Názory k článku IPv6 Mýty a skutečnost, díl VIII. - Přechodové mechanizmy

No, něco podobného už tu bylo… a bylo to efektivní. Ovšem tehdy Internet vypadal o hodně jinak než dnes.
http://www.faqs.org/rfcs/rfc801.html

Systemovy sluzby u XP na IPv6 neposlouchaji, to ale neznamena, ze vsechny normalni aplikace pres to nebezi - kdyz si nainstalujete ftp server, bude vyuzivat IPv6, utorrent taktez, firefox, ....

Co se RDP a dalsich tejce, je to jako spousta jinych veci ciste veci licencni politiky - XP taky neumi bez zasahu vic nez 4GB RAM (stejne jako VGisty a 7dmi), pritom serverovy widle to umi (mluvim ve vsech pripadech o 32bit systemech). Uprava by byla trivialni, ale pro M$ je vyhodnejsi, kdyz si koupite novy widle.

Nesouhlasím, jak jsem psal, ale dobře. Pak se aspoň nikdo nedivte, že nasazení IPv6 se bude táhnout jako smrad léta, a hlavně nesepsávajte (od slova sepsut) kritiky, co tuhle alfa verzi nasadit nechtějí, a ještě dlouho ji nenasadí, protože mají pravdu: Zatím je to šmejd a nedopečenej pokus, vůbec ne nic komplexního nasazení hodnýho. A uživatelé za to rozhodně nemůžou, to jen odborníci se nemůžou dohodnout nebo na to kašlou. Jedno nebo druhý má ovšem stejnej výsledek.

Tak ona to neni alfaverze, ono to funguje, ano, rada vyrobcu tu a tam neco nepodporuje, ale to vycitejte tem vyrobcum, stejne veci pro IPv4, ktere se masove pouziva 15 let, zacali podporovat pred tremi ci peti lety. Jedina akceptovatelna vytka je k tomu sireni adres nameserveru pri autoconfigu, ale to zase v dual-stack prostredi tolik nevadi (proste si tam ty sestkove adresy DNS serveru nasypete pomoci "ctyrkoveho" DHCP) a az budete nekdy casem IPv4 rusit, tak uz tuhle vec ra/nd podporovat bude.

Ad 3) Už delší čas se chystám s IPv6 experimentovat. Zatím jsem narazil na dva teoreticky kladné body

1) WinInet defaultně IPv6 podporuje, pokud mu někdo předhodí request na IPv6 server, tak si DNSko přeloží a naváže spojení. Na vnějším rozhraní pak aplikace nemá šanci poznat, zda spojení jde přes IPv4, IPv6, proxyserver, jestli náhodou nejede po SSL, a kýho čerta.

2) Mám pocit, že otevření portu na IPv4 otevře port i na IPv6, akorát accept bude v SOCKADDR_IN vracet nějakou šílenost. Mnohem pravděpodobněji to funguje opačně, pokud aplikace otevře port na IPv6, dorazí tam i IPv4 připojení. Typuji, že stejně tak lze udělat connect na IPv4 adresu přes IPv6 socket, pokud je adresa v rozsahu vyhrazeném pro IPv4 adresy.

Samozřejmě, číňan si v rámci přelidněné země zavede IPv6 a za nás to odladí. Stejně mu nebude vadit, když zbytek světa pojede na IPv4. On kompatibilitu řešit nemusí, to vyřeší velký čínsky firewall.

No, přechodové mechanismy a zpětná kompatibilita byla zkrátka vyřešena špatně. Navíc se o tom vědělo dávno, viz např. http://cr.yp.to/djbdns/ipv6mess.html

IPv6 odpovídá na jeden důležitý problém, nedostatek adresního prostoru, ale bez toho všeho ostatního, co IPv6 poskytuje, bychom mohli žít - já osobně raději než vysoká cena za implementaci stávajícího IPv6. Co IPv6 neposkytuje, a bylo by potřeba, jsou různé anti-spoofing apod. bezpečnostní prvky, naopak mi přijde že v tomhle nové problémy přidává - viz ostatně tento seriál.

Ja take ne :-)

momentalne jsme to my, kdo ma technologicky naskok...

Otázkou je, jestli to musí nutně být nevýhoda. Každý manager ví, že být první s nějakou technologií nutně neznamená být nejlepší.

A čím dá IPv6 Číně tak ohromný technologický náskok, že Evropa podle vás půjde úplně do kopru? ;-)

Nikoli. Dokonce jsem jej implementoval na vyrazne vetsi siti, nez si vubec dokazete predstavit... :-)

Ale tvrdil - vy :-D "Sice tím ztratíme další technologický náskok a za chvíli se z nás stane lokální džamahirie..." Možná jste myslel "a když to tak půjde dál i s dalšími technologiemi" - ale nenapsal. A hlavně, o žádných dalších technologiích řeč nebyla. Tady se bavíme o IPv6, kde, troufám si tvrdit, by Číně více pomohlo, kdyby Evropa jeho problémy vyřešila za svoje peníze, sobě tím moc nepomohla a Čina to pak okopírovala, než když si to Číňani budou muset řešit na svoje vlastní náklady.

Číně za zboží platíme penězi. Know-how si bere sama bez dovolení ;-)

Dovolim si Vas chytnout za slovo - zrovna FTP je ten pripad, kdy kvuli prechodu z IPv4 na IPv6 je treba upravit i protokol FTP. :)

Krasny odkaz, dekuji. Nedavno jsem v antikvariatu koupil knizku vydanou pred rokem 1950, kde se pomerne odborne (s tehdejsimi znalostmi) rozebira, jestli vubec muze clovek vystoupit na vrchol Mount Everestu. Podobne zajimave cteni.

Dekuji za dalsi dil. Poslednich nekolik tydnu to je pro me nejzajimavejsi serial na internetu. (Konkurovat muze pouze pan Tisnovsky na rootu.)

Holt IPv6 je sračka. Smiřte se s tím...

Já třeba vůbec nevím, jak se budou řešit stávajací firewally. Mám-li v síti 2-3 ASY, a v nich 20-30 tunelů, tak budu vedle toho vytvářet IPV6 tunely? A co licence? A co staticeké routy? A logy !! To bude chaos !! A hlavně - kde vzít lidi, kteří tomu rozumí.

Takže teď důsledně všude IPv6 explicitně vypínáš? V nových OS totiž běží IPv6 jaksi by default.

tak já si třeba představuju síť s desítkami miliard počítačů :-)

Za Dial bych se nestydel ;-)

Neni pravda. Teredo se automaticky pouzije pokud jste za NATem (Windows 7, Vista). K tomu je vlastne urceno.

IPSec v tomto smeru moc neresi. Pokud mam zamorene Windowsy tak si skrze stack vyrobim zdrojovou adresu jaka se mi hodi a IPSec to vesele zasifruje.

Druha vec je autentizace, tam by se o tom dalo uvazovat o podepisovani adres ale je to absolutne nepouzitelne napriklad pro podepisovani RA, ND, DAD.

No nevim jestli prebiranim know-how v podobe IPv6 to Cina zrona vyhrala.

Aby to cinani casem neprokoukli, ze cele IPv6 je v podstate takova sabotaz tech ohromnych IPv6 siti v Cine o kterych kdekdo mluvi, ale jeste je nikdo nevidel.

DNS servery samozrejme mohou byt take dualstackove, cili v tomto smeru nevidim duvod, proc jejich mnozstvi dale zdvojnasobovat (presneji duvod vidim, ale je uplne jiny a s problematikou nejakych L3 protokolu vubec nesouvisi). Firewall nastavit dvakrat samozrejme musite, dokonce na masinach v DMZ na kazdem hostu, ale to jednak je pomerne jednoducha zalezitost a druhak to muzete zobecnit a mit script, ktery pustite pro oba protokoly, jen s tim, ze sikovne pracujete s promennymi (ano, chce to u psani neceho takoveho trochu myslet, ale zase, udela se to jednou, pouzije se to mnohokrat). Podobne se daji psat protokolove nezavisle treba i route-mapy pro BGP apod.

Dokumentace se dvakrat vede, ale to je opet to nejmensi. Vice prace to sice je, ale protoze stejne clovek stravi vice casu nad logikou struktury dotycne site, neni ji zdaleka dvakrat tolik. Mnohem vic casu zabere treba ladeni velikosti MTU, ktere ruzni vendori pocitaji jinym zpusobem atd.

Pravdepodobnost chyb se pri pouziti dvou ruznych protokolu nenasobi (a dokonce ani nescita). Chceme-li byt presni, tak se jich scita jen mala cast, referencni model ISO-OSI ma sedm vrstev, v praxi vyuzivame ctyri, z toho IP(v4/v6) je jen jedina a rozhodne to neni ta vrstva, s niz by v praxi byly nejvetsi potize. Pokud se chyba naleza na vrstvach nizsich nebo naopak vyssich (a ten dual-stacking je dusledny), je uplne jedno, zda mam na treti vrstve protokoly dva nebo jen jeden.

Otazka jak dlouho toto pujde provozovat. Zatim s tim neni problem, ale obavam se ze do budoucna M$ to jen tak nedovoli.

Dalsi vec, je ze tohle se da udelat v omezene mire. Pokud je tech koncovych zakazniku vice, tak se to musi resit jinak, protoze neni v nicich silach dekativovat IPv6 na stovkach koncovych systemu. Proste vypinani IPv6 casem bude tak trochu "hlavou proti zdi" (ono uz to tak je trochu dnes).

Postupně zkoušet připojení je hoooodně na dlouho. Tož už doporučuju to pustit paralelně a sebrat první připojení, které se ozve. Ani nejsou potřeba thready, stačí asynchroní connect a pak select a zbytek descriptorů pozavírat. Jo nevýhodou je, že to vyrobí docela solidní trafic u serveru, ale to není moje starost :-D

Né dobře, aspoň tedy vzít dva seznamy IPv4 a IPv6 a ty zkoušet postupně paralelně (tedy vždy jedno spojení v rámci stacku, a tedy maximálně dva connecty současně)

Kvuli panu adminovi nekdo za hodi HW za miliony, ktery mozna blbe, ale umi IPv6 a bude kupovat dalsi HW za desitky milionu, ktery bude umet rozsireny IPv4 ...

1) Mapovany adresy ve Windows podporovany jsou, i kdyz az od NT6. Staci pres setsockopt() vypnout IPV6_V6ONLY. Ve starsich verzich nebyly proste proto, ze oba protokoly byly implementovany jako uplne nezavisly, takze prehazovat (mapovat) pripojeni dost dobre neslo.

2) Hromada problemu s prioritou protokolu by odpadla, kdyby aplikace nevymyslely zadny vlastni genialni reseni a jednoduse pouzivaly getaddrinfo(). Staci zavolat, a pak postupne zkouset jednu adresu po druhy, dokud se pripojeni nepodari. To je ostatne rozumna vec i bez IPv6, protoze tradicni pristup, kdy server ma sice deset adres, ale klient to vzda hned jak se nepodari pripojit k prvni, je docela trapnej. ;) Windows navic inteligentne seradi adresy podle toho, jakou konektivitu maji k dispozici. Takze napr. nehrozi, aby se primarne zkouselo pripojeni pres IPv6, kdyz ma klient jen Teredo.

3) Prechodovym mechanismum fandim, hlavne 6to4. Diky nemu mam IPv6 uz skoro deset let. Kdybych mel cekat na ISP, nez zavede nativni, tak nemam nic doted, protoze neverim, ze by se snazil i jen o chlup vic nez ted. Vzdyt prece tech volnych IPv4 adres bylo porad tolik a vycerpani v nedohlednu...

4) Naopak mi vubec neni sympaticky DNS64. NAT64 v pohode, k tomu to smeruje, ze az zustane par IPv4-only zpatecniku, tak aby se k nim dalo dostat. Ale vymysleni neexistujich adres je cunarna. Kdyz uz neco takovyho delat, tak radsi primo v OS a namapovat IPv4 do nejakyho konkretniho, vsude stejnyho prefixu, kterej si ISP na hranici svy site odchyti a zNAT64uje.

Jaka polovina veci je v alfaverzich? Budte konkretni. Ja o nicem takovem v zadne existujici produkcni dual-stack siti nevim.

Zkusenosti s tim mate malo mozna Vy, ale to nemuzete klast za vinu navrhu protokolu... Ja treba uz davno zapomnel vsechno kolem IPX/SPX taky to tomu protokolu nevycitam ;-)

Pokud jednu z vrstev rozdvojime, mame zcela logicky kombinace dve :-) Kazdopadne nemuzeme nasobit problemy ruznych vrstev, nizsi vrstva je vzdy uceleny komplex funkci, ktere pro vyssi vrstvu predstavuji blackbox a ten se chova stejne, at nad nim pouzivame protokol takovy nebo makovy.

Takze uz ne doomsaying ohledne globalniho oteplovani, ale ohledne IPv6 ve Win7? No fajn, konecne aspon nejaka zmena :-)

Tak pokud by "rozsirene IPv4" melo stejny format hlavicky jako IPv6 tak by se ani novy HW nemusel kupovat. Jen by se odparaly radoby inovace IPv6 jako je autokonfigurace, IPSec, rozsirene hlavicky, mobilita a jsme asi tam kde jsme chteli byt.

Ehm, nejsme náhodou tedy přesně ve stavu, který chcete?
Kdyxž s epodívám, tak většina implementací IPsec ani mobilitu nepodporuje. Autokonfigurace jde obvykle vypnout.
Takže máme hotovo, jen začít těžit výhod? :-)

Autor zopakoval všeobecně známou věc. Spíš bych uvítal malou analýzu
proč tomu tak je.
Dobrou cestu ukázalo CZ-NIC, kdy před časem zprovoznilo 6to4 relay
a nyní i teredo relay. Když pominu počáteční ping (64ms), kterým se
navazuje spojení, tak ostatní pingy na lupu.cz se teď pohybují mezi
devíti až jedenácti milisekundami proti 45 ms v minulosti. Tomu se nedá
nic vytknout nebo snad ano?

No jak chcete. Autokonfigurace -- chodi a v soucasnem dual stack prostredi je pouzitelna (byt to neni uplne ciste). Bezpecnostni mechanismy -- lepe nepouzivat, stejne jako na IPv4. Co mate za problem s podporou end-end sluzeb, to opravdu netusim (jiste, nesmite se divit, ze to prestane fungovat, kdyz neco zablokujete na firewallu).

Ano, prvotni konfiguraci IPv6 na male testovaci siti (od public v6 Internetu samozrejme oddelene) jsem, vcetne nastudovani problematiky, zvladl nekdy v roce 1998 za to jedine odpoledne. To jen pro upresneni, od kdy se s tim protokolem da realne experimentovat. No a v profesionalnim vyuziti samozrejme nikdo nebude konfigurovat vsechno, co v6 umoznuje, realne se skonci na nejakem dynamickem routingu, konfiguraci rozhrani, mozna autoconfigu, filtrovani a (mozna) DNS. Mozna to je asketicky pristup, ale ja od toho vic nechci a necekam... :-)

Musim se pozastavit nad tim vasim "je zcela jasne" apod., chtel bych mit Vasi jistotu. Ja vidim, ze provoz roste, pocet uzivatelu roste a cele se to zkratka pouziva. A ze to je snad betaverze? Asi tolik, jako IPv4 v roce 1995...

Vetsina s toho, co uvadite, jsou zalezitosti sedme vrstvy, kterym proste musi byt jedno, co pouzivaji jako prenosovy protokol (stejne, jako jim je/melo by byt jedno, co se pouziva na prvni a druhe vrstve). Takze zbyva jen nastaveni tech zarizeni samotnych a reseni komunikace mezi nimi, tedy pustit to do vnitrniho DNS. Ze rada z tech zarizeni IPv6 nepodporuje, neznamena, ze by soucasne IPv6 bylo nejakou betaverzi, kdysi takova zarizeni nepodporovala ani IPv4 a nijak nam to nebranilo v tom, abych z prostredi, kde behalo IPX/SPX, udelali prostredi heterogenni. Jenze tehdy to uzivatel chtel, ted nechape, proc by to mel chtit, to je jediny rozdil.

Sice mame rok 2011, ale protokol TCP/IP(v4) se od roku 1995 nezmenil vubec nijak.

Já tomu rozumím, že bude jenom ignorovat ipv6 adresy, které mu vrátí DNS.

2) Bohuzel ne uplne vsechny aplikace to tak delaji. Opravdu se najdou takovy, ktery zkusi IPv6 a v pripade neuspechu uz na IPv4 kaslou. A rozdil mezi (velmi) otravnym zdrzenim a kompletnim selhanim je zasadni. Ale do budoucna by se to melo zlepsovat. Jak se postupne zacne brat IPv6 jako bezna vec a ne jen takova hracka bokem, tak se pak temer vzdy chyti hned prvni adresa.

3) Je to prechodovej mechanismus, od zacatku se pocita s tim, ze casem zmizi. Sice bych zatim s jeho rusenim zbytecne nespechal, ale ono to nebude tak zhavy, par let urcite jeste vydrzi.

4) Trosku vic jsem se zacetl a ono uz to existuje, prefix 64:ff9b::/96 (RFC 6052, sekce 2.1). I kdyz to neni tak uplne ono, protoze ISP muze pouzit prefix vlastni, a tak na to nejde spolihat. Coz je skoda, protoze mi prijde, ze snadna detekce takovych prekladanych adres, ktery nejsou plnohodnotny IPv6, by vubec nebyla spatna.

1. prechodove mechanismy ve forme vsemoznych 6to4, Teredo apod. nejsou dulezitym prvkem, jsou prvkem skodlivym. Pokud je mozne IPv6 tunelovat nad IPv4, snizuje to tlak na nativni implementaci, ktera, jak autor sam uvadi, jako jedina relativne rozumne funguje. Krome toho celou problematiku IPv6 tyto prechodove mechanismy nesmyslne komplikuji, kazdy, kdo o IPv6 pise, se jimi zabyva namisto toho, aby se zabyval tim, jak nakonfigurovat IPv6 spolehlive (nektere platformy vyzaduji v pripade staticke konfigurace explicitni vypnuti autokonfigurace, protoze jinak si drive ci pozdeji vymysli vlastni zcela nefunkcni default route, kterou zacnou pouzivat namisto te nakonfigurovane -- to je napriklad problem starsich linuxovych jader. Nikde se to ovsem onen sestkovy zacatecnik nedozvi a pak se divi, proc to uz zase nefunguje).

2. koexistence IPv6 vedle IPv4 prinasi ten problem, ze vetsina subjektu, provozujicich dual stack sit, ji sice provozuje, ale funkcnost IPv6 obvykle neni dohledovana. Je to dano tim, ze to je proste druhy protokol s nejakym marginalnim tokem, ktery lze kdykoli nahradit a pristupuje se k nemu jako k cemusi zbytnemu. To samozrejme neni problem designu IPv6, ale pristupu operatoru, dodavatelu dohledovych systemu atd. Pokud bychom se zitra rozhodli podporu IPv4 zrusit, spolehlivost IPv6 se okamzite zlepsi o nekolik radu.

3. Co se tyce Windows a aplikaci -- byl jsem az prekvapen, kdyz jsem kdysi pre lety nainstaloval do WinXP podporu pro IPv6, jak se s tim vicemene vsechny aplikace, ktere jsem na XP tehdy pouzival, vyrovnaly a zacaly ten protokol naprosto prirozene pouzivat. Na Linuxu to tak snadne nebylo, tam jsem vetsinu veci musel kompilovat znovu s podporou AF_INET6.

Cili, abychom to shrnuli -- nekomplikovat sestku nejakymi prechodovymi mechanismy vyjma dual stack, ten, kdo dual stack provozuje, by k tomu mel pristupovat tak, ze provozuje dve site a ne jednu a s temi aplikacemi, pokud nejsou deset let stare, to neni zase takovy problem.

No nevím jak u WinXP, ale vzhledem k tomu, že Windows 2003 neumí přes IPv6 provozovat takové základní věci jako Active Directory nebo RDP, tipuju, že to u XPček s tím IPv6 taky nebude tak slavné...

Mě spíš překvapuje, že komunita za těch několik let už dávno nevyřešila všechny ty věci a problémy (a chyby), které zaznívají v tomto seriálu (a že jich není málo), a protokol není použitelný zcela plně už dnes. Pak by se i dnešní hw vyráběl s podporou prakticky stable verze IPv6, stejně jako to tak je např. u Wi-Fi a jeho šifrování, a podpora by mohla narůstat geometrickou řadou.
Zatímco co tak čtu tenhle seriál, tak takovejch věcí je zatím nevyřešenejch nebo dokonce vyřešenejch blbě + všude samý "zkusíme tohle, aha, mrtvá větev, tak jinak..." nebo "existuje pouze testovací implementace této zásadní funkčnosti, kterou na koleně napsal maník z garáže ve verzi 0.1 alpha", že zatím by třeba firmy musely bejt padlý na hlavu, aby si něco takovýho bugovýho a nedořešenýho nechaly kolovat sítí.
To se opravdu nemůže s těma problémama a chybama hejbnout, a všechny je konečně uzavřít rozumným řešením? To se to bude táhnout jak šnek, léta? Kdyby takhle pracovali např. kodéři linuxovýho jádra, tak jsme ještě na stromech...

Se zvednete, zajdete si odpoledne o pause do Hiltonu na IETF meeting a tam to vsem reknete... :-) Samozrejme v okamziku, kdy zacnete byt konkretni, se veci nepekne komplikuji.

Spousta veci se neda vyresit, dokud protokol nenasadite. Testovat neco na idealne nakonfigurovanem testovacim prostedi je nanic.

Ale ona je to opravdu takova pitoma kauzalni smycka, zacarovanej kruh... Bejvavalo by nejlip, kdyby se IPv6 zacalo hromadne nasazovat v dobach, kdy internet byl jen akademickou zalibou a spis nadstandardem nez samozrejmosti (a ano, opravdu je tak stary). Jo, ted jsem po bitve general Laudon :-) Ale ona to vyresi evoluce sama jako vsechno. Az se zacnou IPv4 rozsahy jeste vice tristit, zacne se s nima kseftovat a globalni routovaci tabulky pujdou takrikajic do kopru a s nimi veskera efektivita, nic jinyho nezbyde. Takze neni duvod k panice, vono se to nak vystribri, rekl byl Holzmann.

Kdyz se bojite, ze udelate v takove trivialni konfiguraci chybu, tak to pak je skutecne tezke, uznavam ;-)

Zííív. Něco jiného bys neměl? IPv6 bude příští protokol Internetu. Tvoje plky ani moje pindy však nebdou mít na tento výsledek vliv. Alea iacta est.

Například v žádném z dnes používaných webových prohlížečů není možné, byť jen dočasně, vynutit si upřednostňování IPv4 před IPv6.

Firefox toto umožňuje nastavit. V about:config - hodnota network.dns.di­sableIPv6.

Wow. Mam jeste lepsi napad. Co takhle proste v jednom okamziku rict "Teraz!" a vsichni najednou by svoje IPv4 vypnuli a svoje IPv6 zapnuli? Pak ani nemusime mit dualstack.

A nerikejte, ze muj napad je mene prakticky nezli ten vas.