REKLAMA

Z tyłu sklepu, czyli o obrzydliwości IPv6 słów kilka

Obrzydliwość trzecia: Sposób podziału sieci IPv6

Jak już wykazał kolega Piotr Marciniak, wraz ze sposobem, w który zaplanowano autokonfigurację w sieciach IPv6, ogromna część adresacji będzie zmarnowana i leżała odłogiem, stanowiąc łakomy kąsek dla wszelkiej maści abuserów. Bo kto przy zdrowych zmysłach upilnuje na „dzień dobry” sieć lokalną z prefiksem /64, która ma w sobie 16 mld adresów?

Co gorsza, gdyby nawet wziąć się za bary z problemem i podzielić tę absurdalnie wielką przestrzeń na mniejsze, to… możemy zapomnieć o autokonfiguracji urządzeń, która została przewidziana tylko dla prefiksu /64. Ułatwienie? Nie sądzę.

Wdrażając u siebie w sieci IPv6 przyjrzałem się magicznej wartości /56 i… postanowiłem pójść własną drogą. Zamiast kreować tylko 256 sieci /56 z posiadanej (wtedy) alokacji /48, postanowiłem wysyłać do klientów /60, których CPE z kolei może automatycznie zrobić 16 sieci po /64 zamiast 256 ze /56. Tym samym na alokacji /48 mogę już bez problemu podłączyć 4 096 klientów zamiast 256. Swoją drogą jest to i tak absurdalne marnotrawstwo adresacji, a przywołana przez Piotra Marciniaka minimalna alokacja /32 dla ISP jest jak najbardziej pożądana.

Oczywiście, w związku z wdrażaniem IPv6 w sposób wybrany przez siebie samego napotkałem kilka problemów: nie wszystkie CPE wykorzystywane przez ISP lub ich klientów „rozumieją” cokolwiek innego, niż magiczne /56 albo /64. Przekonałem się o tym w momencie, gdy jeden klient (notabene pracownik Poznańskiego Centrum Superkomputerowo-Sieciowego) zażyczył sobie możliwości używania własnego CPE znanej marki. Dopiero po licznych mailach do helpdesku producent przygotował firmware, który rozumiało, co to jest /60. Na szczęście CPE, których używamy w sieci standardowo tego problemu nie miały i wszystko zadziałało jak trzeba.

Obrzydliwość czwarta: Domyślnie brak NAT-u

Herezja? Nie sądzę. Otóż NAT44 znany z IPv4 oprócz „rozmnażania” adresacji ma jeszcze tę zaletę, że podłączone za nim urządzenia w podstawowy sposób zasłania przed całym światem. W natywnym IPv6 niestety wszystkie urządzenia są widoczne jak na tacy, z czego wynika wprost…

Obrzydliwość piąta: Służby specjalne

W przypadku komunikacji za pomocą IPv4, sprzętowy adres MAC, po którym można rozpoznać typ urządzenia z dokładnością do jego producenta i serii produkcyjnej nie jest widoczny w internecie. Aby specsłużby mogły się dowiedzieć szczegółów: kto, co i czym o danym adresie IPv4 robił w sieci w określonym czasie, muszą zapytać operatora. Ten na podstawie swoich danych (przechowywanych nie dłużej niż rok) udzieli mniej lub bardziej dokładnych informacji.

Tylko operator widzi fizyczne MAC adresy sprzętu w swojej sieci i na podstawie tych danych może ustalić, czy za podanym przez służby adresem IPv4 kryje się laptop użytkownika, czy jego domowy router. Jeśli router – nic dalej nie widać, bo adresy MAC za routerem już nie są widoczne. Nawet dla operatora. Taki stan rzeczy może być niezadowalający dla służb, zatem zrodziło się podejrzenie, czy aby konstrukcja automatycznie konfigurującego się adresu IPv6 na podstawie adresu sprzętowego MAC urządzenia, nie powstała czasem.. na ich życzenie.