Google делает гостевую сеть IPv6-only

    На недавно прошедшей онлайн встрече IETF группы IPv6 Ops сетевой инженер Google Женя Линькова рассказала о проекте перевода корпоративной сети Google на IPv6-only.

    Одним из этапов стал перевод гостевой сети на IPv6 only. Для доступа к legacy Internet использовался NAT64, а в качестве DNS — DNS64 на публичном Google DNS. Разумеется, DHCP6 не использовался, только SLAAC.

    По итогам тестирования, меньше 5% пользователей переходили на fall-back dual stack WiFi. По состоянию на июль 2020, большинство офисов Google имеют IPv6-only гостевую сеть.

    Доступны слайды доклада.

    Похожие публикации

    Средняя зарплата в IT

    113 000 ₽/мес.
    Средняя зарплата по всем IT-специализациям на основании 5 709 анкет, за 2-ое пол. 2020 года Узнать свою зарплату
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 41

      –1
      А что она сделала с беговыми дорожками, так осталось невыясненным.

      P.S. Сложно судить о явлении по выборке в одну единицу, но в московском Гугле лучше гостевым WiFi не пользоваться — мегафоновский LTE по ощущениям шустрее в разы.
        0

        Они перестали работать без IPv4.

        0
        По итогам тестирования, меньше 5% пользователей переходили на fall-back dual stack WiFi.

        То есть, абсолютно бессмысленно и неприменимо в реальной жизни, к сожалению. Если в реальной эксплуатации у вас будет 5% обращений в поддержку, вы утонете. А так — поставили рядом две сети: рабочую "fall-back" и «игрушечную» IPv6. Ну Google может себе позволить попросить пришедших поиграться с новой технологией, но если к вам клиенты придут и не смогут подключиться к своему VDI, скажем, потому что он на VMware Horizon*, то ваше же руководство вам популярно объяснит, что с клиентами в игры не играют.
        *
        Да, я знаю, что теоретически наконец-то стало можно настроить VMware UAG как dual-stack, но на практике никто этим не занимается, и IPv4 у всех прибит гвоздями.
          0
          DNS64 + nat 6-to-4 и поехали.
            0
            Вы когда-нибудь пробовали, или теоретизируете? Не будет Horizon и ещё куча софта так работать, там гвоздями IPv4 может быть прибит (раньше без вариантов — был прибит). Поверьте, я с DirectAccess, который как раз и включает эти DNS64 и NAT64, 6+ лет работаю. Никто никуда не «поедет».

            DNS64+NAT64 работают только если ПО просто запрашивает соединение с хостом по доменному имени. Как только IPv4-only ПО для каких-либо своих целей производит resolving IP-адреса — game over.
              +4
              О боже мой, отдельно взятый Horizon работать не будет — какой ужас.
              Пусть уже VMware убьется апстену, если их программисты не умеют работать с разными address family и могут только IPv4 гвоздями прибивать.
              Это проблема VMware а не гостевой сети Гугла.
                0
                А ещё некоторые игры в steam не будут коннектиться — там вообще v4-адреса захардкожены.
                Мы точно про бесплатную сеть говорим?

                «Куча» софта на практике живёт внутри VPN, который выдаёт v4 как раньше. А ещё пользуется таким софтом 0.1% людей в мире. Транспортную сеть давно можно менять на v6 + nat64. Хотя бы давать людям учиться в таком режиме жить — иначе нихрена никогда не поменяется.
                  0

                  Учиться может кто угодно и где угодно, если есть желание. Но многим работать или отдыхать надо.

                    0
                    Я про «учиться жить на ipv6» =)
                      0

                      Я понял. Я про то, что некогда учиться жить на ipv6. :) Это же не "включил и работает", это копаться минимум неделями...

                        0
                        Да не то чтобы много там копаться уже.
                        К тому же включать сначала на доступных ресурсах нужно, а там это проще — у хостера галку нажал, да параметр listen в nginx поменял.
                        Ну и почту ещё настроить, чтобы с v6 не ходила или валидно ходила.
                          0
                          Есть куча легаси кода не имеющего IPv6. Вы похоже не слышали как vk IPv6 внедрял. Подключения принимались прекрасно, только вот многие сервисы по IPv6 отдавали 404. Так же оказалось, что IPv6 ходит совсем не теми же путями, что и IPv4, а через лютый дропнет. Тренировочные стенды такому не учат.
                            0
                            > Вы похоже не слышали как vk IPv6 внедрял.
                            Я всё это прекрасно видел, т.к. ipv6 на ноуте у меня появился за 4 года до этого (пусть и через VPN).
                            Сначала они всё включили и запустили — всё работало долгое время, а потом уже сломали. И причина, скорее всего, была в том, что они не очень читали nginx.org/ru/docs/http/request_processing.html

                            > а через лютый дропнет.
                            64 bytes from 2a01:4f9:4a:37a3::2 (2a01:4f9:4a:37a3::2): icmp_seq=1 ttl=58 time=18.4 ms
                            64 bytes from 95.217.122.156: icmp_seq=1 ttl=54 time=67.7 ms
                            Один и тот же хост (в hetzner FIN — ipv6 у меня пошел через питер, а ipv4 — через Москву-Германию и дальше в финку).
                            Тут тоже всё зависит от.

                            > Есть куча легаси кода не имеющего IPv6
                            Да. Отличная причина, чтобы оставаться на legacy-ipv4 ВЕЗДЕ. И там, где ipv6 поддерживается, и в тех 10% сервисах, где legacy действительно на что-то влияет.
                            0

                            Галку я включу (если есть), конфиг поменяю, а проверять как буду, если мои провайдеры не поддерживают? Какие-то гейты надо поднимать, роуты настраивать. И, главное, разбираться где брать аналог IPv4, выдаваемого провайдером по DHCP на роутер домашней сети, как NAT настроить на этом роутере, форвардинг портов и т. п. Ну или выставить все свои девайсы паблик.

                              0
                              Галку я включу (если есть), конфиг поменяю, а проверять как буду, если мои провайдеры не поддерживают?

                              Для этого есть happy eyeballs, который работает достаточно хорошо.


                              как NAT настроить на этом роутере

                              Какой ещё NAT?

                                0
                                Для этого есть happy eyeballs, который работает достаточно хорошо.

                                Погуглил. Алгоритм это. Что мне с ним делать? Реализовывать?


                                Какой ещё NAT?

                                Простите, был неточен. NAT64, а также DHCP64

                                  0
                                  Погуглил. Алгоритм это. Что мне с ним делать? Реализовывать?

                                  Он уже есть во всех распространённых OS.


                                  Простите, был неточен. NAT64, а также DHCP64

                                  Что такое DHCP64??? Зачем нужен NAT64 в dual stack?

                                    0

                                    DHCPv6 имелось в виду. NAT нужен для трансляции адресов локальной сети в глобальные.

                                      0

                                      NAT64 нужен только если клиенты в IPv6 only сети должны подключаться к серверам без IPv6 адреса. В dual stack NAT64 не нужен. В IPv6 вообще трансляция адресов считается вредной.


                                      DHCPv6 в клиентской сети может быть не нужен (потому, что есть SLAAC), но если он нужен, как минимум, некоторые, современные домашние маршрутизаторы имеют DHCPv6 сервер с поддержкой PD.


                                      Я писал уже как-то, как я включал IPv6 в домашней сети: как раз одной настройкой сделал, и всё заработало.

                                        0

                                        А если я хочу иметь в домашней сети локальные адреса, которые транслируются в публичные? хотя бы чтобы не перенастраивать сеть, когда провайдер решит мсенить мои, или я решу сменить провайдера?


                                        По тому комменту не понятно, провайдер обеспечивал IPv6, он чисто внутренним был или туннели какие-то поверх IPv4?

                                          0
                                          А если я хочу иметь в домашней сети локальные адреса, которые транслируются в публичные?

                                          Тогда NPT этому столику
                                            0
                                            experimental

                                            requires a more complex DNS setup

                                            Грустно. Вроде как IPv6 должен упростить жизнь, а он ёё усложняет.

                                              0
                                              experimental
                                              Уже 9 лет как.
                                              requires a more complex DNS setup
                                              Глупость, IPSec прекрасно работает через UDP, как и с NAT44. А протоколы вроде ftp работают через NPTv6 так же как и через NAT44, то есть никак.
                                              Вообще хорошей практикой считается выставление времени жизни префикса минут на 10, но не более чем обещано роутером провайдера. То есть через 10 минут после падения линка(подключения к другому)все железки отбросят старые адреса. А если провайдер меняет префикс, то вообще за секунду. Можно выставить это время и на 10 секунд, чтобы устройства каждые 10 секунд переспрашивали, но это извращение.
                                            0
                                            А если я хочу иметь в домашней сети локальные адреса, которые транслируются в публичные? хотя бы чтобы не перенастраивать сеть, когда провайдер решит мсенить мои, или я решу сменить провайдера?

                                            Судя по всему, провайдер мне периодически меняет префикс, домашнюю сеть что-то ни разу не пришлось «перенастраивать». Хотя, про NPT уже сказали.


                                            По тому комменту не понятно, провайдер обеспечивал IPv6, он чисто внутренним был или туннели какие-то поверх IPv4?

                                            Провайдер обеспечивает IPv6. По тому комменту это понятно, там написано «в разделе IPv6 выбрал native или что-то такое».

                                              0
                                              домашнюю сеть что-то ни разу не пришлось «перенастраивать».

                                              Динамический DNS какой-то внутри и только по DNS обращение к узлам?

                                                0

                                                Я не знаю, на самом деле. Думаю, что mDNS, но я никогда ничего не настраивал, оно просто работает. Это же домашняя сеть, я не хочу заморачиваться.

                                  0
                                  > Ну или выставить все свои девайсы паблик.
                                  Прекратите воспринимать NAT, как security-фичу. Попасть на хост за NAT, который иногда ходит в сеть — не очень большая проблема.
                                  Безопасность хостов за роутером в домашней сети от доступов снаружи обеспечивается так же, как и обычно — firewall-ом.

                                  > а проверять как буду, если мои провайдеры не поддерживают
                                  VPN-ом.

                                  Но если никто ничего делать не будет — то уж провайдеры не будут ничего делать точно.
                                    0

                                    Готов побиться об заклад, что у большинства домашних сетей безопасность обеспечивается через NAT на роутере.


                                    VPN — это хорошо, ещё одна вещь с которой нужно разобраться.

                                      0
                                      > VPN — это хорошо, ещё одна вещь с которой нужно разобраться.
                                      Ясно. Вообще ничего не делайте, потом я приду и сделаю, через лет 10. Только уже за другие деньги )
                                        0

                                        Лет через 10 или 20 я, надеюсь, просто включу галочку на домашнем роутере, другую у хостера и всё там как-то само подцепится по аналогии с текущими ipv4 настройками. В том числе и тщательно настроенные openvpn, openssh, куча сертификатов на IP адреса и т. п. Сейчас разбираться с IPv6, DHCPv6, NATv6, VPNv6 подняв на ноутбуке с десяток виртуалок для этого совсем не хочется.

                                          0
                                          Честно говоря, всё это звучит как «хочу на ручки и платьюшко, отстаньте от меня, верните мой 2007-й».
                                          Почти во всех живых продуктах ipv6 включается галочкой/строчкой в конфиге и отлично работает (в случае openvpn, например — server-ipv6, push «route-ipv6 ...» и поехали). Openssh давно уже слушает ipv6 (лет 15 как) и не требует больше никакой настройки.
                                          Хостеров, у которых ipv6 включается галочкой — хватает. Более того, у самых популярных — hetzner, OVH, digitalocean — ipv6 из коробки на всех серверах уже больше 5 лет. Арендуйте у них виртуалку за 3EUR в месяц с бесплатной /64 и играйте с ней.

                                          > просто включу галочку на домашнем роутере
                                          Галочки в роутере тоже есть. Но пока все будут так же, как и вы, нести сраную ересь и сказки про ipv6 — на этот роутер приносить ipv6 никто не будет.

                                          Странно от инженера видеть завуалированное «мне лень найти и прочитать 10 страниц текста».
                                            0

                                            Откуда "верните"? Я разве прошу запретить или выпилить из, например, ядра линукса?


                                            Ну и с "лень" — я уже много прочитал, я игрался с ним в рамках локальной сети ещё в 2010-12, кажется — не взлетело. Потом ещё в 2017-м кажется в рамках домашней: уже все устройства были "с галочками", ничего "патчить" не надо было. Тоже не взлетело. Даже внутри сети, не говоря о каких-то там туннелях в мир поверх ipv4. Но я ненастоящий админ, я жду когда всё созреет для простого прикладного разработчика, который не уверен даже знают ли сетевые карты современные об IP или выше канального уровня не лезут как и в прошлом тысячелетии.


                                            С тех пор никаких прорывных новостей типа "наши галочки теперь реально работают" не встречал, только что "всё плохо, переходить не хочет никто, хотя мы уже всё сделали, последствия исчерпания ipv4 были преувеличены и т. п."

                                              0
                                              > переходить не хочет никто
                                              Проблема в этом, а не в мифическом «ничего не работает».
                                              Есть некоторая часть проблем вида «что-то у меня ipv6 на железке 2010 года не очень работает», но их меньше, чем тех, кому тупо лень посмотреть (а репортят вендорам вообще единицы).
                                              Я месяц назад репортил железячному вендору и рассказывал, как им починить ipv6, чтобы на их железке работало. Не надорвался, даже конкретный баг в трекере используемого ими SDK поискал. Пацаны ровно так же считали, что DHCPv6 — это что-то необходимое (кому он вообще уперся-то?), а NDP и RA — «ну это какие-то неважные штуки, мы их не поддерживаем».

                                              А в локалке IPv6 работает уже лет 5 как без всякой настройки (link-local не вчера придуман). Даже участие роутера в этом не требуется.

                                              Сидит вендор роутера — «у нас не спрашивают». Сидит провайдер — «у нас не спрашивают». Сидит оператор VPN — «у нас не спрашивают». А кому спрашивать? Все так же как вы «ой, что-то NAT и DHCP не работают в ipv6, не будем ничего читать, слишком сложно, ipv6 — фигня сломанная».
                                                0
                                                Проблема в этом, а не в мифическом «ничего не работает»

                                                Для вас, может, и мифическом, а вот для меня вполне реальном. Да, что-то NAT и DHCP не работают в ipv6, не получается существующие ipv4 сети прозрачно продублировать на новые адреса.

                      +1

                      Непонятно. Вы говорите, что есть какой-то нишевый софт, не умеющий IPv6? Наверняка, есть. В презентации, если слайды посмотреть, называют ещё примеры такого софта. Это никак не мешает 95% пользователей гостевой сети гугла.


                      Я как-то писал, что обнаружил в WiFi одного кафе IPv6 only сеть и NAT64. Браузер работал и я не замечал, пока не понадобилось пингануть что-то.

                  0
                  Что-то они долго думали)
                    0

                    Да, я тоже удивился. Но мне говорили, что там какие-то конкретные люди, которые были энтузиастами IPv6, уволились и поэтому там после Launch day внутри долго ничего не происходило.


                    Плюс, у них есть какая-то проблема с сетевыми оверлеями, из-за которой они долго не могли доставлять v6 в клауд, при том, что транспорт у них уже был на v6. Но это ОБС, подробностей не знаю, публичных статей про это не видел.

                      0
                      Это не единственное облако, где есть проблема с ipv6 в гостях при наличии v6 в физической сети, так что ОБС можно поверить.

                      > которые были энтузиастами IPv6, уволились
                      А вот это вот грустно. Не те времена на дворе, чтобы внедрение ipv6 держалось на «энтузиастах». Так что спасибо тебе ещё раз, что в каменном веке не оставил)
                    0
                    Слишком они консервативны. Нужно всех кому не нравится NAT64 отправлять за NAT46 пропущенный через NAT64.
                      0

                      464XLAT сейчас чуть ли не встроен в андроид.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое