IP a NAT (Re: Jak zadat atypickou sit. Masku)

Středa Leden 24 16:03:02 CET 2001

Zdravim!

Muj dnesni prispevek bude ponekud delsi a mirne buricsky, ale myslim,
ze tema si to zasluhuje.

> 	Myslim, ze se mylite, IPv4 ruznymi NATy (maskarada je v podstate
> specialni pripad NATu) dosahlo zajimave robusnosti o ktere se drive
> 'nevedelo', protoze jinak adresni prostor uz davno nemel byt... (a v
> soucasnem stavu bude jeste jednotky roku), spise to bylo QoS a pod...

> Nebude to spis tim, ze se vyvijel jeste jiny protokol IPv5, ktery se
> ovsem neujal? (pouze moje hypoteza, porad se mi v hlave honi oznaceni
> IP-ng, ale nevim uz z ceho to bylo)

Presne tak -- IPv5 opravdu existovalo (pamet uz mi neslouzi tak dobre, takze
z ni rovnou nevysypu, co to bylo za protokol, i kdyz se nemohu zbavit dojmu,
ze jsem jeho popis nebo alespon strucnou charakteristiku nekde cetl) a nakonec
se rozhodlo, ze se nepouzije.

Doslo k tomu vsemu asi takto: Na pocatku devadesatych let se zjistilo, ze IP
adresy smahem dochazeji, routovaci tabulky se zvetsuji a behem nekolika let
bude tento stav uz neudrzitelny. IETF se tehdy shodla na tom, ze je potreba
nalezt nejake kratkodobe reseni, ktere by situaci udrzelo po nekolik dalsich
let a mezi tim v klidu promyslet, co dal.

Kratkodobym resenim se stalo classless adresovani (zavedene v RFC 1519 [zari 1993])
zprisneni podminek pro pridelovani velkych bloku adres, stepeni A networku
na mensi prefixy a taktez IANA pozadala vlastniky A networku, aby si rozmysleli,
jestli tak velky prostor opravdu potrebuji, a pokud ne, tak alespon cast bloku
vratili.

Dlouhodobym resenim se mela stat vymena IPv4 za protokol s delsimi adresami.
Zjistilo se ovsem, ze jednak neni jednoznacne, jak by takove delsi adresy mely
vypadat a jednak, ze by se zmenou IP dalo priblizit i k nekterym dalsim
cilum, jako napriklad QoS, autokonfiguraci hostu, zrychleni routingu,
hierarchizaci adres atd. A tak vznikl projekt IP New Generation (IPng),
vyhlasen v RFC 1550 [prosinec 1993], v ramci ktereho bylo vyvinuto nekolik
novych protokolu, z nichz jeden pak byl vybran jako nejlepsi, jeste nejakou
dobu vylepsovan a posleze standardizovan jako IPv6 [RFC 1883, prosinec 1995].

Mezitim se ovsem zjistilo, ze se zavedenim classless routingu, prisnejsim
dohledem nad pridelovanim adres a pouzivanim privatnich adres a NATu
zacaly volne adresy ubyvat podstatne pomaleji, a tak puvodni nadseni
z prechodu na nove IP, ktere se chystali vsichni vyrobci routeru implementovat
co nejdrive, pomerne rychle opadlo, jen na mailing listu IETF a nekolika
dalsich se s zeleznou pravidelnosti objevuji prispevky upozornujici na to,
ze soucasny stav jiz neni moc dlouho udrzitelny, ze NATy jsou hrozbou
pro dalsi rozvoj Internetu a ze by se mely co nejdrive vymytit a prejit
na IPv6.

> BTW: O IPv6 ma cenu se zacit bavit tak za 5 let. Driv asi tezko, spis pozdeji.

Zcasti mate pravdu -- ale myslim, ze jenom proto, ze si na IPv6 temer vsichni
navykli pohlizet timto zpusobem -- tedy jako na vzdalenou budoucnost, kterou
neni potreba se zatezovat, protoze vsechny nase dnesni problemy vyresi
privatni adresy a masquerading.

Jenze ony je bohuzel nevyresi -- jen je nahradi problemy jeste horsimi, s nimiz
si ovsem nikdo hlavu nelame, protoze se zatim projevuji jen zridka a vzdycky
se najde nejaky zpusob, jak zazaplatovat i ty (mimochodem, uz RFC 1627
[Network 10 Considered Harmful, cerven 1994] se nad temito zalezitostmi
zamysli). A obvykly argument "takhle to je levnejsi" moc neobstoji -- jiste,
co do okamzitych nakladu to tak levnejsi je, ale kdyz si uvedomite, co znamena
cely ten cirkus okolo prekladu adres udrzovat, jak se tim komplikuji nove
navrhovane protokoly, u kterych se autori snazi, aby pres NAT prochazely
bez problemu, atd., zjistite, ze naklady pro globalni prechod na IPv6
jsou proti tomu smesne nizke.

> 	Myslim, ze se mylite, IPv4 ruznymi NATy (maskarada je v podstate
> specialni pripad NATu) dosahlo zajimave robusnosti o ktere se drive

Kdepak, IP je sice hodne robustni protokol, ale s NATy to opravdu ani
trochu nesouvisi. Copak je sroubovak robustni nastroj proto, ze kdyz
se pribrousi a trochu ohne, daji se jim otevirat konzervy? Jiste --
kdyz jste na pustem ostrove a jinou moznost nemate, muze tak poslouzit,
ale sotva to je argument k tomu, aby se zacaly seriove vyrabet a prodavat
soupravy pro brouseni a ohybani sroubovaku? :-)  Ja si myslim, ze jde
o totez, jenze na rozdil od tohoto podobenstvi to ve svete IP a NATu
neni tak markantni.

Premysleli jste nekdy nad tim, ktere vsechny standardy takovy NAT porusuje,
ze mimo prekladani adres musi rozumet vsem moznym protokolum a upravovat
je, aby vubec s prelozenymi adresami fungovaly, i kdyz to vubec neni tim,
ze by to byly protokoly spatne? A jaky chaos nastane, kdyz se rozhodnou
propojit sve site dve firmy, z nichz kazda pouziva privatni adresy?
Ja jsem o tom premyslel a ted jiz chapu, proc IETF tehdy v roce 1993 takove
reseni odmitla a proc se o nem dodnes "velci architekti Internetu" jako treba
Dave Crocker vyjadruji tak negativne.

Prozatim ma tento pribeh otevreny konec a muzeme doufat v to, ze ten konec
bude dobry. Jenze to bude jen tehdy, kdyz se o to budeme snazit vsichni
a nebudeme uvazovat jen o tom, jak si v dany okamzik zjednodusit praci,
nybrz mit i nejakou jasnou vizi budoucnosti, a to budoucnosti lepsi.

				Have a nice fortnight
-- 
Martin `MJ' Mares   <mj na ucw.cz>   http://atrey.karlin.mff.cuni.cz/~mj/
Faculty of Math and Physics, Charles University, Prague, Czech Rep., Earth
Compatible: Gracefully accepts erroneous data from any source.