Vlákno názorů k článku O nedostatku IPv4 adres víme třicet let, NAT měl být dočasným řešením od Vrsko - Ahoje, stále pri ipv6 rozmýšľam, či sa firma nestane...
-
Ahoje,
stále pri ipv6 rozmýšľam, či sa firma nestane vazalom ISP. Ako je to potom pri prechode k inému ISP, firma dostane nové rozsahy a tie použiju, ale čo keď sa jedná o väčšie 1 000-ky zariadeni v IT/OT sieti, prechod je dosť náročny. Pri ipv4 prechode, sa zmenia verejne IP a záznamy verejného DNS, lokálne ip adresy ostanú rovnaké a pri prístupe do internetu sa skryjú za novú ip cez SNAT. Robil niekto z Vás už takúto migráciu a vedel by upresniť informácie?
Ďakujem
-
Filip JirsákStříbrný podporovatelAdresy v lokální síti se skládají z adresy sítě a adresy zařízení. Takže při změně sítě se jenom začne oznamovat nový prefix sítě a tím se adresy změní. Pak už jen změníte adresy v DNS a máte vše vyřešeno.
-
Filip JirsákStříbrný podporovatel
To je dosť pracné pri tisíckach zariadení.
Vždyť se to stane samo, v případě IPv6 adres. V případě DNS – pokud nebudete používat lokální nebo místní adresy a pokud na to nebudete mít nějaký systém, kde jen změníte prefix – i když to budete udržovat v textovém zónovém souboru, akorát vyhledáte a nahradíte starý prefix nový prefixem. -
Filip JirsákStříbrný podporovatel
Ano. Vy svou domácí nebo firemní síť často stěhujete po světě? A moc vám vadí, že by je možné zjistit, že je to stále stejné zařízení? V tom případě použijte Privacy extensions. Takové adresy ale zase nebudete cpát do DNS, že.
6. 7. 2024, 13:16 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Telefony a notebooky cestující po světě budou dostávat adresu ze sítě, do které se v tom světě připojí. Změna prefixu domácí sítě je tedy nezajímá.
-
DannyStříbrný podporovatelPrivacy extensions nepouzijete v siti s managed konfiguraci. A do DNS vam to muze nacpat automaticky uz implementace DHCP daemona.
-
Oproti zmene providera pri ipv4 je to ale pri ipv6 pracnejšie, pretože sa musí na inerných systémoch niečo meniť, pri ipv4 sa nemusí meniť nič. Napr. máte OT systémy kde je možná odstávka raz za 1 alebo 2 roky, potom firma môže meniť providera iba v tom okne, pretože musí zmeniť všetkým zariadeniam adresy. Spolupracoval som na projekte, kde sa kompletne prečíslovalo (robila sa subnetizácia) skoro 10 000 zariadení, museli sa osloviť všetci dodávatelia OT systémov a každý systém zanalyzovať a naplánovať jeho zmenu. Neviem si toto predstaviť realizovať, len kôli zmene providera. Zmena providera pri ipv4 môže nastať kedy sa firme zachce. Ja som zástanca ipv6, len ma zaujímaju odpovede na určité otázky a aj toto je možno jeden z dôvodov, prečo sa firmy nehrnú do ipv6.
Možno je najednoduchšia odpoveď na to použiť len iterné ipv6 adresy pre takéto zariadenia, ale potom pri prístupe na internet robiť SNAT, ale nemalo byť ipv6 riešenie, ktoré zruší NAT?
-
DannyStříbrný podporovatel
No, kdyz se pouzivaji zarizeni, kde jsou adresy natvrdo zadratovane tak, ze jste odkazan na sve dodavatele, tak to ale neni chyba protokolu. Spis bych premyslel o tom, jestli ten dodavatel nehazi klacky pod nohy. Zacal bych ale u toho, zda opravdu musi mit vsecky ty zarizeni adresu pevne zadratovanou v sobe. To je takovy navyk, co pretrvava urcite vice jak 30 let, protoze se to tak proste vzdycky delalo. A treba u provozu, kde se hraje na odstavky jednou za 1-2 roku, opravdu tam vsecko potrebuje komunikovat do verejneho internetu? Aneb to je take o tom trosku se u toho navrhu zamyslet. Pokud mluvite o deseti tisicich zarizenich a soucasne rikate, ze vsechno bouchate rucne... pak bych rek, ze chyba bude asi nekde jinde.
-
Pokud se bavíme o industrial OT - Operation Technology - tak jsou to např. nějaká PLC a související zařízení třeba na nějaké lince. Na jedné větší lince jich mohou být vyšší stovky, v jedné větší hale máte 10+ linek, a už se blížíme k 10000 na site, jakých má takový firma globálně desítky.
Nepotřebuje vše komunikovat do internetu, ale mj. potřebujete se skoro vším komunikovat ze serverů. Už kvůli monitoringu, diagnostice, ...
Aktuální state-of-the-art v této oblasti jsou aplikační protokoly jako PROFINET nebo EtherNet/IP. A samozřejmě ruční pevná konfigurace všech adres je prostě best practice v této oblasti techniky. Část zařízení třeba DHCP neumí ani na IPv4. Často IP adresy, nebo třeba jejich poslední byte, prosakují do hloubky aplikační logiky a žádné lepší řešení na to u daného vendora není. Konkurenční vedor má zase jiné speciality, nepomůžete si. Můžeme se bavit, jak je to koncepčně celé špatně, ale na takových technologiích jede celý průmysl, nemáte moc na výběr, má to ohromnou setrvačnost.
Člověk najde papery jak u těchto protokolů uvažují o použitelnosti nad IPv6. Nicméně reálné produkty, aktuálně uváděné na trh, mají podporu IPv6 obvykle žádnou, což platí pro všechny největší výrobce.
Trouble je, že dodavatelé/integrátoři zařízení, kde jsou tyto technologie použity, mají často nějakou jinak těžko dostupnou doménovou znalost, ale kompetence v IT minimální. A je to jen jedno z mnoha kritérií podle kterého dodavatele vybíráte. Akceptace změn souvisejících s přechodem z IPv4 na IPv6 je v tomto prostředí ještě nesrovnatelně pomalejší a komplikovanější než v "čistém" IT/network prostředí. Řekl bych tak 10-20 let pozadu.
Představíme-li si, že toto nějak překonáme, pak je dotaz výše správný. Jaké IPv6 adresy používat pro komunikaci těchto OT zařízení, a jak je managovat? S ohledem na možnost změny prefixu sítě.
Má to spoustu implikací napříč životním cyklem těchto zařízení. Např. je žádoucí, aby části té technologie byly schopny fungovat i bez vnější sítě, třeba při údržbě. Na to by mohly být fajn link-local adresy, v kombinaci třeba s LLMNR. Pro komunikaci "zvenku" pak asi DHCPv6 podle hostname nebo circuit-id. Nebo RA + registrace do DNS. Nebo RA + pevně konfigurovaná adresa v rámci sítě. A podle prostředí buď ULA adresy, nebo globální. V této oblasti nás konsolidace podporovaných technik napříč různými výrobci zařízení teprve čeká.
-
DannyStříbrný podporovatel
No, takze TL;DR privatni IPv6 na tech PLC nicemu neuskodi. V ramci lokalni site neni problem kombinovat routing verejne routovatelnych a tech privatnich adres - tak aby se ty PLC na servery dostaly. A ven to stejne riznete na firewallu. Tam verejky proste nepotrebujete.... a nejspis ani ten NAT.
Ano, svet PLC je... vzato zejmena optikou bezpecnosti jeden velky prusvih a tikajici bomba. Vesmes jde o zarizeni, to driv komunikovala jinak - a ten ethernet a IP stack se tam nejak narychlo dobastlil - coz presne ilustrujete sam. Ale ze "se to tak dela" fakt neznamena, ze se s tim mame smirit. Negativni publicita smerem k danym vyrobcum je vice nez na miste. Nebo snad budeme obhajovat bastly kolem sebe? ;-) Jo, v IT to je moda... ale kdyby vam nekdo stejnym stylem postavil barak, asi byste prskal.
A ano, do IT fusuje dnes kdekdo. Uz pred dvaceti lety jsem si delal srandu z toho, ze za schopneho ajtaka se povazuje kazdy, kdo v instalatoru Windows zvlada mackat tlacitko dalsi. A od te doby se to akorat prohlubuje. A tihle diletanti pomahaji i tomu, ze na vyrobce neni vyvijen dostatecny tlak. Proste se metodou Ctrl/C-Ctrl/V neco naucili a doufaji, ze s tim vyziji az do penze. A samozrejme se to dost pere s tim, ze spousta veci se resi stylem "hlavne levne", kdy se osidi ta technologicka cast - jen aby zbylo vice do vlastni kapsy.
-
Filip JirsákStříbrný podporovatel
Změna ISP při IPv6 může nastat, kdy se vám zachce. Můžete mít dokonce více ISP současně, můžete mezi nimi různě přepínat, můžete komunikaci některých zařízení směřovat přes jednoho a jiných zařízení přes jiného. IPv6 je v tom mnohem pružnější, než IPv4. Například od začátku bylo IPv6 navrženo s tím, že jedno zařízení má více IPv6 adres. U IPv4 je to možné také, ale vzniklo to způsobem „aha, to také jde“, nebylo to něco, s čím by se počítalo od začátku ve všech aspektech.
Nevím, proč pro změnu IP adresy potřebujete odstávku, ani proč přečíslováváte nějak ručně.
ČLÁNKY DO MAILU