użycie adresów zastrzeżonych

Problemy związane z routingiem

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron

Wiadomość
Autor
Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

#16

#16 Post autor: krisiasty »

lbromirs pisze:
krisiasty pisze:Jakie są REALNE zagrożenia dla sieci ENTERPRISE (nie SP) korzystania z tej adresacji, bo jakoś trudno mi sobie wyobrazić coś czego nie da się rozwiązać w prosty sposób?
To, że odstaniesz IP z tej samej puli na interfejsie zewnętrznym i wewnętrznym?
ale o czym my mówimy? od kogo niby dostanę? mówimy o sieciach enterprise, gdzie sami zarządzamy adresacją, a od ISP możemy co najwyżej dostać publiczny IP.
chyba nie o to chodzi żeby wymyślać najbardziej nieprawdopodobne scenariusze?
lbromirs pisze:
To, że w połowie deploymentu okaże się, że te 50, 150 albo i 1500 oddziałów trzeba przeadresować? To, że utopiłeś $$$ w pracę ludzi i właściwie z perspektywy firmy wyrzuciłeś je właśnie do kosza? To, że ktoś w końcu się pomyli i gdzieś z Twojej sieci spróbujesz rozgłosić via BGP 100.64.0.0/10? To, że w IXP ktoś wstrzeli Ci ruch z takimi adresami źródłowymi i docelowymi i Twój router brzegowy bez skonfigurowanego uRPFa spokojnie to obsłuży? :) Jak pomyśleć, dużo tego.
litości! kiedy i po co miałbym przeadresowywać te tysiące oddziałów? przypominam że wciąż mówimy o wewnętrznych sieciach w typowych firmach!

co takiego strasznego się wydarzy jak ktoś się pomyli i spróbuje rozgłosić w BGP 100.64.0.0/10? jestem w 100% pewny że mój operator to wyfiltruje. tak samo jak ja wyfiltruję tego typu prefix od operatora. więc w czym problem?
równie dobrze możesz straszyć rozgłaszaniem prefiksu 10.0.0.0/8 albo sieci sąsiada.

jak ktoś nie ma urpfa, to efekt może być dokładnie ten sam bez względu na to czy użyję adresacji 100.64.0.0/10 czy dowolnej innej, czyż nie?
lbromirs pisze: Projekty eleganckie inżyniersko od amatorskich różni to, że takie wtopki się nie zdarzają. Dzięki temu projekty eleganckie działają latami.
projekty eleganckie nie zawsze da się wdrożyć w życie w enterprise. szczególnie gdy po prostu nie ma na nie kasy ani czasu.

dyskutujemy o doraźnym rozwiązaniu w sytuacji kiedy praktycznie cała adresacja RFC1918 jest zużyta i użycie sieci CGN jest jednym lepszych i tańszych rozwiązań.

nie namawiam nikogo do używania CGN zamiast RFC1918, ale jak nie ma innego wyjścia?
łatwo jest dyskutować o eleganckich inżyniersko projektach, tylko że nie wszystkie sieci były w ten sposób projektowane i budowane. jedne firmy przejmują inne, albo kilka firm się łączy w jedną, albo rosną w ogromnym tempie i ktoś na początku zrobił złe założenia (choć wtedy być może wydawało mu się że robi elegancko inżynierski projekt bo ma ładne zapasy i hierarchię adresacji)...
lbromirs pisze: Ivanowi chodzi raczej o to, że brak sieci z RFC1918 nie jest excuse do używania sieci zarezerwowanej na potrzeby CGNów. W uproszczeniu - z tych samych powodów.
Ivan jest "skrzywiony" na punkcie IPv6 (i paru innych rzeczy) i prowadzi swego rodzaju krucjatę... w wielu tematach nie sposób się z nim nie zgodzić, ale zawsze jest pole do dyskusji...

lbromirs
CCIE
CCIE
Posty: 4094
Rejestracja: 30 lis 2006, 08:44

#17

#17 Post autor: lbromirs »

krisiasty pisze:
lbromirs pisze:
krisiasty pisze:Jakie są REALNE zagrożenia dla sieci ENTERPRISE (nie SP) korzystania z tej adresacji, bo jakoś trudno mi sobie wyobrazić coś czego nie da się rozwiązać w prosty sposób?
To, że odstaniesz IP z tej samej puli na interfejsie zewnętrznym i wewnętrznym?
ale o czym my mówimy? od kogo niby dostanę? mówimy o sieciach enterprise, gdzie sami zarządzamy adresacją, a od ISP możemy co najwyżej dostać publiczny IP.
chyba nie o to chodzi żeby wymyślać najbardziej nieprawdopodobne scenariusze?
Dostaniesz od operatora, przecież o tym mówimy. Operatorzy nadal oferują VPNy w ramach których z natury dają prywatną adresację. I będziesz miał przykładowe 100.64.0.0/24 via Ge0/0/0 i 100.64.0.0/24 via Ge0/0/4. Ubaw po pachy. Gwarantuje. A jeszcze gorszy będzie, gdy połączeniówki i podsieci będą OK, ale gdzieś zapodzieje się jakaś /25 czy /26, czy nawet /28, która akurat wg. praw Murphy'ego trafi w Twoje krytyczne zasoby - i w dodatku pojawiać się będzie tylko okresowo w wyniku specyficznego błędu w zupełnie innym miejscu i z zupełnie innego powodu.
krisiasty pisze:litości! kiedy i po co miałbym przeadresowywać te tysiące oddziałów? przypominam że wciąż mówimy o wewnętrznych sieciach w typowych firmach!
...i litości. Masz 1000 oddziałów z adresacją 10/8. I dostajesz kolejne 20 do podłączenia. Twój operator lub dotychczasowy właściciel tych sieci też używa 10/8. I się da, oczywiście. Robi się to NATując, robiąc przedziwne sumaryzacje, etc. Ale nie tak projektuje się sieci.
krisiasty pisze:co takiego strasznego się wydarzy jak ktoś się pomyli i spróbuje rozgłosić w BGP 100.64.0.0/10? jestem w 100% pewny że mój operator to wyfiltruje. tak samo jak ja wyfiltruję tego typu prefix od operatora. więc w czym problem?
równie dobrze możesz straszyć rozgłaszaniem prefiksu 10.0.0.0/8 albo sieci sąsiada.
No proszę Cię. Non-stop prawie komuś coś wycieka. W skali globalnej niewiele to zmienia (chyba, że to bardzo popularne site'y), ale w skali lokalnej (ten sam SP) potrafi zepsuć dzień. W szczególności, jak Twój operator wpuści od Ciebie (choćby i przez pomyłkę) ten sam prefiks, którego używa do swojego CGNa.
krisiasty pisze:jak ktoś nie ma urpfa, to efekt może być dokładnie ten sam bez względu na to czy użyję adresacji 100.64.0.0/10 czy dowolnej innej, czyż nie?
Nadal tak, nic innego nie twierdziłem. Tylko 'prościej' jest zabić coś używając prywatnej adresacji niż publicznej, poza bardzo popularnymi usługami (Google'owe NSy, etc).
krisiasty pisze:projekty eleganckie nie zawsze da się wdrożyć w życie w enterprise. szczególnie gdy po prostu nie ma na nie kasy ani czasu.
Sieci enterprise nie różnią się od innych w kontekście możliwości wdrażania projektów eleganckich. Zachęcam.
krisiasty pisze:dyskutujemy o doraźnym rozwiązaniu w sytuacji kiedy praktycznie cała adresacja RFC1918 jest zużyta i użycie sieci CGN jest jednym lepszych i tańszych rozwiązań.
Tak, ale nie chce mi się wierzyć, że całe RFC 1918 jest użyte. Tak jak pisałem, AT&T sobie radzi, a to jedna z największych sieci na świecie. Jeśli ktoś dzisiaj ma problem bo "mu się skończyło" i chce użyć przestrzeni CGNowej - feel free. Jak użyje przestrzeni z DHCP też się nic nie stanie. I zarezerwowanych multicastów też nie. No, czasem się jakiś ticket pojawi, ale będzie dobrze. Do pierwszego dużego projektu/przebudowy. Albo do jakiejś awarii - najczęściej w wolny weekend lub w środku nocy.

MOŻNA skakać z pierwszego piętra na beton. Co wcale nie znaczy, że zejście po schodach nie będzie lepszym rozwiązaniem.
krisiasty pisze:łatwo jest dyskutować o eleganckich inżyniersko projektach, tylko że nie wszystkie sieci były w ten sposób projektowane i budowane. jedne firmy przejmują inne, albo kilka firm się łączy w jedną, albo rosną w ogromnym tempie i ktoś na początku zrobił złe założenia (choć wtedy być może wydawało mu się że robi elegancko inżynierski projekt bo ma ładne zapasy i hierarchię adresacji)...
Oczywiście, dyskusja za chwilę stanie się czysto akademicka, ale tak jak pisałem - z eleganckimi projektami, nawet przebudowywanymi z przysłowiowego 'gówna', da się żyć bez nieprzespanych nocy długo.

Z budowanymi 'na szybko' projektami kończy się tak jak w pewnym projekcie, w którym ktoś gdzieś uparł się, żeby na siłę zamiast MPLSa zastosować podwójne tagi 802.1q. Albo tam, gdzie koledzy uczyli się IS-ISa, więc kawałek sieci zrobili za jego pomocą, zamiast ciągnąć dalej projekt OSPF. Same w sobie - ciekawe narzędzia. Tylko oba projekty skończyły się postawieniem działu IT w weekend na nogi. Po co ryzykować, skoro projekty prostsze i lepiej przemyślane są po prostu mniej ryzykowne? Po co używać zarezerwowanej przestrzeni adresowej przeznaczonej DO CZEGOŚ INNEGO, skoro nadal są inne sieci przeznaczone na rezerwacje, których nie strach używać?
lbromirs pisze: Ivanowi chodzi raczej o to, że brak sieci z RFC1918 nie jest excuse do używania sieci zarezerwowanej na potrzeby CGNów. W uproszczeniu - z tych samych powodów.
Ivan jest "skrzywiony" na punkcie IPv6 (i paru innych rzeczy) i prowadzi swego rodzaju krucjatę... w wielu tematach nie sposób się z nim nie zgodzić, ale zawsze jest pole do dyskusji...[/quote]

Tru. gangrena na przykład się nie zgadza tutaj.

Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

#18

#18 Post autor: krisiasty »

Jeszcze jedna rzecz, na którą zresztą ktoś zwrócił uwagę w komentarzu do przywołanego przez Łukasza postu Ivana - cytat z RFC6598:
Shared Address Space is similar to [RFC1918] private address space in
that it is not globally routable address space and can be used by
multiple pieces of equipment. However, Shared Address Space has
limitations in its use that the current [RFC1918] private address
space does not have. In particular, Shared Address Space can only be
used in Service Provider networks or on routing equipment that is
able to do address translation across router interfaces when the
addresses are identical on two different interfaces.
Tak więc nic nie stoi na przeszkodzie aby użyć tej adresacji o ile nie mamy styku z inną siecią/ISP która wystawi nam interfejs z adresacją z tej samej puli (pomijając łącza dla gospodarstw domowych i wszelkiej maści neostrady chyba żaden ISP w Polsce nie ma problemu z przyznaniem kawałka adresacji publicznej dla klienta typy enterprise?).

lbromirs
CCIE
CCIE
Posty: 4094
Rejestracja: 30 lis 2006, 08:44

#19

#19 Post autor: lbromirs »

freel4ncer pisze:Chyba nie miales do czynienia z zadnym unicornem , jak masz firme ktora od zera rozrasta sie do wartosci miliarda dolarow (1bn$) w ciagu dwoch lat to mozesz sie sie spodziewac baaardzo dziwnych rzeczy w ich sieci , gdzie nikt na poczatku nawet nei myslal o skalowalnosci i zarzadzaniu adresami , a pozniej musial w tempie na wczoraj rozbudowywac on top wszyskich bledow i problemow.
Fajnie sobie teoretyzowac jak masz czas na zatrudnienie doswiadczonych inzynierow , masz ich czym do siwbie przyciagnac potem dac im czas pieniadze i jasne wymagania i plan na przyszlosc to wszystko mozna zrobic jak nalezy. Niestety zeczywistosc jest czesto zgola inna
Miałem. Ci, którzy przeżyli, pokazują na konferencjach jak im się udało osiągnąć to, gdzie dzisiaj są. Zwykle pierwsze slajdy mówią wprost jak im się to udało. Jeśli było w ogóle co sprzątać - jest to jasno napisane - 'wyszliśmy z tego syfu robiąc a/b/c/d/e/f'. Najczęściej za pomocą automatyzacji skryptów, baz danych konfiguracji, automatycznych testów poprawności całej konfiguracji/etc.

Ci, którzy nie przeżyli - no cóż, o nich się nie słyszy. Po prostu.

lbromirs
CCIE
CCIE
Posty: 4094
Rejestracja: 30 lis 2006, 08:44

#20

#20 Post autor: lbromirs »

krisiasty pisze:Jeszcze jedna rzecz, na którą zresztą ktoś zwrócił uwagę w komentarzu do przywołanego przez Łukasza postu Ivana - cytat z RFC6598:
Shared Address Space is similar to [RFC1918] private address space in
that it is not globally routable address space and can be used by
multiple pieces of equipment. However, Shared Address Space has
limitations in its use that the current [RFC1918] private address
space does not have. In particular, Shared Address Space can only be
used in Service Provider networks or on routing equipment that is
able to do address translation across router interfaces when the
addresses are identical on two different interfaces.
Tak więc nic nie stoi na przeszkodzie aby użyć tej adresacji o ile nie mamy styku z inną siecią/ISP która wystawi nam interfejs z adresacją z tej samej puli (pomijając łącza dla gospodarstw domowych i wszelkiej maści neostrady chyba żaden ISP w Polsce nie ma problemu z przyznaniem kawałka adresacji publicznej dla klienta typy enterprise?).
No ale jak nie stoi, jak stoi? Cytuje: "In particular, Shared Address Space can only be used in Service Provider networks or on routing equipment that is able to do address translation across router interfaces when the addresses are identical on two different interfaces.". Czyli sugerujesz, że wszystko da się obejść NATem i będzie cacy?

C'mon. To nie jest dyskusja o budowaniu sieci, tylko o skakaniu z pierwszego piętra na beton. Na ccie.pl rozmawiamy o schodzeniu po schodach lub o budowaniu drabin.

freel4ncer
wannabe
wannabe
Posty: 531
Rejestracja: 27 wrz 2007, 01:13

#21

#21 Post autor: freel4ncer »

lbromirs pisze:
freel4ncer pisze:Chyba nie miales do czynienia z zadnym unicornem , jak masz firme ktora od zera rozrasta sie do wartosci miliarda dolarow (1bn$) w ciagu dwoch lat to mozesz sie sie spodziewac baaardzo dziwnych rzeczy w ich sieci , gdzie nikt na poczatku nawet nei myslal o skalowalnosci i zarzadzaniu adresami , a pozniej musial w tempie na wczoraj rozbudowywac on top wszyskich bledow i problemow.
Fajnie sobie teoretyzowac jak masz czas na zatrudnienie doswiadczonych inzynierow , masz ich czym do siwbie przyciagnac potem dac im czas pieniadze i jasne wymagania i plan na przyszlosc to wszystko mozna zrobic jak nalezy. Niestety zeczywistosc jest czesto zgola inna
Miałem. Ci, którzy przeżyli, pokazują na konferencjach jak im się udało osiągnąć to, gdzie dzisiaj są. Zwykle pierwsze slajdy mówią wprost jak im się to udało. Jeśli było w ogóle co sprzątać - jest to jasno napisane - 'wyszliśmy z tego syfu robiąc a/b/c/d/e/f'. Najczęściej za pomocą automatyzacji skryptów, baz danych konfiguracji, automatycznych testów poprawności całej konfiguracji/etc.

Ci, którzy nie przeżyli - no cóż, o nich się nie słyszy. Po prostu.
Automatyzacja to ciekawe bo ostatnio troche pracowalem przy wdrazaniu intent driven config generation and verification w Google w corpie:D google ma 17 lat a automatyzacja w corpie zaczela sie ze 3 lata temu . Do automatyzacji to jest potrzebany dobry powtarzalny design i intent data i tyle (od strony sieciowej bo narzedzia trzeba zbudowac ) ale mowilismy o zle zaplanowanych sieciach w ktorych koncza sie adresy prywatne a nie o automatyzacji bo przy zlym designie automatyzacja nie pomoze;)
Ostatnio zmieniony 25 sty 2016, 23:55 przez freel4ncer, łącznie zmieniany 1 raz.

Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

#22

#22 Post autor: krisiasty »

lbromirs pisze:Dostaniesz od operatora, przecież o tym mówimy. Operatorzy nadal oferują VPNy w ramach których z natury dają prywatną adresację. I będziesz miał przykładowe 100.64.0.0/24 via Ge0/0/0 i 100.64.0.0/24 via Ge0/0/4. Ubaw po pachy.
nie, nie dostanę. nawet z naszym ulubionym i mało elastycznym operatorem narodowym szło się dogadać co do adresacji w usługach typu ip vpn. zresztą zawsze i tak na tego typu łączach rozpinalem tunele vpn a zewnętrzny interfejs był w innym vrf, więc adresacja wewnątrz sieci operatora mało mnie interesowała. i robiłem to na długo przedtem zanim zacząłem używać adresacji 100.64.0.0/10. można? można!
w końcu mówimy o profesjonalnym i eleganckim podejściu do projektowania sieci...

lbromirs pisze:No proszę Cię. Non-stop prawie komuś coś wycieka. W skali globalnej niewiele to zmienia (chyba, że to bardzo popularne site'y), ale w skali lokalnej (ten sam SP) potrafi zepsuć dzień. W szczególności, jak Twój operator wpuści od Ciebie (choćby i przez pomyłkę) ten sam prefiks, którego używa do swojego CGNa.
umówmy się że stosując adresację 100.64.0.0/10 robimy to świadomie i zabezpieczamy się przed wyciakaniem i wpuszczaniem tej adresacji na/z zewnątrz. tak trudno to sobie wyobrazić? cały czas mówisz o eleganckich projektach sieci, to nie stosuj proszę tego wybiórczo do samej adresacji.

lbromirs pisze:Sieci enterprise nie różnią się od innych w kontekście możliwości wdrażania projektów eleganckich. Zachęcam.
a ja zachęcam do zejścia na ziemię. jakie konkretnie rozwiązanie zamiast stosowania adresacji CGN zaproponowałbyś autorowi wątku? wdrożenie ipv6 jak sugeruje Ivan? a co jeśli klient nie chce / nie może / nie stać go na to?
lbromirs pisze:Tak, ale nie chce mi się wierzyć, że całe RFC 1918 jest użyte.
widocznie ma tak porobione zapasy lub taką hierarchię sieci. zdarza się. może ktoś kiedyś popełnił błąd i przyjął złe założenia. można oczywiście zdjąć summaryzację i próbować wykorzystać te zapasy w innych miejscach sieci... po czym walczyć z awarią "w wolny weekend lub w środku nocy" bo nagle masz kilka rzędów wielkości więcej tras routingu do obsłużenia... już nie mówiąc o wszelkich filtrach czy firewallach które trzeba zweryfikować / poprawić bo nagle adresacja zarezerwowana do pewnych rzeczy pojawia sie zupełnie gdzie indziej i jest używana w innych celach niż pierwotnie zakładano...
lbromirs pisze: Tak jak pisałem, AT&T sobie radzi, a to jedna z największych sieci na świecie. Jeśli ktoś dzisiaj ma problem bo "mu się skończyło" i chce użyć przestrzeni CGNowej - feel free.
nie każdy jest AT&T. nie mówimy o operatorach. oni mogli mieć inne cele biznesowe, inne możliwości organizacyjne, inne zasoby...

ja stosowałem adresację CGN w enterprise i jak dotąd nie było z tym żadnych problemów ani nie widać na razie żadnych (realnych) które mogłyby się pojawić. nie boję się otwarcie o tym mówić. możecie mnie napiętnować :)
lbromirs pisze: Jak użyje przestrzeni z DHCP też się nic nie stanie. I zarezerwowanych multicastów też nie. No, czasem się jakiś ticket pojawi, ale będzie dobrze. Do pierwszego dużego projektu/przebudowy. Albo do jakiejś awarii - najczęściej w wolny weekend lub w środku nocy.
przesadzasz... nikt nie nawołuje do korzystania z adresacji dla multicastów... a mówiąc o dhcp miałeś na myśli link local (169.254.0.0/16)???

chyba czas zakończyć tą dyskusję bo brniemy za bardzo w teorię i dyskusje akademickie.
chyba wszystkie punkty widzenia zostały przedstawione i każdy sam może zdecydować co dla niego i jego pracodawcy będzie w danej sytuacji odpowiednie.

Awatar użytkownika
krisiasty
wannabe
wannabe
Posty: 483
Rejestracja: 07 lut 2006, 22:26
Lokalizacja: Gdańsk

#23

#23 Post autor: krisiasty »

lbromirs pisze:No ale jak nie stoi, jak stoi? Cytuje: "In particular, Shared Address Space can only be used in Service Provider networks or on routing equipment that is able to do address translation across router interfaces when the addresses are identical on two different interfaces.". Czyli sugerujesz, że wszystko da się obejść NATem i będzie cacy?
ale żeś się uparł na tego NAT-a.

"when the addresses are identical on two different interfaces"

więc się pytam: when?

1. który poważny operator nie daje łącza do internetu z publiczną adresacją?
2. który poważny operator nie zestawi ci łącza p2p w metroethernecie albo w ostatecznie w jakiejś technologii l3 gdzie nie będziesz mógł uzgodnić unikalnej adresacji na tym łączu tak aby nie kolidowała z twoją 100.64.0.0/10?
3. jakie są jeszcze inne realne scenariusze w których mógłbyś spotkać się z taką adresacją na zewnętrznym interfejsie swojego routera / firewalla ?

lbromirs
CCIE
CCIE
Posty: 4094
Rejestracja: 30 lis 2006, 08:44

#24

#24 Post autor: lbromirs »

krisiasty pisze:
lbromirs pisze:Dostaniesz od operatora, przecież o tym mówimy. Operatorzy nadal oferują VPNy w ramach których z natury dają prywatną adresację. I będziesz miał przykładowe 100.64.0.0/24 via Ge0/0/0 i 100.64.0.0/24 via Ge0/0/4. Ubaw po pachy.
nie, nie dostanę. nawet z naszym ulubionym i mało elastycznym operatorem narodowym szło się dogadać co do adresacji w usługach typu ip vpn. zresztą zawsze i tak na tego typu łączach rozpinalem tunele vpn a zewnętrzny interfejs był w innym vrf, więc adresacja wewnątrz sieci operatora mało mnie interesowała. i robiłem to na długo przedtem zanim zacząłem używać adresacji 100.64.0.0/10. można? można!
w końcu mówimy o profesjonalnym i eleganckim podejściu do projektowania sieci...
Jasne. Ale się dogadałeś i było fajnie. Wymagało to dodatkowego kroku, który na szczęście zrobiłeś. Wspiera to moją opinię, że lepiej nie mieć nakładającej się adresacji.
krisiasty pisze:umówmy się że stosując adresację 100.64.0.0/10 robimy to świadomie i zabezpieczamy się przed wyciakaniem i wpuszczaniem tej adresacji na/z zewnątrz. tak trudno to sobie wyobrazić? cały czas mówisz o eleganckich projektach sieci, to nie stosuj proszę tego wybiórczo do samej adresacji.
Stosując jak sądze każdą adresację, nie tylko prywatną, dbasz o filtrowanie adresów. Nie chodzi o to, jaką stosujesz adresację, tylko to, na ile stosowana adresacja nie zwiększa ryzyka błędu, który może zakończyć się problemem. Problem jest mniejszy gdy nałoży Ci się adresacja 192.168.10.0/24 na jednym interfejsie z 100.64.0.0/24 na drugim.

Operatorzy popełniają błędy. Pokazywałem to kiedyś na żywo na CONFidence, od tego czasu trochę się to poprawiło, ale nadal się to zdarza. Sieci Enterprise też często wyciekają adresację swoją - mniej lub bardziej zauważalnie dla siebie. Większość tych incydentów kończy się poprawkami w konfiguracji i mniejszym lub większym rumieńcem na policzkach, ale niewiele złego się dzieje.

Na CONFidence w 2006(?) pokazywałem, jak jeden z operatorów 'wycieka' kawałek 10/8 i jakie są tego konsekwencje.
krisiasty pisze:
lbromirs pisze:Sieci enterprise nie różnią się od innych w kontekście możliwości wdrażania projektów eleganckich. Zachęcam.
a ja zachęcam do zejścia na ziemię. jakie konkretnie rozwiązanie zamiast stosowania adresacji CGN zaproponowałbyś autorowi wątku? wdrożenie ipv6 jak sugeruje Ivan? a co jeśli klient nie chce / nie może / nie stać go na to?
W pierwszej kolejności przejrzenie istniejącego planu RFC 1918. W drugiej IPv6. I tak IPv6 będzie trzeba wdrożyć, a dyskusja o urządzeniach "które IPv6 nie mają i nigdy nie będą miały" jest stara jak świat. Sprzęt, jeśli nawet nie ma faktycznie w planach IPv6 i tak w końcu się wymienia. Do tego czasu można spokojnie spędzić trochę czasu przeglądając jeszcze raz plany adresacji i je optymalizując.

Oczywiście rozsądek i potrzeba biznesowa zawsze są najsensowniejszymi podpowiadaczami w wyborze drogi. Ale nie można naginać reguł standardów, bo potem gryzie to w tyłek. Co nie znaczy, że czasem się jednak coś takiego udaje i wszyscy zapominają o sytuacji.
krisiasty pisze:
lbromirs pisze:Tak, ale nie chce mi się wierzyć, że całe RFC 1918 jest użyte.
widocznie ma tak porobione zapasy lub taką hierarchię sieci. zdarza się. może ktoś kiedyś popełnił błąd i przyjął złe założenia. można oczywiście zdjąć summaryzację i próbować wykorzystać te zapasy w innych miejscach sieci... po czym walczyć z awarią "w wolny weekend lub w środku nocy" bo nagle masz kilka rzędów wielkości więcej tras routingu do obsłużenia... już nie mówiąc o wszelkich filtrach czy firewallach które trzeba zweryfikować / poprawić bo nagle adresacja zarezerwowana do pewnych rzeczy pojawia sie zupełnie gdzie indziej i jest używana w innych celach niż pierwotnie zakładano...
Czyli zgadzasz się ze mną, ale się nie zgadzasz? :)
krisiasty pisze:
lbromirs pisze: Tak jak pisałem, AT&T sobie radzi, a to jedna z największych sieci na świecie. Jeśli ktoś dzisiaj ma problem bo "mu się skończyło" i chce użyć przestrzeni CGNowej - feel free.
nie każdy jest AT&T. nie mówimy o operatorach. oni mogli mieć inne cele biznesowe, inne możliwości organizacyjne, inne zasoby...
Chodziło o wielkość sieci i ilość urządzeń do zaadresowania. AT&T używa oczywiście również adresacji publicznej do wielu sieci, ma również ogromną ilość VPNów z nakładającą się adresacją IPv4, ale nie używa adresacji CGN do adresowania prywatnych sieci klientów i swoich (a ma ich ogromną ilość). Szaleństwo ma swoje granice.
krisiasty pisze:ja stosowałem adresację CGN w enterprise i jak dotąd nie było z tym żadnych problemów ani nie widać na razie żadnych (realnych) które mogłyby się pojawić. nie boję się otwarcie o tym mówić. możecie mnie napiętnować :)
Aaaargh. Zrozum, to że Tobie się nic nie stało nie znaczy, że należy tak robić. Tak jak pisałem, można skakać do upadłego z pierwszego piętra na beton całe życie. Ale czasami kończy się to złamaniem nogi. Wstrząśnięciem mózgu. Albo śmiercią. Pytanie - po co ryzykować?
krisiasty pisze:
lbromirs pisze: Jak użyje przestrzeni z DHCP też się nic nie stanie. I zarezerwowanych multicastów też nie. No, czasem się jakiś ticket pojawi, ale będzie dobrze. Do pierwszego dużego projektu/przebudowy. Albo do jakiejś awarii - najczęściej w wolny weekend lub w środku nocy.
przesadzasz... nikt nie nawołuje do korzystania z adresacji dla multicastów... a mówiąc o dhcp miałeś na myśli link local (169.254.0.0/16)???
Haha! Przypadki z życia i realnych klientów na przestrzeni ostatnich lat (forma lekko zmieniona, żeby chronić zainteresowanych):

"Mamy problem z siecią i waszymi urządzeniami. Do tej pory wszystko działało, wczoraj przestało. (.....) Sieć DMZ6 - 169.254.10.0/24" - problem zaczął się po wykrzaczeniu jednego z serwerów z Windowsem (pocztowego), który w ramach statycznie skonfigurowanego adresu IP nagle zaczął sobie szukać go przez DHCP, poddał się i "wylosował" adres z tej właśnie puli. Efekt - nie działała poczta, po chwili rozpięło się też AD. Problem był oczywiście w naszych przełącznikach :)

"Podczas przebudowy sieci natrafiliśmy na ciekawy problem. Mamy z jednej strony adresację 10.89.0.0/16 a z drugiej strony tuneli (....) 10.89.59.0/24 deagregowaną na tunele P2P. Nie mogę uwierzyć, że Cisco nie wspiera NATowania końcówek tuneli DMVPN. Po co nam taka ch* technologia?". Bez komentarza.

...i tak dalej, i tak dalej.
krisiasty pisze:chyba czas zakończyć tą dyskusję bo brniemy za bardzo w teorię i dyskusje akademickie. chyba wszystkie punkty widzenia zostały przedstawione i każdy sam może zdecydować co dla niego i jego pracodawcy będzie w danej sytuacji odpowiednie.
Zgadzam się.

lbromirs
CCIE
CCIE
Posty: 4094
Rejestracja: 30 lis 2006, 08:44

#25

#25 Post autor: lbromirs »

freel4ncer pisze:Automatyzacja to ciekawe bo ostatnio troche pracowalem przy wdrazaniu intent driven config generation and verification w Google w corpie:D google ma 17 lat a automatyzacja w corpie zaczela sie ze 3 lata temu . Do automatyzacji to jest potrzebany dobry powtarzalny design i intent data i tyle (od strony sieciowej bo narzedzia trzeba zbudowac ) ale mowilismy o zle zaplanowanych sieciach w ktorych koncza sie adresy prywatne a nie o automatyzacji bo przy zlym designie automatyzacja nie pomoze;)
...i twierdzisz, że w Google stosuje się masowo powtarzającą się adresację prywatną i robi NATa między nią? Albo w Google używa się przestrzeni zarezerwowanej do CGNów jako prywatnej bo ta z RFC1918 "wyszła"? Albo w Google używa się obcej przestrzeni publicznej "bo tak wygodnie"?

A o automatyzacji mówiłem w kontekście wprowadzania dobrych praktyk na masową skalę, nie zmieniaj sensu wypowiedzi.

Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2349
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

#26

#26 Post autor: gangrena »

Rozwiązanie w oparciu o adresy IP zarezerwowane do innych celów nazwałbym rozwiązaniem z założenia błędnym, ale o małym ryzyku wystąpienia problemu. Zatem akceptowalne przy odpowiedniej ostrożności. Tylko po co oszczędzać czas na szybkim wzięciu puli CGN, jak potem trzeba tracić czas na ostrożności? Przed wykorzystaniem CGN zająłbym się wpierw użyciem przestrzeni RFC1918. W sieci, która deklaruje, że wykorzystała całą przestrzeń adresacji prywatnej na pewno są linki punkt-punkt z maską /24. Tak naprawdę, można by zastosować powtarzający się schemat adresacji /31 dla łączy transportowych. Dużo adresów do odzyskania przy niewielkim nakładzie sił.
Ostatnio zmieniony 26 sty 2016, 07:54 przez gangrena, łącznie zmieniany 1 raz.

lbromirs
CCIE
CCIE
Posty: 4094
Rejestracja: 30 lis 2006, 08:44

#27

#27 Post autor: lbromirs »

krisiasty pisze:
lbromirs pisze:No ale jak nie stoi, jak stoi? Cytuje: "In particular, Shared Address Space can only be used in Service Provider networks or on routing equipment that is able to do address translation across router interfaces when the addresses are identical on two different interfaces.". Czyli sugerujesz, że wszystko da się obejść NATem i będzie cacy?
ale żeś się uparł na tego NAT-a.

"when the addresses are identical on two different interfaces"

więc się pytam: when?

1. który poważny operator nie daje łącza do internetu z publiczną adresacją?
Ostatnio na masową skalę robią to komórkowcy na prepaidach.
krisiasty pisze:2. który poważny operator nie zestawi ci łącza p2p w metroethernecie albo w ostatecznie w jakiejś technologii l3 gdzie nie będziesz mógł uzgodnić unikalnej adresacji na tym łączu tak aby nie kolidowała z twoją 100.64.0.0/10?
Znam przynajmniej jednego, bardzo dużego, dla którego uzgodnienie adresacji jest problemem nie do przejścia. I nie, nie chodzi o Orange. Jest bardzo dużo operatorów w Polsce infrastruktury L1 i metro wbrew pozorom.
krisiasty pisze:3. jakie są jeszcze inne realne scenariusze w których mógłbyś spotkać się z taką adresacją na zewnętrznym interfejsie swojego routera / firewalla ?
W jednym z polskich IXP przez chwilę była adresacja CGNowa. Wszędzie tam, gdzie dołączasz się do istniejącego projektu i okazuje się, że nie możesz zastąpić domyślnej bramki, tylko zostaniesz wpięty w istniejący segment dostępu "do internetu" w istniejącym oddziale. Tak na szybko.

freel4ncer
wannabe
wannabe
Posty: 531
Rejestracja: 27 wrz 2007, 01:13

#28

#28 Post autor: freel4ncer »

I kto tu zmienia sens wypowiedzi ? Nigdzie nie napisalem ze Google uzywa , pare postow wczesniej napisalem ze Amazon uzywa w odpowiedzi wyczytalem ze sciemniam ! Strasznie probojesz manipulowac

lbromirs
CCIE
CCIE
Posty: 4094
Rejestracja: 30 lis 2006, 08:44

#29

#29 Post autor: lbromirs »

freel4ncer pisze:I kto tu zmienia sens wypowiedzi ? Nigdzie nie napisalem ze Google uzywa , pare postow wczesniej napisalem ze Amazon uzywa w odpowiedzi wyczytalem ze sciemniam ! Strasznie probojesz manipulowac
Zacytuj proszę cały wątek, bo patrzę, patrzę i nie widzę.

freel4ncer
wannabe
wannabe
Posty: 531
Rejestracja: 27 wrz 2007, 01:13

#30

#30 Post autor: freel4ncer »

lbromirs pisze:nie wierzę, że jakaś firma, jak specyficzna by nie była, nie potrafi zmieścić się w przestrzeni opisanej przez to RFC, czy choćby nawet przez stare i lubiane RFC 1918. Ściemniać to my, a nie nas

ODPOWIEDZ