Hlavní navigace

Vlákno názorů k článku EU slavnostně spouští IPv6 od Dan Ohnesorg - Jo to s DHCP je pravda, mnohe distribuce...

  • Článek je starý, nové názory již nelze přidávat.
  • 16. 1. 2004 21:22

    Dan Ohnesorg (neregistrovaný)
    Jo to s DHCP je pravda, mnohe distribuce maji DHCP server IPv6 jiz zahrnut, ale pro domaci sit je to asi moc velky kanon na vrabce.

    Pojdme to vzit z jineho konce. Nikdo tu nezminil, ze cim dele budeme odkladat prechod, tim vice bude vyrobeno zarizeni, ktera IPv6 neumi a ktera po prechodu zahodite.

    Takze trocha propagace neskodi. To mate jako treba s televizi s DVB tunerem. Kolik tisicu lidi si koupilo loni k vanocum televizi bez DVB tuneru, kdyz je digitalni vysilani natolik v dohledu, ze v dobe zivotnosti jejich televize jiste prijde. A jak by to asi dopadlo, kdyby stat pred vanocemi vylepil plakaty: "Pozor lidi, v Berline se vysila digitalne, u nas to do dvou let bude taky".

    Jenze stat nic takoveho neudelal a lidi televize bud vyhodi, nebo si budou dokupovat set top boxy, cili dalsi kram co jim bude doma prekazet ;-) EU tohle udelala. Jasne rekla, drazi spravci rozmyslete si, co doporucite svym sefum k nakupu, protoze IPv6 prijde a kdyz to ted nakoupite zarizeni s zivotnosti 10 let tak si ho 10 let neuzijete. A rikame vam to dost vcas na to abyste se mohli rozhodnout, kdy zacina okamzik od ktereho uz nekoupite nic jineho. Mozna to bude za pet let, ale to uz to budete vedet 5 let a nebude to zadny sok.
  • 16. 1. 2004 21:52

    Michal Kubeček (neregistrovaný)
    Svou roli tu sehrálo nejspíš i to, že už někdy v roce 1992 se mezi odbornou veřejností odhadovalo, že IP adresy do dvou let dojdou. A jak roky ubíhaly a adresy stále ne a ne dojít, podlehli uživatelé (aspoň ta část, která ví, co je to IP adresa) falešnému pocitu, že to až tak horké nebude. A s nimi bohužel i značná část výrobců technologií. Jenže při tom přehlédli fakt, že pomineme-li CIDR (což byla poměrně logická změna - ovšem pouze krátkodobé řešení), je hlavní příčinou masové rozšíření NATů. Jenže to je jen dočasná berlička, která navíc přináší mnoho probémů a fakticky i degradaci Internetu.

    To je ostatně vidět i na názorech (nejen) v této diskusi, kde je značná část diskutujících přesvědčena o přirozenosti maškarád a přímá end-to-end komunikace jim připadá nepřírozená (a nebezpečná), stejně jako firewall v podobě klasického paketového filtru. Takže svým způsobem bych řekl, že epidemie maškarád přinesla více škody než užitku, protože zpomalila vývoj a reálné nasazení IPv6.

  • 17. 1. 2004 1:13

    Dan Lukes (neregistrovaný)
    Nazor, ze IPv4 adresy za dva roky dojdou je patrne to nejstalejsi, co se v oboru IT v poslednich letech vyskytlo. Stabilnejsi je snad uz jen Mooruv zakon. Co ja pamatuju, tak nazor, ze IPv4 adresy do dvou let dojdou se beze zmeny vyznaval zhruba od roku 1992 do, nejmene, roku 1998 - slo tedy o znacne konstatni nazor (a ne jako nektere jine nazory, ktere se meni kazdy tyden), coz by melo duveru spis vzbuzovat nez snizovat ... ;-)
  • 17. 1. 2004 11:23

    Dan Ohnesorg (neregistrovaný)
    Mimochodem ty adresy uz dosly. Jakou maji zakaznici Tmobile nebo Oscara na verejnou IP? Jakou sanci mate na sitich Tesmedie, na sitich CRa? Jakou sanci mate u spousty lokalnich provideru?

    Vetsinou se to resi tim, ze ty adresy jsou drahe, treba Inway chce po sdruzeni KLfree.net platit 200 Kc/IP mesicne. Na jednu stranu je to dobry obchod, ale v pozadi je to, ze oni nedokazi zajistit pro vsechny zakazniky verejnou IP adresu tak z ni delaji tak drahy statek, aby pocet tech co si to koupi byl tak nizky, ze vyjdou s tim co maji. Pritom komunitni site ve vetsich mestech by s prehledem spotrebovaly cele C. My mame na 3000 obyvatel 1/4C a musime s nim setrit.
  • 17. 1. 2004 11:54

    Michal Kubeček (neregistrovaný)
    Také souhlasím s názorem, že IPv4 adresy už ve skutečnosti došly. Problém ale vidím v tom, že tuto skutečnost se podařilo před většinou veřejnosti utajit. Potom není divu, že veřejnost necítí potřebu problém řešit, když ho vlastně nevidí.
  • 17. 1. 2004 23:08

    Dan Lukes (neregistrovaný)
    No, nemyslim si, ze jsi z faktu vyvodil spravne vysledky. Byl jsem zamestnanec ISP, o IP adresy jsme zadali tak, jak jsme je potrebovali, a nikdy se nestalo, ze bychom je nedostali. Cena, kterou za IP adresu plati ISP (i kdyz oficialne se vlastne za IP adresy nic neplati) je take pomerne jasne dana.

    Domnivam se, ze Oskar, T-Mobile a dalsi nemaji verejne adresy proste proto, ze pridelovani "verejnych" adres je proste administrativne narocneji. Musite RIPE hlasit, komu jste je pridelili, musite pro ne vest a udrzovat reverzni zaznamy, nemuzete si vymyslet bloky jake chcete, ale muzete pouzivat jen ty pridelene a tak. To vysvetluje, proc jsou adresy U NEKOHO drahe - nekteri ISP se proste rozhodli, ze tohle vsechno je strasne moc prace, za kterou je treba si nechat zaplatit. Povsimni si, ze u jinych ISP dostanes verejnou adresu naprosto samozrejme a bez vlastniho priplatku - to samo o sobe ukazuje, ze kdo chce, adresy ma. Zrejme jde o ISP, kteri maji logistiku verejnych adres vyresenou, nepripada jim slozita, nebo jim to pripada jako samozrejmost (popravde receno, bez verejne IP adresy lze jen velmi tezko hovorit o tom, ze poskytuji pripojeni k Internetu - poskytuji pripojeni k nekterym jeho sluzbam, ale k Internetu rozhodne ne).

    Nevim, za koho vlastne mluvis. Ale jestli tvuj ISP tvrdi, ze nemuzes mit vic adres, protoze on sam vic neziska, pak jsou moznosti jen dve - bud' lze, nebo prostorem plytva (t.j. dostal uz spoustu adres, u prilis velke casti z nich dosud neoznamil, ze by je nekomu pridelil a presto chce dalsi). A jestli ti je poskytnout chce, ale nemuzes si je dovolit financne ? Zkus najit jineho ISP - tenhle te musi strasne brat na hul ...

  • 18. 1. 2004 11:24

    Petr Souček (neregistrovaný)
    Podle http://www.ripe.net/rs/ipv4-ncc-20031030.html nejenže IPv4 adresy nedošly, ale vystačí na mnohem více než 2 roky.

    Podle tohoto dokumentu je ještě k dispozici 91 bloků /8, přičemž za poslední 4 roky se přidělovaly IPv4 adresy tempem 5,5 bloku v roce 2001, 4,25 bloku v roce 2002 - při tomto tempu 5 bloků za rok by IPv4 adresy vystačily ještě na 18 let.

    Výpočty na http://www.potaroo.net/ispcolumn/2003-07-v4-address-lifetime/ale.html ukazují na to, že IPv4 adresy vystačí do let 2019 - 2029.

    RIPE přidělí ISP tolik IPv4 adres, kolik si zdůvodní, my jsme nikdy u žádného ISP neměli žádný problím se získáním 2xC.

    Tady je popsáno, jak se IPv4 adresy přidělují:
    http://www.ripe.net/ripe/docs/ripe-288.html

    No a kolik IPv4 adresy stojí? Podle velikosti platí LIR ročně RIPE členský poplatek ročně:
    EXTRA SMALL 2,000 EUR
    SMALL 2,500 EUR
    MEDIUM 3,500 EUR
    LARGE 5,000 EUR
    EXTRA LARGE 6,750 EUR

    Kompletní přehled, který ISP spadá do jaké kategorie je na http://www.ripe.net/ripencc/mem-services/general/indices/CZ.html a třeba ten Inway je small, má 24576 IP adres, tedy cena 1 IP adresy placená RIPE vychází na nějakých 3,50 Kč ročně.

    Jiná věc jsou ovšem ostatní náklady okolo, jak píše Dan Lukeš.
  • 18. 1. 2004 12:26

    Michal Kubeček (neregistrovaný)
    Ano, de iure IPv4 adresy stále ještě nedošly a ještě dlouho nedojdou. Ale to je pohled, který je zkreslený zmíněnou epidemií maškarád. Kdyby došlo k deNATizaci Internetu, čísla by vypadala úplně jinak a vůbec bych se nedivil, kdyby v takovém případě bylo už pozdě.
  • 18. 1. 2004 14:15

    Petr Souček (neregistrovaný)
    Kdyby - chyby.

    Proč myslíte, že k NATizaci Internetu došlo i přes to, že cena 1 IP adresy je cca 1 - 5 Kč/rok?

    Protože je v mnoha případech přímá end-to-end konektivita nežádoucí z ryze praktických důvodů. A nakonec i zbytečná.

    Jinak dalším výrazným vlivem je HTTP 1.1 a virtual hosts.
  • 18. 1. 2004 14:16

    Michal Krsek (neregistrovaný)
    Dobry den,
    NATizace Internetu je velmi hloupe spojeni. Internet zadnou NATizaci netrpi. Uzivatele, kteri nemaji globalne dostupnou IP adresu proste soucasti Internetu nejsou.

    Koordinace Internetu neni zadny mrtvy system, jde o zivou strukturu, ktera je schopna na pozadavky reagovat. Paklize by doslo k enormnimu rustu pozadavku na IP adresy, zcela jiste by bylo nalezeno nekolik opatreni, ktera by umoznila problem vyresit. Krome zintenzivneni praci na IPv6 (nejvetsi momentalni deficit spatruji v mobilite), ktere by bylo v zajmu komunity i velkych vyrobcu, jde treba o prerozdeleni adresniho prostoru. Nekteri RIR dlouhodobe vyhrozuji, ze budou velmi tvrdi, ale pokud vim, tak treba drzitelu prefixu /8 se zatim zadna opatreni nedotkla.

  • 18. 1. 2004 15:15

    Michal Kubeček (neregistrovaný)
    Uzivatele, kteri nemaji globalne dostupnou IP adresu proste soucasti Internetu nejsou.

    To je sice z určitého úhlu pohledu pravda, ale značná část veřejnosti ten pocit rozhodně nemá. Mnoho firem vám pod pojmem "připojení k Internetu" nabídne právě jen přístup zprostředkovaný přes NAT. To tedy v tom lepším případě, např. můj bratr je momentálně na studijním pobytu v Německu a liboval si, jak tam má skvělé připojení k Internetu. Teprve po chvíli vyptávání jsem zjistil, že ve skutečnosti má jen přístup na HTTP proxy a i s maily může pracovat jen přes webové rozhraní. A když tito uživatelé zatouží po něčem navíc, těžko se jim vysvětluje, že to jejich připojení není tak úplně připojení.

  • 18. 1. 2004 15:25

    Michal Kubeček (neregistrovaný)
    Protože je v mnoha případech přímá end-to-end konektivita nežádoucí z ryze praktických důvodů. A nakonec i zbytečná.

    A z praxe vím naprosto spolehlivě, že ti, kdo považují end-to-end konektivitu za nežádoucí a zbytečnou, budou první, kdo za mnou přijdou s tím, že jim nefunguje ICQ/IRC/MSN/FTP/... Ve většině případů to jde více či méně sloužitě obejít, ale jsou to mnohdy dost krkolomné konstrukce, které platíme jako daň za to, že Internet už dnes nepropojuje jednotlivé počítače, ale menší či větší segmenty lokálních sítí.

    Jinak dalším výrazným vlivem je HTTP 1.1 a virtual hosts.

    To také (i když kvantitativně bych řekl, že je to výrazně menší faktor) a také to přínáší značné problémy. Kromě nekompatibility s původní verzí např. stačí od HTTP přejít k HTTPS a přestane to fungovat.

  • 18. 1. 2004 15:49

    Petr Souček (neregistrovaný)
    To je prostě kompromis mezi různými hledisky.

    Přes nás je připojeno asi 20 firem a mají zcela plnohodnotný Internet s veřejnými IP adresami. Ze začátku chtěly skoro všechny firmy více veřejných adres pro svoje počítače. Všechny je dostaly a některé i takovou síť zprovoznily. Aniž bychom je jakkoliv ovlivňovali, tak dnes už včechny firmy mají pouze 1 veřejnou IP adresu + NAT.

    A i s těmi veřejnými adresami je reálný bezpečnosní problém - mnohokrát už jsme řešili open relay na MS Exchange nebo Winroute, vyhackovaný stroj s linuxem, děravé IIS, přes které si nějaký hacker nainstaloval socks server a použil ho ke spammingu atd. To vede k zařazení celých bloků adres na blacklisty a problém s maily atd...

    Jako reálně fungující řešení vidím přerušit onu end-to-end konektivitu a použít aplikační proxy - ne že by tam problém s bezpečností nebyl, ale alespoň je na jednom místě.

    Teoretický ideál je správce v každé firmě, ale některé menší firmy si prostě nemůžou dovolit opravdu dobrého specialistu, který bude průběžně kontrolovat zabezpečení a updaty všech strojů.
  • 18. 1. 2004 16:46

    Michal Kubeček (neregistrovaný)
    To, že není celá lokální síť schovaná za NATem, přeci neznamená, že musí být volně přístupná zvenku. Stačí, aby se firewall začal používat ve významu, jaký skutečně má mít. Tedy místo implementace NATu (a helperů pro (skoro) všechny protokoly, které přes NAT samy neprojdou) jako místo, kde se definuje, jaký provoz smí odkud a kam projít. Jedním z největších bezpečnostních problémů jsou dnes stejně trojští koně, šířící se chybami v MUA nebo webových prohlížečích (nebo rovnou hloupostí uživatelů), tedy věci, před kterými vás NAT tak jako tak neochrání.
  • 18. 1. 2004 16:59

    Petr Souček (neregistrovaný)
    S tím zcela souhlasím. Před činností některých trojských koňů spočívající v připojování se do Internetu mě NAT ochrání, ale firewall nakonec taky.
  • 18. 1. 2004 17:33

    Dan Lukes (neregistrovaný)
    Neni uplne neobvykle, ze v "bezne reci" se pouzivaji terminy shodne s nekterym oborem lidske cinnosti v jinem vyznamu, nez jak ho chapou odbornici na tento obor (ktery ten termin pouzivali daleko driv, nez se o nem "lid obecny" vubec poprve dozvedel). Tady jsme na pude casopisu, ktery se stavi byti odbornym - tak bychom snad mohli pouzivat pojmy predevsim tak, jak se chapou v tomto oboru a nikoli tak, jak je chape uzivatel znalostmi oboru celkem nedotceny ...

    Jinak bude nutne prakticky ke kazdemu clanky vytvorit obrovsky vykladovy slovnik pouzitych pojmu ...

  • 18. 1. 2004 18:51

    Michal Kubeček (neregistrovaný)
    Nepřu se o terminologii. Chci hlavně poukázat na to, že je tu obrovská skupina těch, kdo jsou přesvědčeni (a přesvědčováni), že jsou připojeni k Internetu, ale ve skutečnosti nejsou. A dokud se nepodaří této skupině jasně vysvětlit ten rozdíl, těžko očekávat, že veřejnost pochopí nutnost (nákladného a komplikovaného) přechodu na IPv6. Nevím jak ostatní, ale mne třeba děsí to, jak je nědo tak jednoduchého jako starý dobrý talk implementováno v dnešních programech tohoto typu. A ještě více mne děsí představa, že by se měl vývoj i nadále ubírat tímto směrem.

    Proto je podle mne nutné jasně vysvětlovat, že to, co dnes mnoho firem (ať už je to kabelovka, ADSL nebo cokoli jiného) nabízí jako připojení k Internetu, jím ve skutečnosti není. Takže svým zjednodušeným (a nadsazeným) výrokem, že IPv4 adresy už ve skutečnosti došly, jen si toho nikdo nevšiml, jsem myslel to, že kdyby měli být skutečně připojeni všichni ti, kdo si myslí, že jsou, jsme už nějakou dobu v problému až po uši. A nebo ještě jinak: že NAT sice zabránil vyčerpání adresního prostoru IPv4, ale že je přinejmenším sporné, zda je to dobře.

  • 19. 1. 2004 0:07

    Dan Ohnesorg (neregistrovaný)
    Juj to jsem to hezky rozproudil.

    Z bezpecnostniho hlediska nevidim, v bezne firme, rozdil mezi NAT a firewallem, ktery je postaveny tak, ze dovnitr pusti spojeni jen ve stavu ESTABLISHED a RELATED. Stejne i na tom NATu forwardujete dovnitr porty kvuli poste a podobnym vecem.

    Nerikam, ze musite tem lidem dat verejne adresy, aby byli vystrceni na "holy" internet, pouze ze je mozne pouzivat ve vnitrni siti s vyhodou verejne adresy a tam kde je ted NAT mit firewall.

    Aplikacni proxy je uz o necem jinem, ale NAT neni aplikacni proxy. Pouze nektere OS, resp. vetsina co umi NAT, ma specialni moduly, ktere osidi ruzne protokoly, aby sly NATovat a deNATovat.

    Prichani nam VoIP, kteremu dost fandim, a uz jsem zvedavy, jak se na kazdy NATujici server bude instalovat VoIP barana, aby byli dosazitelni uzivatele vevnitr.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).