Адреса IPv4 в RIPE закончились. Совсем закончились…

    Ну ладно, не совсем. Это был маленький грязный кликбейт. Но на конференции RIPE NCC Days, прошедшей 24-25 сентября в Киеве, было анонсировано скорое окончание раздачи подсетей /22 новым LIR-ам. О проблеме исчерпания адресного пространства IPv4 говорят уже давно. Вот уже около 7 лет, с тех пор, как региональным реестрам были выделены последние блоки /8. Несмотря на все сдерживающие и ограничительные мероприятия, неизбежного было не избежать. О том, что нас ждёт в связи с этим, под катом.



    Исторический экскурс


    Когда эти все ваши интернеты только создавались, людям казалось, что 32 бит для адресации хватит всем с головой. 232 – это примерно 4.2 миллиарда адресов сетевых устройств. Разве могли в далёких 80-х первые несколько организаций, объединившихся в сеть, подумать, что кому-то понадобится больше? Да что уж там, первый реестр адресов вёлся одним дядькой по имени Джон Постел (Jon Postel) вручную, чуть ли не в обычной тетрадке. А запросить новый блок можно было в телефонном режиме. Периодически текущая выделенная адресация публиковалась в виде RFC документа. Например, в RFC790, опубликованном в сентябре 1981 года, впервые встречается привычная нам 32-битная запись IP-адресов.

    Но концепция «зашла», глобальная сеть начала активно развиваться. Так возникли первые электронные реестры, но жареным ещё совершенно не пахло. При наличии обоснования можно было вполне получить хоть блок /8 (более 16 миллионов адресов) в одни руки. Не сказать, что обоснование на тех порах так уж проверяли.

    Все мы понимаем, что если активно потреблять какой-то ресурс, рано или поздно он закончится (светлая память мамонтам). В 2011 году IANA, распределявшая блоки адресов в масштабах планеты, раздала последние /8 региональным реестрам. 15 сентября 2012 года RIPE NCC объявил об истощении IPv4 и начал раздавать не более /22 (1024 адреса) в одни LIR-руки (впрочем, позволял открывать несколько LIRов на одну компанию). 17 апреля 2018 года последний блок 185/8 закончился, и с тех пор вот уже полтора года новые LIRы питаются хлебными крошками и подножным кормом – блоками, возвращёнными в пул по разным причинам. Теперь заканчиваются и они. Наблюдать за этим процессом в реальном времени можно по адресу https://www.ripe.net/manage-ips-and-asns/ipv4/ipv4-available-pool.

    Поезд ушёл


    На момент доклада на конференции оставалось доступно примерно 1200 непрерывных блоков /22. И весьма немаленький пул необработанных заявок на выделение. Проще говоря, если Вы ещё не LIR, последний блок /22 Вам уже не светит. Если Вы уже LIR, но не подавали заявку на последний /22, шанс ещё есть. Но заявку подать лучше вчера.

    Помимо непрерывного /22 есть ещё шанс получить комбинированное выделение – комбинацию из /23 и/или /24. Впрочем, по текущим оценкам все эти возможности исчерпаются уже в течение недель. Гарантировано к концу текущего года про /22 можно забыть.

    Немного резервов


    Естественно, адреса не вычищают под ноль. Определённое адресное пространство RIPE оставил для различных нужд:

    • /13 для временных назначений. Адреса могут быть выделены по запросу для реализации каких-то ограниченных во времени задач (например, тестирование, проведение конференций и т.п.). После реализации задачи блок адресов отберут.
    • /16 для точек обмена (IXP). По оценкам точкам обмена этого должно хватить ещё лет на 5.
    • /16 для непредвиденных обстоятельств. Их не предвидеть.
    • /13 – адреса из карантина (про него чуть ниже).
    • Отдельную категорию составляет так называемая пыль IPv4 – разрозненные блоки меньше /24, которые никоим образом анонсировать и отмаршрутизировать по текущим стандартам нельзя. Потому висеть им невостребованными, пока не освободится смежный блок и не образуется хотя бы /24.

    Как возвращаются блоки?


    Адреса не только выделяются, но и иногда попадают назад в пул доступных. Произойти это может по ряду причин: добровольный возврат за ненадобностью, закрытие LIR в связи с банкротством, неоплатой членских взносов, нарушением правил RIPE и так далее.

    Но адреса не попадают сразу в общий пул. На 6 месяцев они помещаются в карантин, чтобы о них «забыли» (в основном речь о различных чёрных списках, базах спамеров и т.д.). Конечно, возвращается в пул намного меньше адресов, чем выдаётся, но только за 2019 год уже удалось вернуть 1703 блока /24. Подобные возвращённые блоки и станут единственной возможностью для будущих LIR получить хоть какой-то блок IPv4.

    Немного киберкриминала


    Нехватка ресурса повышает его ценность и желание им владеть. И как же не желать?.. Блоки адресов продаются по цене 15-25 долларов за штуку в зависимости от размера блока. И в связи с нарастающим дефицитом цены, скорее всего, подскочат ещё выше. При этом, получив несанкционированный доступ к аккаунту LIR, вполне можно увести ресурсы на другой аккаунт, и дальше будет непросто выцарапать их назад. RIPE NCC, конечно, содействует при решении всяких подобных споров, но не берёт на себя функции полиции или суда.

    Способов потерять свои адреса немало: от обычного головотяпства и утечки паролей, через некрасивое увольнение человека с доступами без лишения его этих самых доступов, и до совершенно детективных историй. Так, на конференции представитель одной компании рассказывал, как они чуть не лишились своих ресурсов. Некие шустрые ребята по фальшивым документам переоформили компанию на себя в реестре предприятий. По сути произвели рейдерский захват, единственной целью которого был отъём блоков IP. Дальше, став де-юро законными представителями компании, мошенники связались с RIPE NCC для сброса доступов к управляющим аккаунтам и инициировали передачу адресов. К счастью, процесс был замечен, операции с адресами заморожены «до выяснения». Но судебная волокита с возвратом самой компании первоначальным владельцам заняла больше года. Один из участников конференции упомянул, что во избежание подобных ситуаций его компания уже давно перенесла свои адреса на юрисдикцию, в которой закон работает получше. Напомню, что не так давно мы и сами зарегистрировали компанию в ЕС.

    Что дальше?


    Во время обсуждения доклада один из представителей RIPE вспомнил старую индейскую пословицу:



    Её можно считать глубокомысленным ответом на вопрос «как же мне получить ещё немного IPv4». Черновой стандарт IPv6, позволяющего решить проблему нехватки адресов, был опубликован ещё в 1998, а практически все сетевые устройства и операционные системы, выпущенные с середины 2000-х, поддерживают этот протокол. Почему мы ещё не там? «Иногда решительный шаг вперёд является результатом пинка под зад». Иными словами, провайдерам просто лень. Оригинально с их ленью поступило руководство Беларуси, обязав на законодательном уровне обеспечить поддержку IPv6 в стране.

    Однако что же будет с выделением IPv4? Уже принята и одобрена новая политика, согласно которой после исчерпания блоков /22 новые LIR смогут получить блоки /24 по мере доступности. Если блоков на момент подачи заявки не будет, LIR будет поставлен в список ожидания, и получит (или не получит) блок, когда он станет доступен. При этом отсутствие свободного блока не освобождает от необходимости платить вступительный и членские взносы. По-прежнему сохранится возможность купить адреса на вторичном рынке и перенести их на свой аккаунт. Впрочем, RIPE NCC избегает в своей риторике слова «купить», пытаясь абстрагироваться от денежного аспекта того, что изначально совершенно не задумывалось как объект торговли.

    Будучи ответственным провайдером, мы призываем Вас активно внедрять IPv6 в свою жизнь. А будучи LIR, готовы всячески в этом содействовать своим клиентам.

    Не забудьте подписаться на наш блог, мы планируем публикацию некоторых других интересных вещей, подслушанных на конференции.

    Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

    Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?
    ua-hosting.company
    Хостинг-провайдер: серверы в NL до 300 Гбит/с

    Комментарии 34

      +3
      Вопрос IP6 интересен с точки зрения клиента провайдера. Будут ли давать клиентам белые IPv6 адреса. Или лень и внутренняя сеть провайдера не изменится.
      Поменялось что в мировоззрении провайдеров со времен публикации «IPv6 не нужен?» habr.com/ru/post/257147
        +1
        Собственно, никто не мешает выдавать клиентам хоть /64 блок IPv6. А в свете грядущего развития IoT рабочая группа рекомендует выделять /56 индивидуальным пользователям и /48 коммерческим. Один /64 — это 18 миллиардов миллиардов адресов, на каждый диод на новогодней гирлянде хватит, и ещё и останется целая куча. /56 — это 256 блоков /64 (по мнению рабочей группы не стоит помещать IoT холодильник в одну подсеть с пылесосом). Так что для провайдеров тут сугубо вопрос пинка.
          0
          Можете объяснить зачем холодильнику целая /64 подсеть? Да или вообще зачем клиенту целая 64 подсеть? Разве не логично что и 96 «было бы» достаточно?
            0
            По рекомендации рабочей группы 64 бит отводится на локальную адресацию, потому и /64. Кроме того, если считать, что холодильник — это единое устройство, то да, ему и одного адреса хватит. Если говорить о группе устройств «холодильники», и добавить немного футуристики, картина меняется.

            Пример: в доме 3 холодильника: человеческий, морозилка для еды животных и винный холодильник. Человеческий напрямую взаимодействует с автокухней, потому, скажем, для помидоров, перцев, огурцов, шоколадок, молока, сметаны и т.д, и т.п. используется по сути отдельное устройство, состояние которого надо опрашивать. Плюс общая система контроля статуса (температура, влажность, наличие вредных примесей, которые бы свидетельствовали о загнивании). В морозилке для корма для животных отдельные отсеки для котов и собак, которые нужно контроллировать (хотя бы наличие, к примеру). В винном холодильнике тоже могут быть отдельные подсистемы для белого и красного вина. А может быть вообще отдельная система контроля для каждого слота бутылки. Конечно, забить /64 не удастся таким образом, но всё это хозяйство должно жить в своей отдельной подсети и не держать у себя в подсети устройства других типов и назначений.
              +1
              Конечно, забить /64 не удастся таким образом, но всё это хозяйство должно жить в своей отдельной подсети и не держать у себя в подсети устройства других типов и назначений.

              Легко видеть что хватило бы пула из сотен/тысяч адресов. 18 миллиардов это все же перебор.
              Отдельный вопрос почему и зачем все это хозяйство должно жить в отдельной подсети. Я, к примеру, разумных причин не вижу.
              0

              А вам 640 кб памяти хватает?

            0
            Так серых ipv6 не бывает вроде как
              +2
                0
                Вообще есть ещё один момент — некоторые провайдеры дают v6 белые, но динамические, что, конечно, снимает проблему с NAT и заканчивающимся пулом, но всё равно не даёт v6 развернуться на полную.
                  0

                  dyndns и проблема решена.

                  • НЛО прилетело и опубликовало эту надпись здесь
                      0

                      duckdns.org

                      • НЛО прилетело и опубликовало эту надпись здесь
              0

              Может ли кто подсказать модели vdsl домашних роутеров с полноценной поддержкой ipv6? Мой Asus DSL AC52U вроде как работает с новым протоколом, но он там не first class citizen. Даже файервол только для ipv4.

                0

                Вот тут на Реддите называют пару моделей vdsl роутеров на которые ставится OpenWrt:
                https://www.reddit.com/r/openwrt/comments/7spsy8/looking_for_a_vdsl2_modem/


                Ну или, там же, вариант включить этот модем в Bridge mode а перед ним поставить роутер умеющий нужное

                  +1

                  Keenetic (любой) + донгл Keneetic Plus DSL / Keenetic DSL KN-2010 / Keenetic Duo KN-2110

                  0
                  Тут частично еще вопрос безопасности и стоимости. Мы настолько привыкли жить за NAT-ом как за стеной, что я например не горю желанием давать белые IP-шники каждому сетевому устройству в своем доме по многим причинам. А уж в корпоративном сегменте тем более. Организовать NAT дешевым роутером быстрее и экономически выгоднее чем ставить в качестве пограничного устройства полноценный маршрутизатор и его настраивать.
                  +2

                  Как всегда, вопрос в провайдерах интернета для домашних пользователей. Это единственная сила, сдерживающая миграцию. Все сервера уже давным-давно готовы (или будут готовы как только обнаружатся косяки в течение месяцов).


                  А вот домонетчики тупят.

                    0
                    Мой провайдер утверждает что уже работает с ІР6. Не уверен на сколько честно — но он говорит о 'Ethernet-DHCPv6'.

                    Подозреваю что речь не о поддержке от провайдеров, как опции. А о варианте по умолчанию. А заставить корпорацию (даже очень мальенькую) сменить вариант по умолчанию — почти невозможно.

                    Аналогично — как заставить производителей роутеров изменить прошивку, чтобы по умолчанию они начинали подключатся к сети по ИП6?
                      0

                      Во всех операционных системах есть приоритет ipv6 over ipv4, как только появляется работающий адрес, так он начинает использоваться. С домашними роутерами сложнее, хотя уже три года как я вижу, что у провайдеров в прошивке всё включено, но выключено у самого провайдера.

                      0
                      А не могут быть нюансы с системами фильтрации трафика? Перешел на IP6 — закупаешь / сертифицируешь оборудование «новой ревизии».
                        +1

                        Вы говорите про проблемы РФ. Я не знаю. Вот перейдёт РФ на гост 01-04-2020 "Чебурашка" — всё равно новую ревизию закупать, так что какая разница?

                        0
                        Как всегда, вопрос в провайдерах интернета для домашних пользователей
                        Не уверен. Пока есть куча сайтов, работающих только по v4 (среди них, например, vk.com), без выдачи абоненту ipv4-адреса не обойтись.
                          0

                          "или будут готовы в течение месяцов". Я уверен, что на vk.com включение ipv6 займёт время порядка одного спринта.


                          А работать без ipv4 вы некоторое время, действительно, не сможете — хвост легаси большой.

                            0
                            Вот и получается ситуация для провайдера: провайдер не может работать без v4-адресов, раздача абонентам v6 никак не помогает справится с нехваткой адресов.
                              0

                              Помогает. Лучше выдать ipv6-only, чем не выдать адреса вообще. Да, качество связи будет хуже, но лучше хоть как-то, чем никак.


                              Но до этого надо доварить лягушку до того, чтобы кожа начала слазить.

                                0
                                При наличии популярных v4-only сайтов провайдер скорее всех загонит за ipv4 CGNAT, чем выдаст ipv6.

                                Я думаю, проблема не сколько в сайтах, которые довольно легко перенастроить, а больше в сервисах, особенно в игровых. Старые игровые клиенты переписывать никто уже не будет, а пользуются ими много.
                                  +1

                                  Разумеется. Потому я и говорю, что лягушку надо варить, пока не сварится. В какой-то момент цена ipv4 на рынке начнёт играть такую существенную роль, что ipv6-only окажется экономически привлекательнее. Это требует довести дефицит до безумия.


                                  И есть два варианта: либо невидимая рука рынка всё расставит (т.е. переход на ipv6 произойдёт по экономическим причинам), либо будет кооперативная игра и переход сделают без предварительного кошмара с неработающим всем (провайдеры, ограничивающие количество сессий на пользователя и т.д.).


                                  UPD: Я думаю, в какой-то момент регуляторы просто скажут провайдерам "обязаны" (FCC, роскомпозор и т.д.) и они сделают. После этого все оставшиеся сайты будут вынуждены догонять.

                              0
                              уверен, что на vk.com включение ipv6 займёт время порядка одного спринта
                              Так чего они ждут?
                                0

                                Спринта жалко.

                                  0
                                  В статье 2012 года habr.com/ru/post/159775:
                                  К сожалению, его там не ожидает почти ничего. Пробежавшись по популярным сайтам, видим, что:

                                  по IPv6 работают: google, youtube, facebook, vkontakte

                                  Похоже с тех пор ничего не поменялось. Белоруссия — исключение из правил.
                                  • НЛО прилетело и опубликовало эту надпись здесь

                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                          Самое читаемое