Ну ладно, не совсем. Это был маленький грязный кликбейт. Но на конференции RIPE NCC Days, прошедшей 24-25 сентября в Киеве, было анонсировано скорое окончание раздачи подсетей /22 новым LIR-ам. О проблеме исчерпания адресного пространства IPv4 говорят уже давно. Вот уже около 7 лет, с тех пор, как региональным реестрам были выделены последние блоки /8. Несмотря на все сдерживающие и ограничительные мероприятия, неизбежного было не избежать. О том, что нас ждёт в связи с этим, под катом.



Исторический экскурс


Когда эти все ваши интернеты только создавались, людям казалось, что 32 бит для адресации хватит всем с головой. 232 – это примерно 4.2 миллиарда адресов сетевых устройств. Разве могли в далёких 80-х первые несколько организаций, объединившихся в сеть, подумать, что кому-то понадобится больше? Да что уж там, первый реестр адресов вёлся одним дядькой по имени Джон Постел (Jon Postel) вручную, чуть ли не в обычной тетрадке. А запросить новый блок можно было в телефонном режиме. Периодически текущая выделенная адресация публиковалась в виде RFC документа. Например, в RFC790, опубликованном в сентябре 1981 года, впервые встречается привычная нам 32-битная запись IP-адресов.

Но концепция «зашла», глобальная сеть начала активно развиваться. Так возникли первые электронные реестры, но жареным ещё совершенно не пахло. При наличии обоснования можно было вполне получить хоть блок /8 (более 16 миллионов адресов) в одни руки. Не сказать, что обоснование на тех порах так уж проверяли.

Все мы понимаем, что если активно потреблять какой-то ресурс, рано или поздно он закончится (светлая память мамонтам). В 2011 году IANA, распределявшая блоки адресов в масштабах планеты, раздала последние /8 региональным реестрам. 15 сентября 2012 года RIPE NCC объявил об истощении IPv4 и начал раздавать не более /22 (1024 адреса) в одни LIR-руки (впрочем, позволял открывать несколько LIRов на одну компанию). 17 апреля 2018 года последний блок 185/8 закончился, и с тех пор вот уже полтора года новые LIRы питаются хлебными крошками и подножным кормом – блоками, возвращёнными в пул по разным причинам. Теперь заканчиваются и они. Наблюдать за этим процессом в реальном времени можно по адресу https://www.ripe.net/manage-ips-and-asns/ipv4/ipv4-available-pool.

Поезд ушёл


На момент доклада на конференции оставалось доступно примерно 1200 непрерывных блоков /22. И весьма немаленький пул необработанных заявок на выделение. Проще говоря, если Вы ещё не LIR, последний блок /22 Вам уже не светит. Если Вы уже LIR, но не подавали заявку на последний /22, шанс ещё есть. Но заявку подать лучше вчера.

Помимо непрерывного /22 есть ещё шанс получить комбинированное выделение – комбинацию из /23 и/или /24. Впрочем, по текущим оценкам все эти возможности исчерпаются уже в течение недель. Гарантировано к концу текущего года про /22 можно забыть.

Немного резервов


Естественно, адреса не вычищают под ноль. Определённое адресное пространство RIPE оставил для различных нужд:

  • /13 для временных назначений. Адреса могут быть выделены по запросу для реализации каких-то ограниченных во времени задач (например, тестирование, проведение конференций и т.п.). После реализации задачи блок адресов отберут.
  • /16 для точек обмена (IXP). По оценкам точкам обмена этого должно хватить ещё лет на 5.
  • /16 для непредвиденных обстоятельств. Их не предвидеть.
  • /13 – адреса из карантина (про него чуть ниже).
  • Отдельную категорию составляет так называемая пыль IPv4 – разрозненные блоки меньше /24, которые никоим образом анонсировать и отмаршрутизировать по текущим стандартам нельзя. Потому висеть им невостребованными, пока не освободится смежный блок и не образуется хотя бы /24.

Как возвращаются блоки?


Адреса не только выделяются, но и иногда попадают назад в пул доступных. Произойти это может по ряду причин: добровольный возврат за ненадобностью, закрытие LIR в связи с банкротством, неоплатой членских взносов, нарушением правил RIPE и так далее.

Но адреса не попадают сразу в общий пул. На 6 месяцев они помещаются в карантин, чтобы о них «забыли» (в основном речь о различных чёрных списках, базах спамеров и т.д.). Конечно, возвращается в пул намного меньше адресов, чем выдаётся, но только за 2019 год уже удалось вернуть 1703 блока /24. Подобные возвращённые блоки и станут единственной возможностью для будущих LIR получить хоть какой-то блок IPv4.

Немного киберкриминала


Нехватка ресурса повышает его ценность и желание им владеть. И как же не желать?.. Блоки адресов продаются по цене 15-25 долларов за штуку в зависимости от размера блока. И в связи с нарастающим дефицитом цены, скорее всего, подскочат ещё выше. При этом, получив несанкционированный доступ к аккаунту LIR, вполне можно увести ресурсы на другой аккаунт, и дальше будет непросто выцарапать их назад. RIPE NCC, конечно, содействует при решении всяких подобных споров, но не берёт на себя функции полиции или суда.

Способов потерять свои адреса немало: от обычного головотяпства и утечки паролей, через некрасивое увольнение человека с доступами без лишения его этих самых доступов, и до совершенно детективных историй. Так, на конференции представитель одной компании рассказывал, как они чуть не лишились своих ресурсов. Некие шустрые ребята по фальшивым документам переоформили компанию на себя в реестре предприятий. По сути произвели рейдерский захват, единственной целью которого был отъём блоков IP. Дальше, став де-юро законными представителями компании, мошенники связались с RIPE NCC для сброса доступов к управляющим аккаунтам и инициировали передачу адресов. К счастью, процесс был замечен, операции с адресами заморожены «до выяснения». Но судебная волокита с возвратом самой компании первоначальным владельцам заняла больше года. Один из участников конференции упомянул, что во избежание подобных ситуаций его компания уже давно перенесла свои адреса на юрисдикцию, в которой закон работает получше. Напомню, что не так давно мы и сами зарегистрировали компанию в ЕС.

Что дальше?


Во время обсуждения доклада один из представителей RIPE вспомнил старую индейскую пословицу:



Её можно считать глубокомысленным ответом на вопрос «как же мне получить ещё немного IPv4». Черновой стандарт IPv6, позволяющего решить проблему нехватки адресов, был опубликован ещё в 1998, а практически все сетевые устройства и операционные системы, выпущенные с середины 2000-х, поддерживают этот протокол. Почему мы ещё не там? «Иногда решительный шаг вперёд является результатом пинка под зад». Иными словами, провайдерам просто лень. Оригинально с их ленью поступило руководство Беларуси, обязав на законодательном уровне обеспечить поддержку IPv6 в стране.

Однако что же будет с выделением IPv4? Уже принята и одобрена новая политика, согласно которой после исчерпания блоков /22 новые LIR смогут получить блоки /24 по мере доступности. Если блоков на момент подачи заявки не будет, LIR будет поставлен в список ожидания, и получит (или не получит) блок, когда он станет доступен. При этом отсутствие свободного блока не освобождает от необходимости платить вступительный и членские взносы. По-прежнему сохранится возможность купить адреса на вторичном рынке и перенести их на свой аккаунт. Впрочем, RIPE NCC избегает в своей риторике слова «купить», пытаясь абстрагироваться от денежного аспекта того, что изначально совершенно не задумывалось как объект торговли.

Будучи ответственным провайдером, мы призываем Вас активно внедрять IPv6 в свою жизнь. А будучи LIR, готовы всячески в этом содействовать своим клиентам.

Не забудьте подписаться на наш блог, мы планируем публикацию некоторых других интересных вещей, подслушанных на конференции.

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?

Комментарии (29)


  1. Javian
    27.09.2019 09:05
    +1

    Вопрос IP6 интересен с точки зрения клиента провайдера. Будут ли давать клиентам белые IPv6 адреса. Или лень и внутренняя сеть провайдера не изменится.
    Поменялось что в мировоззрении провайдеров со времен публикации «IPv6 не нужен?» habr.com/ru/post/257147


    1. Vasiliskov Автор
      27.09.2019 09:23

      Собственно, никто не мешает выдавать клиентам хоть /64 блок IPv6. А в свете грядущего развития IoT рабочая группа рекомендует выделять /56 индивидуальным пользователям и /48 коммерческим. Один /64 — это 18 миллиардов миллиардов адресов, на каждый диод на новогодней гирлянде хватит, и ещё и останется целая куча. /56 — это 256 блоков /64 (по мнению рабочей группы не стоит помещать IoT холодильник в одну подсеть с пылесосом). Так что для провайдеров тут сугубо вопрос пинка.


      1. krab4yar
        28.09.2019 11:00

        Можете объяснить зачем холодильнику целая /64 подсеть? Да или вообще зачем клиенту целая 64 подсеть? Разве не логично что и 96 «было бы» достаточно?


        1. Vasiliskov Автор
          28.09.2019 11:09

          По рекомендации рабочей группы 64 бит отводится на локальную адресацию, потому и /64. Кроме того, если считать, что холодильник — это единое устройство, то да, ему и одного адреса хватит. Если говорить о группе устройств «холодильники», и добавить немного футуристики, картина меняется.

          Пример: в доме 3 холодильника: человеческий, морозилка для еды животных и винный холодильник. Человеческий напрямую взаимодействует с автокухней, потому, скажем, для помидоров, перцев, огурцов, шоколадок, молока, сметаны и т.д, и т.п. используется по сути отдельное устройство, состояние которого надо опрашивать. Плюс общая система контроля статуса (температура, влажность, наличие вредных примесей, которые бы свидетельствовали о загнивании). В морозилке для корма для животных отдельные отсеки для котов и собак, которые нужно контроллировать (хотя бы наличие, к примеру). В винном холодильнике тоже могут быть отдельные подсистемы для белого и красного вина. А может быть вообще отдельная система контроля для каждого слота бутылки. Конечно, забить /64 не удастся таким образом, но всё это хозяйство должно жить в своей отдельной подсети и не держать у себя в подсети устройства других типов и назначений.


          1. JPEGEC
            30.09.2019 08:11

            Конечно, забить /64 не удастся таким образом, но всё это хозяйство должно жить в своей отдельной подсети и не держать у себя в подсети устройства других типов и назначений.

            Легко видеть что хватило бы пула из сотен/тысяч адресов. 18 миллиардов это все же перебор.
            Отдельный вопрос почему и зачем все это хозяйство должно жить в отдельной подсети. Я, к примеру, разумных причин не вижу.


        1. Deosis
          30.09.2019 14:47

          А вам 640 кб памяти хватает?


    1. Gordon01
      27.09.2019 12:47

      Так серых ipv6 не бывает вроде как



      1. stetzen
        27.09.2019 13:40

        Вообще есть ещё один момент — некоторые провайдеры дают v6 белые, но динамические, что, конечно, снимает проблему с NAT и заканчивающимся пулом, но всё равно не даёт v6 развернуться на полную.


        1. amarao
          27.09.2019 14:15

          dyndns и проблема решена.


  1. quarckster
    27.09.2019 09:17

    Может ли кто подсказать модели vdsl домашних роутеров с полноценной поддержкой ipv6? Мой Asus DSL AC52U вроде как работает с новым протоколом, но он там не first class citizen. Даже файервол только для ipv4.


    1. DGG
      27.09.2019 09:36

      Вот тут на Реддите называют пару моделей vdsl роутеров на которые ставится OpenWrt:
      https://www.reddit.com/r/openwrt/comments/7spsy8/looking_for_a_vdsl2_modem/


      Ну или, там же, вариант включить этот модем в Bridge mode а перед ним поставить роутер умеющий нужное


    1. Mixaill
      27.09.2019 14:58

      Keenetic (любой) + донгл Keneetic Plus DSL / Keenetic DSL KN-2010 / Keenetic Duo KN-2110


  1. Tufed
    27.09.2019 13:29

    Тут частично еще вопрос безопасности и стоимости. Мы настолько привыкли жить за NAT-ом как за стеной, что я например не горю желанием давать белые IP-шники каждому сетевому устройству в своем доме по многим причинам. А уж в корпоративном сегменте тем более. Организовать NAT дешевым роутером быстрее и экономически выгоднее чем ставить в качестве пограничного устройства полноценный маршрутизатор и его настраивать.


    1. shifttstas
      27.09.2019 13:36

      Большинство роутеров «из коробки» блокируют входящие v6 соединения — собственно ничего не изменится в части безопасности.


  1. amarao
    27.09.2019 14:16
    +1

    Как всегда, вопрос в провайдерах интернета для домашних пользователей. Это единственная сила, сдерживающая миграцию. Все сервера уже давным-давно готовы (или будут готовы как только обнаружатся косяки в течение месяцов).


    А вот домонетчики тупят.


    1. bm13kk
      27.09.2019 14:34

      Мой провайдер утверждает что уже работает с ІР6. Не уверен на сколько честно — но он говорит о 'Ethernet-DHCPv6'.

      Подозреваю что речь не о поддержке от провайдеров, как опции. А о варианте по умолчанию. А заставить корпорацию (даже очень мальенькую) сменить вариант по умолчанию — почти невозможно.

      Аналогично — как заставить производителей роутеров изменить прошивку, чтобы по умолчанию они начинали подключатся к сети по ИП6?


      1. amarao
        27.09.2019 14:55

        Во всех операционных системах есть приоритет ipv6 over ipv4, как только появляется работающий адрес, так он начинает использоваться. С домашними роутерами сложнее, хотя уже три года как я вижу, что у провайдеров в прошивке всё включено, но выключено у самого провайдера.


    1. Javian
      27.09.2019 14:59

      А не могут быть нюансы с системами фильтрации трафика? Перешел на IP6 — закупаешь / сертифицируешь оборудование «новой ревизии».


      1. amarao
        27.09.2019 15:14

        Вы говорите про проблемы РФ. Я не знаю. Вот перейдёт РФ на гост 01-04-2020 "Чебурашка" — всё равно новую ревизию закупать, так что какая разница?


    1. qw1
      27.09.2019 16:15

      Как всегда, вопрос в провайдерах интернета для домашних пользователей
      Не уверен. Пока есть куча сайтов, работающих только по v4 (среди них, например, vk.com), без выдачи абоненту ipv4-адреса не обойтись.


      1. amarao
        27.09.2019 18:37

        "или будут готовы в течение месяцов". Я уверен, что на vk.com включение ipv6 займёт время порядка одного спринта.


        А работать без ipv4 вы некоторое время, действительно, не сможете — хвост легаси большой.


        1. qw1
          27.09.2019 20:13

          Вот и получается ситуация для провайдера: провайдер не может работать без v4-адресов, раздача абонентам v6 никак не помогает справится с нехваткой адресов.


          1. amarao
            30.09.2019 12:29

            Помогает. Лучше выдать ipv6-only, чем не выдать адреса вообще. Да, качество связи будет хуже, но лучше хоть как-то, чем никак.


            Но до этого надо доварить лягушку до того, чтобы кожа начала слазить.


            1. qw1
              30.09.2019 13:41

              При наличии популярных v4-only сайтов провайдер скорее всех загонит за ipv4 CGNAT, чем выдаст ipv6.

              Я думаю, проблема не сколько в сайтах, которые довольно легко перенастроить, а больше в сервисах, особенно в игровых. Старые игровые клиенты переписывать никто уже не будет, а пользуются ими много.


              1. amarao
                30.09.2019 14:04
                +1

                Разумеется. Потому я и говорю, что лягушку надо варить, пока не сварится. В какой-то момент цена ipv4 на рынке начнёт играть такую существенную роль, что ipv6-only окажется экономически привлекательнее. Это требует довести дефицит до безумия.


                И есть два варианта: либо невидимая рука рынка всё расставит (т.е. переход на ipv6 произойдёт по экономическим причинам), либо будет кооперативная игра и переход сделают без предварительного кошмара с неработающим всем (провайдеры, ограничивающие количество сессий на пользователя и т.д.).


                UPD: Я думаю, в какой-то момент регуляторы просто скажут провайдерам "обязаны" (FCC, роскомпозор и т.д.) и они сделают. После этого все оставшиеся сайты будут вынуждены догонять.


        1. qw1
          27.09.2019 20:14

          уверен, что на vk.com включение ipv6 займёт время порядка одного спринта
          Так чего они ждут?


          1. amarao
            30.09.2019 12:28

            Спринта жалко.


          1. Javian
            30.09.2019 13:40

            В статье 2012 года habr.com/ru/post/159775:

            К сожалению, его там не ожидает почти ничего. Пробежавшись по популярным сайтам, видим, что:

            по IPv6 работают: google, youtube, facebook, vkontakte

            Похоже с тех пор ничего не поменялось. Белоруссия — исключение из правил.