Компания
870,77
рейтинг
13 марта 2014 в 14:28

Разное → Светлое будущее IPv6: когда уже наконец наступит новый мировой порядок

Яндекс.Почта теперь умеет обмениваться письмами с другими почтовыми системами по IPv6. Таким образом она становится второй в мире массовой почтовой системой, поддержавшей IPv6.

На первый взгляд это может выглядеть не слишком важным, но на самом деле уже прямо сейчас отсутствие поддержки IPv6 мешает многим людям. В этом посте я хочу рассказать о том, как сейчас вообще идут дела с адаптацией v6 в интернете, а также о том, что именно сейчас сделали мы и зачем.



IPv4-адреса, которых было 4 миллиарда, уже закончились. Переход на IPv6 позволит вывести в онлайн 3.4×1038 устройств. А впереди у нас будущее, когда всё больше устройств у каждого человека будут подключены к интернету и когда в онлайн вслед за Европой и Америкой наконец выйдут все жители Азии и Африки. Поэтому всемирная сеть постепенно переходит на новый протокол связи, поддержка которого необходима любому сервису, который собирается работать в будущем в интернете.

От IPv4 к IPv6: история перехода


Как вы знаете, уже в сентябре 1981 года, когда Агентство передовых оборонных исследовательских проектов министерства обороны США опубликовало спецификацию IPv4, было понятно, что количество адресов конечно и равно 232. На первый взгляд число кажется большим. В 1995 году адресное пространство IP использовалось всего на 25%, но учёные и инженеры уже сформулировали и опубликовали первую спецификацию следующей версии базового протокола интернета, которую назвали IPv6. В новом протоколе заложили возможность использовать примерно 3.4 * 1038 (340 ундециллионов) адресов, что почти в 1029 (100 октиллионов) раз больше, чем в старой версии. В 2008 году адресное пространство IPv4 было заполнено уже на 86%.

В первом приближении план перевода интернета на IPv6 был описан почти 20 лет назад в RFC 1933, когда и была опубликована спецификация нового протокола. Он подразумевал полное переключение в 2007 году. Это оказалось очень оптимистичной оценкой. Только в 2000-м году о своей готовности поддерживать IPv6 заявил первый провайдер — японский NTT. Современный вариант описан в RFC 4213, и его тон несколько менее оптимистичен.

Почти все первое десятилетие двадцать первого века между интернет-провайдерами и владельцами крупных интернет-ресурсов шла неспешная дискуссия о том, кто именно несет ответственность за популяризацию IPv6. Провайдеры говорили, что нет смысла во внедрении, ведь IPv6-ресурсов слишком мало. Ресурсы отвечали, что поскольку пользователей с IPv6-связанностью почти нет, незачем и на сайтах включать эту поддержку. В общем, настоящая проблема курицы и яйца.

Однако время шло, адреса IPv4 распределялись, и в феврале 2011 ICANN раздала последние «четвёртые» адреса по региональным реестрам. Их пять — APNIC в странах Азиатско-Тихоокеанского региона, ARIN в Северной Америке, AfrNIC в Африке, LACNIC в Центральной и Южной Америке и RIPE в Европе. Уже в апреле 2011 года APNIC раздала все выделенные региону IPv4 адреса, кроме последней сети /8 (т.е. 224 или 16777216 адресов) и перешла в специальный режим распределения последних адресов. Аналогичные события в европейском сегменте интернета произошли в сентябре 2012 года, и RIPE также перешёл в режим выделения последних адресов. Кстати, Яндексу случайно достался последний блок 5.255.192.0/18 (и, соответственно, адрес 5.255.255.255) перед переходом в этот режим.

Чтобы разорвать порочный круг перекладывания проблем с провайдеров на интернет-ресурсы и назад, в 2011 году прошел World IPv6 Day. В этот день несколько крупнейших мировых сайтов включили на сутки IPv6. Целью этого включения была провека того, как оборудование и программное обеспечение у пользователей, провайдеров и интернет-площадок отреагирует на появление IPv6. А мы подняли копию главной страницы Яндекса на сайте ipv6.yandex.ru. Об этом запуске, о подготовке к нему и о результатах мы подробно рассказывали в одной из презентаций YaC 2012. Итогов было много и задач по этим итогам тоже немало.

Например, мы на себе испытали проблемы потери трафика при подключении IPv6. В частности, в одном из экспериментов мы открыли сервис suggest.yandex.net (обслуживающий подсказку в поисковой строке) по IPv6 на весь интернет. В результате обнаружилось, что мы теряли до 2% запросов, что было неприемлемо. Теоретически механизм работы систем с поддержкой IPv6 и IPv4 предполагает, что программа (например, браузер) сначала пытается подключиться к IPv6-адресу, а если это не удается, переподключается через IPv4. Проблема в том, что в современных операционных системах таймаут на подключение может составлять десятки секунд и, конечно, пользователь не будет ждать так долго.

Нам ничего не осталось, кроме как внедрить DNS AAAA whitelisting — начать показывать IPv6 адреса только тем провайдерам, в качестве IPv6-связанности которых с Яндексом мы были уверены. Мы отдаем себе отчет в административной сложности поддержки белых списков (проблема, в частности описана здесь) и плохого масштабирования в долгосрочной перспективе, однако для Рунета хороших альтернатив не видим.

Через год, 6 июня 2012 года, в мировой World IPv6 Launch Day мы запустились «теперь уже по-настоящему» несколькими нашими сервисами на IPv6. Тогда стали доступны веб-сайты yandex.com, mail.yandex.com и passport.yandex.com. Этот запуск был представлен на русском дне IPv6. Кажется, в России мы стали первым крупным сайтом, запустившим IPv6. Вконтакте присоединился через несколько дней или недель, а спустя еще какое-то время и Mail.ru. Одноклассники до сих пор не имеют IPv6 -адреса.

В 2013 году мы отключили поддержку белых списков для сервисов в зоне yandex.com, поскольку ситуация с поддержкой IPv6 в мире в среднем лучше, чем в Рунете. Сервисы в зоне yandex.ru по большей части все еще работают через белые списки, но мы надеемся, что сможем отказаться от этой практики уже в 2014 году.

Разобравшись с веб-сайтами и работой с пользователями, мы поняли, что теперь нужно обратить внимание и на межсерверное взаимодействие. Одним из самых заметных сервисов, соответствующих этой категории стала Почта.

Как происходил переход на IPv6 в Яндекс.Почте


Яндекс.Почта состоит из сотен компонент, многие из которых работают на открытом софте Open Source типа Postfix или MongoDB. Поддержка отправки/получения писем по IPv6 появилась в Postfix более 10 лет назад и была опробована многими тысячами почтовых администраторов до нас. Postfix работает у нас на серверах отправки, а также в качестве универсальной системы очереди. Очень надёжный и многофункциональный продукт. На приёме почты в Яндексе работает специальный высокопроизводительный сервер NwSMTP, созданный целиком внутри компании. Асинхронный и очень быстрый, NwSMTP при этом долгое время не поддерживал IPv6 и потребовал серьёзных разработок.



Другим важнейшим компонентом почты, потребовавшим много доработок, является Спамооборона — комплекс программ и баз данных, защищающих наших (и ваших, если вы получаете почту) пользователей от спама и других нежелательных писем. Антиспам-алгоритмы нашей почты сочетают в себе статистические и эвристические методы, а также машинное обучение, которым так славится Яндекс.

Целый ряд факторов в принятии решения о том, является ли письмо спамом, используют IP-адреса задействованных компьютеров. Так называемые репутационные методы накапливают и используют историческую информацию о таких объектах, как домены, IP-адреса, отдельные email-адреса. Все это для того чтобы делать обоснованные предположения о будущем их поведении. Очень упрощённо эта схема выглядит как хэш или ассоциативный массив, где ключом является, например, IP-адрес, а значением — информация о том, сколько спама или не-спама мы получили с этого адреса. Когда-то хранение и использование такого хэша даже для 232 разных возможных значений ключа представляло определённые сложности в программировании. Представьте, что происходит, когда нужно хранить репутацию IPv6-адресов, общее количество которых сильно превышает даже количество отдельных бит в оперативной памяти всех серверов Яндекса.

К счастью, адресное пространство IPv6 является очень разрежённым. Огромные последовательности, что называется, by design не используются. Дополнительно важным фактором оптимизации является стандартизация сети /64 как кванта выделения адресов в IPv6. В общем, в итоге всё заработало как надо.

Около года назад мы стали отправлять письма на внешние серверы по IPv6, если они это поддерживали. Эта часть работы потребовала лишь тонкой настройки Postfix и тщательного тестирования. Приём почты оказался более сложной задачей в первую очередь из-за антиспам-алгоритмов. Наконец и эта работа завершена — в феврале 2014 года мы начали приём писем по IPv6. Смотрите:

% host -t any mx.yandex.ru
mx.yandex.ru has IPv6 address 2a02:6b8::89
mx.yandex.ru has address 87.250.250.89
mx.yandex.ru has address 93.158.134.89
mx.yandex.ru has address 213.180.193.89
mx.yandex.ru has address 213.180.204.89
mx.yandex.ru has address 77.88.21.89
%

Теперь весь межсерверный трафик Яндекс.Почты может быть принят и передан, используя протокол IPv6. Здесь мы не использовали белые списки DNS, ведь IPv6-связанность между серверами в целом лучше, чем между серверами и пользователями. Кроме того, работа с несколькими MX в SMTP позволяет по сути автоматически деградировать на IPv4 в случае неработоспособности IPv6. Наконец, серверный SMTP не является интерактивным протоколом, поэтому возможные таймауты при подключении не влияют непосредственно на пользовательский опыт.

Это изменение прошло незаметно для пользователей, и эта незаметность составляет особый предмет гордости для всей команды. Сделан большой шаг вперёд, созданы гарантии, что ваша почта будет надёжно доставляться Яндексом и через 2, и через 5, и через 10 лет, когда старые протоколы совершенно перестанут удовлетворять нуждам человечества и будут выведены из употребления.

Интересно, что все современные антиспам-защиты, работающие в рамках больших почтовых систем, таких как Yahoo!, Gmail, Яндекс, AOL, Mail.ru, Outlook.com уже нескольких лет работают в составе своеобразной общей экосистемы. Происходит осторожный обмен информацией об общих волнах спама, сделаны определённые настройки для надёжного взаимного обмена письмами и так далее. Мы все тесно сотрудничаем даже несмотря на то, что являемся конкурентами. Это, кстати, одна из причин, по которой никакие отдельно стоящие антиспам-решения не могут сравниться в качестве фильтрации с большими почтами. У них просто недостаточно информации и неоткуда её получить. Так вот, эта экосистема потребует определённого времени на самонастройку под повсеместное использование IPv6. Чем раньше начать эту работу, тем быстрее будет достигнут общий результат. Откладывать уже нельзя.

Почему провайдерам и большим игрокам важно поддерживать IPv6


Когда проблема нехватки IPv4 адресов из теоретической все больше становилась реальной, провайдеры начали использовать NAT. Но в итоге это не стало решением. Когда за NAT скрывается слишком большое количество устройств, сайты могут решить, что нагрузку на них создают роботы, и принять меры по защите от таких действий.

Такая проблема, в частности, приняла массовый характер в Беларуси. Произошло это сравнительно недавно, уже после перехода RIPE в фазу распределения адресов из последнего блока /8. Белорусские провайдеры не имели достаточного запаса IP-адресов и, оказавшись в условиях их нехватки, пошли путем увеличения количества пользователей за NAT. В результате некоторые интернет-сервисы приняли активность NAT-пользователей за деятельность роботов и некоторые из них полностью блокировали IP-адрес (и всех пользователей NAT) или увеличили интенсивность показа капчи. Таким образом, неготовность провайдеров к исчерпанию IPv4 адресов привела к снижению качества доступа в интернет для пользователей. Аналогичная проблема существует и для почтовых систем: там большие NAT-пулы означают, что письма, отправленные пользователем в NAT, могут быть приняты за спам и не дойти до адресата.


График IPv6-трафика на www.yandex.ru

На текущий момент, по разным оценкам, в интернете всего около 3% трафика используют IPv6, а 97% — старый IPv4. Но когда такие крупные игроки, как Яндекс, Google, ВКонтакте, Facebook, поддерживают IPv6 технически и идеологически, они подталкивают провайдеров к поддержке шестых адресов, они толкают в будущее весь интернет. Конечно, нам и самим важно понимать, что нашим сервисам хватит адресов. Но даже в совокупности их намного меньше по сравнению с тем, сколько сайтов может появиться в интернете в будущем и сколько людей получат доступ к нему.
Автор: @kappa
Яндекс
рейтинг 870,77

Комментарии (81)

  • +8
    Интересно узнать как обстоят дела у крупных интернет-провайдеров.
    • +4
      С поддержкой IPv6? Не очень.
    • +1
      У крупных хостингов дела чуть лучше, чем у провайдеров последней мили.
    • +1
      А тут мировая статистика:
      6lab.cisco.com/stats/index.php
    • +1
      Не скажу за магистралов, но на последней миле основная проблема IPv6 — дешёвое китайское оборудование доступа. Свои функции выполняет более-менее нормально, стоит дешёво, но IPv6 там ещё не будет очень долго. Даже L2 коммутатор доступа должен уметь целую пачку функционала, связанного с L3 протоколами и там даже с IPv4 не всегда всё идеально.
  • +1
    c
  • –4
    Это, кстати, одна из причин, по которой никакие отдельно стоящие антиспам-решения не могут сравниться в качестве фильтрации с большими почтами. У них просто недостаточно информации и неоткуда её получить.

    Даже у Касперского, чей значёк красуется на странице Mail.ru?
    • +26
      • 0
        kill 'em all
      • +1
        Heil Spellcheck!
      • –1
        Ошибся, бывает. Но на вопрос так и не ответили.
        • 0
          Наверное, ответить сможет только сотрудник mail.ru :) Но могу предположить, что хоть изначально mail.ru и использует технологии Касперского, но они не отдают все свои данные Касперскому, а система развивается отдельно внутри mail.ru. Раньше Спамооборону Яндекса тоже можно было купить как отдельный продукт и настраивать самостоятельно по своему желанию как захочется. В этом случае клиент получал продукт из коробки, а остальное дописывал и донастраивал сам, он не получал данные Яндекса про всяческие FBL и т.п.
  • +4
    если доживу до торжественного повсеместного отключения ipv4, то съем свои туфли. причины того, что полностью на ipv6 не перейдут никогда очень простые.

    с одной стороны возьмём среднестатистического isp. у него есть пул адресов, нат, количество абонентов обычно не особо растёт, а если начинает выходить за рамки пула, то isp просто уплотняет пул адресов, который используется для ната. что будет мотивировать этого isp внедрять ipv6? ничего, причин для мотивации нет.

    с другой возьмём среднестатистический интернет-проект не сильно большого размера. например игрушка во вконтактие, фейсбуке, домашние странички, интернет-магазины. количество адресов, которое используется такими проектами обычно постоянно, т.е. получив свой пул, большего им не понадобится. что будет мотивировать эти проекты внедрять у себя ipv6? так же ничего, причин для мотивации нет.

    «вечных» монстров типа яндекса, гугла, фейсбука не считаем, это исключения, которые лишь подтверждают правило. спасти ситуацию можно только силовым методом отрезать крым от украины выключать ipv4 и пусть те кто не успел перейти на ipv6 страдают. но никто этого делать не будет, т.к. цивилизованный мир очень толерантен, да и можно нахватать судебных исков, а это уже будет стоить наслабого бабла.

    так что ближайшие несколько десятков лет будущее ipv6 — это костыли. звучит печально, но это факт.
    • +3
      Да, я думаю что не только тотального перехода не будет, но и в нем нет особого смысла, почему нельзя сейчас использовать IPv6 для служебных целей (межсерверный обмен информацией, охранные системы, датчики, камеры, ip-телефоны и прочее), что высвободит пул адресов для простых пользователей, которого хватит на определенный промежуток времени.

      С другой стороны, тотальному переходу на IPv6 поспособствует только жесткое отключение IPv4 везде и всюду, и люди от безысходности будут адаптироваться к окружающей среде переходить на IPv6.
      • +1
        Дык собственно отключение уже и произошло пару лет назад.

        Адреса, выделенные на всякие служебные нужды — это порядка 20-30%, что выглядит как очень много, но из-за специфики роста (количество новых устройств подключенных к интернету растёт по экспоненте) даже полная утилизация этого ресурса даст передышку на год-полтора, не больше.

        И да — как вы и описываете: как только IPv4 «жёстко кончился» (адреса перестали выдавать), так тут народ на IPv6 и начал переходить (посмотрите на график), до этого только разговоры разговаривали.
      • 0
        жесткое отключение IPv4 везде и всюду

        Не надо так :/
    • 0
      А история Белоруссии вам ни о чём не говорит? Чем дальше в лес, тем больше проблем будет создаваться у тех, кто не подключил IPv6 — вплоть до того, что, начиная с какого-то момента люди будут бежать от ISP у которых нет IPv6 потому что там торренты медленно качаются и всё время капча на всяко-разных сайтах выскакивает.

      А на тему «когда»… это всё уже теперь легко считается. Если вы посмотрите на график внедрения IPv6, то увидите, что за последний год количество IPv6 абонентов выросло в 2.5 раза. Да, это всего лишь от 1% до 2.5%, но… лиха беда начало. Если даже темпы перехода несколько снизятся, то мы будем иметь 50% через 4-5 лет. А дальше — маятник резко качнётся в обратную сторону: пока IPv6 абонентов мало приходится лезть из кожи вон, чтобы поддержать тех у кого IPv6 нету, а IPv6 абонентов можно только лишь привлекать [весьма умеренными] плюшками. После того, как IPv6 абонентов станет большинство станет гораздо выгоднее заниматься ими, а на IPv4 абонентов просто «забить». Работает как-то — и ладно. Не работает? Смените провайдера на поддерживающего IPv6, заработает.

      Так что вы отчасти правы: в ближайшие годы IPv6 — это разного рода «костыли». Но десятилетия? Это вряд ли. Конечно железо без поддержки IPv6 будет использоваться и через 10 лет и через 20 (уж очень много его наделали), но ISP без поддержки IPv6 будут экзотикой уже к концу этого десятилетия и либо адаптируются, либо вымрут в начале следующего.
      • 0
        Соглашусь с khim, а вот хабраюзеру kelevra очевидно придётся-таки кушать туфли.
        Поживём-увидим :)
      • +1
        > Смените провайдера на поддерживающего IPv6, заработает.

        В Беларуси не взлетит. Ибо Белтелеком.
    • +2
      ISP благодаря поддержке IPv6 может снизить нагрузку на маршрутизаторы, которые поддерживают этот самый NAT, а в перспективе и ликвидировать NAT.
      Пользователь, благодаря IPv6 получает существенно более быстрые торренты.

      А с сайтами все гораздо проще. Они постоянно возникают и исчезают, адреса у них в аренде. Они пользуются большим количеством ПО, разработанного другими (всякими фреймворками и т.д.) где все это будет «из коробки». Так что думаю, что IPv6 будет расти с каждым днем.
      • 0
        Не забудьте, что экономия на администрировании. Вместо сотней натов и всяких кривых надстроек можно просто раздать сети в вланы.
    • 0
      СОРМ.
      Tor запрещают? Proxy запрещают? На очереди NAT.
      IPv4 просто запретят, как технологию вредную, мешающую отслеживать террористов.
      • 0
        NAT пользователя никак от силовых органов не защищает, поскольку эти самые органы в первую очередь идут к провайдеру, который знает, кто что за натом делал.
      • 0
        Погодите. Я всегда считал что IPv6 наоборот даст сложности для отслеживания. Даже о GeoIP можно забыть, разве нет?
      • 0
        IPv4 просто запретят, как технологию вредную, мешающую отслеживать террористов.

        Большой Брат уже придумал костыль для этого.
        http://tools.ietf.org/html/draft-donley-behave-deterministic-cgn-07
    • 0
      если доживу до торжественного повсеместного отключения ipv4, то съем свои туфли.

      А если взять злых АНБ-шников, которые могут активизировать свои активы в сторону IPv6 под красивыми лозунгами «Каждому устройству по адресу!»? Это ж почти машинка Профессора Икс.
    • 0
      Даже CLNP сейчас кое-где используется. Повсеместного отключения IPv4 не будет, конечно же, ещё очень долго, просто этот протокол останется для служебных целей (и, возможно, в не подключенных к Интернету специализированных сетях), а между конечными хостами трафик будет ходить по IPv6.
  • +1
    А почта для доменов тоже IPv6 ready?
    • +3
      В Почте для домена используется тот же хост mx.yandex.ru для приема писем, и рассылаются письма через те же сервера, поэтому, конечно ready :)
  • +2
    Одна из причин (хотя не существенная) по которой провайдеры не спешат переходить на IPv6 — им выгодно задирать цены на IPv4 и получать с этого прибыль.
    • 0
      Кажется, некоторым провайдерам выгодно вне зависимости от цены переводить пользователей за NAT при любом удобном случае: например, при модернизации физического уровня.
      • +2
        Не соглашусь с Вами. При сегодняшних скоростях инета, NAT требует существенных затрат на оборудование. Ведь проNATить 10Gb/s не каждая железяка сможет. К примеру, в Киеве практически каждый провайдер предоставляет доступ к украинским ресурсам на скорости 100Mb/s. А некоторые и 1Gb/s. Намного дешевле всем раздать статические IP, чем покупать серьезные железяки. Именно так и поступил мой домашний провайдер. А на вопрос: «А как у вас с поддержкой IPv6?» саппорт ответил: «Вы первый кто обратился с таким вопросом».
        • +1
          Можно я просто процитирую соответствующее место поста, который мы обсуждаем?
          Белорусские провайдеры не имели достаточного запаса IP-адресов и, оказавшись в условиях их нехватки, пошли путем увеличения количества пользователей за NAT. В результате некоторые интернет-сервисы приняли активность NAT-пользователей за деятельность роботов и некоторые из них полностью блокировали IP-адрес (и всех пользователей NAT) или увеличили интенсивность показа капчи.
  • –16
    Все стоны про то, что пул адресов IPv4 кончился — несколько преувеличены (если мягко выражаться). «Белые» IP-адреса нужны ничтожной части «домашних» пользователей, и для них имеется неисчерпаемый диапазон «локальных» адресов, куда можно впихнуть всю Азию вместе с Китаем, и никто ничего не заметит — 99,99% используемых «в быту» технологий отлично работает через NAT.
    Нужность IPv6 кончено глупо отрицать (кстати, вовсе не по причине нехватки адресного пространства — хватает и других плюсов), но раздувать из этого проблему мирового масштаба… Напоминает мифическую «проблему 2000», если кто помнит.
    • +7
      Глупо отрицать, что p2p-соединения получают всё более широкое применение. NAT существенно усложняет их работу (а во многих ситуациях делает p2p вовсе невозможным, если ты не контролируешь NAT, за которым сидишь), и это вовсе не миф.
      • 0
        Справедливости ради, стоит заметить, что в сети провайдера p2p трафик может ходить и между своими пользователями, у части из которых белые, у части — серые IP. Это если провайдер натит на границе сети, а не на BRAS. Конечно, всё это нарушает архитектуру p2p и вообще не очень правильно, но, катастрофы пока что нет.
    • +1
      У нас почти единственный провайдер Ростелеком. Во многих случаях при отсутствии услуги выделенный IP ты получаешь серый IP из диапазона 10/8 при подключении.
      • 0
        А рекомендуется 100.64.0.0/10.
        • 0
          Если быть точным, то клиентам выдают 10.1.х.х. Сначала даже проблемы были. Вроде и в интернете, а ничего не работает. Переподключаешься до тех пор, пока не получишь белый IP. С ним всё работает. Дальше не дышишь, чтобы обрыва не было соединения. Сейчас вроде всё починили. Точно сказать не могу, т.к. всегда был на статике. Но вроде друзья больше не жалуются.
  • +2
    А когда стоит ожидать поддержку ipv6 в DNS-хостинге от Яндекса?
    • +3
      Постараемся в этом году.
    • +2
      Вы можете уже сейчас настраивать IPv6 адреса для своих доменов. DNS редактор Яндекса позволяет создавать АААА-записи.
    • +1
      host dns1.yandex.net
      dns1.yandex.net has address 213.180.204.213
      dns1.yandex.net has IPv6 address 2a02:6b8::213
      host dns2.yandex.net
      dns2.yandex.net has address 93.158.134.213
      dns2.yandex.net has IPv6 address 2a02:6b8:0:1::213

      Сделали.
  • +8
    > Одноклассники до сих пор не имеют IPv6 -адреса.

    Они не только IPv6 не имеют, они и дизайна не имеют нормального, да и просто базы городов и учебных заведений не имеют.

    Про код и прочие внутренности даже говорить страшно )
    • 0
      Встает вопрос — чем тогда занимаются большие отделы разработки в таких компаниях? ) Ну кроме масштабирования.
      • 0
        Присутствием занимаются.
  • 0
    Коллеги, а подскажите вот по какой ситуации. Мне нужно обеспечить высокую доступность предоставляемых сервисов. Раньше было просто: два провайдера, AS, BGP и подсеть IPv4. Сейчас можно получить только пул IPv6 адресов к AS. Допустим я его всё же получаю и настраиваю у себя AS. Есть какая-нибудь возможность получить в своё пользование подсеть IPv4 чтобы привязать к этой AS? Кто-нибудь с таким уже сталкивался?

    Сразу скажу, часть сервисов (например, один милый отечественный VPN) IPv4-зависимые, поэтому перейти сразу на IPv6 возможности нет. Опять же веб-сайты нужно предоставлять по IPv4, чтобы все могли до них достучаться…
    • 0
      Можно арендовать подсеть, год назад аренда /24 стоила около $400/год.
  • +3
    Проблемы со связностью у ipv6 удивительные. Иногда отваливаются целые сети, и понять что это «чуть-чуть не работает ipv6» мягко говоря непросто, потому что по ipv4 связность есть, ipv6 в общем работает, но, вдруг, не работает какой-то сайт.

    Я как-то наблюдал трёхмесячный даун по ipv6 на сайте одного весьма уважаемого вендора. Никто не замечал. Пока я тикет не поднял, и тогда проблему быстро устранили в течение недели.
  • +3
    Отправил письмо с gmail в яндекс-почту и обратно.
    Туда прошло по IPv6,
    Received: from mail-vc0-x22f.google.com (mail-vc0-x22f.google.com [2607:f8b0:400c:c03::22f])
    	by mxfront6o.mail.yandex.net (nwsmtp/Yandex)

    А обратно по IPv4.
    Received: from forward4m.mail.yandex.net (forward4m.mail.yandex.net. [37.140.138.4])
            by mx.google.com

    Внутренние адреса и у яндекса, и в google по заголовкам видны IPv4.
    С SPF все хорошо, это радует :)

    PS заметил, что яндекс-почта светит адрес, с которого пользователь пришел браузером в виде первого Received from:
    Received: from fw01.*** (fw01.*** [185.*.*.*]) by web21m.yandex.ru with HTTP;

    Так что, на всякий случай, будьте бдительны :)
    • +2
      Received: from forward11.mail.yandex.net (forward11.mail.yandex.net. [2a02:6b8:0:801::1]) by mx.google.com

      Возможно, в вашем случае сработал механизм фолбэка на IPv4 после неудачной попытки соединения по IPv6. Какая-нибудь временная ошибка.
  • 0
    Думается мне, что массовый переход провайдеров начнется на IPv6 только если большие компании, такие как яндекс, google, и т.д. начнутся отказываться от IPv4.
    • 0
      обнаружилось, что мы теряли до 2% запросов, что было неприемлемо.

      Они не откажутся от ipv4 пока хотя-бы 1-5% клиентов поддерживает только его.
      • +1
        Это да, но кот-то должен это двигать. Мне кажется провайдерам не выгодно что-то менять, ну если только в условиях конкуренции.
        • 0
          На порыве решил проверить, есть ли поддержка IPv6 у провайдера на работе. Приятно удивило, что есть. Можно проверить на test-ipv6 -dot- com
          • 0
            Угу, чего не скажешь о провайдерах. Особенно доставляют те, у которых есть даже отдельный FAQ про IPv6 и как с ним все радужно, а на деле они его протестили в лаборатории на уровне «пинги ходят» и на этом закончили всю инициативу.
          • 0
            Вы уверены, что это не Teredo у вас настроен?
            • 0
              Да, вы кажется правы «Your IPv6 service appears to be: 6to4».
              Но, пинги ходят на Google Public DNS с ping6.

              Интересная статистика от google.
              • 0
                6to4, значит, это все-таки ваш системный администратор постарался.
                • 0
                  Ясно. Я с IPv6 пока не сильно сталкивался, нужно бы подчитать.

                  Ради интереса отключил IPv4 и у меня работали только google и yandex.com. Только Yandex без картинок почему-то.
    • +3
      Зачем отказываться?

      Все хуже: есть крупные компании, владеющие чуть не /8 сетями — Microsoft, AOL (на память не помню, так что привожу как пример «больших компаний», а не как владельцев именно таких нетблоков). Они используют их для всего: и внутренние машины на белый адресах, и сети для связки оборудования. Казалось бы: переведи ЛВС на серую адресацию, перестрой связные сети — и «миру» можно будет вернуть, если уж сам не будешь использовать, чуть не половину выделенного им адресного пространства.

      Думаете, сделают? Да ни в жизть! Такой переезд, знаете ли, хуже пожара — контора просто перестанет работать на какое-то время. И ради чего? Чтобы оказаться от своих адресов? Так они и так свои, и так оплачиваются, «кушать не просят». А за отказ их что, похвалят? На мой взгляд, PR-выхлоп от этого не перевесит потерю дефицитного ресурса.

      Так что говорить, что гиганты начнут менять себя, чтобы всем стало лучше — это не особо реалистично. Так же, как ждать от них перевода ЛВС на IPv6 — это куда хуже, чем просто на «серые» IPv4 перебраться.
      • 0
        Дак никто и не говорит о мгновенном переезде, это нужно делать постепенно.
        • 0
          Простите, я так и не увидел мотивов для гигантов. Запас у них есть, надо будет — начнут экономить свои внутренние ресурсы. Но чтобы ради популяризации нового отказываться от хорошо освоенного старого?.. Простите, не увидел в ваших словах резона для «больших ребят» — а они без четкого резона вряд ли двинутся.
          • 0
            Я так понял обычным пользователям начинают выдавать ipv6 адреса и потому
            Например, мы на себе испытали проблемы потери трафика при подключении IPv6. В частности, в одном из экспериментов мы открыли сервис suggest.yandex.net (обслуживающий подсказку в поисковой строке) по IPv6 на весь интернет. В результате обнаружилось, что мы теряли до 2% запросов, что было неприемлемо. Теоретически механизм работы систем с поддержкой IPv6 и IPv4 предполагает, что программа (например, браузер) сначала пытается подключиться к IPv6-адресу, а если это не удается, переподключается через IPv4. Проблема в том, что в современных операционных системах таймаут на подключение может составлять десятки секунд и, конечно, пользователь не будет ждать так долго.

      • +1
        Такой переезд, знаете ли, хуже пожара — контора просто перестанет работать на какое-то время.

        Даже в сценарии перехода на приватные сети это не так, миграцию вполне можно сделать плавно. Но у них нет причин отдавать куски своих /8 миру.

        В случае IPv6 обычно речь идет о dual stack. Параллельно с IPv4 на сетевом оборудовании поднимают IPv6. Потом на серверах. Потом на рабочих станциях конечных пользователей. При грамотном планировании это делается без прерывания сервиса.

        Однако, management overhead вырастет, это да, соответственно — затраты на сопровождение вырастут, соответственно — они будут тянуть с этим, пока можно.
  • +3
    читабельность и удобство запоминания IPv6 адресов просто в минусе, чтобы не сказать покрепче. Глядишь, если бы пошли по пути добавления октетов и сказали, что все «старые» адреса теперь относятся к зоне 1.0.0.0.0/0, то уже были бы все на 6й версии и не о чем было бы говорить.
    • 0
      Так и сейчас есть зона ::ffff:xx.xx.xx.xx, в которую можно отнести старые ipv4 адреса, и что с того? Старое оборудование всё равно не поддерживает новый протокол и не сможет адресовать пакеты в остальные зоны, даже если мы будем прозрачно «транслировать» эту зону в ipv4.
    • 0
      Согласен, полная жесть, но это, отчасти, от непривычки. Мне кажется, для управления серверами и сетевым оборудованием ещё очень долго будет использоваться IPv4, а пользовательский трафик будет переходить на IPv6.
  • 0
    Боюсь, что сроки внедрения IPv6 для России сдвигаются в отдалённое будущее благодаря нашей думе. Закон против интернета ужесточают. А на данный момент IPv6 позволяет обойти запреты, выставленные провайдерами. Так что, думаю, не будут они торопиться, ибо для них не исполнение закона чревато. Им проще посадить клиентов за NAT. Спасибо идиотам за наше не радужное будущее…
  • +10
    на русском дне IPv6.

    Читается двояко…
  • +1
    А веб-морда когда перейдёт на ipv6?

    Транспорт работает: ping -6 mx.yandex.ru
    Обмен пакетами с mx.yandex.ru [2a02:6b8::89] с 32 байтами данных:
    Ответ от 2a02:6b8::89: время=46мс
    Ответ от 2a02:6b8::89: время=46мс
    Ответ от 2a02:6b8::89: время=46мс
    Ответ от 2a02:6b8::89: время=46мс
    Статистика Ping для 2a02:6b8::89:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0

    Веб-морда: C:\Distrib>ping -6 mail.yandex.ru
    При проверке связи не удалось обнаружить узел mail.yandex.ru.
    Проверьте имя узла и повторите попытку.

    Ай-яй, нету AAAA записи, пичаль.
    • +1
      Не все сразу. Будет. Запустили пока на mail.yandex.com.

      host mail.yandex.com
      mail.yandex.com has address 213.180.204.25
      mail.yandex.com has address 87.250.250.25
      mail.yandex.com has address 93.158.134.25
      mail.yandex.com has address 213.180.193.25
      mail.yandex.com has IPv6 address 2a02:6b8::25

      • 0
        Что-то снаружи пока не видать:

        ping -6 mail.yandex.com
        При проверке связи не удалось обнаружить узел mail.yandex.com
        Проверьте имя узла и повторите попытку.

        Ай-яй, нету AAAA записи, всё равно пичаль.
        • 0
          Может, стоит спросить своего провайдера про наличие у него IPv6?
          • 0
            Чего спросить? Провайдер мне даёт IPv6 сеть /64. Я говорю о том, что нет DNS AAAA записи для хоста mail в домене yandex.com, поэтому браузер, пущенный на mail.yandex.com, установит соединение на IPv4 адрес, независимо от наличия доступа по IPv6 в моей системе.
            • 0
              Ваш провайдер не попал в DNS view, про который написано в статье.

              Но мы с коллегами тут посоветовались и убрали mail.yandex.com (и passport.yandex.com) из view, так что они теперь видны всему Интернету. Проверяйте.
              • 0
                ping mail.yandex.com
                Обмен пакетами с mail.yandex.com [2a02:6b8::25] с 32 байтами данных:
                Ответ от 2a02:6b8::25: время=42мс

                Да, сейчас всё работает, круто!
                Ждём домены в зоне ru, ну и остальные сервисы, конечно же!
        • 0
          У меня [почти] то же самое:
          askinfra@infra:~$ dig +short -t AAAA mail.yandex.com
          2a02:6b8::25
          askinfra@infra:~$ host mail.yandex.com
          mail.yandex.com has address 213.180.193.25
          mail.yandex.com has address 213.180.204.25
          mail.yandex.com has address 93.158.134.25
          mail.yandex.com has address 87.250.250.25
          mail.yandex.com has IPv6 address 2a02:6b8::25
          mail.yandex.com mail is handled by 0 mx-corp.yandex.ru.
          askinfra@infra:~$ ping6 mail.yandex.com
          unknown host
          askinfra@infra:~$ ping6 2a02:6b8::25
          PING 2a02:6b8::25(2a02:6b8::25) 56 data bytes
          64 bytes from 2a02:6b8::25: icmp_seq=1 ttl=58 time=11.1 ms
          64 bytes from 2a02:6b8::25: icmp_seq=2 ttl=58 time=10.1 ms
          64 bytes from 2a02:6b8::25: icmp_seq=3 ttl=58 time=12.6 ms
          64 bytes from 2a02:6b8::25: icmp_seq=4 ttl=58 time=11.6 ms
          ^C
          --- 2a02:6b8::25 ping statistics ---
          4 packets transmitted, 4 received, 0% packet loss, time 3004ms
          rtt min/avg/max/mdev = 10.179/11.398/12.648/0.896 ms
          askinfra@infra:~$
          

          ОС: Debian GNU/Linux 7.4 AMD64
          IPv6: 6to4
          • +1
            IPv6: 6to4
            Вот в этом и была проблема. В статье написано, что мы используем DNS view, и мы не клали 6to4 в этот view.

            Но мы с коллегами тут посоветовались и убрали mail.yandex.com (и passport.yandex.com) из view, так что они теперь видны всему Интернету. Проверяйте.
            • 0
              Владимир, приветствую! Да, сейчас всё заработало ОК:
              askinfra@infra:~$ ping6 mail.yandex.com
              PING mail.yandex.com(mail.yandex.com) 56 data bytes
              64 bytes from mail.yandex.com: icmp_seq=1 ttl=58 time=9.92 ms
              64 bytes from mail.yandex.com: icmp_seq=2 ttl=58 time=10.6 ms
              64 bytes from mail.yandex.com: icmp_seq=3 ttl=58 time=8.99 ms
              64 bytes from mail.yandex.com: icmp_seq=4 ttl=58 time=9.91 ms
              64 bytes from mail.yandex.com: icmp_seq=5 ttl=58 time=11.4 ms
              ^C
              --- mail.yandex.com ping statistics ---
              5 packets transmitted, 5 received, 0% packet loss, time 4005ms
              rtt min/avg/max/mdev = 8.995/10.183/11.456/0.829 ms
              

              Спасибо!
  • 0
    А почему отключили v6 на yandex.ru? И на direct -е?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное