Защита за деньги и ресурсы провайдера это идеально.
Защита за отдельные деньги - наверное, что то в принципе провайдеры и предлагают, типа защиты от DDoS и прочее. Но (если вы вдруг не в курсе) провайдер на уровне закона как раз ОБЯЗАН не ограничивать никак трафик абонентов для доступа к ресурсам Интернет. Иначе можно лицензии лишиться. Всякие ограничения доступа к любым ресурсам - это не провайдер, это РКН, ФСБ и прочие полномочные органы, более того - почти всегда это вообще другое оборудование вне ЗО провайдера.
Это как раз защита. Причем идеальная. NAT открывается только для того IP на который сходили из-за него. Весь остальной интернет ничего не увидит.
NAT провайдера в более чем половине случаев работает в другом режиме - это реалии, причины не вижу смысла здесь обсуждать. А вот файервол как раз это делать умеет на 100% на WiFi-роутере для любого из протоколов, для IPv6 отключается одной галочкой т.е. по дефолту такой файерволн тоже включен. Более гибкие настройки (если такое кому нужно) можно делать на соответствующем роутере, или например через консоль в SOHO-роутере (обычно там почти полноценный Linux/BSD, или что то своё с консолью) , но это тоже другая тема. Кто боится DDoS, то защита от него - это тоже тема отдельная, и у провайдеров есть услуги и по защите от DDoS. В любом случае NAT - это механизм используемый для решения вопросов нехватки IPv4 адресов. Некая защита на нем от доступа извне имеется, но это лишь побочный эффект. Кстати, провайдерский NAT никак не защищает от доступа внутри своей сети т.к. такая связь работает по тем же серым IP напрямую, такое только домашний роутер может ограничить. В пролвайдерской сети могут быть сотни тысяч и даже миллионы серых IP. И как вы в такой сети будете защищаться без NAT-а провайдера???. Я в современном мире вижу всё чаще как вместо хорошо настроенного фаервола делают настолько монстрообразные "комплексные решения", что NAT на этом фоне смотрится некой "детской поделкой". Трафик от стороны запросившей до стороны получателя и обратно выстраивается в такое привязанное к централизованным система решение что неудивительно насколько легко можно подсматривать, цензурировать и использовать по полной программе частные данные "человеков".
Ну и напоследок. Каким образом на каких протоколах и т.п. будет работать LAN -сегмент абонента, определяется не мантрой "NAT защищает", а реалиями развития Интернета и заложенных в домашние устройства технологий (роутеров в т.ч.)
мобильные сети между прочим - это одни из первых кто IPV6 в железе начал использовать задолго от общей тенденции. Им просто было мало IPv4 для своих даже внутренних задач.
И наконец поймите что провайдерский NAT - это не защита, тем более от DDoS. Снимайте розовые очки, изучите матчасть. Пример простейший: Как только абонент "пробивает" себе наружу например UDP-трансляцию, она автоматически в обратную сторону становится доступна любому IPv4 из Интернета. И это норма, потому что именно так строится связь P2P и прочая даже клиент-серверная между всеми кто находится "за NAT". Далее уже сам абонент может на своем оборудовании сетевую фильтрацию строить, ну так и на дуалстеке он её точно так же может строить. И в прошивках роутеров можно ограничивать входящие соединения в т.ч. и по IPv6. Уверенность что NAT сильно защищает - это "уютная байка", которая для ленивых удобна, ведь не надо вникать в тонкости сетевых фильтров...
Провайдер может защищать от DDoS любые свои адреса, тем более что снаружи они все смотрятся как белые. Для этого есть совершенно другие механизмы, которые кстати в т.ч. должны защищать эти самые железки NAT44, а не абонентов за ними. Ведь если DDoS будет приличный, он вполне способен избыточно нагрузить и те самые железки NAT44, и даже каналы связи. В последнем случае вообще ничто не поможет, если только на внешних линках магистральные провайдеры не помогут DDoS порезать.
Вы конечно правы, если общемировую тенденцию смотреть. Но в РФ я пока не вижу перспектив увеличения доли IPv6 трафика в потреблении. Потому и будет увеличение объемов NAT44. У провайдера сейчас забота не стремление идти в ногу со временем, а скорее выжить с учетом расходов по "складированию мертвых тонн данных о трафике"...
Я единственное не понял, откуда 200-300 моделей роутеров? Имеются в виду CPE предоставляемые провайдером? У нас дай бог десяток моделей наберется, бОльший зоопарк провайдеру тянуть смысла нет. Пользовательские собственные CPE? Можно, но абонент либо поддерживает MAP-T, либо запрашивает возврат своей линии на DualStack и тогда использует стандартный набор параметров DHCPv4/v6.
Да, это "Пользовательские собственные CPE" Запрета их использования не было и нет. Не спрашивайте у меня почему, я сам не знаю ответа. Хотя самые массовые модели - это свои от провайдера, но ведь и сам провайдер ранее предоставлял модели разные и многие без дуалстека. Их ещё есть немало в сети. Огромный зоопарк моделей TP-Link, я этого вендора уже перестал понимать - они штампуют столько моделей, что наверное уже сами устали их поддерживать. Видимо оно хорошо продается, потому и много... Более 200 - это только то что можно прямо или косвенно распознать. А есть ещё и несколько тысяч всякого неопознанного, или же специфичного - цыски всякие у юриков и т.п.
Ваш вариант с MAP-T - это обязательное наличие такого функционала на любом подключаемом оборудовании клиента, причем не в перспективе замещения за 2-5 лет, а вот прям сразу же и у всех без исключения абонентов. Это ключевое условие использования подобной технологии предоставления дуалстека в конечной домашней сети ( сеть LAN роутера ), а на сети провайдера - IPv6 OnLy
Нет, я понимаю если например новый провайдер начинает внедрять это "с нуля", т.е. вот нет у него абонентов и он начинает подключать и раздавать свои CPE MAP-T. Это вот такая бизнес модель с жестким условием, подобное было иранее и есть сейчас - например провайдеры делали сеть DOCSIS, GPON с предоставлением своего абонентского железа, или например шифрованный ТВ-контент - тоже только на оборудовании провайдера. Так вот если это делается с нуля - всё замечательно, если этот способ дает 100% совместимость с обеими протоколами IP и это всех устраивает. Да я и сам с удовольствием так сеть бы строил СЕЙЧАС, но сейчас мы уже имеем построенную ранее сеть и работаем с тем что есть.
А что у нас есть ? А то что сеть изначально была построена как IPv4 и в ней в качестве CPE сейчас имеется 200-300 моделей роутеров (и не только WiFi), из которых примерно 70-80% EoL. В этом случае ни о каком варианте MAP-T с массовым обновлением прошивок и т.п. и речи быть не может. Единственный вариант - выбросить бОльшую часть этого барахла и взамен подарить всем роутеры с поддержкой MAP-T, затраты я уже выше прикидывал.
Как итог... На данный момент обычный дуалстек, с небыстрым внедрением - это единственный практически реализуемый способ внедрения IPv6, который ни от кого не требует авральных мер. Текущими темпами лет через 5 у нас уже должно быть 50-70% роутеров с поддержкой дуалстека, причем больше всего на такую перспективу сработает эволюция стандартов WiFi, которая как локомотив тянет за собой модернизацию CPE. А новые CPE - это плюсом и поддержка IPv6.
p.s. На сети провайдера нет никакого напряга с инфраструктурой под оба типа протокола IPv4/IPv6 т.к. по факту подавляющее кол-во оборудования - это просто коммутация, для которой настройка что просто под IPv6, что под оба протокола IPv4/IPv6 имеет минимальные отличия. Самые большие сложности - это настройка NAT всяких разновидностей на границе с Интернет.
Для отключения связности к вам будет достаточно всего навсего обычного вашего WiFi-роутера причем с любым вариантом IP-протокола. Файервол это превосходно порешает - разрешит создавать соединения только "от вас, но не к вам", а далее все работает по установленному соединению. Только лишь NAT для защиты недостаточно. Стандарт закрывающий прямую связность? Вы часом не в органах работаете? Или может Чебурнет разрабатываете уже с новыми стандартами??? Весь Интернет изначально построен на принципах прямой связности или сквозной доступности, а воплощение этого вот новомодного принципа "Интернет уже давно разделился на клиентов и сервера" как раз рушит связь и делает клиентов подконтрольными и зависимыми. Весь Интернет сейчас работает через пень-колоду в первую очередь именно от тех кто пытается контроллировать "кто куда может подключаться, а куда не может". К тому же найти клиента по его IPv6, если он сам себя не обозначил - тот ещё квест, сканированием IP умаетесь это решить. Более того, периодическая смена IPv6 на клиенте - это обычное дело, ведь даже в минимального размера IPv6 сети адресов гораздо больше чем сейчас во всем IPv4 диапазоне.
Точно не нужно??? А как же "Трафик IPv4 декапсулируется на CPE" и т.д. ? Как это сделать на текущих CPE без поддержки CLAT MAP-T и т.п.?
Т.е. вот с дуалстеком мы ставим условно только одну железку (или пару-тройку) NAT44 за условно 1-5 лямов руб.
А для реализации 464XLAT нам надо и коробку NAT64 иметь (скорее плюсом купить аналогично как и коробку NAT44) и ещё дополнительно обязательно всем подарить совместимые с таким решением CPE ? 3000 руб за одну новую CPE (надеюсь не дороже?) умножаем условно на 100000 абонентов = 300 лямов подарить? И это не считая затрат по замене у абонентов, что будет тоже довольно затратно и по деньгам и по времени и т.п. На этом фоне CGNAT коробка NAT44 выглядит буквально как "копейки"
Бизнес план просто АГОНЬ! Акционеры точно согласятся!
Это точка зрения того, кто ничерта не понимает о маршрутизации. NAT - это огромный костыль особенно в масштабах провайдера. Я не говорю даже о сквозной доступности, которая сейчас обросла такой кучей костылей и прочего что просто "ужос". Вы попробуйте сделать обычную несимметричную маршрутизацию от конечного пользователя (с серым IPv4) в Интернет. Допустим что провайдер желает зарезервировать свой внешний доступ, тупо поставив ещё один маршрутизатор на внешку. И т.к. это резервирование - настоятельная рекомендация поставить его на другой площадке (даже в другом городе). Так вот чтобы у конечного потребителя всё работало хорошо, нужно чтобы его серый IP на "внешку" был транслирован везде в один и тот же белый IP. А это значит что почти в 100% реализаций подобного, трафик абонента должен полностью весь проходить через одну и ту же железку NAT. Эта железка конечно тоже может резервироваться, но только по принципу "трафик абонента идет весь через любую одну из железок NAT". В итоге резервирование сетей с серыми адресами очень сильно усложняется - вместо двух пограничных маршрутизаторов будет еще полстойки этого всего связанного с NAT, и всё равно никакой гибкости не получится, а только куча костылей!!! Тогда как с реальными (белыми) IPv4 и IPv6 - никаких проблем с любыми способами маршрутизации не возникает и делается это тупо только железками-маршрутизаторами и парой -тройкой каналов связи. В этом плане был хороший подход на оборудовании Redback(Ericsson) SmartEdge - там NAT делался прямо на сессиях абонентов, и в итоге на выходе из коробки были только белые IP, которые можно было далее как угодно маршрутизировать по любым сетям стандартными способами. Но такое решение и ранее и сейчас было неприемлемым для всевозможных СОРМ и т.п. структур. В общем как ни крути все подобные мысли "NAT - это здорово" озвучиваются обывателями которые думают что "NAT защищает", тогда как защита - это тема отдельная и делается она грамотной настройкой файерволов, на тех же кстати WiFi-роутерах это делается даже по дефолту и даже для IPv6 там есть подобное.
замена NAT44 на NAT64 - это только в теории гладко, может у мобильных операторов как то получится, а вот у ШПД - никак. Просто потому что для этого нужно вообще ВСЕ абонентские устройства перевести на IPv6, в т.ч. и те, что в домашних LAN-сетях. Сделать это одномоментно просто нереально. С дуалстеком всё проще - IPv4-only девайсы будут отмирать постепенно, всё будет у всех работать либо по IPv4, либо по IPv6
При этом провайдеры избавляются от CGNAT c NAT44 и заменяют его на NAT64, нагрузка на который будет падать со временем.
Согласен с вашими выводами, очень хорошо описали и в точку о многом. Но вот по цитате - категорически не согласен! КМК если уже внедрен дуалстек и CGNAT c NAT44, то теряется смысл это всё переводить в IPv6-only на стороне аболнентов + замена варианта NAT44 на NAT64 Ведь всё уже внедрено и работает, более того - нагрузка на NAT44 постоянно уменьшается т.к. контент постепенно переползает в IPv6, а тут бац! и давайте начнем "перевнедрять" и это же глобально на всю сеть! Нет, на такое бизнес точно не подпишется, тем более что в плане совместимости у NAT64 всё еще есть проблемы, тогда как NAT44 работает "как автомат Калашникова"
Не везде можно долго использовать старье. Обычно это залог потери первенства в конкуретной борьбе со всеми вытекающими. Что выберет бизнес - это и вопрос аргументации со стороны технической дирекции.
А много ли IPv4 конечные потребители Интернет знают наизусть? Даже продвинутые игроманы зачастую не могут ответить какой IP у его игрового сервера. Остальные оперируют доменными именами, а с этой точки зрения версия IP не имеет никакого значения. Кроме этого, для контент ресурсов в Интернете часто используются укороченные IPv6 адреса, хотя и они немного длиннее чем IPv4 Ну и даже технари со временем привыкают, тем более что не обязательно это держать в голове, можно и в файлах :)
Насколько вам от этого "сейчас" легче? Вопрос связан с тем, что вряд ли пользователи меняют свое оборудование
Вы правы - замена роутеров у абонентов процесс не быстрый. Но есть факторы ускоряющие этот процесс. Переход со 100Мбит на 1Гбит часто это означает замену роутера. Желание поиметь более скоростной и современный стандарт WiFi - ещё более частый случай замены роутера, а ещё абоненты желают иметь MESH - тоже означает замену роутера(ов). Тем не менее более половины роутеров с сети наверное "умирают своей смертью". К тому же есть ещё вторичный рынок для роутеров через "условный авито", после чего роутер продолжает жить у другого абонента, но так же в нашей сети, либо он переходит в нашу сеть от другого провайдера. Все роутеры, которые мы сами предоставляем абонентам, предварительно тщательно тестируются на предмет соответствия всех нужных нам функций в т.ч. правильного дуалстэка. IPv6 в принципе в сети продвигается почти что только благодаря тем моделям роутеров, которые мы сами продаем абонентам (причем у нас они дешевле чем в магазине), либо если такие же роутеры ставят сами абоненты. Остальной "зоопарк" роутеров почти никак не играет роли. Кстати, есть редкие модели роутеров, которым категорически нельзя работать в IPv6, это старые модели с багами. Самый опасный - DIR-615 именно с некой версией прошивки 2.5.x. Если не знать об этом, он может устроить в сети "переполох". Мы это прошли давно и научились подобное нивелировать. Из позитивного, буквально полгода назад наш проверенный годами поставщик предоставил модель, в которой IPv6 включен из коробки - это переломный момент, потому что в нашей сети это станет локомотивом, протянувшим IPv6 ещё более массово. Да, на рынке есть уже и другие роутеры с такой тенденцией, но эта тенденция пошла совсем недавно в глобальном масштабе продаж роутеров. До этого нам было намного сложнее предоставлять IPv6 конечному потребителю. Важно понимать что IPv6 должен стать обыденностью для абонентов, а не экзотикой для гиков. Абонентам не нужно в этом разбираться, им просто нужен Интернет "хоть по синему лучу, хоть голубями". IPv4 - это же просто обыденность получения услуг от провайдера, дуалстэк - уже новая реальность и он должен быть доступен всем.
А можете рассказать, какой профит ваша контора получила? В частности, компенсировал ли он хотя бы рост нагрузки на техподдержку.
По профиту оценить трудно, как минимум мы это делали потому что всё текущее оборудование позволяло это сделать. В бОльшей степени это был энтузиазм и стремление быть современной компанией. В то время (2018 - 2022г.) популярность IPv6 набирала обороты и этот проект скорее был заделом на будущее (быть готовыми к новой реальности) а так же задачей в будущем минимально "вляпаться" в NAT (в то время мы всем абонентам выдавали "белые" IP) заранее подготовив абонентов к дуалстеку. После опытного внедрения, набив много шишек начиная со стенда, проработав вопросы с вендорами железа стало понятно что "не так страшен черт...". И поскольку наше оборудование уже было готово на скажем 90-95% и наша билинговая система была так же настроена на этот сервис - решили не останавливаться и предоставлять превентивно сервис дуалстека всем желающим. Конечно абонент может отключить эту возможность и использовать только IPv4 независимо от своего оборудования. Но обычно достаточно лишь настроить дуалстэк на CPE и получить его, или не настроить и не получить. Профит скорее всего есть в данный момент только как "конкурентное преимущество", но и по доп. затратам нам это ничего не стоит. Но ведь это же вложения в будущее, по сути мы в него переходим постепенно, а не как у нас обычно и аврально по типу "внезапно пришла зима". Доп нагрузка на ТП была в самом начале, но тогда и % использования буалстека был низким. Потенциально в сети с поддержкой дуалстека наверное около 35-40%, но реально используют его кмк не более 20%. Это очень прилично для оператора ШПД. И хотя по количеству трафика IPv6 у этих абонентов составляет примерно около 16% (на общем фоне это вообще около 7% трафика), оно составляет реально много по количеству коннектов мимо NAT. % роста за последние несколько лет можно сказать что остановился и кмк это в первую очередь потому что в рунете контент-ресурсов по IPv6 представлено мало. Например всякие IVI и т.п. жирные поставщики трафика (да и торренты тоже) всё ещё отдают в зоне IPv4 - потому-то в количестве трафика IPv6 процент не большой. Как только такие крупные контент-провайдеры начнут отдавать в IPv6 - у нас % трафика резко подскочит. Например тот же яндексовский kinopoisk давно в зоне IPv6 работает, а вот IVI - пока нет.
Автор точно никогда не внедрял IPv6. Говорю так, потому сам это внедрил и знаю не понаслышке что и как. По факту внедрение провайдером дуалстека имеет не те проблемы что в статье описаны. Например, если провайдер предоставляет подключение PPPoE, то 99% оборудования на сети провайдера не требуют поддержки IPv6, а на магистралях IPv6 уже давно обязателен!
Реальные причины медленного внедрения описываю из первых рук т.к. внедрил дуалстэк на 100% покрытия ISP. Т.е. уже лет 5 как любой абонент может себе подключить дуалстэк при условии что его оборудование это умеет делать, ну тот же WiFi-роутер например.
Вот что реально имеет значение ---------------- 1. Поддержка IPv6 на железе провайдера - лет 10 назад имело решающее значение, но вот уже лет 5 как проблем нет. На магистральной части сети и в ядре у провайдера железо почти всегда "более свежее" чем на периферии, и следовательно настроить его под дуалстэк и NDP -не проблема!, На перифериипри том же PPPoE-терминировании это не играет вообще никакой роли! Для IPoE - нужна адекватная поддержка NDP и в целом ряда связанных с NDP фич ограничений и безопасности. В схеме "vlan per user" - будет ещё проще. По сути это стартовый и сейчас наименее важный вопрос.
2. поддержка в билинговой системе - это может быть сложно в каких-то системах, но вряд-ли прямо таки критично. Безусловно это требует некого внедрения, как и любые сервисы у ISP. В целом это не настолько и сложно как следующие пункты.
3. Наиболее технически сложные проблемы связаны именно с абонентскими CPE (WiFi-роутеры в 99% случаев) -вот тут до недавнего времени была полная засада с поддержкой дуалстека, особенно с нормальнойподдержкой такового. Но сейчас большинство роутеров дуалстек поддерживают, особенно в PPPoE. И, как показала практика, даже наличие адекватной поддержки дуалстека в роутерах проблему не решает кардинально без одного важного условия. Об этом далее.
4. Как ни странно но именно на текущий период (конец 2025г) ещё более важное условие не просто потенциального внедрения IPv6, а именно как массового штатного подключения абонентов к сети Интернет - это банально условие того что в идеале роутер из коробки имеет включенную поддержку IPv6, либо же в компромиссном варианте его стартовый визард настройки должен по дефолту иметь включенным функционал дуалстека и... внезапно! этот функционал должен автоматом понимать какой вид подключения IPv6 используется провайдером. Да-да, этих видов автоматического предоставления IPv6-адресации наплодили минимум 3, а ещё есть их сочетания (О боже! О чем думали эти люди??? ) Я бы для ISP ограничил это все использованием IA_NA или IA_PD адресации, ну и RA конечно, куда же без него! Я знаю подобных на 100% дуалстэковых роутеров на пальцах одной руки - это совсем мало. Выход лишь один - провайдер сам их не начнет массово абонентам предоставлять вместо ширпотреба "за 3 копейки"! Ещё раз. Если владелец сделал сброс настроек роутера- после этого по дефолту дуалстек на роутере должен быть и он должен быть рабочий как для внешки так и для выдачи в LAN-сегменте и безо всяких "плясок с бубном"! Это краеугольный камень МАССОВОГО внедрения, кто бы чего не воображал иначе. Потому что даже если вы каждый роутер правильно настроите и отдадите абоненту, сброс настроек роутера - всего лишь вопрос времени... Другой подход - использовать ACS-сервер, который при старте девайса сам его настроит правильно. Но тут проблем больше чем профита, особенно если в сети зоопарк CPE. У ОПСОС-ов с этим пунктом как раз всё очень хорошо - у них это сразу продумано норм. И именно мобильные операторы (тот же МТС) после внедрения IPv6 имели огромный процент использования сервиса абонентами, более 70% сразу же.
5. Адекватные контент провайдеры с IPv6 и вообще сайтописатели и прочие ресурсы в самом Интернет с IPv6. Этот пункт влияет именно на соотношение IPv4 и IPv6 трафика у пользователя с дуалсткеком. Чем больше % трафика переходит на IPv6 - тем ближе мы к главной цели - отказу от супер-костыльного IPv4+NAT+NAT (и даже ещё пару раз +NAT на стороне другого абонента у другого провайдера!!!). NAT - это вынужденная мера, которая превращена в обязателную! Гиганты Интернета двигают IPv6, тот же гугл например. А вот мелкие участники - не сильно серьезно это делают. Даже игроделы, онлайн-кинотеатры и пр. не особо шустро шевелятся. Хотя уже пошустрее чем пару лет назад. На ресурсах в РФ по этому вопросу есть к чему стремиться. Похвалить навскидку могу только Яндекс - у них подход более-менее глобальный на свои сервисы.
6. Сейчас вопрос менее критичен, но на старте был очень злободневный - нагрузка на техподдержку больше с дуалстэком чем с просто IPv4. И даже некие репутационные потери могут быть, хотя виновники в большинстве случаев вне ЗО провайдера. Казалось бы пользователь получат прогресс, но в то же время и связанные с этим недоработки на всех вышеперечисленных пунктах. Прример: Некий сайт на IPv6 версии показывает тупо страницу-заглушку, а на IPv4 - все с ним отлично. Виновник - владелец сайта, но страдает пользователь с дуалстэком. Проблемы прошивок роутеров - туда же! проблемы адекватного инжиниринга IPv6-маршрутов во внешке - туда же! И много чего ещё.
Да собственно зачем конструктивно вести диалог...
"За МКАД-ом жизни нет", ага?
На том и порешили...
Защита за отдельные деньги - наверное, что то в принципе провайдеры и предлагают, типа защиты от DDoS и прочее.
Но (если вы вдруг не в курсе) провайдер на уровне закона как раз ОБЯЗАН не ограничивать никак трафик абонентов для доступа к ресурсам Интернет. Иначе можно лицензии лишиться.
Всякие ограничения доступа к любым ресурсам - это не провайдер, это РКН, ФСБ и прочие полномочные органы, более того - почти всегда это вообще другое оборудование вне ЗО провайдера.
NAT провайдера в более чем половине случаев работает в другом режиме - это реалии, причины не вижу смысла здесь обсуждать.
А вот файервол как раз это делать умеет на 100% на WiFi-роутере для любого из протоколов, для IPv6 отключается одной галочкой т.е. по дефолту такой файерволн тоже включен.
Более гибкие настройки (если такое кому нужно) можно делать на соответствующем роутере, или например через консоль в SOHO-роутере (обычно там почти полноценный Linux/BSD, или что то своё с консолью) , но это тоже другая тема.
Кто боится DDoS, то защита от него - это тоже тема отдельная, и у провайдеров есть услуги и по защите от DDoS.
В любом случае NAT - это механизм используемый для решения вопросов нехватки IPv4 адресов. Некая защита на нем от доступа извне имеется, но это лишь побочный эффект. Кстати, провайдерский NAT никак не защищает от доступа внутри своей сети т.к. такая связь работает по тем же серым IP напрямую, такое только домашний роутер может ограничить. В пролвайдерской сети могут быть сотни тысяч и даже миллионы серых IP. И как вы в такой сети будете защищаться без NAT-а провайдера???.
Я в современном мире вижу всё чаще как вместо хорошо настроенного фаервола делают настолько монстрообразные "комплексные решения", что NAT на этом фоне смотрится некой "детской поделкой". Трафик от стороны запросившей до стороны получателя и обратно выстраивается в такое привязанное к централизованным система решение что неудивительно насколько легко можно подсматривать, цензурировать и использовать по полной программе частные данные "человеков".
Ну и напоследок.
Каким образом на каких протоколах и т.п. будет работать LAN -сегмент абонента, определяется не мантрой "NAT защищает", а реалиями развития Интернета и заложенных в домашние устройства технологий (роутеров в т.ч.)
мобильные сети между прочим - это одни из первых кто IPV6 в железе начал использовать задолго от общей тенденции. Им просто было мало IPv4 для своих даже внутренних задач.
И наконец поймите что провайдерский NAT - это не защита, тем более от DDoS. Снимайте розовые очки, изучите матчасть.
Пример простейший:
Как только абонент "пробивает" себе наружу например UDP-трансляцию, она автоматически в обратную сторону становится доступна любому IPv4 из Интернета. И это норма, потому что именно так строится связь P2P и прочая даже клиент-серверная между всеми кто находится "за NAT".
Далее уже сам абонент может на своем оборудовании сетевую фильтрацию строить, ну так и на дуалстеке он её точно так же может строить. И в прошивках роутеров можно ограничивать входящие соединения в т.ч. и по IPv6. Уверенность что NAT сильно защищает - это "уютная байка", которая для ленивых удобна, ведь не надо вникать в тонкости сетевых фильтров...
Провайдер может защищать от DDoS любые свои адреса, тем более что снаружи они все смотрятся как белые. Для этого есть совершенно другие механизмы, которые кстати в т.ч. должны защищать эти самые железки NAT44, а не абонентов за ними. Ведь если DDoS будет приличный, он вполне способен избыточно нагрузить и те самые железки NAT44, и даже каналы связи.
В последнем случае вообще ничто не поможет, если только на внешних линках магистральные провайдеры не помогут DDoS порезать.
Вы конечно правы, если общемировую тенденцию смотреть.
Но в РФ я пока не вижу перспектив увеличения доли IPv6 трафика в потреблении. Потому и будет увеличение объемов NAT44.
У провайдера сейчас забота не стремление идти в ногу со временем, а скорее выжить с учетом расходов по "складированию мертвых тонн данных о трафике"...
Да, это "Пользовательские собственные CPE"
Запрета их использования не было и нет. Не спрашивайте у меня почему, я сам не знаю ответа.
Хотя самые массовые модели - это свои от провайдера, но ведь и сам провайдер ранее предоставлял модели разные и многие без дуалстека. Их ещё есть немало в сети.
Огромный зоопарк моделей TP-Link, я этого вендора уже перестал понимать - они штампуют столько моделей, что наверное уже сами устали их поддерживать. Видимо оно хорошо продается, потому и много...
Более 200 - это только то что можно прямо или косвенно распознать. А есть ещё и несколько тысяч всякого неопознанного, или же специфичного - цыски всякие у юриков и т.п.
Ваш вариант с MAP-T - это обязательное наличие такого функционала на любом подключаемом оборудовании клиента, причем не в перспективе замещения за 2-5 лет, а вот прям сразу же и у всех без исключения абонентов. Это ключевое условие использования подобной технологии предоставления дуалстека в конечной домашней сети ( сеть LAN роутера ), а на сети провайдера - IPv6 OnLy
Нет, я понимаю если например новый провайдер начинает внедрять это "с нуля", т.е. вот нет у него абонентов и он начинает подключать и раздавать свои CPE MAP-T. Это вот такая бизнес модель с жестким условием, подобное было иранее и есть сейчас - например провайдеры делали сеть DOCSIS, GPON с предоставлением своего абонентского железа, или например шифрованный ТВ-контент - тоже только на оборудовании провайдера.
Так вот если это делается с нуля - всё замечательно, если этот способ дает 100% совместимость с обеими протоколами IP и это всех устраивает. Да я и сам с удовольствием так сеть бы строил СЕЙЧАС, но сейчас мы уже имеем построенную ранее сеть и работаем с тем что есть.
А что у нас есть ? А то что сеть изначально была построена как IPv4 и в ней в качестве CPE сейчас имеется 200-300 моделей роутеров (и не только WiFi), из которых примерно 70-80% EoL.
В этом случае ни о каком варианте MAP-T с массовым обновлением прошивок и т.п. и речи быть не может. Единственный вариант - выбросить бОльшую часть этого барахла и взамен подарить всем роутеры с поддержкой MAP-T, затраты я уже выше прикидывал.
Как итог...
На данный момент обычный дуалстек, с небыстрым внедрением - это единственный практически реализуемый способ внедрения IPv6, который ни от кого не требует авральных мер.
Текущими темпами лет через 5 у нас уже должно быть 50-70% роутеров с поддержкой дуалстека, причем больше всего на такую перспективу сработает эволюция стандартов WiFi, которая как локомотив тянет за собой модернизацию CPE. А новые CPE - это плюсом и поддержка IPv6.
p.s.
На сети провайдера нет никакого напряга с инфраструктурой под оба типа протокола IPv4/IPv6 т.к. по факту подавляющее кол-во оборудования - это просто коммутация, для которой настройка что просто под IPv6, что под оба протокола IPv4/IPv6 имеет минимальные отличия.
Самые большие сложности - это настройка NAT всяких разновидностей на границе с Интернет.
Для отключения связности к вам будет достаточно всего навсего обычного вашего WiFi-роутера причем с любым вариантом IP-протокола. Файервол это превосходно порешает - разрешит создавать соединения только "от вас, но не к вам", а далее все работает по установленному соединению. Только лишь NAT для защиты недостаточно.
Стандарт закрывающий прямую связность? Вы часом не в органах работаете? Или может Чебурнет разрабатываете уже с новыми стандартами???
Весь Интернет изначально построен на принципах прямой связности или сквозной доступности, а воплощение этого вот новомодного принципа "Интернет уже давно разделился на клиентов и сервера" как раз рушит связь и делает клиентов подконтрольными и зависимыми. Весь Интернет сейчас работает через пень-колоду в первую очередь именно от тех кто пытается контроллировать "кто куда может подключаться, а куда не может".
К тому же найти клиента по его IPv6, если он сам себя не обозначил - тот ещё квест, сканированием IP умаетесь это решить. Более того, периодическая смена IPv6 на клиенте - это обычное дело, ведь даже в минимального размера IPv6 сети адресов гораздо больше чем сейчас во всем IPv4 диапазоне.
Точно не нужно???
А как же "Трафик IPv4 декапсулируется на CPE" и т.д. ?
Как это сделать на текущих CPE без поддержки CLAT MAP-T и т.п.?
Т.е. вот с дуалстеком мы ставим условно только одну железку (или пару-тройку) NAT44 за условно 1-5 лямов руб.
А для реализации 464XLAT нам надо и коробку NAT64 иметь (скорее плюсом купить аналогично как и коробку NAT44) и ещё дополнительно обязательно всем подарить совместимые с таким решением CPE ?
3000 руб за одну новую CPE (надеюсь не дороже?) умножаем условно на 100000 абонентов = 300 лямов подарить? И это не считая затрат по замене у абонентов, что будет тоже довольно затратно и по деньгам и по времени и т.п.
На этом фоне CGNAT коробка NAT44 выглядит буквально как "копейки"
Бизнес план просто АГОНЬ! Акционеры точно согласятся!
Это точка зрения того, кто ничерта не понимает о маршрутизации.
NAT - это огромный костыль особенно в масштабах провайдера.
Я не говорю даже о сквозной доступности, которая сейчас обросла такой кучей костылей и прочего что просто "ужос". Вы попробуйте сделать обычную несимметричную маршрутизацию от конечного пользователя (с серым IPv4) в Интернет.
Допустим что провайдер желает зарезервировать свой внешний доступ, тупо поставив ещё один маршрутизатор на внешку. И т.к. это резервирование - настоятельная рекомендация поставить его на другой площадке (даже в другом городе).
Так вот чтобы у конечного потребителя всё работало хорошо, нужно чтобы его серый IP на "внешку" был транслирован везде в один и тот же белый IP. А это значит что почти в 100% реализаций подобного, трафик абонента должен полностью весь проходить через одну и ту же железку NAT. Эта железка конечно тоже может резервироваться, но только по принципу "трафик абонента идет весь через любую одну из железок NAT".
В итоге резервирование сетей с серыми адресами очень сильно усложняется - вместо двух пограничных маршрутизаторов будет еще полстойки этого всего связанного с NAT, и всё равно никакой гибкости не получится, а только куча костылей!!!
Тогда как с реальными (белыми) IPv4 и IPv6 - никаких проблем с любыми способами маршрутизации не возникает и делается это тупо только железками-маршрутизаторами и парой -тройкой каналов связи.
В этом плане был хороший подход на оборудовании Redback(Ericsson) SmartEdge - там NAT делался прямо на сессиях абонентов, и в итоге на выходе из коробки были только белые IP, которые можно было далее как угодно маршрутизировать по любым сетям стандартными способами. Но такое решение и ранее и сейчас было неприемлемым для всевозможных СОРМ и т.п. структур.
В общем как ни крути все подобные мысли "NAT - это здорово" озвучиваются обывателями которые думают что "NAT защищает", тогда как защита - это тема отдельная и делается она грамотной настройкой файерволов, на тех же кстати WiFi-роутерах это делается даже по дефолту и даже для IPv6 там есть подобное.
замена NAT44 на NAT64 - это только в теории гладко, может у мобильных операторов как то получится, а вот у ШПД - никак.
Просто потому что для этого нужно вообще ВСЕ абонентские устройства перевести на IPv6, в т.ч. и те, что в домашних LAN-сетях. Сделать это одномоментно просто нереально.
С дуалстеком всё проще - IPv4-only девайсы будут отмирать постепенно, всё будет у всех работать либо по IPv4, либо по IPv6
Согласен с вашими выводами, очень хорошо описали и в точку о многом.
Но вот по цитате - категорически не согласен!
КМК если уже внедрен дуалстек и CGNAT c NAT44, то теряется смысл это всё переводить в IPv6-only на стороне аболнентов + замена варианта NAT44 на NAT64
Ведь всё уже внедрено и работает, более того - нагрузка на NAT44 постоянно уменьшается т.к. контент постепенно переползает в IPv6, а тут бац! и давайте начнем "перевнедрять" и это же глобально на всю сеть! Нет, на такое бизнес точно не подпишется, тем более что в плане совместимости у NAT64 всё еще есть проблемы, тогда как NAT44 работает "как автомат Калашникова"
Не везде можно долго использовать старье. Обычно это залог потери первенства в конкуретной борьбе со всеми вытекающими.
Что выберет бизнес - это и вопрос аргументации со стороны технической дирекции.
А много ли IPv4 конечные потребители Интернет знают наизусть?
Даже продвинутые игроманы зачастую не могут ответить какой IP у его игрового сервера.
Остальные оперируют доменными именами, а с этой точки зрения версия IP не имеет никакого значения.
Кроме этого, для контент ресурсов в Интернете часто используются укороченные IPv6 адреса, хотя и они немного длиннее чем IPv4
Ну и даже технари со временем привыкают, тем более что не обязательно это держать в голове, можно и в файлах :)
Вы правы - замена роутеров у абонентов процесс не быстрый. Но есть факторы ускоряющие этот процесс. Переход со 100Мбит на 1Гбит часто это означает замену роутера. Желание поиметь более скоростной и современный стандарт WiFi - ещё более частый случай замены роутера, а ещё абоненты желают иметь MESH - тоже означает замену роутера(ов). Тем не менее более половины роутеров с сети наверное "умирают своей смертью". К тому же есть ещё вторичный рынок для роутеров через "условный авито", после чего роутер продолжает жить у другого абонента, но так же в нашей сети, либо он переходит в нашу сеть от другого провайдера.
Все роутеры, которые мы сами предоставляем абонентам, предварительно тщательно тестируются на предмет соответствия всех нужных нам функций в т.ч. правильного дуалстэка.
IPv6 в принципе в сети продвигается почти что только благодаря тем моделям роутеров, которые мы сами продаем абонентам (причем у нас они дешевле чем в магазине), либо если такие же роутеры ставят сами абоненты. Остальной "зоопарк" роутеров почти никак не играет роли.
Кстати, есть редкие модели роутеров, которым категорически нельзя работать в IPv6, это старые модели с багами. Самый опасный - DIR-615 именно с некой версией прошивки 2.5.x. Если не знать об этом, он может устроить в сети "переполох". Мы это прошли давно и научились подобное нивелировать.
Из позитивного, буквально полгода назад наш проверенный годами поставщик предоставил модель, в которой IPv6 включен из коробки - это переломный момент, потому что в нашей сети это станет локомотивом, протянувшим IPv6 ещё более массово.
Да, на рынке есть уже и другие роутеры с такой тенденцией, но эта тенденция пошла совсем недавно в глобальном масштабе продаж роутеров. До этого нам было намного сложнее предоставлять IPv6 конечному потребителю.
Важно понимать что IPv6 должен стать обыденностью для абонентов, а не экзотикой для гиков. Абонентам не нужно в этом разбираться, им просто нужен Интернет "хоть по синему лучу, хоть голубями". IPv4 - это же просто обыденность получения услуг от провайдера, дуалстэк - уже новая реальность и он должен быть доступен всем.
По профиту оценить трудно, как минимум мы это делали потому что всё текущее оборудование позволяло это сделать. В бОльшей степени это был энтузиазм и стремление быть современной компанией. В то время (2018 - 2022г.) популярность IPv6 набирала обороты и этот проект скорее был заделом на будущее (быть готовыми к новой реальности) а так же задачей в будущем минимально "вляпаться" в NAT (в то время мы всем абонентам выдавали "белые" IP) заранее подготовив абонентов к дуалстеку.
После опытного внедрения, набив много шишек начиная со стенда, проработав вопросы с вендорами железа стало понятно что "не так страшен черт...".
И поскольку наше оборудование уже было готово на скажем 90-95% и наша билинговая система была так же настроена на этот сервис - решили не останавливаться и предоставлять превентивно сервис дуалстека всем желающим. Конечно абонент может отключить эту возможность и использовать только IPv4 независимо от своего оборудования. Но обычно достаточно лишь настроить дуалстэк на CPE и получить его, или не настроить и не получить.
Профит скорее всего есть в данный момент только как "конкурентное преимущество", но и по доп. затратам нам это ничего не стоит. Но ведь это же вложения в будущее, по сути мы в него переходим постепенно, а не как у нас обычно и аврально по типу "внезапно пришла зима".
Доп нагрузка на ТП была в самом начале, но тогда и % использования буалстека был низким. Потенциально в сети с поддержкой дуалстека наверное около 35-40%, но реально используют его кмк не более 20%. Это очень прилично для оператора ШПД.
И хотя по количеству трафика IPv6 у этих абонентов составляет примерно около 16% (на общем фоне это вообще около 7% трафика), оно составляет реально много по количеству коннектов мимо NAT.
% роста за последние несколько лет можно сказать что остановился и кмк это в первую очередь потому что в рунете контент-ресурсов по IPv6 представлено мало.
Например всякие IVI и т.п. жирные поставщики трафика (да и торренты тоже) всё ещё отдают в зоне IPv4 - потому-то в количестве трафика IPv6 процент не большой.
Как только такие крупные контент-провайдеры начнут отдавать в IPv6 - у нас % трафика резко подскочит. Например тот же яндексовский kinopoisk давно в зоне IPv6 работает, а вот IVI - пока нет.
Автор точно никогда не внедрял IPv6. Говорю так, потому сам это внедрил и знаю не понаслышке что и как.
По факту внедрение провайдером дуалстека имеет не те проблемы что в статье описаны.
Например, если провайдер предоставляет подключение PPPoE, то 99% оборудования на сети провайдера не требуют поддержки IPv6, а на магистралях IPv6 уже давно обязателен!
Реальные причины медленного внедрения описываю из первых рук т.к. внедрил дуалстэк на 100% покрытия ISP. Т.е. уже лет 5 как любой абонент может себе подключить дуалстэк при условии что его оборудование это умеет делать, ну тот же WiFi-роутер например.
Вот что реально имеет значение
----------------
1. Поддержка IPv6 на железе провайдера - лет 10 назад имело решающее значение, но вот уже лет 5 как проблем нет. На магистральной части сети и в ядре у провайдера железо почти всегда "более свежее" чем на периферии, и следовательно настроить его под дуалстэк и NDP -не проблема!, На перифериипри том же PPPoE-терминировании это не играет вообще никакой роли! Для IPoE - нужна адекватная поддержка NDP и в целом ряда связанных с NDP фич ограничений и безопасности. В схеме "vlan per user" - будет ещё проще. По сути это стартовый и сейчас наименее важный вопрос.
2. поддержка в билинговой системе - это может быть сложно в каких-то системах, но вряд-ли прямо таки критично. Безусловно это требует некого внедрения, как и любые сервисы у ISP. В целом это не настолько и сложно как следующие пункты.
3. Наиболее технически сложные проблемы связаны именно с абонентскими CPE (WiFi-роутеры в 99% случаев) -вот тут до недавнего времени была полная засада с поддержкой дуалстека, особенно с нормальной поддержкой такового. Но сейчас большинство роутеров дуалстек поддерживают, особенно в PPPoE. И, как показала практика, даже наличие адекватной поддержки дуалстека в роутерах проблему не решает кардинально без одного важного условия. Об этом далее.
4. Как ни странно но именно на текущий период (конец 2025г) ещё более важное условие не просто потенциального внедрения IPv6, а именно как массового штатного подключения абонентов к сети Интернет - это банально условие того что в идеале роутер из коробки имеет включенную поддержку IPv6, либо же в компромиссном варианте его стартовый визард настройки должен по дефолту иметь включенным функционал дуалстека и... внезапно! этот функционал должен автоматом понимать какой вид подключения IPv6 используется провайдером. Да-да, этих видов автоматического предоставления IPv6-адресации наплодили минимум 3, а ещё есть их сочетания (О боже! О чем думали эти люди??? ) Я бы для ISP ограничил это все использованием IA_NA или IA_PD адресации, ну и RA конечно, куда же без него! Я знаю подобных на 100% дуалстэковых роутеров на пальцах одной руки - это совсем мало. Выход лишь один - провайдер сам их не начнет массово абонентам предоставлять вместо ширпотреба "за 3 копейки"!
Ещё раз. Если владелец сделал сброс настроек роутера- после этого по дефолту дуалстек на роутере должен быть и он должен быть рабочий как для внешки так и для выдачи в LAN-сегменте и безо всяких "плясок с бубном"! Это краеугольный камень МАССОВОГО внедрения, кто бы чего не воображал иначе. Потому что даже если вы каждый роутер правильно настроите и отдадите абоненту, сброс настроек роутера - всего лишь вопрос времени...
Другой подход - использовать ACS-сервер, который при старте девайса сам его настроит правильно. Но тут проблем больше чем профита, особенно если в сети зоопарк CPE.
У ОПСОС-ов с этим пунктом как раз всё очень хорошо - у них это сразу продумано норм. И именно мобильные операторы (тот же МТС) после внедрения IPv6 имели огромный процент использования сервиса абонентами, более 70% сразу же.
5. Адекватные контент провайдеры с IPv6 и вообще сайтописатели и прочие ресурсы в самом Интернет с IPv6. Этот пункт влияет именно на соотношение IPv4 и IPv6 трафика у пользователя с дуалсткеком. Чем больше % трафика переходит на IPv6 - тем ближе мы к главной цели - отказу от супер-костыльного IPv4+NAT+NAT (и даже ещё пару раз +NAT на стороне другого абонента у другого провайдера!!!). NAT - это вынужденная мера, которая превращена в обязателную!
Гиганты Интернета двигают IPv6, тот же гугл например. А вот мелкие участники - не сильно серьезно это делают. Даже игроделы, онлайн-кинотеатры и пр. не особо шустро шевелятся. Хотя уже пошустрее чем пару лет назад.
На ресурсах в РФ по этому вопросу есть к чему стремиться. Похвалить навскидку могу только Яндекс - у них подход более-менее глобальный на свои сервисы.
6. Сейчас вопрос менее критичен, но на старте был очень злободневный - нагрузка на техподдержку больше с дуалстэком чем с просто IPv4. И даже некие репутационные потери могут быть, хотя виновники в большинстве случаев вне ЗО провайдера.
Казалось бы пользователь получат прогресс, но в то же время и связанные с этим недоработки на всех вышеперечисленных пунктах.
Прример: Некий сайт на IPv6 версии показывает тупо страницу-заглушку, а на IPv4 - все с ним отлично. Виновник - владелец сайта, но страдает пользователь с дуалстэком.
Проблемы прошивок роутеров - туда же! проблемы адекватного инжиниринга IPv6-маршрутов во внешке - туда же! И много чего ещё.