Но на прошлой неделе региональный интернет-регистратор Internet Addresses Registry for Latin America and the Caribbean (LACNIC) объявил о запуске третьей фазы распределения оставшихся сетевых адресов (подробнее здесь). Теперь получить блок адресов IPv4 могут только те компании, которые раньше их никогда не получали.
/ Flickr / Siyamalan / CCВсе это означает, что у LACNIC осталось 4 698 112 публичных адресов IPv4, хотя это количество может немного увеличиться, поскольку пространство периодически высвобождается. При этом интернет-регистратор будет выдавать максимум по 1024 адреса за один раз.
Представители организации впервые сообщили о том, что адресное пространство заканчивается, еще в 2014 году. И сейчас LACNIC — это один из последних регистраторов, оставшихся «на плаву». Адреса APNIC закончились в 2011, RIPE — в 2012, а у ARIN «запасы» вышли в сентябре 2015 года.
Публичные адреса еще остались в Африке, однако даже AFRINIC предупреждает о том, что ресурс заканчивается. Начальный прогноз регистратора о том, что адреса кончатся в 2020 году, недавно был скорректирован — теперь в качестве финальной даты значится 2019 год. Просмотреть отчеты о количестве доступных IPv4-адресов вы можете с помощью инструментов по ссылке.
В свете этих событий представители LACNIC подталкивают сообщество к переходу на протокол IPv6, чтобы провайдеры и другие организации дальше могли успешно обслуживать своих клиентов: как старых, так и новых, которые подключатся в будущем.
О чем еще мы пишем в блоге VAS Experts:
- «Эхо прошлых лет»: Как решается вопрос недостатка адресов IPv4
- «Везде на связи»: Интернет на воде, в воздухе и космосе
- «Битва за место»: Ученые надеются уменьшить количество проводов в ЦОД
- Новые возможности продукта СКАТ DPI 6.0 «Севастополь» от VAS Experts
- AT&T готовится запустить интернет по линиям электропередач
- «DPI платит за себя»: Актуальные бизнес-кейсы
- Немного об истории CAPTCHA
Комментарии (80)
citius
21.02.2017 13:56+2Как я понимаю, в принципе к переходу на IPv6 многие уже готовы, однако вменяемых усилий по наладке связности никто особо не прилагает.
Простой пример из своей практики: есть две площадки дедиков, обе в Нидерландах. Хостеры разные, ДЦ разные.
И там и там дают IPv6.
Простая проверка пары серверов iperf-ом выдает гигабит по IP4, и какие-то дикие скачки по IP6. То 800 мегабит, то 100 мегабит.
Там же при внедрении новой платформы с виртуалками начались странные глюки — центос не может нормально обновиться, пакеты качаются 70-80 килобайт в секунду.
Сначала пинал хостера, думал проблемы с каналом.
Ан нет, по IP4 все опять летает.
В общем плохо пока все. :(k0ldbl00d
21.02.2017 14:08Проблемы со связностью почти нет. Практически все российские операторы, а тем более зарубежные поддерживают транзит v6. Сложности сейчас есть именно на уровне доступа — не все клиентские устройства корректно работают с v6. Я лично сталкивался с тем, что дешёвые роутеры зависают, получив IPv6-префикс через PPPoE-соединение. Кроме того, мало кто из рядовых пользователей понимает разницу. Опять же, техподдержку нужно переучивать — траблшутить гораздо больше. Не все операторы ШПД готовы к таким сложностям.
С другой стороны удивляет почему некоторые крупные организации, такие как, например, Сбербанк до сих пор не используют на своих веб-сервисах IPv6.
acmnu
21.02.2017 14:44+5А смысл Сбербанку этим заниматься? Тут ведь проблема в том, что дифицита у провайдеров пока нет, да и не скоро будет. Не может провайдер просто взять и выключить поддрежку v4 для своих клиентов, даже после того как сделает v6. А значит связность v4 будет ещё долго, а значит крупному сайту, не связанному с IT просто нет никакого интереса заниматься этим, исследовать, инвестировать. Это не задача Сбербанка. Он перейдет на ipv6 просто за компанию при смене поколения оборудования: лет через 7-10.
k0ldbl00d
21.02.2017 15:24+1Получается круговая порука: (сферическому в вакууме) «Сбербанку» IPv6 не нужно, потому что нет у клиентов, а клиентов не интересует потому что нет у «Сбербанка». Заниматься нужно, потому что пока поставщики сервисов затягивают с IPv6, провайдеры даже думать не будут о переводе своих клиентов на чистый IPv6.
VolCh
21.02.2017 20:56Клиентам вообще до фени. Круг между провайдерами доступа и сервисов. Клиенты зачешутся когда кто-то из обломит с доступом к сервису. Но выберут нового провайдера доступа или сервиса — неизвестно.
Delagen
21.02.2017 19:22+1Только почему то провайдеры не спешат раздавать ipv6 адреса. Ростелеком вообще на это забил.
BigD
21.02.2017 22:44У Онлайма вроде все работает из коробки
immaculate
22.02.2017 08:12Нет, у меня ОнЛайм и ipv6 не работает. На форумах они пишут, что поддержки ipv6 у них нет.
Envek
24.02.2017 19:47Она у них есть, но неофициально и не везде. И чинят они её в последнюю очередь, если вдруг что (недели две сидел без IPv6 после какой-то аварии). Но она всё же скорее есть, чем нет. Надеюсь, они её сделают официальной (а ещё после этого подключат мой новый старый дом к себе).
pupsegadm
21.02.2017 19:22Сбербанк настолько большой и моструозный, что никакая централизация и апгрейд им уже не поможет. Система достраивалась и улучшалась, поглощая уже созданные ошибки. Греф в когда-то в интервью это признал.
Большая часть финансовых институтов — готова к ipv6.
Alukardd
22.02.2017 10:14+1Да ладно!
Печально всё со стабильностью IPv6 даже у Tier-I операторов и peer'инговых сетей. То связность рвётся, то потери дикие. Я уж не говорю про то, что поддержкой и восстановлением работоспособности IPv6 сетей занимаются значительно более лениво.k0ldbl00d
22.02.2017 10:54Что-то вы какие-то дикие вещи рассказываете. Потери от протокола вообще не зависят. Если проблемы с физикой — то они и на v4 и на v6 будут одинаковые. Особенно у пиринговых сетей.
Alukardd
22.02.2017 14:30Я рассказываю по факту того что имею.
Я не знаю одну ли они физику используют под IPv6 и IPv4 или всё же в каких-то узлах трафик разведён.
Ну и да, малейшие косяки в хождение нашего v6 трафика мне сразу видны, т.к. мы по нему гоняем служебный траф между ДЦ. Перестроение отдельных v4 маршрутов мне менее заметно, да и проблемы с какой-нить одинокой удалённой /22 сеткой мы вообще можем не заметить.k0ldbl00d
25.02.2017 09:59Ни один здравомыслящий оператор не будет для IPv6 городить отдельную физику. Это нерационально. По крайней мере, я таких в своей практике не встречал пока.
Massacre
27.02.2017 13:29Там несколько другая проблема, для ipv6 могут просто использоваться другие аплинки, у которых и будут проблемы с физикой, или просто с BGP, к примеру.
k0ldbl00d
28.02.2017 13:00Конечно, далеко не все провайдеры IP-транзита поддерживают IPv6, и вполне логично что при наличии нескольких апстримов не все из них могут поддерживать v6. Кроме того, не все из их пиров поддерживают v6, так что связность естественно будет меньше чем у v4. Но если уж есть проблемы с физикой — то они отразятся и на v4, если конечно апстрим не используется как IPv6-only. Но как вы считаете, много ли в реальной жизни таких сценариев?
По поводу ошибок в настройке BGP — согласен с вами, поскольку для v4 и v6 конфигурации будут почти полностью отдельные, за исключением некоторых «общих» элементов.
Кроме того следует не забывать про ошибки в софте. Я встречал случай, когда маршрутизатор с устаревшей прошивкой корректно работал на v4, но на v6 в пиринговых вланах IX-ов мог начать ни с того ни с сего отсылать «кривые» neighbor discovery, из-за чего у других клиентов IX-а возникали проблемы.VolCh
01.03.2017 16:49Но если уж есть проблемы с физикой — то они отразятся и на v4, если конечно апстрим не используется как IPv6-only.
Апстрим может быть резервным или просто малоприоритеным для v4 и основным (хотя бы по причине отсутствия других) для v6
Zverienish
22.02.2017 07:28У многих роутеры дома или в организациях стоят не новые, не имеющие поддержку IPv6.
k0ldbl00d
21.02.2017 14:03+3А каким образом большинство читателей хабра волнуют проблемы LACNIC или AFRINIC? У RIPE NCC уже давно действует политика «last /22», т.е. при регистрации LIR ему выделяется так называемый final allocation, и всё. Но никто не запрещает купить v4-адреса, предложений масса.
navion
21.02.2017 22:01Продажу уже легализовали или всё ещё действуют какие-то мутные схемы?
k0ldbl00d
22.02.2017 09:03На сайте RIPE в LIR Portal (т.е. доступно только для членов RIPE) есть раздел IPv4 Transfer Listing Service, своеобразная биржа. Там не указаны цены, только контакты. Можно написать и предложить свою цену за выбранный блок. В пользовательском соглашении RIPE подчёркивает что IP-адреса и номера AS не являются собственностью.
mortimoro
21.02.2017 14:29-7Вспомнилась web-конференция, проводимая D-Link по поводу IPv6. Конференцию построили частично на IPv6 и уже через пол часа она безнадежно отвалилась, потому продолжение конференции пришлось смотреть в записи. Помимо вопросов безопасности, которыми презентаторов просто под плинтус загнали, так и остался не выясненным вопрос свободы нового протокола от старого. До сих пор IPv6 работает только в связке с IPv4 и не может использоваться для построения сетей на чистом IPv6. Причем, как я понимаю, ограничение исключительно аппаратное, то есть, производитель не готов предоставить качественное оборудование в достаточном количестве по приемлемой цене. Так что готовность к переходу сейчас на стадии «ждем, пока жареный петух клюнет».
YourChief
21.02.2017 14:47До сих пор IPv6 работает только в связке с IPv4 и не может использоваться для построения сетей на чистом IPv6.
Не совсем понятно это утверждение. В чём зависимость и что мешает?Erelecano
21.02.2017 15:13+4Ничто не мешает. Имею виртуалки на которых нет IPv4 вообще, просто вырублен. Все прекрасно работает и все ходит. А про необходимость связки и прочую чушь пишут те, кто IPv6 в глаза не видел.
mortimoro
21.02.2017 15:32Проблема проявляется на уровне провайдера, а не баловства с виртуалками. Статья старенькая, но проблема до сих пор актуальная: https://habrahabr.ru/post/159775/
Пока что IPv6 на уровне провайдера используется только в Dual-Stack, а в чистом виде может быть использован только в узких целях.Erelecano
21.02.2017 16:13+1Простите, баловство это у вас, а у меня виртуалки в продакшене, при чем продакшене критичном. И проблем не наблюдается. Да, есть продакшен в котором используется только IPv6 и это — принципиальная позиция.
mortimoro
21.02.2017 17:52Значит в вашем конкретном случае проблем нет. А вот человек в комментарии ниже проблему видит.
YourChief
21.02.2017 17:40В этой статье нет никакого указания на необходимость IPv6 работать в связке с IPv4. Там есть только жалобы на провайдеров, винду, wifi-роутер, и занимательные пассажи про IPv6 NAT и DHCPv6.
mortimoro
21.02.2017 18:06Это не жалобы на провайдеров, а описание объективных причин, по которым провайдеры не спешат переходить на IPv6. А пока провайдеры не перейдут, клиентам тоже смысла дергаться нет. На сегодняшний день на новый протокол перешли только те, кто хотел быть в тренде, а реальная потребность такого перехода возникла в лучшем случае у 0,1% тех пользователей, которые на него перешли. Остальные перейдут на IPv6 не тогда, когда это станет модно, а когда в этом возникнет реальная необходимость. То есть, когда их поставят перед фактом: «с завтрашнего дня IPv4 не поддерживается».
MaxxxZ
21.02.2017 16:04А как в IPv6 реализуется провайдеронезависимость? Не могу практических описаний найти.
Вот в IPv4 есть NAT и все просто. В шестерке он не предусмотрен и ее адепты рьяно его клянут, как костыль.
Если у меня есть офис на 50 машин — у меня при переключении с одного оператора на другого надо менять все адреса при переключении прова. Сейчас, за натом это 5 сек. более того — я могу трафик одновременно через разные наты балансить. А с шестеркой как?YourChief
21.02.2017 18:15С шестёркой тоже неплохо: вы можете адвертайзить вашим клиентам оба префикса сразу.
MaxxxZ
21.02.2017 18:23Это понятно. А как клиент будет определять, от какого src адреса сформировать пакет? Это может знать только пограничный роутер.
YourChief
21.02.2017 18:51+1Если оба провайдера доступны, то подходит любой. Если только один, то нужно или убрать анонс, или анонсировать время жизни дефолтроута для этого префикса равным 0, а на пакеты из упавшего префикса отвечать icmp-reject-ом с сообщением об отсутствии маршрута (это случится автоматически, если роут через этого провайдера будет опущен и таблица маршрутизации для этого провайдера опустеет).
MaxxxZ
21.02.2017 20:02Уже проходили: icmp reject был прописан в стандартах много-много лет назад, только почему-то как попало выполняется.
А анонсы же вроде редко ходят? Десятки минут, если память не изменяет.YourChief
21.02.2017 20:17Время рассылки анонса регулируется. В руководстве к radvd.conf в примере с динамическим адресом стоит MaxRtrAdvInterval в 30 секунд, а AdvValidLifetime и AdvPreferredLifetime 300 и 120 секунд соответственно.
xeonz
21.02.2017 19:22+1Шестерка предполагает, что у вас на машинах будет по нескольку адресов — по одному от каждого провайдера.
VolCh
21.02.2017 21:04А потянут ли провайдеры раздавать иной раз по тысячам адресов, которые сейчас у них одним? В смысле сейчас они толком даже не знают, сколько реальных девайсов за их в4 адресом скрывается. На работе у нас за 1000, дома около 10. Угадают?
Erelecano
21.02.2017 22:04+1А провайдер не должны отдавать тысячи адресов, провайдер должен отдавать /56 клиенту и обрабатывать все адреса из этой /56 от клиента. А сколько вам там провайдера не волнует.
VolCh
23.02.2017 09:47обрабатывать все адреса из этой /56 от клиента
Разве на это не потребуется больше ресурсов у провайдера? Без учёта повышенной битности, с учётом повышенного количества адресов.
MaxxxZ
22.02.2017 06:24в шестерке конец адреса совпадает с мак адресом узла. Это значит, что локалка, в теории, может включить в себя хоть все узлы интернета. А крупному клиенту дадут несколько таких локалок. Если маки уникальны, то дхцп в текущем виде не нужен.
VolCh
21.02.2017 21:07-3Вообще слабо представляю как без NAT жить в плане безопасности. На работе ладно, там админы. А домашняя локалка…
MaxxxZ
21.02.2017 21:11-1Сейчас вам расскажут, что NAT можно заменить iptables, А у кого руки кривые кыш из сети. Ну и производители роутеров, конечно, с упрощёнными настройками по-умолчанию подтянутся за спросом.
navion
21.02.2017 22:25+4Админы первыми обрадуются возможности снести нагромождения из правил для NAT. А сокрытие адреса скорее перестраховка из 90-х, когда софт был дырявый как решето и файрволы в виде дорогущих железок.
VolCh
21.02.2017 22:36+1Наши вроде с удовольствием пишут эти правила, изолируя частные сети друг от друга.
Главная проблема обычно пользователи, а не софт или железо.
YourChief
21.02.2017 22:54+3Вы всерьёз считаете нат мерой безопасности? Нет, правда?
rPman
22.02.2017 01:53Да, я например тоже считаю схему использования NAT как инструмент повышения безопасности в локальной сети… который комплекс мер как по выбору оборудования так и по требованию к уровню администраторов.
Очень простым действием, да может не таким хорошим по ресурсам (спорный вопрос, пока не появятся норм роутеры с поддержкой ipv6 для сравнения), и кучей других неудобств, но работающим!
p.s. А еще прокси есть ;) позволяют, как бонус, неплохо обрубать доступ в сеть на неправильно настроенных машинах пользователей все лишнее кроме браузера (правда некоторые лишние приложения научились у браузера настройки спрашивать)
если что, я сети не админю, чур меня.
VolCh
22.02.2017 17:12+1Да. Скрывает от внешних по отношению к локальной сети узлов вообще факт её наличия, во-первых. Во-вторых, не даёт этим узлам инициировать соединение с узлами локальной сети, на которых что угодно может быть открыто.
navion
22.02.2017 17:22+1Так файрвол с роутера никуда не делся. Правда есть вопросы с открытием входящих портов: NAT-PMP для этого не годится, а PCP и UPnP+ никто толком не умеет.
mva
23.02.2017 23:55К слову,
1) в Linux'е есть модуль NAT для ipv6 в Netfilter, если что :)
2) Если делать правильно, то вы должны взять сеть из PI-блока и договориться с обоими провайдерами о её маршрутизации.
Но это если делать правильно. А люди уже привыкли к натокостылям, да :)
// в IPv4 тоже правильным было бы использование PI, но увы. Любят люди костыли.
Потому и был в линупс впилен v6 NAT ;)
MasMaX
21.02.2017 16:35На днях ощутил на себе нехватку адресов. Хотел купить несколько адресов для сервака. Если попытаться купить сразу группу (4 и выше), то выдает ошибку. Писал в поддержку они ответили что это из-за нехватки как раз, иногда работает иногда нет. Если брать по одному адресу то норм, но все адреса тогда будут разношерстные.
MaxxxZ
21.02.2017 18:01это вы где поштучно адреса брали?
MasMaX
27.02.2017 16:18Dedicated сервер от OVH в Европе. Вот такой ответ получил на попытку взять сразу группу адресов:
At the moment, the issue has been identified with a lack of available IPv4 in our RIPE inventories, as soon as another range of IP's is made available to OVH, you will no longer receive this error message. Please attempt to order regularly.
Terranz
22.02.2017 01:17активировал в самарском домру ipv6, у меня статический внешний, роутер mikrotik какой-то из начальных
первый день работало всё ок, потом, видимо, начало роутиться на v6 и интернет стал тормозить, причём в неожиданных местах — то сайт не открывается, то вк зависнет, то в wow лагает, а то не лагает.
пришлось отключить в спешке, т.к. уже до белого каления довели тормоза на ровном месте
click0
22.02.2017 16:38Ключевое слово — Mikrotik.
maxzhurkin
23.02.2017 09:44Да Mikrotik ни при чём, IMHO. Однако автор коммента явно что-то путает: RouterOS на ровном месте IPv6 не ест, пока не проведёшь стандартную процедуру «за Маму, за Папу, за Бабушку». Ну, то есть, RouterOS поддерживает v6, но не по принципу «включил-работает», а по принципу «включил-попытался настроить-почесал репу-плюнул-вернулся через полгода-вроде получилось».
Terranz
23.02.2017 13:08+1«включил-попытался настроить-почесал репу-плюнул-вернулся через полгода-вроде получилось»
таки да, задолбаться пришлось как положено.
Поднимал ipv6 по мануалу: установил модуль, подключил и настроил файрвол, получил креды у провайдера, добавил их как положено и получил ipv6 пул, настроил роуты и далее по мануалу. Включил раздачу ipv6 адресов из полученного пула от провайдера в wifi и ethernet — мобильники и ноуты получили свои ipv6 адреса. По статистике фаервола трафик таки гнался на ipv6.
Всё работало, тесты я гонял, проверял по тут — все баллы получены.
qw1
25.02.2017 09:32У меня dom.ru и mikrotik.
ipv6 работает давно и я в целом доволен, но есть пара багов
1) DHCP-клиент в mikrotik долго получает ip-адрес (переход из renewing в bound), до 5 минут. На ipv4 всё приходит моментально
2) Windows не видит изменения адреса. Например, если упало PPPoE и поднялось, в Windows на адаптере остаётся старый адрес. В этом случае я в свойствах адаптера снимаю галочку с протокола IPv6 и ставлю обратно — адрес обновляется. Но как это сделать программно, скриптом — никак не смог нагуглить.
Ну и, при падении ipv6 начинает тупить всё, где ipv6 приоритетный (google, yandex, vk), пока соединение по тайм-ауту не перейдёт в ipv4, и так с каждым исходящим коннектом.Terranz
27.02.2017 13:061) такого не наблюдал
2) с таким не сталкивался
вот видимо с таким падением я и сталкивался — адовые тормоза
mva
23.02.2017 23:51вот только это проблемы не IPv6, а провайдера и-или таргет-хоста (ака серверов VK и/или WoW).
Впрочем, на счёт WoW я крайне не уверен: battle.net, насколько я помню, не умеет в IPv6 от слова "совсем".
А вот у VK, да, бывает, что иногда админы месяцами не следят за упавшими по IPv6, но продолжающими жить по IPv4 хостами.
Но, повторюсь, это проблема НЕ IPv6. И винить нужно не его, а тех, кто виноват на самом деле.
DeLuxis
Aplle уже блочит приложения которые по ipv6 не работают.
Пришлось поднимать туннель (socat) на vds так как провайдер на основном серваке не поддерживает ipv6.
YourChief
socat — довольно странный выбор для тунелирования IPv6.
DeLuxis
Надо было быстро. Там если и будет трафик, то низкий. Надеюсь в ближайшее время провайдер запилит ipv6 у себя.
ibKpoxa
не блочит, в том смысле, что не обязательно иметь бэкэнд на ipv6.