T-2jev IPv6 na optiki- nekaj težav

Sem dobil od T-2 pripadajoči /126 subnet-povezovalni segment z naslovom na T-2jevem koncu in na svojem in pa svoj /64 subnet.

Server sem skonfiguriral, od dodeljenega /64 sem odškrnil dva /120 subneta in ju namenil internima omrežjema.


Zanimivo je,d a pridem ven ( recimo ping6 www.arnes.si) samo z routerja. Če pingam ven iz katergakoli /120 subneta, ne dobim nič nazaj.

Na routerju sem zalafual tshark in tam se lepo vidi, da icmp6 ping pride po kartici in da ga router pošlje ven na MAC naslov T-2jevega pointa v povezovalnem segmentu, nikoli pa ne pride nič nazaj.

Forwarding na routerju je vklopljen, tudi pingam lahko iz ene interne mreže drugo, ven pa ne. Promet ven je možen samo z roterja.

Videti je, kot da T-2jev gear ni bil skonfiguriran do konca in router v T-2jevem endpointu ne trza na promet, namenjen mojemu /64 subnetu ampak samo na zahteve, katerih končni cilj je moj endpoint v povezovalnem segmentu.

Sem jaz kaj zaj* ali pa bo treba počakati ponedeljek na tehnično pomoč ?

Lahko poskusiš poklicat na KC, da ti naložijo novo konfiguracijo. Ampak boš verjetno zelo malo dosegel ker še glede ipv6 nismo dobili pravzaprav nobeih podatkov, kako in kaj.

Brane, pošlji mail s svojimi naročniškimi podatki (naročniška številka, morebiti tudi ip naslove dodeljenega povezovalca in subneta) na ipv6 afna t minus 2 pika net pa bo kak stručko še danes pogledal.

za lažjo analizo in odpravo napake bi bilo pa sila dobro videti tudi:
- nastavitve ipja na routerju (ifconfig)
- nastavitve routing tabele na routerju (route -n)
- morebitni požarni zid (ip6tables-save ali ip6tables -L -vvv)
- nastavitve ipja na mašini na 'notranji mreži'
- nastavitve routing tabele na mašini 'notranji mreži'
- morebitne nastavitve požarnega zidu od takiste mašine...

kar se tiče pa dodeljevanja ipjev, pa tistih .0 in .1 v ipv4... ne bo čisto držalo, včasih, ko smo mel classful omrežja je bilo res praviloma tako, sedaj, pa, ko so classless omrežja (CIDR), pa imaš čist brez težav poleg tistih /8, /16 /24 ipd... tudi kaj vmes, ergo, /25 je polovička /24-tke, pa so notri ipji med 0 in 127 ali 128 in 255, če pa je /23, pa imaš dejansko dve "c klasi", torej 192.168.0.0 - 192.168.1.255, ali pa 192.168.2.0 do 192.168.2.255, ... in tako naprej). tisti .1 je bil praviloma ip naslov usmerjevalnika, ni pa nujno...

v ipv6 svetu pa ni potrebe po 'network in broadcast' ipjih iz ipv4 sveta (praviloma prvi in zadnji IP naslov v podomrežju), ker tako ali tako uporabljamo multicaste, link-local naslove in podobn jajc... tako da lahko brez težav nasloviš vse ip naslove v /64, recimo... vključno s prvim (aaaa:bbbb:cccc:1::) ter zadnjim (aaaa:bbbb:cccc:1:ffff:ffff:ffff:ffff)

i stand corrected... aaa:bbb:ccc:: oz. aaa:bbb:ccc::0 ne uporabljaj

To je ravno tako kot je rezerviran network naslov v ipv4 subnetu. Ne teoreticno ne prakticno ni nobene omejitve, da ga ne uporabljas. Kljub temu pa se ga nikjer ne uporablja, ker tako ucijo vse knjige/tecaji. Pri ipv6 se ne uporablja x::, ker je to stvar "dogovora" in best practice, ne ker bi bila tehnoloska omejitev (ce imas rfcje bolj za guideline, sicer je rfc jasen glede tega).

x.sci je 19. jun 2011 ob 11:43 izjavil:

Brane2: Subneti >/64 so v ipv6 svetu se vedno tabu (razen kakih p2p linkov). Kot je rekel b, raje si priskrbi vecji prefix.

Zakaj ? A ne bi bla to neekološka poraba placa ?

Najprej nam v 32-bitnem IPv4 zmanjka placa, zato se odpravimo v IPv6. Prehod je kot grajenje piramide- mučen in boleč in kar nekako večen.

In sedaj, ko smo ga nekako pripravljeni izvesti, zakaj na začetku zasrati zadeve s preseravanjem z naslovnim prostorom ? Ja, danes se ZDI da je placa več ko dost a če se s tem zajebemo, bomo v naravnost burleskni situaciji- po vsem tem cirkusu in stroških nam bo placa spet zmanjkalo.

S tem širjenjem režemo globalni naslovni prostor za čist luksus admina, ko bo pač enkrat konfiguriral omrežje.
Se pravi omejujemo VSE in ZA VEDNO zato, da bi EN admin ENKRAT lažje skonfiguriral SVOJO mrežo.

Zakaj bi komurkoli normalnemu bil /64 pretesen ? Kakšna je konfiguracija, ki ji to ni dosti ( nima pa težav s tem na IPv4) ?

Saj to je key part - "ki si jih zamislimo".

In BTW, ko občuduješ velikost naslovnega prostora, si opazil da:

- jo občuduješ v linearnem prostoru ( uujeboteee kolk naslovov. Če bi vsakem elektronu v vsakem atomu ob vsakem obratu dal novi IP, bi jih imel zadosti za XXYY na ZZWW let etc crap)

- jo "ješ" povsem nelinearno: op cvrc daj mi 64 bitov za moje potrebe. Ah ne, daj mi raje še 8, nek se nadže.
Že v tem bi se kak elektron lahko vrtel brez skrbi za IPv6 dosegljivost že kar nekaj časa. Če se boš spomnil da rabiš še 8 ali 16 bitov, še toliko bolje. Če bi imel na razpolago pa preostanek naslova, bi blo pa že malo težje.


Ko se bo jutri kdo spomnil, da je recimo iz nekega razloga potrebna randomizacija in razpršena uporaba tega dela naslova, bo sranje- globalno.

Folk IMHO dela težko napako tudi z linearno obravnavo časa v tem smislu. Kao "IPv6 bo za kar nekaj časa še dober". Tle je čas bolj malo relevanten, ker njegov vpliv ni linearen. Ne šteje prva skunda, ko je gor par uporabnikov enako kot ena sekunda čez 30 let, ko jih bo gor bogvekoliko.

Če pride do izčrpanja IPv6 in potrebe po spremembah, to ne bo le ponovitev stare vaje, ampak neprimerljivo večja štala - pač ustrezno povečanju mreže v tem času.

@x.sci:

Sem prehitro postal, ne da bi temeljito prebral. Tebe torej moti fiksen /64 in ne bi imel probleme z veliko manjšim subnetom, če bi jih lahko dobil več, tudi če bi bilo vsega skupaj za veliko manj od obstoječega /64.

Iz tega izhaja, da hierarhično gledano subneti, ki jih narediš pod /64 niso enakovredno višjim subnetom.

Ene bistvene stvari, ki so možne "zgoraj", "spodaj" ne delajo, če prav razumem ?

x.sci je 19. jun 2011 ob 13:25 izjavil:

Arguemnt linearnosti velja tudi v drugi smeri :) Stevilo naslovov raste eksponentno z vsakim bitom, kar je nekaj, kar je malce tezko dosezt s stevilom klientov.

Ja, ampak ješ jih dinamično, ko si se odločal za skupno količino, si se odločil statično- enkrat za čas veljavnosti standarda - v primeru IPv6 to pomeni 128 bitov.

Ko bomo moral dodeljevat se preostali del, pa lahko zacnemo varcevat. V najslabsem primeru se bo treba it prestevilcenje, kar je se vedno veliko lazje od zamenjave protokola.

Nisem čisto prepričan v to. Pogruntavanje in testiranje novega protokola ima svoje glavobole, ampak kako misliš rutinsko preštevilčit ves promet na IPv6 "on the fly" ?

Ti se sedaj lahko igraš z dual stack konfiguracijami in se nihče kaj dosti sekira, če v novem delu še ne dela vse kot je treba, pri preštevilčenju tega ne bo...

Trenutno edina stvar, ki ima probleme, je slaac. Se zna zgodit, da bo zamenjal dhcp za rezidencne uporabnike in domace routerje (ker je stateless), pa znas potem imet probleme. Saj ti drugace nihce ne prepoveduje, da naredis subnete, kot so ti vsec. Povem ti samo, kaj je _trenutno_ best practice.

O.K. Ampak zakaj bi s tem imel probleme jaz ? Dobil sem statične cifre za pov. segment in svoje /64 področje.

S temi nastavim router, na njem aktiviram mehanizme za dodeljevanje IPja znotraj mojih subnetov.
Zakaj bi se moral sekirat, če moj ISP uprablja slaac ali kaj drugega ?

NoName je 19. jun 2011 ob 10:23 izjavil:

Brane, pošlji mail s svojimi naročniškimi podatki (naročniška številka, morebiti tudi ip naslove dodeljenega povezovalca in subneta) na ipv6 afna t minus 2 pika net pa bo kak stručko še danes pogledal.

Sem poslal. Hvala.

BlueRunner je 19. jun 2011 ob 11:23 izjavil:

@b: jaz imam na svojem usmerjevalniku 2001:470...:1:: in deluje čisto ok. Zakaj se ga ne bi dalo uporabljati? Ne mešaj nomenklature iz IPv4 v delovanje IPv6.

@NoName: v prvi si čisto prav povedal. V IPv6 svetu ni "broadcast" in "network" naslovov, ki bi mešali glave. Kamot lahko z ND "odkriješ" tudi 2001:...:: naslov in delaš normalno naprej. Usmerjevalnik pa je tako ali dosegljiv preko LL naslova (fe80::...). Teoretično in praktično za njega sploh ne rabiš porabiti notranjega IPv6 naslova, če tega ne želiš.

Mislim, da nisem mešal nomenklature v4 in v6. Napisal sem, kaj je pri v6 all-0 host address in dal link na RFC, kjer je to opisano. V drugem postu pa sem šel malo off-topic (v4) glede na NoName-ov reply.

Anyway, jaz bom pustil all-0 host naslove lepo pri miru, ker tudi če dela dela zgolj po naključju, ne pa zato, ker bi moralo delat. V bistvu tako kot si opisal... Ja, če imaš en router, in na tistem nastaviš ta naslov, dela. Kaj bo pa ko jih bo več? Kliče po težavah... Če recimo ta router neha routat, pa ohrani ta naslov?

Ampak kot si rekel, na routerju imaš lahko tudi samo LL naslov, jaz iz stare v4 navade ponavadi nastavim tudi subnet::1 in je mir.

No nekaj takega sem tudi jaz mislil. x.sci, ti očitno zadevo zelo dobro poznaš, lahko predlagaš kakšno malo bolj poglobljeno literaturo na to temo? Jaz sem se naučil ravno toliko, da lahko kakšno manjše omrežje zrihtam, bi pa z veseljem še prebral kakšno dobro knjigo, da mi ni treba suhoparnih RFC-jev študirat v nulo :) To sem delal ko sem imel čas (v srednji šoli, število RFC-jev je blo takrat komajda štirimestno, pa sem jih šel brat od začetka :)

edit na tvoj edit: dej pojasni zakaj pišeš bedarije :)

b je 19. jun 2011 ob 13:58 izjavil:

BlueRunner je 19. jun 2011 ob 11:23 izjavil:

@b: jaz imam na svojem usmerjevalniku 2001:470...:1:: in deluje čisto ok. Zakaj se ga ne bi dalo uporabljati? Ne mešaj nomenklature iz IPv4 v delovanje IPv6.

@NoName: v prvi si čisto prav povedal. V IPv6 svetu ni "broadcast" in "network" naslovov, ki bi mešali glave. Kamot lahko z ND "odkriješ" tudi 2001:...:: naslov in delaš normalno naprej. Usmerjevalnik pa je tako ali dosegljiv preko LL naslova (fe80::...). Teoretično in praktično za njega sploh ne rabiš porabiti notranjega IPv6 naslova, če tega ne želiš.

Mislim, da nisem mešal nomenklature v4 in v6. Napisal sem, kaj je pri v6 all-0 host address in dal link na RFC, kjer je to opisano. V drugem postu pa sem šel malo off-topic (v4) glede na NoName-ov reply.

Anyway, jaz bom pustil all-0 host naslove lepo pri miru, ker tudi če dela dela zgolj po naključju, ne pa zato, ker bi moralo delat. V bistvu tako kot si opisal... Ja, če imaš en router, in na tistem nastaviš ta naslov, dela. Kaj bo pa ko jih bo več? Kliče po težavah... Če recimo ta router neha routat, pa ohrani ta naslov?

Ampak kot si rekel, na routerju imaš lahko tudi samo LL naslov, jaz iz stare v4 navade ponavadi nastavim tudi subnet::1 in je mir.

Tisto, na kar sem ti repliciral je tvoja izvjava, da je naslov, kjer so vsi host biti na 0, "network address". Kar seveda ni res. To je anycast naslov, ti pa na zunaj izgledajo identično vsem ostalim unicast naslovom. Prvič si napisal prav, potem pa si znova pomešal notri IPv4 poimenovanja.

V bistvu ta naslov dobi vrednost ravno potem, ko imaš več, kot pa samo en usmerjevalnik. Če imaš samo enega, je anycast == unicast. Če kaj kliče po težavah, ptoem kliče po težavah tvoj pristop, da uporabljaš nek X naslov iz omrežja. No... bi klicalo po težavah, če bi imel kdaj v prihodnosti kakšen načrt biti večkratno povezan v omrežje.

Kar se tiče LL naslova, pa se pri usmerjanju privzeto uporablja ravno ta usmerjevalnikov LL naslov - z zelo dobrim razlogom, seveda in, če tega nisi na roke spremenil. Tisti tvoj ...::1 ali pa moj ...:: naslov se pri usmerjanju iz omrežja ven (kar je večinoma edino, kar uporabnika zanima), se ta naslov praviloma ne uporablja.

Anycast naslovi so posebni samo iz vidika hosta, ki ga ima. Iz vidka odjemalca, ki se poskuša na njega povezati, je to navaden unicast naslov in se ga ne obravnava posebej. Če imaš all-host-0 na ne-usmerjevalniku, to ne sme spremeniti ničesar, ker odjemalec še vedno naredi ND in dobi nazaj ustrezen MAC naslov (v LAN-u) oziroma pogleda na kateri usmerjevalnik naj ga pošlje. Po prihodu paketa do cilja, pa ga ta ne-usmerjevalnik ustrezno konzumira tako, kot kateri koli naslov, ki je na njemu lokalen.

BlueRunner: Ni res. Ce imas router, ki se drzi rfcja (ki eksplicitno zahteva, da na all-0 odgovarja router), bo "oglaseval" all-0 naslov. Ko bo all-0 oglasevala se druga naprava, pa je vprasanje, ce bo stvar se delovala.

"Oglaseval"; odgovarjal na ND request po all-0 naslovu.

Edit: Problem je, da klient na ND request potem dobi 2 replyja.

Recimo. Stvar bi se znala malce zakomplicirat, ko se gres razno redundanco z VRRPjem ipd.

@Brane2: Kot je povedal BlueRunner, načeloma ne rabiš, glej, tole je pri meni doma:

$ ip -6 ro sh default
default via fe80::218:f3ff:fe98:d1a6 dev eth0 proto kernel metric 1024 mtu 1280 hoplimit 64

Meni v6 povezljivost še vedno dela, kljub temu, da sem na routerju snel stran subnet::1 naslov in ima na LAN-u samo tale LL zgoraj.

AMPAK:
$ ping6 2001:470:xxxx:xxxx::
PING 2001:470:xxxx:xxxx::(2001:470:xxxx:xxxx::) 56 data bytes
From 2001:470:xxxx:xxxx:64b:80ff:fe80:8003 icmp_seq=2 Destination unreachable: Address unreachable
From 2001:470:xxxx:xxxx:64b:80ff:fe80:8003 icmp_seq=3 Destination unreachable: Address unreachable
From 2001:470:xxxx:xxxx:64b:80ff:fe80:8003 icmp_seq=4 Destination unreachable: Address unreachable

Ko dodam ::1 naslov:
$ ping6 2001:470:xxxx:xxxx::
PING 2001:470:xxxx:xxxx::(2001:470:xxxx:xxxx::) 56 data bytes
64 bytes from 2001:470:xxxx:xxxx::1: icmp_seq=1 ttl=64 time=0.824 ms
64 bytes from 2001:470:xxxx:xxxx::1: icmp_seq=2 ttl=64 time=0.339 ms


Tko, tole je zdej praksa, pa se dejmo naprej pogovarjat.

OK, a lahko to potem zaključimo? Se strinjamo da:

a) subnet:: naslova (host part all-0) ne nastavljamo ročno NOBENI napravi.
b) je na routerju fino imeti poleg LL naslova še npr. subnet::1 (ali nekaj drugega enostavno zapomnljivega), kar lahko uporabimo za GW za statično naslavljane node?

Brane, še komentar na tvoje izjave o "neekološkem" zapravljanju naslovnega prostora, prej nisem utegnil (ravno brskam po tcpipguide.com, hvala x.sci!):

So why the "overkill" of going to 128 bits? The main reason is flexibility. Even though we can have a couple zillion addresses if we allocate them one at a time, that makes assignment difficult. We got rid of class-oriented addressing in IPv4 due to the fact that it wasted address space, which is true. The reality, though, is that being able to "waste" address space is a useful luxury.

Ne spremljam točno, kakšno je stanje z alociranjem providerjem, ampak se mi zdi da dobi vsak /32 ali morda kaj malega več. To je toliko, kot v v4 dobi končni uporabnik. Ne bo zmanjkalo, zlepa. Pa četudi bo (recimo nekje okrog leta 2040), se bo pač uvedlo druge načine addressinga, ki ne bojo več tako zapravljivi. Zaradi tega ne bo treba spreminjat samega protokola, ker ima dovolj vgrajenih rezerv, pač ne bo več /64 na vsakem linku.

Ahem. En komentar glede ::1 kot GW za statično naslavljane node... Če nisem (znova) česa narobe razumel. Če že, potem daš za statično nastavljen GW naslov all-0. Na routerju pa nastaviš ...::1, ...::ffff, ...::karkol zato, da lahko točno izbereš na kater router se želiš povezati (za potrebe administracije, ipd.).

To potem pomeni, da lahko notri postaviš dva usmerjevalnika z all-0 in imaš el-cheapo redundanco brez VRRP, ampak do neke mere še kar delujočo.

Za a) pa se pogojno strinjam. Bolje ne nastavljati, ker se lahko začno potem res dogajati stvari, ki jih je težko razumeti.

Hmmm... to pa imaš poanto. Vsi vemo kakšen kaos naredi v omrežju en DHCP in IPv6 tega problema ne rešuje. Če imaš omrežje z NAC, potem imaš verjetno tudi dostop do usmerjevalnikov, ki poznajo VRRPv3.