Praktické zkušenosti: nasazení IPv6 v síti poskytovatele

Petr Krčmář 16. 1. 2013

IPv4 adresy nám dávno došly a velkým hráčům dochází, že je čas na plán B. Protokol IPv6 se proto postupně stává realitou a zejména velcí poskytovatelé obsahu už na něm nabízejí své služby. Zatím váznou poskytovatelé připojení. Jak je složité IPv6 uživatelům nasadit a jaké problémy to v praxi přináší?

Před několika měsíci došly v Evropě IPv4 adresy a teď už se přiděluje jen naprosté minimum adres a další nebudou. Zejména velké společnosti (ale nejen ty) řeší, jak pokračovat v dalším rozvoji. Řešení existuje několik, ale to nejčistší spočívá v nasazení protokolu IPv6, který je přímo postaven jako nástupce IPv4 a kromě rozšíření adresního prostoru přináší i další výhody.

Přestože někde už nasazování začalo, jsou často výsledky velmi rozpačité nebo polofunkční. Mnoho poskytovatelů (a uživatelů) se do nasazení nechce, bojí se zhoršení dostupnosti svých služeb, zbytečných komplikací a nepochopení ze strany uživatelů. Vyzpovídali jsme představitele společnosti SporkNeT, s.r.o., která nabízí připojení k internetu koncovým uživatelům a nasazení IPv6 má v síti hotové. Na otázky odpovídali jednatel společnosti Zdeněk Šampalík a vedoucí technického oddělení Pavel Trefný.

Při zrodu internetu, si nedovedl nikdo představit jeho obrovský rozvoj a mělo se za to, že čtyři miliardy adres protokolu IPv4 vydrží navždy, nebo alespoň mnoho desítek let, říká Zdeněk Šampalík. Podle jeho slov se problém netýká jen firem nebo technického personálu, ale nakonec bude trápit všechny uživatele. Problém však nastal již v loňském roce, kdy adresy došly. To způsobí, že se již nikdo další, ať už nový web nebo nová síť, nepřipojí, anebo připojí s určitým omezením. A to se už týká každého z nás.

Hardware připravený předem

Nejběžnějším a zároveň nejhorším problémem při nasazování IPv6 je nulová podpora nového protokolu v koncových zařízeních zákazníků. Podle Pavla Trefného je třeba se na změnu připravovat postupně a přemýšlet při nákupu nového hardware. Svým zákazníkům půjčujeme nebo prodáváme poslední čtyři roky jen hardware s operačním systémem MikroTik, kde s podporou IPv6 není žádný problém. Ani u domácích zařízení s podporou IPv6 pak není problém. Vlastníkům routerů, které podporují nový protokol IPv6, aktivujeme službu na žádost zákazníka za jeho součinnosti při nastavení routeru.

Stále se v síti ale pochopitelně nacházejí zákaznická zařízení, která nedisponují podporou IPv6. I tento problém bylo potřeba vyřešit. Jako dočasné řešení jsme zvolili „tunelování“ IPv6 adresy na jejich počítače a zařízení pomocí technologií SSTP, L2TP, PPTP a OpenVPN. Poslední jmenovaná technologie je zvolena pro počítače a zařízení s operačním systémem, který nepodporuje PPPv6. Takovými systémy jsou Windows nižší verze než Vista.

Jde ovšem o dočasné řešení, které má nezanedbatelné nevýhody. Bohužel už sám tunel ‚degraduje‘ IPv6 připojení a není vhodným řešením pro zákazníky s více zařízeními nebo s rychlostí přesahující 15 Mbit. Doporučovaným řešením pro tyto zákazníky je zakoupení nebo půjčení nového routeru, dodává Trefný.

Díky plánovaným nákupům s ohledem na budoucnost byl vyřešen hlavní problém a bylo možné přistoupit k samotné implementaci. Naše síť je postavená na platformě MikroTik a většina jejích prvků podporuje IPv6. Proto nebyl problém s implementací IPv6 do stávající infrastruktury, říká Pavel Trefný.

Zajímá nás, proč byl zvolen právě MikroTik a ne jiné řešení. Já jsem byl vždy zatvrzelý linuxák s přirozeným odporem ke komerčním systémům. Jednoho dne jsem vyzkoušel MikroTik a zjistil, že je docela příjemné, když s konfigurací a správou má člověk méně starostí. S implementací IPv6 na MikroTiku jsme nenarazili na žádný problém a vše funguje dle našich představ, dodává Trefný.

Odzdola nahoru

Zajímavý byl postup při samotné implementaci nového protokolu. Obvyklé je začít na páteřní síti a poté postupovat směrem k uživatelům. Tady byl ale zvolen přesně opačný postup. Celý proces nasazení jsme vzali za opačný konec. Nejdříve jsme zprovoznili přístup pro koncové uživatele a až pak jsme IPv6 implementovali na aplikační servery, kde běží web, DNS, pošta a podobně, vysvětluje Trefný.

Uživatelé mají samozřejmě stále k dispozici i IPv4, bez kterého se ještě mnoho let pravděpodobně neobejdeme. Páteřní síť je postavená na dual-stacku, kdy trasy fungují jak na IPv4, tak i na IPv6. To vyžaduje starat se v podstatě o dva nezávislé internetové protokoly a také o dva protokoly pro dynamické směrování OSPFv2 pro IPv4 a OSPFv3 pro IPv6, říká Trefný.

Páteřní síť je natažena po optické síti a je řízená centrálním switchem. Optická část je z jedné strany zapojena do L3 switche Edge-Core ES4624-SFP a na druhé straně do routerboardu RB1000 nebo RB1100AH, který je před zákaznickým routerem.

V prostředí IPv6 se nepřidělují jednotlivé IP adresy, ale celé prefixy s minimální délkou /64 pro jednu podsíť. Je možné samozřejmě přidělovat i větší rozsahy. Zákazníkům přidělujeme standardně jednu IPv6 podsíť o velikosti prefixu /64. Tato zákaznická podsíť může obsahovat více než 18 trilionů (18×1018) připojených zařízení. Adresy jsou přidělovány bezstavovou metodou SLAAC.

I v IPv6 může být těsno

Podle Pavla Trefného nebyl vůbec problém získat od nadřazeného poskytovatele (UPC) IPv6 adresy. Prefix od providera nebylo složité získat, jen jsme se obávali, že obdržíme /48, což se také stalo.

Celá síť má tedy k dispozici rozsah jen /48, což není příliš velký prefix, vzhledem k dalšímu rozdělování /56 na jednotlivé lokality či přímo uživatelům. Takových prefixů je možné přidělit maximálně 256, což opravdu není hodně. Divili jsme se, že jsme od nadřazeného poskytovatele nedostali rovnou /32. Ovšem nutí nás to zbytečně neplýtvat a v případě vyčerpání není problém zažádat si o další /48, vysvětluje Trefný.

Praktické zkušenosti ovšem ukazují, že většina zákazníků stejně víc IPv6 sítí nevyužije. Většina našich zákazníků má doma jednu LAN síť a další subnety nepotřebuje. Samozřejmě není problém dát zákazníkovi potřebný počet /64 nebo /56 síti, pokud je bude potřebovat.

Zatím má síť problém se zálohováním IPv6 prefixu. V tuto chvíli je jedinou možností nuceně uživatele přepnout zpět na IPv4. V případě výpadku primární optické přípojky je prozatím jediné řešení zahazovat pakety a klientům posílat tcp reset, čímž je donutíme použít IPv4, vysvětluje Pavel Trefný. Oba problémy, zálohování konektivity i velikost adresního prostoru, chceme vyřešit vlastním autonomním systémem. Právě probíhá jednání o získání členství v RIPE NCC, díky kterému bychom měli získat vlastní rozsah /22 pro IPv4 a /32 pro IPv6.

Firewall nahrazuje NAT

Základním bezpečnostním prvkem u podobných zákaznických sítí je firewall, který musí být pro IPv6 znovu nakonfigurován. Výchozím nastavením firewallu v zákaznickém routeru je jednoduchý stavový filtr, který nepropustí do sítě zákazníka nic zvenčí, pokud zákazník nenaváže spojení sám. V podstatě to má stejný bezpečnostní účinek jako NAT u IPv4, říká Trefný.

Není to nijak přísné, ale pro základní zabezpečení zákazníka to dostačuje. Stejně je nastavený firewall i před tunelovaným IPv6 na našem routeru. Zatím ze strany zákazníků nepřišel žádný požadavek na přidání výjimek nebo změny nastavení, dodává.

widgety

Proč to někde jde a jinde ne?

Podle slov obou pánů to vypadá, že nasazení IPv6 je hračka a každý poskytovatel je schopen to s dobrým plánováním zvládnout. Přesto se v praxi s podporou IPv6 u koncových zákazníků setkáváme zřídka. Ptáme se proto, proč to někde jde a jinde ne. To je celkem složitá otázka a napadá mě snad jediná odpověď. U nás to jde, protože je vůle vše řešit a chceme mít něco navíc než konkurence, kterou do nasazení nic netlačí.

Podle Pavla Trefného jde o konkurenční výhodu, která se ale zatím v praxi příliš neprojevuje. Obávám se, že dokud zákazníci nezačnou narážet na zdroje dostupné pouze na protokolu IPv6, poskytovatelé nebudou mít potřebu tento problém nějak řešit. Pomohlo by důkladnější informování laické veřejnosti.

Našli jste v článku chybu?
Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Lupa.cz: Jak udělat formulář, aby ho vyplnil i negramotný?

Jak udělat formulář, aby ho vyplnil i negramotný?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Podnikatel.cz: I vám můžou vykrást značku. Braňte se

I vám můžou vykrást značku. Braňte se

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Root.cz: Podívejte se na shořelé Samsung Note 7

Podívejte se na shořelé Samsung Note 7

Vitalia.cz: Tohle všechno se dá usušit

Tohle všechno se dá usušit

Lupa.cz: Jak levné procesory změnily svět?

Jak levné procesory změnily svět?

Podnikatel.cz: Tyto pojmy k #EET byste měli znát

Tyto pojmy k #EET byste měli znát

DigiZone.cz: Regionální tele­vize CZ vysílá "Mapu úspěchu"

Regionální tele­vize CZ vysílá "Mapu úspěchu"

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Měšec.cz: „Ukradli“ jsme peníze z bezkontaktních karet

„Ukradli“ jsme peníze z bezkontaktních karet

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

Vitalia.cz: Běháte a nehubnete? 6 častých chyb

Běháte a nehubnete? 6 častých chyb

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Vitalia.cz: Výživový poradce: Tyhle fešáky jedu celoročně

Výživový poradce: Tyhle fešáky jedu celoročně

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?