Comments 57
Попутно возник вопрос к специалистам – а как поживает дефицит адресов IPv4, про который в прошлом году широко объявили масс-медиа?
RIPE NCC адреса больше не выдает. Получить свою подсеть обычной организации можно только у уже существующего ЛИРа.
С внедрением IPv6 дело никак не обстоит, в лучшем случае лет через 10-15 появятся какие то заметные изменения.
С IPv4 ситуация такая: кто успел тот правдами и неправдами выклянчил пару десятков тысяч адресов сверх положенного, у кого не хватает, пытаются купить менее удачливых провайдеров имеющих адреса.
А у тех кому совсем не хватает IPv4 и нет желания/возможности/смыла переходить на IPv6 есть варианты использовать NAT или использовать динамические адреса с малым временем аренды.
С IPv4 ситуация такая: кто успел тот правдами и неправдами выклянчил пару десятков тысяч адресов сверх положенного, у кого не хватает, пытаются купить менее удачливых провайдеров имеющих адреса.
А у тех кому совсем не хватает IPv4 и нет желания/возможности/смыла переходить на IPv6 есть варианты использовать NAT или использовать динамические адреса с малым временем аренды.
Про 10-15, имхо, слишком пессимистично.
Сейчас в направлении ipv6 работают и провайдеры и хостеры и производители оборудования.
Мой прогноз — лет через пять.
Сейчас в направлении ipv6 работают и провайдеры и хостеры и производители оборудования.
Мой прогноз — лет через пять.
Раньше. В IPv6 уже работают youtube, vkontakte и начинает переезжать yandex, хостеры испытывают проблемы с выдачей IPv4, так что всё активно движется.
Ещё торренты по ипв6 ходят. Я где-то слышал, что уже чуть ли не больше половины трафика в этих ваших интернетах ходит на ипв6.
Толку то?
Пока есть куча старого железа, которое про ipv6 ничего не знает, пока есть стада ленивых админов, не желающих настроить ipv6 в своих сетях, пока используются и более того — пишутся километры софта, работающего только с ipv4, а тот, что умеет теоретически работать с ipv6 — всё равно настраивается на ipv4 only, потому как это ж iptables на ipv6 поднимать и вообще — всё это бесполезно.
Любой сервер и каждый юзер будут вынуждены иметь ipv4 адрес.
Ситуация может измениться только в одном случае — если Китай вдруг просто запретит выпуск ipv4 оборудования (в первую очередь, сетевого оборудования). Тогда хоть что-то зашевелится. Но вероятность этого близка к нулю. А мир тем временем всё глубже и глубже будет уходить за наты и прокси.
Толку то?
Пока есть куча старого железа, которое про ipv6 ничего не знает, пока есть стада ленивых админов, не желающих настроить ipv6 в своих сетях, пока используются и более того — пишутся километры софта, работающего только с ipv4, а тот, что умеет теоретически работать с ipv6 — всё равно настраивается на ipv4 only, потому как это ж iptables на ipv6 поднимать и вообще — всё это бесполезно.
Любой сервер и каждый юзер будут вынуждены иметь ipv4 адрес.
Ситуация может измениться только в одном случае — если Китай вдруг просто запретит выпуск ipv4 оборудования (в первую очередь, сетевого оборудования). Тогда хоть что-то зашевелится. Но вероятность этого близка к нулю. А мир тем временем всё глубже и глубже будет уходить за наты и прокси.
Пока массово выходят ipv4-only девайсы — говорить о массовом внедрении рано.
IPv6-трафик на точках обмена также не внушает особого оптимизма.
А в IPv6-only интернете очень грустно и одиноко. Кроме ряда известных ресурсов нет практически ничего.
IPv6-трафик на точках обмена также не внушает особого оптимизма.
А в IPv6-only интернете очень грустно и одиноко. Кроме ряда известных ресурсов нет практически ничего.
Можно пример таких ipv4-only девайсов? Я со своей колокольни вижу наоборот, достаточное количество v6 девайсов даже в домашнем сегменте. Что там говорить, купленный два года назад HPшный домашний лазерник и тот уже умеет IPv6 адресацию!
Продаваемые у нас в городе каждым вторым провайдером бюджетные тп-линки (роутеры) про ипв6 ни слухом ни духом.
Список не очень, да www.tp-linkru.com/article/?faqid=482
У нас D-Linkи всё идут, у них неплохо.
У нас D-Linkи всё идут, у них неплохо.
То есть как неплохо? DIR-300/615/620 с русскими (серыми) прошивками уже умеют ipv6? =)
Нетгировские бюджетники (612v3/1010) тоже без него.
Trendnet — в бюджетных актуальных модельках тоже не видал.
Из популярных у нас в стране все относительно неплохо в бюджетном сегменте разве что у Асуса. Ну и Линксиса.
Нетгировские бюджетники (612v3/1010) тоже без него.
Trendnet — в бюджетных актуальных модельках тоже не видал.
Из популярных у нас в стране все относительно неплохо в бюджетном сегменте разве что у Асуса. Ну и Линксиса.
vkontakte - оборался
Скорее всего по тем причина что я я написал коментом ниже
>>Даже через лет эдак 15 повального перехода не будет, тк вижу проблемы по безопасности:
>>- fai2ban сразу захлебнётся
>>- Почтовые СпамФильтры работают на ipv4 и они тоже потребуют сильной трансформации для перехода на ipv6.
Привет из будущего)
Дай бог, что от момента написания данного сообщения что-то существенно сдвинется лет так через 10-15))
Да движения есть, но они очень маленькие.
Хотел себе ipv6, а провайдер сказал увы не умею))
Работаю админом в облачном провайдере и не вижу шквала заказчиков переходящих на ipv6.
МТС(сотовый оператор) уже умеет ipv6, хз как другие, но многие еще не могут.
Даже через лет эдак 15 повального перехода не будет, тк вижу проблемы по безопасности:
- fai2ban сразу захлебнётся
- Почтовые СпамФильтры работают на ipv4 и они тоже потребуют сильной трансформации для перехода на ipv6.
Поголовного перехода на ipv6 ближайшее время нет и не будет, разве что мобильные девайсы, умные дома - но это капля в море.
Прошло 9 лет :)
Наверное в Африке и Латинской Америке еще выдают.
Интересно, если там получить PI, то по-идее их же потом можно использовать в любой стране?
Интересно, если там получить PI, то по-идее их же потом можно использовать в любой стране?
С сентября 2012 — «No new IPv4 Provider Independent (PI) space will be assigned». В том числе в Африках и Америках.
А ссылкой не поделитесь?
Гуглинг по этой фразе ведет на сайт RIPE, а не IANA.
Вот тут например тоже пишут, что это в Европе закончились www.rollernet.us/wordpress/2012/09/europe-officially-runs-out-of-ipv4-addresses/
Гуглинг по этой фразе ведет на сайт RIPE, а не IANA.
Вот тут например тоже пишут, что это в Европе закончились www.rollernet.us/wordpress/2012/09/europe-officially-runs-out-of-ipv4-addresses/
Ну, например, у LACNIC это не так явно прописано, но по факту — очень похоже. Последний блок /12 резервируется и начинается выделяться только «for new LACNIC members», явно прописано, что «No IPv4 allocations or assignments will be made to organizations that have already been assigned or allocated IPv4 resources by LACNIC».
«Members» в свою очередь — это как минимум полноценный статус LIRа, со всеми annual membership'ами, проверками, что ты ведешь бизнес в нужном регионе и т.д. — т.е. явно не тот механизм, по которому выдаются PI-адреса.
«Members» в свою очередь — это как минимум полноценный статус LIRа, со всеми annual membership'ами, проверками, что ты ведешь бизнес в нужном регионе и т.д. — т.е. явно не тот механизм, по которому выдаются PI-адреса.
Последний блок /12 резервируется и начинается выделяться только «for new LACNIC members»
Что-то не вижу где там написано, что это последний блок.
Там пишут, что собираются сделать один резерв /12 для новых членов (Special IPv4 Allocations/Assignments Reserved for New Members).
И в следующем разделе пишут, что сделают еще один резерв /12 для остальных целей (Allocations/Assignments for Gradual IPv4 Resource Exhaustion).
В Википедии пишут что пока только в Европе и в Азии закончились адреса:
Regional exhaustion
Regional Internet registries
APNIC was the first RIR to restrict allocations to 1024 addresses for each member due to its stock reaching critical levels of 1 /8 at 14 April 2011.[5][27][28][29][30][31] The APNIC RIR is responsible for address allocation in the area where the Internet is growing the quickest with emerging markets like China and India.
RIPE NCC, the regional Internet registry for Europe, was the second RIR after APNIC to run out of allocatable IPv4 addresses, on 14 September 2012.[4]
Other RIRs are expected to exhaust within half a year to several years.[32]
Состояние у всех примерно одно и то же, просто разные RIRы по-разному подходят к процессу исчерпания адресов и разными техниками стараются его искусственно затягивать. Кто-то отдает последнее сразу и дальше устраивает естественный отбор путем рынка перекупа PA (как RIPE), кто-то пытается резервировать блоки и отдавать их постепенно. В последнем случае формального состояния «exhausted» не наступает и в теории они могут оттягивать его наступление до бесконечности — просто сказать, что последнее они не выдают, но в теории оно есть.
Общий итог примерно один и тот же — PI сейчас, насколько мне известно, приобрести через прежние механизмы невозможно ни у одного RIRа. Некоторые адресное пространство не выдают вообще, некоторые выдают, но только в пользование LIRам (как правило — с указанием мощностей, региональности и т.п.), что явно не PI.
Если смотреть на конечный результат и пересчитать все на деньги — во всех случаях цена блока IPv4 существенно возросла (что на первичном рынке, что на вторичном, что на сером/черном). Дешевых способов получать адреса без каких-то обязательств, как раньше получали PI, больше не осталось. Это не значит, что не осталось более дорогих / сложных способов.
Общий итог примерно один и тот же — PI сейчас, насколько мне известно, приобрести через прежние механизмы невозможно ни у одного RIRа. Некоторые адресное пространство не выдают вообще, некоторые выдают, но только в пользование LIRам (как правило — с указанием мощностей, региональности и т.п.), что явно не PI.
Если смотреть на конечный результат и пересчитать все на деньги — во всех случаях цена блока IPv4 существенно возросла (что на первичном рынке, что на вторичном, что на сером/черном). Дешевых способов получать адреса без каких-то обязательств, как раньше получали PI, больше не осталось. Это не значит, что не осталось более дорогих / сложных способов.
Насколько знаю, с рук купить PI нельзя, поэтому остается только вариант сделать там, где еще пока выдают.
Так речь ровно о том, что уже нигде нельзя купить PI.
Можно либо самому зарегистрироваться LIRом, либо «с рук» можно реаллоцировать часть PA, что на самом деле совсем не то же самое, потому что если внезапно тот LIR, на который выдана PA, прекращает существовать (деньги кончились, директора посадили, лицензию отозвали, не проплатили членство у RIR, etc) — все накрывается медным тазом со слабо прогнозируемыми последствиями. Скорее всего, конечно, кто-то эти адреса переполучит на себя, но это в лучшем случае часы (а скорее всего дни и недели), поэтому ни про какой high availability тут уже речь не идет. За это время уже можно и DNSы обновить.
Можно либо самому зарегистрироваться LIRом, либо «с рук» можно реаллоцировать часть PA, что на самом деле совсем не то же самое, потому что если внезапно тот LIR, на который выдана PA, прекращает существовать (деньги кончились, директора посадили, лицензию отозвали, не проплатили членство у RIR, etc) — все накрывается медным тазом со слабо прогнозируемыми последствиями. Скорее всего, конечно, кто-то эти адреса переполучит на себя, но это в лучшем случае часы (а скорее всего дни и недели), поэтому ни про какой high availability тут уже речь не идет. За это время уже можно и DNSы обновить.
Так речь ровно о том, что уже нигде нельзя купить PI.
Так ссылок на это вы так и не дали. Наоборот везде пишут что еще есть, кончается, но есть.
Пока совсем не кончится будут давать.
Можно либо самому зарегистрироваться LIRом, либо «с рук» можно реаллоцировать часть PA
Мы же выше уже выяснили, что в LACNIC например есть резерв и не только для новых членов, это значит как раз в том числе для получения PI через LIR.
Вообще-то выдает но не более /22 и только под цели перехода на IPv6 www.ripe.net/internet-coordination/news/announcements/ripe-ncc-begins-to-allocate-ipv4-address-space-from-the-last-8
А почему мультикаст записывается в потери? Вполне себе часть IP-протокола, более того, вполне себе используемая.
Дык и 10-, 127-, 192-, 172- и 198-ые вполне себе используются, но не маршрутизируются дальше AS, а некоторые дальше хоста. Очевидно поэтому они автором и записаны в потери.
Что совершенно странно, потому что если мы выведем в интернет все 192.168.0.1 и 192.168.1.1, то никаких интернетов на них не хватит.
Серые адреса очень значительно оттянули момент «last /8». Наверное, это, скорее, зло, но что серые адреса — самые используемые в мире, это точно.
Серые адреса очень значительно оттянули момент «last /8». Наверное, это, скорее, зло, но что серые адреса — самые используемые в мире, это точно.
"Пропадает" — это достаточно условный термин, поэтому он и в оригинальной статье, и у меня в тексте выделен курсивом. Под ним я понимаю все адреса, которые не могут быть установлен как адес общедоступного веб-сервера, например.
Повторюсь, я не специалист в сетях. Хотелось просто посчитать, какой процент потерь адресного пространства осознанно (или вынуждено, как оказалось в случае с 240.0.0.0/4) закладывается «законодателями» Интернет(-а?, не силён в грамматике). И узнать, почему так сделано.
Исключительно праздное любопытство, которое как надеюсь, не порок, а источник знаний.
Повторюсь, я не специалист в сетях. Хотелось просто посчитать, какой процент потерь адресного пространства осознанно (или вынуждено, как оказалось в случае с 240.0.0.0/4) закладывается «законодателями» Интернет(-а?, не силён в грамматике). И узнать, почему так сделано.
Исключительно праздное любопытство, которое как надеюсь, не порок, а источник знаний.
А вы пробовали в винде (к примеру) создать сетевой адаптер и приписать ему IP-адрес 224.0.0.1 (к примеру)? У меня винда говорит, что не может этого сделать.
Это multicast адрес. Его не сетевухе надо назначать. Его по-другому используют. Причём широко используют, он называется «все хосты».
Напишите ping 224.0.0.1 ради интереса, увидите.
А, например, 224.0.0.5 — «все маршрутизаторы OSPF». Постоянно идёт трафик на этот адрес, если рядом есть маршрутизатор с настроенным OSPF.
А если у вас есть IPTV, то там тоже подобные адреса используются — для рассылки видеопотока.
Напишите ping 224.0.0.1 ради интереса, увидите.
А, например, 224.0.0.5 — «все маршрутизаторы OSPF». Постоянно идёт трафик на этот адрес, если рядом есть маршрутизатор с настроенным OSPF.
А если у вас есть IPTV, то там тоже подобные адреса используются — для рассылки видеопотока.
Постоянно идёт трафик на этот адрес, если рядом есть маршрутизатор с настроенным OSPF.
А также идиот-сетевик, не закрывший такую дырищу банальным «passive-interface» либо не анонсировавший пользовательские сети redistribute'ом вместо network. Ибо через такое кладется вся внутренняя сеть минимум минут на 20 (это если поблизости есть грамотный сетевик).
Ой фигня, и не такое у наших умельцев видел. Не работал у клиента интернет от одного провайдера, стал слушать трафик на интерфейсе — а там явно какой-то служебный трафик. Звоню, говорю — мол, вы точно в правильный vlan меня воткнули? Что-то как-то меня не сразу восприняли, был большой соблазн продемонстрировать наглядно.
А ospf можно и запаролить. Psk, хоть какая-то защита.
А ospf можно и запаролить. Psk, хоть какая-то защита.
PSK на OSPF — именно «хоть какая-то» защита, не более того. Я бы не назвал это чем-то надежным.
Что провайдер в неправильный VLAN (или VRF) воткнул — норма. У как-то меня прикольнее было. Одна точка на пару компьютеров, подключенная к провайдерскому IP VPN, с приватной адресацией внутри нашего VRF, без дефолтного маршрута в нем (т.е. ping 8.8.8.8 умрет на ближайшем PE). В течение часа антивирусы на обоих расположенных на точке компьютеров ругались на удары эксплоитами с массы адресов в интернете. Связь с ЦО при этом не нарушалась. Т.е. провайдер должен был допустить сразу два мощных косяка:
1) Перепутать RT на нашем и чужом vrf'ах.
2) Так как явно была двухсторонняя связь между нашими компьютерами и хостами где-то в Бразилии и других странах (ведь TCP соединения снаружи устанавливались, а угадывать ISN в таких масштабах решительно невозможно) — были NAT трансляции с каких-то глобально маршрутизируемых адресов конкретно на наши приватные.
Разумеется, по словам провайдера, «ничего не было». К сожалению, проблему заметили после того, как она саморассосалась, т.е. информацию собирали только постфактум, и нельзя было предъявить успешную трассировку до хоста, который не должен быть доступен от тех узлов.
А вы говорите — «не тот VLAN»… Да я как-то раз мог одной командой вынести к чертовой матери сеть другого провайдера в масштабах как минимум района — VTP на порту к нам не то что не был запрещен — он даже был не запаролен, и шел с дефолтным именем, отдавая пару сотен VLANов.
Что провайдер в неправильный VLAN (или VRF) воткнул — норма. У как-то меня прикольнее было. Одна точка на пару компьютеров, подключенная к провайдерскому IP VPN, с приватной адресацией внутри нашего VRF, без дефолтного маршрута в нем (т.е. ping 8.8.8.8 умрет на ближайшем PE). В течение часа антивирусы на обоих расположенных на точке компьютеров ругались на удары эксплоитами с массы адресов в интернете. Связь с ЦО при этом не нарушалась. Т.е. провайдер должен был допустить сразу два мощных косяка:
1) Перепутать RT на нашем и чужом vrf'ах.
2) Так как явно была двухсторонняя связь между нашими компьютерами и хостами где-то в Бразилии и других странах (ведь TCP соединения снаружи устанавливались, а угадывать ISN в таких масштабах решительно невозможно) — были NAT трансляции с каких-то глобально маршрутизируемых адресов конкретно на наши приватные.
Разумеется, по словам провайдера, «ничего не было». К сожалению, проблему заметили после того, как она саморассосалась, т.е. информацию собирали только постфактум, и нельзя было предъявить успешную трассировку до хоста, который не должен быть доступен от тех узлов.
А вы говорите — «не тот VLAN»… Да я как-то раз мог одной командой вынести к чертовой матери сеть другого провайдера в масштабах как минимум района — VTP на порту к нам не то что не был запрещен — он даже был не запаролен, и шел с дефолтным именем, отдавая пару сотен VLANов.
UFO just landed and posted this here
У нас есть довольно много длинков, но такого ужоса не видел. Что за девайс?
UFO just landed and posted this here
Может, я чего не понимаю, но: а какого рожна L2 свитч должен испытывать проблемы при любого рода нагрузке (исключая IGMP, если софтверный, и тому подобное, но это не касается обычных юникастовых транзитных пакетов)? Если нет переподписки на бекплейне — он прокачает через себя столько, сколько осилят выходные интерфейсы. Если переподписка на бекплейне есть, то он может дропать часть пакетов на входе, но все равно никакого ахтунга не будет.
DGS-3610-26G он же. В девичестве — какой-то китаец
UFO just landed and posted this here
По «хватило бы всем» очень легко ошибиться, особенно на этапе планирования. Есть и те, кому не хватает сетей по RFC1918 и тысячи приватных номеров 2-байтных AS…
Создатели IP думали «ну мы зарезервируем пространство под IP Multicast в глобальных масштабах, а через N лет кто-нибудь придумает, как же все-таки это реализовать на практике. Не придумали. Когда стало ясно, что задача невыполнима, уже было поздно что-то менять.
Как говорится, „знать бы прикуп“…
Создатели IP думали «ну мы зарезервируем пространство под IP Multicast в глобальных масштабах, а через N лет кто-нибудь придумает, как же все-таки это реализовать на практике. Не придумали. Когда стало ясно, что задача невыполнима, уже было поздно что-то менять.
Как говорится, „знать бы прикуп“…
Кстати, вы заметьте, история-то повторяется. Когда-то была классовая маршрутизация, т.е. для сети и для хоста выделялось жёсткое число бит. Например, в классе А — 8 бит сеть, 24 бита хост.
Потом адресов стало не хватать, но было много сетей класса А. решили их нарезать на мелкие, пришлось внедрять бесклассовую маршрутизацию.
А теперь смотрим на IPv6: практически без вариантов, 64 бит адреса — хост. Опять жёсткое деление.
Потом адресов стало не хватать, но было много сетей класса А. решили их нарезать на мелкие, пришлось внедрять бесклассовую маршрутизацию.
А теперь смотрим на IPv6: практически без вариантов, 64 бит адреса — хост. Опять жёсткое деление.
И долго ли еще будет пребывать в статусе RESERVED for Future use (с сентября 1981 г уже) диапазон 240.0.0.0/4?
Навсегда. Чтобы его задействовать, надо изменить софт на немыслимом числе сетевых устройств и ОС. Проще не включать его в строй.
Разве? Мож я плохо смотрел, но я не видел в бытовых роутерах по дефолту включенные ограничения на эти сети. Провайдерские роутеры за годик-два вполне можно открутить по всему миру.
я не видел в бытовых роутерах по дефолту включенные ограничения на эти сети
Предлагаю настроить какой-нибудь из этих адресов сначала на роутере, потом в своей ОС.
Провайдерские роутеры за годик-два вполне можно открутить по всему миру.
ХА-ХА-ХА-ХА-ХА
Нет, это действительно остроумная шутка, учитывая и то, насколько «часто» магистральное оборудование обновляет софт, и, наверняка, серьезные аппаратные заморочки с TCAM.
Но страшнее имеющиеся вокруг нас миллиарды сетевых устройств, которые не захотят слать пакеты к 240.0.0.0/4. Многие из них никогда не будут обновлены. Вот вам нужен глобально маршрутизируемый адрес, к которому многие не смогут слать пакеты? Правильно, никому не нужен.
В статье на вики Reserved_IP_addresses указано уже 592 708 616 (13,80%) адресов
Таким образом, если я нигде не ошибся — на сегодняшний день общие потери адресов IPv4 cоставляют 13,8 % от максимально возможного количества уникальных адресов, а в википедии есть ошибка.
Или вы где-то ошиблись, или я чего-то не понимаю.
Про Class E сеть (240/4) достаточно хорошо написано тут: packetlife.net/blog/2010/oct/14/ipv4-exhaustion-what-about-class-e-addresses/
Если в кратце — то «раскупорить» сеть можно было, но с учетом того, что это поможет на небольшой срок (еще год стагнации), но при этом вызовет кучу проблем со старым оборудованием, которое сеть класса Е не маршрутизирует, проще не трогать эту сеть.
Если в кратце — то «раскупорить» сеть можно было, но с учетом того, что это поможет на небольшой срок (еще год стагнации), но при этом вызовет кучу проблем со старым оборудованием, которое сеть класса Е не маршрутизирует, проще не трогать эту сеть.
Можно, кстати, добавить в список 1.1.1.0/24 и 1.2.3.0/24. Вряд ли кто-то решится их задействовать.
packetlife.net/blog/2010/feb/5/ripe-plays-with-1-0-0-0-network-apnic-allocation/
50мб/с мусора. Обалдеть.
packetlife.net/blog/2010/feb/5/ripe-plays-with-1-0-0-0-network-apnic-allocation/
The RIS RRC from which we announced 1.1.1.0/24 has connections to AMS-IX, NL-IX and GN-IX. The… image shows the incoming traffic on the AMS-IX port (10 MBit), which was instantly maxed out, mostly by traffic coming towards 1.1.1.1. The AMS-IX sflow graphs suggested that all together our peers were trying to send us more than 50 MBit/s of traffic. Most of this traffic was dropped due to the 10 MBit limit of our AMS-IX port
50мб/с мусора. Обалдеть.
UFO just landed and posted this here
Насколько я понял, они специально те 3 префикса заанонсили, чтоб у узурпаторов перестал работать роутинг
Слишком мало кого зацепит. Обычно eBGP гоняют на периметре, а левые сети — где-то внутри, ну и да, в любом случае надо на входе фильтровать префиксы.
А тех, у кого BGP не поднят, это никак не затронет. Всерьез 1.1.1.0/24 обычно используют все-таки дома.
Вот ещё сколько мусора анонсят в интернеты:
Я не понял, а магистралы куда смотрят? Если эти идиоты начнут в массовом порядке уже занятые кем-то /25 анонсить, все забегают как наскипидаренные. Были же уже подобные случаи.
Only those users with full accounts are able to leave comments. Log in, please.
Так сколько же адресов IPv4 пропадет?