Názory k článku
Ach ty bázové adresy… Jak vydolovat z IPv4 maximum?

Nechápu proč tohle RFC vzniklo to je tahání mrtvého koně aby došel do cíle. Už je to neudržitelné, všichni to ví a vidí, jaké problémy nám to způsobuje, kolik stojí to udržovat. Místo toho aby se věnoval čas budoucnosti tak se bude rýpat do mršiny a zase to bude nahrávat neschopným dinosaurům v tom, že přece IPv6 nepotřebujeme a nebudou se učit nic nového.

Mne to hlavně moc nepřekvapuje. Moje zkušenost s různými Cisco Certified odborníky je taková, že ty certifikace mnohdy znamenají jen tolik, že se naučili (ne)uvažovat v zaběhnutých škatulkách a na jakékoli trochu netradiční (i když zcela korektní) řešení reagují frázemi jako Ale podle Cisco Guidelines se to má dělat takhle. nebo dokonce Kdyby to bylo k něčemu dobré, tak by to nabízelo i Cisco. (To jsou doslovné citace z reálných rozhovorů.)

V titulku mě zaujal pojem "bázová adresa", za ty desítky let, co se motám kolem sítí, jsem jej nikdy neviděl ani neslyšel. A ejhle, ona je to obyčejná adresa (pod)sítě ;-).
Jinak je podle mne smůla, že při rozdělování adresního prostoru zabrali celou síť 127.0.0.0/8. Také prostor třídy D je zbytečně velký, o E ani nemluvím. Asi měli představy, které se nenaplnily.

Když vidím takovéhle vynálezy, vybaví se mi Bolek Polívka v Pelíšcích, jak se skeptickým výrazem říká: A bude to stačit, myslíš? :-)

Treba z grafu od Google o IPv6 adoption muzete celkem snadno vycist, jak to s tim podle vas neuchycenim je :-) Mate pravdu, Cesko se svymi ~26 procenty neni zrovna slavne, ale taky co cekat od montovny plne zpatecniku :-) Nemci vedle maji 72 procent...

A ty kolize z te sve domaci site vyresite jak? :-) Brecet byste zacal hodne rychle, az by sluzba, na kterou chcete vlezt pouzivala stejne adresy, jako vy u vas doma ci v korporatu a ono to... jejda... nefungovalo. Ostatne tyhle problemy se v minulosti resily i u verejnych adres, konkretne takove to "strcim si tam 1.1.1.x, to prece nikdo nepouziva". Ano, dlouho to pouzite nebylo...

Zatim to RFC neni, je to ve fazi draftu - ktery prijaty byt nemusi. Tech blaznivych napadu z kategorie osedlavani mrtveho kone je tam vicero. A samozrejme se najdou lidi, co na podobne hlouposti slysi. Bodejt by ne, udrzet technologicky skanzen co nejdele v chodu je pohodlnejsi, nez se naucit neco noveho.

No, to je tak maximalne admin tzv. garazovy :-) Pamatovak skrze cisla bude mit tak trosku problem se skalovatelnosti. Mimoto hodnotite formu zapisu - adresa sama o sobe je cislo porad... 32- a nebo 64-bitove. A vami hodnoceny zapis se lisi jen v tom, jestli pouzivate desitkovou ci sestnackovou ciselnou soustavu. Adresu klidne muzete zapsat i v soustave dvojkove a pak tam budete mit jen spoustu jednicek a nul... ;-)

Jojo, ono je vlastně lepší čekat na příděl recyklovaných ipv4 adres, které mohou být na blacklistech, popřípadě si je někde koupit/pronajmout (i s možným záznamem na blacklistu). Ale že je tady X let funkční protokol, to spousta lidí radši nevidí. Ano, není to easy. Easy není ani matematika, ale přesto ji lidstvo používá na vysoké úrovni.

Podle mě se to už x-krát opakovala. je to všude i na kdejakém laickém foru.. běžný admin nemá problém si z hlavy zapamatovat 4x 3 čísla ale pamatovat si více IPV6 adres, to je zkrátka opruz.. a přitom by stačilo, kdyby v novém formátu IPv6 se používala pouze čísla a nikoliv písmena.. i tak by ten nový rozsah byl více než dostatečný i pro IoT zařízení

Vždyť je to PR článek :-)

Možná by stálo si nejdřív zjistit, jak IPv6 funguje než napsat takovou blbost. Proč by někdo proboha dělal lokální překlad IPv4 na IPv6? To vůbec nedává smysl a je to jenom zbytečná komplikace. Jediný důvod by to mělo, kdyby dostal na router jenom jednu IPv6 adresu, ale to snad nikdo proboha nedělá a bylo by to proti principu IPv6. Když pomineme lokální a další speciální adresy, tak jsou IPv6 adresy vždy veřejné. Tohle krásná ukázka jak jsou lidi z IPv4 totálně zblbnutí a nedokážou uvažovat, že to jde mnohem snadněji bez NATu.

A na co máme DNS?

tenhle odstavec mi přijde naprosto zbytečný v článku.. působí to především jako "honit si vlastní ego" (my jsme experti.. ostatní ne..)

I o netmasce /31 by bylo možné vyprávět mnoho zábavných historek, včetně „specialistů“ některých systémových integrátorů, dodávajících služby velkým korporacím a státní správě a majících na webu věty jako „zaměstnáváme 150 profesionálů“ a dlouhým seznamem certifikací, zahrnujících i CCIE Routing & Switching a CCIE Security, jak nám do Quantcomu vraceli předávací protokol obsahující netmasku /31 s tím, že ten předávací protokol je špatně, protože taková netmaska neexistuje. A na to, že to zpravidla netuší řadový „ajťák pro všechno“ ve většině menších firem, jsme samozřejmě také zvyklí. Nadměrná spotřeba IPv4 adres tak není vždy tlačena technickou potřebou, ale nezřídkakdy také ignorancí.

Proc by nekdo mel pouzivat IPv4? K cemu je to dobre? V ipv6 siti si zarizeni IPcka prideluji sama ... zazrak.

BFU si zadna IPcka nepamatuje, to je nehorazny blabol, ten kdyz se chce k necemu pripojit, tak mu to neco musi nejaka aplikace najit. O zapamatovatelnosti IPcek blaboli tak maximalne vsemozni takyadmini.

Proto tu jsou vsemozne protokoly na objevovani okolnich zarizeni, tiskaren, televizi ...

Zbožňuju když přijde hujer a začne vykládat, že všichni, koho nezajímá to, co jeho jsou zpátečníci. Víte, Danny, Češi jsou obecně dost pragmatici. A pokud v něčem nevidí zásadní přínos, prostě to neřeší. A uvědomte si, že většině uživatelů je nějaké IP jednoduše úplně jedno. I kdybyste se stavěl na hlavu a chodil po uších a navymýšlel si milion příkladů, které jsou ovšem skoro vždy aniž byste to chápali charakteristické jen pro sociální bublinu vám podobných. Koncových uživatelů, kterým přinese alespoň něco je velmi málo

Apropos, kdy zacnou byt verejne routovatelne rozsahy jako 10/, 192.168/ ... ??? Spousta adres k dizpozici ne?

Úplně nechápu myšlenku. K tomu aby vám do sítě nikdo nelezl slouží firewall. A to i v NATovaných sítích nebo v sítích s privátkami.

Naopak pro většinu lidí jsou veřejné adresy sakra pohodlné. Nevím jakou možnost máte spravovat nějaké větší sítě, ale rozdíl v pohodlnosti jde vidět už u domácího připojení s NATovanou 4kou a veřejným IPv6 prefixem.

tak všechno nechcete cpát do DNS, že jo.. ? nebo máte potřebu u nějakého SOHO domácího routeru, co má dynamickou IP od providera to hned "registrovat" do zony?

Už jsi slyšel o mDNS?

V jistém smyslu tento návrh dává smysl ještě z jednoho důvodu – IPv4 a IPv6 se začnou i v tomto aspektu chovat téměř shodně. U IPv6 je totiž první adresa v rozsahu využitelná i dnes.

Osvětové okénko: U IPv6 je první adresa rezervovaná pro subnet router anycast (viz RFC 4291). Tzn. nelze ji použít pro adresu standardního koncového zařízení, tak jak je zamýšleno ve zmíněném draftu. Už jsme řešili i v praxi, kdy chtěli síťaři nejmenované společnosti využít tuto adresu pro BGP peering a pak se divili, že to nefunguje :)

Mne fascinuje ze se takovyto clovek nazyva sitarem. Nebo vlastne ne. Jista ceska firma zacinajici na G rada nastavovala verejny scope ip adres jedne university pro lokalni site.

Tohle už naštěstí někoho napadlo a říká se tomu DNS a používá se překvapivě běžně.
A nebo si ho můžes klidně zakódovat sám:
https://www.pingdom.com/blog/ipv6-playtime-hiding-sentences-inside-addresses/

1ce:c01d:bee2:15:a5:900­d:a5:11fe
ice cold beer is as good as life

Souhlas. NAT není firewall.
Ale ruku na srdce, při vyslovení téhle mantry.
Mezi počítačem s veřejkou a bez ní je docela zásadní bezpečnostní rozdíl.

Pokud je brána aspoň trochu nastavená, tak ten firewall na cestě tam je, kromě toho NATu.

Tím nechci omlouvat, že se IPV4 tak drží, sám jsem měl přidělený IPV6 rozsah na experimentování ještě před r. 2000. A samozřejmě zůstává spousta dalších vektorů útoku, nezávislých na IP adrese.

proč by si měl pamatovat ipv6, veřejnou ipv6 bude mít zadanou na routeru a v lan klidně si může ipv4 používat, nepředpokládám, že by někdo chtěl doma přiřazovat veřejnou ipv6 všem zařízením

HW implementace s IPv6 jsou tady uz sakra dlouho. A nastesti uz davno pryc je take doba, kdy kvuli IPv6 clovek musel porizovat extra licence. Aneb to by clovek musel vystrachat skutecne muzejni kousky, aby se dnes mohl vymlouvat na to, ze je zabetonovan implementaci :-)

A představte si, že bez stěn to doma taky jde lépe a přesto mají lidé nepochopitelnou potřebu stavět domy a v nich pokoje. A dveře a okna. Přitom je to taková komplikace a bezpečnost vám dveře s nějakou jednoduchou fabkou taky fakt nezajistí...

Jenomže reálně ji to zajistí natolik, aby vám každý kolemjdoucí nevlezl do domu což na spoustě míst celkem v pohodě stačí.A vytváří to omezený a pochopitelný scope. Většinu lidí to nezajímá a i z té menšiny fakt není pro velkou část pohodlné aby bylo vše veřejné. S tím je totiž ve výsledku víc práce, než když to veřejné není. Stejně to první, co udělám je, že zablokuju kompletně příchozí spojení na routeru. A stejně si to z toho routeru budu raději směrovat na konkrétní port selektivně. Protože si prostě nechci pustit jakýkoliv neschválený obecný provoz do sítě.

IPv6 mi v tom oproti IPv4 nijak zvlášť nepomůže. Má pochopitelně jiné výhody, ale převážné většině běžných koncových uživatelů je v tomhle ohledu v podstatě k ničemu.

jo, můžete mít naprostou pravdu s tím, že je to technicky "jednodušší" admin.. to nic nemění na mém zdůvodnění, proč se v širokém měřítku "v populaci" IPv6 adresy neuchytily

jinak.. člověk, co si dokáže ty sady v binární soustavě zapamatovat a Z PATRA napsat, musí být neskutečný génius nebo má fotografickou paměť.. stačí jen jednu jedničku zaměnit za nulu a jste v háji.

"Moje zkušenost s různými Cisco Certified odborníky"

... nekolik zakazniku si kupovalo HW, s tim, ze jim to dodavatel (samozrejme za nejakou tu prirazku v radu nejake stovky kKc) nakonfiguruje. Ve 100% pripadu to skoncilo tak, ze jsem to konfiguroval ja, zadnou certifikaci nemaje, protoze ten certifikovany velmistr neumel nastavit ani vlan, natoz cokoli jineho. Dokonce sem zazil stav, kdy mu 3 dny trvalo dosahnout prideleni IPcka switchi tak, aby se na to IP take dalo pripojit ...

V jednom pripade se po takovem specialistovi ... chtelo nakonfigurovat vPC ... a on vubec netusil co to je.

Az budou IPvX adesy davat nejaka rozumna zapamatovatelna slova, rozsiri se.
Do te doby je to hracka nerdu :-)

Ano, ten "pragmatismus" se projevuje predevsim tak, ze nekteri jedinci asi vidi sanci v tom paberkovani kolem dnes nepouzitych zbytku v4 poolu. Pekny projev paniky ;-)

Byt vama, podivam se do kolebky internetu, tedy do USA. Tam uz se realne o IPv6-only systemech mluvi. Abyste se jednou nedivil, ze se nekam najednou nedostanete... vy pragmatiku :D

Jestli si myslite, ze NAT vas ochrani pred prunikem zvenci... tak radsi do IT a kyberbezpecnosti nefusujte :-) NAT rozhodne neni substitut za firewall.

Kolik IPv4 adres si vy pamatujete? :-) A v praxi vam to bude k nicemu, v dobe SNI, kdy na jedne IP mate desitky virtualnich webu se pripojovat na IP adresu je tak trosku nonsense, nebude vam to fungovat :D

Co si tak matně vzpomínám, snad z rozhovoru s Vintem Cerfem, tak s IPv4 nepočítali jako s finální adresací. Ale rozšířilo se to rychleji než čekali a především HW implementace to "zabetnovaly".

Když se ví jak na to, dá se kupříkladu sladit třetí bajt IPv4 s IPv6 a ty adresy se potom pamatují samy, že?

A ze takovych je ... jeden z pomerne cerstvych zazitku ... dotycny resil, proc se jeho umermegaplikace nemuze spojit s megaserverem, a tech problemu ... vy tam mate ipv6 ... ipsec, ... 802.1x ... Zkratka same hypertechnologie a vykriky poslednich par dnu. Vse samozrejme duvody proc to nefunguje.

Nakonec se tradicne ukazalo, ze vyvojar/imple­mentator je jenom ..ul a na serveru, ke kteremu mel administratorsky pristup (opakovane se dozadoval vyssich prav), si nezvladl povolit port. A ne, neprisel na to. Po tydnu place a stiznosti jsem mu to behem 10 minut analyzoval ja.