Možná jsem v článku přehlédl, ale video z přednášek a materiály jsou na https://www.cesnet.cz/akce/ipv6-2019/ .
zajímavé je, že v popisu přednášek se ztratila jenom jedna, a to ta, která jako jediná nebyla hurá ipv6 vládne světu, ale byla podle mne velmi věcná a pravdivá - Co je špatně na IPv6. Nijak IPv6 nehanila, ale věcně vyjmenovala problémy a končila pravdivě, a to že zatím je, bohužel, IPv6 internetový občan druhé kategorie.
Jde o úmyslné vynechání popsi přednášky která se nehodí, nebo jde o velikou náhodu?
Zase tak zlé to s tou rychlostí podle mě nebylo, ale nejsem novinář/ reportér. Na struktuře nebo prezentaci se určitě dalo ještě zapracovat, občas jsem byl mírně zmaten, ale myšlenku jsem z kontextu nakonec pochopil. Myslím, že záměr byl na slidech mít "mýty", "výmluvy", ale i fakta a ty potom popsat, ale ne nutně rozporovat, jako je jinak běžné.
Radek rozhodně umí dobře přednášet, ale tato přednáška opravdu byla trochu nešťastná...
Jinak byla zajímavá přednáška Tomáše Chotta svým poměrně technicko-netechnickým charakterem a mírou zobecnění. Každopádně si vážím, že přišel a podělil se o svoje postřehy z praxe.
Čím více informací o české ISP scéně mám, tím více jsem přesvědčen, že to všichni více či méně patlají a ono to shodou okolností celkem funguje. Jestli to je cenou vs náklady na běžného uživatele, nedostatkem času technického personálu nebo částečně ignorancí/ ždímání to nevím. Taky je otázka, jestli ví, kde co patlali a počítají s tím/ chtějí to uvést do řádného stavu a nebo jestli si to ani neuvědomují.
Z mého pohledu je v normální firmě, kde jde povětšinou o interní systémy a nějaké velké webové prezentace nejsou třeba těžké motivovat nasazení IPv6. V podstatě to znamená prohrabat se všemi systémy a opravovat pochybně udržované, historické systémy. Hodně produktů, které někdo pořídí jako "appliance" nebudou dobře spolupracovat atp. Přitom přínos je špatně vysvětlitelný a náklady potenciálně poměrně vysoké. V podstatě většině takových firem stačí, když by byl web firmy dostupný po IPv6 a případně nějaký gateway na vzdálenou správu nebo přístup. Zbytek ale nemá tak úplně důvod na IPv6 migrovat (jde spíše o estetiku než o reálný přínos). Přístup na web není tak úplně dobrý argument, protože v továrnách toto není pro většinu uživatelů žádané a pro zbytek uživatelů je každý aspoň trochu důležitý web/ služba na IPv4.
Potřeba Provider Independent adres, když nemám číslo AS, ale více "uplinků" je přinejmenším komplikace.
Rád bych měl nějaký skutečně pádný argument pro nasazení IPv6 v takové továrně, ale nějak na takový nemůžu přijít.
Tak na druhou stranu komu se to nelíbí, ať se tam postaví před celý sál lidí a prezentuje něco podnětného... :-)
Zkusíš prosím zodpovědět moje motivační dilema, proč by např. středoevropská továrna, kde prostě IT je podpůrná funkce, mělo IPv6 implementovat i mimo webovou prezentaci?
(Že to někdo dělá ze zájmu o technologii a tak trochu jako důvod "jarního úklidu" je věc jiná, já myslím argumenty pro management.)
Za sebe bych to viděl takto:
1) IPv4 a IPv6 jsou rovnocenný standardy. Pro komunikaci s vnějším světem josu dneska potřeba oba ( a opravdu se to nespraví tím, že do DNS přidám AAAA ). Proč by měli implementovat nějaký IPv4, když u IPv6 to nemá smysl?
2) Sice se dá s IPv4 only ještě nějakou dobu žít, ale stejně se dá žít s dual stack řešením a už dneska nakupovat věci s podporou IPv6. Pokud by se pak stalo a byl potřeba přechod na IPv6, je minimálně HW ready.
3) Taková firma s IT, který jenom hlídá router, pár switchů a zapojuje kabely do PC uživatele, nakupuje IT služby. Dělat to na dálku je otrava (protože díky tomu, že dochází i privátní IPv4, je najednou problém i s kolizema VPN od různých služeb. Jenom dneska na tom u nás padlo pět člověkohodin).
4) Kdo je připraven, není překvapen. Dá se prostě nasadit dual stack a postupně migrovat interní služby podle plánu. Přejít bude potřeba tak jako tak a je rozdíl mezi plynulým přechodem s náklady rozpuštěnými do třech let a nucenou migrací během jednoho kvartálu.
5) Pokud se používají widle, je bezpečnější dual stack. Jeden nikdy neví, kde se co po aktualizaci rozbije a pokud to padne na IPv4 stack, s IPv6 jede aspoň něco*.
6) Každý oddělení ve firmě musí vykazovat činnost. Pokud vedoucí IT není blbec, vyargumentuje si sudii a pak dlohodobý plán na IPv6. Trochu času věnuje na powerpointy pro vedení a z rozpočtu na akci posílí boavý místa v síti, kde to nejvíc pálí.
7) Osobní rozvoj lidí v IT. Za pár let bude shánění práce pro člověka se znalostí jenom IPv4 stejný oříšek, jako dneska pro programátora, který zná jenom Delphi. Nebo embeďáka, který zná jenom ASM 8051. Proč se to nenaučit, dokud je čas, a za prachy zaměstnavatele?
8) IPv6 je levnější.
*) Ne jenom widle. Před rokem doma chcípl DHCP démon v routeru. Zjistil jsem to až po pěti dnech, když jsem něco potřeboval na jednom IPv4 only webu. Mobily a počítače si prostě vzaly prefix z RA, udělali si IPv6 adresy a vůbec to nebylo poznat.
Děkuji za odpověď, Vážím si Vašeho času s jejím psaním.
Mám pocit, že pro management v naší firmě žádný z těchto argumentů není opravdu zásadní aby v podstatě na několik let museli vypsat další minimálně jedno pracovní místo - protože už teď je backlog prací dlouhý dost a nechci vědět, kde všude je IPv4 napevno a co IPv6 neumí a je v aktuální situaci nevyměnitelné.
Jak jsem nastínil, pro komunikaci s externím světem je dnes skutečně potřeba jen jeden protokol a to je IPv4. Když by byly protokoly rovnocenné, tak byste si výpadku DHCP nevšiml do té doby, než byste se kvůli jiné věci přihlásil do administrace routeru nebo na počítači neviděl běžnou IPv4 adresu. Zrovna tak by operátoři a ISP problémy s IPv6 opravili stejně rychle, jako problémy s IPv4.
Resp. v takovém stavu by nebyl důvod IPv4 udržovat, když by to byly rovnocenné standardy. I když by se mi to líbilo nemuset se touto diskuzí zabývat a mít např. jen IPv6, které řeší různé problémy, tak realisticky si musím přiznat, že v této situaci nejsme.
Vzhledem k tomu, že aktuálně firma nemá žádného full time čistě síťaře a většinu zásadních úkonů/ migrací dělá dodavatel síťového hardwaru ve spolupráci s adminy, kteří ale kromě sítě mají na starost např. databázi nebo jiné systémy se vlastně není ani čemu divit.
Jsou to rovnocenný standardy z pohledu RFC a použitelnosti. Nerovnováhu dělá jenom to, že ještě někteří pitomci nepřešli na IPv4.
Ta smrt DHCP nastala v noci z neděle na pondělí. Mám full dual stack a nemám moc času sledovat TV. V sobotu jsem chtěl po týdnu mrknout na něco v iVysílání ČT a nějak to nejelo... Všechno ostatní (tiskárna, weby, sdílení souborů, mobily,....) bylo v cajku a ani mě nenapadlo, že nemám pár dní IPv4.
Jediný, co momentálně neumí IPv6, je telka (HbbTV, DLNA) a IPTV set top box. Jinak výpadek IPv4 vůbec nebolí.
Že teď není čas na IPv6? A teď ten o blondýně, jak veslovala v kukuřici. Dělal jsem v jedné firmě, kde se IPv6 považovalo za sprostý slovo. Do chvíle, než přiletěl brečící naštvaný obchodní ředitel, že nevyšel kontrakt, který by firmu uživil půl roku - kvůli tomu, že zákazník chtěl řešení s IPv6. A my jsme to co? No neuměli, protože naše slavný IT oddělení se toho bálo a ještě slavnější management to považoval za úplnou zbytečnost. To se najednou děly věci...
Vy jste to v popsal. Jen se ISP nedivím. Oni totiž mají hned několik problémů, zůstaňme prosím jen u koncových domácích zákazníků. První z nich je správa databáze IPv6 adres, jinými slovy, do téhle chvíle platilo "pravidlo" 1 zákazník = 1 IP adresa, nyní ale platí v horším případě 1 zákazník = /64 . Na jiné řešení většinou ISP nejsou připraveni a není to tak jednoduché, zvláště automatizovat celý tento proces. Druhý problém, který řeší je ten, že zákazník chce internet, neboli seznam, facebook, youtube a většina koncových zařízení, neboli lacinná čína, na IPv6 není připravena. Koupíte v prvním obchodě router, zapojíte do zásuvky, WAN k ISP a internet funguje (že v pozadí je DHCP a NAT nemusíte vůbec tušit). To ale u IPv6 neplatí, je nutná trochu rozsháhlejší technická znalost. Část čínských výrobců implementuje IPv6 navíc podivně. Proto ostatně, třeba na přednáškách zmiňovaná Poda, podporuje jen své koncové zařízení, IPv6 nastaví vzdáleně a zákazník dostane "internet". Je asi dobré na problematiku nepohlížet očima sociální bubliny okolo root.cz , protože zde jsou většinou v oboru technicky zdatní lidé, ISP se pohybují ve zcela jiných vodách.
A jaký je rozdíl mezi "1 zákazník = /64" (VDSL O2) a "1 zákazník = /56" (VDSL T-Mobile)?
Koncová zařízení (VDSL) na IPv6 připravená jsou, UPC dává své modemy, které IPv6 mají cca 2 roky (jakkoli to má debilní firmware).
S VDSL nebo UPC to funguje stejně - zapojíte, zapnete a máte IPv6 (a IPv4 přes CGNAT - a u T-Mobile možná i veřejnou IPv4). O ničem nevíte, IPv6 máte. Jaká rozsáhlejší technická znalost se od mně, jakožto koncáka, čeká?
Má nějaký smysl rezervovat větší blok a pak jej celý přidělit jen na požádání?
Snad jen, že během té vyřizování té žádosti můžeš zkoušet zákazníka přesvědčit, aby si koupil i lepší IPTV, IP telefon a výhodnější mobilní tarif. Jinak je to jen promarněný čas technické podpory a vyvíjení systémů, které budou výjimky spravovat.
13. 6. 2019, 10:28 editováno autorem komentáře
Nevím, nejsem v situaci, kdy bych buď a) IPv6 spravoval nebo b) byl v takovém případě nějak tlačen do opatrnosti v přidělování podsítí.
Myslím si ale, že ta myšlenka má určitou výhodu. Požadavků na rozšíření z /60 na /56 by bylo asi tak stejně, jako aktuálně požadavků na implementaci IPv6 nebo technické výtky v tomto ohledu, tedy něco, co se v technické podpoře jinak ztratí.
Výhoda by byla, že do budoucna by vždy byla flexibilita příděl zvětšit a nebo rezervovaný blok vyplnit /60 sítěmi bez přečíslování.
Taky je otázka, jak ISP svoje uživatele spravuje, jestli IP adresy v případě stěhování putují s uživatelem (a jsou tedy podobně jako např. telefonní číslo svázané s uživatelem) nebo jestli jsou IP adresy svázány s číslem okruhu (circuit ID nebo tak) a jsou na rozdíl od telefonního čísla do určité míry svázané s lokalitou.
Výhoda by byla, že do budoucna by vždy byla flexibilita příděl zvětšit a nebo rezervovaný blok vyplnit /60 sítěmi bez přečíslování.
Tahle výhoda ovšem padne, bude-li ve skupině byť jen jediný zákazník, který si příděl nechá rozšířit. Vznikne z toho nestandardní situace, která bude vyžadovat větší pozornost a může být zdrojem chyb.
Pro rezidentní zákazníky se dlouhodobá stálost adres zpravidla negarantuje. Pro ISP se proto vyplatí spíše dávat stejné kategorie zákazníků těsně k sobě a případné rozšíření adresního prostoru řešit přesunutím zákazníka do jiné skupiny. Mnohem jednodušší je ale to prostě neřešit a nechat všem dostatečně velký prostor. Což /60 není, přinejmenším do doby, než se stane běžným protokol Homenet. Do té doby si zřetězené routery ukrajují striktně hierarchicky, a tím se /60 vyčerpá velmi velmi rychle.
Nehledě na to, že uživatelé trpí potichu. Spousta zákazníků, než by se doprošovala o rozšíření přídělu, byť by to bylo zdarma, bude radši vymýšlet, jak omezení obejít pomocí NAT66 nebo třeba ProxyNDP.
Myslím, že jádrem diskuze je, že /64 je prostě nedostačující už i pro relativně jednoduché případy. Můj argument, který je jistě kompromisem je, že většině i technických rezidentních zákazníků by i /60 stačilo a ISP může příděl /60 + rezervaci /56 vidět jako určitý mezikrok, který mu pořád ještě umožňuje u menšího přídělu zůstat.
Všichni se můžeme shodnout, že /56 je asi rozumný příděl, který je v současném stavu rozhodně nasaditelný a dlouhodobě udržitelný. /48 je pro koncové zákazníky asi přeci jen moc. /64 je zase příliš málo a podporuje tvorbu rovnáků na ohýbáků. /60 je asi nejmenší "šetřivý" příděl, který by mě osobně nenadchl, ale upřímně ani neomezoval.
Na jedné vesnici, v rodinným domě, žila byla spokojená rodinka. Rodiče měli dva syny, Pepu a Karla. Mimo toho měli přípojku s IPv6 prefixem 2001:1234:5678:ab00::/56. Karel dělal do IT a mimo normální LAN a WiFi s prefixem 2001:1234:5678:ab00::/64 zařídil ještě kamery kolem baráku ve vlastní síti 2001:1234:5678:ab01::/64 a protože se našlo i pár IoT věcí a nechtěl i zavirovat síť, dal je do vlastní sítě 2001:1234:5678:ab02::/64.
Když byli kluci dospělí, zemřeli jim rodiče a zdědili dům na polovic. Dohodli se tak, že si dům rozpůlí, Karel bude v přízemí a Pepa si vezme patro. A že oba budou mít oddělený sítě, jenom pro návštěvy a mobily budou sdílet starou 2001:1234:5678:ab00::/64. Karel hbitě nastavil z hlavního routeru delegování prefixů na oba routery - na svůj 2001:1234:5678:ab80::/58 a Pepovi dal 2001:1234:5678:abc0::/58.
Karel si samozřejmě nechal vlastní "hlavní" síť 2001:1234:5678:ab80::/64 a IoT 2001:1234:5678:ab81::/64. Pak někdo přišel s geniálním systémem wearables, stojících na TCP/IP a gatewayi. Gateway udělá bridge pro až 16 osob, každé dá k dispozici vlastní síť /64. Takže tahle hračka požere prefix 2001:1234:5678:ab90::/60...
A jak to dopadlo?
2001:1234:5678:ab00::/56 od ISP
- 2001:1234:5678:ab00::/64 - WiFi pro návštěvy a v altánku
- 2001:1234:5678:ab01::/64 - Kamery
- 2001:1234:5678:ab80::/58 - Delegováno Karlovu routeru
-- 2001:1234:5678:ab80::/64 - Karlova LAN
-- 2001:1234:5678:ab81::/64 - Karlovy IoT
-- 2001:1234:5678:ab82::/64 - Karlovy pokusy v pracovně
-- 2001:1234:5678:ab90::/60 - osobní sítě v Karlově domácnosti
--- 2001:1234:5678:ab90::/64 - Karlovy hodinky, sluchátka, ...
--- 2001:1234:5678:ab91::/64 - Mániny (Karlova přátelkyně) osobní předměty
- 2001:1234:5678:abc0::/58 - Delegováno Pepovu routeru
-- 2001:1234:5678:abc0::/64 - Pepova LAN
-- 2001:1234:5678:abc1::/64 - Pepova IoT
A těší se, že až se Karlovi a Máně narodí první svišť, dostane chůvičku s IP z rozsahu 2001:1234:5678:ab92::/64
Domácí úkol: Převyprávějte to s přídělem /64 od Kyslíkářů nebo s ubohou /60
to jde ale prece velice jednoduse, staci nahlednou pres pruhledne steny sve IT bubliny.... takze druha verze pohadky trochu vic z reality....
Karel ma male reznictvi a chtel mit doma internet protoze deti chteji koukat na youtube. Nechal si tedy domu zavest pripojku kterou mu technik zakoncil wifi routerem. K tomu od providera mimo jine dostal i prefix /64, coz ale vubec netusi, protoze ostatne ani netusi co to je IP adresa a je mu to tak nejak uplne jedno.
Za routerem si tedy vesele provozuje svou malou sit, pripojuje dalsi a dalsi zarizeni a ta sama od sebe funguji, staci vzdycky jen zadat jmeno a heslo k wifi. Mezitim se rodina rozsirila, pristehoval se k nim jeho bratr taky s rodinou a prestoze uz na sve male siti maji pripojene stovky zarizeni, porad vsechno funguje.
Vsichni jsou stastni a to ani netusi ze uz jim z prideleneho prefixu zbyva jen asi poslednich 18 miliard volnych adres na dalsi zarizeni.
Zazvonil zvonec a pohadky o tom ze koncak chce resit jaky dostal prefix je konec.
Karel jako koncák to řešit nechce, on ani neví o tom, že něco jako IP adresa existuje. Jeho děti Martin a Klára to také neřeší, zatím si vystačí s koukáním na YouTube. Ale Martina nebaví jen koukat na YouTube a vrtá se v počítačích více. Takže za rok za dva bude vědět, co je to IP adresa, síť a maska a zjistí, že jejich několik stovek zařízení v jedné síti není to pravé. Proto se rozhodne udělat podsítě, jenže neudělá, protože má k dispozici jen jednu síť. Bude to řešit s providerem a ten mu možná po roce dá za příplatek /56. A takových Martinů se začne providerovi ozývat postupně více a ten nebude řešit nic jiného, než změny prefixů u klientů. Přitom kdyby na začátku dával /56, bude moci energii věnovat třeba na vylepšování sítě a kvůli Martinovi (a jemu podobných) nebude muset ani hnout prstem.
Nejčastěji na nutnost podsítí lidi narazí v momentě, kdy si chtějí nějakou privátní službu nechat povolit jen pro svou IP adresu. Zjistí, že ve většině sítí s IPv6 něco takového dělat nejde jinak než rozdělením na podsítě a nebo manuální konfigurací. Což je tak nějak vlastně správně, protože drtivá většina L2 sítí stejně neobsahuje žádné zabezpečení proti nejrůznějším útokům.
To Gosoft:
Aky je rozdiel v sprave databaz medzi pravidlom 1zakaznik = 1IP a novym 1zakaznik = /64(/56)? Nevidim v tom nejaky strasny problem neevidovat v databaze u zakaznika pridelenu IPv4 adresu ale prideleny IPv6 rozsah. Nepripada mi to ako nadludska uloha a problem to zautomatizovat.
Za druhe nevidim problem ani v koncovych zariadeniach. Bud poskytujem vlastne zariadenie(co robi asi vecsina) alebo ak zakaznik chce pouzit vlastne zariadenie, tak s tym, ze nebude mat take garancie a mozne problemy. BFU v mojom okoli beru zariadenie od ISP(nevidel som este ani jedneho,ktory by si kupoval vlastne zariadenie. Netvrdim ale, ze taky niesu) a vlastne zariadenia chcu len ti technicky zdatny.
Taky me to obcas napada, ale porad mi dava trosku vetsi smysl, ze v pripade malych ISP, kteri maji verejnych adres jen hrstku, je to opravdu regulacni mechanismus. Proste jich nemaji tolik, aby mohli dat kazdymu a priplatek zajisti, ze si ji poridi jen ten, kdo ji opravdu potrebuje. Pro ISP jsou to sice prachy za nic, ale opet, pokud maji verejnych adres hrstku, moc z toho nevytriskaji, tzn. nedava smysl, aby na tom nejak extra lpeli.
Trochu mi pak chybi vysvetleni, proc nenajdou trosku vic nadseni pro IPv6, ale ani to nebude moc slozity. IPv4 s NATem funguje (= vetsina zakazniku si nestezuje), ISP natoval odjakziva (= zadny velky skokovy naklady na CGNAT ho necekaji), na IPv6 se zeptaji dva zakaznici do roka (= "nikdo to nechce"), ... porad to stejny jako uz mnoho let.
1) IPv4 s NATem prostě nefunguje. Internet je síť sítí a má zajistit nativní přístup za zařízení A v síti X na zarízení B v síti Y. S NATem to "funguje" jen pokud A je konzument obsahu a B je veřejný zdroj obsahu (s veřejnou adresou). Proto každý, kdo chce prodávat "Internet", "Připojení k internetu" nebo si říkat "Internet Service Provider" by měl mít mechanismus, jak podmínku komunikace dvou zařízení v libovolných sítích splnit. Tou není NAT za CGNATem, ale v dnešní době výhradně IPv6.
2) Zákazníci si stěžujou. V okamžiku, kdy je online hra vykopne, protože jich hraje 20 z jedné IP adresy. V okamžiku, kdy se nemůžou dostat z venku na svůj počítač. V okamžiku, kdy některým z nich provozovatel vypne "prostředníka" v internetu a oni nedokážou ovládat mobilem topení v té samé místnosti...
3) NATuje se sice odjakživa, žeelzo mají, ale pokud firma roste, musí se posilovat. A pokud firewall bere 500W a NAT 5KW (úměrně toku, který přes něj jde), zapnutím IPv6 a penalizací IPv4 časem 10ms jde najednou po IPv4 jenom 20%, je z 4.5kW na 1.5kW. Neříkej, že to není lákavý.
4) ISPík má jistou povinnosti i k policii. S IPv4 musí evidovat, kdo, kdy a jakou adresu dostal, takže importovat DHCP CGNATu do CRM. S IPv6 prostě přidělí zákazníkovi prefix, v případě potřeby mrkne do tabulky, kdo má prefix předělený a je to odbyto.
1) Pro 99 % BFU internet == web, a ten funguje.
2) Neznám žádného BFU co by chtěl "z venku" přistupovat ke svému počítači. V praxi je ani nenapadne, že by to mělo vůbec jít.
3) Budiž
4) Ani bych se nedivil, kdyby ISP naopak uživatelům přiděloval prefix dynamicky a to ještě tak, aby se opravdu každých 24 hodin změnil. Kdo chce prefix statický, ať si připlatí.
„Nenapadne“ neznamená „nechtěl“. Myslíte, že lidé chtějí auta? Řekl bych, že ano. Ale dříve je také „nechtěli“, nenapadlo je to – chtěli rychlejší koně. Že lidé ve skutečnosti chtějí přistupovat z venku ke svému počítači jste sám napsal o kousek výš. Psal jste, že přenášejí soubory na flash disku. Zeptejte se jich, jestli by chtěli přenášet soubory z počítače na počítač stejně snadno, jako je přenášejí s flashky na počítač. že by soubor nekopírovali z jednoho počítače na flashku a z flashky na druhý počítač, ale zkopírovali by jej rovnou z prvního počítače na druhý. Samozřejmě, že by to chtěli. Ale chtěli by to, aby to fungovalo stejně jednoduše, jako s tou flashkou. Tedy žádné, že budou zjišťovat, jestli mají od ISP veřejnou IP adresu a konfigurovat NAT. Prostě jen v průzkumníku otevřou ten druhý počítač, stejně jako otvírají flashku.
Jenže aby v průzkumníku otevřelí ten druhý počítač, musí pro to být nakonfigurovaný. Což v defaultu není a z bezpečnostních důvodů nikdy nebude. A nastavit sdílení není v silách běžného BFU, respektive opět ani neví, že by to mělo jít.
Je potřeba vykouknout z ajťácké sociální bubliny, a podívat se na to optikou obyčejného, tupého uživatele, co je rád že PC vůbec zapne.
To je právě příklad, na kterém jde vidět, že stejně jako můžete mít Internet, nebo Internet, můžete taky mít IPv6, nebo IPv6, přičemž pokaždé je to kvalitativně něco jiného.
Otázkou je, zda jsou tyto paskvily či některé výmluvy obhajitelné, když např. zmiňovaný T-Mobile má IPv6 bez kompromisů (zde právě na příkladu O2 je vidět jev z 1. věty) a NEDISKUTUJE kolem toho.
U routing-switchů, které používáme ve firmě jsem našel jen údaj o MAC address table size a to je 64k záznamů. Myslím, že to s tím nemá nic do činění a nedá se z toho odvodit, kolik ARP/ ND záznamů může maximálně koexistovat.
Mám takový hloupý pocit, že na switchi který má 2 GB RAM (Aruba 3810M, ne zrovna nový model) problém s velikostí tabulky nebude ani u velkého počtu připojených uživatelů i jejich zařízení.
U IPv4 tohle řeší u providera NAT koncových zařízení, který schová vnitřní adresy za jednu veřejnou. U IPv6 by tohle mohl řešit prefix-delegation? Nemám představu, ale určitě by bylo zajímavé zjistit, jestli to může být problém... třeba se dozvíme 4. června 2020
MAC address table size je parametr pro L2 switch. Velikost tabulky sousedů je spíš záležitost routeru, potažmo L3 switche (což je vlastně totéž). Ale i ten sebedražší nemá kapacitu na uložení všech 18 trilionů možných sousedů v /64. Pokud tedy útočník bude posílat každý paket na jinou adresu z daného /64 a ty adresy budou navíc neobsazené, spousta routerů to bude těžko snášet protože vyčerpá veškeré prostředky Control plane na hledání neexistujících sousedů. Zmenšení podsítí, tedy prodloužení prefixu, tenhle problém zmírňuje.
Kolega se ale zmiňoval o prefixu /92, což mi stejně dá něco jako 2^36 záznamů ~ 64 miliard a i to je z praktického hlediska mimo možnosti i těch nejlepších routerů.
Jinak proto jsem psal o velikosti RAM toho modelu router-switche - protože jsem vycházel z toho, že když to neuvádí, že to asi bude záviset na RAM a bude implementováno aspoň částečně v tzv. slow-path/ softwaru. Předpokládám, že záznam v ND nebo ARP cache bude router či switch udržovat delší dobu jen pokud dostane z takové adresy odpověď?
Docela by mě to zajímalo, jak to vlastně je, zkusím se na to při nějaké příležitosti podívat. Aby to nakonec nebyl nějaký důvod jako zde:
https://blog.bimajority.org/2014/09/05/the-network-nightmare-that-ate-my-week/
kdy privacy adresy shodily MIT CSAIL síť