Do what you have to do
Sítě
Switch Mikrotik RB250GS – první dojmy
4. Bře
Původně jsem o tomhle levném, ale nadupadném gigabitovém switchi, chtěl napsat recenzi na Root.cz, ale okolnosti nakonec způsobily, že se o něm dočtete zde. K RB250GS jsem se dostal, když jsem řešil problém v Tešňovec.netu. Zde máme na hraničním routeru miniITX desku s Atomem 330. Do nej byla zapojená PCI karta se čtyřmi ethernetovými chipy VIA a odpovídajícím počtem portů. Nenarazili jsme vyloženě na vážné problémy, ale stávalo se nám, že občas byl nějaký hardware nekompatibilní. Největší problémy byly jeden čas mezi touto kartou a Mikrotikem RB600. Přesně si nepamatuji detaily, ale bylo nám jasné, že čtyřsíťovka musí z takto důležitého bodu pryč.
Mě samotnému se nejvíce líbilo řešení s dobrou Inteláckou síťovkou a nějakým pořádným switchem, kde by se pomocí VLANů nastavily čtyři oddělené sítě a tím by se odstranil jeden ze složitých a hlavně drahých prvků v hraničním routeru.
Nakonec padlo mé oko na switch od Mikrotiku s označením RB250GS. Docela levná krabice a tudíž i levně nahraditelná, 50 MHz procesor, podpora VLANů a 5 gigabitových portů. Je jasné, že to není žádný zázrak, ale po krátkém otestování mu nedělalo protahovat ani velké množství paketů.
Teď už je RB250GS na místě a dokonce přes něj píšu tento článek. Momentálně přes něj teče kolem 30 Mbit v 5000 paketech každou sekundu a ping na sousedící RB600 se drží na stálých 0.4ms. Tyto hodnoty jsou z naší špičky, takže jestli switch přežije dnešek, přežije cokoli.
První dojmy jsou tedy perfektní a za nějakých 800 Kč si snad geek nemůže přát víc. Takže se pojďme podívat, co Mikrotik RB250GS umí.
- Forwarding
- Port lock
- Port mirroring
- Omezování šířky pásma
- Omezování počtu paketů
- VLANy
- ACL
- SNMP
Co to znamená pro normálního uživatele. Pomocí forwardingu si můžete určit, do kterého portu mohou rámce cestovat. Lze tak vytvořit třeba dvě podsítě, fyzicky oddělené a spojovat je jedním zařízením.
Pomocí port locku lze zamknout port jen pro jedno zařízení. Buď se použije první MAC adresa, která se objeví a jiná už přístup mít nebude a nebo lze pravidla nastavit ručně.
Port mirroring slouží k zrcadlení provozu na jednom portu na druhý port. Nenapadá mě, jak toho využít, možná pro nějaké monitorování, ale je to tam a zní to hezky.
Zajímavou volbou je omezení počtu paketů a přenesených bytů na jednotlivých portech. V Třešňovec.netu pro to nemáme využití, ale na některých sítích se dá efektivně zabránit pokusům o zahlcení sítě a nebo o přetížení celého switche přes provoz z jednoho portu.
Nastavení VLANů je na první pohled dost nepřehledné, ale pokud mrknete do manuálu, pochopíte hned jak na to. VLANy jsou udělány pěkně. Nejdříve uživatel nastaví jaké ID VLANu má mít který port a pak vytvoří tabulku, do kterého portu má které VLAN ID přístup. Přesně tohle jsme v našem případě potřebovali, konkrétně aby se přes jeden port do hraničního routeru sunul provoz ze všech ostatních portů a až router rozhodoval o tom, kudy půjdou ven.
SNMP není třeba představovat. Kdo ho umí použít, vytáhne si z RB250GS všechny statistické informace, kdo ne, ten může tuto záložku přeskočit.
ACL se mi v RB250GS líbí nejvíc snad ze všech funkcí. I když je to docela jednoduchá vlastnost, je z ní mocný nástroj a dokáže nahradit jednoduchý firewall. Provoz lze řídit na základě IP adres, VLAN ID, MAC adres a dokonce ho přesměrovat na jednotlivé porty. Určitě si uděláte představu ze screenshotů.
A to je všechno. Mikrotik RB250GS nám tu sice běží jen pár hodin, ale s klidem bych si ho domů koupil. Pokud o něm uvažujete pro nějaké důležitější nasazení, můžete to risknout jako my, 800 není za tolik a nebo mi za pár týdnů napište, jak jsme na tom.
Switch se nastavuje bohužel jen přes webové rozhraní, ale to reaguje rychle a není zbytečně přeplácané. Výchozí adresa je 192.168.88.1/24 a uživatelské jméno admin. Heslo prázdné. Dokumentaci najdete na wiki Mikrotiku. Použitý operační systém je proprietární SwOS.
Přechod na IPv6, fakta a mýty
31. Led
V posledních dnech mě zaujal rozhovor s Ondřejem Filipem, jedním z mých oblíbenců z CZ.NIC. Díky němu máme v Třešňovec.net BIRD místo Quaggy a jsem opravdu rád, že jsem tenkrát na jeho prezentaci na LinuxAltu šel. BIRD šlape přesně tak jak se od něj očekává. V rozhovoru najdete několik zajímavých názorů na nasazení IPv6, které vypadají více reálně než ty co najdete v diskusích. Já sám jsem se ještě nerozhodl, které teorii konce internet se přikloním a tak jsem si tento rozhovor přečetl s chutí. Diskuse pod rozhovorem je perfektním zdrojem mýtů o IPv6, které mají uživatelé na mysli pokaždé o zmínce o tomto „zabijáku“ internetu jak ho známe. Tak pojďme na ně.
Konec mobilům na internetu.
Hned první komentář vyvolal flame, kde nějaký člověk tvrdí, že si kvůli IPv6 nebude kupovat nový mobil. Plně ho chápu a taky si kvůli IPv6 nebudu kupovat nový mobil, protože věřím, že až na to přijde, vyřeší se podpora aktualizací nebo nějakou technickou obezličkou u operátora. I tak nebude Internet za rok offline. Současné IPv4 adresy zůstanou a nové servery s IPv6 se schovají za stroje s IPv4. Už dnes se větší poskytovatelé obsahu schovávají za jednu IP adresu, i když požadavek jako takový vyřizuje nějaký jiný server. Rozděluje se tak zátěž přes několik serverů a pokud tohle přijde jako finančně dostupná služba, bude web ochráněn před IPv6 ještě nějaký ten rok co čtyřky dojdou.
Já vím, není to jen web, je tu kupa dalších služeb. Některé se přizpůsobí podobným způsobem a jiné služby holt časem na čtyřce neporostou. Když vám bude chybět nějaká hypermegacool služba, holt budete muset zainvestovat do nového telefonu, stejně jako to děláte dnes kvůli problémům, které tu nejsou ohlašovány už dvacet let.
Přechod na IPv6 bude stát domácnost průměrný plat
Každá síť je jiná a jde o technické řešení, které zvolil daný ISP v minulosti, ale přechod na IPv6 vás určitě nebude stát nějakých 20 000 kč, jak se objevilo o pár příspěvků níže. Například v Třešňovec.netu používáme jako klientské krabičky NanoStationy a jejich různé variace. Ty IPv6 bez problémů propouštějí a většina členů našeho sdružení má IPv6 k dispozici. Kolik že je to stálo? Nic. Kolik to bude stát ostatní? 1 300 kč.
Abych nebyl jednostranný. Třešňovec.net přistupuje ke každé IP adrese zvlášť. Máte doma 5 počítačů? Tak každý z nich má stejnou rychlost. Nemáme s tím problémy, nikdo to nezneužívá a když jeden člověk z rodiny něco stahuje, nebrzdí to třeba VOIP telefon. Na vnitřní síti není jediný NAT. Vím ale, že tady ve městě jsou poskytovatelé, kteří schovávají celý dům za NAT a omezují právě tu jednu adresu, za kterou se vnitřní síť domu schovává. Tahle technika nebude s IPv6 možná a bude potřeba každému domu přidělit jeden /64 prefix. A tady narážíme, protože málokterá krabička tohle umí. Navíc se zkomplikuje routování a je nutné upravit informační systém. To zmiňuje i Ondřej Filip v odkazovaném rozhovoru. Pokud poskytovatel používá třeba RouterBoardy od firmy Mikrotik, bude stačit aktualizace a jednoduché nastavení. Pokud používá nějaké jednoúčelové krabičky kvůli ceně, narazí a v horším případě to uživatel zaplatí. Cena ale málo kdy dosáhne na 2000 kč. Pro poskytovatele to bude vždy tak drahé, jak špatně svoji síť postavil.
Dnešní operační systémy už IPv6 podporují, takže kde jsou ty astronomické náklady na uživatele? Dovolím si tvrdit, že digitalizace televize uživatele vyšla dráž.
Nebude NAT, můj počítač bude v nebezpečí
Další z oblíbených mýtů ze strany odmítačů šestky. NAT nikdy nebyl zabezpečení a váš počítač je z venku dostupnější víc než si myslíte. Na routeru, který NATuje, existuje při běžném použití vašeho počítače hned několik portů, které jsou potencionální dírou do vašeho systému. Rozhodně nevypínejte firewall, pokud mezi vámi a internetem stojí jen NAT.
Jedinou ochranou je a bude vždy firewall, který se dá u IPv6 nastavit stejně jako u IPv4 a router vás dokáže jedním pravidlem ve firewallu ochránit lépe než NAT. Bohužel, bez firewallu připojení pojede, bez NATu ne, takže bude častým jevem, že vaše domácí síť se bude usmívat na okolí všemi vyceněnými porty.
IPv6 mě identifikuje
Tento mýtus také souvisí s NATem a jeho vlastností vás pseudoanonymně schovat za jednu adresu. Když se někam připojujete, druhá strana dostane adresu routeru vašeho poskytovatele a vy žijete ve falešném bezpečí, že je vše v pořádku. Už ale nevíte, že některé protokoly na vás lokální adresu vykecají. Pokud někdo o vaši adresu stojí, dostane ji ať chcete nebo ne a identifikace je na světě.
IPv6 disponuje tzv. Privacy Extensions pro bezestavovou autokonfiguraci. Když dostanete adresu na základě vaší MAC adresy, můžete si systém nastavit tak, aby se tato adresa měnila. Některé systémy to dokonce dělají samy. Co je tedy bezpečnější? Statický nepředvídatelný NAT nebo dynamická změna adres v IPv6?
IPv4 adresy nedojdou
Poslední mýt, který vybírám je jednoduchý, čtyřkové adresy nedojdou. Na to se dá říct snad jen, že to ani nejde, aby nedošly. Internet roste obrovským tempem a v době, kdy co jeden fyzický počítač to 16 virtuálních snad už ani nemůžeme doufat, že by současný stav vydržel nějak dlouho. Údaje, které najdete na CZ.NIC blogu mluví za vše. Serverů a uživatelů je v internetu čím dál víc a i když můžeme uživatele schovat třeba za 20 NATů, u serverů to nejde.
Závěr
Nedovedu si představit, co se za rok stane, až opravdu adresy nebudou. Přechodem na IPv6 jsem si prošel a když se podařilo vyřešit všechny mouchy v RouterOS od Mikrotiku, nebyl přechod nějak náročný. Vím že ne všude to bude jednoduché, dokážu si představit, že mi v COOLHOUSINGu řeknou „tak od zítřka jsou už jen šestky“, ale vůbec si nedovedu představit, jak budu poskytovat služby jen pro část internetu. Je mi líto lidí, co jsou teď zamčeni za NATem u ISP, kteří jsou rádi, když spojili síť do bridge a využili univerzální adresní prostor 192.168.1.0/24 do poslední kapky několikrát. Doufám, že se s nástupem IPv6 trh s ISP trochu pročistí a že bude práce pro mě i pro ostatní, co už mají s IPv6 zkušenosti. Snad to přinese i nějaké uživatele od konkurence k Třešňovec.netu. Nakonec jen dodám, udělejte si vlastní názor, teď nejde nic říct na jistotu, za rok budeme určitě moudřejší.
Možná už je čas i na IPv6 pro Initd.cz 
