Vlákno názorů k článku IPv6 Mýty a skutečnost, díl II. - Adresový prostor od ondra.novacisko.cz - Kromě rozšíření počet zařízení běžící pod jednou IP...

Kromě rozšíření počet zařízení běžící pod jednou IP adresou a jakysí jednosměrný firewall, který vyplývá z funkce NAT, má NAT ještě několik dalších výhod. Přirovnal bych to oddělovacímu transormátoru.

Například lze propojit dvě naprosto samostatné sítě s naprosto odlišným způsobem adresace, bez nutnosti jednu sít readresovat. Není tako tuto síť nikde oznamovat a upravovat vnější směrovače, aby tuto síť našli. Konečně, velmi často řeším dotazy typu "chci z vnitřní sítě na internet" právě NATem. Nebo varianta: "chci ze své VPN na internet". Použití NATu je přitom to nejjednoduší, ať už je ten Internet připojen kteroukoliv branou.

A proc by ste neco preadresovaval ? Opet a dokola porat ty samy scestny nazory od stejnych lidi. IPv6 adres muze mit kazdy rozhrani N. Pokud zmenite ISP, jediny co menite je prefix (v nejhorsim pripade). Nic vic. Tudiz jeden radek v ra/dhc, jeden radek v dns a jeden ve firewallu. TECKA.

Ono to taky jednoduše pochopitelné není. Nejde o velké sítě, kde to lze řešit jednoduše OSPF + BGP a multihoming mě nijak zvlášť netrápí. Ale jde spíš o ty trochu větší než úplně mrňavé, které třeba potřebují nějaký poloautomatický failover. Pro IPv4 změní NATku. Je to hned, datové ztráty nijak extrémní, vnitřní provoz (tiskárny, servery) to neovlivní vůbec - což je většinou extrémně důležité.

Pro IPv6 je to také teoreticky jednoduché - přes RA ohlásí prefix nového poskytovatele. Možná to také bude rychlé a bezbolestné. Ale komplikuje se to v případech, kdy uvnitř té malé sítě routuju. Takže už musím (dle mě) změnit RA do každého z routříků. Na každém dalším routříku taktéž. Plus možná i DHCP. To nebude hned a pochybuju, že na to existuje jednoduchá možnost automatizace. Do quaggy se to píše ručně. Neznám možnost převzetí prefixu na základě jiného příchozího RA. A když už to nějak třeba nascriptuju, tak je problém se zdroji uvnitř té sítě. Prostě se změní IP. Přestanou fungovat tiskárny, sdílené disky. Všechny konexe se musí navázat znovu. Což může být problém, protože se vsadím, že všichni klienti si při startu služby přeloží DNS a pak už jedou jen po IP. A v případě routingu nemusím mít možnost všude používat link-local adresy, které se obecně nemění.

Teď jsem se nad tím ale trochu zamyslel ... že by přesně na toto byly Unique-local adresy? Pokud bych byl schopen přes RA ohlašovat dva prefixy zároveň (což je možné, nevím), tak by to polovinu tohoto problému řešilo. Teď ještě tu automatickou redistribuci prefixů na podsítě ... A doufat, že výběr source adresy u klienta funguje správně a očekávatelně.

Ale musím říct, že nějaký stateless nat by to asi řešil o dost jednodušeji.

No a takhle je to s námi všemi, kdo nemáme IPv6 denním chlebem ... Pokud je potřeba něco trochu odlišnějšího od zaběhlé praxe, je problém ... byť většinou mezi židlí a klávesnicí.

Z trochu jiného soudku - existují vůbec už spolehlivé domácí routříky, které zvládnou přijmout prefix-delegation? Nemyslím možnost nacpat tam jiný firm, třeba openWRT, ale prostě od výroby, pro obyčejné lidi.

Pokud mate vic nez jednu linku, tak distribuujete dva a vice prefixu.

No, uz se tesim to na IPv4 jiste udelat nemuzou ...

Ja dva prefixy najednou zkousel (jeden ULA a jeden 6to4) a Windows 7 se na to moc netvarily. Adresy sice nastavily spravne, ale tvrdosijne pouzivaly ULA jako zdrojovou adresu pro veskerou komunikaci, takze to moc funkcni nebylo.
Ale podle dokumentace by to melo fungovat, protoze by se mela pouzivat ta adresa, ktera se nejvic podoba cilovy (nejvic shodnych bitu na zacatku). A 2002: ma rozhodne podstatne bliz k produkcnimu 2xxx: nez fdxx:. Asi jsem tam mel neco blbe..

Co je to "naprosto odlišný způsob adresace"?

V malé síti přepisování IPv6 adres nemá smysl, protože je jednoduché přidat další prefix. Ve větší síti je NAT nepoužitelný.

Je pravda, že by se NAT dal použít například k zálohování provozu, k jinému providerovi, ale to opět můžete udělat dvěma IPv6 prefixy, od každého providera jeden.

<blockquote>jakysí jednosměrný firewall, který vyplývá z funkce NAT</blockquote>
Zřejmě se držíte pravidla, že stokrát opakovaná lež se stává pravdou. Můžete nám tedy aspoň prozradit, kolikrát tu lež ještě hodláte opakovat, a kdy už s tím dáte konečně pokoj? Pokud jste od minulého článku zapomněl, proč NAT není firewall, najděte si to v libovolné diskusi o IPv6, pokaždé je potřeba to vysvětlovat někomu, kdo o tom vůbec nic neví.

<blockquote>Ko­nečně, velmi často řeším dotazy typu "chci z vnitřní sítě na internet" právě NATem. Nebo varianta: "chci ze své VPN na internet". Použití NATu je přitom to nejjednoduší, ať už je ten Internet připojen kteroukoliv branou.</bloc­kquote>
Použití NATu není to nejjednodušší. Nejjednodušší je použití protokolu IP, který komunikaci mezi zařízeními v internetu řeší odjakživa.