Svetové spustenie protokolu IPv6 sa blíži, IT NEWS už na ňom beží

Fir­my a or­ga­ni­zá­cie, kto­ré pre­vádz­ku­jú veľ­ké sie­te ale­bo webo­vé služ­by, sa roz­hod­li pre za­pnu­tie IPv6 na ni­mi pre­vádz­ko­va­ných sie­ťach, aby tak od­štar­to­va­li pre­chod na ten­to pro­to­kol no­vej ge­ne­rá­cie. Ten­to krok nas­tal krát­ko po tom, ako or­ga­ni­zá­cia IANA, kto­rá má na sta­ros­ti pri­de­ľo­va­nie IP adries, ozná­mi­la, že sa mi­nu­li všet­ky ad­res­né blo­ky star­šie­ho pro­to­ko­lu IPv4. Dá­tum spus­te­nia je 6. jún 2012.

Me­dzi fir­ma­mi, kto­ré spúš­ťa­jú pod­po­ru IPv6, sú Fa­ce­book, Goog­le ale­bo ope­rá­tor T-Mo­bi­le USA. Spus­te­nie zna­me­ná, že na sie­ťach ope­rá­to­rov bu­de auto­ma­tic­ky fun­go­vať pre­vádz­ka cez IPv6 a klien­ti dos­ta­nú ad­re­sy IPv6. U webo­vých ope­rá­to­rov bu­de hlav­ný web dos­tup­ný aj cez ad­re­su IPv6 (do­te­raz ma­li väč­ši­nou na pod­po­ru IPv6 oso­bit­nú ad­re­su, napr. ipv6.goog­le.com).

Zo slo­ven­ských ope­rá­to­rov sa za­pá­ja napr. spo­loč­nosť DI­GMIA, v kto­rej pra­cu­jú auto­ri člán­ku. Tá zá­ro­veň spus­ti­la pod­po­ru IPv6 aj u svo­jich zá­kaz­ní­kov, ako je napr. por­tál it­news.sk, pa­tria­ci re­dak­cii toh­to ča­so­pi­su, ale aj iné me­diál­ne weby (et­rend.sk, ta3.com). Za­po­jil sa ta­kis­to hac­ker­spa­ce Prog­res­sbar z Bra­tis­la­vy, kto­ré­ho strán­ky www.prog­res­sbar.sk sú tiež dos­tup­né cez IPv6.

Ako bu­de za­pnu­tie pre­bie­hať?

Pre klien­tov, kto­rí ma­jú za­pnu­tý iba pro­to­kol IPv4 ale­bo ich za­ria­de­nia ne­pod­po­ru­jú pro­to­kol IPv6, bu­de všet­ko ako do­te­raz. Je­di­ná ne­vý­ho­da bu­de tá, že niek­to­ré server­y už pos­tup­ne za­čnú pod­po­ro­vať iba IPv6 a tú­to časť inter­ne­tu ne­bu­dú tí­to pou­ží­va­te­lia vi­dieť. V doh­ľad­nom ča­se nep­red­pok­la­dá­me, že bu­de ta­kých­to webov ve­ľa.

Pre klien­tov, kto­rí ma­jú IPv6 aj IPv4, zá­vi­sí od nas­ta­ve­ní sie­te, kto­rý pro­to­kol sa pou­ži­je. Mo­der­né ope­rač­né sys­té­my a pre­hlia­da­če pou­ži­jú IPv6. Ak chce­te vy­skú­šať, či pou­ží­va­te IPv6, mô­že­te pou­žiť kla­sic­ký test po­mo­cou tan­cu­jú­cej ko­ryt­nač­ky: Nav­štív­te http://www.ka­me.net/, a ak uvi­dí­te tan­cu­jú­cu ko­ryt­nač­ku, pou­ží­va­te pro­to­kol IPv6. Ta­kí­to pou­ží­va­te­lia pou­ží­va­jú oba pro­to­ko­ly na­tív­ne.

Niek­to­rí pou­ží­va­te­lia, naj­mä v Ja­pon­sku a Kó­rei, pou­ží­va­jú už iba IPv6. Keď­že ten­to pro­to­kol je spät­ne kom­pa­ti­bil­ný s IPv4, do­ká­žu sa tí­to pou­ží­va­te­lia pri­pá­jať aj na server­y s pod­po­rou iba IPv4. Niek­to­rý sme­ro­vač po ces­te pre­lo­ží IPv6 na IPv4.

Prob­lém s ce­los­ve­to­vým za­pnu­tím IPv6 mô­žu mať iba pou­ží­va­te­lia, kto­rí ma­jú pod­po­ru IPv6, ale ma­jú ju zle nas­ta­ve­nú, resp. ich pos­ky­to­va­teľ im pos­kyt­ne zlé nas­ta­ve­nia. V tom prí­pa­de cez IPv6 ne­bu­de fun­go­vať kaž­dé pri­po­je­nie. Pou­ží­va­te­lia mô­žu skú­siť op­ra­viť nas­ta­ve­nia ale­bo vy­pnúť pod­po­ru IPv6 vo svo­jom ope­rač­nom sys­té­me.

Vý­ho­dy pro­to­ko­lu IPv6

Väč­ší ad­res­ný roz­sah

IPv6 má 128-bi­to­vý ad­res­ný pries­tor, čo je tak­mer 3.4 x 10^38 adries. Na po­rov­na­nie: V sú­čas­nos­ti naj­pou­ží­va­nej­ší pro­to­kol IPv4 má 32-bi­to­vý ad­res­ný pries­tor. Je­den z naj­dô­le­ži­tej­ších prob­lé­mov, kto­ré no­vý pro­to­kol rie­ši, je te­da ne­dos­ta­tok adries v sú­čas­nom pro­to­ko­le.

Auto­kon­fi­gu­rá­cia za­ria­de­ní

Návrh pro­to­ko­lu IPv6 mys­lel aj na zjed­no­du­še­né pri­pá­ja­nie no­vých za­ria­de­ní do sie­te po­mo­cou tzv. SLAAC (sta­te­less auto­con­fi­gu­ra­tion). Na za­ria­de­ní, kto­ré slú­ži ako pred­vo­le­ná brá­na pre da­ný seg­ment sie­te, je spus­te­ná služ­ba, kto­rá od­po­ve­dá na žia­dos­ti o kon­fi­gu­rá­ciu (po­dob­ne ako pri pro­to­ko­le DHCP - pro­to­kol SLAAC je len vý­raz­ne jed­no­duch­ší). To­to za­ria­de­nie aj auto­ma­tic­ky po­sie­la no­vé in­for­má­cie v pra­vi­del­ných inter­va­loch.

Po­mo­cou pro­to­ko­lu SLAAC sa veľ­mi jed­no­du­chým spô­so­bom kon­fi­gu­ru­jú no­vo pri­po­je­né za­ria­de­nia. Klient dos­ta­ne pa­ket s in­for­má­cia­mi o ad­re­se sie­te a ad­re­su IPv6 brá­ny. Po pri­ja­tí pa­ke­tu si klient mu­sí vy­ge­ne­ro­vať 64 bi­tov ad­re­sy IPv6. Na ge­ne­ro­va­nie sa pou­ží­va nie­koľ­ko al­go­rit­mov, ako napr. EUI64, kto­rý zo­be­rie MAC ad­re­su roz­hra­nia a pou­ži­je ju v ad­re­se. Ten­to al­go­rit­mus na­ra­zil na ne­vô­ľu ľu­dí, le­bo dá­va do ad­re­sy ad­re­su MAC roz­hra­nia, čo mno­hí be­rú ako cit­li­vú in­for­má­ciu, pre­to­že sa stá­va­jú ľah­ko sto­po­va­teľ­ný­mi na inter­ne­te. Ďal­ší spô­sob je pou­ži­tie tzv. Pri­va­cy exten­sions. Pri pou­ži­tí toh­to spô­so­bu ope­rač­ný sys­tém pri­pá­ja­jú­ce­ho stro­ja ná­hod­ne vy­ge­ne­ru­je prí­po­nu. Po vy­ge­ne­ro­va­ní ad­re­sy sa stroj opý­ta v sie­ti, či sa da­ná ad­re­sa ne­pou­ží­va. Ak ne­dos­ta­ne od­po­veď, tú­to ad­re­su za­čne pou­ží­vať.

Jed­no­duch­šie spra­co­va­nie pa­ke­tov

Hla­vič­ka pa­ke­tu IPv6 má fixnú veľ­kosť 40 baj­tov. Hla­vič­ka IPv4 mô­že mať pre­men­li­vú veľ­kosť 20 ale­bo 24 baj­tov v zá­vis­los­ti od to­ho, či sú IP mož­nos­ti za­pnu­té. Hla­vič­ka pa­ke­tu IPv4 ta­kis­to ob­sa­hu­je kon­trol­nú su­mu pre pa­ket, kto­rá sa pri kaž­dom spra­co­va­ní me­ní (zni­žu­je sa hod­no­ta Ti­me-To-Li­ve v IP hla­vič­ke). Hla­vič­ka IPv6 ten­to kon­trol­ný sú­čet ne­má, a pre­to je spra­co­va­nie pa­ke­tov IPv6 jed­no­duch­šie. Na de­te­go­va­nie chýb sa pou­ží­va­jú kon­trol­né su­my na dru­hej sie­ťo­vej vrstve ale­bo po­tom pri jed­not­li­vých pro­to­ko­loch vy­šších vrs­tiev.

Men­šie sme­ro­va­cie ta­buľ­ky

Vďa­ka lep­ším geog­ra­fic­kým a hie­rar­chic­kým pra­vid­lám pri pri­de­ľo­va­ní roz­sa­hov IPv6 za­be­ra­jú tie­to roz­sa­hy dnes iba sed­mi­nu to­ho, čo ob­sa­hu­jú sme­ro­va­cie ta­buľ­ky pre pro­to­kol IPv4. Si­tuácia sa však mô­že ča­som zme­niť, ako bu­dú alo­ká­cie roz­sa­hov IPv6 pri­bú­dať.

Zme­ny v ko­mu­ni­ká­cii na lo­kál­nej sie­ti

Na zis­ťo­va­nie MAC adries v sie­ťach IPv4 sa pou­ží­va pro­to­kol ARP. Pri IPv6 bo­la fun­kcio­na­li­ta pro­to­ko­lu ARP nah­ra­de­ná pro­to­ko­lom NDP, kto­rý je sú­čas­ťou ICMPv6. Na správ­ne fun­go­va­nie IPv6 nes­mie­me blo­ko­vať ce­lé ICMPv6 na fi­rewal­le. To by nám moh­lo spô­so­biť, že stroj napr. ne­bu­de môcť náj­sť MAC ad­re­sy iných za­ria­de­ní v sie­ti, a te­da ne­bu­de ve­dieť s ni­mi ko­mu­ni­ko­vať. Na ko­mu­ni­ká­ciu s ce­lou lo­kál­nou sie­ťou sa pou­ží­va­jú mul­ti­cas­to­vé ad­re­sy, nie broad­cas­to­vé. Pri broad­cas­te sa vec dos­ta­la kaž­dej IP ad­re­se v sie­ti bez oh­ľa­du na to, či sa pou­ží­va ale­bo nie. Pri mul­ti­cas­te sa da­ný pa­ket dos­ta­ne len k stro­jom, kto­ré sú prih­lá­se­né v mul­ti­cas­to­vej sku­pi­ne, a te­da ne­po­sie­la sa to hlú­po na všet­ky ad­re­sy.

Po­vin­ná, nes­kôr dob­ro­voľ­ná pod­po­ra bez­peč­nos­tných me­cha­niz­mov

V pô­vod­nom návr­hu pro­to­ko­lu IPv6 sa ho­vo­ri­lo, že kaž­dá im­ple­men­tá­cia mu­sí pod­po­ro­vať pro­to­kol IP­Sec. IP­Sec je pro­to­kol, kto­rý nám za­bez­pe­ču­je auten­ti­fi­ká­ciu a šif­ro­va­nie na sie­ťo­vej vrstve. Pod­po­ra IP­Se­cu vo väč­ši­ne ope­rač­ných sys­té­mov je, ale na kon­fi­gu­rá­ciu a správ­ne fun­go­va­nie IPv6 ho ne­pot­re­bu­je­me. Keď­že návrh di­kto­val je­ho pod­po­ru v akej­koľ­vek im­ple­men­tá­cii IPv6, a nie je­ho pou­ží­va­nie, nes­kôr sa je­ho pod­po­ra zme­ni­la z po­vin­nej na dob­ro­voľ­nú.

Ri­zi­ká a prob­lé­my

Ok­rem to­ho, že no­vý pro­to­kol ne­pod­po­ru­jú všet­ky za­ria­de­nia, je tu aj via­ce­ro iných ri­zík. Veľ­mi čas­tý prob­lém je nas­ta­ve­nie fi­rewal­lu, kto­rý je ne­raz nas­ta­ve­ný iba pre pro­to­kol IPv4, ale pro­to­kol IPv6 nie je ochrá­ne­ný filtrom. V prí­pa­de, že sa na server­i spus­tí ne­ja­ká služ­ba, kto­rá auto­ma­tic­ky pod­po­ru­je IPv6, je čas­to dos­tup­ná z ce­lé­ho sve­ta.

Ten­to pro­to­kol ta­kis­to ne­rie­ši všet­ky bez­peč­nos­tné a vý­kon­nos­tné ne­dos­tat­ky pro­to­ko­lu IPv4, pre­to­že mno­hé bo­li ob­ja­ve­né až po vy­tvo­re­ní štan­dar­du IPv6.

Ďal­šie zme­ny v infra­štruk­tú­re inter­ne­tu

Na pod­po­ru pro­to­ko­lu bo­lo pot­reb­né pris­pô­so­biť aj sys­tém do­mé­no­vých mien DNS. Ten mu­sí ve­dieť ulo­žiť tzv. AAAA zá­znam, te­da zá­znam pre ad­re­su IPv6. Ná­zov vy­chá­dza z to­ho, že IPv4 má 32-baj­tov a zá­znam tej­to ad­re­sy sa vo­lá A; 128 bi­tov je te­da AAAA.

Do­mé­no­vý sys­tém ča­ká ďal­šia dô­le­ži­tá úlo­ha, a to na­sa­de­nie pod­po­ry DNSSec pre kryp­tog­ra­fic­ky pod­pí­sa­né zá­zna­my DNS. To ta­kis­to umož­ní zjed­no­du­šiť pod­po­ru pro­to­ko­lu SSL, pre­to­že ne­bu­de ne­vyh­nut­né ove­ro­vať plat­nosť cer­ti­fi­ká­tu op­ro­ti cer­ti­fi­kač­nej auto­ri­te. Vďa­ka stro­mo­vej štruk­tú­re sys­té­mu DNS je pre kaž­dé me­no de­le­go­va­ný pod­pi­so­vý kľúč, a te­da vie­ro­hod­nosť server­a mož­no za­bez­pe­čiť aj po­mo­cou pod­pí­sa­né­ho ve­rej­né­ho kľú­ča webo­vé­ho server­a v sys­té­me DNSSec.

Zá­ver

Na sve­to­vé spus­te­nie pro­to­ko­lu IPv6 sa ča­ka­lo od ro­ku 1996, keď bol štan­dar­di­zo­va­ný. Bo­lo tre­ba pris­pô­so­biť za­ria­de­nia, pre­to­že IPv6 nie je pria­mo kom­pa­ti­bil­ný s pred­chá­dza­jú­cim pro­to­ko­lom. Šies­te­ho jú­na sa pou­ží­va­nie toh­to pro­to­ko­lu prav­de­po­dob­ne urých­li, ale na úpl­ný pre­chod bu­de­me mu­sieť eš­te pár ro­kov poč­kať.

---

 

---