użycie adresów zastrzeżonych

Problemy związane z routingiem

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron

Wiadomość
Autor
rysic
wannabe
wannabe
Posty: 297
Rejestracja: 31 lip 2012, 09:16
Kontakt:

użycie adresów zastrzeżonych

#1

#1 Post autor: rysic »

U znajomego w firmie wyczerpała się adresacja IPv4 (trochę zbyt optymistyczny podział na podsieci). Tak sobie dyskutowaliśmy o problemie i wyszło na to, że IPv6 będzie bardzo trudno wdrożyć ze względu na to, że wiele starych urządzeń będzie mieć z tym spore problemy.

Przyszło mi do głowy, czy nie można użyć tymczasowo (aż sieć nie zostanie wystarczająco dostosowana do IPv6) adresacji zarezerwowanej. Czyli przykładowo:
TEST-NET - 192.0.2.0/24
testing of inter-network - 198.18.0.0/15
TEST-NET-2 - 198.51.100.0/24
TEST-NET-3 - 203.0.113.0/24
albo inne 240.0.0.0/4, 100.64.0.0/10

Nie miałem okazji przetestować, ale sieci testowe router powinien chyba normalnie (lub po lekkiej modyfikacji przepuścić)? W końcu są przeznaczone do różnych testów, które chyba też mogą obejmować routing?

Testował ktoś takie rozwiązanie problemu?

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1849
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#2

#2 Post autor: frontier »

Zaraz zaraz, czy ja dobrze rozumiem sieci 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16 mu się skończyły?
Jeden konfig wart więcej niż tysiąc słów

rysic
wannabe
wannabe
Posty: 297
Rejestracja: 31 lip 2012, 09:16
Kontakt:

#3

#3 Post autor: rysic »

Tak, międzynarodowa firma z bardzo, bardzo wieloma lokalizacjami, podzielonymi na V-LANy, które dość sporo adresacji mają pozostawionej jako zapasowa :-/
To nie jest jakoś... niesamowicie dziwne. Moja firma zbliża się do podobnej granicy. Przykładowo, planujesz zakres 10.0.0.0. Dajesz na każdą lokalizację /22, bo ze względu na bezpieczeństwo będziesz mieć sporo V-LANów. To daje jakieś 16tys sieci. Ale chcesz działać zgodnie z poprawnością polityczną i odrzucasz sieci zerowe i ostatnie, to zostaje trochę mniej.
Wydaje Ci się, że nie zużyjesz tego do końca świata, ale po pewnym czasie wdrażasz firewalle i każda lokalizacja dodatkowo potrzebuje jeszcze sieci transferowych.
Firma się rozrasta.... przykładowa Biedronka w polsce ma 3000 sklepów. A na świecie? UPS!, zaczyna Ci się kończyć adresacja ;-)
Pozostałe adresy poświęciłeś na magazyny, biura regionalne i centrale, datacenter itp.

Nooo... ale nie o tym miał być temat, pytanie raczej, czy się da to chwilowo obejść? :-)

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1849
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#4

#4 Post autor: frontier »

Pracowałem kiedyś w Vodafone i tam już dawno skończyły im się adresy prywatne, nie mówiąc przejęciach innych firm - nikt wtedy nie bawił sie w readresację. O ile dobrze pamiętam, było to tak zrobione że np. sklep dostawał dwie podsieci /26 (voice i data) które mogły się powtarzać, ale były PATowane do unikalnego IPka. Druga sprawa to serwery wewnętrzne np. centralne logowanie, te musiały być unikalne więc używano adresy publiczne należące do Vodafone.

Co do użycia tych wspomnianych przez Ciebie bloków to nie wiem, nie widziałem, no i CCIE nie jestem :P
Jeden konfig wart więcej niż tysiąc słów

jachu_87
CCIE
CCIE
Posty: 100
Rejestracja: 22 cze 2010, 16:27

#5

#5 Post autor: jachu_87 »

Pula 192.0.2.0/24 jest zalecana np. przy konfiguracji adresu VIP dla kontrolerów bezprzewodowych (wcześniej było 1.1.1.1 ale ten adres został przyznany i jest publicznie routowalny).

Generalnie z routigniem tych podsieci nie powinieneś mieć problemów ale być może powinieneś się przyjrzeć problemowi, bo używając tylko adresacji tylko łatasz dziury.

Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

#6

#6 Post autor: krisiasty »

Pula 100.64.0.0/10 jest przeznaczona na Carrier-Grade NAT (RFC6598), ale można ją traktować tak samo jak prywatną adresację z RFC1918.

To jest bardzo fajny kawałek adresacji do zagospodarowania...
W mojej poprzedniej firmie korzystaliśmy z niej m.in. w sytuacjach kiedy trzeba było ustalić jakąś unikalną prywatną adresację pomiędzy wieloma łączącymi się firmami....

freel4ncer
wannabe
wannabe
Posty: 531
Rejestracja: 27 wrz 2007, 01:13

#7

#7 Post autor: freel4ncer »

Slyszalem od znajomego z Amazona iz w prodzie mieli podobny problem i ipv6 nie bylo opcja na szybko wiec zaczeli uzywac publicznych ale to zalezy do czego chcesz to zastosowac

lbromirs
CCIE
CCIE
Posty: 4094
Rejestracja: 30 lis 2006, 08:44

#8

#8 Post autor: lbromirs »

Forumowicze (Drodzy),

Po pierwsze, nie ma czegoś takiego jak adres nieroutowalny. Każdy adres jest routowalny. Czasami tylko do localhosta, do Null0, do discard, ale jest routowalny. 10.0.0.1 jest routowalne, równie tak samo jak 193.19.143.15.

Po drugie, nie używajcie przestrzeni publicznej nie przypisanej do Was, albo adresów zarezerwowanych do wykorzystania w CGNach... ugryzie Was w tyłek nie od razu (jeśli macie choć trochę podstawowej wiedzy i ewentualny konflikt zauważycie od razu), ale w najgorszym możliwym momencie. Np. przy podłączeniu 1000-ego klienta. Albo przy migracji o 4 nad ranem, gdy okaże się, że wszystko działało do tej pory cudem (którym był jakiś błędnie skonfigurowany VIP gdzieś w internecie, odpowiadający radośnie na Wasze IP SLA), ale już nie działa. I nie tylko całą migrację, ale Waszą reputacje można zapakować do pudełeczka po starym iPhone, skleić nieprzezroczystą taśmą izolacyjną, wziąć szeroki rozmach i wsadzić ją głęboko do odpływu kanalizacji. Mocno.

Przestrzeń adresów zarezerwowanych opisuje obecnie RFC 6890:

https://tools.ietf.org/html/rfc6890

Skoro tak ogromne firmy jak AT&T czy NTT poradziły sobie z unikaniem adresów obcych, nie wierzę, że jakaś firma, jak specyficzna by nie była, nie potrafi zmieścić się w przestrzeni opisanej przez to RFC, czy choćby nawet przez stare i lubiane RFC 1918. Ściemniać to my, a nie nas. Chyba, że w trakcie projektowania i wdrażania tej sieci popełniono tyle błędów, że zanim ktokolwiek rozpocznie migrację, cały dział sieciowy powinien zając się z dnia na dzień grą w bierki, szukaniem złota, albo zdobywaniem zamków, ale już gdzieś poza rzeczoną firmą. Dlaczego przestrzeni CGNowej nie używa się do "pomagania" sobie w zabawie napisałem już w zasadzie powyżej, warto jeszcze rzucić okiem na Ivana.

A co do Biedronki... tak się składa, że jest tam rozwiazanie Cisco, DMVPNy w połączeniu z IWANem - jakoś nie widzę problemu zmieszczenia się w JEDNEJ sieci z RFC 1918. I to z ogromnym zapasem. Zresztą, inżynierowie odpowiedzialni za ten projekt są na forum i może coś dopowiedzą.

Łatać na szybko można wszystko i zawsze. Każda prowizorka zostaje jednak zwykle w nieskończoność a ilość mięsa, którym można rzucić o 6 nad ranem w stronę poprzednich "architektów" sieci jest naprawdę ograniczona.

Profesjonalizm. A nie sznurek i pudełko po serku homogenizowanym.

Apeluję.

Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

#9

#9 Post autor: krisiasty »

lbromirs pisze: Po drugie, nie używajcie przestrzeni publicznej nie przypisanej do Was, albo adresów zarezerwowanych do wykorzystania w CGNach...
[...]
Dlaczego przestrzeni CGNowej nie używa się do "pomagania" sobie w zabawie napisałem już w zasadzie powyżej, warto jeszcze rzucić okiem na Ivana.
zaraz, zaraz...

Ivan pisze o scenariuszu, gdzie jakiś klient ZEWNĘTRZNY może dostać na "mydelniczce" adres na swoim zewnętrznym interfejsie z sieci 100.64.0.0/10...
Ale równie dobrze taki ZEWNĘTRZNY klient może dostać adresację z RFC1918 (bo np. korzysta z dziadowskiej kablówki lub innego wanna-be providera) i co wtedy?

Jakie są REALNE zagrożenia dla sieci ENTERPRISE (nie SP) korzystania z tej adresacji, bo jakoś trudno mi sobie wyobrazić coś czego nie da się rozwiązać w prosty sposób?

Ja rozumiem że to nie jest politycznie poprawne podejście, ale wdrażanie IPv6 (co sugeruje Ivan) tylko z tego powodu to żadna alternatywa (szczególnie z punktu widzenia biznesu który musiałby za to zapłacić).

lbromirs
CCIE
CCIE
Posty: 4094
Rejestracja: 30 lis 2006, 08:44

#10

#10 Post autor: lbromirs »

krisiasty pisze:Ivan pisze o scenariuszu, gdzie jakiś klient ZEWNĘTRZNY może dostać na "mydelniczce" adres na swoim zewnętrznym interfejsie z sieci 100.64.0.0/10...
Ale równie dobrze taki ZEWNĘTRZNY klient może dostać adresację z RFC1918 (bo np. korzysta z dziadowskiej kablówki lub innego wanna-be providera) i co wtedy?
W dużym uproszczeniu to samo, ale nie rozmawiamy o dziadowskich wanna-be providerach. Adresacja CGNowa może się pojawić, co tym bardziej oznacza, że powinniście używać jej używania WEWNĄTRZ Waszych firm bo nie do tego została zarezerwowana.
krisiasty pisze:Jakie są REALNE zagrożenia dla sieci ENTERPRISE (nie SP) korzystania z tej adresacji, bo jakoś trudno mi sobie wyobrazić coś czego nie da się rozwiązać w prosty sposób?
To, że odstaniesz IP z tej samej puli na interfejsie zewnętrznym i wewnętrznym?

To, że w połowie deploymentu okaże się, że te 50, 150 albo i 1500 oddziałów trzeba przeadresować? To, że utopiłeś $$$ w pracę ludzi i właściwie z perspektywy firmy wyrzuciłeś je właśnie do kosza? To, że ktoś w końcu się pomyli i gdzieś z Twojej sieci spróbujesz rozgłosić via BGP 100.64.0.0/10? To, że w IXP ktoś wstrzeli Ci ruch z takimi adresami źródłowymi i docelowymi i Twój router brzegowy bez skonfigurowanego uRPFa spokojnie to obsłuży? :) Jak pomyśleć, dużo tego.

Projekty eleganckie inżyniersko od amatorskich różni to, że takie wtopki się nie zdarzają. Dzięki temu projekty eleganckie działają latami.
krisiasty pisze:Ja rozumiem że to nie jest politycznie poprawne podejście, ale wdrażanie IPv6 (co sugeruje Ivan) tylko z tego powodu to żadna alternatywa (szczególnie z punktu widzenia biznesu który musiałby za to zapłacić).
Ivanowi chodzi raczej o to, że brak sieci z RFC1918 nie jest excuse do używania sieci zarezerwowanej na potrzeby CGNów. W uproszczeniu - z tych samych powodów.

freel4ncer
wannabe
wannabe
Posty: 531
Rejestracja: 27 wrz 2007, 01:13

#11

#11 Post autor: freel4ncer »

Chyba nie miales do czynienia z zadnym unicornem , jak masz firme ktora od zera rozrasta sie do wartosci miliarda dolarow (1bn$) w ciagu dwoch lat to mozesz sie sie spodziewac baaardzo dziwnych rzeczy w ich sieci , gdzie nikt na poczatku nawet nei myslal o skalowalnosci i zarzadzaniu adresami , a pozniej musial w tempie na wczoraj rozbudowywac on top wszyskich bledow i problemow.
Fajnie sobie teoretyzowac jak masz czas na zatrudnienie doswiadczonych inzynierow , masz ich czym do siwbie przyciagnac potem dac im czas pieniadze i jasne wymagania i plan na przyszlosc to wszystko mozna zrobic jak nalezy. Niestety zeczywistosc jest czesto zgola inna

Kyniu
wannabe
wannabe
Posty: 3537
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#12

#12 Post autor: Kyniu »

freel4ncer pisze: jak masz firme ktora od zera rozrasta sie do wartosci miliarda dolarow (1bn$) w ciagu dwoch lat
Nie znam takiej i chętnie bym się dowiedział co to za firma. Co więcej, przy takim tempie taka firma co kwartał musiałaby doznawać czegoś na kształt rewolucji. I co najmniej kilka razy swoje IT wywracać do góry nogami.
freel4ncer pisze:masz ich czym do siwbie przyciagnac potem dac im czas pieniadze i jasne wymagania i plan na przyszlosc to wszystko mozna zrobic jak nalezy.
To zaraz, ta firma jest warta ten miliard czy to wydmuszka*? Jak ma to musi mieć jakieś solidne fundamenty, w tym czas i pieniądze. Oczywiście duże pieniądze bo odwrotnie proporcjonalne do ilości czasu.
freel4ncer pisze:Niestety zeczywistosc jest czesto zgola inna
Czyli teoretyzujemy i miliard jest w akcjach dla naiwnych.

* Zapomniałem - teraz nie ma wydmuszek. Teraz są start-up'y. Ale ja staromodny jestem.

freel4ncer
wannabe
wannabe
Posty: 531
Rejestracja: 27 wrz 2007, 01:13

#13

#13 Post autor: freel4ncer »

No jak to nie znasz , Twitter , Groupon ,Pinterest , Xiaomi , Akamai pelno tego .
Ale tu nie chodzi o to czy wydmuszka czy nie wydmuszka , maja kase od inwestorow rozrastaja sie w super tempie i sieci czesto nie nadazaja , trzeba zatrudniac a to jest czasochlonny proces , w miedzy czasie ci ktorzy juz sa na miejscu dwoja sie i troja zeby to wszystko nei pierdyknelo a cisnienie jest bo trzeba dostarczac produkt i dmuchac jak to nazwales wydmuszke :)
5-10 lat pozniej firma nadal boryka sie z jakims legacy szitem ktory zostal popelniony u fundamentow

Kyniu
wannabe
wannabe
Posty: 3537
Rejestracja: 04 lis 2006, 16:23
Kontakt:

#14

#14 Post autor: Kyniu »

freel4ncer pisze:No jak to nie znasz , Twitter , Groupon ,Pinterest , Xiaomi , ..
Czyli jednak wydmuszki. Twiter który do dzisiaj nie zarobił ani centa i nie ma żadnego pomysłu na monetyzację swojego biznesu i tylko czekać aż runie. Groupon który już jest trupem tylko jeszcze o tym nie wie. Xiaomi które zabłysło płomieniem równie efektownym jak krótkotrwałym. I tak dalej. No tak, ale to jest tak zwana "nowa ekonomia". Nie ważne ile coś jest warte, tylko na ile można nabić frajerów. Ale dyskusja robi się mało techniczna więc sam się zamknę zanim mnie moderatorzy uciszą.

freel4ncer
wannabe
wannabe
Posty: 531
Rejestracja: 27 wrz 2007, 01:13

#15

#15 Post autor: freel4ncer »

No wlasnie nie wiem czemu zszedles na ten temat wydmuszek ;) mi chodzilo glownie o to ze przy szybkim rozroscie firmy sieci dostaja po dupie ;)

ODPOWIEDZ