On Sun, 12 May 2019 23:41:02 +0000, Marcin Debowski wrote:
> Generalnie zadaję te pytania bo o IPv6 nie wiem nic a powoli dobrze by
> było stan ten zmienić.
Hurricane Electric ma całkiem fajny (darmowy) program certyfikacyjny. A
przynajmniej był całkiem fajny, kiedy zdawałem go kilkanaście lat temu.
Nawet koszulkę od nich wtedy dostałem za zdanie, z dumnym napisem "IPv6
Certified Sage".
https://ipv6.he.net/certification/
> Może to faktycznie kwestia przyzwyczajeń, ale segmentacja sieci na
> lokalnych adresach wydaje się mi dużo bardziej przejrzysta. Jak coś jest
> bardziej przejrzyste, to trudniej o błędy.
W kwestii routingu nic się nie zmienia. Odchodzi tylko bolesny NAT.
Zamiast mieć takie 3 sieci:
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
Będziesz mieć np. takie trzy*:
2a01:aaaa:bbbb:1:/64
2a01:aaaa:bbbb:2:/64
2a01:aaaa:bbbb:3:/64
*przy czym powyższe zależy od tego co oferuje ISP, patrz dwa punkty
niżej. Jeśli to normalny ISP dla normalnych ludzi (a nie tranzytowiec lub
łączność "dla firm"), to sprawa może być nieco mniej oczywista.
> W IPv6 jak rozumiem dostanę pewną pulę adresów od IPSa (też mnie to
> przeraża, że będę zalezny w takiej kwestii od IPS).
No ale przecież już jesteś zależny, jeśli chodzi o adres publiczny. Przy
IPv6 twoja sieć staje się faktyczną częścią internetu - dlatego też nie
może mieć tu miejsca żadna dowolność.
> Pewnie da się to też posegmentować, na poziomie FW i bez NATu.
Tak, możesz mieć w domu różne podsieci do różnych potrzeb, ale pod
warunkiem, że ISP przydzieli ci prefiks większy od /64 i zgodzi się
wykonywać routing prefiksów na twoją domową bramę. Sądzę jednak, że
większość ISP raczej będzie przydzielać klientom domowym bloki /64, a to
oznacza tylko jedną sieć logiczną (mającą za to ponad 4 miliardy razy
więcej adresów niż cały obecny internet). Niemniej jeśli się uprzesz to i
w takiej sytuacji możesz dokonać segmentacji w domu - twój domowy router/
firewall musi wtedy działać po części w trybie bridge, tj. zezwolić aby
kilka jego interfejsów należało do tej samej sieci IP. Filtry z reguły
ustawia się wtedy w zależności od interfejsów, a nie adresacji (np. "to
co wchodzi interfejsem CCTV_0 nie ma prawa wyjść w internet").
> No to jasne, ale czytam np., że routery (zgaduję, że te ISP i inne nieco
> "większe" mogą dynamicznie "przenumerować" całé pule adresów IPv6. To
> jak ja mam w tej sytuacji zrobić np. static DHCP?
Możliwość masowej renumeracji prefiksów istnieje, ale czy w praktyce
ktokolwiek będzie jej używał w środowisku ISP? Mam wątpliwości, bo nie za
bardzo jest potrzeba takiego cyrkowania - adresów starczy dla wszystkich.
No ale tak czy siak - wszystko sprowadza się do kwestii umownej z ISP.
Jeśli przydzielił statyczny prefix IPv6, to wiesz że się nie zmieni.
> Przenumerowanie dotyczy tylko adresów segmentów sieci (network prefix),
> a adres link-local jest zawsze zachowany?
Adres link-local jest pochodną adresu MAC, ale tylko w swoich ostatnich 8
bajtach. Router narzuca swój prefiks link-local. Ale dla ciebie to żaden
problem, skoro i tak masz swój własny router/firewall przed CPE ISP.
Mateusz
|