V roce 2015 bude využívat IPv6 méně než třetina nových uživatelů internetu (přesně to má být 28 %; a 17 % stávajících uživatelů; tvrdí to loňská předpověď společnosti Gartner). To jsou zjevně nižší čísla, než by leckdo po posledních zprávách ze světa IPv4 očekával. Životnost staršího protokolu je ale stále prodlužována, a to navzdory některým nevýhodám, které to s sebou přináší.
Aktuální průzkum GNKS Consult mezi 1600 organizacemi poskytujícími internetovou infrastrukturu ve 135 zemí světa ukázal, že 70 % z nich plánuje nasadit IPv6 v roce 2012 (a jen 7 % z nich s tím začne až později). Z těch, kteří s nasazením IPv6 infrastruktury již začali, přes 80 % využívá takzvaného konceptu dual stack, tedy provozování IPv4 i IPv6 na stejném hardwaru. Americký NetworkWorld se zase letos v létě mimo jiné ptal zástupců amerických firem, kdy hodlají nabídnout své webové stránky i přes IPv6. 72 % dotazovaných tak hodlá učinit do dvou let, 53 % nejpozději do roka. Jak tedy přistoupit k přechodu z IPv4 na IPv6?
IPv4 vs. IPv6
IP (Internet Protocol) je základním protokolem používaným pro přenos dat prostřednictvím internetu. Jeho původní verze, IPv4, je postupně nahrazována verzí novější, IPv6. Adresní prostor IPv4 byl na globální úrovni vyčerpán v únoru 2011, adresy přidělené regionálním správcům budou zřejmě vyčerpány nejpozději v roce 2012.
Adresy IPv4 mají délku 32 bitů, takže jsou schopny rozlišit přes čtyři milardy adres; to – i vzhledem k nehospodárnému využití – ovšem nestačí aktuálním potřebám. IPv6 disponuje 128bitovými adresami a má tedy prostor pro 3,4 x 1038 adres. Při změně z IPv4 na IPv6 se mění formát datagramů, většina ostatních protokolů se nijak měnit nemusí (pokud ovšem nepracují s adresami síťové vrstvy).
Kromě výrazně většího adresního prostoru přináší IPv6 i řadu dalších vlastností, mimo jiné podporu větších paketů, nativní podporu multicastu nebo IPsec, či automatickou konfiguraci hosta ve směrované IPv6 síti. Na rozdíl od IPv4 neobsahuje již IPv6 kontrolní součet hlavičky, což by mělo urychlit směrování.
Než vůbec – někdy v budoucnu – dojde ke kompletnímu nahrazení IPv4 novějším IPv6, musejí spolu oba protokoly v síti nějakým způsobem koexistovat. Noví klienti i servery jsou dnes již zpravidla schopni komunikovat prostřednictvím obou protokolů, pokud je však třeba přenášet IPv6 pakety po infrastruktuře podporující pouze IPv4, je třeba to řešit zapouzdřením IPv6 paketů do IPv4, kdy pak IPv4 funguje jako linková vrstva pro IPv6 (u čísla protokolu je pak v IPv4 uvedeno 41).
Problém s nedostatkem adres IPv4 je již déle řešen překladem adres. Vzhledem k omezenému počtu využitelných portů (65536) a obvyklému počtu session na jednoho uživatele (podle statistik NTT – Nippon Telephone and Telegraph – jich uživatelé běžně potřebují několik stovek současně) zde však existuje poměrně výrazné omezení, obzvláště u větších sítí. Nicméně při využívání IPv4 k privátní komunikaci v rámci firmy není na první pohled třeba s přechodem na IPv6 nijak spěchat.
Rychlý přechod na IPv6 je ovšem nutný v některých speciálních případech. Třeba u poskytovatelů vybavení a služeb, pokud to vyžadují jejich významní klienti. Například federální úřady USA mají za cíl podporovat IPv6 ve všech svých veřejně poskytovaných internetových službách do konce září 2012, australské úřady pak do konce téhož roku. A třeba Indie počítá již s březnem 2012.
Dalším případem, kdy je třeba zajistit rychlou podporu IPv6, jsou aplikace, které s IPv4 nefungují. Jde především o služby, které vyžadují přímou adresaci velkého množství zařízení.
Společnost Infoblox pak varuje i před poskytováním webového obsahu na IPv4 klientům s IPv6 prostřednictvím překladu adres z IPv4 na IPv6. Z hlediska funkčnosti tam sice není žádný problém, poskytovatel ale podle ní přijde o některé klíčové informace o svých klientech, které se extrahují z logů webového serveru, které vyžadují nativní podporu IPv6.
Zástupci společnosti Cisco pak v souvislosti s přechodem na IPv6 upozorňují, že se někdy setkávají s mýtem, že je třeba v organizaci přejít na IPv6 naráz. Opak je podle nich pravdou. Pokud se rozhodnete přejít z IPv4 na IPv6, je vhodnější rozdělit celý proces do několika fází. Nejprve je vhodné zajistit přechod u systémů, které poskytují služby směrem do internetu. Následovat by měla interní síťová infrastruktura, intranet a přístup k internetu. Jako poslední pak zůstává zajištění plné podpory IPv6 na straně koncových stanic.
Cisco rovněž doporučuje zabývat se nejen nutnými kroky pro přechod stávajících služeb, ale také prozkoumat všechny nové příležitosti, které nový protokol firmě nabídne. A to z hlediska fungování síťové infrastruktury, ale také z hlediska možných nových služeb.
Proces přechodu na IPv6 v sobě skrývá řadu rizik, která je dobré znát. Již zmínění zástupci Infobloxu dávají v tomto ohledu několik doporučení. Jako první krok přitom doporučují ověření, jak v síti přidělujete a sledujete IP adresy. Rozhodně je podle nich třeba to dělat prostřednictvím automatizovaných nástrojů a nevyužívat náhradních manuálních řešení, která snad mohla stačit pro IPv4.
Je rovněž třeba zkontrolovat architekturu DNS a její podporu IPv6. Pokud jsou adresy přidělovány prostřednictvím DHCP, musí samozřejmě i DHCP server podporovat IPv6 a být zajištěna vzájemná kompatibilita obou systémů. Zástupci Cisca v této souvislosti upozorňují, že třeba DHCP server Windows 2003 není schopen poskytovat IPv6 adresy.
S nástupem IPv6 musejí dopředu počítat pravidla pro údržbu a zabezpečení síťové infrastruktury. Problémem může být třeba řada starších firewallů, které IPv6 nepodporují. Je třeba rovněž ověřit, že budou fungovat i služby třetích stran. Příkladem mohou být třeba antispamové databáze, které nyní fungují na principu blokace adres IPv4. Společnost Microsoft s ohledem na bezpečnost doporučuje využívání autentizace prostřednictvím IEEE 802.1X pro všechny počítače připojující se do sítě přes IPv6. Teprve po úspěšné autentizaci pak mohou využít protokolů NDP nebo DHCPv6 k získání IPv6 adresy a komunikovat tak v síti.
Zástupci společnosti Cisco připomínají rovněž nutnost zajistit příslušná školení všem zaměstnancům, jejichž práce se přechod z IPv4 na IPv6 dotkne. Ve větších firmách to mohou být desítky zaměstnanců – od bezpečnostního architekta sítě po osobu zodpovědnou za IP kamery strážící objekt organizace.
K dalším nezbytným krokům patří kompletní inventura aktuální síťové infrastruktury, aby se ověřilo, že všechny její prvky podporují přechod na IPv6. Infoblox zde upozorňuje, že třeba pobočková ústředna Asterisk je kompatibilní s IPv6 teprve od podzimu loňského roku. A nejde o jediný případ opozdilce.
Rovněž je třeba ověřit, že všechny nástroje pro monitoring a správu sítě jsou updatovány tak, aby podporovaly novou technologii. Speciálním případem jsou nejrůznější databáze, jejichž tabulky nemusejí vždy pojmout delší adresy IPv6.
A dopředu je třeba počítat také s možnými výkonnostními problémy, protože zdaleka ne všechna síťová zařízení, která protokol IPv6 podporují, jsou pro něj také optimalizována. Jelikož optimalizaci je třeba zpravidla realizovat na hardwarové úrovni, bude třeba provést výměnu těch zařízení, která nepostačí výkonnostním nárokům.
Tentokrát jsme pro náš speciál zvolili jinou strukturu než obvykle; vzhledem k faktu, že je správa IT tématem, u kterého...