Главная Windows, Новое IPv6. Гость из недалекого будущего.
  • IPv6. Гость из недалекого будущего.

    ipv6 С выходом новых версий ОС Windows и соответственно обновленных служб, нередко в списке изменений встречаются такие фразы как «Добавлена поддержка IPv6 или IPv6 совместимо». Большинству администраторов понятно, что речь идет о новой версии протокола   IP, но, как правило, этим познания и заканчиваются. Я предлагаю  немного разобраться с данным вопросом, ибо, если верить прогнозам довольно скоро IPv6  перейдет из статуса «таинственной новинки» в ежедневную обыденность.

    Но для начала давайте поймем, чего  не хватает IPv4  на современном этапе.

    Одной из основных проблем называют  истощение адресного пространства, напомню, что размер адресного пространства IPv4 равен 232, а это более чем 4 млрд. узлов. С этим можно поспорить, фактически при использовании  технологии NAT адресное пространство растягивается до бесконечности, но тогда появляется другая проблема, связанная со строго ограниченным количеством портов.  Ясно одно, свободные, не зарегистрированные адреса, в ближайшие 10 лет подойдут к концу, а по некоторым подсчетам «Время Х» наступит  в течение ближайших 2-3 лет.

    Другим камнем в огород IPv4  считается неэффективная  маршрутизация, которая заложена в самой идеологии протокола, что в свою очередь приводит  к хранению на магистральных маршрутизаторах десятков тысяч маршрутов и как следствие чрезмерную их нагрузку, особенно при перестроении  таблиц маршрутизации. Если в начале 90-х для размещения маршрутной таблицы в маршрутизаторе хватало 4-8 Мбайт, то сейчас требования к памяти превысили отметку в 100 Мбайт.

    Еще одним неотъемлемым атрибутом корпоративных сетей IPv4, является служба DHCP отвечающая за выдачу IP адресов клиентам. Если не учитывать такую «детскую» технологию как APIPA можно смело сказать, что  встроенное  автоконфигурирование  в IPv4  отсутствует. На мой взгляд, самой серьезной проблемой IPv4 является  безопасность. Несмотря на то, что стек TCP/IP был разработан по инициативе Министерства обороны США, своим появлением он во многом обязан академической, университетской среде, которую в тот момент возможность передачи данных волновала гораздо больше, чем сохранение их конфиденциальности.  Появившееся впоследствии протоколы IPsec, SSL, TLS были призваны решить проблему безопасности и отчасти ее решили, к сожалению усложнив при этом управление передачей данных.

    После появления протокола IPv4 большую популярность получили потоковые мультимедиа-приложения, VoIP и видеоконференции, которые требуют гарантированной пропускной способности и не превышения максимальной задержки. Т.е обеспечения качества обслуживания. (Quality of Service). В  IPv4 существует специальное поле «Type of service», но механизм интерпретации и резервирования его определен не был, поэтому абсолютное большинство существующих маршрутизаторов попросту игнорируют это поле в заголовке IPv4.

    Список этот можно продолжить недостаточным размером заголовка IPv4 , но я думаю и этого вполне достаточно, чтобы будущее посмотрело в сторону IPv6.

    Так что же изменится с переходом на новый протокол?

    Прежде всего, это размер IP адреса, в IPv6 он составляет 128 бит, что в четыре раза превышает размер адреса в IPv4.  128-битный адрес IPv6 делится на части по 16 бит, которые в свою очередь преобразуются в 4-значные шестнадцатеричные числа и разделяются двоеточиями. Форма такой записи получила название двухточечно-шестнадцатеричной.
    Пример IPv6 адреса: 21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A

    Существует несколько способов сокращения записи IPv6 адресов, первый из них заключается в удалении начальных нулей в каждом 16-битном блоке. Поскольку в каждом блоке должен остаться хотя бы один знак, адрес приобретет вид: 21DA:D3:0:2F3B:2AA:FF:FE28:9C5A

    Второй вариант заключается в замещении одного блока или группы последовательных блоков состоящих из нолей на двойное двоеточие.

    Например адрес: 21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A

    Можно превратить в 21DA:D3::2F3B:2AA:FF:FE28:9C5A убрав начальные ноли и заменив нулевой блок на ( :: ).Важно то, что в адресе может быть  только одно двойное двоеточие, поэтому заменять следует либо какой то один разряд либо группу последовательных.

    Хорошим примером служит сокращение адреса многоадресной рассылки FF02:0000:0000:0000:0000:0000:0000:0002 , который после применения правила принял вид  FF02::2.

    Следующее изменение связанно  с отсутствием такого понятие как маска подсети. IPv6 адрес делится на три части:  Global Routing Prefix, идентификатор подсети и идентификатор интерфейса.  Global Routing  аналогичен идентификатору сети (Network ID) в IPv4 и присваивается провайдерам.  Определяется он тремя первыми блоками.

    Идентификатор подсети представлен четвертым блоком и по сути очень похож на  идентификатор подсети (Subnet ID) в IPv4. Последняя часть идентификатор интерфейса (аналог Host ID в IPv4) определяет уникальный адрес хоста вашей сети. Существует несколько способов получения уникального 64-битноко идентификатора интерфейса, он может быть настроен вручную, определен DCHP сервером или получен путем преобразования MAC адреса сетевой карты. Вместо маски в IPv6 указывается префикс это количество бит, которые определяют часть блоков отвечающих за Global Routing.  Пишется префикс через косую черту после самого  адреса.

    Если взять для примера IPv6 адрес: 2001:0f68:0000:0000:0000:0000:1986:69af/48

    Поскольку префикс (/48) указывает на первые 48 бит, можно сделать вид, что 2001:0f68:0000 будет являться частью  Global Routing. Следующее поле, 0000, указывает на идентификатор подсети. Ну и оставшиеся блоки 0000:0000:1986:69af это идентификатор интерфейса.

    clip_image002

    Рис.1 Схема IPv6 Адреса (Global Unicast)

    В IPv6 существует три различных типа адресов Unicast, Multicast и Anycast. C Unicast все просто, он определяет конкретный уникальный хост в сети. Multicast же идентифицирует группу хостов или интерфейсов, при отправке пакета на этот адрес, он доставляется на каждый хост группы.  Anycast тоже объединяет несколько хостов, но имеет от Multicast существенное отличие, пакет посланный на  Anycast адрес доставляется только ближайшему к отправителю  участнику группы.

    Еще одно существенное отличие заключается в появлении нового протокола «Neighbor Discovery», который призван заменить  IPv4 широковещательные пакеты типа  Address Resolution Protocol (ARP), ICMPv4 Router Discovery, and ICMPv4 Redirect на более эффективные Unicast и Multicast пакеты. Поскольку функции у «Neighbor Discovery» довольно много, их принято делить на «Host-Router Discovery функции» и «Host-Host Communication».

    «Host-Router Discovery функции»

    В первую группу попадает задача  Router Discovery, как понятно по названию, это метод обнаружения хостом маршрутизаторов в своей локальной сети.  Далее на ND весит задача определения префикса сети (Prefix discovery), который дает понять клиенту в какой сети он находится. Кроме этого с помощью ND клиент получает от маршрутизатора информацию о том как производится получения IP адреса (через DHCPv6 или через роутер) и дополнительный параметры такие как максимальный размер пакета (Parameter Discovery)

    «Host-Host Communication»

    Задачи второй группы «Host-Host Communication» это разрешение имен, замена тех функции, которые в IPv4 выполнялись протоколом ARP (IP в MAC). А также определение доступности партнера по передачи данных и выявление нарушения уникальности IP адресов, т.е появления одинаковых IP.

    Плюсов у  ND  довольно много, если резюмировать, то, во-первых,  можно забыть о broadcasts пакетах, ибо разрешение имен идет через Multicast.  Во-вторых,  устройства, использующие  маршрутизатор, в случае если он  перестает быть достижим, обнаруживают  это и автоматически переключается на другой (при наличии). Поскольку ND работает на сетевом уровне,  это дает возможность  аутентифицировать и шифровать средствами IPSec такие задачи, как разрешение  имен или обнаружение адреса маршрутизатора. Ну и конечно автоконфигурация, несмотря на появление DHCPv6 значимость этой службы может оказаться под большим вопросом.

    Несколькими абзацами выше, мы определились с типами IPv6 адресов, на одном из типов, а именно на Unicast следует остановиться подробней. Он бывает трех видов: global unicast,  link local unicast и Unique Local Unicast. Теперь немного о каждом.

    Global unicast эквивалентен «белому» IPv4 адресу, он маршрутизируется в интернете  и доступен в IPv6 участке глобальной сети. Первые 48-бит  адреса является уникальными по всему Интернету (Global Routing Prefix), а провайдер, используя следующие 16 бита (Идентификатор подсети) может создать до 65536 подсетей. Пример сокращения нолей был показан на Global unicast адресе.

    Link local unicast – уникальный IP адрес, автоматически получаемый хостом вне зависимости от наличия в сети маршрутизаторов и DHCPv6 серверов. Генерируется адрес довольно просто. Глобальный префикс (Global Routing Prefix) изначально определен (fe80) и занимает лишь первые 10 битов адреса. Т.к. префикс стал короче (по сравнению с Global unicast адресом), то   пространство, отведенное под идентификатор подсети, увеличилось с 16 битов до 54 битов. А поскольку адрес LLU создан только для локальной сети, то данные биты не используются и выражаются нолями. Оставшиеся 64 бита (идентификатор интерфейса) получаются путем несложного преобразования 48-битного MAC адреса компьютера.

    clip_image002[5]

    Рис.2 Схема IPv6 Адреса (Link Local)

    Пример такого преобразования: Узел A имеет MAC-адрес Ethernet 00-AA-00-3F-2A-1C. Сначала этот адрес преобразуется в формат EUI-64 путем вставки разрядов FF-FE между третьим и четвертым байтами: 00-AA-00-FF-FE-3F-2A-1C. Затем инвертируется бит U/L (седьмой бит в первом байте). Первый байт в двоичной форме имеет вид 00000000. При инвертировании седьмого бита он принимает вид 00000010 (0x02). Конечный результат, 02-AA-00-FF-FE-3F-2A-1C, после преобразования в двоеточечно-шестнадцатеричную нотацию становится идентификатором интерфейса: 2AA:FF:FE3F:2A1C. Таким образом, сетевому адаптеру с MAC-адресом 00-AA-00-3F-2A-1C соответствует адрес локальной связи FE80::2AA:FF:FE3F:2A1C.

    Одной из главных задач Link local unicast  является поддержка работы протокола «Neighbor Discovery» и именно поэтому адрес конфигурируется в любом случае.  Передача данных внутри локальной сети осуществляется с использованием Link local unicast   даже при наличии сконфигурированного Global unicast адреса.

    И наконец, Unique Local Unicast адреса  идеологически напоминают  IPv4 адреса из зарезервированных диапазонов (10.0.0.0/8 или 192.168.0.0/24), они также предназначены для работы в сетях, напрямую не связанных с интернетом. Global Routing Prefix определяется первыми  8 битами и уже изначально задан (FD00::/8). Следующие 40-бит формируют Global ID уникальный  идентификатор, который представляет организацию. Он должен быть случайным, чтобы минимизировать возможность совпадения с другими организациями. Такая уникальность позволит осуществить объединение  сетей и настроить  маршрутизацию без их переконфигурирования.  Еще 16-бит дают возможность создать 65,536 подсетей и настроить маршрутизацию для внутреннего использования. Ну и наконец, последние 64 бита отданы под уже знакомый идентификатор интерфейса.

    clip_image002[7]

    Рис.3 Схема IPv6 Адреса (Unique Local Unicast)

    Одна из задач  разработчиков протокола IPv6 состояла в автоконфигурировании интерфейсов.  Важно понимать, что один интерфейс может иметь множество различных адресов IPv6. (В принципе  и при IPv4 интерфейс может иметь несколько адресов) Таким образом, интерфейс может одновременно иметь Link local  и Global IPv6 адреса.
    Процесс автоконфигурации начинается с  получения Link local адреса, проверки его уникальности и определение того, какая информация должна быть получена автоматически (адреса, дополнительные параметры или и то и другое).  В случае, если надо автоматически получить  адрес, то через какой механизм он должен быть сконфигурирован: stateless или stateful.

    Механизм stateless требует минимального конфигурирования маршрутизатора, при этом  дополнительные сервера не нужны.

    При stateless механизме хост генерирует  собственный адрес из локальной информации (MAC-адрес) и информации предоставленной  маршрутизатором. Маршрутизатор объявляет префикс идентифицирующий подсеть, а хост использует уникальный идентификатор интерфейса. Соединив их вместе хост получает адрес IPv6. В отсутствии маршрутизатора хост может сформировать только Link local адрес. Однако даже такой адрес дает ему возможность работать с машинами находящимися в его подсети.
    Автоконфигурирование по механизму stateful производится с помощью DHCPv6. В случае stateful, хост получает адрес интерфейса и/или другую информацию с сервера ( адреса DNS, как вариант).  Администратор сети может определить какой способ  будет использоваться при помощи специальных ICMPv6 сообщений «Router Advertisement messages». Механизмы Stateless и stateful могут дополнять друг друга и использоваться совместно. Stateless может использоваться когда точные адреса непринципиальны, stateful, наоборот, когда требуется выдача конкретных адресов конкретным хостам.

    Адрес IPv6 выдаётся на фиксированное (либо бесконечное) время. Каждый адрес привязан к интерфейсу  в течении времени жизни. По истечению времени жизни, адрес теряет связь с интерфейсом и может быть присвоен другому хосту в Интернете. Чтобы избежать возможных проблем, время жизни адреса делится на  две стадии: «preferred» – использование адреса  предпочтительно и «deprecated» — адрес, который вскоре будет утрачен. Новые соединения должны использовать адрес в состоянии «preferred». Адрес «deprecated» могут использоваться только приложениями, которые уже используют его и пока не могут  переключиться на новый адрес. Для решения проблем с уникальностью IPv6 адресов существует специальный механизм Duplicate Address Detection.  Маршрутизаторы также имеют Link Local адрес, полученный аналогичным образом.

    Поскольку осуществить IPv4 – IPv6 переход в короткий срок задача неосуществимая, было разработано несколько технологий взаимодействия в смешанных средах. На текущий момент это: туннелирование, двойной стек и трансляция протоколов.

    Суть туннелирования состоит в том, что пакет данных IPv6 инкапсулируется в  данные пакета IPv4. Такой  пакет IPv4 содержит в себе два заголовка IPv6 и IPv4, что в свою очередь позволяет  передаваться его через обычные IPv4-сети. Он доставляется к узлу  декапсуляции, где производится отбрасывание заголовка IPv4 и передача данных к IPv6 устройству. В зависимости от того, где происходит инкапсуляция и декапсуляция, выделяют следующие виды туннелирования. Существует три вида туннелирования: “Маршрутизатор – Маршрутизатор”, “Хост – Маршрутизатор”,”Маршрутизатор – Хост”.

    Реализация двойного стека подразумевает поддержку устройством одновременно протоколов IPv6 и IPv4. Первая поддержка двойного стека  появилась в Windows XP и Windows Server 2003 где администраторы могли дополнительно установить компонент протокола IPv6.

    И последний вариант – трансляция протокола. Сама трансляция не что иное, как согласование двух протоколов путем преобразования  сообщений, поступающих от одной сети, в формат другой сети. Один из вариантов заключается в использовании протокол-шлюзов, размещенных  на границах между IPv6-сетями и IPv4-сетями.

    Итоги:


    Пару лет назад, после публикации предварительного RFC согласно которому переход на IPv6 должен завершиться  до 2011 года, на одном из форумов был,  проведет опрос. Системным администраторам было задано два вопроса: планируют ли они переход на IPv6 и как они к нему относятся.

    Самыми популярными ответами стали: «Я еще не размышлял на эту тему» и «IPv6 – это неизбежное зло, с которым придется мириться».

    Результаты очень хорошо отражали развитие IPv6 в России. Несмотря на то, что с того момента прошло около двух лет ситуация кардинально не изменилась. Если верить сайту ipv6.ru  на сегодняшний день по количеству выделенных блоков IPv6-адресов Россия занимает 19-е место в Европе и 29-е место в мире. Посмотрев за пределы России, можно увидеть отсутствие поддержки IPv6 на большинстве популярных ресурсов, что явно не ускорит переход. Впереди планеты всей находится Япония, где IPv6 действительно развит, во многом  этому развитию способствовало количество устройств и сервисов, используемых в стране. Не обошлось и без государственной поддержки, в виде налоговых льгот для компаний, использующих IPv6. В любом случае набором минимальных IPv6 знаний системный администратор должен обладать, дабы не впадать в ступор при виде результат ipconfig в Windows 7.

    Илья Рудь

    • Рубрика: Windows,Новое
    • Автор: Илья Рудь
    • Дата: Thursday 12 Nov 2009

Комментарии

  1. Читатели, мне нужен “feedback”, интересует вопрос “почему нет коментов к статье”. Я могу предложить варианты.

    1) На IPv6 плевать/Теория вообще не интересна
    2) Совсем непонятно описанно
    3) Написанно супер понятно/Я это знаю и так о чем еще разговаривать
    4) ……

  2. 1а)… крупная разветвленная сеть некоего предприятия… ну и нафига там ipv6… 🙂 (кстати как раз в продолжение темы неплохо бы написать про сосуществование ipv6 ipv4) что касается vista и seven: майкрософт чего только не проталкивало…

  3. Подозреваю что чтение статьи прерывается ближе к середине когда начинается описание новых функций и битовые маски.
    Учитывая что довольно таки большой процент “админов” не знает зачем маска подсети IPv4 (по опыту собеседований). Соответственно IPv6 адрес ассоциируется с бинарным кодом и вызывает взрыв мозга.
    Сегодня был на оффлайновом TechDays, дык вот голос из зала (в тот момент когда шла презентация DirectAccess и IPv6) спросил как он будет запоминать такие адреса, когда ему и с IPv4 непросто. no comments. 🙂
    А у тех кто прочитал/переварил, в общем то комментариев быть не может, т.к. “Написанно супер понятно/Я это знаю и так о чем еще разговаривать”
    Интересно почитать про реальный опыт настройки/внедрения к примеру DirectAccess и какие грабли выплывают например с маршрутизаторами.

  4. Ну реальный опыт не обещаю, а вот стенд во всеми сервисами MS под IPv6 мысль поднять есть. Посмотреть как работать будет интересно.

    му-му, я отвечу очень просто – “куда вы денетесь с подводной лодки” ))) Как только провы перейдут, а они перейдут и быстрее чем кажется, остальные аж вприпржку.

  5. С 4 по 8 мая в Амстердаме (Нидерланды) прошла 58-я конференция Координационного Центра распределения ресурсов сети Интернет в Европейском регионе (RIPE NCC)
    По пессимистичным прогнозам, которые были озвучены на конференции, технология IPv6 дойдет до рядовых пользователей не ранее 2016 года (с)

    Даже по пессимистичным прогнозам, не так уж и долго осталось. Ох уж эта привычка тянуть до последнего. Японцы молодцы, сервисы юзают те, которые нам только снятся.

  6. Я это знаю и так, о чём ещё разговаривать 🙂
    Особенно после того, как начал пинговаться 192.99.88.1 и mTorrenet вдруг сам стал качать всё с v6 адресов.
    Будущее уже давно здесь.

  7. Статья временно отсутствовала на сайте по причине публикации в журнале “Системный Администратор”.

  8. Илья Рудь, статья хорошая и интересная только все равно мало понятно, можно еще поподробнее разжевать.

  9. Welcome, на мой взгляд, просто IPv4 нужно более менее знать. Тогда будет все ок.

    Давайте сделаем так, вы перечислите моменты, которые непонятны. Может кто то еще добавит. И я выпущу add-on для статьи.

  10. Если подходить к вопросу глобально, то в статье нехватает описания IPv4. Действительно многие администраторы не знают о нем практически ничего (знание что есть адрес и есть сеть – это не знание). Было-б замечательно увидеть все в одной статье, с сравнением side by side.

  11. Можно конечно. Я подумаю. Просто интересно писать о том, с чем самому нужно разбираться. Совмещение приятного с полезным. Я хочу до НГ написать статью о том как построить сеть на IPv6. Хотя бы тестовую, но чтобы все работало. И как при этом обеспечивать совместимость с сегментом сети на IPv4.

  12. IPv6 – будет очень не скоро, если не начнут насильно его пропихивать, как это делает майкрософт. Провайдерам он нафиг не впился, им он в копеечку встанет (я проработал у провайдера долго, так точно могу сказать). Плюс ФСБ тоже не в восторге. Так что всё это так, игрушки пока что.

  13. То, что выгодно Ростовским провайдерам и власть имущим в России в целом Я знаю и без работы у провайдера. )) Слышать, что IPv6 это игрушки несколько странно..)))

  14. Статья супер! Хотелось именно кратко понять механизм работы и структуру IPv6. И идея о стенде во всеми сервисами MS под IPv6 мне очень интересна. А то спрашиваю у системных интеграторов о целесообразности работы новой IT-сети (строим бизнес-центр), ни один не рекомендует делать сразу на IPv6. Мало опыта, некоторые программы могут не работать, IPv4 проверен временем…Забрел на сайт случайно, сразу “проглотил” несколько статей – в закладки однозначно. Спасибо.

    Кстати, вспомнил о статье, рассказывающей о появившемся вредоносном ПО, использующее именно протокол IPv6, который по-умолчанию включены в Vista/Windows 7. Не все антивирусное ПО его сканирует. Надо и это учитывать.

  15. > Провайдерам он нафиг не впился, им он в копеечку встанет (я проработал
    > у провайдера долго, так точно могу сказать).

    Ржал.

    “У провайдера” – это где? С ребятами акаду на подъезд развели?

    Все основные преимущества IPv6 – провайдерские. Снижение стоимости поддержки в разы, к примеру, плюс уменьшение загрузки оборудования. Какое ФСБ “не в восторге от IPv6”, что вы курите? Протоколу больше 10 лет, на нём работают целиком сегменты Интернета, и крупные – слышали про такие страны – Япония, Китай? Вы хотя бы 20 преимуществ IPv6 сможете назвать навскидку – ну, перед тем, как сравнивать? Или сравнить MP-BGP с ISIS – ну, чисто на уровне carrier провайдера, или администрирования provider core девайсов? Про фирмы Juniper, Cisco, Huawei слышали? Расскажите, почему они on silicon делают уже годами поддержку этого вредного протокола? :)))))

  16. По комментариям делаю вывод, что тема не избитая и тех кто понимает что такое “ИТ инновация” интересует. В ближайшие 10 дней закончу статью-труд последних 4 месяцев и сяду за “Строим сеть на IPv6”.

    P.S Читатели, чем больше будет комментариев, тем больше будет хороших статей.

  17. IP v4 знаю (или думаю что знаю 🙂 )
    но тут едва половину осилил, а дальше – текст понимаю, а как применить не знаю 🙂

  18. Илья, статья на самом деле не плохая. Мне нравятся статьи как раз такого плана – как хороший справочный материал, всё кратко и достаточно понятно.

    Небольшие дополнения:
    1. В 4-ом абзаце есть очепятка – “DCHP”, но это ерунда.

    2. Можно было бы добавить для наглядного восприятия соотношения Unicast адресов – картинку с областью действия каждого адреса.

    3. Про Link Local Unicast стоило бы уточнить, что формирование адреса с использованием EUI-64 происходит по умолчанию только в Windows XP и Windows Server 2003. В Windows Vista, Windows 7 и в Windows Server 2008 по умолчанию создаются случайные идентификаторы интерфейсов для постоянных автоматически настроенных IPv6-адресов.

    Для изменения этого поведения необходимо выполнить команду
    netsh interface ipv6 set global randomizeidentifiers=disabled

    (см. http://technet.microsoft.com/en-us/magazine/2007.08.cableguy.aspx
    и официальный документ «Introduction to IPv6», который можно найти на веб-узле microsoft.com/technet/network/ipv6/introipv6.mspx)

    4. Ну и просто – кому интересно – “The Cable Guy: The DHCPv6 Protocol”:
    http://technet.microsoft.com/en-us/magazine/2007.03.cableguy.aspx

    Всё об IPv6 на Technet:
    http://technet.microsoft.com/en-us/network/bb530961.aspx

    The Cable Guy – Column Archives:
    http://technet.microsoft.com/en-us/cc512755.aspx

  19. Илья ну я как бы и не говорю ipv6 плохо а вот ipv4 супер.
    может как-то примеров добавите, можно в сравнении с ipv4.а вообще тогда буду ждать следующую статью которую вы обещали.

  20. Понял, чего мне не хватает во всех статьях/книгах про IPv6. Не хватает процедур внедрения (что покупать у ISP, на что менять железо, как менять внутреннюю/внешнюю адресацию) для разных сценариев:
    1. SOHO – домашний/малый офис до 10 компьютеров/сетевых устройств, который сейчас сидит на одном IPv4 адресе за NAT.
    2. Средний офис – 100-200 хостов, NAT, внешняя сетка и DMZ адресов на 8-16.
    3. Branch большой компании, с независимым доступом в интернет и VPN каналом в головной офис.
    4. Большая многофилиальная компания с выделенными WAN и VPN каналами и разными ISP в филиалах.
    5. Международная 4.

  21. Хорошая статья, спасибо.
    Хотелось бы статью с примерами настройки сети предприятия, с настройкой DHCPv6 и пр.

  22. да Борис именно этого не хватает.

  23. Заказ принят.) Ждите. Завтра в самолете буду 3 часа рисовать схему сети и план статьи. Мне самому это интересно, поэтому шанс, что такая статья из состояния “в планах” перейдет в состояние “написана” очень велик)

  24. Илья будем ждать.

  25. Спасибо Илья за статью. Ждем продолжения

  26. Статья шикарная, всё понятно.
    Но, как уже сказали, нехватает примеров внедрения и информации чего на что менять (железо, софт).

  27. Хорошая статья. Ждем вторую часть подназванием безопасность в IPv6

  28. Спасибо, отличная статья, доступно и просто охвачены основные момента

    Единственный вопрос: а как скачать PDF-версию? Имеющаяся ссылка не работает…

  29. Такие статьи я читал в 2001-2002 годах, и не упомню даже, но тик в тик когда во FreeBSD появилась полноценная поддержка ipv6 (ipsec) уже к тому времени была…
    Так к чему я это, сама статья неплохая, только извините, должна была быть написана очень давно.

  30. Простите, кому должна?

  31. Мои 2 пенни: счастливые обладатели ОС Windows 7 могут набрать в адресной строке браузера “ipv6.google.com” и весь последующий трафик пойдёт по протоколу IPv6, “обёрнутому” в IPv4 до ближайшего шлюза IPv4-to-IPv6, в моём конкретном случае 192.99.88.1, и дальше до гугля и обратно по “чисто” IPv6.
    Особо недоверчивые могут посмотреть на трафик сниффером, а те кто впал в ступор от слова “сниффер” могут здесь: “http://netmontools.com/download/prolanet-setup.exe” скачать небольшую (~600 кб.) утилитку, которая и всё и покажет.
    А статья отличная, поболее таких и по-русски!
    С уважением автор утилиты mansurv.

  32. Очень интересная и полезная статья. Впервые встречаю столь грамотно построенное и доходчивое объяснение особенностей IPv6

  33. Действительно, полезная статья. Впервый раз я хоть что-то понял относительно IPv6, интерес к которому всплывал эпизодически, но ничего внятного под руку не попадалось.

  34. Спасибо за статью!
    Но в целом я согласен с Nebook.
    После того как МС прирезала курс по сетевым технологиям, и так безграмотные в своей массе админы, потеряли шансы на хоть какое-то обучение. Хорошо бы такой курс вернуть.
    Юниксовые вендоры уже много лет учат основам и использованию IPv6 на курсах. В Sun-овском треке об IPv6 рассказывается с момента выхода Solaris 8. Уже столько лет прошло.
    А сколько лет мы говорим, что года через 3-4 точно начнется переход на IPv6.
    Уже самим не смешно.

  35. >МС прирезала курс по сетевым технологиям

    Ничего подобного. В двух курсах по 2008-му серверу есть модули по IPv6, причем очень детальные. Расказывается как переводить свою сеть на IPv6. Делаются соответсвующие лабы.

  36. > Первый байт в двоичной форме имеет вид 00000000. При инвертировании
    > седьмого бита он принимает вид 00000010 (0×02).
    А в IPv6 биты считаются слева направо? Обычно, при установке 7 бита получалось 0х80. На калькуляторе проверил 🙂

  37. Спасибо, последовательно и понятно.
    Включу материал в семинар студентам.

  38. Хотя судя по выходу новой статьи – поправлять старую не будут, укажу свои впечатления

    1. В 16 абзаце, начинающемся со слов: Идентификатор подсети представлен четвертым блоком и…. опечатка – уникального 64-битноко.
    2. Поэтому я и писал Вам Илья – версия для печати лучше PDF файла, можно один раз исправить ошибки ибольше ничего не переделывать. Вот я распечатал PDF на принтере – почитал. А сейчас смотрю – на сайте и оформленно красивее и доходчивее.
    3. Абзац про существующие в Ipv6 Uni Multi Any – cast лично мне кажется ужастно туманным. Да, дальше идет некое обьеснение, но имхо лучше уделить этому моменту больше внимания.
    4. Повесилила фраза про “неслоложное” преобразование IP в Ipv6.
    Все это только мое мнение, я еще начинающий, но насколько мне просто было читать Вашу статью по AD, настолько эту мне было читать непонятно. В целом я все понял, понял что хотел сказать автор, но в голове остался набор терминов без представления как это работает…
    Про изменение 7го бита я тоже заметил не стыковку. Неплохо бы схемку перевода адресов вида:
    0
    1
    2
    3
    fffe –>
    4
    5
    xor –> 6
    7

  39. >в голове остался набор терминов без представления как это работает

    А вы хотели прочитать статью на 10 тыс. символов и потом сказать “I know IPv6”? Я уже месяца три читаю про IPv6 и пытаюсь в голове по полочкам разложить. И знаете белых пятен и непонятных моментов еще очень много. Так что вы меня не удивили)

    P.S По поводу бит. Действительно нестыковочка. Будет время я проверю. Похоже у МС в документации по IPv6 ошибка, а я на доверии скопипастил ее.

  40. спасибо, Илья. статья помогла заполнить кое-какие пробелы насчет IPv6, но вот не могу понять как это не знать элементарного IPv4 ? есть и такие разве? 🙂
    буду ждать статьи с применением IPv6, как раз будет несколько подопытных железяк под рукой.
    и насчет битов действительно пересмотрите, а то я уже было думал что у меня галлюцинации какие-то 🙂

  41. Tiga:
    “>МС прирезала курс по сетевым технологиям ”

    Илья Рудь:
    “Ничего подобного. В двух курсах по 2008-му серверу есть модули по IPv6, причем очень детальные. Расказывается как переводить свою сеть на IPv6. Делаются соответсвующие лабы.”

    Илья, прочтите пост заново. В нем ясно написано, что МС прирезала курс по сетевым технологиям. Если вы о его существовании ничего не знаете, то это не значит, что его не было. Было это сделано при переходе от NT4 к 2К.
    Вместо этого курса, меньшая содержательная часть его была раскидана по нескольким курсам.
    Причины, побудившие МС это сделать, мне доподлинно не известны. Но самого факта это не отменяет. 2276, например, не покрывает всего содержания старого курса (для которого даже был обязательный экзамен для MCSE – 70-058, вроде).
    Т.е. речь я веду о необходимости такого курса, который интегрировал бы все знания необходимые администратору и инженеру оп сетевым технологиям.
    Ради любопытства сравните дату выхода Solaris 8 (и курсов) с 2008 годом.
    На самом деле, в курсах по Win2K уже было упоминание о ipv6 (только не помню в каком).

  42. Tiga, спокойствие и только спокойствие, поверьте читать умею с первого раза и не хуже вас.

    Подозреваю, что курс как таковой сетевой был прирезан по причине наличия профильных курсов Cisco. А МС-у не интересно поддерживать такой курс, потому что в нем освещения продуктов МС близко к 0. Поэтому и размазали по другим курсам, привязав теорию к конкретным сервисам и продуктам МС.

  43. Илья, всей дискуссии по поводу статьи не читал, но хочу сказать БОЛЬШОЕ СПАСИБО. У Вас отличная манера изложения материала, достаточно кратко, по сути, доступно, понятно и без воды.
    Буду рад читать Ваши статьи в будущем.
    Удачи.

  44. Илья, как краткое введение в IPv6 статья очень неплохая. Большое спасибо. Два замечания, если позволите.
    Во-первых, не хватает ссылок на первоисточники. Было бы полезно их привести.
    Во-вторых, некоторые тезисы требуют обоснования. Вот Вы пишете: “На мой взгляд, самой серьезной проблемой IPv4 является безопасность”. И дальше о том, чем с точки зрения безопасности v6 лучше v4 – ни слова…

    Мне почему-то кажется, что при современных тенденциях использования IPv6 (в той же Windows Vista или Windows 7) безопасность сетей будет ниже. Просто потому, что возможностей для сетевого взаимодействия v6 предоставляет больше, чем v4 (по умолчанию). Вспомните Windows 2000 Server, где по умолчанию запускался IIS…

    И, кстати, одно воспоминание по поводу перехода на v6.
    В апреле 2004 года на Microsoft Research Academic Days один из докладчиков уверял, что через два года Интернет будет работать на v6. По крайней мере, в США точно. На дворе 2010-й. Большая часть корневых DNS-серверов не имеет IP-адресов для 6-й версии (или, по крайней мере, они не опубликованы). Жалко, я тогда с ним не поспорил. 😉

  45. Спасибо парни.
    Вкратце отвечу на вопросы:

    1. Раскрывать тезисы смысла не вижу, т.к иначе это будет не статья, а минимум диплом 🙂 Плюс, я не супер спец по сетям и многие вещи воспринимаю “as is” со слов тех, кто сильней в данной области.

    2. Спорить ни с кем не буду по поводу сроков IPv6, но уверен, что все к этому придет. Пока меня больше волнует появление поддержки IPv6 у 100% сервисов и продуктов MS. Пока белых пятен много.

  46. Ilya Rud:
    “Tiga, спокойствие и только спокойствие, поверьте читать умею с первого раза и не хуже вас.

    Подозреваю, что курс как таковой сетевой был прирезан по причине наличия профильных курсов Cisco. А МС-у не интересно поддерживать такой курс, потому что в нем освещения продуктов МС близко к 0. Поэтому и размазали по другим курсам, привязав теорию к конкретным сервисам и продуктам МС”.

    Илья, спокойствие и только спокойствие:). Вот видите, вы уже согласны, что курс был прирезан:). Вместе с ним прирезали и обязательный экзамен. Зря, на мой субъективный взгляд.

    “А МС-у не интересно поддерживать такой курс, потому что в нем освещения продуктов МС близко к 0.”

    А вот это зря вы сказали. Отсюда следует, что МС не готова давать знания людям как таковые (причем, за их же деньги). Отсюда следует, что МС не интересна подготовка администраторов и инженеров, имеющих широкий кругозор. Но мы же знаем, что это не так. Мало этого, мы стараемся, чтобы это было не так.

    И еще.
    Такое вот размазывание приводит и к тому, что картинка в голове не складывается. Курс по сетевым технологиям и был нужен для этого.
    А причем тут Cisco? Где в пререквизитах к курсам МС написано, что надо прослушать цисковские курсы?

    По срокам.
    В 2000-м году, когда рассказывал про IPv6 говорил, что не сейчас, а лет через 5-6 переход начнется. В 2005-м говорил о том же.
    Сейчас 2010. Боюсь, что и сейчас могу повторить то же самое. Когда-нибудь мы к нему придем, но вот когда.

  47. “Отсюда следует, что МС не готова давать знания людям как таковые (причем, за их же деньги). Отсюда следует, что МС не интересна подготовка администраторов и инженеров, имеющих широкий кругозор.”

    ИМХО, считаю вашу точку зрения однобокой. Майрософт проводит курсы по своим продуктам (Вот-жешь странно то как…), курс по сетевой маршрутизации IPv4 присутствует и есть экзамен. Этого уровня достаточно, что бы настроить несложные сети,с несколькими шлюзами,сайтами и другим. Усложняться же в сетевые протоколы, хм, люди пришли немного не туда. МС не обязана в своих курсах расширять кругозор тех людей, которые сами не хотят изучать. Уж извините, но нужно взять книжки/RFC/Google и почитать…

    Такое вот размазывание приводит и к тому, что картинка в голове не складывается. Курс по сетевым технологиям и был нужен для этого.

    Не знаю как у вас, но картинка все же складывается и весьма удачно.

    “А причем тут Cisco? Где в пререквизитах к курсам МС написано, что надо прослушать цисковские курсы?”

    Наверное, потому что они плотно сотрудничают? По вашему мнению в книгах должны еще и про настройки VoIP рассказать,к примеру ?

  48. Денис Б, согласен с вами на все 100. Просто последнее время иногда влом спорить. Наверно старею)

  49. Хорошая статья – помогла разобрать некоторые моменты которые ранее не удосужился рассмотреть. Сенк.

  50. Доброго времени суток.
    Мне кажеться, что в этой фразе ошибка: “Вместо маски в IPv6 указывается префикс это количество бит, которые определяют часть блоков отвечающих за Global Routing.”
    Например MS в своём курсе 70-642 пишет: “For unicast addressing, IPv6 does not support variable length subnet identifiers, and the number of bits used to identify a network in a unicast IPv6 host address is always 64 (the first half of the address). It is therefore unnecessary to specify a subnet mask when representing a unicast address: a network identifier of/64 is understood.
    IPv6 addresses, however, do use network prefixes expressed in slash notation, but only to represent routes and address ranges, not to specify a network ID. For example, you might see an entry such as “2001:DB8:3FA9::/48″ in an IPv6 routing table.”

  51. Я не вижу в приведенных вами фразах противоречий.

  52. Т.е., на сколько я понимаю, префикс в данном случае – это синоним маски подсети и всегда равен /64 (для IPv6). Он определяет часть блоков отвечающих за Network ID (а не Global Routing)

  53. О каком именно unicast адресе идет речь?

  54. В том то всё и дело, что для любого unicast адреса префикс сети равен /64. Он отделяет Network ID от Host ID (по анологии с маской подсети). Но в Вашем примере речь шла о global adress, для которого Network ID = Global Routing Prefix + Subnet ID.
    Просто у Вас дальше в тексте написано: “Если взять для примера IPv6 адрес: 2001:0f68:0000:0000:0000:0000:1986:69af/48”
    На сколько я понимаю, так писать не правильно. Тут можно было сказать, что провайдер выделил Global Routing Prefix – 2001:0f68:0000/48, но правильный адрес в данном примере – 2001:0f68:0000:0000:0000:0000:1986:69af/64

    П.С. Я всё это пишу не для того, чтобы придраться к статье, просто сам пытаюсь разобраться в теме. Вот и возникают вопросы…

  55. >В том то всё и дело, что для любого unicast адреса префикс сети равен /64.

    С чего вы это взяли?

    http://www.tcpipguide.com/free/t_IPv6GlobalUnicastAddressFormat-2.htm

  56. Спасибо за статью. Всё разжёвано и было мне полезно. Практического применения не вижу пока, но в голове нужно – факт, т.к. к таким вещам надо готовиться заранее.

  57. Илья, я никак не могу найти ожидаемую мною и обещанную Вами статью “Строим сеть на IPv6”

    > Отзыв от Илья Рудь — 14 Ноябрь 2009 в 16:37
    В ближайшие 10 дней закончу статью-труд последних 4 месяцев и сяду за «Строим сеть на IPv6».

  58. 🙂 Ее просто нет, в борьбе за вечное, доброе, светлое просто нет времени собрать стенд и описать.

  59. Илья, спасибо за статью. Вопрос по IPv6 : MS часто упоминает в курсах следующие виды Unicast –
    Unicast IPv6 address types include:
    • Global unicast addresses
    • Local-use unicast addresses
    • Site-local unicast addresses
    • Unique local IPv6 unicast addresses
    & special addresses.
    Site-local это куда? Спасибо.

  60. Unique Local Unicast пришёл на смену Site-Local (rfc4193) Помечен как устаревший в rfc3879. (с) wiki

  61. Спасибо, доступно. Сослался на статью в лабораторном практикуме.

  62. Особенно интересно перечитывать статью и комментарии к ней через пять с лишним лет ))
    Тогда у нас не было ни блока адресов, ни оборудования умеющего работать с IPv6.
    Так что все ограничивалось только локальными экспериментами….
    Ну а сейчас… можно сказать коротко и с цифрами – доля пограничного трафика в нашей беспроводной сети около трети от общего.
    Хотя … есть у нас линукс-админ, который до сих пор говорит “ну и зачем нам этот IPv6 нужен” ))

  63. Ну вот видите, будущее наступило, я не обманывал)