IP a NAT (Re: Jak zadat atypickou sit. Masku)

Ing. Pavel PaJaSoft Janousek janousek na fonet.cz
Středa Leden 24 16:58:25 CET 2001 

Par poznamek, jinak velmi kvalitni prispevek...

> Dlouhodobym resenim se mela stat vymena IPv4 za protokol s delsimi adresami.
> Zjistilo se ovsem, ze jednak neni jednoznacne, jak by takove delsi adresy mely
> vypadat a jednak, ze by se zmenou IP dalo priblizit i k nekterym dalsim
> cilum, jako napriklad QoS, autokonfiguraci hostu, zrychleni routingu,
> hierarchizaci adres atd. A tak vznikl projekt IP New Generation (IPng),

	:) pred cca 1.5 rokem jsem rekl, ze IPv4 je sice hezky, ale ze
setrvavat stale na jednom bode neni dobre apod... (docela hezka flame
tenkrat) a ze IP protokol ma dost nevyhod (par jsem uvedl) a tenkrat
jsem byl hodne nevybirave ukamenovan...;-) - nu coz, oci se rozjasnuji i
jinym....;-))))

> Mezitim se ovsem zjistilo, ze se zavedenim classless routingu, prisnejsim
> dohledem nad pridelovanim adres a pouzivanim privatnich adres a NATu
> zacaly volne adresy ubyvat podstatne pomaleji, a tak puvodni nadseni
> z prechodu na nove IP, ktere se chystali vsichni vyrobci routeru implementovat
> co nejdrive, pomerne rychle opadlo, jen na mailing listu IETF a nekolika
> dalsich se s zeleznou pravidelnosti objevuji prispevky upozornujici na to,
> ze soucasny stav jiz neni moc dlouho udrzitelny, ze NATy jsou hrozbou
> pro dalsi rozvoj Internetu a ze by se mely co nejdrive vymytit a prejit
> na IPv6.
> 
> > BTW: O IPv6 ma cenu se zacit bavit tak za 5 let. Driv asi tezko, spis pozdeji.
> 
> Zcasti mate pravdu -- ale myslim, ze jenom proto, ze si na IPv6 temer vsichni
> navykli pohlizet timto zpusobem -- tedy jako na vzdalenou budoucnost, kterou

	No ja uz cca 3-5 let slysim a ctu, ze je otazkou cca 5 let opravdova
vymena vseho na IPv6 (pel let uplynulo a jsme stale ve vychozi pozici).

> neni potreba se zatezovat, protoze vsechny nase dnesni problemy vyresi
> privatni adresy a masquerading.

	Byl jsem a stale jsem velkym odpurcem techto reseni, ale bohuzel - cele
Ccko mi nikdo neprideli (reps. ano, ale ma zduvodneni v dnesnim
komercnim Inetu neobstoji, protoze to by mohl rikat kazdy 2.), co
bezesnych noci mi routing jiz pripravil (i treba blbe default routy a
ARP pak nedostalo odpoved apod.), veskere NATy, proxy apod... - vsechno
toto zverstvo je levnejsi pro 99% kratkodobe myslicich (coz bohuzel
(cesky) management je casto hodne kratkodobe myslici, ac se tvari
svetacky a svetove)...

> >       Myslim, ze se mylite, IPv4 ruznymi NATy (maskarada je v podstate
> > specialni pripad NATu) dosahlo zajimave robusnosti o ktere se drive
> 
> Kdepak, IP je sice hodne robustni protokol, ale s NATy to opravdu ani
> trochu nesouvisi. Copak je sroubovak robustni nastroj proto, ze kdyz

	Myslel jsem to tak, jak jste spravne historicky popsal, ze puvodne se o
classless routovani nevedelo, resp. odporovalo RFC, preklad adres se
vubec neuvazoval (krome hodne velkych hackerskych mytu) apod., najednou
to jde a nikomu to prilis nevadi a zakladni veci funguji (pravda, rikam
zakladni nikoli treba nove...)

> se pribrousi a trochu ohne, daji se jim otevirat konzervy? Jiste --
> kdyz jste na pustem ostrove a jinou moznost nemate, muze tak poslouzit,
> ale sotva to je argument k tomu, aby se zacaly seriove vyrabet a prodavat
> soupravy pro brouseni a ohybani sroubovaku? :-)  Ja si myslim, ze jde
> o totez, jenze na rozdil od tohoto podobenstvi to ve svete IP a NATu
> neni tak markantni.

	Markantni neni, bohuzel, ale Internet po teto strance je pusty ostrov a
zmena bude bolestna (ATM mel byt take vrchol pro zacatek 3. tisicileti a
nyni se jiz otevrene priznava, ze je na... (o ISDN v Evrope se to septa
jiz take nekolik let...)), spoustu kratkodobe vyvinuteho HW pujde do
srotu, takze se firmicky budou zuby nechty branit tomuto nasazeni...

> Premysleli jste nekdy nad tim, ktere vsechny standardy takovy NAT porusuje,
> ze mimo prekladani adres musi rozumet vsem moznym protokolum a upravovat

	A co je daleko horsi (IMHO) je, ze to jde mimo protokolove inzenyrstvi,
protoze i kdyz si ISO/OSI zjednodusime, tezko mi nekdo vysvetli, proc by
sitovy protokol mel neco tusit, natoz zasahovat do aplikacniho ramce,
stejne jako linkova vrstva je tlacena k routovani (quli rychlosti), ac
to neni jeji starost (ona ma funkci transportni).

> ze by to byly protokoly spatne? A jaky chaos nastane, kdyz se rozhodnou
> propojit sve site dve firmy, z nichz kazda pouziva privatni adresy?

:) - no pokud privatni ma kazda jinou, je to celkem v pohode, tunelu
mame dost (takove Linuxove CIPE neni od veci;-)), ale kdyz ma
192.168.0.0/16 napr. obe site, pak jedine maskarada -> CIPE ->
markarada... to je krasa, ze? (To uz mi pripada jako sitovy tisk v MS
Windows sitich na postscriptovych tiskarnach...)

> reseni odmitla a proc se o nem dodnes "velci architekti Internetu" jako treba
> Dave Crocker vyjadruji tak negativne.

	Nejsem velky architekt, ale co mohu delat v soucasne dobe, kdyz firmy
proste potrebuji pripojeni na Internet a 50-200 IP adres jim z verejnych
bloku proste nikdo neda? Na jednu stranu neni implementace, na strane
druhe firmy proste Internet realne potrebuji a je jim celkem jedno jak
se pripoji...

	Otazka druha, ze takova maskarada je casto pomerne ucinny packetovy
filtr a firma 'usetri' za kvalitni spravu ohledne bezpecnosti... (a
mysli si, ze je z obliga...:-( - bohuzel takto to chodi)

> Prozatim ma tento pribeh otevreny konec a muzeme doufat v to, ze ten konec
> bude dobry. Jenze to bude jen tehdy, kdyz se o to budeme snazit vsichni
> a nebudeme uvazovat jen o tom, jak si v dany okamzik zjednodusit praci,
> nybrz mit i nejakou jasnou vizi budoucnosti, a to budoucnosti lepsi.

	Jen aby IPv6 nebo neco jako ATM, nakonec se zjisti, ze ho vlastne
nepotrebujeme a cele to bude uplne jinak... (ona ATM bunka bylo pomerne
revolucni reseni, bohuzel Internet pracuje trosku jinak)...

-----------------------------------------------------------------------
Ing. Pavel Janousek (PaJaSoft)                 FoNet, spol. s r. o.
Vyvoj software, Intranet / Internet          Anenska 11, 602 00  Brno
E-mail: mailto:Janousek na FoNet.Cz             Tel.: +420  5  4324 4749
SMS:    mailto:P.Janousek na SMS.Paegas.Cz      Fax.: +420  5  4324 4751
WWW:    http://WWW.FoNet.Cz/               E-mail: mailto:Info na FoNet.Cz
-----------------------------------------------------------------------

Další informace o konferenci Linux