IPv6: Nová generace internetu

Náhrada současného internetového protokolu (IP verze 4) je vyvíjena již řadu let. Zpočátku pomalý nástup jeho ambic...


Náhrada současného internetového protokolu (IP verze 4) je vyvíjena již řadu
let. Zpočátku pomalý nástup jeho ambiciózního nástupce, verze 6, se nyní
zrychluje IPv6 se začíná stále výrazněji prosazovat v praxi. Jaký je současný
stav standardizace a zavádění nového protokolu?
Zdá se, že IPv6 je tím správným řešením nedokonalostí IPv4. Nasvědčuje tomu i
téměř dokončená standardizace, rozdrobenost alternativních řešení, nárůst počtu
fungujících implementací IPv6, rozvoj jeho používání a podpora IPv6 významnými
výrobci. Otázkou tedy již není "jestli vůbec", ale "jak a kdy" na nový protokol
přejít.
Dobrou zprávou je, že nový protokol je možno přes jeho nekompatibilitu s IPv4
zavádět do sítí postupně, a není tak nutno se ztrátou odepsat investice do
technologií IPv4. Samotný přechod nebude akcí typu Y2K. Výměna protokolu bude
probíhat postupně a hladce, podle potřeby konkrétní sítě, aplikací nebo
uživatelů. Přechod by měl být pozvolný, nucené urychlování bude jen na škodu
(hrozí zklamání z malé užitečnosti a nehotových produktů).

Podmínky přechodu
Pro přechod existující IPv4 sítě na nový protokol je potřeba upravit:
směrovače (routery) v síti
operační systém v koncových uzlech
síťové aplikace, programy
První dvě oblasti již dnes nabízí pokročilé možnosti fungování IPv6, i když k
plné podpoře ještě sem tam něco schází. Časově nejnáročnější částí migrace bude
úprava síťových aplikací na IPv6 (někde je silná závislost na IPv4, jinde stačí
jen malé úpravy) bez fungujících aplikací ale nemá smysl nový protokol nabízet
uživatelům. Rychlost těchto úprav bude závislá i na poptávce po nových
schopnostech IPv6.
Jako odpověď na otázku, jak v síti přejít z jednoho protokolu na druhý, je
připraveno několik mechanismů:
tunely pro tvorbu IPv6 spojů po IPv4 infrastruktuře propojující ostrovy IPv6
stanic přes původní IPv4 internet
překladové brány řešící komunikaci mezi hosty v různých sítích (jeden uzel zná
jen protokol IPv4 a druhý jen IPv6)
mezivrstvy v API (programové rozhraní, které překládá specifika protokolů IPv4
a IPv6 mezi sebou uvnitř počítače, takže není potřeba přepisovat starší
programy)
takzvaný dual-stack, koexistence obou protokolů na daném uzlu po celou dobu
přechodu což je zřejmě nejlepší postup (dual-stacková stanice se rozhoduje dle
aktuální situace, který protokol využije)
Doporučený postup zavádění IPv6 začíná od páteře sítě, kde se její poskytovatel
předem připraví na budoucí požadavky uživatelů.

Současná podpora
Praxe již mnohokrát ukázala, že sebelepší technické řešení nemůže dlouhodobě
existovat bez jeho akceptování širokou skupinou výrobců, vývojářů a správců. To
bylo dlouho otázkou i u IPv6 existovaly totiž obavy, že motivy pro přechod z
IPv4 nebudou tak silné, aby se nový protokol dokázal prosadit i komerčně. V
současné době je možno říci, že i přes pomalý rozvoj je nový protokol považován
významnými výrobci jak aktivních prvků, tak operačních systémů, za budoucí
platformu internetu.
Jen namátkou: firma Cisco Systems implementuje IPv6 do svých směrovačů od IOSu
verze 12.2(T) a v posledním roce ohlásila také vývoj hardwarové podpory IPv6 v
nové řadě L3 přepínačů (Catalyst 3750). V nejrozšířenější desktopové platformě
Windows firmy Microsoft je IPv6 možno doinstalovat již do verze 2000, od verze
XP je zabudována podpora přímo v systému, přičemž okruh podporovaných funkcí a
standardů IPv6 se neustále rozšiřuje. Operační systém Sun Solaris v sobě má
podporu IPv6 včetně směrování již od verze 8. V linuxovém jádře řady 2.4 a
dalších je IPv6 standardně. Systémy rodiny BSD (např. FreeBSD) jsou na tom
vůbec nejlépe: japonský projekt Kame pečlivě implementuje IPv6 standardy v
otevřených zdrojových kódech pro použití na této platformě, což ji předurčuje
jako pilotní pro nasazení nového protokolu (šlo o vůbec první použitelnou
platformu pro IPv6).
Nejpomaleji se přizpůsobující oblastí jsou IPv6 aplikace. Nicméně i zde
existují základní služby (FTP klient a server, webové servery i browsery, SMTP
servery a další), které je možno na IPv6 využívat na různých platformách,
Microsoft Windows nevyjímaje (například Internet Explorer). Nicméně hlavním
úkolem pro další období zůstává vytvoření a nasazení síťových aplikací alespoň
na té úrovni, na jaké fungují nad protokolem IPv4.

Fungující IPv6 ve světě
Stav produkční implementace IPv6 se liší zejména podle dostupnosti volných IPv4
adres. Jejich největší nedostatek mají v jihovýchodní Asii, kde díky obrovskému
rozvoji internetu a novým aplikacím zaznamenává IPv6 velkou podporu všech stran
(poskytovatelů připojení, uživatelů a vlády). Pro některé země jsou stanoveny i
termíny dokončení implementací velkých národních IPv6 sítí: Japonsko v roce
2005, Čína 2006, Tchaj-wan 2007 a Jižní Korea 2011.
O něco chladnější situace je v Evropě, kde komerční využití IPv6 vázne.
Donedávna bylo IPv6 výlučnou doménou akademických sítí národního výzkumu, ale
to se v poslední době díky silné podpoře (nejen) Evropské unie mění. IPv6 je
tak v Evropě nabízen i komerčně, a to včetně obsahu a síťových služeb na IPv6
fungujících. Ve srovnání s asijskou částí jde ovšem o chudého příbuzného.
Nejmenší problémy s nedostatkem adres jsou na severoamerickém kontinentu, kde
sice IPv6 nalezneme, nicméně většinu celkového objemu IPv6 přenosů tvoří
akademické sítě. Skepse panuje zejména k nutnosti přecházet z fungujícího
systému na neznámý (problémy IPv4 tam nejsou tak zřetelné).

V tuzemsku
V České republice je bezesporu největším hráčem na poli zavádění IPv6 síť
sdružení vysokých škol a Akademie věd Cesnet, které je zároveň poskytovatelem
produkční IP konektivity pro své členy. V roce 2004 nabízí nativní (netunelové)
připojení IPv6 do zahraničí pro všechny své členy a nabízí jim i propojení i
mezi sebou včetně připojení metropolitních sítí v Praze a v Brně.
Funguje i IPv6 peering s dalšími českými providery, těch bylo v ČR ke konci
letošního března 11. Nicméně komerční služby na bázi nového protokolu se
rozjíždějí pomalu, fungujících služeb je velmi málo.
Povzbuzením a urychlením přechodu bude bezesporu start nějaké end-to-end služby
ve větším měřítku (například internetové telefonie), případně překročení míry
únosnosti řešení typu překladová brána (NAT), proprietárních instalací VPN,
neschopnosti stávajícího IPv4 garantovat kvalitu přenosové služby a podobně.

Jak na IPv6 v praxi
Standardizace IPv6 je víceméně dokončena, většina důležitých dokumentů má
pevnou podobu. Na jejich základě jsou programovány i vlastní realizace
jednotlivých součástí nového protokolu, které můžeme nalézt na aktivních
prvcích, operačních systémech a v aplikacích. Tyto implementace je možno
nasadit již dnes.
Pokud váš poskytovatel internetového připojení nenabízí nativní IPv6
konektivitu, lze realizovat tunelové připojení přes IPv4 infrastrukturu k
nejbližší IPv6 síti a domluvit se na poskytování připojení tam. Existuje i řada
zkušebních sítí, které nabízejí tunelové připojení do IPv6 internetu a
přidělení IPv6 adres zdarma.
Z hlediska hardwarového vybavení jsou nejvhodnější volbou pro úvodní seznámení
a nasazení protokolu IPv6 v počítačové síti operační systémy vyvíjené na bázi
open source a fungující na relativně nenákladných platformách typu PC/Intel (u
směrovačů pak s několika síťovými kartami). Je tak možné implementovat novou
funkčnost bez nutnosti měnit fungující IPv4 infrastrukturu a bez závislosti na
platformě konkrétního výrobce.
Univerzalita PC open source směrovačů (jejich funkčnost je možno měnit okamžitě
s napsáním nového kódu) umožňuje testovat i dosud nehotové standardy a
implementace bez nutnosti čekat na podporu od výrobce aktivních prvků nebo
operačního systému. Stejnou flexibilitu nabízejí i open source aplikace, u
kterých jsou úpravy na IPv6 jednodušší. Bez obav tak můžeme do své produkční
IPv4 sítě nasadit flexibilní IPv6 prvky (kopírující strukturu produkční sítě),
které v této fázi zastanou stejnou službu jako komerční směrovače.
Nevýhodu směrovače založeného na platformě PC, jeho menší přepínací výkon ve
srovnání s komerčními výrobky, řeší například český projekt Liberouter sdružení
Cesnet. Ten se zabývá vývojem akcelerační směrovací karty do PC, která by měla
spojit flexibilitu, univerzalitu a dostupnost PC s výkonem hardwarového
přepínání komerčního směrovače. Karta je řešena na bázi programovatelných
hradlových polí (FPGA) s otevřeným hardwarovým návrhem i softwarovým zdrojovým
kódem.
Jak ukázaly zkušenosti při implementaci IPv6, na klientské straně je možné k
IPv6 připojovat rozšířené operační systémy Microsoft Windows 2000 a XP, které
jsou schopny využít autokonfiguračních možností nového protokolu a po jeho
jednoduché instalaci fungují s minimálními potřebnými zásahy.
Důležité je mít DNS server podporující IPv6 záznamy, například často používaný
BIND (už jen třeba kvůli složitému zápisu adres). Podle verze IP adresy se
orientují i klientské stanice, které fungují pod oběma protokoly a rozhodují
se, který protokol použít. Pokud server DNS vrátí obě adresy, je preferován
IPv6.
Při převodu síťových služeb na nový protokol je proto důležité dokončit převod
zcela a novou IPv6 adresu služby do DNS přidávat až jako poslední krok.
Aplikace by se jinak snažily spojit po novém protokolu k nehotové službě a z
pohledu uživatele by to vypadalo, že nefunguje.
Stejně jako pro IPv4 je třeba nasadit vhodný firewall chránící připojení do
internetu (může být realizován na jednom zařízení společně se směrovačem).
I když není stanovena doba přechodu nebo povinnost podpory nového protokolu, je
dobré již nyní pořizovat dlouhodobé investice (například komerční L3 přepínače)
s výhledem na IPv6 tedy se schopností podpory nového protokolu. Vyplatí se to i
v případě, že implementaci IPv6 v nejbližší době neplánujete.

Nestačí nám IPv4?
Mohlo by se zdát, že stávající nedostatky jsou dost dobře a na dlouhou dobu
řešitelné i pomocí doplnění ke stávajícímu protokolu IPv4 a že zavádění IPv6
není nutné. Skutečně velmi nepříjemnou skutečností je ovšem fakt, že i přes vše
pozitivní, co původní protokol IPv4 dokázal, se jeho adresní možnosti začínají
vyčerpávat.
Záplatová řešení (například překlad adres NAT) částečně pomáhají, nicméně mění
také původní charakter komunikace v internetu, kde byl každý uzel dostupný
každému bez prostředníků, každý paket v síti putoval samostatně bez nutnosti
udržovat na aktivních prvcích v síti stav jeho spojení se všemi negativními
důsledky, které z takové změny nezbytně vyplývají.
Bylo by škoda znehodnotit rozvojový potenciál internetu technologicky snadno
překonatelnými překážkami a nebýt na nové požadavky připraven. Bylo by škoda v
situaci, kdy bude chtít podnik připojit další IP telefon, narazit na nemožnost
jej adresovat, přímo jej propojit s telefony v jiné lokalitě a podobně.
Dokud bude pro správce sítí jednodušší stavět a udržovat různé překladové
brány, konfigurovat a ladit doplňkové mechanismy na bázi IPv4 než implementovat
nový protokol, nechť tomu tak je. Náročnost těchto činností ale bude stále
vzrůstat, a pak v určitém okamžiku bude migrace na IPv6 výhodnější. Nový
protokol se standardizuje, implementuje a testuje proto, aby byl k dispozici,
až bude třeba. Proto není určena doba přechodu ale je jisté, že nastane.

IP verze 4 už nestačí
Za 30 let používání protokolové rodiny TCP/IP se ukázalo, že je možné ji bez
obav nasadit v rozlehlé globální síti v internetu. Na protokoly jsou však díky
velkému rozvoji a komerčnímu použití kladeny další požadavky. Některým už nelze
tak snadno vyhovět, současná, čtvrtá, verze protokolu IP má jisté limity:
Nedostatek adres pro přidělení nově příchozím účastníkům internetu. Díky novým
přístupovým technologiím (PLC, xDSL, CaTV, mobilní sítě) a aplikacím (IP
telefonie, telematika, P2P služby, zábavní průmysl obecně aj.) se připojují
další zařízení. Adresy chybí zejména v asijské oblasti (Japonsko, Čína, Jižní
Korea).
Slabá podpora služeb zajišťujících bezpečnost přenosu, garantujících jeho
kvalitu, usnadňujících konfiguraci a mobilitu stanic a další.
K řešení těchto potíží lze přistoupit dvěma způsoby: doplňovat požadované
vlastnosti do stávající verze IP nebo na (skoro) čistém stole navrhnout a
zavést protokol nový, který by řešil příčiny problémů od základů. Oba způsoby
řešení existují paralelně vedle sebe. První se snadněji zavádí (například
mechanismus překladu adres NAT řešící jejich nedostatek), nicméně jako záplaty
na částečně děravý pytel jsou řešením pouze dočasným. Jejich aplikace se
negativně projevuje ztrátou end-to-end konektivity zařízení připojených k
internetu, stavovým charakterem komunikace, nutností údržby dalších prvků v
síti a podobně.

Konečně dostatek adres
Protokol vyvíjený v pracovních skupinách IETF jako "IP nové generace" nakonec
získal označení IP verze 6 (IPv6). V rámci jeho vývoje došlo oproti původnímu
IP k rozšíření adresního prostoru na 128 bitů, což umožňuje teoreticky
očíslovat až 3x 1038 aktivních prvků sítě (stávající IP jich zvládne 4x 109).
Podle některých vyjádření by tak měl být dostatek IP adres minimálně do doby
osídlení planety Mars.
Adresa samotná se zapisuje hexadecimálně, kde každá čtveřice znaků je oddělena
dvojtečkou: 2001:0718:1F02:0000:0000:0000:0000:0001 ve zkráceném zápisu pak
2001:718:1F02:1. V IPv6 se využívá beztřídního směrování pomocí spojitých
masek, zapisovaných například /32, /48 nebo /64 (bitová délka masky). Vychází
se ze striktně hierarchického směrování a přísné agregace adres od
poskytovatele nejvyšší úrovně až k zákazníkovi. ISP získají od registrátora
(např. RIPE-NCC) prefix délky 32 bitů, ISP pak přidělují svým koncovým
zákazníkům prefix /48 a koncové sítě mohou využít 16 bitů pro tvoření podsítí s
délkou 64 bitů v rámci své organizace. Zbylých 64 bitů adresy je ID zařízení,
což může být buď identifikátor rozhraní EUI-64 (MAC adresa + "vycpávka" FFFE),
vložená IPv4 adresa nebo sekvenční číslování.

Novinky IPv6
IPv6 obsahuje povinné implementace protokolů Differentiated Services a
Integrated Services včetně RSVP (na rozdíl od IPv4, kde jsou volitelné). Díky
jejich hromadnému nasazení by mělo být možné garantovat kvalitu přenosové
služby (QoS) těm aplikacím, které to vyžadují (například VoIP). Pro podporu
kvality služby jsou přímo v základní IPv6 hlavičce tyto položky:
Značka toku (Flow Label) pro podporu IntServ. Tím lze na směrovačích rozlišit
data náležející ke stejnému datovému toku (například multimediálnímu proudu).
Třída provozu pro klasifikaci ve službách DiffServ. Podle prirorit uvedených v
hlavičce paketu může směrovač upřednostnit některé pakety před jinými.
IPv6 počítá v základním návrhu i s tzv. s mobilními uzly. Nasazení tohoto
mechanismu by mělo usnadnit cestování zařízení (notebooků, PDA aj.) mezi
různými přípojnými místy. Ideou mobility je dosažitelnost uzlu stále pod
stejnou adresou, bez ohledu na to, ve které síti se právě nachází. Pokud uzel
cestuje (mobilní uzel, MN), ohlásí se do své domovské sítě takzvanému domácímu
agentovi (HA), kterému sdělí svou aktuální adresu v cizí síti. HA zastoupí
mobilní uzel v odpovědi na požadavek na komunikaci s třetím subjektem, který
dorazil do domácí sítě. Zároveň mu sdělí aktuální adresu MN. Třetí subjekt si
upraví aktuální adresu a dál s MN komunikuje přímo.
Správcům sítí ušetří řadu práce mechanismy automatické konfigurace připojených
zařízení, která je založena na inovovaných protokolech ICMPv6 a DHCPv6. Ty
realizují mimo jiné mechanismy objevování sousedů (naslouchání provozu a
cílenými dotazy zjišťování okolních uzlů v síti), ohlášení směrovače (router
inzeruje do sítě přidělenou síťovou adresu a připojené stanice si z něj mohou
odvodit svou IP adresu) a přečíslování sítě (hromadná změna síťové adresy).
Automatická konfigurace může být realizována v zásadě třemi způsoby:
Bezstavová konfigurace informace získané z ohlášení routeru a objevování
sousedů, není potřeba realizovat DHCP server.
Stavová konfigurace přidělování pomocí DHCP, jako identifikátor se používá
univerzální ID stanice.
Bezstavové DHCP kombinace způsobů výše uvedených, část informací (např. adresa)
je složena z ohlášení routeru, část je získána z DHCP.
Protokol IPsec (používaný i v IPv4) musí být v IPv6 uzlech implementován
povinně (aplikace jej však nemusí použít). Používá dvě doplňkové hlavičky: AH
pro ověřování pravosti, "podepisování" paketu bez šifrování obsahu a ESP pro
šifrování dat. Nové služby IPv6 však znamenají i nové bezpečnostní hrozby.

Vybrané webové zdroje k IPv6
n www.ietf.org/html.charters/ipv6-charter.html
n playground.sun.com/pub/ipng/html/ipng-main.html
n www.ripe.net/ipv6/ipv6allocs.html
n www.kame.net
n www.ten.cz/ipv6
n www.ipv6.cz
n www.liberouter.org/









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.