Вопрос: Насколько плохим является истощение IPv4-адреса на самом деле?


В течение многих лет в прессе писали о проблеме, что в настоящее время имеется очень мало адресов IPv4. Но, с другой стороны, я использую серверную хостинговую компанию, которая с радостью выдает публичные IPv4-адреса за небольшую сумму денег. И мое частное интернет-соединение поставляется с общедоступным IPv4-адресом.

Как это возможно? Проблема такая же плохая, как пресса хочет, чтобы мы верили?


160
2018-01-28 14:01


Источник


У некоторых компаний по-прежнему много адресов IPv4. Других очень мало. Я должен очень тщательно подумать об использовании адреса IPv4; в результате у меня довольно много машин только для IPv6. - Michael Hampton♦
Это также дает вам некоторую перспективу в отношении того, насколько боль интернет-провайдеры готовы заставить других людей просто не использовать IPv6. - immibis
Я бы не назвал это зло, но это, безусловно, боль. Тем не менее, большинство потребители вероятно, не волнует, что они стоят за голой, полагая, что facebook и whatsapp работают. - Journeyman Geek
@JourneymanGeek Ну, средние потребители действительно не заботятся ни о чем, что они не понимают. Например, существуют идеи для распределенных социальных сетей (потому что это очень сложно подвергнуть цензуре), но никто не заботится о таких вещах, пока после они сняли с себя землю, которой они не могут из-за NAT. Я полагаю, NAT является одной из причин, по которым мы оказались в централизованном Интернете, потому что в принципе невозможно разместить свой собственный сайт, не заплатив кому-то. - immibis
Как отметил @Azendale, хостинг игрового сервера является большим. Почему я не могу запустить minecraft_server.exe и дать моим друзьям мой адрес? Из-за NAT. «Потребители», безусловно, хотят иногда запускать игровые серверы. - immibis


Ответы:


Это очень плохо. Вот список примеров того, что у меня есть опыт работы с интернет-провайдерами, которые делают для борьбы с нехваткой адресов IPv4:

  • Неоднократно перетасовываются блоки IPv4 между городами, что приводит к кратковременным отключениям и сбросам соединений для клиентов.
  • укорачивание DHCP срок аренды от дней до минут.
  • Разрешить пользователям выбирать, хотите ли они трансляция сетевых адресов (NAT) на клиентском оборудовании помещения (CPE) или нет, то задним числом включите его для всех в любом случае.
  • Включение NAT на CPE для клиентов, которые уже использовали возможность отказаться от NAT.
  • Уменьшение колпачка по числу одновременно активных адреса управления доступом к среде передачи (MAC) обеспечиваемое CPE.
  • Развертывание NAT-носитель (CGN) для клиентов, у которых был реальный IP-адрес, когда они подписались на услугу.

Все это снижает качество продукта, который ISP продает своим клиентам. Единственным разумным объяснением того, почему они будут делать это со своими клиентами, является нехватка адресов IPv4.

Недостаток адресов IPv4 привел к фрагментации адресного пространства, которое имеет несколько недостатков:

Без NAT сегодня мы не можем достичь 3700 миллионов маршрутизируемых IPv4-адресов. Но NAT - это хрупкое решение, которое дает вам менее надежную связь и проблемы, которые трудно отлаживать. Чем больше слоев NAT, тем хуже будет. Два десятилетия напряженной работы сделали один слой NAT главным образом работающим, но мы уже перешли точку, где один слой NAT был достаточным, чтобы обойти нехватку адресов IPv4.


173
2018-01-28 14:31



Следует добавить одно: NAT также приводит к тому, что вредоносные пользователи воздействуют на обычных пользователей и, как правило, делают IP ненадежным как механизм пользовательской дифференциации. Например, гостиницы блокировка почти каждого пользователя Qatari из-за одного или нескольких вандализма пользователей. - IllusiveBrian
@IllusiveBrian делает правильную точку. Я унаследовал программное обеспечение для таргетинга на рекламу, которое использовало IP-адреса в качестве основного идентификатора. В настоящее время этого показателя почти нет, и его необходимо было широко модифицировать, чтобы он был надежным. Индия и Греция, по-видимому, являются двумя из наиболее пострадавших стран. Я вижу, что объявление было удалено 100 раз в день с одного и того же IPv4, но каждый удар может быть другим пользователем, определяемым другими методами отслеживания - Darren H
@DmitriySintsov не более, чем простой брандмауэр с состоянием. Если пограничное устройство может выполнять NAT, оно может выполнять брандмауэр с сохранением состояния. - mfinni
@DarrenH ", предназначенное для использования IP-адресов в качестве основного идентификатора ... и его необходимо было широко модифицировать, чтобы он был надежным". Ну, этой причины достаточно, чтобы поддерживать NAT. - Andy
@DarrenH Это всего лишь комментарий о том, что вам не нравится рекламное ПО, какой бы тон вы ни испытывали в своей голове. - Andy


До того, как у нас закончились адреса IPv4, мы не использовали (широко) NAT. Каждый компьютер, подключенный к Интернету, имеет свой уникальный глобальный адрес. Когда NAT был впервые представлен, он должен был перейти от предоставления клиентам ISP 1 реального адреса на каждое устройство, используемое клиентом / принадлежащее одному клиенту 1 реальному адресу. Это некоторое время исправляло проблему (годы), пока мы должны были перейти на IPv6. Вместо перехода на IPv6 (в основном) все ждали, пока все остальные переключатся, и поэтому (в основном) никто не выкатил IPv6. Теперь мы снова сталкиваемся с той же проблемой, но на этот раз развертывается второй уровень NAT (CGN), чтобы интернет-провайдеры могли делиться 1 реальным адресом между несколькими клиентами.

Исключение IP-адреса не имеет большого значения, если NAT не страшен, в том числе в том случае, когда конечный пользователь не контролирует его (Carrier Grade NAT или CGN).

Но я бы сказал, что NAT ужасен, особенно в случае, когда конечный пользователь не имеет контроля над ним. И (как человек, работа которого связана с сетевым проектированием / администрированием, но имеет степень разработки программного обеспечения), я бы сказал, что, развертывая NAT вместо IPv6, сетевые администраторы изменили вес решения проблемы исчерпания адресов из своего поля и от конечных пользователей и разработчиков приложений.

Итак, (на мой взгляд), почему NAT - ужасная, злая вещь, которой следует избегать?

Давайте посмотрим, смогу ли я сделать это справедливо, объясняя, что он ломает (и какие проблемы он вызывает, что мы настолько привыкли к тому, что мы даже не понимаем, что это может быть лучше):

  • Независимость сетевого уровня
  • Одноранговые соединения
  • Согласованное присвоение имен и расположение ресурсов
  • Оптимальная маршрутизация трафика, хосты, зная их реальный адрес
  • Отслеживание источника вредоносного трафика
  • Сетевые протоколы, которые разделяют данные и управление на отдельные соединения

Посмотрим, смогу ли я объяснить каждый из этих элементов.

Независимость сетевого уровня

Предполагается, что интернет-провайдеры просто передают пакеты уровня 3 и не заботятся о том, что находится в слоях выше этого. Независимо от того, проходите ли вы через TCP, UDP или что-то лучшее / более экзотическое (возможно, SCTP или даже какой-то другой протокол, который лучше TCP / UDP, но неясно из-за отсутствия поддержки NAT), ваш интернет-провайдер не должен забота; все это должно просто выглядеть как данные для них.

Но это не так - не когда они реализуют «вторую волну» NAT, «Carrier Grade» NAT. Затем они обязательно должны смотреть и поддерживать протоколы уровня 4, которые вы хотите использовать. Прямо сейчас, это практически означает, что вы можете использовать только TCP и UDP. Другие протоколы будут либо просто заблокированы / удалены (подавляющее большинство случаев в моем опыте), либо просто перенаправлены на последний хост «внутри» NAT, который использовал этот протокол (я видел 1 реализацию, которая делает это). Даже пересылка на последний хост, который использовал этот протокол, не является реальным исправлением - как только два хоста используют его, он ломается.

Я предполагаю, что есть некоторые протоколы замены для TCP & UDP, которые в настоящее время непроверены и не используются только из-за этой проблемы. Не поймите меня неправильно, TCP и UDP были впечатляюще хорошо разработаны, и это потрясающе, как оба из них смогли масштабироваться до того, как мы используем Интернет сегодня. Но кто знает, что мы пропустили? Я читал о SCTP и звучит неплохо, но никогда не использовал его, потому что это было непрактично из-за NAT.

Одноранговые соединения

Это большой. На самом деле, самое большое, на мой взгляд. Если у вас есть два конечных пользователя, оба позади своего собственного NAT, независимо от того, какой из них пытается подключиться первым, NAT другого пользователя сбросит свой пакет, и соединение не будет выполнено.

Это влияет на игры, голосовой / видео-чат (например, Skype), размещение ваших собственных серверов и т. Д.

Есть обходные пути. Проблема заключается в том, что эти обходные пути обойдутся как временем разработчика, так и временем, неудобством пользователя или неудобствами в инфраструктуре службы. И они не являются надежными и иногда ломаются. (См. Комментарии других пользователей об отключении от Skype).

Одним из способов является переадресация портов, когда вы программируете устройство NAT для пересылки определенного входящего порта на конкретный компьютер за устройством NAT. Есть целые веб-сайты, посвященные тому, как это сделать для всех различных устройств NAT, которые есть там. Видеть https://portforward.com/, Это обычно требует времени и разочарования пользователя.

Другим обходным решением является добавление поддержки таких вещей, как перфорация отверстий для приложений, и поддержка серверной инфраструктуры, которая не стоит за NAT, чтобы представить два NAT-клиента. Это обычно связано с временем разработки и ставит разработчиков в потенциально поддерживающую инфраструктуру сервера, где раньше не требовалось.

(Помните, что я сказал о развертывании NAT вместо IPv6, перенося вес проблемы с сетевых администраторов на конечных пользователей и разработчиков приложений?)

Согласованное присвоение имен / расположение сетевых ресурсов

Поскольку другое пространство адресов используется внутри NAT, а снаружи, любая услуга, предлагаемая устройством внутри NAT, имеет несколько адресов для доступа к ней, а правильный для использования зависит от того, где клиент обращается к ней из , (Это все еще проблема, даже после того, как вы выполняете переадресацию портов.)

Если у вас есть веб-сервер внутри NAT, скажите на порту 192.168.0.23 порт 80, а ваше устройство NAT (маршрутизатор / шлюз) имеет внешний адрес 35.72.216.228, и вы настроили переадресацию портов для порта TCP 80, теперь ваш Доступ к веб-серверу можно получить с помощью порта 192.168.0.23 80 или 35.72.216.228 порт 80. Тот, который вы должны использовать, зависит от того, находитесь ли вы внутри или за пределами NAT. Если вы находитесь за пределами NAT и используете адрес 192.168.0.23, вы не доберетесь туда, где ожидаете. Если вы находитесь внутри NAT и используете внешний адрес 35.72.216.228, вы мог бы получить, где вы хотите, если ваша реализация NAT является продвинутой, которая поддерживает шпильку, но затем веб-сервер, обслуживающий ваш запрос, увидит, что запрос поступает с вашего устройства NAT. Это означает, что весь трафик должен проходить через устройство NAT, даже если в сети за NAT есть более короткий путь, и это означает, что журналы на веб-сервере становятся намного менее полезными, потому что все они перечисляют NAT-устройство как источник связь. Если ваша реализация NAT не поддерживает шпильки, тогда вы не сможете добраться туда, куда ожидаете.

И эта проблема ухудшается, как только вы используете DNS. Внезапно, если вы хотите, чтобы все правильно работало для чего-то, размещенного за NAT, вы захотите дать разные ответы на адрес службы, размещенной внутри NAT, на основе того, кто спрашивает (ADA split horizon DNS, IIRC). Тьфу.

И все это предполагает, что у вас есть кто-то, кто хорошо осведомлен о переадресации портов и шпильках NAT и DNS с разнесенным горизонтом. Как насчет конечных пользователей? Каковы их шансы на то, чтобы все это было настроено правильно, когда они покупают потребительский маршрутизатор и некоторую камеру IP-безопасности и хотят, чтобы она «просто работала»?

И это приводит меня к:

Оптимальная маршрутизация трафика, хосты, зная их реальный адрес

Как мы видели, даже с продвинутой шпилькой NAT-трафик не всегда течет по оптимальному пути. Это даже в том случае, когда знающий администратор настраивает сервер и имеет шпильки NAT. (Разумеется, DNS с разнесенным горизонтом может привести к оптимальной маршрутизации внутреннего трафика в руках сетевого администратора.)

Что происходит, когда разработчик приложения создает такую ​​программу, как Dropbox, и распространяет ее на конечных пользователей, которые не специализируются на настройке сетевого оборудования? В частности, что происходит, когда я помещаю файл размером 4 ГБ в свой файл общего доступа, а затем пытаюсь получить доступ к нему на следующем компьютере? Прямая передача между машинами или мне нужно дождаться, когда она будет загружена на облачный сервер через медленное соединение WAN, а затем подождите второй раз, чтобы загрузить его через одно и то же медленное соединение WAN?

Для наивной реализации он будет загружен, а затем загружен, используя инфраструктуру сервера Dropbox, которая не стоит за NAT в качестве посредника. Но если обе машины могли только понять, что они находятся в одной сети, то они могут просто перенести файл намного быстрее. Поэтому для нашей первой менее наивной реализации попробуйте, мы можем спросить OS, какой IP (v4) обращается к машине, и затем проверить это на других компьютерах, зарегистрированных в той же учетной записи Dropbox. Если он находится в том же диапазоне, что и мы, просто передайте файл напрямую. Это может работать во многих случаях. Но даже тогда возникает проблема: NAT работает только потому, что мы можем повторно использовать адреса. Итак, что, если адрес 192.168.0.23 и адрес 192.168.0.42, зарегистрированный в одной учетной записи Dropbox, фактически находятся в разных сетях (например, в вашей домашней сети и вашей рабочей сети)? Теперь вам нужно отказаться от использования инфраструктуры сервера Dropbox для посредничества. (В конце концов, Dropbox попытался решить эту проблему, если каждый клиент Dropbox транслировался в локальной сети в надежде найти других клиентов. Но эти трансляции не пересекают какие-либо маршрутизаторы, которые у вас могут быть за NAT, а это означает, что это не полное решение , особенно в случае CGN.)

Статические IP-адреса

Кроме того, поскольку первый недостаток (и волна NAT) произошел, когда многие потребительские соединения не всегда были в соединениях (например, dialup), интернет-провайдеры могли лучше использовать свои адреса, только выделяя публичные / внешние IP-адреса, когда вы были фактически подключены. Это означало, что когда вы подключались, вы получали доступный адрес, а не всегда получали тот же самый. Это значительно ускоряет работу с вашим собственным сервером, что упрощает разработку приложений для сверстников, потому что им нужно иметь дело с сверстниками, которые перемещаются, а не с фиксированными адресами.

Обфускация источника вредоносного трафика

Поскольку NAT повторно записывает исходящие соединения так, как будто они поступают с самого устройства NAT, все поведение, хорошее или плохое, переносится на один внешний IP-адрес. Я не видел ни одного устройства NAT, которое регистрирует каждое исходящее соединение по умолчанию. Это означает, что по умолчанию источник прошлого вредоносного трафика может быть прослежен только к устройству NAT, через которое он прошел. В то время как больше оборудования корпоративного или операторского класса может быть настроено для регистрации каждого исходящего соединения, я не видел каких-либо потребительских маршрутизаторов, которые это делают. Я, конечно, думаю, будет интересно узнать, будут ли (и надолго) интернет-провайдеры вести журнал всех TCP и UDP-соединений, созданных через CGN, когда они выкалывают их. Такие записи потребуются для рассмотрения жалоб на злоупотребления и жалоб DMCA.

Некоторые считают, что NAT повышает безопасность. Если да, то делает это через неясность. Понижение входящего трафика по умолчанию, которое NAT делает обязательным, такое же, как наличие брандмауэра с состоянием. Я понимаю, что любое аппаратное обеспечение, способное выполнять отслеживание соединений, необходимое для NAT, должно иметь возможность запускать брандмауэр с состоянием, поэтому NAT действительно не заслуживает каких-либо пунктов.

Протоколы, которые используют второе соединение

Протоколы, такие как FTP и SIP (VoIP), как правило, используют отдельные соединения для контроля и фактического содержимого данных. Каждый протокол, который делает это, должен иметь вспомогательное программное обеспечение, называемое ALG (шлюз уровня приложения) на каждом передаваемом им NAT-устройстве или обходить проблему с помощью какого-либо посредника или пробивки отверстий. По моему опыту, ALG редко когда-либо обновлялись и были причиной по крайней мере нескольких проблем, с которыми я столкнулся с участием SIP. Каждый раз, когда я слышу, что кто-то сообщает, что VoIP не работает для них, потому что аудио работает только в одном направлении, я сразу же подозреваю, что где-то есть шлюз NAT, удаляющий UDP-пакеты, он не может понять, что делать.

Таким образом, NAT имеет тенденцию ломаться:

  • альтернативные протоколы к TCP или UDP
  • одноранговые системы
  • доступ к чему-то, размещенному за NAT
  • таких как SIP и FTP. ALG, чтобы обойти это, по-прежнему вызывают случайные и странные проблемы сегодня, особенно с SIP.

По сути, многоуровневый подход, который занимает сетевой стек, относительно прост и изящен. Попытайтесь объяснить это кому-то новому в сети, и они неизбежно предполагают, что их домашняя сеть, вероятно, хорошая и простая сеть, чтобы попытаться понять. Я видел, как это привело в нескольких случаях к некоторым довольно интересным (чрезмерно сложным) идеям о том, как работает маршрутизация из-за путаницы между внешними и внутренними адресами.

Я подозреваю, что без NAT VoIP будет повсеместно распространен и интегрирован с PSTN, и что вызов с мобильного телефона или компьютера будет бесплатным (за исключением того, что вы уже заплатили за интернет). В конце концов, почему я должен платить за телефон, когда вы и я можем просто открыть 64-битный VoIP-поток, и он работает так же хорошо, как и PSTN? Похоже, что сегодня проблема номер 1 с развертыванием VoIP идет через устройства NAT.

Я подозреваю, что мы обычно не понимаем, насколько проще всего было бы, если бы у нас была прекрасная возможность подключения, которую NAT нарушил. Люди по-прежнему пишут по электронной почте (или Dropbox) файлы, потому что если основная проблема в том, что требуется посредник, когда два клиента находятся за NAT.


127
2018-01-29 06:18



@supercat IPv6-адреса глобально уникальны, но не плоский (для поддержки маршрутизации, которая должна быть иерархической). Мне кажется, что, если мы хотим, чтобы любые два интернет-хоста теоретически могли общаться, нужны глобальные уникальные адреса в той или иной форме. - Jakob
@supercat К сожалению, постоянный миф о том, что IPv6 все еще не хватает места для всех. Вы могли бы дать a / 48 всем на земле и все еще иметь огромное количество пространства. Для исчерпания выделенных в настоящее время 2000::/3 вам придется повторить это упражнение более 4000 раз! или дать каждому a / 34. Но a / 48 достаточно хорош для практически всех, и те, кому нужно больше, могут легко получить его. Даже если этого было недостаточно, все равно 4000::/3, 6000::/3и т. д., доступно. У нас много места; пришло время его использовать. Смотрите также RFC 6177, - Michael Hampton♦
@immibis Кажется, вы что-то пропустили. Организации не ограничиваются получением либо a / 48, либо a / 32. Они могут получить практически любой блок размера. Это может быть / 44 или a / 40 или / 39 или / 47 или что угодно. Вы также должны прочитать RFC 6177. - Michael Hampton♦
К сожалению, многие люди начали использовать NAT в качестве дрянной формы безопасности, и многие устройства, такие как хромометры и устройства IoT, предполагают, что любое устройство, которое может подключиться к нему, является надежным устройством, поэтому каждый потребительский маршрутизатор, который я видел, будет отключать входящие подключения к устройствам ipv6 а также некоторые из них, которые я видел, не имеют возможности отключить это, только обычную переадресацию портов. - Qwertie
... Хорошо, я ненавижу NAT сейчас; как переключиться на IPv6? - Adam Barnes


Один большой симптом истощения IPv4, о котором я не упоминал в других ответах, заключается в том, что некоторые поставщики мобильных услуг начал работать IPv6 только несколько лет назад. Есть шанс, что вы много лет используете IPv6 и даже не знаете об этом. Мобильные провайдеры новее в интернет-игре и не обязательно имеют огромные ранее существовавшие распределения IPv4. Они также требуют больше адресов, чем кабель / DSL / волокно, поскольку ваш телефон не может публиковать общедоступный IP-адрес с другими членами вашей семьи.

Я предполагаю, что провайдеры IaaS и PaaS будут рядом, из-за их роста, который не привязан к физическим адресам клиентов. Я бы не удивился, увидев поставщиков IaaS, предлагающих IPv6, только со скидкой в ​​ближайшее время.


19
2018-01-29 16:58



Я уже видел несколько небольших провайдеров, предлагающих только виртуальные машины с поддержкой IPv6, и взимать плату за IPv4. - Michael Hampton♦


Некоторое время назад у основных РИР не хватило места для обычных распределений. Поэтому для большинства поставщиков единственными источниками адресов IPv4 являются их собственные запасы и рынки.

Существуют сценарии, в которых предпочтительнее иметь выделенный IPv4 IP, но это не совсем необходимо. Существует также множество общедоступных IPv4-адресов, которые выделены, но не используются в настоящее время в общедоступном Интернете (они могут использоваться в частных сетях или они могут вообще не использоваться). Наконец, существуют более старые сети с адресами, выделенными гораздо более свободно, чем они должны быть.

Три крупнейших РИР теперь позволяют продавать адреса как между их членами, так и с другими членами. Таким образом, у нас есть рынок между организациями, у которых либо есть адреса, которые они не используют, либо у кого есть адреса, которые могут быть высвобождены для стоимости с одной стороны и организаций, которым действительно нужно больше IP-адресов, с другой.

То, что трудно предсказать, - это то, сколько спроса и предложения будет иметь место в каждой ценовой точке и, следовательно, то, что рыночная цена будет делать в будущем. Таким образом, цена на IP кажется на удивление низкой.


13
2018-01-28 19:30



AfriNIC имеет меньше, чем / 8 номеров адресов, доступных по-прежнему, и я видел множество примеров из других стран за пределами Африки, которые хватают их. - Michael Hampton♦


В идеале, каждый хост в Интернете должен иметь возможность получить глобальный IP-адрес области, однако исчерпание адреса IPv4 является реальным, infact ARIN уже исчерпал адрес в своем свободном пуле,

Причина, по которой каждый человек по-прежнему может получить доступ к интернет-сервисам, является прекрасным, благодаря методам преобразования сетевых адресов (NAT), которые позволяют нескольким хостам передавать общедоступные IP-адреса. Однако это не происходит без проблем.


7
2018-01-28 14:32



Я не хочу знать, сколько человеко-часов, ресурсов и миллионов было потрачено впустую между Napster, Gnutella, Gossip, Kazaa, BitTorrent, Kademlia, FastTrack, eDonkey, Freenet, Grokster, Skype, Threema, Spotify и т. Д. , разрабатывая технологии NAT-пирсинга. - Jörg W Mittag
@ JörgWMittag Не говоря уже о том, насколько эффектно это не удалось для Skype в декабре 2010 года. - kasperd
И тот факт, что вы должны использовать технологии NAT-пирсинга в первую очередь. Если машина X и машина Y находятся на обычных соединениях, они не могут разговаривать друг с другом без посредника. Раздражает такие вещи, как задачи синхронизации файлов. - Loren Pechtel
@kasperd Не могли бы вы рассказать об этом «не удалось для Skype в декабре 2010 года»? Я мог бы найти, что большое количество супернов не удалось сразу, по какой-то неопределенной причине, И не можете понять, как это относится к исчерпанию адреса IPv4. - ivan_pozdeev
@ivan_pozdeev Supernodes является обходным решением для проблем, вызванных NAT. Сам NAT является обходным решением для нехватки адресов IPv4. Таким образом, необходимость использования Skype сверхновых в первую очередь была вызвана нехваткой адресов IPv4. Если бы интернет был повышен до IPv6 более разумным темпом, Skype не нуждался бы в суперсонах, и этого конкретного отключения не произошло бы. - kasperd


Интернет-провайдеры используют для предоставления блокам 256 IP-адресов компаниям. Теперь интернет-провайдеры скупы и дают вам (компании), например 5. В тот же день (2003) каждый ПК и подключенное устройство в вашем доме имели свой собственный IP-адрес в Интернете. Теперь маршрутизатор кабеля / DSN / Fios имеет один IP-адрес и выдает IP-адреса 10.0.0.x всем компьютерам в вашем доме. Резюме: ISP используется для удаления IP-адресов, и теперь они больше не тратят впустую их.


5
2018-01-29 23:38



"В тот же день (2003) каждый компьютер и подключенное устройство в вашем доме имели свой собственный IP-адрес в Интернете.«Только если вы заплатили за 2, 3, 4 и т. Д. - RonJohn
Ронджон прав. Я был одним из первых пользователей широкополосной связи, когда в 1997 году в мой регион пришла кабельная сеть. Я заплатил за нее $ 50 (США) в месяц, и я отчетливо помню, что они предложили второй IP-адрес за дополнительные 20 долларов США в месяц. Хотя я и хотел, я не хотел платить за это. В следующем году моя проблема была решена, когда я обнаружил устройства NAT. У них не было много функций (таких как переадресация портов для входящих подключений), но тот, который я получил, решил немедленно. - Charles Burge
@CharlesBurge Я также помню это. И мы видим, что некоторые провайдеры также пытаются сделать то же самое с IPv6. - Kevin Keane
@CharlesBurge: Это зависело от вашего интернет-провайдера. У меня был знакомый по кабелю в Фениксе, штат Аризона, и он получил полностью маршрутизированную подсеть, блок 29, с 8 адресами, 5 полезными. Мы запустили сервер Linux на нем с закрытым (случайно с нашей стороны), и кабельная сеть фактически поделилась с ним полной информацией о маршрутизации BGP. Это и люди, поставившие свои ПК с ОС Windows и принтеры с полностью открытыми акциями в сети, сделали жизнь интересной. - Zan Lynx
О да, я помню сетевую видимость. Все остальные в моем цикле были видны в «Сетевом окружении», и я мог просматривать любые принадлежащие им акции. - Charles Burge


У вас уже есть много отличных ответов, но я хотел бы добавить то, что еще не упоминалось.

Да, исчерпание адреса IPv4 плохо, в зависимости от того, как вы его измеряете. Некоторые компании по-прежнему имеют огромные запасы адресов IPv4, но мы начинаем рассматривать обходные пути, такие как NAT-носители.

Но многие ответы неверны, когда они переходят в IPv6.

Вот список технологий, которые могут помочь справиться с нехваткой адресов IPv4. У каждого свои преимущества и недостатки.

  • IPv6

    • Преимущество: стандартизировано и доступно в большинстве операционных систем.
    • Недостаток: несмотря на частые заявления об обратном, серьезные проблемы безопасности. Еще в 2005 году US CERT предупреждены о проблемах безопасности, вызванных глобальной адресацией IPv6. IPv6 Можно быть обеспеченным должным образом, но, учитывая состояние потребительских маршрутизаторов, это может не произойти.
    • Недостаток: миграция требует времени, денег и опыта.
    • Недостаток: многие устройства потребительского класса серьезно испорчены. Например, несколько маршрутизаторов D-Link поддерживают IPv6 путем простой пересылки все трафика, не предлагая никаких брандмауэров.

Другое соображение: даже если IPv6 поймал сегодня полностью, все равно потребуется еще около 20 лет, чтобы поэтапно отказаться от IPv4 из-за устаревшего оборудования, которое люди будут использовать в течение очень долгого времени (я все еще вижу серверы Windows 2003 и рабочие станции Windows XP иногда не говоря уже обо всех принтерах и камерах и гаджетах IoT, которые не поддерживают IPv6).

  • CGNat:
    • Преимущество: работает без изменений в помещениях заказчика.
    • Недостаток: поддерживает только исходящие соединения.
    • Недостаток: может не поддерживать несколько протоколов.

В конце концов, CGNat будет недостаточно. Возможно, IPv6 поймает, но вполне возможно, что мы увидим NAT в национальном масштабе или что-то в этом роде.

В настоящее время, как консультант, я часто должен указать своим клиентам, что они подвергаются воздействию IPv6 (часто благодаря Teredo). Следующий вопрос будет неизменно: «Сколько стоит исправить это?» а затем «Сколько стоит блокировать его? Что мы теряем, если отключим его?» Угадайте, какое решение будет каждый раз.

Итог: чтобы ответить на ваш вопрос, да, усталость IPv4 реальна. И мы увидим довольно много механизмов для борьбы с ним. IPv6 может или не может оказаться уравнением.

Чтобы быть ясным: я не говорю, что я как эта ситуация. Я хотел бы, чтобы IPv6 преуспел (и я хотел бы увидеть ряд улучшений для IPv6). Я просто смотрю на ситуацию, как сейчас на земле.


5
2018-02-01 01:54



CGN, как и любой NAT, работает только с TCP, UDP и ICMP, а не с другими транспортными протоколами. Он также разбивает много протоколов прикладного уровня. NAT - уродливое решение, пытающееся расширить IPv4, и оно действительно пережило его полезность. - Ron Maupin
@RonMaupin: Какая реальная потребность в том, чтобы большинство 32-битных IP-адресов были глобально уникальными? Для устройств, которые подключаются к Интернету через одну точку, какие проблемы будут существовать с сохранением таблицы DNS-запросов, которые были выполнены через это соединение, и с первым возвратом возврата 10.0.0.1, затем 10.0.0.2 и т. Д., А затем сопоставление исходящий пакет, адресованный 10.0.0.1, независимо от того, какой внешний адрес был связан с первым поиском DNS и т. д.? - supercat
@supercat, IP-пакеты не имеют DNS-имен. Это будет другой протокол. Только протоколы TCP, UDP и ICMP работают с NAPT, другие - нет. Многие приложения и протоколы прикладного уровня не работают с NAPT, и им требуются уродливые хаки поверх уродливого взлома NAPT. Предпосылка IP заключается в том, что каждое конечное устройство имеет уникальный адрес, и вокруг него было разработано много протоколов. IPv6 решает эту проблему, а также некоторые недостатки IPv4. - Ron Maupin
@RonMaupin: если машина в моей локальной подсети выдает запрос DNS моему маршрутизатору для example.com, мой маршрутизатор мог бы ответить на это с помощью 10.0.0.1, наблюдая, что адрес IPv6 для example.com 1234: 5678: ABCD: EF90. Затем мой маршрутизатор мог принимать пакеты, которые мой хост отправляет в 10.0.0.1, и перенаправляет их на вышеупомянутый IPv6-адрес без локального устройства, которое выдало запрос DNS, который должен знать или ухаживать за тем, чтобы на внешнем устройстве был только IPv6-адрес. - supercat
@supercat, если это действительно так просто, не было бы причин для огромной установленной базы IPX-сетей для преобразования в IPv4. Вы можете делать то же самое между IPX и IPv4, и это было сделано какое-то время, но это просто kludge. - Ron Maupin


NAT - это то, что произошло, когда IPv6 была идеей, прежде чем это стало реальностью, и распределение IP-адресов стало реальной проблемой (кто-нибудь помнит, когда они раздавали класс C в основном для запроса?), И реальному миру нужно было решение в то же время ,

NAT недостаточно для IoT. Если IoT произойдет, это произойдет с IPv6. Характер IoT более тесно связан с тем, как работает мир коммутируемого доступа, за исключением того, что на несколько порядков будет подключено еще одно устройство.


-1
2018-01-30 08:21



Из быстрого поиска NAT, по-видимому, был первоначально определен RFC 1631 в мае 1994 года. IPv6 определен в RFC 1883, опубликованном в декабре 1995 года в качестве предлагаемый стандарт (что довольно далеко по стандартным трекам). Я не знаю, где вы рисуете линию между «идеей» и «реальностью», но в основном работает Код IPv6 почти наверняка существовал в тестовых стендах задолго до публикации RFC 1883. Сравните это с часто упоминаемым RFC 1918, который был опубликован в феврале 1996 года, через несколько месяцев после исходный IPv6 RFC. - Michael Kjörling
Стандарты бесполезны без внедрения, и реализация, которую потребители или предприятия готовы заплатить за это. Испытательные стенды и доказательства концепции не учитываются на рынке. Моя точка зрения о NAT заключается в том, что рабочие реализации достигли рынка (и, следовательно, стали тяговым), потому что существующее оборудование (и к тому времени имело его) все говорили на IPv4. Таким образом, речь шла скорее о «решении проблемы», теперь она позволяет работать над более актуальными проблемами ». - Xavier
@Xavier: 64K - это верхний предел, недоступный для устройства NAT. Например, все нижние порты под 1024 ограничены. И большинство NAT ограничивается диапазоном портов с высоким портом около 20K портов. И, конечно, проблема памяти: даже сегодня у нас есть маршрутизаторы, которые падают и перезагружаются, потому что кто-то пытался открыть 10 000 TCP-соединений одновременно. Глядя на вас, Google Домой. - Zan Lynx
@KevinKeane - потому что часть розыгрыша IOT позволяет подключаться к вашим устройствам извне. На данный момент, поскольку настройка NAT - это боль, которую производители устройств не хотят навязывать потребителям, мы часто делаем это через внешние «подключаемые» услуги, предоставляемые производителями устройств но это не является устойчивым долгосрочным, Все, что нужно, - это то, что производитель высокого профиля выходит из бизнеса, и вдруг все будут осторожны, полагаясь на то, что их устройства продолжают работать. Единственный способ, которым это будет продолжаться в долгосрочной перспективе, - это то, что большинство людей имеют IPv6. - Jules
@supercat - возможно, но пока что, кажется, еще менее вероятно, чем универсальная доступность IPv6 ... - Jules


Весь адрес IPv4-адреса довольно запутан. Вы можете найти статью, в которой сообщается, что она исчерпана, а другой говорит о большом количестве излишков (никогда не используемых) адресов, которые продаются с одной стороны на другую. Вопрос в том, почему они недоступны тем (развивающимся регионам и сельским районам развитых стран), которые им недоступны?

Ниже приводится результат исследования, в которое мы случайно вмешались. Он использует не что иное, как оригинальный протокол IPv4 RFC791 и длинный зарезервированный, но малоиспользуемый 240/4 адресный блок для расширения пула IPv4 на 256 М раз. Мы представили проект IETF проекта EzIP (фонетический для Easy IPv4):

https://tools.ietf.org/html/draft-chen-ati-adaptive-ipv4-address-space-03

В принципе, подход EzIP не только устранит проблемы нехватки адресов IPv4, но также позволит в значительной степени смягчить первопричину уязвимостей кибербезопасности, а также открыть новые возможности для Интернета, все они находятся в пределах домена IPv4. Фактически, эта схема может быть развернута «незаметно» для изолированных регионов, где это необходимо. Это должно уменьшить срочность развертывания IPv6 в течение значительного периода времени и сделать недействительным рынок торговли адресами IPv4.

Любая мысль или комментарий будут высоко оценены.

Абэ (2018-07-15 17:29)


-2
2017-07-15 21:31



ServerFault не является рабочей группой IETF. - womble♦