VM
Он не прикрывает, он делает то, для чего предназначен - транслирует адреса, ничего более, еще раз повторюсь, нат - это не про безопасность;)
++
Size: a a a
2019 September 22
VM
Микротик не предлагать )
Почему? В который раз(
VM
Неубедительно
SM
Ну он в принципе обсурден, так как адресов овердохрена, но возможен )
Префиксный NAT в IPv6 может быть использован для реализации одного из сценариев Dual-WAN без BGP. А ещё для сценария с only ULA адресами в локалке. Ну и для разных сценариев миграции.
SM
но только есть одно но - ipv6 bgp таблица уже пухнет от несознательных граждан, которые анноснируют /48
Таблица IPv6 BGP анонсов Китая/Кореи и прочей Азии уже сейчас больше по числу префиксов, чем полная таблица IPv4. Просто т.к. там внутренняя сеть страны сильно закрытая, граничных роутеров мало и все они подконтрольны одной шараге, то на граничных роутерах делают суммирование до /32 и /29.
Но речь вот о чём - уже сейчас есть и работает в продакшене маршрутизирующее оборудование способное переварить > 760000 префиксов IPv6.
Но речь вот о чём - уже сейчас есть и работает в продакшене маршрутизирующее оборудование способное переварить > 760000 префиксов IPv6.
G
Таблица IPv6 BGP анонсов Китая/Кореи и прочей Азии уже сейчас больше по числу префиксов, чем полная таблица IPv4. Просто т.к. там внутренняя сеть страны сильно закрытая, граничных роутеров мало и все они подконтрольны одной шараге, то на граничных роутерах делают суммирование до /32 и /29.
Но речь вот о чём - уже сейчас есть и работает в продакшене маршрутизирующее оборудование способное переварить > 760000 префиксов IPv6.
Но речь вот о чём - уже сейчас есть и работает в продакшене маршрутизирующее оборудование способное переварить > 760000 префиксов IPv6.
Весной же было про размеры таблиц в железе
G
В апреле неплохой доклад
SM
Каюсь, анонсирую в одном месте /49+/49
И у вас их никто не принимает. Ибо есть кровью писаные рекомендации фильтровать всё, что длиннее /24 в IPv4 и /48 в IPv6.
G
И у вас их никто не принимает. Ибо есть кровью писаные рекомендации фильтровать всё, что длиннее /24 в IPv4 и /48 в IPv6.
Но это не точно
G
Я в чате ипв6 считал префиксы недавно
SM
Но это не точно
Даже если и принимают - то только потому, что IPv6 внедрили для галочки, а не для реальной работы. Как начнут под продакшн допиливать - зафильтруют. Ну и не забываем ещё про два момента:
1) Даже если ваш аплинк принял - может зафильтровать его аплинк или пир.
2) Даже если улетело в глобальную таблицу (к тир1) - это не значит, что условный ростелек такое не фильтрует. Стоит одному крупному зафильтровать - и у вас с такими анонсами будет лишь частичная связность. Хорошо если вы и агрегат анонсите... а если нет - будет весело.
1) Даже если ваш аплинк принял - может зафильтровать его аплинк или пир.
2) Даже если улетело в глобальную таблицу (к тир1) - это не значит, что условный ростелек такое не фильтрует. Стоит одному крупному зафильтровать - и у вас с такими анонсами будет лишь частичная связность. Хорошо если вы и агрегат анонсите... а если нет - будет весело.
SM
Я в чате ипв6 считал префиксы недавно
То, что сейчас в IPv6 FullView куча мусора - факт. Я и /64 сети IXов видел - утечки коннектед сетей.
SM
То, что сейчас в IPv6 FullView куча мусора - факт. Я и /64 сети IXов видел - утечки коннектед сетей.
Но это не значит, что это правильно или что это работает. Это значит лишь то, что большинство "внедрило" IPv6 на отъ...сь и не стало заморачиваться с фильтрами вообще.
G
Даже если и принимают - то только потому, что IPv6 внедрили для галочки, а не для реальной работы. Как начнут под продакшн допиливать - зафильтруют. Ну и не забываем ещё про два момента:
1) Даже если ваш аплинк принял - может зафильтровать его аплинк или пир.
2) Даже если улетело в глобальную таблицу (к тир1) - это не значит, что условный ростелек такое не фильтрует. Стоит одному крупному зафильтровать - и у вас с такими анонсами будет лишь частичная связность. Хорошо если вы и агрегат анонсите... а если нет - будет весело.
1) Даже если ваш аплинк принял - может зафильтровать его аплинк или пир.
2) Даже если улетело в глобальную таблицу (к тир1) - это не значит, что условный ростелек такое не фильтрует. Стоит одному крупному зафильтровать - и у вас с такими анонсами будет лишь частичная связность. Хорошо если вы и агрегат анонсите... а если нет - будет весело.
Да, я анонсирую /48+/49+/49. Нужно было как-то по входу отбалансироваться чтобы не затекало с резервного канала.
G
Лучшего решения я не придумал
SM
Да, я анонсирую /48+/49+/49. Нужно было как-то по входу отбалансироваться чтобы не затекало с резервного канала.
А аплинки кто и сколько?
G
Обтел и Лентел.
G
Ну до мира даже если и дойдет /48 это будет нормально
IE
Надо анонсить 48+49_1 и 48+49_2
SM
Обтел и Лентел.
Вот и ответ. Аплинки мелкие и, наверняка, ничего не фильтруют. До мира доходит как /48 а у ваших аплинков есть специфики. Вот и типа "балансировка".