IPv6 a vše kolem

skrivy

miract ~~dostaneš /24 rozsah. V prosinci (update: listopadu) jsme dělali dalšího LIRa a adresy jsou.~~

OK. Beru zpět. Na adresy se aktuálně čeká. Waiting list je zde: https://www.ripe.net/manage-ips-and-asns/ipv4/ipv4-waiting-list

zajdee

miract a jak resite problem, kdy PI adresy mate pouzivat jen pro potreby vlastni organizace, ne pro sve zakazniky? Nebo neresite? 🤔

miract

Je tam pravě ta výjimka pokud používáš NAT. Veřejná IP je fyzicky na mém železu. Ale to tu přeci neřešíte. Mě zajímá IPv6.

zajdee

miract tou vyjimkou si nejsem jisty, ale hlavne tim chci rict, ze PI adresy nejsou pro poskytovani sluzeb jako ISP vhodne. V IPv6 dokonce uplne nepouzitelne.
Spravne reseni tedy je PA blok od nejakeho LIRa, pripadne stat se LIRem.
Technicky je mozne mit adresy od LIRa X, ale ten LIR vubec nemusi byt upstream ISP. Staci, kdyz v RIPE DB vytvori spravne route6 objekty (sparovany prefix a cislo autonomniho systemu). Kdysi o tom mluvil @bach na workshopu k IPv6, ze ISPAlliance takovou variantu nekterym clenum umoznila.
Samozrejme je potreba ro udelat spravne, pokud LIR X ma prefix 2001:db8::/29 a propaguje do sveta 2001:db8::/32, musi timhle zpusobem pridelit napr. 2001:db9:100::/40, 2001:db9:200::/40, atp.

Prakticky ale i v /32 muze byt dost tesno.

miract

Na tom IPv6 workshopu jsem osobně byl. PI IPv6 je nelegální použít pro jinou než vlastní potřebu organizace.
PI IPv4 (tak zaznelo i na tom workshopu) je při NATu plně legální. Nelegální by bylo dávat tyto veřejné adresy přímo klientům na koncové zařízení.

Nejsem členem ISPA, tak prosím nějaké další řešení, jak získat legální blok IPv6 pro dlouhodobé užívání bez vázání na konkrétního upstream ISP.

iTomB

miract ze by stat se LIRem?

miract

Pokud je jediná možnost jak IPv6 získat stát se LIRem, tak to odkládám na neurčit a tím to pro mě tato diskuze zase na dlouho končí. Se potom nedivte, že většina malých a středních ISP nemá o IPv6 zájem...

iTomB

miract a co je maly? 150 lidi ... Uz od 500 se da uvazovat byt LIRem a i kvuli backup lince ...

zajdee

miract porad je tu moznost IPv6 PA pridelu od toho LIRa, ktery Vam "zajistuje" IPv4 PI a ASN dnes. Nemusi to byt jen ISPA.
(Adresni plan uz mate? Jak velky blok byste pro sit potrebovali?)

bach

Dobrý den @miract , Vám Váš aktuální LIR IPv6 nepřidělí? Pokud byste chtěl, máme jako ISPA i službu LIR sponzoring. Kdy se Vám o adresy můžeme starat a i přidělit IPv6 blok. Můžete mi napsat i na přímo na ladislav.ruzicka@ispalliance.cz

skrivy

ISP, prosím. Když už nasazujete IPv6, tak to udělejte pořádně.

https://www.ripe.net/publications/docs/ripe-690#4-2-2---48-for-business-customers-and--56-for-residential-customers

4.2.3. Prefixes, longer than /56
It is strongly discouraged to assign prefixes longer than /56 unless there are very strong and unsolvable technical reasons for doing this.

There are enough IPv6 addresses to delegate end-users a /48, so a /56 already represents a sizeable restriction. There is no need to delegate fewer addresses than that, so if your IPv6 allocation is insufficient to provide a /56 to each end customer (remember there are 134 million /56s in a /29 and 16,7 million in a /32), explain to your RIR that your initial allocation was too small and that you require a larger allocation based on your IPv6 implementation plan. Offering less than a /56 can be feasible if just a /29 is allocated and 6RD is being used, as an IPv4 address is embedded in the IPv6 prefix. However, even in this case, a larger allocation from your RIR can be justified and the transition protocol allows other ways to sort it out.

Assigning a /64 or longer prefix does not conform to IPv6 standards and will break functionality in customer LANs. With a single /64, the end customer CPE will have just one possible network on the LAN side and it will not be possible to subnet, assign VLANs, alternative SSIDs, or have several chained routers in the same customer network, etc.

Teď to řeším s Giganet.cz, kteří přidělují jen /64 na přípojku, takže IPv6 nasazovat do jedné kanceláře nebudeme, protože by bylo dostupné jen pro jedno oddělení a zbytek by jel na IPv4. Tuhle nekonzistenci v síti nechci.

k3dt

skrivy u nás dáváme /48 ..

skrivy

https://www.google.com/intl/en/ipv6/statistics.html

IPv6 podle googlu poskočilo na 40%. Tak co, kdo se ještě brání pokroku?

Jinak update s giganetem (a mám pocit, že jsem to psal, jen to tu nevidím) - po výměně několika emailů jsme dostali /48, takže spokojenost.

okoun

skrivy tak brání se třeba všechny iptv a sip služby 😃

skrivy

okoun A ty nejak blokuji nasazeni dualstacku?

Puski

Kdyz už se to tu opět objevilo. Chystáme se aktuálně taky nasazovat IPv6. Nebo respektive vedení se na to zatím moc netváří, ale je to potřeba, než přijít o klienta kvůli nečemu jako je "sry IPv6 neděláme". Zatím jsem ve stádiu studování. Přidělování /56 prefixů se tedy jeví jako ok nebo dávat rovnou /48? Případně 56 běžná a 48 firemní přípojka?

jcltm

Puski /56 je rozumné minimum dostačující v současnosti v podstatě všem (domácnostem určitě), ideálně by ale mělo být /48 podle "třídního" adresování. První tři skupiny adresa sítě, čtvrtá skupina adresa podsítě, zbylé čtyři skupiny adresa zařízení. Adresu podsítě lze očíslovat třeba stejně jako VLAN ID, a hned se stane adresa (na první pohled složitá) lépe identifikovatelnou. Víc by k tomu mohl dodat @zajdee .

zajdee

jcltm z tohohle pohledu neni tak dulezita otazka "jak velke prefixy" ale spis "vejdou se mi vsichni zakaznici do adresniho prostoru, ktery mam k dispozici"?
/48 na kazdou pripojku je super, ale pokud chcete delat sekani adresniho prostoru po bitech s nekolikastupnovou hierarchii, snadno se stane, ze /48 pro vsechny zakazniky (a budouci rust) do /29 (standardni pridel od RIPE NCC bez dokladani duvodu "proc tolik adres") nenacpete.

Takze, Puski, jak vypada adresni plan? 🙂

petrbacina

Puski Mrkni sem https://www.youtube.com/watch?v=l7tLkn-g-BA&t=6s a projdi tohle https://www.youtube.com/results?search_query=ipv6+semin%C3%A1%C5%99

Pak zjistíš, že těch /56 pro zákazníka je akorát a že bez pořádného adresního plánu to nemá smysl ;-) Taky jsem si myslel, že dáme /48 zákazníkovi, než mi Láďa Růžička po 3 hodinách workshopu během minuty vyplácal celé /32 🤣 na jednom routeru! Hodně záleží taky jak je síť postavená.

okoun

skrivy to ne, ale je to dost frustrující, když něco rozjedeš a je to tak trochu k ničemu, když ty služby, kde je to nejvíce třeba na to z vysoka prdí....

Puski

Díky všem za poznatky, na videa se podívám.

Adresni plán aktuálně 0 😂 teprve se se vším seznamuji (jak to vlastně funguje, jak to zabezpečit, jak to co nejvíc automatizovat atd). IPv6 blok bychom měli mít již dlouho přidělený, jen se s tím nikdo z mých předchůdců neměl zájem zaobírat a ani to po nás vlastně nikdo ze zákazníků nechtěl (nebo o tom nevím). No a jak ty předchozí admini odchází do jinych prací, tak na vás zákonem padajícího hovna padá všechno co po nich zbylo v nezměněném dobrém i špatném stavu. Aktuální sprška je IPv6, do které se mi zpočátku nechtělo, ale na druhou stranu se mi to po ošahání docela líbí😆. Toť moje kariérní postupy ve firmě. Díky bohu už na mě nic víc než podrobná znalost BGP spadnou nemůže 😂

Zatím si to všechno testují po doma na Mikrotiku na 6to4 tunelu od Hurricane. Je to jako si otevřít fungl krabici s legem s hromady novýma kostičkama.

Síť máme řízenou centrálně ze serverovny přes XYZ VLAN (mix historických DHCP do různých lokalit na optice a pak PPPoE s Rádiusem primárně pro bezdrat klienty, sem tam nějaká sólo VLAN pro firmy s naroutovanym veřejným rozsahem). Klientů kolem 3 tisíc asi nevim přesně.

Nejvíc by se mi teda líbila varianta že to prostě přihodím do Rádiusu. A klient by dostal IPv4 i IPv6 naservírovanou skrze PPPoE a v našem systému to pak dokáže obsloužit v podstatě i uklízečka.

A to ješte vůbec nevím jestli to zákazníkovi dávat automaticky nebo na vyžádání (babce je jedno jakou má adresu, hlavně aby ji šli ty internety). Je toho předemnou ještě hodně co si budem 🤪

Každopádně díky za nakopnutí.

zajdee

Puski tak postupne. 🙂

Tunnel od HE (je to 6in4 doufam, tj. adresy zacinaji na 2001:...) je skvela volba pro domaci pouziti a seznameni.

V minulosti se mi nejvic osvedcil model "od kraje dovnitr", tj. nejdriv navazat peering a tranzit BGP relace a "objevit se v internetu", pak IPv6 na centralnich prvcich, skrz ktere tece provoz, pak IPv6 na vybranych firemnich serverech (pozor, nestaci, ze IPv6 sitova konektivita funguje; s IPv6 musi taky fungovat aplikace).
Nasledne prichazi tema adresniho planu (kdo ho nepredelal alespon dvakrat, at hodi kamenem) a zpusobu distribuce "k uzivateli".
Na PPPoE to je relativne jednoduche, pokud PPPoE koncentrator podporuje dva nejzajimavejsi atributy z radiusu: Framed-IPv6-Prefix a Delegated-IPv6-Prefix. Klientuv router si pozada o prefix a koncentrator ho naroutuje do PPPoE tunelu. (Na koncentrator samozrejme musi byt naroutovany "agregovany" prefix pro vsechny klienty nebo se prefixy klientu musi distribuovat v nejakem routovacim protokolu, napr. OSPFv3, alespon v jadru site; diskuse "jak to udelat redundantne" tu na foru kdysi probehlo).
Na sitich s DHCPv4 to muze byt vyrazne horsi; zalezi, jak identifikujete klienty, podle ceho jim dnes pridelujete IPv4 adresy (MAC adresa routeru? Port ID na switchi, vlozeny do DHCP dotazu switchem? Staticka konfigurace?). Je potreba udelat resersi aktualniho stavu pridelovani adres a featur pro totez v IPv6. Az budete mit klienta identifikovaneho, muzete mu pridelit prefix pro WAN a prefix pro LAN (delegovany).
S delegovanym prefixem se vazou dalsi legrace: "First hop router" (z pohledu uzivatele) musi v pripade dynamickeho prefixu (prefix delegation) do sve routovaci tabulky nainstalovat routu "tenhle prefix jde ke klientovi X". Tahle featura neni uplne bezne dostupna u low cost prvku nebo napr. L3 switchu.

No a pokud budete nasazovat IPv6, tak ultimatni cil by mel byt "povoleno vsem, kde to povolit jde". Bezny uzivatel si nikdy sam nerekne. Pokud na IPv6 nebude mit dnes router, nevadi, zitra uz ho mit muze.

Firmy jsou samostatna kapitola, tam bych ocekaval /48 a nejakou specifickou formu provisioningu adres.

« Předchozí stránka Další stránka »