 4 года за NAT ни одной попытки сканить порты, за год с публичным IP — попытки сканить порты, инициировать какие-то соединения и т. п. чуть ли не ежеминутно. Боюсь, что если бы не NAT, то мой комп давно бы уже в куче ботнетов участвовал или спам вам на почту слал, не смотря на то, что рут-доступ использую только для установки, обновления и настройки ПО.
А вообще главное препятствие для внедрения IPv6, имхо, не софт на ПК и серверах, а прошивки свитчей, роутеров, модемов и т. д. — пускай хоть 100 сервисов поддерживающих IPv6 подниму у себя (сейчас с десяток где-то поднято, афаик), но если оборудование провайдера про него ничего не знает (а оно не знает или делает вид, что не знает — проверено) то ничем мне это в связи со всем миром не поможет.
Неужели свойственным для NAT является трансляция всех входящих соединений куда-либо? Мне всегда казалось, что ему свойственно отбрасывание всех входящих соединений, и только если трансляция с определенного порта куда-то специально задана, то содинения не отбрасываются.
>Просто удивительно, что еще кто-то до сих пор думает, что NAT добавляет безопасности, но, видимо, некоторые так считают.
Я так считаю: за 4 года за NAT ни одной попытки сканить порты, за год с публичным IP — попытки сканить порты, инициировать какие-то соединения и т. п. чуть ли не ежеминутно. Боюсь, что если бы не NAT, то мой комп давно бы уже в куче ботнетов участвовал или спам вам на почту слал, не смотря на то, что рут-доступ использую только для установки, обновления и настройки ПО.
А вообще главное препятствие для внедрения IPv6, имхо, не софт на ПК и серверах, а прошивки свитчей, роутеров, модемов и т. д. — пускай хоть 100 сервисов поддерживающих IPv6 подниму у себя (сейчас с десяток где-то поднято, афаик), но если оборудование провайдера про него ничего не знает (а оно не знает или делает вид, что не знает — проверено) то ничем мне это в связи со всем миром не поможет.
>>за год с публичным IP — попытки сканить порты, инициировать какие-то соединения и т. п. чуть ли не ежеминутно.
И кто мешает на маршрутизаторе правилом по умолчанию сделать дроп, а потом разрешить то что нужно?
И кто мешает на маршрутизаторе правилом по умолчанию сделать дроп, а потом разрешить то что нужно?
Необходимость что-то настраивать (и не факт что дешевые роутеры это умеют), по сравнению с «работает из коробки»?
Безусловно, не умеют. 95% SOHO роутеров существующих сейчас даже не представляют что такое ipv6. Но скажите на милость, почему вы каждый день едите на работу на машине а не на лошади, ведь и она вроде «едет из коробки»? Так-же и тут, когда альтернативы не станет, у вас будет два варианта — сидеть за провайдеровским натом и сосать лапу, пока остальные раздают публичные IP-адреса микроволновкам и холодильникам, попутно наслаждаясь видеоконференциями и высокими скоростями благодаря p2p. Либо изучать новую технологию, которая к слову сказать, не так страшна. Другое дело, что выбить предрассудки NAT == безопасно, будет трудно. Но это не NAT безопасен, это безопасность из-за ограничения технологии.
Был тезис «НАТ не добавляет безопасности, потому что можно настроить файрволл». Я с ним не согласен, т.к. это часто или невозможно или требует ковыряний. Причем тут преимущества публичных адресов?
Ну тогда для вас, «юзерус-ленивикус» маркетологи сделают железки со встроенным конфигом где на инкоминг по умолчанию будет дроп. Наклеют наклеечку — безопасно as NAT! и будут впаривать из на 30% дороже аналогов… эххх чудесный мир!
Ну вот когда во всех дешевых железках будет файрвол, тогда и поговорим. А пока, придется вам признать, что НАТ дает дополнительный уровень защиты.
На тему безопасности ната.
Мне интересно, какой процент ботнетов находится за натом? Бо по моей информации нат лишь чуточку затрудняет управление таким ботнетом, но не влияет на количество зараженных компьютеров — благо пути заражения достаточно разнообразны.
Мне интересно, какой процент ботнетов находится за натом? Бо по моей информации нат лишь чуточку затрудняет управление таким ботнетом, но не влияет на количество зараженных компьютеров — благо пути заражения достаточно разнообразны.
Тут скорее, например, возможность запустить сервисы, которые должны быть недоступны извне и не беспокоиться о том, действительно ли они недоступны. Например, я могу открыть виндовые шары для локальной сети, и при этом голова не болит о том как запретить доступ кому не попадя.
мне эта проблема кажется надуманной. Серьезно.
Отсутствие ната не повлияет на то, что пароль в админку роутера не меняется. Ладно если пользователи этим грешат — в худшем случае они еще и вайфай без пароля сделают. Но и у провайдеров случаются такие косяки.
Я бы не надеялся на то, что нат может что-то защитить. Равно как не надеялся бы на то, что документ ворда, защищенный паролем на редактирование, не может быть отредактирован.
Отсутствие ната не повлияет на то, что пароль в админку роутера не меняется. Ладно если пользователи этим грешат — в худшем случае они еще и вайфай без пароля сделают. Но и у провайдеров случаются такие косяки.
Я бы не надеялся на то, что нат может что-то защитить. Равно как не надеялся бы на то, что документ ворда, защищенный паролем на редактирование, не может быть отредактирован.
Во всех роутерах, которые я видел, доступ в админку был по-умолчанию только из локалки.
Угу.
Таким образом к админке провайдерского роутера имеют доступ все клиенты, подключенные к этому роутеру. К домашнему роутеру имеют доступ те, кто подключается по вайфаю. И кто может дать гарантию, что его траффик не сниффится соседом?
Я все кручусь вокруг темы, что нат сам по себе ничего не дает. Компьютеры за натом заражаются вирусами, которые приносятся на флешках, ботнеты тоже вполне могут иметь своих ботов за натом, траффик также может быть просниффен. Обычному юзеру никто и не скажет сколько опасностей вокруг. Да он и не хочет разбираться в этом.
Нат — это все равно что просить гостей помыь руки при входе в квартиру, боясь заразиться от них простудой.
Таким образом к админке провайдерского роутера имеют доступ все клиенты, подключенные к этому роутеру. К домашнему роутеру имеют доступ те, кто подключается по вайфаю. И кто может дать гарантию, что его траффик не сниффится соседом?
Я все кручусь вокруг темы, что нат сам по себе ничего не дает. Компьютеры за натом заражаются вирусами, которые приносятся на флешках, ботнеты тоже вполне могут иметь своих ботов за натом, траффик также может быть просниффен. Обычному юзеру никто и не скажет сколько опасностей вокруг. Да он и не хочет разбираться в этом.
Нат — это все равно что просить гостей помыь руки при входе в квартиру, боясь заразиться от них простудой.
у меня ДЛинк ДИР-300. ДПо умолчанию доступ к админке возможен только из локалки по проводу! Никаких вайфаев.
Нет таких провайдеров, которые не настраивают свои свитчи/роутеры. Слишком много кулхацкеров развелось.
НАТ даёт сам по себе. Через флешки заражаются, через скачанное порно заражаются, но всё это требует активных действий пользователя. А без НАТа не надо будет ничего делать, только включить комп.
Я, кстати, прошу гостей помыть руки. А вы нет?
Нет таких провайдеров, которые не настраивают свои свитчи/роутеры. Слишком много кулхацкеров развелось.
НАТ даёт сам по себе. Через флешки заражаются, через скачанное порно заражаются, но всё это требует активных действий пользователя. А без НАТа не надо будет ничего делать, только включить комп.
Я, кстати, прошу гостей помыть руки. А вы нет?
вы не правы. нат вам «слегка» поможет только от ботов которые долбятся на внешние адреса. от этого вас легко спасет и обычный пакетный фильтр, который прикроет все порты от входящих соединений без всяких натов. заразу можно подхватить и на исходящих соединениях которые вы в любом случае устанавливаете. сходите на сайт, схватите бяку, бяка запустит коннекшн-бэкдор и никакие наты не спасут :)
все описаные для ната преимущества решаются политиками пакетнами фильтра, как было правильно замечено в статье. а профита от IPv6 в разы больше, например ваш любимые P2P будет работать не обязывая пользователя сношаться с upnp или портмаппингом.
в IPv6 я вижу плюсов гораздо больше чем минусов. а уж для конечных пользователей так вообще сплошные плюсы.
все описаные для ната преимущества решаются политиками пакетнами фильтра, как было правильно замечено в статье. а профита от IPv6 в разы больше, например ваш любимые P2P будет работать не обязывая пользователя сношаться с upnp или портмаппингом.
в IPv6 я вижу плюсов гораздо больше чем минусов. а уж для конечных пользователей так вообще сплошные плюсы.
я не против внедрения IPv6, просто считаю, что вы недооцениваете преимущества НАТа.
с UPnP и портмаппингом я не сношался вообще. Для этого мне нужно было поставить аж 1 галочку в админке роутера, что не составило большой проблемы. Ну и для портмаппинга правило создать мне было несложно тоже.
с UPnP и портмаппингом я не сношался вообще. Для этого мне нужно было поставить аж 1 галочку в админке роутера, что не составило большой проблемы. Ну и для портмаппинга правило создать мне было несложно тоже.
этих ваших NAT'ов я повидал не только в делинке за $50 для дома и могу смело утверждать что вы _переоцениваете_ преимущества NAT'а. даже не так, вы видите преимущества в том где их нет впринципе. давайте начнем с того что сам по себе NAT — это костыль, выдуманный после того как стало ясно что в IPv4 недостаточно адресов. улавливаете мысль? _задача_ и _цель_ NAT'а продлить жизнь IPv4 и на этом всё, роль пакетного фильтра NAT не выполнял и никогда не будет выполнять. всё остальное что вы считаете «преимуществами» лишь побочный эффект, который не есть сама цель. кстати в этих ваших делинках за $50 таке пакетный фильтр используются и благодаря которому из вне не попасть в вашу внутреннюю сеть, а вовсе не из-за ната.
самый простой сценарий пенетрации NAT'а без пакетного фильтра: на устройстве в пределах direct линка с этим делинком прописать маршрут на вашу домашнюю сеть на внешний ойпи этого делинка. да, для этого надо знать внутренню подсеть, только меняете ли вы её с дефолтной? да, есть проблема с тем что исходящие из этой сети пакеты всё равно будут натиться, но ведь послать мегастрашный пакет с магическим содержимым в ваш компьютер всё равно можно.
кстати, с IPv6 вам дома не нужен роутир. а для безопасности хватит аутпоста на компьютере :) возможно в будущем получат своё развитие «бриджующие» фильтры, которые будут ставиться в разрыв и не влиять на топологию сети на канальном уровне.
самый простой сценарий пенетрации NAT'а без пакетного фильтра: на устройстве в пределах direct линка с этим делинком прописать маршрут на вашу домашнюю сеть на внешний ойпи этого делинка. да, для этого надо знать внутренню подсеть, только меняете ли вы её с дефолтной? да, есть проблема с тем что исходящие из этой сети пакеты всё равно будут натиться, но ведь послать мегастрашный пакет с магическим содержимым в ваш компьютер всё равно можно.
кстати, с IPv6 вам дома не нужен роутир. а для безопасности хватит аутпоста на компьютере :) возможно в будущем получат своё развитие «бриджующие» фильтры, которые будут ставиться в разрыв и не влиять на топологию сети на канальном уровне.
насколько я помню, в винде бывала такая проблема, что специально сформированный пакет наносил вред то того, как его обрабатывал и отбрасывал фаерволл.
я конечно не помню деталей, но было что-то такое.
я конечно не помню деталей, но было что-то такое.
нат — отсекает часть угроз.
не все. но часть.
а по вашей логике — и антивирусы ничего не дают (потому что новые вирусы не находятся), и фаерволл ничего не дает — ведь от флешек он не защищает.
итд )
не все. но часть.
а по вашей логике — и антивирусы ничего не дают (потому что новые вирусы не находятся), и фаерволл ничего не дает — ведь от флешек он не защищает.
итд )
по моей логике защита должна быть комплексной. В противном случае от нее можно отказаться в пользу какого нибудь профита. А если припечет — то тогда уже и заняться защитой комплексно.
потому что на машине ездить — удобнее.
а самому перенастраивать какую-то лишнюю фигню — оно мне надо?
зачем трогать работающую систему??
а самому перенастраивать какую-то лишнюю фигню — оно мне надо?
зачем трогать работающую систему??
Типичное мнение офисного планктона )
Оно тебе может и не надо, но это прогресс и от него тебе никуда не деться.
Когда людям захотелось добираться из точки А в точку Б быстрее чем за 30-ть лет: изобрели автомобили\самолеты. По началу народ тоже отбрыкивался, зачем учится водить? Я вот свою кобылку расчехлю… но прошло каких-то 200 лет, и уже удобнее…
Оно тебе может и не надо, но это прогресс и от него тебе никуда не деться.
Когда людям захотелось добираться из точки А в точку Б быстрее чем за 30-ть лет: изобрели автомобили\самолеты. По началу народ тоже отбрыкивался, зачем учится водить? Я вот свою кобылку расчехлю… но прошло каких-то 200 лет, и уже удобнее…
нароод не «отбрыкиваался».
просто пока машины были неудобны — ими не пользовались.
а когда машины стали удобны — ими стали пользоваться.
человек всегда старается предпочитать то, что удобнее. и это — естественно.
почитайте «психбольница в руках пациентов». очень рекомендую.
человек готов перейти со старого на новое только тогда, когда преимущества окупают как силы и время, потраченные на ознакомление с этим новым, так и неудобства, связанные с новым.
(исключение составляют энтузиасты, которым доставляет удовольствие изучать новое — но их — меньшинство).
но это — удовольствие от процесса. кто-то играет в солитер, кто-то изучает новое.
итак, что мы имеем в плюсе от ipv6 и насколько оно ценно.
1. возможность отказаться от NAT. но, в целом, нат мало мешает. проблем от него — минимум. да и в большинстве случаев проблемы решаются. так что данное преимущество — несущественное.
2. безопасность-шифрование. это да, это приятно. но сейчас то, что действительно хочется иметь секретным — итак шифруется. (https://gmail.com, skype). а на остальное — в целом, пофиг. так что проблема секьюрности информации не стоит. скорее данная проблема стоит у всяческих ФСБ, ФБР, ЦРУ. да. итак, выгода — несущественная.
3. бродкасты. их доля — минимальна в общем трафике. что-то «оптимизировать» — бессмысленно.
4. появление мультикастов — экономия в трафике. «большинство пользователей имеет асимметричный канал». конечно. асимметричный. в большинстве случаев либо канал слишком узок для общения один-на-один, либо его хватает на конференцию и об оптимизации можно не задумываться. так что выгода — несущественна.
5. эникасты. выгода так же несущественна. я её не вижу.
6. количество адресов. на настоящий момент данная проблема решается так или иначе. пкоа адреса не кончились — ничего не изменится. а адреса заканчиваются всё медленнее и медленнее. выгода есть да. но пока что не критична.
теперь минусы.
1. главный минус — слишком длинный адрес. 128 бит. все видят:
а) его избыточность.
б) его неудобовоспринимаемость.
в) его незапоминаемость.
и в связи с огромной его длинной — было принято несколько попыток «сократить» воспринимаемую длину. во-первых, буквы вместо цифр. во-вторых, сокращения (не все нулевые биты надо писать).
но тем не менее…
где-то там в одном из каментов я написал какой-то из Ipv6 адресов. найти его не сложно. насколько Вам удобно будет его в камент _перепечатать_ — а не скопировать?
вот если лично мне понадобится с одного места в другое перенести адрес 192.169.12.72 — то я его просто напечтаю. я не буду делать копи-паст.
а адрес типа 10.38.67.251 — я легко запоминаю (один из соседних компов в локальнйо сети).
адреса же ipv6 — ну очень сложно запоминаются.
в целом, у почти любого человека, который смотрит на эти адреса — есть стойкое желанеи с ними не связываться. потому что они — неудобоперевариваемые. слишком длинные. слишком неудобные.
если бы адреса стали 40-битными. или 48-битными — они бы очень даже хорошо прижились. и уже бы всё работало.
а так…
ну и последнее. вы же знаете основной принцип современного программирования. котлеты — отдельно, мухи — отдельно. не надо смешивать разные сущности.
так вот, в ipv6 смешали адресацию с маршрутизацией. (адреса ipv6 — избыточные, зато их очень легко маршрутизировать).
в результате каждый адрес включает в себя еще и информацию о маршрутизации.
котлеты с мухами — это не есть хорошо.
просто пока машины были неудобны — ими не пользовались.
а когда машины стали удобны — ими стали пользоваться.
человек всегда старается предпочитать то, что удобнее. и это — естественно.
почитайте «психбольница в руках пациентов». очень рекомендую.
человек готов перейти со старого на новое только тогда, когда преимущества окупают как силы и время, потраченные на ознакомление с этим новым, так и неудобства, связанные с новым.
(исключение составляют энтузиасты, которым доставляет удовольствие изучать новое — но их — меньшинство).
но это — удовольствие от процесса. кто-то играет в солитер, кто-то изучает новое.
итак, что мы имеем в плюсе от ipv6 и насколько оно ценно.
1. возможность отказаться от NAT. но, в целом, нат мало мешает. проблем от него — минимум. да и в большинстве случаев проблемы решаются. так что данное преимущество — несущественное.
2. безопасность-шифрование. это да, это приятно. но сейчас то, что действительно хочется иметь секретным — итак шифруется. (https://gmail.com, skype). а на остальное — в целом, пофиг. так что проблема секьюрности информации не стоит. скорее данная проблема стоит у всяческих ФСБ, ФБР, ЦРУ. да. итак, выгода — несущественная.
3. бродкасты. их доля — минимальна в общем трафике. что-то «оптимизировать» — бессмысленно.
4. появление мультикастов — экономия в трафике. «большинство пользователей имеет асимметричный канал». конечно. асимметричный. в большинстве случаев либо канал слишком узок для общения один-на-один, либо его хватает на конференцию и об оптимизации можно не задумываться. так что выгода — несущественна.
5. эникасты. выгода так же несущественна. я её не вижу.
6. количество адресов. на настоящий момент данная проблема решается так или иначе. пкоа адреса не кончились — ничего не изменится. а адреса заканчиваются всё медленнее и медленнее. выгода есть да. но пока что не критична.
теперь минусы.
1. главный минус — слишком длинный адрес. 128 бит. все видят:
а) его избыточность.
б) его неудобовоспринимаемость.
в) его незапоминаемость.
и в связи с огромной его длинной — было принято несколько попыток «сократить» воспринимаемую длину. во-первых, буквы вместо цифр. во-вторых, сокращения (не все нулевые биты надо писать).
но тем не менее…
где-то там в одном из каментов я написал какой-то из Ipv6 адресов. найти его не сложно. насколько Вам удобно будет его в камент _перепечатать_ — а не скопировать?
вот если лично мне понадобится с одного места в другое перенести адрес 192.169.12.72 — то я его просто напечтаю. я не буду делать копи-паст.
а адрес типа 10.38.67.251 — я легко запоминаю (один из соседних компов в локальнйо сети).
адреса же ipv6 — ну очень сложно запоминаются.
в целом, у почти любого человека, который смотрит на эти адреса — есть стойкое желанеи с ними не связываться. потому что они — неудобоперевариваемые. слишком длинные. слишком неудобные.
если бы адреса стали 40-битными. или 48-битными — они бы очень даже хорошо прижились. и уже бы всё работало.
а так…
ну и последнее. вы же знаете основной принцип современного программирования. котлеты — отдельно, мухи — отдельно. не надо смешивать разные сущности.
так вот, в ipv6 смешали адресацию с маршрутизацией. (адреса ipv6 — избыточные, зато их очень легко маршрутизировать).
в результате каждый адрес включает в себя еще и информацию о маршрутизации.
котлеты с мухами — это не есть хорошо.
касаемо неудобочитаемости… днс вам в руки.
а касаемо плюсов — да. для конечного пользователя они не очевидны. Я вполне допускаю что у провайдеров интернета будет еще долгое время сохранятся нат вместе с ipv4 наравне с адресацией ipv6. Зато весь остальной интернет будет использовать ipv6 им упрощение маршрутизации и эникасты, я подозреваю, позволит сократить расходы на инфраструктуру.
Равно как у нас поддерживается одновременно pop и imap на почтовых серверах.
а касаемо плюсов — да. для конечного пользователя они не очевидны. Я вполне допускаю что у провайдеров интернета будет еще долгое время сохранятся нат вместе с ipv4 наравне с адресацией ipv6. Зато весь остальной интернет будет использовать ipv6 им упрощение маршрутизации и эникасты, я подозреваю, позволит сократить расходы на инфраструктуру.
Равно как у нас поддерживается одновременно pop и imap на почтовых серверах.
я не про ДНС.
я про людей, которым приходится работать с ip-адресами, а не с именами. это раз.
два. вот лично мне приходится периодически работать с DNS-записями. и мне совершенно не улыбаются сраршны ipv6 загогулины с DNS-записях.
к тому же, не всегда конфигурации включают в себя DHCP.
и в этом случае ipv6 адрес приходится писать руками.
а руками писать эту загогулину — вызывает отвращение и острое нежелание с этим связываться.
это очень муторное занятие — вводить с бумажки 20-символьные незапоминаемые последовательности.
я про людей, которым приходится работать с ip-адресами, а не с именами. это раз.
два. вот лично мне приходится периодически работать с DNS-записями. и мне совершенно не улыбаются сраршны ipv6 загогулины с DNS-записях.
к тому же, не всегда конфигурации включают в себя DHCP.
и в этом случае ipv6 адрес приходится писать руками.
а руками писать эту загогулину — вызывает отвращение и острое нежелание с этим связываться.
это очень муторное занятие — вводить с бумажки 20-символьные незапоминаемые последовательности.
У вас на компьютере наверно ни файрволла ни антивируса нет?
Что лучше, файрвол на локальной машине, который жрет ресурсы, или на роутере?
Вполне логично. Можно даже расширить мысль — если файрволл есть у провайдера интернета, зачем вообще нужен роутер? Он ест электричество и стоит денег.
Не надо доводить до абсурда. Файрвол у провайдера я настраивать не могу.
вы отчасти правы. В Киеве многие провайдеры блокируют SMB-порты даже в локалке :) Плюс мой пров блокирует исходящий из сети 25-ый порт (свой SMTP-сервер предоставляют). Надо признать, я вижу в этом некоторый смысл.
А если серьёзно, то я за фаерволы и побольше. Они не так прожорливы, как антивирусы и полезны.
А если серьёзно, то я за фаерволы и побольше. Они не так прожорливы, как антивирусы и полезны.
Как вы угадали? :) Хотя, фаерволл, кажется, есть встроенный и в моей винде, и в моем линуксе, но зачем забивать этим голову, если NAT/фаерволл есть у провайдера, а без внешних подключений я прекрасно живу.
У меня на компьютере нет антивируса и файрволла.
И я наперечет знаю все порты, которые смотрят в интернет.
Совершенно не повод переживать :)
И я наперечет знаю все порты, которые смотрят в интернет.
Совершенно не повод переживать :)
А зачем? Нет, файрволл есть, даже в ядро встроенный, просто не используется. Ибо извне ломиться некуда, а в благонадёжности установленного софта я уверен. Да и /home смонтирован с noexec, чего бояться-то?
Я даже не знаю где в винде (которая славится своей любовью открывать различные порты без спросу) «маршрутизатор», чтобы ставить там правила по умолчанию, в линуксе, кажется, всё так и настроено. Суть в том, что за провайдерским NATом я сижу, не переживая по поводу своих «не знаю» и «кажется», и не парюсь о том, что кто-то откуда-то может приконнектиться к мой машине и запустить какой-нибудь страшный эксплоит, парюсь только о том, как бы самому что-то не запустить, особенно под рутом или админом.
Мне всегда казалось, что ему свойственно отбрасывание всех входящих соединений, и только если трансляция с определенного порта куда-то специально задана, то содинения не отбрасываются.
строго говоря — это поведение одного из NAT-ов — PAT
>>А вообще главное препятствие для внедрения IPv6, имхо, не софт на ПК и серверах, а прошивки свитчей, роутеров, модемов и т. д.
Конечно. Может быть, открою америку, но переход на IPv6 не одномоментен, он будет производиться в течение не одного года. Сначала блоки IP6 получат провайдеры и будут nat`ить клиентские IP4 в IP6, потом пойдёт на замену не умеющее IPv6 оборудование и т.д. Естесственно, в роиссе гибридные (ip6/ip4) провайдерские сети появятся не завтра и даже не послезавтра :)
>>пускай хоть 100 сервисов поддерживающих IPv6 подниму у себя (сейчас с десяток где-то поднято, афаик), но если оборудование провайдера про него ничего не знает (а оно не знает или делает вид, что не знает — проверено) то ничем мне это в связи со всем миром не поможет.
Как я сказал абзацом выше, прямо сейчас — не поможет, да. Но чем раньше готовить софт к ip6 — тем лучше, имхо. Поэтому поднимаем и не паримся, что оно ещё не востребовано — всему своё время.
Конечно. Может быть, открою америку, но переход на IPv6 не одномоментен, он будет производиться в течение не одного года. Сначала блоки IP6 получат провайдеры и будут nat`ить клиентские IP4 в IP6, потом пойдёт на замену не умеющее IPv6 оборудование и т.д. Естесственно, в роиссе гибридные (ip6/ip4) провайдерские сети появятся не завтра и даже не послезавтра :)
>>пускай хоть 100 сервисов поддерживающих IPv6 подниму у себя (сейчас с десяток где-то поднято, афаик), но если оборудование провайдера про него ничего не знает (а оно не знает или делает вид, что не знает — проверено) то ничем мне это в связи со всем миром не поможет.
Как я сказал абзацом выше, прямо сейчас — не поможет, да. Но чем раньше готовить софт к ip6 — тем лучше, имхо. Поэтому поднимаем и не паримся, что оно ещё не востребовано — всему своё время.
>>пускай хоть 100 сервисов поддерживающих IPv6 подниму у себя (сейчас с десяток где-то поднято, афаик), но если оборудование провайдера про него ничего не знает (а оно не знает или делает вид, что не знает — проверено) то ничем мне это в связи со всем миром не поможет.
ну вообще есть ipv6 full-view, так же как и в ipv4. на данный момент ipv6 full-view насчитывает около трех с половиной тысяч префиксов, если ваш ipv6 адрес смаршрутизирован правильно, то не сомневайтесь и в Google по ip6 вы попадете успешно и он к вам, как и все остальные кто имеет доблесть оказаться в этой таблице :) т.е. ваши сто сервисов в ip6 будут доступны всем пользователем кто имеет ip6 адрес. кстати, особо страждущим никто не мешает себе смаршрутизировать ipv6 туннелем вне зависимости от прихотей вашего домашнего/рабочего провайдера. в этих наших интернетах преобладает концепция клиент-сервер. так вот, если вы находитесь на стороне сервера или между клиентом и сервером, то пора бы задуматься о подготовки и переводе инфраструктуры своей на гибридное использование обоих версий протокола. если вы находитесь на стороне клиента, то вобщем-то вам это всё до лампочки, как было правильно сказано ниже: придет человек из саппорта, нажмет три кнопки на вашем конечном оборудивании и уйдет.
и да, российские магистралы уже предоставляют услугу стыка по ipv6. теперь дело стало за городскими и региональными операторами. :) общую статистику ipv6 по россии можно увидеть например тут: www.sixxs.net/tools/grh/dfp/all/?country=ru
ну вообще есть ipv6 full-view, так же как и в ipv4. на данный момент ipv6 full-view насчитывает около трех с половиной тысяч префиксов, если ваш ipv6 адрес смаршрутизирован правильно, то не сомневайтесь и в Google по ip6 вы попадете успешно и он к вам, как и все остальные кто имеет доблесть оказаться в этой таблице :) т.е. ваши сто сервисов в ip6 будут доступны всем пользователем кто имеет ip6 адрес. кстати, особо страждущим никто не мешает себе смаршрутизировать ipv6 туннелем вне зависимости от прихотей вашего домашнего/рабочего провайдера. в этих наших интернетах преобладает концепция клиент-сервер. так вот, если вы находитесь на стороне сервера или между клиентом и сервером, то пора бы задуматься о подготовки и переводе инфраструктуры своей на гибридное использование обоих версий протокола. если вы находитесь на стороне клиента, то вобщем-то вам это всё до лампочки, как было правильно сказано ниже: придет человек из саппорта, нажмет три кнопки на вашем конечном оборудивании и уйдет.
и да, российские магистралы уже предоставляют услугу стыка по ipv6. теперь дело стало за городскими и региональными операторами. :) общую статистику ipv6 по россии можно увидеть например тут: www.sixxs.net/tools/grh/dfp/all/?country=ru
Почти ничего не понял :)
>если ваш ipv6 адрес смаршрутизирован правильно
Вот есть на моей сетевухе адрес fe80::204:61ff:fe79:**** (откуда он взялся без понятия, звездочки на всякий случай, вдруг меня уже всему свету видно :) ), похожий адрес есть на моём VPS, как я что должен правильно маршрутизировать, чтобы они общались между собой по IP6, если доступа ни к одному маршрутизатору у меня нет? :) Неужели это возможно без поддержки со стороны минимум двух провайдеров (моего домашнего и того, что в дата-центре), не считая тех, что между ними?
>если ваш ipv6 адрес смаршрутизирован правильно
Вот есть на моей сетевухе адрес fe80::204:61ff:fe79:**** (откуда он взялся без понятия, звездочки на всякий случай, вдруг меня уже всему свету видно :) ), похожий адрес есть на моём VPS, как я что должен правильно маршрутизировать, чтобы они общались между собой по IP6, если доступа ни к одному маршрутизатору у меня нет? :) Неужели это возможно без поддержки со стороны минимум двух провайдеров (моего домашнего и того, что в дата-центре), не считая тех, что между ними?
ну для начала необходимо прочитать какие адреса бывают в ip6. приведенный вами адрес является «link-local» и аналогом 169.254.0.0/16 из ip4, который наверняка вам знаком, — в случае если dhcp в сервере не найдет, то windows присваивает адрес интерфейсу ip4 именно из этого диапазона. вобщем не суть, вам нужен global unicast адрес для маршрутизации в мир. его можно получить несколькими путями. самый простой, если ваш провайдер предоставит вам линк на ip6. чуть более сложный способ, использовать туннельного брокера ip6 адресов. как сделать последнее написано в гуглах и википедиях, и несколько раз на забре:
habrahabr.ru/blogs/p2p/53625/
habrahabr.ru/blogs/sysadm/82397/
habrahabr.ru/blogs/sysadm/85777/
по последней ссылке можно даже по туннелю смаршрутизировать по протоколу BGP «свой» PI/PA блок ip6 адресов. :)
habrahabr.ru/blogs/p2p/53625/
habrahabr.ru/blogs/sysadm/82397/
habrahabr.ru/blogs/sysadm/85777/
по последней ссылке можно даже по туннелю смаршрутизировать по протоколу BGP «свой» PI/PA блок ip6 адресов. :)
Volch: «Мне всегда казалось, что ему свойственно отбрасывание всех входящих соединений, и только если трансляция с определенного порта куда-то специально задана, то содинения не отбрасываются.»
«Отбрасывание» сделано не специально для защиты, а просто потому, что неизвестно (без предварительной специальной настройки), в какой локальный IP этот запрос перенаправлять. Вот и приходится отбрасывать.
Народ постоянно путает NAT и Firewall'ы, потому что они обычно реализуются в одних и тех же устройствах (т.к. работают на одном и том же сетевом уровне), но вполне может быть NAT без Firewall и наоборот (на публичном IP NAT не нужен, а firewall нужен).
NAT не добавляет защищенности компьютерам внутри ЛС, а скорее наоборот немножко её отнимает, т.к. без NAT (или прокси) компьютеры внутри ЛС (с локальными IP) вообще с интернетом не могут общаться, никакие «сканирования портов» к ним не пройдут.
www.eserv.ru/NAT
«Отбрасывание» сделано не специально для защиты, а просто потому, что неизвестно (без предварительной специальной настройки), в какой локальный IP этот запрос перенаправлять. Вот и приходится отбрасывать.
Народ постоянно путает NAT и Firewall'ы, потому что они обычно реализуются в одних и тех же устройствах (т.к. работают на одном и том же сетевом уровне), но вполне может быть NAT без Firewall и наоборот (на публичном IP NAT не нужен, а firewall нужен).
NAT не добавляет защищенности компьютерам внутри ЛС, а скорее наоборот немножко её отнимает, т.к. без NAT (или прокси) компьютеры внутри ЛС (с локальными IP) вообще с интернетом не могут общаться, никакие «сканирования портов» к ним не пройдут.
www.eserv.ru/NAT
Повод для беспокойства был у «Проблемы Y2K». И что? НГ-2000 наступил и мыльный пузырь лопнул.
Конечно, найдутся те, кто будут гнать волну «Проблемы IPv4», чтобы заработать на ней.
Судя по вашей информации, переход на IPv6 на столько густо смазан вазелином, что пострадают только самые ленивые и нерадивые — а это уже естественный отбор по Дарвину.
Спасибо за статью!
Конечно, найдутся те, кто будут гнать волну «Проблемы IPv4», чтобы заработать на ней.
Судя по вашей информации, переход на IPv6 на столько густо смазан вазелином, что пострадают только самые ленивые и нерадивые — а это уже естественный отбор по Дарвину.
Спасибо за статью!
Статья Шедевр :)
Есть ли повод для беспокойства для КОГО?
Провайдеры уже вовсю разворачивают ipv6, по крайней мере для целей тестирования, кто этого не делает сам виноват.
По теме:
ipv6 не экономит ресурсы, ipv6 не упрощает маршрутизацию, ipv6 сам по себе не сделает ваше соединение безопасным (ipsec), multicast в ipv4 вполне себе работает, за 18 лет с момента выхода Ipv6 кое-как смогли дотащить его до пользователей.
При этом:
ipv6 создает совершенно новый пласт проблем связанный с необходимостью серьезного обновления парка железа (потому как объемы tcam, и камни софтом не проапгрейдиш), ipv6 создает проблемы с безопасностью связанную с ICMPv6 RA & RS сообщениями и это не единственная проблема. Куча сервиса связанная с QoS и Traffic Engineering для ipv6 не работает вообще. 90% того что сейчас выдается за новинки ipv6 было реализовано в протоколе OSI более 25 лет назад, привет товарищам из darpa и лоббистам которые выбрали убогий ipv4.
Только вот одно но:
Пользователю об этом вообще знать не нужно, для него ничего не поменяется, придет человек перенастроит железку или поменяет и весь разговор.
Итого из сугубо технического вопроса пытаются сделать очередную маркетинговую шайзу для развода людей на деньги.
Есть ли повод для беспокойства для КОГО?
Провайдеры уже вовсю разворачивают ipv6, по крайней мере для целей тестирования, кто этого не делает сам виноват.
По теме:
ipv6 не экономит ресурсы, ipv6 не упрощает маршрутизацию, ipv6 сам по себе не сделает ваше соединение безопасным (ipsec), multicast в ipv4 вполне себе работает, за 18 лет с момента выхода Ipv6 кое-как смогли дотащить его до пользователей.
При этом:
ipv6 создает совершенно новый пласт проблем связанный с необходимостью серьезного обновления парка железа (потому как объемы tcam, и камни софтом не проапгрейдиш), ipv6 создает проблемы с безопасностью связанную с ICMPv6 RA & RS сообщениями и это не единственная проблема. Куча сервиса связанная с QoS и Traffic Engineering для ipv6 не работает вообще. 90% того что сейчас выдается за новинки ipv6 было реализовано в протоколе OSI более 25 лет назад, привет товарищам из darpa и лоббистам которые выбрали убогий ipv4.
Только вот одно но:
Пользователю об этом вообще знать не нужно, для него ничего не поменяется, придет человек перенастроит железку или поменяет и весь разговор.
Итого из сугубо технического вопроса пытаются сделать очередную маркетинговую шайзу для развода людей на деньги.
В первый раз слышу, что OSI — это протокол.
Удивлен, что IPv6 не позволяет использовать QoS. Учитывая важность QoS и не настолько уж и значительные изменения IPv6 по сравнению с IPv4, мне странно что нельзя использовать аналогичный механизм для QoS.
Можно проясветить меня в этих темах?
Удивлен, что IPv6 не позволяет использовать QoS. Учитывая важность QoS и не настолько уж и значительные изменения IPv6 по сравнению с IPv4, мне странно что нельзя использовать аналогичный механизм для QoS.
Можно проясветить меня в этих темах?
Комрад ты еще много чего не знаешь :) Так бывает. Про OSI можешь погуглить, информация открыта, это не тайна.
Образованием твоим заниматься нет времени. Если есть желание поднимай документацию, там целая куча проблем связанная с тем, что QoS много где сделан в железе через это невозможно просто порешать эти проблемы «прошивкой».
Образованием твоим заниматься нет времени. Если есть желание поднимай документацию, там целая куча проблем связанная с тем, что QoS много где сделан в железе через это невозможно просто порешать эти проблемы «прошивкой».
Да и еще одно. Я тоже много чего не знаю :)
OSI — это сетевая модель. Абстракция, если угодно. Разным уровням которой соответствуют протоколы.
> OSI — это сетевая модель.
Учимся читать внимательно, я написал OSI протокол.
en.wikipedia.org/wiki/OSI_protocols
www.cisco.com/en/US/docs/internetworking/technology/handbook/OSI-Protocols.html
Учимся читать внимательно, я написал OSI протокол.
en.wikipedia.org/wiki/OSI_protocols
www.cisco.com/en/US/docs/internetworking/technology/handbook/OSI-Protocols.html
Учимся писать внятно и доходчиво и не хамить в ответ. Из вашего текста следует что OSI — это протокол. Цитирую: «реализовано в протоколе OSI». OSI — это не протокол.
Я ответил совершенно конкретно. Вам не понятно — это бывает. Для того, чтобы стало понятнее я добавил ссылки. Но вам похоже я помочь ни чем не могу. Извините, что побеспокоил.
Слушайте, ну по вашей же ссылке первый абзац, цитата:
The Open System Interconnection (OSI) protocol suite is comprised of numerous standard protocols that are based on the OSI reference model.
Вам перевести, что значит «protocol suite», или сами?
Suite, здесь:
A connected series or succession of objects; a number of things used or classed together; a set; as, a suite of rooms; a suite of minerals.
Протокол же — набор соглашений о логике обмена информацией между участниками обмена. Чувствуете разницу?
The Open System Interconnection (OSI) protocol suite is comprised of numerous standard protocols that are based on the OSI reference model.
Вам перевести, что значит «protocol suite», или сами?
Suite, здесь:
A connected series or succession of objects; a number of things used or classed together; a set; as, a suite of rooms; a suite of minerals.
Протокол же — набор соглашений о логике обмена информацией между участниками обмена. Чувствуете разницу?
Вы издеваетесь? Ну прочитайте вы дальше первого абзаца то. Если и после этого не понятно сравните вот с этим:
en.wikipedia.org/wiki/Internet_Protocol_Suite
Может тогда придет понимание.
en.wikipedia.org/wiki/Internet_Protocol_Suite
Может тогда придет понимание.
Хватит спорить чем является OSI — моделью или протоколом. Это даже не смешно :)
Хотя было бы интересно почитать про те 90% «новинок» из IPv6, которые были еще в OSI. Вот те протоколы я знаю совсем плохо и поэтому интересуюсь ими.
Хотя было бы интересно почитать про те 90% «новинок» из IPv6, которые были еще в OSI. Вот те протоколы я знаю совсем плохо и поэтому интересуюсь ими.
> Хватит спорить
Я не спорю :) Это allarm меня упорно пытается убедить в своих заблуждениях. Я же, в свою очередь, совершенно не отрицаю существования модели OSI.
К сожалению на данный момент от всего OSI осталась только сетевая часть в виде IS-IS. Который в свою очередь очень любят американские магистралы для целей внутренней маршрутизации длинных бэкбонов.
Я не спорю :) Это allarm меня упорно пытается убедить в своих заблуждениях. Я же, в свою очередь, совершенно не отрицаю существования модели OSI.
К сожалению на данный момент от всего OSI осталась только сетевая часть в виде IS-IS. Который в свою очередь очень любят американские магистралы для целей внутренней маршрутизации длинных бэкбонов.
Под «протоколом OSI» вы имеете в виду «протокол, входящий в модель OSI», так? Иначе я теряюсь, что вы пытаетесь объяснить, правда.
Изначально интернет работал на двух протоколах ip и osi, на сколько я помню это было требование военных, которые изначально и заказывали музыку в этом проекте. По разным причинам основным стал ip со всеми его плюсами и минусами.
Но большие провайдеры которым osi понравился больше чем ip продолжили его использовать для целей внутренней маршрутизации. Видимая часть того что осталось называется IS-IS.
Но большие провайдеры которым osi понравился больше чем ip продолжили его использовать для целей внутренней маршрутизации. Видимая часть того что осталось называется IS-IS.
Смотрю в книгу — вижу фигу. Впринципе всё то что будет написано дальше есть и по вашим ссылкам + ссылкам на этих страницах.
OSI (Open Systems Interconnection) — это модель, которая пытается подогнать сетевое взаимодействие под стандарт ISO (International Organization for Standardization). IPv6 (о сюрприз) относится к семейству протоколов IP и находится на сетевом слое модели.
Негодяи из дарпа предпочли IPv4 не только потому что они негодяи, подонки и империалисты, но и потому что 4-ая версия всем нравилась, а 6-ой не было (о, второй сюрприз, vX — это версия и появлялись они не одновременно). IPv4 — RFC 791, 1981-ый год. IPv6 — RFC 2460, декабрь 1998. (Опа, «18 лет с момента выхода»?).
Учитывая ваш эпик фейл в обучении всего хабра азам сетевых технологий, мне кажется, что люди обладающие начальными знаниями о ICMPv6 RA & RS, QoS и Traffic Engineering, разнесли бы в пух и прах этот комментарий. Но на то что в интернете кто-то не прав сейчас повёлся только я.
Спасибо за внимание.
OSI (Open Systems Interconnection) — это модель, которая пытается подогнать сетевое взаимодействие под стандарт ISO (International Organization for Standardization). IPv6 (о сюрприз) относится к семейству протоколов IP и находится на сетевом слое модели.
Негодяи из дарпа предпочли IPv4 не только потому что они негодяи, подонки и империалисты, но и потому что 4-ая версия всем нравилась, а 6-ой не было (о, второй сюрприз, vX — это версия и появлялись они не одновременно). IPv4 — RFC 791, 1981-ый год. IPv6 — RFC 2460, декабрь 1998. (Опа, «18 лет с момента выхода»?).
Учитывая ваш эпик фейл в обучении всего хабра азам сетевых технологий, мне кажется, что люди обладающие начальными знаниями о ICMPv6 RA & RS, QoS и Traffic Engineering, разнесли бы в пух и прах этот комментарий. Но на то что в интернете кто-то не прав сейчас повёлся только я.
Спасибо за внимание.
> 4-ая версия всем нравилась,
В том числе и поэтому, да.
> IPv6 — RFC 2460, декабрь 1998
Это глобально что-то меняет?
> ICMPv6 RA & RS, QoS и Traffic Engineering
Если владеете темой и есть немного времени, очень интересно было бы вопросы позадавать. Киньте в личку контакт.
В том числе и поэтому, да.
> IPv6 — RFC 2460, декабрь 1998
Это глобально что-то меняет?
> ICMPv6 RA & RS, QoS и Traffic Engineering
Если владеете темой и есть немного времени, очень интересно было бы вопросы позадавать. Киньте в личку контакт.
Хех, а сами выше отвечали:
Образованием твоим заниматься нет времени. Если есть желание поднимай документацию…
Вы понимаете разницу между «OSI protocols» и «OSI protocol»?
Поясню, в первом случае мы говорим о ПРОТОКОЛАХ OSI(т.е. протоколах включаемых в модель OSI). Если знаете иное — укажите пруфлинк, пустословить и словоблудствовать не нужно.
Поясню, в первом случае мы говорим о ПРОТОКОЛАХ OSI(т.е. протоколах включаемых в модель OSI). Если знаете иное — укажите пруфлинк, пустословить и словоблудствовать не нужно.
уважаемый, вы для начала по ссылкам сходите которые вам дали и прочувствуйте разницу:
en.wikipedia.org/wiki/Iso_osi
The Open Systems Interconnection model (OSI model) is a product of the Open Systems Interconnection effort at the International Organization for Standardization.
www.cisco.com/en/US/docs/internetworking/technology/handbook/OSI-Protocols.html#wp1022362
The Open System Interconnection (OSI) protocol suite is comprised of numerous standard protocols that are based on the OSI reference model.
вам, как человеку не привыкшему читать дальше одного абзаца, есессно не заметно разницы, хотя она _уже_ есть в абревиатуре :)
читаем дальше линк про cisco и видим блоксхему со знакомыми квадратиками референсной модели OSI и вот, ортодоксальный забраюзер с улюлюканьем бежит разоблачать. :) не нужно игнорировать не понятные буквы в квадратиках, нужно прочитать про них дальше.
а дальше выясняется что ничего вобщем-то общего у эти OSI protocols suite кроме как OSI модели с текущим IPv4 нет ни грамма. ну а про общее в начале ясно написано почему оно общее. :)
OSI protocols suite может использовать в качестве канального уровноя ethernet, да. но всё что выше не очень похоже на то что вы привыкли видеть. в частности взаимодействие между канальным и сетевым уровнем осуществляется через протокол NSAP, который дает на канальном уровне адрес IDP (Initial Domain Part), а на сетевом DSP (Domain Specific Part), каждый из которых подразделяется на две и четыре подзаголовка соответственно, каждый со своей целью. как-то так, о деталях любознательныe могут прочитать сами.
да, очевидно, какие-то блоки из IPv4 были заменены здесь соответственно модели OSI, а какие были добавленны, так же в рамках модели OSI. немножко запутано и сложновато, но это оттого что я впервые читаю про него :) я еще слишком молод чтобы знать такие вещи :D
да, об IS-IS, это протокол внутренней маршрутизации основанный на индикации интерфейсов, он действительно был заимствован от сюда, а его вторая часть IS-ES выброшена на свалку истории. :(
вобщем не надо путать теплое с мягким, товарищи. модель OSI, это модель. по ней может быть создано сколько угодно протоколов, но так уж вышло что массам известен IPv4 и грядущий IPv6 :) ну и да, вы кричите «пруфлинк», дак будьте любезны читать эти самые «пруфлинки».
en.wikipedia.org/wiki/Iso_osi
The Open Systems Interconnection model (OSI model) is a product of the Open Systems Interconnection effort at the International Organization for Standardization.
www.cisco.com/en/US/docs/internetworking/technology/handbook/OSI-Protocols.html#wp1022362
The Open System Interconnection (OSI) protocol suite is comprised of numerous standard protocols that are based on the OSI reference model.
вам, как человеку не привыкшему читать дальше одного абзаца, есессно не заметно разницы, хотя она _уже_ есть в абревиатуре :)
читаем дальше линк про cisco и видим блоксхему со знакомыми квадратиками референсной модели OSI и вот, ортодоксальный забраюзер с улюлюканьем бежит разоблачать. :) не нужно игнорировать не понятные буквы в квадратиках, нужно прочитать про них дальше.
а дальше выясняется что ничего вобщем-то общего у эти OSI protocols suite кроме как OSI модели с текущим IPv4 нет ни грамма. ну а про общее в начале ясно написано почему оно общее. :)
OSI protocols suite может использовать в качестве канального уровноя ethernet, да. но всё что выше не очень похоже на то что вы привыкли видеть. в частности взаимодействие между канальным и сетевым уровнем осуществляется через протокол NSAP, который дает на канальном уровне адрес IDP (Initial Domain Part), а на сетевом DSP (Domain Specific Part), каждый из которых подразделяется на две и четыре подзаголовка соответственно, каждый со своей целью. как-то так, о деталях любознательныe могут прочитать сами.
да, очевидно, какие-то блоки из IPv4 были заменены здесь соответственно модели OSI, а какие были добавленны, так же в рамках модели OSI. немножко запутано и сложновато, но это оттого что я впервые читаю про него :) я еще слишком молод чтобы знать такие вещи :D
да, об IS-IS, это протокол внутренней маршрутизации основанный на индикации интерфейсов, он действительно был заимствован от сюда, а его вторая часть IS-ES выброшена на свалку истории. :(
вобщем не надо путать теплое с мягким, товарищи. модель OSI, это модель. по ней может быть создано сколько угодно протоколов, но так уж вышло что массам известен IPv4 и грядущий IPv6 :) ну и да, вы кричите «пруфлинк», дак будьте любезны читать эти самые «пруфлинки».
В огороде бузина, а в Киеве дядька. как-то так. Совсем не понятно, что же вы пытаетесь доказать?
Этот док циски просто показывает мапинг стека циски на модель оси. не более того.
>>а дальше выясняется что ничего вобщем-то общего у эти OSI protocols suite кроме как OSI модели с текущим IPv4 нет ни грамма.
Это вообще сравнение автопарка с самокатом. Как можно стек протоколов сравнить с одним из членов стека?
>>но так уж вышло что массам известен IPv4 и грядущий IPv6 :)
IPv4/6 — это всего лишь один из протоколов, находящийся на сетевом уровне модели OSI. А массам, если чо, известно и горадо более других протоколов. И с разных уровней.
Этот док циски просто показывает мапинг стека циски на модель оси. не более того.
>>а дальше выясняется что ничего вобщем-то общего у эти OSI protocols suite кроме как OSI модели с текущим IPv4 нет ни грамма.
Это вообще сравнение автопарка с самокатом. Как можно стек протоколов сравнить с одним из членов стека?
>>но так уж вышло что массам известен IPv4 и грядущий IPv6 :)
IPv4/6 — это всего лишь один из протоколов, находящийся на сетевом уровне модели OSI. А массам, если чо, известно и горадо более других протоколов. И с разных уровней.
Chapter Goals
•Introduce the OSI protocol, used primarily to facilitate multivendor equipment interoperability.
•Discuss the structures and functioning of this protocol, from its introduction in the early 1980s.
мне кажется не двусмысленно нам говорят о представлении протокола OSI.
слева в оглавлении рядом есть ссылка про Internet Protocol и IPv6, рекоммендую так же открыть и прочитать.
выше товарищ eek написал «90% того что сейчас выдается за новинки ipv6 было реализовано в протоколе OSI более 25 лет назад» и весь забр ринулся с пеной у рта доказывать очевидные вещи и спорить о _ДРУГОМ_. мне до фени ваши доказательства и споры, я пытаюсь сказать что судя по приведенной ссылке на документ описан комплекс протоколов альтернативный нынешним с, возможно, и с этими 90% новинками из IPv6.
>>>>а дальше выясняется что ничего вобщем-то общего у эти OSI protocols suite кроме как OSI модели с текущим IPv4 нет ни грамма.
>>Это вообще сравнение автопарка с самокатом. Как можно стек протоколов сравнить с одним из членов стека?
я имел ввиду, конечно, сравнение сетевого уровня между тем что в OSI protocols suite и тем что в Internet Protocol.
а так то да, все они из модели OSI. но так уж у них вышло этот комплекс протоколов назвать провакационной обревиатурой OSI.
•Introduce the OSI protocol, used primarily to facilitate multivendor equipment interoperability.
•Discuss the structures and functioning of this protocol, from its introduction in the early 1980s.
мне кажется не двусмысленно нам говорят о представлении протокола OSI.
слева в оглавлении рядом есть ссылка про Internet Protocol и IPv6, рекоммендую так же открыть и прочитать.
выше товарищ eek написал «90% того что сейчас выдается за новинки ipv6 было реализовано в протоколе OSI более 25 лет назад» и весь забр ринулся с пеной у рта доказывать очевидные вещи и спорить о _ДРУГОМ_. мне до фени ваши доказательства и споры, я пытаюсь сказать что судя по приведенной ссылке на документ описан комплекс протоколов альтернативный нынешним с, возможно, и с этими 90% новинками из IPv6.
>>>>а дальше выясняется что ничего вобщем-то общего у эти OSI protocols suite кроме как OSI модели с текущим IPv4 нет ни грамма.
>>Это вообще сравнение автопарка с самокатом. Как можно стек протоколов сравнить с одним из членов стека?
я имел ввиду, конечно, сравнение сетевого уровня между тем что в OSI protocols suite и тем что в Internet Protocol.
а так то да, все они из модели OSI. но так уж у них вышло этот комплекс протоколов назвать провакационной обревиатурой OSI.
Спасибо комрад, хоть кто-то читает ответы на вопросы.
Ну я же просил не пустословить и словоблудствовать, а вы что понаписали?
Во-первых, уважаемый, не нужно намекать на тупость и скудоумие фразами типа:
«вам, как человеку не привыкшему читать дальше одного абзаца»
«и вот, ортодоксальный забраюзер с улюлюканьем бежит разоблачать»
«не нужно игнорировать не понятные буквы в квадратиках»
Ведь, я могу подумать что вы хотите меня оскорбить, но ведь это у вас стиль такой, правда?
Вы написали «многабукаф», но так и не ответили с какого черта OSI — это протокол, а не «OSI protocols suite», «стек протоколов» или «модель».
Во-первых, уважаемый, не нужно намекать на тупость и скудоумие фразами типа:
«вам, как человеку не привыкшему читать дальше одного абзаца»
«и вот, ортодоксальный забраюзер с улюлюканьем бежит разоблачать»
«не нужно игнорировать не понятные буквы в квадратиках»
Ведь, я могу подумать что вы хотите меня оскорбить, но ведь это у вас стиль такой, правда?
Вы написали «многабукаф», но так и не ответили с какого черта OSI — это протокол, а не «OSI protocols suite», «стек протоколов» или «модель».
Есть ли повод для беспокойства для КОГО?
название такое название… вопросы к автору, да.
ipv6 сам по себе не сделает ваше соединение безопасным (ipsec)
IPSec — часть IPv6 есличо, и оттуда произрастает.
Куча сервиса связанная с QoS и Traffic Engineering для ipv6 не работает вообще.
ЛОЛШТО?
Хм, сколько нас уже запугивают переходом на IPv6? А какие реально-то проблемы? При переходе на IPv6, да, нельзя оставить старые существующие IPv4 чтобы с ними работать _по совместительству_ с 6. А почему бы и нет?
по сути реально проблема только в инертности населения нашей планеты и тезисе «зачем что-то менять, если оно работает».
Вся пропаганда IPv6 и предлагает давать поддержку обоих протоколов, пока все оборудование и софт не перейдут на IPv6.
Вся пропаганда IPv6 и предлагает давать поддержку обоих протоколов, пока все оборудование и софт не перейдут на IPv6.
поддержку обоих протоколов, пока все оборудование и софт не перейдут на IPv6.
Только до тех пор, пока все не перейдут на 6-ку! Зачем лишний раз? Оставить айпишники, как есть, четвертые, а новые, после 255.255.255.255 регистрировать уже 6-тые.
там есть несколько более серьезных изменений, нежели расширенная адресация. Изменяется формат пакета транспортного что ли уровня.
ru.wikipedia.org/wiki/IPv6#.D0.A1.D1.80.D0.B0.D0.B2.D0.BD.D0.B5.D0.BD.D0.B8.D0.B5_.D1.81_IPv4
собственно вот поподробнее тут есть.
собственно вот поподробнее тут есть.
> по сути реально проблема только в инертности населения нашей планеты и тезисе
Ну еще у многих парк старого железа, а на новое нужны деньги, которых жалко.
Ну еще у многих парк старого железа, а на новое нужны деньги, которых жалко.
учитывая срок полураспада оборудования и скорости ввода в строй IPv6…
ну несущественно же. Хотя мне тоже жалко мою сетевушку для токенринга :)
ну несущественно же. Хотя мне тоже жалко мою сетевушку для токенринга :)
Ну я не про сетевушки в первую очередь, а про всякие древние кошки и прочие длинки.
роутер для токенринга мне жаль чуть более чем полностью :)
За то время как IPv6 набирает обороты, все сетевое оборудование уже пару раз успело полностью смениться. Чего стоит только переход с 10мбс на 100 мбс, а потом на 1гбс в локалках.
На магистралях за это время я даже не берусь предполагать насколько увеличился объем траффика и насколько там изменилось оборудование.
За то время как IPv6 набирает обороты, все сетевое оборудование уже пару раз успело полностью смениться. Чего стоит только переход с 10мбс на 100 мбс, а потом на 1гбс в локалках.
На магистралях за это время я даже не берусь предполагать насколько увеличился объем траффика и насколько там изменилось оборудование.
Я не сетевой и не админ, так что не буду тут спорить и позориться отсутствием знаний… Но вот, например, Старый SUP2 можно купить тысяч за 10 рублей. А SUP32 уже за 110 000 :) При том что большинство его фич вам может быть вообще не нужно.
Может быть с IPv6 таже проблема? Т.е. дело не только в лени, но и в деньгах?
Может быть с IPv6 таже проблема? Т.е. дело не только в лени, но и в деньгах?
Поддержка IPv6 существует в 99% современных устройств (от soho-уровня) и во всех современных OS, так что наврядли.
В цисках я не секу вообще :)
Я ориентируюсь на свои косвенные знания. Амортизация оборудования, рост потребления трафика и т.п. Насколько я знаю — каждые 1,5-2 года потребляемый трафик увеличивается вдвое. Ну и оборудование надо обновлять наверно раз в 10 лет по причине поломок и морального устаревания.
Сразу говорю что я дилетантствую и меня вполне можно поправлять.
Я ориентируюсь на свои косвенные знания. Амортизация оборудования, рост потребления трафика и т.п. Насколько я знаю — каждые 1,5-2 года потребляемый трафик увеличивается вдвое. Ну и оборудование надо обновлять наверно раз в 10 лет по причине поломок и морального устаревания.
Сразу говорю что я дилетантствую и меня вполне можно поправлять.
если речь за ipv6, то все коты его умеют в той или иной степени, даже те что несколько лет как не только eos, но и eol. :)
в частности в упомянутый вами sup2 легко влезет десятки ipv6 full-view таблиц. :) понятно дело со временем они могут перерасти возможности tcam'а, так же как это сделал ipv4 в свое время, но когда оно из 3.5 тыщ маршрутов превратится в что-то большее чем 250 тыщ :)
в частности в упомянутый вами sup2 легко влезет десятки ipv6 full-view таблиц. :) понятно дело со временем они могут перерасти возможности tcam'а, так же как это сделал ipv4 в свое время, но когда оно из 3.5 тыщ маршрутов превратится в что-то большее чем 250 тыщ :)
Простите конечно, не специалист, но:
> Пакеты, отсылаемые на этот адрес, направляются на каждый компьютер, который решил войти в группу.
Не создает ли это проблемы в безопасности? Злоумышленник может, каким либо образом, войти в группу и спокойно получать пакеты, предназначенные для это группы. И там может быть не только радио.
> Пакеты, отсылаемые на этот адрес, направляются на каждый компьютер, который решил войти в группу.
Не создает ли это проблемы в безопасности? Злоумышленник может, каким либо образом, войти в группу и спокойно получать пакеты, предназначенные для это группы. И там может быть не только радио.
интересно если в эпоху v6 ната не будет то с покупкой каждого нового устройства в дом мне надо будет просить у провайдера новый внешний адрес для этого устройства? Или провайдер при подключении будет давать каждому широкий диапазон, первый адрес из которого будет основным? И как при этом настраивать маршрутизатор?
Каждый получит диапазон, которого ему хватить до конца дней его. Причем насколько я понял, бесплатно. С провайдерами все просто — ARPиш ему свои адреса.
вопрос в том, кто тебе этот диапазон выдаст? :)
При прописке в квартире выдавать будут вместе с документами =)
Провайдер и выдаст. Чем в случае с IPv6 выдача адресов отличается от случая с IPv4?
Хотя идея выдачи блока адресов по паспорту/правам/etc мне больше нравится. Тогда можно будет «пробивать по ипу» насравшего DoS`ом на уютненький забр и идти восстанавливать СПРАВЕДЛИВОСТЬ :)
Хотя идея выдачи блока адресов по паспорту/правам/etc мне больше нравится. Тогда можно будет «пробивать по ипу» насравшего DoS`ом на уютненький забр и идти восстанавливать СПРАВЕДЛИВОСТЬ :)
Каждому по /64
Про NAT вы бред написали, ну честно.
Зато, когда в мир будут смотреть все стиральные машины и электрочайники, отэто школота повеселится.
Зато, когда в мир будут смотреть все стиральные машины и электрочайники, отэто школота повеселится.
Помимо поддержки IPv6 в сетях и приложениях, хорошо бы обеспечить его поддержку в мозгу, который имеет с ним дело.
Я легко держу в памяти сотни IPv4-адресов, потому что они
1) состоят из 4-х обычных чисел,
2) интуитивно понятно организованы в подсети.
Когда я вижу в таблице маршрутизации на обычном pc вот такое:
23 276 fe80::a4b3:449c:8067:bdfe/128 On-link
19 276 fe80::a83d:5a98:81fb:8c69/128 On-link
12 276 fe80::e128:1941:7d0f:45ac/128 On-link
18 276 fe80::e47d:6dab:54d1:5347/128 On-link,
меня пугают такие перемены :)
Я легко держу в памяти сотни IPv4-адресов, потому что они
1) состоят из 4-х обычных чисел,
2) интуитивно понятно организованы в подсети.
Когда я вижу в таблице маршрутизации на обычном pc вот такое:
23 276 fe80::a4b3:449c:8067:bdfe/128 On-link
19 276 fe80::a83d:5a98:81fb:8c69/128 On-link
12 276 fe80::e128:1941:7d0f:45ac/128 On-link
18 276 fe80::e47d:6dab:54d1:5347/128 On-link,
меня пугают такие перемены :)
Вы четверку тоже сразу поняли?
вы не задумывались, что записывать IPv4 адреса хексом — удобнее?
127.0.0.1 > 7f.0.0.1
192.168.1.1 > c0.a8.1.1
A уж маска — совсем красиво: FF.FF.FF.00
Это дело привычки.
А когда вы видите в таблице маршрутизации адресс 74.125.232.51 вам становится приятно? Это же просто цифры )
В памяти вы их, небось, диапазонами держите?
Если нет — тогда я верю в то, что вы легко освоитесь с ipv6 системой выделения адресов и будет вам тоже счастье.
вы не задумывались, что записывать IPv4 адреса хексом — удобнее?
127.0.0.1 > 7f.0.0.1
192.168.1.1 > c0.a8.1.1
A уж маска — совсем красиво: FF.FF.FF.00
Это дело привычки.
А когда вы видите в таблице маршрутизации адресс 74.125.232.51 вам становится приятно? Это же просто цифры )
В памяти вы их, небось, диапазонами держите?
Если нет — тогда я верю в то, что вы легко освоитесь с ipv6 системой выделения адресов и будет вам тоже счастье.
Не задумывался над тем, когда и как я понимал четверку.
Хекс неудобно диктовать по телефону сквозь шум кулеров :)
Тем более если хекс — не c0.a8.1.1, а e80::e47d:6dab:54d1:5347/128
Вспомните еще «the website is down».
В памяти — адрес и маску. Логично, когда серверы в соседних юнитах имеют 10.0.0.20/х и 10.0.0.21/х.
А смотря на вышеприведенные адреса, не могу понять, что должны делать в одном списке адреса, у которых общие только первые 2 байта из 16.
Какое у меня нытье «как сложно-то» получилось. Но все-таки, мне кажется, что если бы «лицо» протокола было бы проще — люди бы к нему потянулись раньше чем через 18 лет.
Хекс неудобно диктовать по телефону сквозь шум кулеров :)
Тем более если хекс — не c0.a8.1.1, а e80::e47d:6dab:54d1:5347/128
Вспомните еще «the website is down».
В памяти — адрес и маску. Логично, когда серверы в соседних юнитах имеют 10.0.0.20/х и 10.0.0.21/х.
А смотря на вышеприведенные адреса, не могу понять, что должны делать в одном списке адреса, у которых общие только первые 2 байта из 16.
Какое у меня нытье «как сложно-то» получилось. Но все-таки, мне кажется, что если бы «лицо» протокола было бы проще — люди бы к нему потянулись раньше чем через 18 лет.
Если мосье больше любит по телефлону — тогда — по буквам. А вообще сейчас смс-сообщения стоят неприлично мало. qwerty телефоны и коммуникаторы, кстати, тоже.
Про «логично — не логично» — могу сказать просто. Вы увидели и испугались. А надо было пойти читать RFC. Если это слишком сложно — английскую википедию. Но и тут нет. Так позвольте же мне дать вам кусочек текста, страхи рассеивающий:
fe80::/10 — Addresses in the link-local prefix are only valid and unique on a single link. Within this prefix only one subnet is allocated (54 zero bits), yielding an effective format of fe80::/64. The least significant 64 bits are usually chosen as the interface hardware address constructed in modified EUI-64 format. A link-local address is required on every IPv6-enabled interface—in other words, applications may rely on the existence of a link-local address even when there is no IPv6 routing. These addresses are comparable to the auto-configuration addresses 169.254.0.0/16 of IPv4.
К ipv6 не «тянулись» только потому, что четверки хватало. Не надо чинить то, что работает.
Про «логично — не логично» — могу сказать просто. Вы увидели и испугались. А надо было пойти читать RFC. Если это слишком сложно — английскую википедию. Но и тут нет. Так позвольте же мне дать вам кусочек текста, страхи рассеивающий:
fe80::/10 — Addresses in the link-local prefix are only valid and unique on a single link. Within this prefix only one subnet is allocated (54 zero bits), yielding an effective format of fe80::/64. The least significant 64 bits are usually chosen as the interface hardware address constructed in modified EUI-64 format. A link-local address is required on every IPv6-enabled interface—in other words, applications may rely on the existence of a link-local address even when there is no IPv6 routing. These addresses are comparable to the auto-configuration addresses 169.254.0.0/16 of IPv4.
К ipv6 не «тянулись» только потому, что четверки хватало. Не надо чинить то, что работает.
подозреваю, что я не первый и не последний, заметивший неточности в посте, но позволю себе их обозначить.
>>Ваш компьютер имеет частный IP адрес, а маршрутизатор имеет публичный адрес. Каждый соединенный порт на вашем частном IP отображается на порт на публичный IP адрес.
---Что такое соедененный порт? Автор слышал про порт мапинг, ДМЗ и маскарад?
Смысл всего абзаца сводится к тому, что от ната ни горячо, ни холодно, однако, это не так. Те, кто помнят эпидемию MSBlast со мной согласятся. Дефолтная настройка _большенства_ роутеров — дроп асков на ване. NAT — теплое, ласковое добро для хомячков и сочувствующих.
>>Используя IPv6, вы можете быть уверены, что любая конечная точка будет поддерживать IPsec, что означает, что вы всегда можете установить шифрованное соединение. В IPv4, в основном, вы будете использовать SSL для шифрования.
— Смешать в одну кучу IPSEC и SSL — это же надо было додуматься! Читаем модель OSI, видим, что IPSEC — третий уровень, а SSL — шестой. Также видно, что на том-же третьем уровне находятся IPv4 & IPv6. Тоесть получается, что утверждение «вы можете быть уверены, что любая конечная точка...» так же безосновательно, как и замечания о нате из предидущего абзаца.
>>Другим дополнением является групповая передача (multicast). В IPv4, один адрес в каждой подсети резервируется как широковещательный адрес.
— Тут автор путает broadcast и multicast. А вообще — IGMP.
>>Надеюсь, что теперь вы можете видеть, что поддержка IPv6 является полезной
>Надеюсь, что теперь вы можете видеть,
— Now you can see — перевод без задней мысли?
>>устанавливать соединения end-to-end друг с другом напрямую
— в приделах локальной сети — совершенно не проблема. С порт мапингом — темболее. На гейте можно еще и нагрузку распределить.
Приведенный кодеспинет и концепция использования — очевидны для разбирающихся, а для остальных — не нужны.
Итого: основные утверждения — высосаны вилами по воде. Прямо как в анекдоте: не смешно, но про войну.
>>Ваш компьютер имеет частный IP адрес, а маршрутизатор имеет публичный адрес. Каждый соединенный порт на вашем частном IP отображается на порт на публичный IP адрес.
---Что такое соедененный порт? Автор слышал про порт мапинг, ДМЗ и маскарад?
Смысл всего абзаца сводится к тому, что от ната ни горячо, ни холодно, однако, это не так. Те, кто помнят эпидемию MSBlast со мной согласятся. Дефолтная настройка _большенства_ роутеров — дроп асков на ване. NAT — теплое, ласковое добро для хомячков и сочувствующих.
>>Используя IPv6, вы можете быть уверены, что любая конечная точка будет поддерживать IPsec, что означает, что вы всегда можете установить шифрованное соединение. В IPv4, в основном, вы будете использовать SSL для шифрования.
— Смешать в одну кучу IPSEC и SSL — это же надо было додуматься! Читаем модель OSI, видим, что IPSEC — третий уровень, а SSL — шестой. Также видно, что на том-же третьем уровне находятся IPv4 & IPv6. Тоесть получается, что утверждение «вы можете быть уверены, что любая конечная точка...» так же безосновательно, как и замечания о нате из предидущего абзаца.
>>Другим дополнением является групповая передача (multicast). В IPv4, один адрес в каждой подсети резервируется как широковещательный адрес.
— Тут автор путает broadcast и multicast. А вообще — IGMP.
>>Надеюсь, что теперь вы можете видеть, что поддержка IPv6 является полезной
>Надеюсь, что теперь вы можете видеть,
— Now you can see — перевод без задней мысли?
>>устанавливать соединения end-to-end друг с другом напрямую
— в приделах локальной сети — совершенно не проблема. С порт мапингом — темболее. На гейте можно еще и нагрузку распределить.
Приведенный кодеспинет и концепция использования — очевидны для разбирающихся, а для остальных — не нужны.
Итого: основные утверждения — высосаны вилами по воде. Прямо как в анекдоте: не смешно, но про войну.
да, видно что автор с сетями слабо знаком.
этот факт на лицо. основные недочеты подчеркнуты выше в комментариях, так что повторяться не буду :)
этот факт на лицо. основные недочеты подчеркнуты выше в комментариях, так что повторяться не буду :)
Самая жесть помомйму — это эти адреса ручками впечатывать или запоминать.
> мне говорили, что Интернет-протокол скоро будет заменен на новый и гораздо более лучший.
>…
> Почти два десятилетия спустя…
Ну тут автор явно преувеличил.
Рассказывать о протоколе IPv6 ему могли не раньше, чем в декабре 1998 (когда была опубликована спецификация IPv6). Но с тех пор прошло 12 лет, а никак не два десятка.
>…
> Почти два десятилетия спустя…
Ну тут автор явно преувеличил.
Рассказывать о протоколе IPv6 ему могли не раньше, чем в декабре 1998 (когда была опубликована спецификация IPv6). Но с тех пор прошло 12 лет, а никак не два десятка.
«Сокеты Беркли» — зачетно :)
А вообще не стоит писать тут по теме, в которой не в зуб ногой.
А вообще не стоит писать тут по теме, в которой не в зуб ногой.
>>А вообще не стоит писать тут по теме, в которой не в зуб ногой.
это вы про себя, я так понимаю?
Для тех, кто не в теме — Сокеты Беркли
это вы про себя, я так понимаю?
Для тех, кто не в теме — Сокеты Беркли
Вообще-то их как-то было принято называть BSD сокеты, но поскольку MS стырило код, а System V честно позаимствовало, то уже давно просто сокеты.
PS. можно я не буду повторяться?
PS. можно я не буду повторяться?
Во-первых, таки сокеты Беркли, а во-вторых, никто не тырил, читайте историю. При всей моей нелюбви к MS и её творениям, я не люблю, когда это ей приписывают. Не будем лишний раз наговаривать.
Во-первых буржуи так иногда говорят, но BSD им менее привычно говорить. У них вообще аббревиатуры любят раскрывать. А вот по-русски привычней BSD. Я уж не говорю что правильней.
Во-вторых зуб не дам, да и лениво мне дизассемблить и ковырять код. Но такое мнение ходит? уже и не помню на чем основанное. Может просто слухи.
Во-вторых зуб не дам, да и лениво мне дизассемблить и ковырять код. Но такое мнение ходит? уже и не помню на чем основанное. Может просто слухи.
1) Да нет здесь никакой аббревиатуры, а замечание не в тему.
2) Зуб и не надо, потому что реализация у них своя. Одно время они пользовались стеком сторонней конторы, который в самом деле был адаптацией Берклевого, но пользовались они им очень недолго — в NT 3.x (вроде бы). Погуглите, это всё есть в интернете. Даже можете исходники их собственного стека найти, при желании.
2) Зуб и не надо, потому что реализация у них своя. Одно время они пользовались стеком сторонней конторы, который в самом деле был адаптацией Берклевого, но пользовались они им очень недолго — в NT 3.x (вроде бы). Погуглите, это всё есть в интернете. Даже можете исходники их собственного стека найти, при желании.
я бы вот поспорил, что в IPv4 повсеместно SSL. HTTPS — да. новомодный впн от сиськи — да. но 3DES/AES все же больше, в ВПН области прям раз в 10.
давайте не говорить чушь.
NAT обеспечивает некоторую безопасность.
в большинстве случаев по умолчанию неизвестные пакеты — просто игнорируются.
в результате нежелательные попытки подключиться к компьютеру из вне — исключаются.
но это не самое главное.
самое главное — это usability для людей.
все эти «проблемы» с маршрутизацией успешно решены. «от добра добра не ищут» — и никто не хочет трогать работающую систему.
а с другой стороны… запись адреса ipv6 — уж простите меня, совершенно е*анутая.
вот ipv4 — запись удобная, понятная. и легко запомнить конкретный адрес. и админун легко запоминать адрееса в сети. и удобно их набивать.
вбить по памяти десяток адресов ipv6 — это уже полный писец.
и что вот это за хрень: fe80::fdb2:fef7:d29:2195%22 — ну совершенно непонятно. и незапоминаемо.
а ведь настраивать оборудование будут люди. и им придется запооминать эти уродские адреса. и они этого не хотят — потому и не внедряют.
просто эти 128 бит нахнер не нужны. мы что, собираемся подключаться к общегалактической сети. или к общевселенской?
такое огромное количество адресов просто никому нахрен не нужно. вот и всё.
NAT обеспечивает некоторую безопасность.
в большинстве случаев по умолчанию неизвестные пакеты — просто игнорируются.
в результате нежелательные попытки подключиться к компьютеру из вне — исключаются.
но это не самое главное.
самое главное — это usability для людей.
все эти «проблемы» с маршрутизацией успешно решены. «от добра добра не ищут» — и никто не хочет трогать работающую систему.
а с другой стороны… запись адреса ipv6 — уж простите меня, совершенно е*анутая.
вот ipv4 — запись удобная, понятная. и легко запомнить конкретный адрес. и админун легко запоминать адрееса в сети. и удобно их набивать.
вбить по памяти десяток адресов ipv6 — это уже полный писец.
и что вот это за хрень: fe80::fdb2:fef7:d29:2195%22 — ну совершенно непонятно. и незапоминаемо.
а ведь настраивать оборудование будут люди. и им придется запооминать эти уродские адреса. и они этого не хотят — потому и не внедряют.
просто эти 128 бит нахнер не нужны. мы что, собираемся подключаться к общегалактической сети. или к общевселенской?
такое огромное количество адресов просто никому нахрен не нужно. вот и всё.
начнем с того, адреса не нужно запоминать в большинстве случаев, для этого есть DNS,
IPv6-адреса достаточно просты, например, 2001:67c:258::1, 2a01:d0::1 — это реально доступные из Интернета хосты.
fe80:: — это link-local адреса для связи в пределах локального сегмента, в них указывается MAC-адрес и номер интерфейса.
конечно, IPv6-адрес может быть длинным, например, если он получается посредством RA/ND и имеет в себе MAC-адрес, или назначается Teredo-шлюзом, тогда в нем закодирован IPv4-адрес клиента и UPD-порт. ещё он может быть длинным, потому что многие ОС имеют поддержку privacy extensions, кратко: генерится рандомный суффикс, в котором нет информации о MAC-адресе, суффикс регулярно меняется.
в любом случае, не забываем о DNS, большинство ресурсов со статическими адресами имеют прямые и обратные DNS-записи, в пределах линк-локал зоны работает мультикастовая зона .local для всех локальных хостов, для клиентского же подключения адрес особо не имеет значения, он получается автоматически по RA/ND.
при желании можно и статически вешать адреса, при этом можно развернуться куда больше, чем на IPv4, например 2a03:f5:4:2::8 (2a03:f5 — префикс провайдера, 4й сегмент, 2я подсеть, 8й компьютер), все просто, элегантно и иерархично.
IPv6-адреса достаточно просты, например, 2001:67c:258::1, 2a01:d0::1 — это реально доступные из Интернета хосты.
fe80:: — это link-local адреса для связи в пределах локального сегмента, в них указывается MAC-адрес и номер интерфейса.
конечно, IPv6-адрес может быть длинным, например, если он получается посредством RA/ND и имеет в себе MAC-адрес, или назначается Teredo-шлюзом, тогда в нем закодирован IPv4-адрес клиента и UPD-порт. ещё он может быть длинным, потому что многие ОС имеют поддержку privacy extensions, кратко: генерится рандомный суффикс, в котором нет информации о MAC-адресе, суффикс регулярно меняется.
в любом случае, не забываем о DNS, большинство ресурсов со статическими адресами имеют прямые и обратные DNS-записи, в пределах линк-локал зоны работает мультикастовая зона .local для всех локальных хостов, для клиентского же подключения адрес особо не имеет значения, он получается автоматически по RA/ND.
при желании можно и статически вешать адреса, при этом можно развернуться куда больше, чем на IPv4, например 2a03:f5:4:2::8 (2a03:f5 — префикс провайдера, 4й сегмент, 2я подсеть, 8й компьютер), все просто, элегантно и иерархично.
вот имено. не забываем о ДНС, которые периодически приходится править вручную.
например, записи у регистратора о том, где же хостится сайт.
Вы же не думали, что я имею ввиду вбивать в адресной строке айпишник?
более того, вот как представлю себя админим, которому предстоит вот это вот разворачивать у провайдера — а ведь многое придется прописывать вручную — так аж дурно становится.
я же писал про «котлеты — отдельно, мухи — отдельно»?
так получается оно еще раз нарушено в ipv6 — в адрес еще какая-то секьюрность включена. вообще офигительно. )
например, записи у регистратора о том, где же хостится сайт.
Вы же не думали, что я имею ввиду вбивать в адресной строке айпишник?
более того, вот как представлю себя админим, которому предстоит вот это вот разворачивать у провайдера — а ведь многое придется прописывать вручную — так аж дурно становится.
я же писал про «котлеты — отдельно, мухи — отдельно»?
так получается оно еще раз нарушено в ipv6 — в адрес еще какая-то секьюрность включена. вообще офигительно. )
Sign up to leave a comment.
IPv6: Есть ли повод для беспокойства?