У IEEE уже были идентификаторы EUI-48, которые состоят из 24 бит OUI (ID фирмы) ии ещё 24 бит, которые фирма сама придумывает, как хочет. EUI-64 — это тоже 24 бит OUI + 40 бит на полёт фантазии производителя.
Простой пример: ваш завод выпускает космолёты X-1, X-2 и так далее. Примерно на X-7 приходит понимание, что нумерацию нужно расширить и сделать двузначной. Для «обратной совместимости» старые модели тоже получат такую нумерацию и будут обозначаться, например Х-01, Х-02 и так далее. Единственное отличие, что IEEE решила, что не Х-01, а Х-91 (т.е. под это выделили не начало, а конец нового диапазона).
В целом да, и сейчас не могу найти тот RFC, в котором за не-/64 адреса обещали кары небесные. Возможно, почудилось от черезмерного курения RFC, или он уже благополучно устарел.
On-link — очень интересный принцип. Пока ещё не экспериментировал, но в теории получается можно сделать L3 не просто на Access, но и на каждом порту коммутатора, исключив L2-сегменты как явление.
Чтобы не утверждать голословно: есть обзор ссылок, упоминаний в RFC и потенциально ломаемых технологий вот здесь.
Интересные наблюдения в этой статье на blog.ipspace.net. Если вкратце, на Cisco Nexus 5500 заложено 16к совокупно IPv4 и IPv6 маршрутов, а также 128 маршрутов с longest prefix match. Наиболее вероятно, что чисто технически это эквивалентно 16к /64 маршрутов и всего 128 остальных маршрутов, в том числе и более длинным префиксом.
В том и дело, что по сути требуют, иначе ломаются некоторые механизмы IPv6, и оборудование потенциально может чудить. Кто-то утверждает, что всё отлично, и проблем никаких, но по RFC /64 и только /64 (за очень редкими исключениями в виде /127).
Насчёт ограничения «broadcast-домена» (широковещания-то в старом смысле нет) — не про "on-link" речь?
Не соглашусь с «обычно». Опыт показывает, что обычно делают так, как проще, а потом, если прижало, пытаются заткнуть дыры и приделать подпорки. Вы, конечно, возразите про квалификацию и стандарты, но реалии, увы, такие. Предположим, телефон или ноутбук у начальника, WiFi он хочет, а менять чудо-девайс не хочет. Много ли среднестатистических админов категорично скажут «Покупайте новый»?
И WPA2-Enterprise с AES видели далеко не все, а уж настраивали…
Я лично надеюсь, что так и случится: меньше атак — проще безопасность.
Статья писалась не как «ужас-ужас-ужас», и больше для иллюстрации интересного явления. Безобидные и даже полезные особенности IPv6 в сочетании не самой лучшей их реализацией могут привести к потенциально большим проблемам. При этом IPv4-мышление может помешать их увидеть.
Вообще, планировалось написать несколько подобных статей «Что есть в IPv6, чего нет в IPv4», если будет интерес. По опыту для многих это ещё в диковинку, а первый вопрос — «Это что, все внутренние компы будут с Интернета видны?».
На эту тему кто-то пошутил: «Сейчас обычные DDoS бывают больше, чем весь IPv6-трафик вместе взятый». В лабораторных экспериментах по состоянию на 2011 (когда тема получила более широкую огласку) результаты были разные. Некоторые устройства от крупных вендоров благополучно складывались, ряд ОС тоже был подвержен. Есть вероятность, что проблему до сих пор закрыли не везде + старые ОС и устройства тоже никуда не делись.
Были ли случаи «в дикой природе»? Такой информации найти не удалось, хотя было бы любопытно. Думаю, когда (если) IPv6 взлетит, кто-нибудь обязательно попробует.
Это примерно как WEP: в теории должен обеспечивать безопасность, на практике годен разве что для защиты от «пионэров». И ведь многие до сих пор используют. Поэтому с точки зрения удобства пользователей так проще, но вот в плане безопасности — fail.
Спасибо за идею! Обязательно потестируем уровень депрессии с и без SAD и NOHOPE, а также в зависимости от времени года (по отзывам весной и осенью из-за плохой погоды бывает резкое усиление). Модель с розовыми вставками — Cisco Fatalyst EMO, по идее waterproof, должна давать примерно одинаковую депрессию круглый год.
Простой пример: ваш завод выпускает космолёты X-1, X-2 и так далее. Примерно на X-7 приходит понимание, что нумерацию нужно расширить и сделать двузначной. Для «обратной совместимости» старые модели тоже получат такую нумерацию и будут обозначаться, например Х-01, Х-02 и так далее. Единственное отличие, что IEEE решила, что не Х-01, а Х-91 (т.е. под это выделили не начало, а конец нового диапазона).
Вспоминая про Skype, хочется спросить: есть ли в комплекте программа Wiretap для спецслужб?
On-link — очень интересный принцип. Пока ещё не экспериментировал, но в теории получается можно сделать L3 не просто на Access, но и на каждом порту коммутатора, исключив L2-сегменты как явление.
Интересные наблюдения в этой статье на blog.ipspace.net. Если вкратце, на Cisco Nexus 5500 заложено 16к совокупно IPv4 и IPv6 маршрутов, а также 128 маршрутов с longest prefix match. Наиболее вероятно, что чисто технически это эквивалентно 16к /64 маршрутов и всего 128 остальных маршрутов, в том числе и более длинным префиксом.
Насчёт ограничения «broadcast-домена» (широковещания-то в старом смысле нет) — не про "on-link" речь?
И WPA2-Enterprise с AES видели далеко не все, а уж настраивали…
-когда-то настроили, всё и так работает
-тыкнул первое в списке
-???
Похожая ситуация с WPA и WPA/WPA2.
Статья писалась не как «ужас-ужас-ужас», и больше для иллюстрации интересного явления. Безобидные и даже полезные особенности IPv6 в сочетании не самой лучшей их реализацией могут привести к потенциально большим проблемам. При этом IPv4-мышление может помешать их увидеть.
Вообще, планировалось написать несколько подобных статей «Что есть в IPv6, чего нет в IPv4», если будет интерес. По опыту для многих это ещё в диковинку, а первый вопрос — «Это что, все внутренние компы будут с Интернета видны?».
Были ли случаи «в дикой природе»? Такой информации найти не удалось, хотя было бы любопытно. Думаю, когда (если) IPv6 взлетит, кто-нибудь обязательно попробует.