Vlákno názorů k článku Za Internet transparentní od Miloslav Ponkrác - Mě už se přestává líbít, že autor se...

Mě už se přestává líbít, že autor se snaží spáchat "genocidu" na NAT. Jenom proto, že mu chybí jedna vlastnost, která ještě dost často u běžných uživatelů není žádaná. Ba dokonce absence přímého spojení je leckdy vyžadována z bezpečnostních důvodů.

Trochu mi to připomíná politická hesla. Bude tu dobře, až skoncujeme s komunisty. Bude tu dobře, až skoncujeme s Klausem. Bude tu dobře, až skoncujeme se Zemanem. Bude tu dobře, až skoncujeme s NAT a IPv4.

Ono je to tak, milý autore, každá věc má své pro a proti. Chtělo by to trochu méně bojovnosti. Až se zavede IPv6, tak to za prvé bude chvíli trvat, a za druhé se objeví problémy jiného druhu, které si dnes neuvědomujeme. Protože i u IPv6, stejně tak, jako u jakéhokoli jiného protokolu se praxí ukáží nedomyšlenosti.

Největším problémem je, že IPv6 není zralý na to, aby byl dnes nasazen. Nejdříve je potřeba, aby všechny linky byly schopny obsluhovat jak IPv4, tak i IPv6 současně. Jenom toto je hudba vzdálené budoucnosti. Poté je potřeba pomalu přesunovat aplikace na IPv6. To je hudba ještě vzdálenější budoucnosti.

Chápete vůbec pojmy jako cena přechodu na IPv6, nutnost toho, aby mohly ještě dlouhou dobu pracovat starší aplikace. Pokud ne, tak vězte, že většina firem nechce být kutily na poli IP protokolů, ale chce pracovat.

Polemika okolo NATu se netoci ani tak kolem nejake jedne jeho konkretni vlastnosti, nybrz okolo toho, ze TCP/IP je proste postaveno na predpokladu, ze nikdo adresy prekladat nebude, coz kdyz nekdo porusi, okamzite vzniknou desitky problemu. Blize viz diskuse na Lupe o predchozim clanku o NATech.

Zduvodnovat nasazeni NATu nedostatkem IPv4 adres je sice oblibeny argument, nicmene ponekud odtrzeny od reality. Se zavedenim classless addressingu a rozstepenim class A siti volnych IPv4 adres smahem pribylo a jeste nekolik let jich bude dostatek; pokud se jimi nebude plytvat, muze mit bez problemu IPv4 adresu kazdy pripojeny pocitac. Nekterym providerum se to, pravda, vysvetluje tezko, ale jednak vas obvykle nikdo nenuti vybirat si zrovna takoveho providera a jednak regule RIPE pro pridelovani adres jsou zavazne pro vsechny ceske providery, takze je vetsinou staci na existenci a obsah techto reguli upozornit.

Prechod na IPv6 urcite nebude bezbolestny ani s nulovymi naklady, ale kdyz si predstavim, kolik penez stalo instalovani NATu a vyvoj aplikaci, ktere jsou s NATy schopny fungovat a vyvoj berlicek pro ty aplikace, ktere s nimi fungovat nemohou (pricemz techto problemu ani zdaleka neubyva), myslim si, ze prechod na IPv6 bude minimalne dlouhodobe daleko levnejsi reseni. Mimochodem, neni zapotrebi, aby cely Internet najednou na IPv6 presel - sit 6bone tvorena IPv6-kovymi ostruvky propojovanymi skrz IPv4-kovy Internet je toho krasnym prikladem.

(Ne)dostatek IP adres je v praktickém provozu zcela reálný problém. Než jsem opustil Karlín, kde měla svoji IP adresu (neprivátní) i katedrální tiskárna, taky jsem si myslel, že to nebude až tak horké. Teď vidím, jaký je problém vyžebrat k 2Mb lince 8 IP adres. Pohádky o ISP, kteří poskytují IP adresy na požádání (chcete 50? dáme 64, můžu to tak nechat?) jsou mimo realitu. Ještě jsem takového neviděl. A navíc existují i další, neméně důležitá kritéria výběru (rychlost, ztrátovost, spolehlivost, cena).

Když vidím, že prakticky každá menší firma má svou lokální síť připojenou přes IP masquerading, obávám se, že nebýt těchto proklínaných technologií, už by dnes nemusel nedostatek IP adres být jen ve stádiu planých hrozeb. Tím nechci tvrdit, že NAT je všelék a že nemá své mouchy. Ale při připojování menší lokální sítě (5-20 počítačů) se mi zatím ukázal být rozumným řešením problémů, které se prostě nějak vyřešit musely. A počkat na IPv6 opravdu nešlo.

>Se zavedenim classless addressingu a rozstepenim class A
>siti volnych IPv4 adres smahem pribylo a jeste nekolik let
>jich bude dostatek; pokud se jimi nebude plytvat,

Ano - pokud se jimi nebude plytvat... A co ma delat firma s cca 100 PC, ktera chce mit pristup do Internetu ?? Ma zadat o prideleni rozsahu IP adres na Internetu nebo si vybudovat interni system s NAT ? Budou ji ony adresy prideleny ?? Co kdyz nebudou ? Co pak ? Nezbyde asi nakonec nic jineho nez ten NAT - a nevidim na tom nic tak hrozneho... Proc se vubec snazit, aby byla takove firme, kde naprosta vetsina uzivatelu stejne potrebuje jen pracovat s postou ci WWW, byla pridelovana vetsi subsit nez 8 ??? Podivejte se trochu do praxe...

Ale no tak ... Zvlaste ISP zadarmo jsou velkymi uzivateli IP adres (pro dial-up pooly). Navic nevim o nikom, kdo by byl v CR Large LIR.

Zda žiji ještě v socialismu se mě v sobotu také ptala žena v Děčíně, když jsem ráno koupil housky a chleba a tahal je s sebou celé dopoledne.
Naštěstí jsem ještě žil, protože v poledne je už nikde neměli, i když měli otevřeno až do šesti.

Ano, stale si to myslim. Jen nechapu, proc stale davas rovnitko mezi "vyjde vstric" a "rozdavat".

Nemluvim o spolecnosti, u ktere jsi zamestnan (jako LIR, ze?), ale obecne. At mi nikdo nerika, ze neni schopen u sveho providera zajistit stejny nebo vetsi rozsah odpovidajici poctu aktivnich prvku v siti.

Pokud tomu tak je, tak dany ISP je proste SPATNY a NEMA CENU u nej objednavat cokoliv. Protoze pro takovy postup nema zadny rozumny duvod - obvykle to znamena, ze se zakaznik muze stoprocentne spolehnout, ze nedostane primo nektere dalsi sluzby. Zakladem budiz usenet news.

"vyjde vstric" znamena v podani zakazniku "date mi xyz adres, aniz bych musel cokoli vyplnovat". Obvykle je xyz nesmyslne velike cislo. Po prvnim dotazu na adresni plan se samo zmensi cca na tretinu :-), realna potreba pak byva mnohdy jeste nizsi.

Clovece Vy zijete v sociku. Jste zakaznik. Platite za tezke penize dvoumegabit. Vyplnte proste RIPE-219 a poslete ho providerovi. Ma povinnost ho poslat RIPE, pokud Vam neprideli pozadovany rozsah adres - napriklad, protoze ma mensi assignment window nez pozadujete. Jinak presne tuto politiku mel pred prodejem komercni site CESNET (na te siti) - skoda, ze jste ho nevidel.

Obecne plati, ze cim lepsi provider (kvalitou sluzeb) tim ochotneji Vam vyjde vstric v pozadavcich na IP adresy. Samozrejme pokud mate pocitany dvoumegabit za deset tisic u providera s upstream 1 Mb/s, nemuzete cekat, ze se s Vami bude parat (natoz, aby mel vlastni LIR).

V posledni dobe trochu spolupracuji s jednim lokalnim ISP a mimo jine jsem se dostal i k prideleni IP adres. Z toho mam nekolik postrehu.
Nedavno jsem resil jednu skolu, jenz u puvodniho providera mala minimalne 2Cka. Po prechodu k nam, jsme se schodli na tom, ze jim realne staci blok 64 IP. Po vyplneni prislusnych formularu a jejich zaslani na RIPE, byla dana zadost bez komplikaci vyrizena. RIPE nezjistuje, o jakou linku se jedna, zda 19200 kb nebo 2Mb.
Dle meho nazoru neni problem v prideleni verejnych IP adres, zakaznikum dle jejich oduvodnitelnych potreb. RIPE dokument (pravidla) tomu i odpovidaji. IP jsou verejny omezeny statek, jenz se prideluje zdarma a podle nutnych potreb koncoveho uzivatele IP.
Zde bych videl jeden z problemu, nebot ISP, jenz ma LIR, zaplati za vytvoreni LIRu asi 2 100 EUR a za clenstvi rocni poplatek 2100 - 3900 EUR, a to podle velikosti alokovanych IP bloku pro svuj LIR. Zde je tedy snaha ISP mit LIR co nejmensi, kor kdyz sou IP zadarmo. ISP si muze nauctovat praci spojenou s pridelenim a mozna este neco, ted si nejsem jist.
V informacich RIPE je mimo jine uvedeno, ze kdyz Vam nebude chtit nekdo IP poskytnout, muzete se se stiznosti obratit primo na ne. Ale nevim jak je to s vymahatelnosti takove stiznosti, nebot napriklad podle pravidel RIPE ma LIR do RIPE databaze zanaset rozsahy pridelene koncovym zakaznimkum (inetnum), ale velka cast ISP to dle meho pozorovani nedela. A to mnohdy i ti velci.

> Obecne plati, ze cim lepsi provider (kvalitou sluzeb) tim
> ochotneji Vam vyjde vstric v pozadavcich na IP adresy.
> Samozrejme pokud mate pocitany dvoumegabit za deset tisic
> u providera s upstream 1 Mb/s, nemuzete cekat, ze se s
> Vami bude parat (natoz, aby mel vlastni LIR).

Michale, vazne myslis ze kvalita sluzeb ISP je primo umerna ochote rozdavat adresy? Podle mne obecne plati jen to, ze cim vic adres pozadujes, tim lepe je musis zduvodnit. 16 adres dostanes bez ptan, 64 jeste pomerne v pohode, 1C uz obvykle musis trochu okecat, ale pokud to radne zduvodnis, taky to neni problem. Ale docela by me zajimalo, jak ceska zakladni skola v dvouletem vyhledu zduvodni potrebu 2C :-)

No, tohle je zrovna zásah vedle. ISP zadarmo pouzivaji pro dialup pooly pomerne malo adres, mnohem mene, nez jini provideri pro jine ucely. Pokud jsem se pred casem dival, zadny free ISP nepouziva pro dialup vic nez 64 cecek, tj. 16384 IP adres. Zato jsou tu ISP, kteri disponuji citelne vetsim poctem adres:
Cesnet: 884736
KPNQwest: 197632
Contactel: 165120
Cesky Telecom: (vcetne Eurotelu): 135168
GTS: 73728
Nextra: 73728
SkyNet: 65536
Jak je to s velikosti LIR v CR je videt tady: http://www.ripe.net/ripencc/mem-services/general/indices/CZ.html

Nemyslím si, že by mohly IPv4 stacit pro kazdy pripojeny pocitac - vsichni komercni LIR v CR dohromady maji tak 1 mil. IP adres, RIPE neco pres 100 mil - cili v obou pripadech cca 1 IP adresa na 10 lidi, diky granularite je v praxi vyuzitelna tak polovina, tedy 1 IP adresa na 20 lidi, neboli aktualne 0,5 mil IP adres v CR. Domnivam se, ze je v CR vice pocitacu. V CR je take napriklad pres 1 milion podnikatelskych subjektu - kolik z nich je, a do doby zavedeni IPv6 bude pripojenych k Internetu? Treba u nas ve firme mame skutecne vyuzitych cca 80 IP adres na 35 zamestancu. Kdyz si to shrnete, zjistite, ze bez NATu nelze v dnesni dobe prezit.
Coz by mel byt jen dalsi duvod k urycleni praci na IPv6. Ovsem i kdyz bude adres prebytek, porad bude mit smysl mit uzavrene site pripojene k vnejsimu svetu jen pres aplikacni proxy servery - minimalne kvuli bezpecnosti.

vyjde vstric != rozdava

Vyjde vstric = zakaznikovi pomuze vyplnit RIPE-219 ci podobny dokument a dle zakaznikovych potreb zduvodnenych timto dokumentem, prideli adresy nebo forwarduje zadost RIPE.

Je otazkou, jestli adresni prostor o velikost 64 C-bloku je malo nebo hodne. Treba RIPE se to v dobe, kdy VOL zadal o o neco mensi prostor hodne zdalo :-)

Pochybuji, ze CESNET temi adresami disponuje. Disponuji jimi pripojene VS. CESNET je POUZE smeruje, coz je citelny rozdil.

A kdyz napriklad u CTT odpoctes dva /16, ktere ziskal s komercnim CESNETem, tak mas mene nez tretinu. Takze to s temi rozsahy nebude tak horke.

U CTc odpocitas /16 Eurotelu, tak ziskas 60.000 adres. No a z toho je 25% onech 64 C-bloku ...

Pokud jste se blize dostal k pridelovani IP adres, pak jiste vite, ze do objemu 128 IP/organizace RIPE nedela prakticky zadne problemy a v podstate ani zadne kntroly. Do tohoto objemu take muze vetsina LIR pridelit IP bez predchoziho schvaleni ze strany RIPE (a uz to jen zaregistruji v databazi). Pokud ale celkovy objem IP adres presahne tuto hranici, hned je to trochu jine. V takovem pripade RIPE nebere alokaci "jen na vedomi", ale skutecne ji schvaluje. Pricemz musite tentokrat jiz pocliveji vyplnit udaje o firme (topologii) - a celkove to trva dele a jsou s tim vetsi obstrukce. Jadna z otazek take je, zda jste zvazil pouziti privatnich adres (a tedy NATu) - coz vidim jako zretelny, i kdyz nikoli nasilny tlak ze strany RIPE na pouzivani NAT - a to ze "spatnych" duvodu (pouziti NAT kvuli bezpecnosti je "dobry" duvod, pouziti kvuli spatne dostupnosti adres je "spatny" duvod).

Je neoddiskutovatelny fakt, ze pomerne obtizna dostupnost IP adres vytvari tlak na vyuzivani NAT a komplikuje navrhy site - bud' totiz pri navrhu site zalzete a nechate si pridelit adresy s rezervou, nebo si o ne reknete teprve az je budete potrebovat - a to nejspis nedostanete navazujici blok, coz vam zkmplikuje konfiguraci site.