Portál AbcLinuxu, 12. května 2025 12:45
XKCD česky.
Překlady xkcd vycházejí se svolením původního autora. © Randall Munroe.
Překlad: Robert Krátký, písmo: Martin Stiborský
Uvedená práce (dílo) podléhá licenci Creative Commons Uveďte autora-Neužívejte dílo komerčně 2.5
14.3.2011 15:49
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
14.3.2011 21:06
Bedňa | skóre: 34
| blog: Žumpa
| Horňany
14.3.2011 09:14
Salamek | skóre: 22
| blog: salamovo
14.3.2011 10:49
Max | skóre: 72
| blog: Max_Devaine
<ipv6_admin> Nasazuji IPv6, chci rozchodit ... <ipv6_designer> Nelze, musíte všechno udělat jinak ... <ipv6_admin> S NATem to mnohem jednodušší. <ipv6_designer> NAT nebude. <ipv6_admin> No ale já chci dělat něco, s čím jste v návrhu nepočítali. <ipv6_designer> Na začátku jsme řekli že NAT nebude by design. Přeci nepřiznáme, že jsme to nedomysleli. <ipv6_admin> Však v počátcích IPv4 také NAT nebyl, vznikl až později. <ipv6_designer> NA IPv6 nebude nikdy. <ipv6_admin> Vůbec vás nezajímá, co potřebuju! <ipv6_designer> Ano, mám vás na háku, jde mi o akademicky čistý návrh IPv6. <ipv6_admin> V tom případě zůstávám u IPv4 jak nejdéle to půjde. <ipv6_designer> Málo adres, blekoty blekoty, bububu, konec světa, zemětřesení, apokalypsa! <ipv6_admin> Děkuji za rozhovor.
Výchozí bránu musím přenastavit na všech stanicích, aby věděly, kterou ze svých mnoha IP adres mají použít jako zdrojovou.Což uděláte změnou jednoho nastavení na routeru.
Takovou síť jsem administroval a vím o čem mluvím. Přínos rozhodně převýšil potíže. (Potíže se řešily výjimkami v pravidlech Squidu a NATu.)Jak jste řešil HTTPS? Jak jste řešil vynucení obnovení stránky?
Ano, proto mají Windows "privacy extensions"To nemají jen Windows, je to standard. A pořád vás nic nenutí používat zrovna tenhle způsob přidělování adres pro komunikaci s ostatními sítěmi.
Tři, čtyři adresy ve stejné síti u jednoho PC pak nejsou problém.No a co? Minimálně dvě IPv6 adresy na jedno zařízení budou běžný standard, pár dalších adres navíc bude asi také běžné.
Ovšem, řešit to samé NATem na routeru je v zásadě špatně že.Ano, jsou různé způsoby řešení nějakého problému, některé jsou vhodné, jiné méně.
Rozdíl je v tom, že ta druhá adresa je pak vidět na síti a vypadá jako další počítač.To je v pořádku.
Jak odlišíte adresu virtuálního počítače od fyzického?K čemu je to dobré?
S NATem to mnohem jednodušší. No ale já chci dělat něco, s čím jste v návrhu nepočítali.To je právě omyl těch, kteří jsou už NATem tak omámení, že si bez něj nedokážou svět představit. Spousta věcí se dá hloupě obejít NATem, ale NAT nikdy není správné řešení. Než na sebe složitě nabalovat další a další rychlé záplaty, je lepší problém vyřešit.
Což uděláte změnou jednoho nastavení na routeru.Ano, a následnou propagací do celé sítě. Pokud jsou v síti další routery, pak to musím přenastavit i u nich. No a je-li tím dalším routerem AP za 1500, které to neumí, tak se můžu jít klouzat.
Jak jste řešil HTTPS? Jak jste řešil vynucení obnovení stránky?HTTPS jsem neřešil (cca 50-70% provozu bylo HTTP, pak FTP, P2P). Obnovení stránky řeší Squid na základě hlaviček HTTP protokolu. Kde to nechodilo, tam výjimkou. (To je problém proxy serveru obecně, s NATem to nemá zhola nic společného.)
No a co? Minimálně dvě IPv6 adresy na jedno zařízení budou běžný standard, pár dalších adres navíc bude asi také běžné. Ano, jsou různé způsoby řešení nějakého problému, některé jsou vhodné, jiné méně.Proč je pět adres na každém PC v síti je vhodnější než jeden překlad 1:1 na routeru?
Abych splnil původní zadání: Odhalil cizí počítač v síti a zároveň nemusel registrovat virtuální počítače na povolených fyzických.Jak odlišíte adresu virtuálního počítače od fyzického?K čemu je to dobré?
To je právě omyl těch, kteří jsou už NATem tak omámení, že si bez něj nedokážou svět představit. Spousta věcí se dá hloupě obejít NATem, ale NAT nikdy není správné řešení. Než na sebe složitě nabalovat další a další rychlé záplaty, je lepší problém vyřešit.Spousta věcí se dá hloupě obejít více adresami, zatažením komplikací do celé sítě. Problémy je nejlepší řešit tam, kde vznikají. Firewall pro celou síť je na routeru. Záložní linka pro celou síť se řeší na routeru. Anonymizace celé sítě před vnějším světem patří logicky na router. Mimochodem, IPv4 na Linuxu umí NAT 1:1 - viz pravidlo NETMAP. Asi to někdo k něčemu potřeboval, tak to implementoval. Na IPv6 to dříve nebo později pár lidí udělá taky. Vznikne několik nezávislých implementací, bude v tom totální bordel. A ten bordel se pak vytesá do norem, jak už se to mnohokrát stalo.
Ano, a následnou propagací do celé sítě. Pokud jsou v síti další routery, pak to musím přenastavit i u nich. No a je-li tím dalším routerem AP za 1500, které to neumí, tak se můžu jít klouzat.Když chcete v síti používat automatickou konfiguraci, asi není moc rozumné pořizovat si zařízení, které to neumí.
Obnovení stránky řeší Squid na základě hlaviček HTTP protokolu.Opravdu? A kterých?
To je problém proxy serveru obecně, s NATem to nemá zhola nic společného.Není. Pokud prohlížeč ví, že komunikuje s proxy serverem, přizpůsobí tomu svou komunikaci a posílá hlavičky určené pro proxy server.
Proč je pět adres na každém PC v síti je vhodnější než jeden překlad 1:1 na routeru?Protože pět adres vyjadřuje příslušnost k pěti logickým sítím, zatímco překlad 1:1 představuje zbytečnou práci navíc a zdroj problémů.
Abych splnil původní zadání: Odhalil cizí počítač v síti a zároveň nemusel registrovat virtuální počítače na povolených fyzických.Nezamotal jste se do toho nějak? Na úrovni ethernetu putují sítí pakety s MAC adresami – pokud nějakou adresu neznáte, je to cizí počítač a zablokujete jeho provoz. Jedné MAC adrese pak může příslušet několik IP adres – třeba jedna pro fyzické rozhraní a druhá pro virtuální počítač.
Spousta věcí se dá hloupě obejít více adresamiTo možná. Ale hlavně spousta věcí přirozeně vede na více adres, a dnes se to nepoužívá jen z toho důvodu, že adres je nedostatek.
Anonymizace celé sítě před vnějším světem patří logicky na router.Tak si tam nastavte přidělování adres, které v IPv6 adrese neprozrazuje MAC adresu, a máte hotovo.
Na IPv6 to dříve nebo později pár lidí udělá taky. Vznikne několik nezávislých implementací, bude v tom totální bordel. A ten bordel se pak vytesá do norem, jak už se to mnohokrát stalo.Nebo se ukáže, že to používají pouze bordeláři, kteří se na sepsání žádné normy nezmohou. Je to stejné, jako snahy některých o to, aby běžný uživatel normálně pracoval pořád pod rootem. Taky je to jednodušší, „dělá to tak každý“ – a když se to někdo pokouší systémově zavést, buď to vzdá dřív, než to pochopí, nebo k tomu, aby to mohl realizovat, toho musí nastudovat tolik, že pochopí, v čem je ten jeho přístup špatný a proč je „složitý“ přístup s odděleným rootem naopak jednodušší a lepší.
Když chcete v síti používat automatickou konfiguraci, asi není moc rozumné pořizovat si zařízení, které to neumí.Já chci používat laciné zařízení, automatická konfigurace mě nezajímá. Nicméně máte pravdu, při výběru zařízení pro IPv6 je potřeba si dávat sakra pozor.
V HTTP/1.1 je to hlavička "cache-control". Starší HTTP/1.0 používá "Expires" a "Pragma:no-cache". Prohlížeč to musí posílat vždy, protože cache bývá i na straně HTTP serveru.Obnovení stránky řeší Squid na základě hlaviček HTTP protokolu.Opravdu? A kterých? ... Pokud prohlížeč ví, že komunikuje s proxy serverem ... posílá hlavičky určené pro proxy server.
... pět adres vyjadřuje příslušnost k pěti logickým sítím, zatímco překlad 1:1 představuje zbytečnou práci navíc a zdroj problémů.Ta síť je ale jen jedna. Přidávat další logické sítě mi moc logické nepřijde. Na routeru je obvykle stavový firewall, který si pamatuje všechna navázaná spojení. Překlad adres tak není téměř žádná režie navíc. Zdroj problémů to je, to ovšem rekonfigurace sítě za chodu taky.
Nezamotal jste se do toho nějak? Na úrovni ethernetu putují sítí pakety s MAC adresami – pokud nějakou adresu neznáte, je to cizí počítač a zablokujete jeho provoz. Jedné MAC adrese pak může příslušet několik IP adres – třeba jedna pro fyzické rozhraní a druhá pro virtuální počítač.Filtrování na základě MAC adres není bezpečné. Měl jsem na mysli IPsec, kdy má každý počítač jeden certifikát a jednu adresu autorizovanou v síti. Pokus o autorizaci další adresy s už použitým certifikátem pak jasně ukazuje na krádež toho certifikátu. S IPv6, kde má jedno rozhraní více adres, něco takového zjevně udělat nejde. No nic.
No, tak s tím si dovolím mírně nesouhlasit. Řekl bych, že spousta věcí v návrhu IPv6 vede zcela nepřirozeně na více adres.Spousta věcí se dá hloupě obejít více adresamiTo možná. Ale hlavně spousta věcí přirozeně vede na více adres, a dnes se to nepoužívá jen z toho důvodu, že adres je nedostatek.
Ano, to beru. (Pokud nebudu chtít zamaskovat, že se za jednou IP skrývá více počítačů.)Anonymizace celé sítě před vnějším světem patří logicky na routerTak si tam nastavte přidělování adres, které v IPv6 adrese neprozrazuje MAC adresu, a máte hotovo.
Ona norma IPv6 je už teď bordel sám o sobě. Jestli další přidaný bordel bude s normou nebo bez, je už vedlejší.... bude v tom totální bordel. A ten bordel se pak vytesá do norem...Nebo se ukáže, že to používají pouze bordeláři, kteří se na sepsání žádné normy nezmohou.
Pokus o autorizaci další adresy s už použitým certifikátem pak jasně ukazuje na krádež toho certifikátu.
16.3.2011 11:39
pavlix | skóre: 54
| blog: pavlix
No dobře, špatný příklad. To nic nemění na tom, že IPv6 mohl být navržený lépe (viz jiný můj příspěvek někde jinde v této diskusi).Klasický uzávěrový nic neříkající příspěvek. Pokud mohl být navržen lépe, mohl jsi se na tom podílet. IETF je relativně otevřená společnost, a i kdybyses nedostal k psaní standardů (třeba kvůli nedostatku času), příležitost ke komentářům by ti kupodivu dali i návrháři IPv6 z velkých firem, jako je třeba Cisco (to k tvé poznámce o akademicích někde výše). Podle mě je IPv6 navrženo dobře, na to, že jde o divokou migraci, kterou koncoví zákazníci podporují až z nutnosti a ne plánovitě s několikaletým předstihem. Přecejenom se jedná o Internet, relativně decentralizovanou společnost (teď nemám namysli ani tak topologii sítě). Ale pokud to umíš líp, jistě můžeš začít psát relevantní komentáře i teď, místo těch kravin, co tu padly. (Jestli jsi měl v něčem pravdu, tak se to ztratilo v hromadě balastu.)
Klasický uzávěrový nic neříkající příspěvek.Přesně tak. Nemám už co říci a hodlám diskusi uzavřít.
Pokud mohl být navržen lépe, mohl jsi se na tom podílet.V době, kdy návrh vznikal, jsem se o sítích teprve učil. Předpokládal jsem, že IPv6 bude drobná evoluce jen rozšiřující délku adresy a řešící některé známé potíže s IPv4. Nijak se tím nezabýval. Ano, byl to omyl.
Ale pokud to umíš líp, jistě můžeš začít psát relevantní komentáře i teď, místo těch kravin, co tu padly.Kraviny, které jsem napsal, byly vyvráceny dalšími diskutujícími, za což jim tímto děkuji. Relevantní komentáře kolem IPv6 NATu 1:1, potíží s autokonfigurací už byly napsány jinými, mnohem fundovanějšími než já. Některé problémy stále vyřešené nejsou a nepochybně budou. Do té doby je ale předčasné tvrdit, zda-li je IPv6 NAT kravina, nebo není.
Předpokládal jsem, že IPv6 bude drobná evoluce jen rozšiřující délku adresy a řešící některé známé potíže s IPv4.Což se také stalo. K tomu se pak následně přidávají další standardy, které už netvoří tenhle základ, ale standardizují věci, které se v IPv4 dělají živelně. Ale když zapomenete na ty různé autokonfigurace atd., dostanete přesně to IPv4 s větší adresou a drobnými úpravami.
Já chci používat laciné zařízení, automatická konfigurace mě nezajímá.Vždycky je to něco za něco. Nejlacinější je samozřejmě nebýt k internetu připojen vůbec.
V HTTP/1.1 je to hlavička "cache-control". Starší HTTP/1.0 používá "Expires" a "Pragma:no-cache". Prohlížeč to musí posílat vždy, protože cache bývá i na straně HTTP serveru.Hlavičky týkající se cache některé prohlížeče posílají jen v případě, kdy komunikují s cache. Cache na straně serveru je jen implementační detail, z pohledu komunikace je to pořád server.
Na routeru je obvykle stavový firewall, který si pamatuje všechna navázaná spojení.Proč?
Měl jsem na mysli IPsec, kdy má každý počítač jeden certifikát a jednu adresu autorizovanou v síti. Pokus o autorizaci další adresy s už použitým certifikátem pak jasně ukazuje na krádež toho certifikátu. S IPv6, kde má jedno rozhraní více adres, něco takového zjevně udělat nejde.Pokud si vytvoříte politiku, že jedné IP adrese odpovídá jeden certifikát, musíte pak vydat certifikát pro každou adresu. To je celkem logické. A platí to stejně s IPv4 jako s IPv6.
Řekl bych, že spousta věcí v návrhu IPv6 vede zcela nepřirozeně na více adres.Co je na tom nepřirozeného? To, že jeden objekt má více adres, je zcela normální – platí to u lidí, u domů, u DNS názvů… Mimochodem, NAT rovněž zavádí další adresu síťového rozhraní (i když záleží na typu NATu, některé zavádí takové různé podivné sdílené adresy).
Pokud nebudu chtít zamaskovat, že se za jednou IP skrývá více počítačů.To se vám stejně nepodaří.
Ona norma IPv6 je už teď bordel sám o sobě.Zvláštní je, že se tohle tvrzení vždy objevuje bez podpůrných argumentů, případně s argumentem „já chci mít v síti bordel, a ono mne to pořád cpe do čistých řešení“.
Nejlacinější je samozřejmě nebýt k internetu připojen vůbec.Omyl. Internet v domácnosti ušetří docela dost peněz.
Hlavičky týkající se cache některé prohlížeče posílají jen v případě, kdy komunikují s cache ...To platí možná pro některé zastaralé prohlížeče, které nemají správně implementované HTTP/1.1. (Ve starších normách se s cacheováním nepočítalo.) Cache na straně serveru je stejná jako každá jiná, pokud chce klient ne-cacheovanou kopii, musí to jasně říci.
Aby rozeznal pakety patřící k navázaným spojením od těch ostatních, milý Watsone.Na routeru je obvykle stavový firewall, který si pamatuje všechna navázaná spojení.Proč?
Pokud si vytvoříte politiku, že jedné IP adrese odpovídá jeden certifikát ...Odvolávám, už mě nemučte.
Co je na tom nepřirozeného? To, že jeden objekt má více adres, je zcela normální ...No, já mám tedy jen jednu adresu, stejnou pro úřady, Českou poštu i PPL. U IP sítí je to spíš věc pocitu a zvyku, než nějaká "přirozenost" a dokážu se s tím smířit.
Když se budu trochu víc snažit, tak podaří.Pokud nebudu chtít zamaskovat, že se za jednou IP skrývá více počítačů.To se vám stejně nepodaří.
Tak mi dejte jednu rychlou odpověď: Mám používat autokonfiguraci, nebo DHCPv6?Ona norma IPv6 je už teď bordel sám o sobě.Zvláštní je, že se tohle tvrzení vždy objevuje bez podpůrných argumentů ...
To platí možná pro některé zastaralé prohlížečeAno, například Firefox 3.6.
Cache na straně serveru je stejná jako každá jináNení. Keš na straně serveru ví, co se změnilo a co ne, protože je součástí serveru. Mezilehlá keš to vědět nemůže. Pokud vám to není zřejmé na kešování, představte si to na autentizaci – přihlašovací údaje po vás může požadovat jak proxy server, tak cílový server. Prohlížeč je musí umět rozlišit a každé údaje posílá v jiné hlavičce.
Aby rozeznal pakety patřící k navázaným spojením od těch ostatních, milý Watsone.To je vskutku překvapivé. A proč je potřebuje rozpoznat? Aby mohl blokovat pakety, které nepatří do navázaných spojení. A proč má firewall takové pakety blokovat? No, jen tak, proč by ne?
No, já mám tedy jen jednu adresu, stejnou pro úřady, Českou poštu i PPL.Opravdu? A kterou adresu myslíte – obec, ulici a číslo orientační, nebo obec a číslo popisné, nebo PSČ, ulici a číslo orientační, nebo některou z dalších kombinací? A když budete vysvětlovat řidiči z PPL, kde to v ulici najde, nepoužijete spíš další adresu, že je to ten velký žlutý barák kousek za školou?
Když se budu trochu víc snažit, tak podaří.A když se bude trochu víc snažit protivník, tak stejně zjistí, že je tam těch počítačů schovaných víc.
Mám používat autokonfiguraci, nebo DHCPv6?To záleží na konkrétní situaci. Mám já v IPv4 používat ručně přidělené IP adresy nebo DHCP?
Ano, například Firefox 3.6.Nainstalujte wireshark. Spusťte wireshark. Nastavte filtr na tcp port 80. Spusťte zachytávání. Udělejte refresh stránky (F5). Zastavte zachytávání. Klikněte pravým tlačítkem myši na jedno ze zachycených TCP spojení a z pop-up menu vyberte "Follow TCP stream". Zobrazí se okno s červenými řádky, pak jedním prázdným a dalšími modrými. (To červené na začátku poslal Váš prohlížeč, to modré pod tím mu přišlo zpátky od serveru.) Poslední z těch červených řádků si velmi pozorně prohlédněte.
Keš na straně serveru ví, co se změnilo a co ne, protože je součástí serveru.Cache na straně serveru (např. Squid) může klidně běžet i na jiném stroji, než samotný HTTP server (např. Apache) a nevědět o něm vůbec nic.
... Aby mohl blokovat pakety, které nepatří do navázaných spojení. A proč má firewall takové pakety blokovat? No, jen tak, proč by ne?Ano, firewall překvapivě je od toho, aby některé vybrané pakety blokoval. Například dost často se používá tak, že umožní navázat TCP spojení z lokální sítě do internetu, ale ne naopak. Pakety patřící k těm co šly předtím ven se pouštějí, ty ostatní ne.
Opravdu? A kterou adresu myslíte – obec, ulici a číslo orientační, nebo obec a číslo popisné, nebo PSČ, ulici a číslo orientační, nebo některou z dalších kombinací?Jméno na schránce/zvonku, ulici, číslo popisné lomeno číslo orietnační, obec a PSČ. Po vyhození redundantní informace je to stále tatáž adresa. IP adresa redundantní informace nemá, tedy se uvádí vždy celá.
A když budete vysvětlovat řidiči z PPL, kde to v ulici najde, nepoužijete spíš další adresu, že je to ten velký žlutý barák kousek za školou?Ano, máte pravdu. Do města dojede podle adresy na balíku. A pak se zeptá někoho kolemjdoucího, kde že je ta ulice "Revoluční". On odpoví "Revoluční, to je tudy rovně až ke škole, pak doprava a tam se doptáte." Řidič tam dojede a zeptá se někoho dalšího: "Kde je číslo orientační 19?". "Až támhle vzadu, ted žlutej barák, mladej pane." Jinak řečeno, nechá si tu adresu na balíku (paketu) přeložit z poštovní (veřejné) adresy na lokální popis (privátní adresu 192.168.xx.xx). Počkat, tak jste to si nemyslel, že?
Pokud jsou v síti další routery, pak to musím přenastavit i u nich.
Abych splnil původní zadání: Odhalil cizí počítač v síti a zároveň nemusel registrovat virtuální počítače na povolených fyzických.
16.3.2011 11:42
pavlix | skóre: 54
| blog: pavlix
Jinými slovy admin je líný prase, který chce mít co nejmíň práce a tak místo aby udělal něco pořádně, tak to nějak zpatlá, veme rovnák na vohejbák a hle, ono to nějak chodí... a když mu někdo ten rovnák na vohejbák sebere, tak začne kolem sebe vztekle křičet a mermomocí chce po každym, aby mu dal nový... Nebo-li proč to dělat pořádně, když se to dá zpatlat o trochu rychleji, že?<ipv6_admin> Nasazuji IPv6, chci rozchodit ... <ipv6_designer> Nelze, musíte všechno udělat jinak ... <ipv6_admin> S NATem to mnohem jednodušší. <ipv6_designer> NAT nebude. <ipv6_admin> No ale já chci dělat něco, s čím jste v návrhu nepočítali. <ipv6_designer> Na začátku jsme řekli že NAT nebude by design. Přeci nepřiznáme, že jsme to nedomysleli. <ipv6_admin> Však v počátcích IPv4 také NAT nebyl, vznikl až později. <ipv6_designer> NA IPv6 nebude nikdy. <ipv6_admin> Vůbec vás nezajímá, co potřebuju! <ipv6_designer> Ano, mám vás na háku, jde mi o akademicky čistý návrh IPv6. <ipv6_admin> V tom případě zůstávám u IPv4 jak nejdéle to půjde. <ipv6_designer> Málo adres, blekoty blekoty, bububu, konec světa, zemětřesení, apokalypsa! <ipv6_admin> Děkuji za rozhovor.
Prostě to berte tak, že na pojem "čisté a pořádné řešení" mám poněkud jiný názor.Ano, to vidím - a z mého pohledu naprosto zcestný. Ty nesmyslné plky v prvním odstavci vašeho příspěvku mi dávají za pravdu.
IPv6 je tak čisté a pořádné řešení, že má pro jistotu dvě metody na přidělení adres - autokonfiguraci a DHCPv6.No a?
Třešinkou na dortu je defaultní nastavení preferovat IPv6 před IPv4.Jistě, takže když už máme IPv6 obsah, tak to radši budeme dále honit přes IPv4 NAT, že? Obzvláště, aby se na případný problém přišlo co nejpozději...
První nepovedený pokus o přidání IPv6 do funkční IPv4 pak rozbije i to, co dřív fungovalo.Od toho se to má také testovat a ano, trvá to nějakou dobu. Teď ten čas na testování ještě je - až to necháte do chvíle, kdy už IPv4 adresy nebudou, tak podobné potíže vám budou činit opravdu problém...
Neznalý admin je tak řádně potrestán, že se k IPv6 vůbec přiblížil.Neznalý admin nemá vůbec co adminovat... Rádobyadmini, co uměj nainstalovat windows klikáním na tlačítko Next a myslí si, jaký jsou borci, mám opravdu nejraději...
Prostě to berte tak, že na pojem "čisté a pořádné řešení" mám poněkud jiný názor.Zajímavé je, že snad neznám nikoho v nějaké větší (z hlediska provozu) síti, kdo by měl s designem IPv6 problém... Zatímco patlalové, kteří na panelák namontovali anténu, dali k ní AP za 500,- a hle, on tam lidem internet nějak funguje, si hned myslí, jaký jsou velcí ISP a přesně ví, co kdo v návrhu IPv6 potentoval a jak by to bylo mnohem lepší...
Jistě, takže když už máme IPv6 obsah, tak to radši budeme dále honit přes IPv4 NAT, že?Ano, přesně tak. Co funguje, na to se nesahá. Až místo líného IPv6 tunelu získáme nativní konektivitu, všechno bude výborně fungovat a bude to lepší než ten hnusný NAT, tak to přehodíme. Ideálně jednou volbou v nastavení autokonfigurace/DHCP na routeru.
Neznalý admin nemá vůbec co adminovat... Rádobyadmini, co uměj nainstalovat windows klikáním na tlačítko Next a myslí si, jaký jsou borci, mám opravdu nejraději...Takže účelem nasazování IPv6 je nachytat špatné a líné adminy? Tak to pardón, to jsem netušil.
Ano, přesně tak. Co funguje, na to se nesahá. Až místo líného IPv6 tunelu získáme nativní konektivitu, všechno bude výborně fungovat a bude to lepší než ten hnusný NAT, tak to přehodíme. Ideálně jednou volbou v nastavení autokonfigurace/DHCP na routeru.To že spousta lidí vám podobných odkládá přechod na IPv6 jak nejdýl to půjde a mezitím někdo přišel alespoň s tunelama, aby to aspoň nějak fungovalo, bych nevinil, že je chyba návrhu IPv6 ani jeho konkrétních implementací... Až se všichni přestanou vymlouvat na blbosti jako NAT a konečně něco udělají, tak ty tunely potřeba nebudou (a ano, jedna volba v autokonfiguraci na routeru na to bude stačit)
Takže účelem nasazování IPv6 je nachytat špatné a líné adminy? Tak to pardón, to jsem netušil.Admin, co nic o sítích neví a nechce se to učit, se má sebrat a jít dělat nějakou práci, které rozumí. Opravdu nevím, jakou vinu nesou návrháři IPv6 za to, že v ČR správu sítí dělá každej Pepa, co umí nastavit na Windowsech IP adresu - IPv6 nemá nikoho nachytávat - tyhle lidi to prostě nemají dělat.
Admin, co nic o sítích neví a nechce se to učit ... tyhle lidi to prostě nemají dělat.Ale tyhle lidi to dělají, protože to nedělá nikdo jiný. Kdyby někdo vedle nich nabídl lepší službu za stejné peníze, šli by od válu. Jenže opravdu dobrých adminů je sakra málo, tak to holt dělají i tupci, "páč se to vyplatí".
To že spousta lidí vám podobných odkládá přechod na IPv6 jak nejdýl to půjde ...Ano, "mě podobní" přejdou, až jim to přinese víc užitku než komplikací. Méně komplikací znamená, že přejdou dříve. Tím, že přejdou, začnou být na IPv6 užiteční pro další, co ještě váhají a ti se pak přidají také. Každá komplikace rozvoj IPv6 brzdí. Pokud by IPv6 NAT usnadnil přechod, bylo by to jen dobře. Po čase by mohl vymřít spolu s tunely, teredem a dalšími přechodovými opičárnami.
Ale tyhle lidi to dělají, protože to nedělá nikdo jiný. Kdyby někdo vedle nich nabídl lepší službu za stejné peníze, šli by od válu. Jenže opravdu dobrých adminů je sakra málo, tak to holt dělají i tupci, "páč se to vyplatí".Ale oni jsou lidi, co to za stejné peníze udělají pořádně (leckdy i levněji), jenom prostě zákazníci nebo jejich nadřízení o tom obvykle ví kulové, takže těžko přichází na to, že jsou břídilové... Ale ať tak či tak je to neomlouvá, že se hrabou do něčeho na co nemaj. Možná jsem naivní, ale zastávám názor, že lidé mají dělat to co umí a co je baví. Já sám bych taky nešel dělat něco, co prostě neumím.
Ano, "mě podobní" přejdou, až jim to přinese víc užitku než komplikací. Méně komplikací znamená, že přejdou dříve. Tím, že přejdou, začnou být na IPv6 užiteční pro další, co ještě váhají a ti se pak přidají také. Každá komplikace rozvoj IPv6 brzdí. Pokud by IPv6 NAT usnadnil přechod, bylo by to jen dobře. Po čase by mohl vymřít spolu s tunely, teredem a dalšími přechodovými opičárnami.A já zase chci, aby když se to předělává, tak se to udělalo dobře a pořádně. Nechci zpatlanou síť jenom kvůli tomu, že takhle ten přechod byl jednodušší. A že by usnadnil přechod a pak vymřel? Cha, mám zrovna skoro takovej pocit, že jsem někde v téhle diskuzi viděl tu slavnou větu "Co funguje, na to se nešahá." Jinými slovy dovolte jim to zprasit a už to nikdy nikdo pořádně neudělá :)
Takže účelem nasazování IPv6 je nachytat špatné a líné adminy? Tak to pardón, to jsem netušil.Poč překrucujete jeho slova? Nic takového neřekl, účelem to rozhodně není, ale já osobně to beru jako vítaný bonus :-P
17.3.2011 19:38
pavlix | skóre: 54
| blog: pavlix
Zkomplikovat špatným a líným adminům práci znamená, že na IPv6 přejdou později.Což pro nás, co s IPv6 umíme znamená výhodnější podmínky na trhu :).
IPv6 je tak čisté a pořádné řešení, že má pro jistotu dvě metody na přidělení adres - autokonfiguraci a DHCPv6. Obojí se dá všelijak nastavovat a dokonce i (jako adrenalinová zábava) použít obojí zároveň.IPv4 má pro jistotu také dvě metody přidělení adres, a obě se dokonce dají použít zároveň. Pokud tedy „má“ znamená „běžně se používá“.
Transparentní proxy, jak jsem se právě dozvěděl, se ruší by design.Neruší. Akorát to zůstává stále stejně nešikovné řešení, jako s IPv4.
Na oplátku je implementován a všude zakázán source-routing.Chtělo by to čerstvější informace – source-routing je v IPv6 zrušen. Nejsem si jist, jak je to u IPv4, zda naopak tam stále ještě není součástí norem.
Třešinkou na dortu je defaultní nastavení preferovat IPv6 před IPv4.Defaultní nastavení kde? Dokážete rozlišit mezi protokolem a konfigurací nějaké jeho implementace? Defaultní nastavení firewallu Windows bylo nebo je zahazování ICMP paketů – je to chyba protokolu IPv4?
16.3.2011 11:49
pavlix | skóre: 54
| blog: pavlix
Pv6 je tak čisté a pořádné řešení, že má pro jistotu dvě metody na přidělení adres - autokonfiguraci a DHCPv6.A za to autory IPv6 chválím. Ve skutečnosti se na to, pokud se něco ve standardech nezmění, dá nahlížet jako na jednu metodu se dvěma mechanismy.
Obojí se dá všelijak nastavovat a dokonce i (jako adrenalinová zábava) použít obojí zároveň.Existuje nějaký důvod to explicitně zakázat?
Transparentní proxy, jak jsem se právě dozvěděl, se ruší by design.Ona se neruší, jen jsi se bavil s lidma, kteří transparentní proxy nechtějí. Návrháři IPv6 nikomu použití transparentní proxy nezakazují, stejně jako návrháři IPv4 nezakazovali. Spíš bych řekl, že to ani jedny z nich nezajímá/nezajímalo.
Třešinkou na dortu je defaultní nastavení preferovat IPv6 před IPv4.Vždy se má preferovat novější protokol, pokud není speciální důvod dělat to jinak.
První nepovedený pokus o přidání IPv6 do funkční IPv4 pak rozbije i to, co dřív fungovalo.Jo, kde je admin blbec, tam už nepomůže ani svěcená voda. Navíc se to nerozbije úplně, při nefunkci IPv6 programy zkouší i IPv4. (Ano, domácí síť si taky umím takhle rozbít, nebo v noci testovací kus ISP sítě, ale nejsem pako, abych za to nadával tvůrcům IPv6.)
Neznalý admin je tak řádně potrestán, že se k IPv6 vůbec přiblížil.Neznalý admin je potrestán, že na živé síti přiděluje koncovým počítačům adresy protokolu, který nedokázal zprovoznit. Trest zcela zaskoužený, bohužel tím trpí jiní.
Prostě to berte tak, že na pojem "čisté a pořádné řešení" mám poněkud jiný názor.Názor člověka, který svoji vlastní neschopnost hází na jiné, je v tomhle případě naprosto irelevantní.
16.3.2011 12:02
pavlix | skóre: 54
| blog: pavlix
Naše debata nikam nevede, takže ji uzavřu krátkou fiktivní citací z rozepře mezi administrátorem sítě a návrhářem IPv6.Ono když chceš pouze zvítězit a přesvědčit ostatní, že jsou blázni, jenom ty jsi letadlo... K tomu fiktivnímu rozhovoru, dokážu ti vymyslet dalších deset, kde "děkuji za rozhovor" bude říkat IPv6 designer :). Mimochodem, jsem IPv6 admin a tyhle problémy nemám. Designer nejsem.
16.3.2011 11:02
pavlix | skóre: 54
| blog: pavlix
Virtualizovaný OS, jak víme, komunikuje přes virtuální síťovku. Virtuální síťovka (jako každá síťovka) má nějakou unikátní IPv6 adresu. Tedy, virtualizační software musí převádět spojení z adresy virtuální síťovky na adresu té skutečné. Pokud zdrojový port a cílová adresa/cílový port koliduje s existujícím spojením hostitele, musí přečíslovat i ten zdrojový port. Tomu se říká překlad adres, neboli NAT, milý Watsone.Virtualizovaný OS, jak víme, funguje i bez NATU.
14.3.2011 21:45
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Například jakou vlnovou délku používá mikrovlnka?To je zakořeněné hlouběji, kdysi prostě někdo prohlásil, že 300 MHz - 3 GHz (1 m - 10 cm) budou mikrovlny.
.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.