Praktické zkušenosti: nasazení IPv6 v síti poskytovatele

Petr Krčmář 16. 1. 2013

IPv4 adresy nám dávno došly a velkým hráčům dochází, že je čas na plán B. Protokol IPv6 se proto postupně stává realitou a zejména velcí poskytovatelé obsahu už na něm nabízejí své služby. Zatím váznou poskytovatelé připojení. Jak je složité IPv6 uživatelům nasadit a jaké problémy to v praxi přináší?

Před několika měsíci došly v Evropě IPv4 adresy a teď už se přiděluje jen naprosté minimum adres a další nebudou. Zejména velké společnosti (ale nejen ty) řeší, jak pokračovat v dalším rozvoji. Řešení existuje několik, ale to nejčistší spočívá v nasazení protokolu IPv6, který je přímo postaven jako nástupce IPv4 a kromě rozšíření adresního prostoru přináší i další výhody.

Přestože někde už nasazování začalo, jsou často výsledky velmi rozpačité nebo polofunkční. Mnoho poskytovatelů (a uživatelů) se do nasazení nechce, bojí se zhoršení dostupnosti svých služeb, zbytečných komplikací a nepochopení ze strany uživatelů. Vyzpovídali jsme představitele společnosti SporkNeT, s.r.o., která nabízí připojení k internetu koncovým uživatelům a nasazení IPv6 má v síti hotové. Na otázky odpovídali jednatel společnosti Zdeněk Šampalík a vedoucí technického oddělení Pavel Trefný.

Při zrodu internetu, si nedovedl nikdo představit jeho obrovský rozvoj a mělo se za to, že čtyři miliardy adres protokolu IPv4 vydrží navždy, nebo alespoň mnoho desítek let, říká Zdeněk Šampalík. Podle jeho slov se problém netýká jen firem nebo technického personálu, ale nakonec bude trápit všechny uživatele. Problém však nastal již v loňském roce, kdy adresy došly. To způsobí, že se již nikdo další, ať už nový web nebo nová síť, nepřipojí, anebo připojí s určitým omezením. A to se už týká každého z nás.

Hardware připravený předem

Nejběžnějším a zároveň nejhorším problémem při nasazování IPv6 je nulová podpora nového protokolu v koncových zařízeních zákazníků. Podle Pavla Trefného je třeba se na změnu připravovat postupně a přemýšlet při nákupu nového hardware. Svým zákazníkům půjčujeme nebo prodáváme poslední čtyři roky jen hardware s operačním systémem MikroTik, kde s podporou IPv6 není žádný problém. Ani u domácích zařízení s podporou IPv6 pak není problém. Vlastníkům routerů, které podporují nový protokol IPv6, aktivujeme službu na žádost zákazníka za jeho součinnosti při nastavení routeru.

Stále se v síti ale pochopitelně nacházejí zákaznická zařízení, která nedisponují podporou IPv6. I tento problém bylo potřeba vyřešit. Jako dočasné řešení jsme zvolili „tunelování“ IPv6 adresy na jejich počítače a zařízení pomocí technologií SSTP, L2TP, PPTP a OpenVPN. Poslední jmenovaná technologie je zvolena pro počítače a zařízení s operačním systémem, který nepodporuje PPPv6. Takovými systémy jsou Windows nižší verze než Vista.

Jde ovšem o dočasné řešení, které má nezanedbatelné nevýhody. Bohužel už sám tunel ‚degraduje‘ IPv6 připojení a není vhodným řešením pro zákazníky s více zařízeními nebo s rychlostí přesahující 15 Mbit. Doporučovaným řešením pro tyto zákazníky je zakoupení nebo půjčení nového routeru, dodává Trefný.

Díky plánovaným nákupům s ohledem na budoucnost byl vyřešen hlavní problém a bylo možné přistoupit k samotné implementaci. Naše síť je postavená na platformě MikroTik a většina jejích prvků podporuje IPv6. Proto nebyl problém s implementací IPv6 do stávající infrastruktury, říká Pavel Trefný.

Zajímá nás, proč byl zvolen právě MikroTik a ne jiné řešení. Já jsem byl vždy zatvrzelý linuxák s přirozeným odporem ke komerčním systémům. Jednoho dne jsem vyzkoušel MikroTik a zjistil, že je docela příjemné, když s konfigurací a správou má člověk méně starostí. S implementací IPv6 na MikroTiku jsme nenarazili na žádný problém a vše funguje dle našich představ, dodává Trefný.

Odzdola nahoru

Zajímavý byl postup při samotné implementaci nového protokolu. Obvyklé je začít na páteřní síti a poté postupovat směrem k uživatelům. Tady byl ale zvolen přesně opačný postup. Celý proces nasazení jsme vzali za opačný konec. Nejdříve jsme zprovoznili přístup pro koncové uživatele a až pak jsme IPv6 implementovali na aplikační servery, kde běží web, DNS, pošta a podobně, vysvětluje Trefný.

Uživatelé mají samozřejmě stále k dispozici i IPv4, bez kterého se ještě mnoho let pravděpodobně neobejdeme. Páteřní síť je postavená na dual-stacku, kdy trasy fungují jak na IPv4, tak i na IPv6. To vyžaduje starat se v podstatě o dva nezávislé internetové protokoly a také o dva protokoly pro dynamické směrování OSPFv2 pro IPv4 a OSPFv3 pro IPv6, říká Trefný.

Páteřní síť je natažena po optické síti a je řízená centrálním switchem. Optická část je z jedné strany zapojena do L3 switche Edge-Core ES4624-SFP a na druhé straně do routerboardu RB1000 nebo RB1100AH, který je před zákaznickým routerem.

V prostředí IPv6 se nepřidělují jednotlivé IP adresy, ale celé prefixy s minimální délkou /64 pro jednu podsíť. Je možné samozřejmě přidělovat i větší rozsahy. Zákazníkům přidělujeme standardně jednu IPv6 podsíť o velikosti prefixu /64. Tato zákaznická podsíť může obsahovat více než 18 trilionů (18×1018) připojených zařízení. Adresy jsou přidělovány bezstavovou metodou SLAAC.

I v IPv6 může být těsno

Podle Pavla Trefného nebyl vůbec problém získat od nadřazeného poskytovatele (UPC) IPv6 adresy. Prefix od providera nebylo složité získat, jen jsme se obávali, že obdržíme /48, což se také stalo.

Celá síť má tedy k dispozici rozsah jen /48, což není příliš velký prefix, vzhledem k dalšímu rozdělování /56 na jednotlivé lokality či přímo uživatelům. Takových prefixů je možné přidělit maximálně 256, což opravdu není hodně. Divili jsme se, že jsme od nadřazeného poskytovatele nedostali rovnou /32. Ovšem nutí nás to zbytečně neplýtvat a v případě vyčerpání není problém zažádat si o další /48, vysvětluje Trefný.

Praktické zkušenosti ovšem ukazují, že většina zákazníků stejně víc IPv6 sítí nevyužije. Většina našich zákazníků má doma jednu LAN síť a další subnety nepotřebuje. Samozřejmě není problém dát zákazníkovi potřebný počet /64 nebo /56 síti, pokud je bude potřebovat.

Zatím má síť problém se zálohováním IPv6 prefixu. V tuto chvíli je jedinou možností nuceně uživatele přepnout zpět na IPv4. V případě výpadku primární optické přípojky je prozatím jediné řešení zahazovat pakety a klientům posílat tcp reset, čímž je donutíme použít IPv4, vysvětluje Pavel Trefný. Oba problémy, zálohování konektivity i velikost adresního prostoru, chceme vyřešit vlastním autonomním systémem. Právě probíhá jednání o získání členství v RIPE NCC, díky kterému bychom měli získat vlastní rozsah /22 pro IPv4 a /32 pro IPv6.

Firewall nahrazuje NAT

Základním bezpečnostním prvkem u podobných zákaznických sítí je firewall, který musí být pro IPv6 znovu nakonfigurován. Výchozím nastavením firewallu v zákaznickém routeru je jednoduchý stavový filtr, který nepropustí do sítě zákazníka nic zvenčí, pokud zákazník nenaváže spojení sám. V podstatě to má stejný bezpečnostní účinek jako NAT u IPv4, říká Trefný.

Není to nijak přísné, ale pro základní zabezpečení zákazníka to dostačuje. Stejně je nastavený firewall i před tunelovaným IPv6 na našem routeru. Zatím ze strany zákazníků nepřišel žádný požadavek na přidání výjimek nebo změny nastavení, dodává.

Proč to někde jde a jinde ne?

Podle slov obou pánů to vypadá, že nasazení IPv6 je hračka a každý poskytovatel je schopen to s dobrým plánováním zvládnout. Přesto se v praxi s podporou IPv6 u koncových zákazníků setkáváme zřídka. Ptáme se proto, proč to někde jde a jinde ne. To je celkem složitá otázka a napadá mě snad jediná odpověď. U nás to jde, protože je vůle vše řešit a chceme mít něco navíc než konkurence, kterou do nasazení nic netlačí.

Podle Pavla Trefného jde o konkurenční výhodu, která se ale zatím v praxi příliš neprojevuje. Obávám se, že dokud zákazníci nezačnou narážet na zdroje dostupné pouze na protokolu IPv6, poskytovatelé nebudou mít potřebu tento problém nějak řešit. Pomohlo by důkladnější informování laické veřejnosti.

Našli jste v článku chybu?
120na80.cz: Běžecká lékárnička: jak si poradit?

Běžecká lékárnička: jak si poradit?

Root.cz: Quake slaví 20 let novou epizodou zdarma

Quake slaví 20 let novou epizodou zdarma

Podnikatel.cz: Neuvěříte, ale EET má pro podnikatele i výhody
MarketVoice

Neuvěříte, ale EET má pro podnikatele i výhody

DigiZone.cz: Náhrada za nevrácená zařízení?

Náhrada za nevrácená zařízení?

120na80.cz: Jsou opalovací krémy pro děti jiné?

Jsou opalovací krémy pro děti jiné?

Vitalia.cz: 5 porcí ovoce a zeleniny: no ale jak na to?

5 porcí ovoce a zeleniny: no ale jak na to?

DigiZone.cz: ČTÚ květen: rušení TV vysílání narůstá

ČTÚ květen: rušení TV vysílání narůstá

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Lupa.cz: Vydavatelé jsou v háji, ale neumí si to připustit

Vydavatelé jsou v háji, ale neumí si to připustit

Vitalia.cz: Jíme přesolené potraviny. Zrovna tyhle

Jíme přesolené potraviny. Zrovna tyhle

Root.cz: Špína v počítačích: mrtvé myši, prach a pavouci

Špína v počítačích: mrtvé myši, prach a pavouci

Root.cz: Střílejte v obýváku, stačí kamera a projektor

Střílejte v obýváku, stačí kamera a projektor

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: ČT veze bronz z klání televizní grafiky

ČT veze bronz z klání televizní grafiky

Podnikatel.cz: "Okurku" vyřeší slevové servery. Už jim věřte

"Okurku" vyřeší slevové servery. Už jim věřte

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

Měšec.cz: Od kdy musí studenti platit pojistné?

Od kdy musí studenti platit pojistné?

Lupa.cz: eIDAS je tu. O co přijdeme u elektronických podpisů?

eIDAS je tu. O co přijdeme u elektronických podpisů?

DigiZone.cz: Soud zakázal šíření TV Markíza v ČR

Soud zakázal šíření TV Markíza v ČR