Re: [PECET] ip4 v ip6

marrgol <marrgol@address.invalid> · Mon, 13 May 2019 20:58:56 +0200

On 2019-05-13 at 09:20, Mateusz Viste wrote:
>> Może to faktycznie kwestia przyzwyczajeń, ale segmentacja sieci na
>> lokalnych adresach wydaje się mi dużo bardziej przejrzysta. Jak coś jest
>> bardziej przejrzyste, to trudniej o błędy.
> 
> W kwestii routingu nic się nie zmienia. Odchodzi tylko bolesny NAT.
> 
> Zamiast mieć takie 3 sieci:
> 192.168.1.0/24
> 192.168.2.0/24
> 192.168.3.0/24
> 
> Będziesz mieć np. takie trzy*:
> 
> 2a01:aaaa:bbbb:1:/64
> 2a01:aaaa:bbbb:2:/64
> 2a01:aaaa:bbbb:3:/64
> 
> *przy czym powyższe zależy od tego co oferuje ISP, patrz dwa punkty 
> niżej. Jeśli to normalny ISP dla normalnych ludzi (a nie tranzytowiec lub 
> łączność "dla firm"), to sprawa może być nieco mniej oczywista.
> 
>> W IPv6 jak rozumiem dostanę pewną pulę adresów od IPSa (też mnie to
>> przeraża, że będę zalezny w takiej kwestii od IPS).
> 
> No ale przecież już jesteś zależny, jeśli chodzi o adres publiczny. Przy 
> IPv6 twoja sieć staje się faktyczną częścią internetu - dlatego też nie 
> może mieć tu miejsca żadna dowolność.
> 
>> Pewnie da się to też posegmentować, na poziomie FW i bez NATu.
> 
> Tak, możesz mieć w domu różne podsieci do różnych potrzeb, ale pod 
> warunkiem, że ISP przydzieli ci prefiks większy od /64 i zgodzi się 
> wykonywać routing prefiksów na twoją domową bramę. Sądzę jednak, że 
> większość ISP raczej będzie przydzielać klientom domowym bloki /64, a to 
> oznacza tylko jedną sieć logiczną (mającą za to ponad 4 miliardy razy 
> więcej adresów niż cały obecny internet). Niemniej jeśli się uprzesz to i 
> w takiej sytuacji możesz dokonać segmentacji w domu - twój domowy router/
> firewall musi wtedy działać po części w trybie bridge, tj. zezwolić aby 
> kilka jego interfejsów należało do tej samej sieci IP. Filtry z reguły 
> ustawia się wtedy w zależności od interfejsów, a nie adresacji (np. "to 
> co wchodzi interfejsem CCTV_0 nie ma prawa wyjść w internet").

W IPv6 jest zdefiniowana pula adresów lokalnych (tzw. ULA) będąca
odpowiednikiem prywatnych sieci w IPv4, więc nic nie stoi na
przeszkodzie by nadal samemu kontrolować/segmentować swoją sieć
lokalną, bez uzależnienia od przydziału adresu, czy nawet całej
puli, od IPS-a, i z miejscem na pewną dowolność. :-)

Szczegóły: https://tools.ietf.org/html/rfc4193.

-- 
mrg

To:	pecet@man.lodz.pl
Subject:	Re: [PECET] ip4 v ip6
From:	marrgol <marrgol@address.invalid>
Date:	Mon, 13 May 2019 20:58:56 +0200

<Pop. w Wątku]	Aktualny Wątek	[Nast. w Wątku>
Re: [PECET] ip4 v ip6, (continued) Re: [PECET] ip4 v ip6, heby Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, heby Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, heby Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, heby Re: [PECET] ip4 v ip6, Marcin Debowski Re: [PECET] ip4 v ip6, Marcin Debowski Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, marrgol <= Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, Marcin Debowski Re: [PECET] ip4 v ip6, Marcin Debowski Re: [PECET] ip4 v ip6, Animka Re: [PECET] ip4 v ip6, Marcin Debowski Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, 2late Re: [PECET] ip4 v ip6, Mateusz Viste Re: [PECET] ip4 v ip6, Robert Wańkowski Re: [PECET] ip4 v ip6, Mateusz Viste

Poprzedni wg. Daty:	Re: [PECET] Padł Radeon 9 270X (Asus) - co w zamian?, Olaf Frikiov Skiorvensen
Następny wg. Daty:	Re: [PECET] ip4 v ip6, Mateusz Viste
Poprzedni w Wątku:	Re: [PECET] ip4 v ip6, Mateusz Viste
Następny w Wątku:	Re: [PECET] ip4 v ip6, Mateusz Viste
Indeksy:	[Data] [Wątek] [Lista archiwów] [Inne Listy]