Pokud nemaji zadnou IP adresu, pak nejsou pripojeni k Internetu :-)
Mohou byt pochopitelne pripojeni k nejake brane.
Privatni IP adresy se v IPv6 se zovou link-local ci site-local :-)
Filtrace muze byt i na urovni smerovani :-) Smerovacimu protokolu reknete, aby dal nesiril nejake sitove prefixy.
Uprimne receno nepochopil jsem, co myslite temi dalsimi dvema odstavci, ale uz jsme pomerne daleko od puvodniho tematu clanku.
...ale link-local adresy jsou (viz RFC3927, oblibene adresky z rozsahu 169.254.0.0/16) jsou definovane i v IPv4 svete... takze ani zde nemate pravdu v tom, ze existuje skupina tech, co adresu nemaji... ;-)
Stejne jako v IP svete, i v IPv6 svete existuji tri skupiny lidi.
Ti, kteri nemaji plnohodnotny pristup k Internetu - tj. maji IP adresu pouze z privatniho ci link-local rozsahu.
Ti, keri maji plnohodnotnou IP(v6) adresu, ktera je zavisla na jejich ISP.
Ti, kteri maji IP adresu z nezavislou na jejich ISP.
Zatimco Vam (nebo moji osobe) druha skupina adres staci, site poskytujici pristup k Internetu potrebuji treti skupinu.
Pokud mate /48, tak jste koncovym klientem (nic proti tomu) a pokud se rozhodnete smerovat Vasi sit jinak nez pres ISP, ktery Vam adresu pridelil, skoncite na nejakem filtru u nektereho ISP, protoze doporuceni rikaji, ze se ma filtrovat bud na urovni /32 nebo /35. Duvodem nasazeni takovych filtru je, mimo dalsi, velikost smerovacich tabulek v globalnich smerovacich tabulkach.
Pravda ... rozdil je v tom ze RFC3927 se objevilo vyrazne pozdeji nez IPv4, zatimco link-local adresy v IPv6 jsou dokonce snad povinne. A z ciste praktickeho hlediska, muj komp adresu z 169.254.0.0/16 proste sam nenastavi, zatimco adresu z fe80::/64 ano.
Vas komp ne, ale vetsina Windows-based PC ano (zapredpokladu, ze nedostanou adresu jinou, pokud dostanou, tak link-local adresa prakticky vyznam stejne nema). Na Linuxu toto resi (aspon v pripade Debianu) balicek zcip...
Ano, tim naznacuju, ze podpora RFC3927 je problem ciste softwarovy - pokud jej vas komp nepodporuje, pak to neni chyba RFC, ale software, ktery Vy sam uzivate... a je na Vas, jak se k problemu postavite.
Argument, ze se RFC3927 objevilo vyrazne pozdeji neni vubec relevantni - veci se vyviji neustale - drive treba nikoho nenapadlo, ze by se nejaka link-local adresa mohla k necemu hodit...
Myslim, ze si nerozumime. Ony ty adresy NECHYBI. Chybi site. Takze se do Vasi site z Internetu dostanete pres poskytovatele, ktery ma /32 vypropagovano, ale nikoliv pres jineho, ktery propaguje jen Vasi /48.
Co se tyce delky prefixu pro koncove site, vrele doporucuju bezici diskusi v RIR o doporucovane velikosti pro koncove site. Plamenomety mezi priznivci /48 a /56 jsou rozpaleny do bela :-) Jen do naseho maleho mirne zatuchleho rybnicka tato informace zatim nedolehla.
V IP skutecne dochazel pocet pocitacu :-) I kdyz ted to spis vypada, ze problemem bude pocet ASu.
Obavam se, ze pocet autonomnich systemu je v soucasnem Internetu shora omezen dvema bajty. A navic posledni AS, ktery jsem pred par tydny vyrizoval, mel cislo 42000. Obavam se, ze nejste zcela poucen ve vazbe autonomni system = sit (sitovy prefix).
Pokud spravne rozumim normam, ktere se tykaji mobility v IPv6, autonomnich systemu netreba :-)
Co se tyce filtru, tak ty skutecne na urovni BGP nejsou :-) protokol BGP nema zadny efektivni filtrovaci mechanismus pro site.
Diskusi o globalnich smerovacich problemech bych na tomto foru radeji nespoustel. Doporucuju diskuse v IETF nebo NANOG.
Vezte, ze ta informace (know-how), kterou postradate, existuje. BGP je smerovaci protokol, kterym si smerovace vymenuji informace. Tento protokol je na pocitaci obsluhovan nejakym procesem, ktery dava sitove prefixy do smerovaci tabulky. Filtr je na urovni procesu.
Nezda se mi, ze by Ondrej psal o situaci popsane v 9.1.4. ale nejsem vykladac jeho myslenek.
Limit v poctu dostupnych ASu nema co delat s IPv6. ASy by pravdepodobne dosly drive nez IP adresy. K implementaci, doporucuju napriklad nasledujici Internet Draft.
Pozor, nemusi to nutne provadet proces, ktery implementuje BGP. Obvykle to dela proces, ktery obsluhuje vsechny smerovaci protokoly (pak muzete udelat filtr pres vsechny smerovaci protokoly - treba zahazovani 10/8).
Co se tyce postupu draftu standardizacnim procesem, rekl bych, ze je to na dobre ceste :-)
V kazdem pripade uz jsme hodne daleko od NFX i od poradi NIX.CZ na svete. Pokud proti tomu nebudete nic mit, odpojim se z diskuse za ucelem nakoupeni vanocnich darku :-)
Jak ja to vidim, tak jednou z moznych vyhod pripojeni do NIX.cz by mohlo byt ziskani vlastniho rozsahu verejnych IPv6 adres, ktere by zminenou nevyhodnost privatniho rozsahu v jistem smyslu odstranili. Samozrejme stejne vyhodne by bylo kdyby jim tento rozsah routoval nektery ze zminenych soucasnych ISP, ale myslim ze dosahnout toho jako clen NIX.cz by mohlo byt jednodussi.
Pripojeni do NIX.cz by rovnez mohlo byt dobrou zaminkou k clanku na lupe - predpokladam, ze pak uz bude co do toho clanku napsat.
Proc ne ? Pravdepodobne maji v USA pomerne malo (max 3) extremne velkych propojeni ... nebo tam maji neco, co se jako peeringove centrum nepocita - jak treba vypada ta takzvana pater internetu ?
IPv6 adresni prostor mam i ja. Akorat je mi to houby platny, protoze si ho muzu routovat jen pres (pomaly) tunel. IPv6 adresy nejsou tak obtizne sehnatelne ...
Priznavam, ze nevim co presne znamena ten "verejne routovatelny IPv6 rozsah" co uz NFX ma. Samozrejme ze mam /48 (a prijde mi to jako dostatecne velke mnozstvi adres - jestli odmitaji pridelovat bloky mensi nez /32 tak nam ten adresni prostor IPv6 moc dlouho nevydrzi). A uz jsem rikal, ze to nepokladam za velkou vyhru, i kdyz nevylucuji ze mam nepresnou informaci o tom proc to neni zadna velka vyhra.
Jak se takova vec dela ? Mam zavolat na technickou podporu cloveku, ktery nema nejmensi poneti co to ten IPv6 je, a stezovat si ze ho nemam ? Krome toho me trochu znervoznuje tech 200kc za pevnou IP mesicne v ceniku - ne moc, protoze nic neplatim a stejne mam uz 14 mesicu tu samou, ale prece ...
Mimochodem, v IPv4 svete jeste existuje skupina lidi, kteri nemaji zadnou adresu. Ale spravne rikate ze v IPv6 existovat nemuze - link-local ma kazdy automaticky. Jen by me zajimalo, kdo je tak nepruzny aby zavadel IPv6 privatni adresy ...
Jste si jisty, ze kdyz rikate filtrovat, nemate na mysli routovat (smerovat) ? Pokud jsou ty globalni routovaci tabulky nastavovane automaticky, mohou za to byt odpovedny filtry na urovni synchronizacniho protokolu (BGP se tusim jmenuje), ale nejak neverim, ze by si nekdo delal praci s filtrovanim packetu na urovni firewallu kdyz je muze zahodit (respektive odpovedi na ne) na urovni routovacich tabulek. Tedy pokud to neni povinne.
/35 zni trochu lepe nez /32, to by mohlo par let vydrzet ...
Adresy koncoveho klienta maji proti adresam privatnim vyhodu dokonce i kdyz je vas ISP nepouzitelny: muzete si byt jisti, ze nezpusobi zadny maler. Bud projdou, nebo neprojdou, ale nehrozi ze by nekde narazili na pocitac se stejnou IP. To trochu uklidnuje kdyz si hrajete experimentujete s jejich tunelovanim.
Spis smerovacimu protokolu reknete, co ma kam smerovat, a nektere adresy ve vyctu tak nejak chybi ... ale je pravda ze i tohle lze nazvat filtrovanim.
Jsme, ale doufam ze to nevadi :-).
Jednim z duvodu vzniku IPv6 bylo ze IPv4 adres bylo prilis malo. Aby se na stejny problem nenarazilo brzy znova, rozhodlo se ze IPv6 adresy budou ne 33 bitove, ne 48 bitove, ne 64 bitove ale rovnou 128 bitove. Prohlasit, ze kazda (autonomni) sit dostane /32 znamena efektivni zkraceni adres na zhruba 48 bitu, protoze prumerna autonomni sit ma IMHO mene nez 64k pocitacu (pri vhodne zvolenem typu prumeru :-)) a co v IPv4 dochazelo byl ne pocet pocitacu, ale pocet siti.
Jednoznacna adresa je lepsi nez mnohoznacna dokonce i v pripade, ze vam ji nikdo neroutuje. Rozvadet to asi nema smysl ...
Ja vubec nemluvim o tom, jestli muzu nebo nemuzu sehnat software ktery mi tu link-local adresu vygeneruje (osobne si radsi osadim privatni adresy). Ja mluvim o tom, ze pocitac muze "neumet" RFC3927 a porad - IMHO - splnovat "normy" pro IPv4, zatimco - opet IMHO - pokud splnuje "normy" pro IPv6, musi mit link-local adresu protoze tato adresa je soucasti tech norem.
Mimochodem, IPv6 rozhrani si v linuxu nastavi link-local adresu i v pripade, ze ma jinou adresu. Je otazkou k cemu je to dobre, ale udela to.
To je mozne. Ja se tu bavim o rozdilu mezi link-local adresou v IPv4 a IPv6. Zastavam nazor, ze v IPv6 je link-local adresa povinna, zatimco v IPv4 ne. Danny oponuje a pochopil jsem to tak, ze podle neho je povinna i v IPv4. Vas prispevek jsem si vylozil jako podporu te poloviny meho tvrzeni se kterou Danny nema problem.
Nektere ROZSAHY adres pokud chcete abych byl presny. Nebo snad je software pro IPv6 routovani odflaknutejsi nez IPv4 verze a skutecne ma zvlast tabulku na site a na jednotlive adresy, zatimco IPv4 uz davno ma jednu tabulku s polozkami adresa, maska/pocet platnych bitu, cil, do ktere se strkaji site ruzne velikosti i jednotlive pocitace, pokud je to zapotrebi ?
Myslim, ze problem puvodne nebyl v tom ze by v IPv4 bylo vice nez 4M pocitacu, ale v tom ze pri rozdelovani na site doslo k fragmentaci ktera znemoznila vyuzit vsechny adresy. Prvni reseni obsahovalo rozdrobeni puvodnich A a B adres na mensi celky. Ale je na to mozne pohlizet i z toho hlediska, ze majitelum C adres dosly adresy kvuli poctu pocitacu a B nemohli dostat ... Pote se zacaly hromadne pouzivat NATy a uz se v tom vubec nejde vyznat ...
No, vzdyt jsem rikal "mohou za to byt odpovedny filtry na urovni synchronizacniho protokolu (BGP se tusim jmenuje)" ... jsem rad, ze jste to vyjasnil (potvrdil ze tomu tak skutecne je) a naplnil tak ucel diskuze.
Krome rozhazovani obrovskych prefixu lze problem nedostatku pameti v routerech resit treba tak, ze se nektere adresy rezervuji. Pokud vim, v soucasne dobe se za platne globalni adresy povazuji pouze adresy 2000::/3, tedy pouze osmina adresoveho prostoru (coz mimochodem dava 229 /32 prefixu ktere lze pridelit). Prozatim se pozadavek alespon 13 lidi na autonomni system jevi jako prijatelny, ale lze predpokladat ze jak pocet uzivatelu internetu, tak jejich mobilita bude stoupat (a to nemluvim o tom, ze jeden clovek muze mit jednoho ISP pro pracku a lednicku, jednoho pro televizi, jednoho pro telefon a jednoho pro klasicky pocitac). Vim ze uvazovani dopredu se prilis nenosi, ale vazne je to uzitecne.
Chcete tim rict, ze existuje nejake dvoubajtove omezeni, ktere plati i pro IPv6, nebo jen potvrzujete jak je to v IPv4 spatne ? Mozna nejsem zcela poucen, mate nejaky doplnujici odkaz ?
Normy mobility v IPv6 jsem nijak zvlast nestudoval, nicmene obavam se bez ohledu na normy existuji IPv6 zarizeni ktere mobilitu neumi nebo neumi spravne ...
Ondrej rekl Takže ta filtrace o které se tady bavíme je o tom, že se filtrují prefixy, které příjdou přes BGP, tak aby do směrovací tabulky prošlo jenom to, co chci.
Vy jste rekl Co se tyce filtru, tak ty skutecne na urovni BGP nejsou.
Nechapu, jak by jakakoliv informace o BGP mohla zpusobit, ze obe tyto tvrzeni jsou pravdiva. Tohle neni o know-how, to je elementarni logika.
Pokud Ondrej mluvi o RFC 1771 9.1.4 Overlapping Routes, tak ano, nektere uvedene strategie bych povazoval za filtrovani.
Co se tyce me otazky na 16bitovy limit, kterou jste se nenamahal zodpovedet, tak odpoved je ano, ale jiz roku 2007 se planuje prejit na 32bitova cisla (prechod by mel byt dokoncen do 2009). Narozdil od IPv6 se zda ze se s tim specha, takze bych predpokladal ze pripadne problemy se vyresi driv nez to zacne delat problemy pro nasazovani IPv6.
Pokud filtrovani provadi proces ktery implementuje BGP, prijde mi to jako filtrace na urovni BGP. Ale dobra, pokud vam to pripada jako receno prilis vagne ...
Neni uvedeny draft spise dukazem tvrzeni, ze AS nedojdou driv nez adresy (protoze se jejich soucasny nedostatek vyresi) ? Tedy alespon pokud se ten draft dostane ze stadia draftu k realizaci. V minulem prispevku jsem sam tvrdil ze limit v poctu AS nema s IPv6 nic spolecneho. Za odkaz nicmene diky.
Dobry den,
obavam se, ze problematika je slozitejsi. Pokud je mi znamo, tak site, ktere se chteji stat/jiz jsou cleny NFX (dale jen komunitni site), jsou v soucasne dobe pripojeny k Internetu prostrednictvim ISP, kteri jiz v NIX.CZ jsou pritomni.
Tudiz k obsahu komunitnich siti se zakaznici ISP dostanou prostrednictvim lokalnich propojeni uz ted.
Pochopitelne existuji site s otevrenou propojovaci politikou, ktere se rady propoji s kazdym, na druhou stranu s tim nemuzete pocitat automaticky.
Dostupnost toho obsahu je navic vyznamne omezena tim, ze uzivatele komunitnich siti maji adresni prostor, ktery je z privatniho rozsahu, takze provoz je de-facto jednosmerny.
Netroufam si posuzovat, jaky bude pomer in/out provozu po zprovozneni propojeni. Nicmene v soucasne dobe je pomer provozu mezi NIX.CZ a NFX zhruba 1000:1.
V kazdem pripade mam dojem, ze vznik NFX je prinosem komunitnimu sitovani v CR. Nicmene ocekavani, ktera jsou spojena se vstupem do NIX.CZ mohou zustat (minimalne v prvni fazi) nenaplnena.
Predpokladam, ze v pripade nejake rozsahlejsi diskuse odkryjete svoji identitu :-)
jestli chcete nekdo vydrazit ty 3 racky kde nix zacinal tak jsou k dispozici. sami si pak vyberte na konto ktere dobrocinne organizace to poslete me staci potvrzeni :)
Ze by NIX i NIC smerovali v CESKE REPUBLICE (people republic of banana) ke svetlym zitrkum. NIX je v pohode jiz dele NIC se snad taky dava postupnym plizivym krokem dopredu.
vzdyt to sotva vzniklo... zajimavejsi to bude az casem, kdyz se propoji vic siti, ted se myslim jedna o prilis novou zalezitost (mluvime-li o stejnem NFX, ale pravdepodobne ano)
Já myslím, že byste si o BGP měl něco zjistit, než se pustíte do sáhodlouhé diskuze o něčem, čemu vůbec nerozumíte. BGP protokol a směrovací tabulka jsou dvě odlišné věci. Takže ta filtrace o které se tady bavíme je o tom, že se filtrují prefixy, které příjdou přes BGP, tak aby do směrovací tabulky prošlo jenom to, co chci. Stejná filtrace se děje i v IPv4, kde je minimální prefix /24 a i u toho se může stát, že v některých místech bude odfiltrován.
Zkuste si spočítat, kolik takových prefixů /32 lze přidělit. Já se nějak nebojím toho, že by ty prefixy "došly". Naopak, větším problémem v současné době je počet prefixů. Při velkém množství by to mohlo zbořit spoustu routerů na nedostatek paměti, počty aktualizací apod., takže je velká snaha o agregaci.
V USA je odhadem nějakých dvacet propojovacích center, kterými tečou datové toky v řádu desítek gigabitů/s.
Ale:
Nemají veřejné statistiky, protože jde o soukromé subjekty, takže necítí potřebu troubit informace do éteru.
Často je v nich propojení na bilaterální bázi - nemají nic, co by se dalo nazvat "společným segmentem", jak ho známe z Evropy.
A pak jsou ještě nějaké propojovací uzly v Asii.
Takže pokud chce být člověk hnidopich, může zkusit navštívit NANOG a vydolovat z operátorů nějaká data. Nebo se holt spokojí s tím, že NIX.CZ je kolem desátého místa na světě, pokud vezmeme v úvahu propojovací uzly s veřejnými statistikami a společným segmentem.
Páteř Internetu neexistuje :-)
V rozhodování zda peerovat nebo ne, je jedním z rozhodovacích hledisek otázka, zda subjekt se kterym chci peerovat má pro mé uživatele content o který mají zájem.
Na sítích členů NFX content je. A jsou ho tam desítky možná stovky TB. Takže upload z NFX do NIX bude vyšší než download do NFX.
A k zahranicní konektivite - protože peeruji v NFX a NIX tak ISP platím jen za trafic k tomu jsem nenašel doma.
To je účel lokálních peeringových center.
Skoda ze prechazite dovetek: Rozsahy propagovane ucastnikem, ktery není clenem, není povinen prijimat. Takze na oko povinna openpeering policy to neni - pokud se pripoji sit, ktera nebude soucasne clenem sdruzeni (tohle jejich pravidla pripousti), tak nemaji peering zarucen...
A ani tim striktnim open-peeringem nejsou nijak specialni, tihle to tam maji alespon skutecne povinne pro vsechy... :)
Peterka už asi z těch svých ideologických axiomů blbne.
Hlavně by mě zajímalo, jak u nás vypadal neliberalizovaný Internet. To tam jak seděla nějaká stará nová struktura a cenzorovala, zde někdo nezpochybnuje principy tržního librealizmu?
Anebo tím onene novináříček myslel zrušení monopolu Telekomu na datové přenosy?
A z toho vyplyva co? Do NIXu se muze pripojit kdokoliv po splneni nejakych zverejnenych technicko-administrativnich predpokladu - a i po realizaci pripojeni musi subjekt na nejakeho (nejake) ISP spolehat... uz jen proto, ze samotny fakt pripojeni ke sdilenemu jeste neimplikuje, ze pripojena sit bude peerovat se vsemi ostatnimi, o tranzitu do nepripojenych (zahranicnich) siti ani nemluve...
U grafu špičkového průtoku NIXem je uvedena jednotka "GB/s" (gigabajty za sekundu), v textu článku se ale u stejných čísel mluví o gigabitech (Gbit/s).
NFX neni jedinym (a dokonce ani historicky prvnim) mistem, kde se na urovni L2 media propojuje vice (privatnich) autonomnich systemu v ramci CZfree mezi sebou... v cem je zrovna NFX - z pohledu propojovani siti - vyjmecne? :)
Ziskat verejne IPv6 adresy muzou uz nyni - dva subjekty sdruzene v NFX jiz dnes maji statut LIR, a jeden z nich ma i ten verejne routovatelny IPv6 rozsah (dnes routovany pres AS XS26). Ale pokud vim, maji to tam spis experimentalne...
Samotny krok pripojeni se do sdileneho segmentu NIX.CZ routovatelne IPv6 adresy zadnemu subjektu v zadnem pripade nezajisti.
Clanek na Lupe je zajimava idea - chcete ho psat o kazdem subjektu, ktery se do NIX.CZ pripoji?? Protoze jestli se NFX pripoji, tak jako kdokoliv jiny stejne bude muset splnovat urcena pravidla (bude to pripojena sit jako jakakoliv jina). Pripojenim NFX se NIX.CZ nikam dal nerozsiri...