Tajemství IPv6: obří rozsahy, šifrování a idea Mobile IP

Při vyslovení magické formule IPv6 si jistě každý vybaví nový adresní systém počítačů na internetu s obrovským rozsahem. IPv6 toho ale nabídne mnohem více. Třeba vyšší bezpečnost.

Poslední dva roky se na webu prakticky periodicky objevují zprávy o tom, jak pomalu dochází IP adresy a jak nás čeká scénář téměř apokalyptických rozměrů. Ruku v ruce s tím se zároveň stále častěji mluví o nové verzi IP adres – o stále tak trochu magických IPv6 adresách.

Média potřebují fakta zveličovat, v podstatě ale mají pravdu. Nový formát IPv6 by měl hromadu neduhů současného internetu skutečně vyřešit, přináší ale i svá rizika. Zároveň kolem něho koluje i několik polopravd. IPv6 tak ani zdaleka není „pouze roztáhnutý“ IPv4 protokol, který namísto současných 232 adres nabízí neskutečných 2128 kombinací. Vedle obřího rozsahu totiž nabídne i mnohem vyšší zabezpečení, změnu hromady souvisejících protokolů a jednou snad i speciální mobilní adresování. Ale pěkně od začátku.

O brzkém hladu po síťových IP adresách se vědělo už na počátku devadesátých let. Nebudu se příliš vracet k základům síťování, ale jen připomenu, že současná IP adresa se skládá ze čtveřice bajtů. V klasickém zápisu je to tedy komplex čtyř čísel oddělených tečkou, přičemž každé z nich může nabývat hodnoty 0 až 255.

 webova a ip adresa.png
Symbióza doménového jména (WWW adresa) a IP adresy – skutečného identifikátoru vzdáleného počítače

Celkový počet možných kombinací pak získáte násobením 256×256×256×256. To dělá něco přes čtyři miliardy možných adres. Samozřejmě leckoho napadne, že tolik adres by přeci mělo stačit – zvláště v takovém roce 1995, ale není to tak jednoduché. IP adresy se totiž rozdělují podle několika různých scénářů a rozhodně ne inkrementálně jako třeba čísla ICQ. Různé rozsahy IP adres se používají k různým účelům a také různě velké subjekty mají různě velký balík takových adres. Společnosti, které stály u zrodu moderního internetu a webu, pak z „historických důvodů“ drží dokonce obrovské rozsahy, z nichž každý čítá 16 milionů adres. Komu patří každý z těchto obřích balíků, se dozvíte na stránkách organizace IANA, která zastřešuje rozdávání IP adres regionálním správcům, a ti pak přidělí definitivní adresu třeba vašemu poskytovateli připojení, který s ní může nakládat. Suma sumárum, celé čtyři miliardy kombinací se díky této fragmentaci a hluchým místům vlastně nikdy nepřidělí.

Když tedy odečtete tuto historickou režii a různě rezervované rozsahy IP adres, zbude vám toho relativně málo a o to málo se musí podělit celý svět. Nejrůznější skupiny pracují na novém rozměrnějším protokolu síťování už dlouhé dvě desítky let. Na sklonku 90. let minulého století hlad po adresách trošku utlumilo zavádění NATů (lokální sítě schované za menším množstvím veřejných IP adres) ve firemních sítích i u poskytovatelů internetu, pak však do hry začala vstupovat Čína a definitivně se zasíťoval také bohatý Sever a další regiony světa. Absolutní katastrofou pro IPv4 jsou kapesní počítače připojené k internetu. Průměrný surfař na webu dnes alespoň krátkodobě vlastní hned několik IP adres. Jednu má počítač, druhou mobilní telefon, třetí třeba notebook a pak případně i další síťová zařízení.

IPv6 zasíťuje celý svět – 2128 kombinací

A zde už na řadu přichází šestá generace IP adresování. Pokud se současná IPv4 adresa skládá ze čtyř jednoduchých čísel – bajtů, pak se IPv6 roztáhla na celých šestnáct bajtů a osm členů oddělených dvojtečkou. Píšu členů, už to totiž nejsou jednoduchá čísla dekadické soustavy ale čísla hexadecimální, ve kterých se málokdo vyzná. Adresa je složitější, na druhou stranu ale přináší mnohem větší rozsah 2128 kombinací. To už je trošku nad možnostmi lidské představivosti. V podstatě je to tak obrovský rozsah, že by každá hvězda ve známém vesmíru mohla mít 252 vlastních adres. Z hlediska nároků jedné malé planety uprostřed sluneční soustavy je to pak zcela dostačující počet pro všechny stroje planety, které kdy byly a budou vyrobeny.

ipv6 ukazka.png
IPv6 adresa – jak se vám líbí?

Díky obrovským rozsahům mohou celé miliardy adres padnout na nutnou režii, která může být mnohem efektivnější než v případě IPv4, kde se přeci jen muselo alespoň trochu šetřit. Díky novému zápisu adresy ale přirozeně vznikají i komplikace. Do webového prohlížeče dnes například bez problému naklepete adresu http://77.75.76.3. Pokud na této adrese poběží nějaký webový server, zobrazí se jeho stránky. Prohlížeče ale musí porozumět i IPv6 zápisu, který by mohl vypadat třeba takto:
http://[2001:db8:85a3:8d3:1319:8a2e:370:7344]:81. Vzhledem k tomu, že IPv6 používá dvojtečku, která doposud sloužila k oddělení adresy a portu, musí se nový zápis adresy uzavřít do hranatých závorek. IPv6 zároveň musí podporovat i poskytovatel vašeho připojení, jinak – a v našich podmínkách s největší pravděpodobností – ohlásí, že taková adresa prostě není dostupná.

Autoři IPv6 víceméně předpokládají, že nový zápis přinutí prakticky všechny používat jmenné zápisy, správci sítí se tomu ale asi nevyhnou.

IPSec zajistí bezpečí

IPv6 a české firmy

O novém formátu IPv6 adres toho bylo napsáno hodně, jak ale vypadá praxe při jeho zavádění?

Provider – Telefónica O2

Začali jste už s přechodem na IPv6?

Ano, stránky společnosti jsou už nyní dostupné na IPv6. Vlastní poskytování konektivity přes IPv6 nyní provozujeme s vybranými zákazníky v pilotním ověřovacím režimu.

Proč je zavádění IPv6 tak pomalé?

Hlavním důvodem pomalého přechodu je vlastní dostupnost obsahu přes protokol IPv6. Jedním z důvodů je malá rozšířenost protokolu mezi koncovými uživateli a technické problémy spojené s implementaci IPv6 na síťových prvcích hostingových center. V tuto chvíli je pouze cca 1,5 promile domén, které poskytují obsah dostupný přes IPv6. Jakmile se problémy vyřeší a velcí internetoví poskytovatelé obsahu začnou nabízet obsah přes IPv6, situace se začne měnit ve prospěch IPv6.


Provider – UPC

Jak vnímáte protokol IPv6 a v jaké fázi se nyní UPC nachází?

O ožehavý problém rozhodně nejde, nicméně jako jeden z největších provozovatelů internetových služeb v českém měřítku se otázkou přechodu na IPv6 již delší dobu zabýváme. UPC ČR v této souvislosti mimo jiné těží ze své příslušnosti k významnému mezinárodnímu provozovateli internetových služeb. Dále má přiděleny IPv6 rozsahy a je zabezpečena i hardwarová obměna, tedy obměna příslušných technologií pro podporu IPv6. Čas, kdy bude IPv6 skutečně nasazena pro rezidentní zákazníky, zatím není z pochopitelných důvodů pevně stanoven.


Webhoster – Active24
Zdeněk Brůna, technický ředitel

Setkali jste se při zavádění IPv6 s nějakými vážnějšími technickými komplikacemi?

Občas narážíme na slabší podporu IPv6 v hardwaru i softwaru a zavádění IPv6 tak přináší nové problémy, které na IPv4 řešit nemusíte, nebo jsou už dávno vyřešené. Příkladem by mohla být třeba nedokonalá implementace stavového IPv6 firewallu v jádře Linuxu, nebo složitější konfigurace paralelní IPv4 a IPv6 sítě takovým způsobem, aby obě infrastruktury pracovaly totožným způsobem. Je potřeba si uvědomit, že implementací IPv6 zavádíte novou zcela nezávislou infrastrukturu a v podstatě „druhý internet“, který musíte nastavit, monitorovat a udržovat stejně dobře, jako ten na IPv4.

Je současný hardware na úrovni hostera připravený na IPv6, nebo si vyžádá obsáhlejší investice?

Základní podpora IPv6 je v hardwaru, který používáme pro páteřní síťovou infrastrukturu, implementována již několik let. Další rozšiřování a zdokonalování podpory IPv6 na těchto prvcích provádíme spolu s plánovanými investicemi do posílení a obnovy naší infrastruktury, kdy samozřejmě nakupujeme již jen takové prvky, které mají podporu IPv6 na požadované úrovni. Speciálně kvůli nasazování IPv6 jsme doposud nemuseli investovat do žádného hardwaru a ani to nepředpokládáme do budoucna.

Co je podle vás hlavním důvodem pomalého zavádění IPv6?

Zavádění IPv6 spotřebovává nemalou část interních zdrojů organizací (zejména práci administrátorů a vývojářů), přičemž výsledek této práce nepřináší běžnému zákazníkovi žádnou hmatatelnou přidanou hodnotu. Nedá se mu v podstatě nijak „prodat“. A tak organizace ve svých projektových roadmapách upřednostňují spíše ty aktivity, které pozitivně ovlivňují ekonomické výsledky. Koncového zákazníka totiž v drtivé většině vůbec nezajímá, jaký používá protokol. Dalším důvodem nepříliš rychlé implementace IPv6 je fakt, že zavedení každé nové technologie s sebou vždy přináší i vznik nových problémů, které je nutné řešit a stojí tedy další peníze, IPv6 není v tomto ohledu výjimkou. V horší situaci jsou pak vždy větší organizace, firmy s větším počtem zákazníků, rozsáhlejšími sítěmi, kde je potenciálních problémů logicky více. Všechny tyto problémy budou ale v poměrně krátké době (v řádu několika málo let) odstraněny přirozeně, protože s rostoucím nedostatkem IPv4 adres se stane podpora IPv6 nutnou technickou podmínkou dalšího poskytování služeb a tedy bytí či nebytí ve světě internetu.


Softwarový výrobce – Microsoft

Jak jsou na IPv6 připravené vaše produkty – zvláště Windows?

IPv6 společně s IPv4 nativně podporují Windows Vista, Windows 7, Windows Server 2008 a Windows 2008 R2. K dispozici je také dodatečná podpora pro Windows XP SP1, Windows Server 2003 a Windows CE .NET 4.1. Stejně tak naše cloudové služby Windows Azure podporují IPv6, nicméně zákazníkům je nabídneme až v okamžik stoupající poptávky.

Pokud dnes chcete šifrovat a ověřovat komunikaci, můžete použít třeba SSL spojení. Speciální komunikace (třeba VPN) pak může používat hromadu dalších šifrovacích postupů a technik, IPv6 nicméně nabídne i zabudované šifrování IPSec přímo na úrovni protokolu. V podstatě to není nic nového, IPSecem se totiž v mnoha případech šifruje už dnes, nicméně tentokrát to už nařizuje samotný standard. Chceš používat IPv6? Fajn, proč ne, ale všechno bude šifrované.

Jak to bude fungovat v praxi? Každý paket, který vyšlete do světa, bude šifrovaný a autentizovaný právě pomocí technologie IPSec. V podstatě se bude jednat o takový krátkodobý elektronický podpis přenesený na tu nejnižší úroveň. Uživatelé by z toho měli těžit především v tom směru, že pro záškodníka bude mnohem těžší takový šifrovaný paket podvrhnout. Pokud počítač z adresy A zašle paket k počítači B, ten si díky autentizaci skutečně ověří, jestli náhodou paket nepodvrhl záškodník na počítači C. Povinný IPSec a šifrování dat v paketu pak může výrazně pomoci i ve veřejných sítích – typicky těch bezdrátových. Vzpomínáte si ještě na nafouknutou aféru okolo sběru veřejných data z Wi-Fi sítí auty Googlu? Kdyby veškerá taková komunikace byla šifrovaná už na úrovní IP komunikace, nikdo by se nemusel ničeho obávat.

IPSec a šifrování obecně má ovšem i svou stinnou stránku – režii. Šifrování v živém přenosu je další proces, který si řekne o část výkonu. U domácího routeru nebo v počítači to nepocítíte, náklady ve velkém datovém centru ale mohou výrazně vzrůst.

Mobilní IP adresa

Třetí nejvýznamnější novinkou IPv6 je přidružený koncept mobilního adresování Mobile IPv6, NEMO a další. V podstatě se jedná o technologie ve velmi raném stádiu vývoje, které by měly zajistit to, abychom byli dostupní kdykoliv a kdekoliv. Ani koncept mobilních IP adres není úplně nový a pracuje se na něm i u starších IPv4 adres, IPv6 adresy mu ale budou rozumět lépe.

Dost ale teorie, nabízím vám jednoduchý příklad. Představte si, že se svým pracovním notebookem vyrazíte na služební cestu. Pojedete vlakem a k internetu budete připojení pomocí 3G. Postupně se tedy budou měnit parametry vaší sítě a během cesty se vám docela možná i několikrát změní IP adresa. Jak ale zůstat v kontaktu s kolegy v práci a především s některými (třeba) intranetovými aplikacemi? Odpovědí bude samozřejmě VPN. Mobilní IP adresa nabízí něco podobného.

Váš stroj se zaregistruje v pracovní síti u vybraného routeru, který bude mít roli speciálního agenta. Jakmile firemní síť opustíte (vezmete si notebook domů, na chalupu, na služební cestu…) a získáte novou IP adresu, počítač předá agentovi ve firemní síti informaci o nových podmínkách spojení a ten se stane jakousi ústřednou. Když tedy někdo vyšle paket na vaši firemní IP adresu, zachytí ho agent a odesílateli předá informaci, že jste momentálně k dispozici na IP adrese některého z mobilních operátorů. Paket se přepošle do správného cíle a vy, ačkoliv budete na druhé straně světa, budete stále dostupní i skrze svou domácí IP adresu.

Mobilní IPv6 adresa je pěkný sen, ke standardizaci má však ještě daleko. Vypadá hezky na papíře, v nejbližší době se ji ale ještě nedočkáme. Vzhledem ke stále rostoucímu vlivu mobilních sítí je ale skoro jisté, že přinejmenším něco podobného se stane součástí rodiny standardů IPv6 už v nejbližších letech.

Nebude to bez problémů

O IPv6 se sice mluví už bezmála dvě desítky let, návrhy standardů se ale mnohokrát přepisovaly a dodnes chybí především to nejdůležitější – pořádná a srozumitelná dokumentace. I proto IPv6 stále zůstává především experimentem pro odvážné, nikdo se do něj ale zatím hromadně nežene. IP adresa a její systém adresování totiž prochází všemi vrstvami internetu. Pokud přejdete na IPv6, musíte upravit hromadu věcí včetně DNS serverů. DNS server obsahuje databází IP adres a odpovídajících doménových jmen. Pokud tedy zadáte www.zive.cz, prohledá doménu v adresáři a vrátí IP adresu serveru. Evidence IPv6 je ale náročnější a také mnohem rozměrnější – IPv6 adresa je prostě delší. Databáze DNS serveru se tedy trošku nafoukne a především bude třeba provozovat jak IPv4, tak IPv6 DNS servery. Ze stejného důvodu je často diskutovaný i systém zabezpečení doménových jmen DNSSEC, který sebou také nese mnohem více údajů v DNS záznamu a tedy mnohem větší DNS databázi na serveru. Pokud tedy přejdeme na IPv6, musíme přejít se vším všudy, se všemi provázanými technologiemi, jinak bude výsledkem polofunkční kočkopes.

IPv4 nezanikne

Se současným formátem IP adres je to tak trochu jako s ropou. Pravděpodobně ji nikdy nevytěžíme, jak ji totiž bude ubývat, těžba se bude stále více prodražovat, až přesáhne neúnosnou mez. Jakmile ji nakonec vystřídá jiná surovina a zdroj energie, ty poslední zbytky v nejdražších lokalitách pod oceánským dnem bude zbytečné těžit.

Stejně tak IPv6 adresa se bude pomalu šířit internetem, rozhodně ale nepočítejte s tím, že se jednoho dne probudíte a vše bude jinak. Nejprve na nový formát adresování přejdou instituce a školy a několik málo progresivnějších operátorů, firmy ale budou docela možná i nadále přežívat na IPv4. A ti největší nepřátelé nových pořádků a majitelé starého hardwaru nepřejdou nikdy.

Bude to možné díky spolupráci obou systémů. Existuje hned několik technologických cest, jak toho docílit. Tou nejjednodušší a také nejdražší je prosté provozování obou systémů naráz. Váš počítač může mít jak IPv4, tak IPv6 adresu a každou z nich bude používat podle potřeby buď při komunikaci ve staré IPv4 síti nebo v té nové.

Druhou cestou je tunelování, které se dnes hojně používá třeba u VPN. Pokud tedy budete běžně pracovat v IPv6 systému, ale pakety potečou i přes nějaké směrovače a routery, které rozumí pouze IPv4, datové pakety IPv6 se prostě zabalí do paketu IPv4. V podstatě pošlete paket uvnitř paketu, ten projde IPv4 sítí a v cíli se z něj vyklube IPv6 paket.

nix ipv4.png
Komunikace na českém internetu (NIX) pomocí IPv4 za posledních 12 měsíců
Datové toky se pohybují v řádu desítek gigabitů za sekundu

Třetím nejtypičtějším způsobem je překlad. Pracujeme s ním každý den v práci, ve škole, a pokud máte doma nějaký Wi-Fi router, tak i tam. NAT překládá veřejnou IP adresu vnějšího internetu na lokální IP adresu soukromého vnitřního internetu – LAN. Stejným způsobem tedy různé překladače dokážou přeložit IPv4 komunikaci na IPv6 a naopak. Vnitřní síť firmy tedy může nadále fungovat na starém principu, jakmile ale paket opustí poslední podnikový router, přeloží se do formátu IPv6. Tento zapůsob je v současné chvíli asi nejproblematičtější, sladit obě technologie totiž není vůbec jednoduché, ne-li nemožné – zvláště když je IPv6 stále poměrně živý návrh a oba formáty adres na hony vzdálené.

nix ipv6.png
Komunikace na českém internetu (NIX) pomocí IPv6 za posledních 12 měsíců
Datové toky se v tomto případě pohybují zatím jen v řádu desítek megabitů za sekundu

Všechny tyto cesty, jak spolupracovat mezi oběma síťovými adresními systémy, nejsou ani zdaleka jednoduché a pojí se s nimi přirozeně vyšší režie. Druhým úskalím mohou být zastaralé síťové prvky, které si jednoduše ani po aktualizaci firmwaru s novým systémem adresování neporadí.

Pokud se chcete o IPv6 a celé problematice dozvědět více, ze stránek českého CZ.NIC si můžete zdarma stáhnout výbornou elektronickou publikaci IPv6 od Pavla Satrapy. Stala se inspirací i pro tento článek.

Diskuze (41) Další článek: Western Digital zaplatí 4,3 miliardy dolarů za výrobu disků Hitachi

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , ,