Praktické zkušenosti: nasazení IPv6 v síti poskytovatele

Petr Krčmář 16. 1. 2013

IPv4 adresy nám dávno došly a velkým hráčům dochází, že je čas na plán B. Protokol IPv6 se proto postupně stává realitou a zejména velcí poskytovatelé obsahu už na něm nabízejí své služby. Zatím váznou poskytovatelé připojení. Jak je složité IPv6 uživatelům nasadit a jaké problémy to v praxi přináší?

Před několika měsíci došly v Evropě IPv4 adresy a teď už se přiděluje jen naprosté minimum adres a další nebudou. Zejména velké společnosti (ale nejen ty) řeší, jak pokračovat v dalším rozvoji. Řešení existuje několik, ale to nejčistší spočívá v nasazení protokolu IPv6, který je přímo postaven jako nástupce IPv4 a kromě rozšíření adresního prostoru přináší i další výhody.

Přestože někde už nasazování začalo, jsou často výsledky velmi rozpačité nebo polofunkční. Mnoho poskytovatelů (a uživatelů) se do nasazení nechce, bojí se zhoršení dostupnosti svých služeb, zbytečných komplikací a nepochopení ze strany uživatelů. Vyzpovídali jsme představitele společnosti SporkNeT, s.r.o., která nabízí připojení k internetu koncovým uživatelům a nasazení IPv6 má v síti hotové. Na otázky odpovídali jednatel společnosti Zdeněk Šampalík a vedoucí technického oddělení Pavel Trefný.

Při zrodu internetu, si nedovedl nikdo představit jeho obrovský rozvoj a mělo se za to, že čtyři miliardy adres protokolu IPv4 vydrží navždy, nebo alespoň mnoho desítek let, říká Zdeněk Šampalík. Podle jeho slov se problém netýká jen firem nebo technického personálu, ale nakonec bude trápit všechny uživatele. Problém však nastal již v loňském roce, kdy adresy došly. To způsobí, že se již nikdo další, ať už nový web nebo nová síť, nepřipojí, anebo připojí s určitým omezením. A to se už týká každého z nás.

Hardware připravený předem

Nejběžnějším a zároveň nejhorším problémem při nasazování IPv6 je nulová podpora nového protokolu v koncových zařízeních zákazníků. Podle Pavla Trefného je třeba se na změnu připravovat postupně a přemýšlet při nákupu nového hardware. Svým zákazníkům půjčujeme nebo prodáváme poslední čtyři roky jen hardware s operačním systémem MikroTik, kde s podporou IPv6 není žádný problém. Ani u domácích zařízení s podporou IPv6 pak není problém. Vlastníkům routerů, které podporují nový protokol IPv6, aktivujeme službu na žádost zákazníka za jeho součinnosti při nastavení routeru.

Stále se v síti ale pochopitelně nacházejí zákaznická zařízení, která nedisponují podporou IPv6. I tento problém bylo potřeba vyřešit. Jako dočasné řešení jsme zvolili „tunelování“ IPv6 adresy na jejich počítače a zařízení pomocí technologií SSTP, L2TP, PPTP a OpenVPN. Poslední jmenovaná technologie je zvolena pro počítače a zařízení s operačním systémem, který nepodporuje PPPv6. Takovými systémy jsou Windows nižší verze než Vista.

Jde ovšem o dočasné řešení, které má nezanedbatelné nevýhody. Bohužel už sám tunel ‚degraduje‘ IPv6 připojení a není vhodným řešením pro zákazníky s více zařízeními nebo s rychlostí přesahující 15 Mbit. Doporučovaným řešením pro tyto zákazníky je zakoupení nebo půjčení nového routeru, dodává Trefný.

Díky plánovaným nákupům s ohledem na budoucnost byl vyřešen hlavní problém a bylo možné přistoupit k samotné implementaci. Naše síť je postavená na platformě MikroTik a většina jejích prvků podporuje IPv6. Proto nebyl problém s implementací IPv6 do stávající infrastruktury, říká Pavel Trefný.

Zajímá nás, proč byl zvolen právě MikroTik a ne jiné řešení. Já jsem byl vždy zatvrzelý linuxák s přirozeným odporem ke komerčním systémům. Jednoho dne jsem vyzkoušel MikroTik a zjistil, že je docela příjemné, když s konfigurací a správou má člověk méně starostí. S implementací IPv6 na MikroTiku jsme nenarazili na žádný problém a vše funguje dle našich představ, dodává Trefný.

Odzdola nahoru

Zajímavý byl postup při samotné implementaci nového protokolu. Obvyklé je začít na páteřní síti a poté postupovat směrem k uživatelům. Tady byl ale zvolen přesně opačný postup. Celý proces nasazení jsme vzali za opačný konec. Nejdříve jsme zprovoznili přístup pro koncové uživatele a až pak jsme IPv6 implementovali na aplikační servery, kde běží web, DNS, pošta a podobně, vysvětluje Trefný.

Uživatelé mají samozřejmě stále k dispozici i IPv4, bez kterého se ještě mnoho let pravděpodobně neobejdeme. Páteřní síť je postavená na dual-stacku, kdy trasy fungují jak na IPv4, tak i na IPv6. To vyžaduje starat se v podstatě o dva nezávislé internetové protokoly a také o dva protokoly pro dynamické směrování OSPFv2 pro IPv4 a OSPFv3 pro IPv6, říká Trefný.

Páteřní síť je natažena po optické síti a je řízená centrálním switchem. Optická část je z jedné strany zapojena do L3 switche Edge-Core ES4624-SFP a na druhé straně do routerboardu RB1000 nebo RB1100AH, který je před zákaznickým routerem.

V prostředí IPv6 se nepřidělují jednotlivé IP adresy, ale celé prefixy s minimální délkou /64 pro jednu podsíť. Je možné samozřejmě přidělovat i větší rozsahy. Zákazníkům přidělujeme standardně jednu IPv6 podsíť o velikosti prefixu /64. Tato zákaznická podsíť může obsahovat více než 18 trilionů (18×1018) připojených zařízení. Adresy jsou přidělovány bezstavovou metodou SLAAC.

I v IPv6 může být těsno

Podle Pavla Trefného nebyl vůbec problém získat od nadřazeného poskytovatele (UPC) IPv6 adresy. Prefix od providera nebylo složité získat, jen jsme se obávali, že obdržíme /48, což se také stalo.

Celá síť má tedy k dispozici rozsah jen /48, což není příliš velký prefix, vzhledem k dalšímu rozdělování /56 na jednotlivé lokality či přímo uživatelům. Takových prefixů je možné přidělit maximálně 256, což opravdu není hodně. Divili jsme se, že jsme od nadřazeného poskytovatele nedostali rovnou /32. Ovšem nutí nás to zbytečně neplýtvat a v případě vyčerpání není problém zažádat si o další /48, vysvětluje Trefný.

Praktické zkušenosti ovšem ukazují, že většina zákazníků stejně víc IPv6 sítí nevyužije. Většina našich zákazníků má doma jednu LAN síť a další subnety nepotřebuje. Samozřejmě není problém dát zákazníkovi potřebný počet /64 nebo /56 síti, pokud je bude potřebovat.

Zatím má síť problém se zálohováním IPv6 prefixu. V tuto chvíli je jedinou možností nuceně uživatele přepnout zpět na IPv4. V případě výpadku primární optické přípojky je prozatím jediné řešení zahazovat pakety a klientům posílat tcp reset, čímž je donutíme použít IPv4, vysvětluje Pavel Trefný. Oba problémy, zálohování konektivity i velikost adresního prostoru, chceme vyřešit vlastním autonomním systémem. Právě probíhá jednání o získání členství v RIPE NCC, díky kterému bychom měli získat vlastní rozsah /22 pro IPv4 a /32 pro IPv6.

Firewall nahrazuje NAT

Základním bezpečnostním prvkem u podobných zákaznických sítí je firewall, který musí být pro IPv6 znovu nakonfigurován. Výchozím nastavením firewallu v zákaznickém routeru je jednoduchý stavový filtr, který nepropustí do sítě zákazníka nic zvenčí, pokud zákazník nenaváže spojení sám. V podstatě to má stejný bezpečnostní účinek jako NAT u IPv4, říká Trefný.

Není to nijak přísné, ale pro základní zabezpečení zákazníka to dostačuje. Stejně je nastavený firewall i před tunelovaným IPv6 na našem routeru. Zatím ze strany zákazníků nepřišel žádný požadavek na přidání výjimek nebo změny nastavení, dodává.

Proč to někde jde a jinde ne?

Podle slov obou pánů to vypadá, že nasazení IPv6 je hračka a každý poskytovatel je schopen to s dobrým plánováním zvládnout. Přesto se v praxi s podporou IPv6 u koncových zákazníků setkáváme zřídka. Ptáme se proto, proč to někde jde a jinde ne. To je celkem složitá otázka a napadá mě snad jediná odpověď. U nás to jde, protože je vůle vše řešit a chceme mít něco navíc než konkurence, kterou do nasazení nic netlačí.

Podle Pavla Trefného jde o konkurenční výhodu, která se ale zatím v praxi příliš neprojevuje. Obávám se, že dokud zákazníci nezačnou narážet na zdroje dostupné pouze na protokolu IPv6, poskytovatelé nebudou mít potřebu tento problém nějak řešit. Pomohlo by důkladnější informování laické veřejnosti.

Ohodnoťte jako ve škole:

Průměrná známka 2,30

Našli jste v článku chybu?
Zasílat nově přidané názory e-mailem
Lupa.cz: Jak EET vidí ajťák aneb Drahá vražda UX

Jak EET vidí ajťák aneb Drahá vražda UX

DigiZone.cz: Druhá anglická liga pro Digi TV

Druhá anglická liga pro Digi TV

Vitalia.cz: Sója a rakovina

Sója a rakovina

120na80.cz: Tady se vaří padělané léky

Tady se vaří padělané léky

Vitalia.cz: Proč máme prasklý chléb nejraději?

Proč máme prasklý chléb nejraději?

Podnikatel.cz: Rošáda v živnostech. Týká se vás?

Rošáda v živnostech. Týká se vás?

Lupa.cz: Přenos hokeje padal kvůli útoku, tvrdí O2

Přenos hokeje padal kvůli útoku, tvrdí O2

Lupa.cz: Kam si doma dáte internet věcí? Na polici?

Kam si doma dáte internet věcí? Na polici?

Lupa.cz: Válka e-shopů. Alza končí s Heurekou

Válka e-shopů. Alza končí s Heurekou

Podnikatel.cz: Heureka pod Rockaway? Tohle musí splnit

Heureka pod Rockaway? Tohle musí splnit

Root.cz: Zákon o hazardu je v rozporu s ústavou

Zákon o hazardu je v rozporu s ústavou

Podnikatel.cz: Proměny stavebnice Seva. Znáte ji?

Proměny stavebnice Seva. Znáte ji?

DigiZone.cz: Šlágr TV dostala pokutu 100 000 Kč

Šlágr TV dostala pokutu 100 000 Kč

120na80.cz: 5 triků, jak zastavit krvácení po holení

5 triků, jak zastavit krvácení po holení

Podnikatel.cz: Alza radí e-shopům, jak opustit Heureku

Alza radí e-shopům, jak opustit Heureku

Vitalia.cz: Tetanus v USA – i po odřeninách

Tetanus v USA – i po odřeninách

120na80.cz: Co jí dělá? Sklerotizaci

Co jí dělá? Sklerotizaci

120na80.cz: Velký přehled: 7 očkování proti exotickým nemocem

Velký přehled: 7 očkování proti exotickým nemocem

Podnikatel.cz: Konečně vývar. Skoro jako od Steva Jobse

Konečně vývar. Skoro jako od Steva Jobse

Vitalia.cz: Taky ji kupujete? Je šizená

Taky ji kupujete? Je šizená