1. Дикие затраты у ISP на обновление оборудования 2. Дикие затраты на апгрейд SOHO оборудования 3. Зубодробительная длина ipv6 адресов (128 бит против 32) 4. Нет никакого четкого плана по переходу на ipv6
По поводу п.3 - может быть, 128 бит - объективная необходимость? Сейчас и 64 бита не нужно. Как используются эти 128? Сразу 64 почти теряются - при рекомендованной схеме раздачи на каждую организацию даётся своя /48 или /64, а далее цифры используются произвольно. Вы видели организацию хотя бы на 2^32 хостов? Как же используются эти биты? Предлагается использовать назначение согласно MAC-адресу интерфейса Это диверсия в квадрате. MAC-адрес уникален, но он не предназначается для адресации в IP: суть IP в том, что есть незавивисимость от сущностей нижних уровней, включая адреса канального уровня. Ну и - MAC-адрес для целей адресования внутри организации, слишком уникален. В результате - теряем 48 бит только потому, что кому-то влом послать лишний ARP-запрос.
Давай теперь посмотрим на глобальную маршрутизацию. /24 на цисках, приводят к таблице, которая в моделях типа 75хх перестает помещаться в 256М. Что будет при /48, как сейчас рекомендуют по IPV6 для клиента и 16-байтных адресах?
Защита. Ок, откажемся от NAT. А теперь представь себе толпу клиентов за шлюзом, каждый ходит куда-то, ведет какой-то сетевой обмен... Сможешь организовать stateful firewall?
Фрагментацию на роутерах уберем? Забибись. Роутерам легче, а клиентам? Туннелей до чертиков, MTU неизвестно заранее, PMTUD остается сгнившим костылем. В ipv4 мы могем положить на MTU болт, посредством sysctl net.inet.tcp.path_mtu_discovery=0, и исходящее пройдет всегда. С ipv6 так не прокатит.
В общем, единственное положительное (и то не 100%) - контрольная сумма заголовка перестала содержать TTL (он же hop count), роутерам чуть легче. Всё остальное - расчёт на совершенно другой Internet, чем нынешний - Internet беспрепятственно растущий и дружеский (никаких хакеров).
2) A-запись DNS не убираем, у провайдера от IPv4-адреса не отказываемся.
3) При попытке зайти на ЛОР по IPv4, http-сервер должен отдавать не ЛОР, а инструкцию по настройке IPv6. Для тех, у кого резолвинг настроен так, что приоритетным является IPv4, на этой странице вешаем ссылку на ipv6.linux.org.ru, у которой будет только АААА-запись.
Только потом любители покричать «ненужно» кукарекают про то, что «куда идти с этого скайпа, sip через nat плохо работает». И ещё много других проблем, только винят почему-то провайдера, не дающего бесплатно блок IPv4-адресов.
ipv6 rfc 2460 - 1998 год, протокол прошлого тысячелетия, старье
1. Дикие затраты у ISP на обновление оборудования
Конченый пользователь причем? И да, реверанс к возрасту протокола, давно уже оборудование умеет ipv6.
2. Дикие затраты на апгрейд SOHO оборудования
Не хочет пользователь ipv6 пусть сидит за своим древнем роутере, хочет, велкам в магазин.
3. Зубодробительная длина ipv6 адресов (128 бит против 32)
Не надо запоминать адреса. Используй DNS, Люк.
4. Нет никакого четкого плана по переходу на ipv6
Шта? Зачем тебе план. Dualstack и вперед на танки. Два протокола между собой пересекаются минимально.
По поводу п.3 почитай хотя бы википедию, чтобы не бредить так отчаяно(особенно тут «В результате - теряем 48 бит только потому, что кому-то
влом послать лишний ARP-запрос.» — наркоман, причем тут arp запрос и да в ipv6 не используется arp).
/24 на цисках, приводят к таблице, которая в моделях типа 75хх перестает помещаться в 256М. Что будет при /48, как сейчас рекомендуют по IPV6 для клиента и 16-байтных адресах?
Cisco объявляет о завершении продаж и окончании жизненного цикла маршрутизаторов Cisco серии 7500 начиная с 15 декабря 2007 года.
Аууу, как там в криокамере. Памяти давно минимум гиг нужен. Для начала.
Защита. Ок, откажемся от NAT. А теперь представь себе толпу клиентов за шлюзом, каждый ходит куда-то, ведет какой-то сетевой обмен... Сможешь организовать stateful firewall?
Такой фаер в роутерах делается по умолчанию. Разрешить исходщие и входящие с установленным соединением. Фигак аналог НАТ-а и получается. Сюрприз.
у меня в ip (IPv6) на компах — не установлена переменная sys.net.ipv6.conf.default.use_tempaddr .. и таким образом внутри ip(IPv6)-адреса встречается это-самое «ff:fe» :-)
IPv6: XXXX:XXXX:XXXX:XXXX:ZZZZ:ZZff:feZZ:ZZZZ
вобщем модератором было бы меня более просто распознять — если вдруг я захотел бы написать сообщение от анонимуса :-) — по этим самым заветным цифоркам «ZZZZ:ZZff:feZZ:ZZZZ» :-)
Защита. Ок, откажемся от NAT. А теперь представь себе толпу клиентов за шлюзом, каждый ходит куда-то, ведет какой-то сетевой обмен... Сможешь организовать stateful firewall?
а ты в курсе что почти на всех современных домашних (дешёвеньких) роутерах — есть «stateful firewall» — даже для IPv4?
тот самый который работает независимо от NAT. то есть — злоумышленнику нужно пройти не только через NAT но и через «stateful firewall».
в IPv6 — на домашних роутерах — исключается NAT, но «stateful firewall» остаётся (включён по умолчанию).
хотя продвинутые пользователи — первым делом в настройках роутеров сразу отключают этот «stateful firewall» :-) .. а почему(?), ды потому что ни кому он не нужен, кроме совсем уж компьютерных новичков.. :-)
Объясни, какие мне профиты от ип6? Ради чего мне чесаться?
Отсутствия NAT недостаточно? Ну ненормально это, когда трафик приходится гонять через посредника только из-за того, что на твой компьютер циферок не хватило. Да, хомячки могут не знать, что виноват NAT, а как узнают — начинают ругать провайдера, типа какой он жадный, не даёт бесплатно выделенный адрес.
боюсь что в этом случае маршрут который будет вести
от IPv6-client до web-сайта — проходя через ``2002:c058:6301::`` — окажется не самым оптимальным :)
в этом случае сайт начнёт притормажимать у граждан провинциальных городов России, в которых уже людям раздаётся Native-IPv6 (например у меня)..
это заставит меня перенастраивать мой роутер — таким образом чтобы теперь он работал бы так:
трафик который ``2002::/16`` — пусть идёт через 6to4 [и всем ноутбукам локальной сети — не забыть раздать префиксы 2002:XXXX:XXXX:XXXX:XXXX::/64]
остальной IPv6-трафик — пусть идёт как обычно :)
вобщем изврат я предвещаю и геморой :-) .. radvd должен будет раздавать 2 префикса (оба динамитческие)
Реально рабочего нет. Есть localhost с 6to4 и крутящемся на нём апачом, если это поможет, могли бы проверить. Также для теста мог бы на vps поднять 6to4
а после «2002:c058:6301::1» — не думаю что будет ещё очень много милисекунд. :-)
Также для теста мог бы на vps поднять 6to4
спецаильно ради меня — наверно не стоило бы такое городить.. а вот если бы было бы (не зависимо от меня.. например на всякий случай) — то проверил бы как оно работает :-)
Для меня нат это плюс. Целенаправленно не стал брать белый ип для дома.
вот уж ты позабавил так позабавил :-)
ты лучше так напиши:
«а для меня приемущество(!), когда браузер делает 50 HTTP-запросов, а из них только 49 проходят успешно (и 1 из HTTP-запросов оказался в зависнувшим-состоянии на стороне клиента)»
[произошло это — потому что 49 HTTP-запросов открыло новую TCP-сессию, а какой-то 1 HTTP-запрос решил возпользоваться уже открытой TCP-keepalive-сессией]
или так напиши:
«а для меня приемущество(!), когда я открываю SSH-сессию, а эта сессия неожиданно зависает-и-рвётся в течении пары часов..»
блин, ну ведь бывают же извращенцы-и-мазохисты (у которых интернет глючит, а им это наоборот только нравится :)).. почему бы и нет :-D всякое-разное в жизни бывает :-)
По поводу безопасности уже выше сказали. Это 2 строчки iptables, в SOHO-роутерах, как подсказывают, по дефолту включено.
Кстати, если ты в плане безопасности надеешься только на провайдерский NAT, то у меня для тебя плохие новости. Клиентам твоего же провайдера ты, скорее всего, доступен как если бы был с белым IP.