IPv6 - od myslenky k nasazeni

Bezplatné komerční sdělení, které má souvislost s ISP problematikou / Automatické pročištění vlákna do 30 dnů od posledního příspěvku.
radik
Příspěvky: 233
Registrován: 3 years ago

Re: IPv6 - od myslenky k nasazeni

Příspěvekod radik » 3 weeks ago

TTcko píše:
radik píše:
TTcko píše:
jak všude? prostě to nastavíš na ty access routery, které považuješ za málo výkonné, takže typicky mipsbe a jiné sračky, na CCR, nebo nových ARM je úplně jedno kolik tam máš routes


Uz jsem ti psal, ze jen vykon neni duvod proc se dela sumarizace siti. Tak proto to muze byt pro nekoh problem. Ale to je fuk, budes si porad valit to svoje.

Pokud by neko chtel pomoct nebo poradi tak klidne muze SZ. Do tohoto vlakna uz neodpovidam, protoze je to marny. Ostatne uz jako vse tady na fory, kdy se snazi kazdy k necemu vyjadrit i kdyz o tom nic nevi dalsiho.


ok, napsal si že to není kvůli výkonu, kvůli čemu jinému to tedy je?


Uz jsem to tu jednou psal. Treba protoze BGP... tak si to najdi
0 x

ludvik
Příspěvky: 3941
Registrován: 7 years ago

Příspěvekod ludvik » 3 weeks ago

Ne, problém tohoto fóra je, že se každý hned urazí nebo naštve, když si s někým napoprvé neporozumí. Jo a taky psaní obecně. Nabízíš radu ty ostatním, nebo čekáš rady pro své problémy v SZ?
radik píše:Pokud by neko chtel pomoct nebo poradi tak klidne muze SZ. Do tohoto vlakna uz neodpovidam, protoze je to marny. Ostatne uz jako vse tady na fory, kdy se snazi kazdy k necemu vyjadrit i kdyz o tom nic nevi dalsiho.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

radik
Příspěvky: 233
Registrován: 3 years ago

Příspěvekod radik » 3 weeks ago

ludvik píše:Ne, problém tohoto fóra je, že se každý hned urazí nebo naštve, když si s někým napoprvé neporozumí. Jo a taky psaní obecně. Nabízíš radu ty ostatním, nebo čekáš rady pro své problémy v SZ?
radik píše:Pokud by neko chtel pomoct nebo poradi tak klidne muze SZ. Do tohoto vlakna uz neodpovidam, protoze je to marny. Ostatne uz jako vse tady na fory, kdy se snazi kazdy k necemu vyjadrit i kdyz o tom nic nevi dalsiho.


Kdyz napisu "kdyby nekdo chtel pomoct", tak myslim "kdyby nekdo chtel pomoct". Kdybych potreboval pomoct ja, tak bych napsal at mi napise nekdo do SZ, kdo by mi mohl pomoct...
0 x

Uživatelský avatar
TTcko
Příspěvky: 449
Registrován: 7 years ago

Příspěvekod TTcko » 3 weeks ago

radik píše:
TTcko píše:
radik píše:
Uz jsem ti psal, ze jen vykon neni duvod proc se dela sumarizace siti. Tak proto to muze byt pro nekoh problem. Ale to je fuk, budes si porad valit to svoje.

Pokud by neko chtel pomoct nebo poradi tak klidne muze SZ. Do tohoto vlakna uz neodpovidam, protoze je to marny. Ostatne uz jako vse tady na fory, kdy se snazi kazdy k necemu vyjadrit i kdyz o tom nic nevi dalsiho.


ok, napsal si že to není kvůli výkonu, kvůli čemu jinému to tedy je?


Uz jsem to tu jednou psal. Treba protoze BGP... tak si to najdi


Na to sis sám odpověděl, přímo v té tvé myšlence, to přeci řešíš přímo v nastavení BGP, ne? ale v poho, myslel jsem si že si tím nejseš až tak moc jistej a tak to řešíš jen hypoteticky... my máme dva BGP routery, na kterých je samozřejmě v BGP propagováno vše ve formě přidělených rozsahů od RIPE. Dokonce to je na L3 Aristách .. a funguje to víc než dobře.
0 x

Uživatelský avatar
hapi
Příspěvky: 11564
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 3 weeks ago

ludvik píše:Hele hapi, ty fakt provozuješ u zákazníků (doma) OSPF?


doma ne, na wan straně pro ty kteří maji veřejku.

Dělám to prakticky stejně jako IPv6 kromě toho že OSPFv3 může ject na link-local adresách tak u IPv4 použiju nějaký neveřejný ip adresy pro nahození OSPF. Tim je postavená routovaná backbone od hlavní GW až po sektor a klienti v tomhle případě SXT (aby jsme byly víc v obraze) pokud chtějí IPv4 veřejku tak vytvořim v SXT bridge bez iface a navěsím veřejku na něj a upravím nat atd.. a spustím OSPF. Tím se zajistí nativní průchod veřejky až na router tak jak bejvá běžně u DSL kdy je veřejka na routeru přímo a zároveň spotřebuju jenom jednu veřejku na klienta protože /32 přímo na jednotce bez potřeby pppoe.

Takhle přesně se prakticky doporučuje routovaná backbone i pro IPv6 pokud vím a když chceš mít router po cestě dostupnej přes IPv6 tak si vemeš jednu /128 a na dáš ji taky na prázdnej bridge a OSPFv3 už si to pořeší samo.

Pro nás je důležitý nemít centrální bod. Prostě nic takovýho u nás neni. Nemáme pppoe server jako centrum a nebo dhcpv6 pro centrální delegaci prefixů. Sektory u nás nedělaji pppoe koncentrátory klientům, nedělaji ani dhcp relay nebo nedelegujou prefixy od nadřazenýho dhcp. Dělaji jenom router pro svoje klienty čistě v fast path režimu abych upřesnil že opravdu nic nedělají kromě OSPF.

Jenomže je mi jasný že když postavim tohle na IPv6 kde prakticky všude bude OSPFv3 a propagovat klientův prefix k nám tak jednak narazím na to že budu mít na hlavní GW minimálně tolik prefixů jako je klientů a to samí bude i na backbone což by se dalo řešit vyhrazením menších prefixů per sektor a propagovat z nich jenom větší prefix což by tak těžký nebylo. No ale další větší problém by nejspíš nastal v komunikaci lidí mezi sebou protože je všechno globální a pak už není moc možností jak omezit lidi aby nezlikvidovaly rychlostě sektory. Už i blbej skype jede na přímo po ipv4 a v ipv6 pojede všechno na přímo. Jo shaping na sektory ale to už musí systém šahat na sektory a nastavovat na nich nějaký QTčka a podobně což se mi fakt nechce řešit a tohle zase řeší pppoe i na ipv6... hmm jenomže to je pppoe :-D
0 x

ludvik
Příspěvky: 3941
Registrován: 7 years ago

Příspěvekod ludvik » 3 weeks ago

Já se ptal proto, že mít OSPF tam, kde jsou lidi bych si tedy netroufl. Nikdy nevíš, co tam kdo pustí.

Ale když už ... množství prefixů je fakt vcelku fuk. Kolik máš klientů? I hodně staré RB neměly problém s tisíci routami.
I když je fakt, že agregace na posledním hopu by se mi líbila také (bez nutnosti area v OSPF).
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Uživatelský avatar
okoun
Příspěvky: 5732
Registrován: 9 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 3 weeks ago

ještě k těm filtrům pro ospfv3 zjevně to mkčko nemá dodělané... https://forum.mikrotik.com/viewtopic.php?t=116272
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...

Uživatelský avatar
TTcko
Příspěvky: 449
Registrován: 7 years ago

Příspěvekod TTcko » 3 weeks ago

ludvik píše:Já se ptal proto, že mít OSPF tam, kde jsou lidi bych si tedy netroufl. Nikdy nevíš, co tam kdo pustí.

Ale když už ... množství prefixů je fakt vcelku fuk. Kolik máš klientů? I hodně staré RB neměly problém s tisíci routami.
I když je fakt, že agregace na posledním hopu by se mi líbila také (bez nutnosti area v OSPF).


Teoreticky bys mohl mít vyhrazený segment pro různé dhcpv6 relays, tak bys pak kontroloval z jakého rozsahu dáváš do jaké lokality jaké prefixy. Pak by neměl být s agregací žádný problém.
0 x

erotel
Příspěvky: 86
Registrován: 9 years ago
antispam: Ano

Příspěvekod erotel » 3 weeks ago

Já zatím ipv6 testuju,ale agregaci ipv6 rout mi dělá mikrotik sám.Dávám zatím na AP prefix /40.Takže vytvořím dummy bridge,kde zadám ipv6 adresu XXXX:XXXX:XXXX::1/40.Pustím na tenhle bridge ospf-v3.

Kód: Vybrat vše

admin@Slezi2] > routing ospf-v3 instance pr
Flags: X - disabled, * - default
 0  * name="default" router-id=0.0.255.31 distribute-default=never redistribute-connected=no redistribute-static=no redistribute-rip=no redistribute-bgp=no redistribute-other-ospf=no
      metric-default=1 metric-connected=20 metric-static=20 metric-rip=20 metric-bgp=auto metric-other-ospf=auto


Kód: Vybrat vše

20 ADo  XXXX:XXXX:f300::/40       fe80::ce2d:e0ff:fe9d:...      110
0 x

rsaf
Příspěvky: 811
Registrován: 12 years ago

Příspěvekod rsaf » 2 weeks ago

Je nějaká best practice pro přidělování IP adres serverům, konkrétně se mi jedná o www/mail/dns stroje apod. Měl by mít každý "produkt" svou veřejnou adresu? Např. na webserveru každý web... Měla by to být /128 nebo /64?
0 x

skrivy
Příspěvky: 73
Registrován: 2 years ago

Příspěvekod skrivy » 2 weeks ago

rsaf píše:Je nějaká best practice pro přidělování IP adres serverům, konkrétně se mi jedná o www/mail/dns stroje apod. Měl by mít každý "produkt" svou veřejnou adresu? Např. na webserveru každý web... Měla by to být /128 nebo /64?


My to děláme tak, že zákazníkům dáváme rezervace /48 nebo /56 (podle lokality) a VLANám dáváme /64, aby fungoval SLAAC. Každému serveru pak 1 IP adresu. Primárně se snažíme serverům dávat jen jednu adresu a vše adresovat pomocí DNS. Nicméně jsou vyjímky - např. DNS resolvery, v takovém případě má server primární adresu a k ní adresu služby, která je k němu naroutovaná.

Pokud chceme z nějakého důvodu mít u zákazníka dělat segmentaci toho rozsahu, tak dostane gateway, přes kterou mu naroutujeme zbytek. Většinou se to dělá kvůli firewallu.

Nicméně, nevím, jestli to je best practice. My jsme k tomuto schématu postupně různými cestami dokonvergovali.
0 x

ludvik
Příspěvky: 3941
Registrován: 7 years ago

Příspěvekod ludvik » 2 weeks ago

On se ptal trochu na něco jiného ... ne na server jako stroj, ale na server jako službu.

Ale vzhledem k tomu, že máš IP adres mraky mraků, tak je naprosto fuk jakou best practice si vymyslíš. Ono je to totiž vcelku fuk, teď je také běžné mít na jedné IP víc služeb a ničemu to v podstatě nevadí. Odlišit služby IP adresou může být vhodné v případě, kdy jsou potřeba jiné bezpečnostní politiky na firewallech.

Jen ty, co je potřeba znát pokud možno z hlavy (např. právě DNS) je vhodné nastavit úplně ručně, něco ve smyslu 2a80:85da:beef::dead, zbytek klidně EUI64, stejně to potřebuješ mít zavedené v DNS.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

rsaf
Příspěvky: 811
Registrován: 12 years ago

Příspěvekod rsaf » 2 weeks ago

Řeším DNS resolvery, WEB servery a podobné. V IPv4 mám serverovou vlanu, na ní nějaký /27 rozsah a do toho sázím jak naše interní stroje tak vývojem času i nějaké stroje zákazníků a úplně optimální to není. Mezi zákaznickými a interními stroji nemám firewall, když hýbu s nějakými pozůstatky webhostingů tak musím řešit změny IP se zákazníkem, kdybych chtěl některý stroj třeba přestěhovat od jiné lokality, musím tam protáhnout tu VLANu. To jsou věci, kterým bych se rád vyhnul.
1) můžu dát pro servery jednu /64 a ručně serverům nastavovat nějaké adresy, to jsem ale ve stejném průseru
2) můžu pro každý server udělat samostatnou /64, to ovšem znamená hromadu adres na interface routeru (+ u webů by to asi mělo být co web to adresa)
3) můžu na každý server udělat routu třeba na /64 na jeho link-local, to je ovšem pořád stejný problém (musím přidávat routy) a navíc možná bude problém s tím, že server nebude mít globální adresu přímo na odchozím portu (ne vždy je server linux s plným přístupem, občas to může být nějaká appliance, naska nebo jiný blackbox...)
nějaké další možnosti?
0 x

ludvik
Příspěvky: 3941
Registrován: 7 years ago

Příspěvekod ludvik » 2 weeks ago

Být tebou, tak to dělám co nejpodobněji jako u IPv4 :-) A u nastavování ručního si klidně můžeš pomoci kombinovaným zápisem - síťový prefix tak jak je IPv6 zvykem a host část jako IPv4 adresu.
Ale jinak se přímo vybízí co fyzický server, to jedna samostatná VLAN se samostatným segmentem. Při stěhování přestěhuješ prostě ten segment nějak jinam. Ke stěhování VLANy nevidím důvod. A ručně nemusíš nastavovat nic, alespoň ne na těch serverech, od toho je SLAAC.
Lze to řešit i třeba pomocí BGP (a bez VLAN).
rsaf píše:Řeším DNS resolvery, WEB servery a podobné. V IPv4 mám serverovou vlanu, na ní nějaký /27 rozsah a do toho sázím jak naše interní stroje tak vývojem času i nějaké stroje zákazníků a úplně optimální to není. Mezi zákaznickými a interními stroji nemám firewall, když hýbu s nějakými pozůstatky webhostingů tak musím řešit změny IP se zákazníkem, kdybych chtěl některý stroj třeba přestěhovat od jiné lokality, musím tam protáhnout tu VLANu. To jsou věci, kterým bych se rád vyhnul.
1) můžu dát pro servery jednu /64 a ručně serverům nastavovat nějaké adresy, to jsem ale ve stejném průseru
2) můžu pro každý server udělat samostatnou /64, to ovšem znamená hromadu adres na interface routeru (+ u webů by to asi mělo být co web to adresa)
3) můžu na každý server udělat routu třeba na /64 na jeho link-local, to je ovšem pořád stejný problém (musím přidávat routy) a navíc možná bude problém s tím, že server nebude mít globální adresu přímo na odchozím portu (ne vždy je server linux s plným přístupem, občas to může být nějaká appliance, naska nebo jiný blackbox...)
nějaké další možnosti?
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

rsaf
Příspěvky: 811
Registrován: 12 years ago

Příspěvekod rsaf » 2 weeks ago

To jsi mi pomohl ;-)
0 x


Zpět na „Komerční sdělení“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host