IPv6: Největší mýty a omyly

Patnáct let internetoví inženýři a tvůrci zásad upozorňovali na potřebu upgradu současného adresovacího schématu internetové sítě, známého jako IPv4, za účelem zvládnutí explozivního růstu sítí.


Přesto však mnoho ředitelů IT a technologických šéfů dál pokračuje v zachovávání dezinformací používaných k ospravedlnění, proč nový standard IPv6 nezavádějí.

Tento problém je v současnosti ale už velmi palčivý, protože internetu adresy IPv4 docházejí. Protokol IPv4 používá 32bitové adresy a může podporovat až 4,3 miliardy zařízení přímo připojených k internetu. Nekompatibilní náhradní protokol IPv6 používá 128bitové adresy a podporuje prakticky neomezený počet zařízení: až 2128.

Uvádíme zde seznam největších omylů týkajících se spotřebování adres IPv4 a nasazení IPv6, které se v posledních týdnech a měsících objevily.

1. Internet má stále mnoho adres IPv4.
Adresy IPv4 internetu dojdou, ale čas závisí na místě Země, kde žijete, a na rychlosti růstu příslušné sítě. Začátkem února byl už vyčerpán fond nepřiřazených adres IPv4 – autorita IANA (Internet Assigned Numbers Authority) rozdělila posledních pět bloků adresního prostoru IPv4 – každý s cca 16,7 milionu adres pro pět regionálních registrů. Ty budou rozdělovat většinu těchto adres IPv4 pro operátory v roce 2011.

Vyčerpání volného fondu IPv4 je prvním krokem k tomu, kdy adresy IPv4 reálně nebudou k dispozici. Je to významný milník ve 40leté historii internetu, protože ukazuje, že i ty jsou omezeným prostředkem.

V příštích několika měsících bude pro mobilní a širokopásmové operátory s rychle rostoucími sítěmi stále obtížnější získat bloky sousedního adresního prostoru IPv4, který je potřebný k vytváření jejich sítí.

Někteří provideři pro tento rok předpovídají masivní nedostatek adres IPv4. Například společnost China Telecom předpověděla, že v letošním roce jí bude chybět 20 milionů zmíněných adres, což ovlivní nasazení mobilního broadbandu, IP TV a dalších populárních služeb.

Některé vládní úřady USA a společnosti se účastnily původního výzkumu, který vyústil do získání velkých adresových bloků ještě předtím, než si kdokoli uvědomil, že se brzy bude jednat o nedostatkový zdroj. Pro tyto šťastné organizace, jako jsou americká armáda, společnost IBM nebo institut MIT, nebude vyčerpání IPv4 v dohledné době hrozit.

Většina společností, které realizují podnikání přes internet, ale má velmi omezený počet adres IPv4. Rychle se blíží den, kdy budou tyto firmy potřebovat další a nebudou je schopny od svých operátorů získat. V ten den si každý ředitel IT uvědomí, že internetu zásoby definitivně došly.

2. Naše společnost zatím protokol IPv6 nenasadila.
Vysoký IT manažer ve společnosti, která provozuje řadu webových serverů a inkasuje více než 100 milionů dolarů ročně, ve výroční zprávě nedávno uvedl, že se pro nasazení protokolu IPv6 zatím neobjevil žádný pádný důvod. Tato firma nezahájila vůbec vývojářskou práci s ohledem na implementaci protokolu IPv6 ani si pro tento úkol nevyčlenila prostředky ve svém ročním plánu. Tento manažer však žije pod falešným dojmem, že protokol IPv6 je upgrade, který lze odložit.

John Curran, prezident a výkonný ředitel registru ARIN (American Registry for Internet Numbers), tvrdí, že všechny firmy podnikající přes internet by měly na svých webech a příslušných službách pro veřejnost do 1. ledna 2012 podporovat protokol IPv6, jinak riskují ztrátu potenciálních zákazníků.

Podobně americká administrativa přikázala, aby všechny její úřady provedly upgrade webových serverů a služeb pro veřejnost tak, aby podporovaly přenosy IPv6 do 30. září 2012. Experti na vyčerpání adres IPv4 tvrdí, že firmy, které nemají plán přechodu na IPv6, již svým způsobem zaostávají.

„Vyčerpání volného fondu IPv4 je bezesporu určitým budíčkem,“ tvrdí Chris Davis, ředitel korporátních marketingových komunikací ve společnosti NTT, která je poskytovatelem tranzitních a přístupových služeb IPv6. „Pokud jste to nebrali vážně, měli byste začít. Nemáte-li plán přechodu, raději si nějaký urychleně vytvořte... IPv6 je totiž už realitou.“

Otálení je částečně výsledkem mylné důvěry IT ředitelů, že se jim o přechod na IPv6 postarají jejich operátoři. To se ale nestane. Podniky musí IPv6 zapnout pro svůj vlastní webový obsah prostřednictvím nativní podpory protokolu IPv6 nebo pomocí překladových mechanizmů IPv6-to-IPv4 v rozhraní svých webových serverů.

„Operátor se sice musí postarat o IPv6 v rámci vlastní infrastruktury, ale podniky nesou zodpovědnost za své vlastní sítě a svůj přístup k síti včetně směrovačů, firewallů a webových služeb,“ prohlašuje Davis.

3. Šťastný uživatel internetu dostane poslední adresu IPv4.
Experti sice předpovídají, že internetu skutečně dojdou adresy IPv4 až za mnoho měsíců. Šťastný majitel té poslední ji ale rozhodně nezíská v nějaké loterii. Regionální internetové registry momentálně rozdělují zbývající adresy IPv4 operátorům v procesu, který může trvat tři až devět měsíců.  Nejzazší vyčerpání fondu adres IPv4 se očekává u afrického registru AfriNIC.

„Každý regionální registr rozdá poslední své adresy IPv4 svou vlastní rychlostí,“ tvrdí Curran. „Vzhledem k tomu, jak se přidělují v Africe, to téměř jistě znamená, že AfriNIC bude mít volné adresy jako poslední.“

APNIC (Asia Pacific Network Information Centre) má unikátní zásady distribuce svých posledních 16,7 milionu adres IPv4. Bude umožňovat operátorům získávání jednorázových přídělů 1 024 adres a některé si dokonce bude rezervovat pro začínající firmy. Tyto nepatrné příděly však nesplňují potřeby rychle rostoucích sítí operátorů. Z praktických důvodů tedy budou zmíněné adresy v Asii vyčerpány již tento rok.

Pro společnosti v USA určitě dojde k vyčerpání adres IPv4 v roce 2011. ARIN v únoru oznámil, že má kolem 80 milionů adres IPv4 a očekává jejich vyčerpání během devíti měsíců. Dalším důvodem, proč poslední adresu IPv4 nedostane šťastný uživatel internetu, je to, že operátoři pravděpodobně budou tyto stále se tenčící zdroje sdílet mezi více subjekty. I v případě, že byste dokázali zjistit, kdo dostal poslední adresu IPv4 od konkrétního operátora v konkrétním regionu, bude tato adresa pravděpodobně rozdělena mezi více uživatelů.

Je také možné, že adresy IPv4 budou recyklovány. Poskytovatelé a podniky, kteří provedou upgrade na protokol IPv6, mohou ty nevyužité vrátit do regionálních registrů. Několik organizací včetně americké armády, Standfordské univerzity a veletržního gigantu Interop již vrátilo část nevyužitého adresního prostoru IPv4 do registru ARIN. V případě, že bude recyklování adres IPv4 populárnější, mohl by tento trend oddálit vyčerpání adres o několik dalších měsíců.

„Očekáváme, že budou dostupné adresy, které se objeví v důsledku politiky přechodu na IPv6,“ uvádí Curran. „Osoba, která dostane poslední adresu IPv4 z volného fondu, tak pravděpodobně nebude poslední osobou, která ve skutečnosti adresu IPv4 obdrží.“

4. Objeví se černý trh pro adresy IPv4.
Experti prohlašují, že černý trh s adresami IPv4 se pravděpodobně neobjeví, protože regionální internetové registry vytvořily legální cesty k tomu, aby organizace mohly přenést nebo prodat své nevyužité adresy IPv4.

Například zmiňovaný ARIN má vytvořen proces, který umožní přenést použité adresy IPv4 k operátorům podobně, jako to dělají pro ty nové. Ve všech případech musí příslušní provideři ukázat své plány ohledně použití těchto adres k poskytování síťových služeb, a ne si je hromadit pro budoucí použití.

„Bude existovat trh pro takové transfery,“ komentuje situaci Curran. „Máme službu seznamu, kde mohou subjekty uvádět své požadavky na adresový prostor. Práce registru ARIN je udržovat přesné záznamy o tom, kdo jaký má.“

Curran uvádí, že ARIN má navíc autoritu k odebrání IP adres, pokud jsou použity v rozporu se stanovenými zásadami. „Subjekty, které se o něco nekalého pokoušejí, riskují, že jejich IP adresy budou registrem ARIN zrušeny a znovu vydány někomu jinému,“ varuje Curran. „Existuje dost zájemců čekajících na adresy IPv4, takže budou určitě rychle rozebrány.“

Regionální internetové registry zvažují nové zásady, které umožní adresovému prostoru IPv4 přesun mezi regiony. „Například Severní Amerika má velké množství adresového prostoru vydaného od počátku existence internetu,“ tvrdí Curran. „Tyto prostředky by měly být dostupné celé internetové komunitě. Očekávám, že uvidíme meziregionální transfery.“

Raul Echeberria, ředitel organizace NRO (Number Resource Organization), která zahrnuje pět regionálních internetových registrů, uznává, že se může černý trh s adresami IPv4 objevit, ale tvrdí, že si není jeho vznikem jist, protože existují pravidla pro přenosy adres IPv4.

„Existuje samozřejmě možnost, že někdo prodá adresy IPv4 mimo systém, ale jsem si jist, že to bude malé množství ve srovnání s přenosy adres v rámci systému,“ vysvětluje. Echeberria dodává, že hodnota adres IPv4 bude s přijetím IPv6 síťovými operátory klesat, takže černý trh bude postupně ztrácet svou momentálně zvýšenou atraktivitu. „Pokud přejde internetová komunita na IPv6, hodnota adres IPv4 se v budoucnu sníží,“ dodává. „A pro existenci černého trhu tudíž nebude důvod.“

5. IPv6 je bezpečnější než IPv4.
Obhájci protokolu IPv6 tvrdí, že jednou z jeho výhod je vestavěná podpora pro IP Security (IPsec), což je internetový bezpečnostní standard umožňující autentizovanou a šifrovanou komunikaci mezi dvěma koncovými body. Experti však prohlašují, že také protokol IPv4 podporuje IPsec dostatečně dobře, takže zabezpečení tohoto typu rozhodně není výhodou pro IPv6.

„Vyšší bezpečnost protokolu IPv6 vůči IPv4 je pouhým mýtem,“ prohlašuje Qing Li, vědecký pracovník společnosti Blue Coat Systems, která IPv6 podporuje ve svých síťových appliancích. „IPv6 byl navržen pro ulehčení implementace IPsec a umožňuje jeho lepší funkci, ale je to jen komponenta... Neznamená to, že je samotný protokol IPv6 bezpečnější.“
Z krátkodobého hlediska protokol IPv6 pravděpodobně naopak způsobí nižší ochranu internetu – a nikoli vyšší. Je to způsobeno tím, že mnoho síťových operátorů chce provést upgrade na relativně neověřenou technologii IPv6 ve stejnou dobu.

„Z dlouhodobého hlediska protokol IPv6 významně zlepší zabezpečení internetu, protože každý koncový bod bude mít k dispozici šifrování. Tato úžasná nirvána je však ještě velmi vzdálena,“ tvrdí Curran. „Na druhou stranu, z krátkodobého hlediska IPv6 znamená první zapnutí velkého množství funkcí kódu. Kdykoli v celém internetu použijete nový kód, existuje mnoho výskytů chyb. Lidé tedy budou muset být velmi pozorní.“

Dalším problémem je nedostatek síťových inženýrů se znalostmi a zkušenostmi se sítěmi IPv6. „S IPv6 je tak málo provozních zkušeností, že lidé budou přirozeně dělat chyby,“ varuje Cricket Liu, viceprezident architektur a technologií ve společnosti Infoblox, která prodává DNS appliance s podporou protokolu IPv6.

„Síťoví inženýři konfigurující IPv6 mohou dělat školácké chyby, které by s protokolem IPv4 neudělali. Kvalita implementace bude problémem.“

Dodavatelé zabezpečení také neposkytují stejné množství vlastností nebo úroveň výkonu ve svých produktech s IPv6 ve srovnání s nabídkami pro produkty s podporou IPv4. „Pokud vám síťový dodavatel řekne, že mají kompletní paritu mezi IPv4 a IPv6, jedná se o mýtus,“ varuje Danny McPherson, ředitel zabezpečení společnosti VeriSign, která je operátorem domén .com a .net a je lídrem v nasazování protokolu IPv6 ve Spojených státech. „Je vysoce nepravděpodobné, že by většina komerčních produktů realizovala rozsah a funkce pro protokol IPv6 tak, jak to v současnosti činí pro IPv4.“

McPherson tvrdí, že hromadné nasazení IPv6 vytvoří nové zranitelnosti u síťových operátorů. Internet například bude mít více překladových zařízení, která mohou přitáhnout útoky typu DDoS (Distributed Denial-of-Service) nebo mohou být místem výskytu chyb. Síťoví operátoři budou také méně vidět do přenosového systému internetu, takže pro ně bude těžší zjistit hrozby, jako jsou například botnety.

„Čeká nás určité období zranitelnosti, dokud nedojde k významnějšímu rozšíření IPv6. Čím dříve to bude za námi, tím lépe,“ prohlašuje McPherson. A dodává, že „pokud povolíte protokol IPv6 ve své síti, měli byste se nejprve ujistit, že máte stejnou kontrolu a prostředky obrany, jako je tomu v případě IPv4.“

6. IPv6 zjednoduší internet.
Protokol IPv6 slibuje komplexní komunikaci s odebráním současných podpůrných zařízení pro překlad síťových adres (NAT, network address translation) a dalších boxů, které byly k rozšíření života omezeného adresového schématu IPv4 nezbytné.

Ve skutečnosti správci sítí hodlají ještě po dlouhou dobu, ne-li rovnou desítky let, provozovat protokoly IPv6 a IPv4 vedle sebe. Tato dlouhodobá koexistence dvou řešení způsobí v dohledné budoucnosti vyšší složitost správy.

„IPv4 zde bude ještě několik desítek let,“ tvrdí Curran. „Pro jeho eliminaci není stanoven žádný plán, ale časem bude finančně výhodnější provozovat jen IPv6... Implementace a podpora obou síťových protokolů mnoho let by byly poměrně komplikované.“

Síťoví operátoři musí oba protokoly provozovat, protože IPv6 není zpětně kompatibilní, což je fakt, kterému mnoho ředitelů IT a technologických ředitelů nechce věřit. Komunita internetových inženýrů samozřejmě ví, že největší chybou v návrhu protokolu IPv6 je to, že není zpětně kompatibilní s IPv4.

„Mnoho lidí se domnívá, že IPv4 a IPv6 jsou přenositelné a že pro zajištění spolupráce mezi hostiteli IPv4 a IPv6 není třeba příliš práce,“ uvádí McPherson. „Pokud ale není k dispozici duální sada protokolů, je nutné použít překladové zařízení.“

IPv6 byl prosazován jako element ukončující fenomén spočívající v překladu síťových adres (NAT), který nemají ti, kteří dbají o čistotu samotného internetu, rádi, protože přerušuje vlastní IP komunikaci.

Síťoví operátoři však tak dlouho čekali s upgradem na IPv6, že nyní budou muset spoléhat na NAT na operátorské úrovni a na další překladače IPv6-to-IPv4, aby mohli nástup síťových přenosů IPv6, který je očekáván během následujících 12 měsíců, úspěšně zvládnout.

„Většina přechodových technologií představují buď samotné překlady NAT, nebo jsou navrženy tak, aby přes NAT procházely,“ říká Liu. „Tunelovací technologie Teredo (IPv6-over-IPv4) je navržena k průchodu přes NAT. Nat64 (překladové schéma IPv6-to-IPv4) je technologií NAT. Nemyslím si, že právě NAT v dohledné době zmizí.“

Liu doufá, že v roce 2016 už bude většina internetových páteřních sítí upgradována na protokol IPv6 a bude existovat jen možnost konektivity pouze pro IPv4. „Během následujících pěti let bude vše složitější, protože budou vedle sebe provozovány dva protokoly,“ uvádí Liu. „Budeme mít všechny tyto bláznivé technologie pro přechod. Ne jen jednu, ale mnoho... Je naivní si myslet, že IPv6 nám najednou zajistí komplexní síťovou nirvánu.“

Vyšlo v Computerworldu 9/2011
Časopis lze koupit se slevou 20 %










Komentáře