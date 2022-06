Letos je to právě deset let od světového spuštění IPv6. Je tedy čas bilancovat. Jak to tedy vypadá? začal svou přednášku organizátor Ondřej Caletka z RIPE NCC. Google hlásí 40 procent přístupů po IPv6, naopak v AMS-IX tvoří jen kolem čtyř procent provozu a toto číslo se dlouhodobě nemění.

Naopak první český mobilní operátor už IPv6 na své síti nabízí, ale u dalších je to zatím bída. Bohužel stále vznikají nové služby, které IPv6 ignorují. Jako příklady byly uvedeny Nordic Telecom, T-Mobile FttH a Starlink. Realita je bohužel taková, že bez IPv4 se stále ještě fungovat nedá.

V rámci konference byla opět provozována Wi-Fi síť, na které běželo pouze IPv6. Technicky ji zajišťoval Turris Omnia, na kterém v roli NAT64 běžel nástroj Jool a jako DNS64 byl provozován KnotDNS. V rámci ohlášek směrovače byla odesílána volba PREF64 (RFC8781), která umožňuje zařízením zjistit prefix pro NAT64 bez nutnosti objevování pomocí známé domény ipv4only.arpa . Je to poměrně velká novinka, ale klienti už jí rozumí, takže by to mělo fungovat.





Ondřej Caletka: Nutnost přechodu na IPv6

Nemáme už dávno hotovo? IPv6 bylo globálně spuštěno před deseti lety, světové statistiky stále rostou a každý operační systém ho dnes podporuje. Bohužel je ale stále IPv6 jakýmsi občanem druhé kategorie a problémy se řeší jen v pracovní době a když je čas. Proto se také stále musíme bavit o IPv4.

Budoucnost IPv4 vůbec není růžová, do fáze vyčerpání jsme se dostali v roce 2012 a od té doby se adresy přidělují jen ve velmi omezeném režimu. K úplnému vyčerpání pak došlo v roce 2019 a noví zájemci se musejí řadit do čekací listiny. V tuto chvíli zhruba 900 členů RIPE čeká na příděl 256 IPv4 adres. To není vůbec nic, ani pro menší organizaci to není dostatečné. Na vyřízení žádosti se čeká mnoho měsíců a tuto dobu nelze predikovat.

Není možné to vyřešit nějak jinak? Potřebujeme vlastně unikátní veřejnou IPv4 adresu? Jako domácí uživatel v zásadě takovou adresu nepotřebujete. Technologie Carrier Grade NAT (CGN) se stále zdokonaluje a za jednu adresu je možné dát mnoho počítačů. Pokud jste ale organizace, pravděpodobně ale veřejnou adresu potřebujete. Pokud provozujete housing, každý váš zákazník jich potřebuje několik. Ceny IPv4 rychle rostou a vzniká tím nerovné konkurenční prostředí, protože kdo má adres spoustu, má před zákazníkem velkou výhodu.

Autor: Petr Krčmář, Root.cz

Samotné zavedení IPv6 bohužel problém neřeší. Ten pomine, až nebudeme vůbec potřebovat IPv4 a bude nám stačit jen a pouze šestkový internet. Hlavní výhodou nasazení IPv6 je neomezený růst. Když nás jako RIPE někdo požádá o adresní příděl, dostane prefix /29 a obvykle už se nám nikdy neozve, protože mu to stačí navždy. Existují i obrovské organizace, které získají podstatně kratší prefix, až /19.

Nasazení IPv6 také dokáže snížit zátěž CGN, který nemá neomezený výkon. Musí držet stav a to je poměrně náročná věc, která má své limity a operátor pak musí investovat další peníze do posílení infrastruktury. Řada populárních služeb ale už IPv6 podporuje, takže při nasazení u koncových uživatelů se velká část provozu odkloní mimo CGN.

Velkým problémem je také sdílení IPv4 adres, kdy pak uživatelé mají problémy s geoblokací, blacklisting nebo rate limiting. Typicky Google začne při velkém množství požadavků z jedné adresy uživatelům zobrazovat CAPTCHA. Tohle bývá obvykle limit toho, kolik uživatelů umíme dát za jednu IPv4 adresu.

V případě sdílení adres musíme také složitě řešit data retention a musíme průběžně sledovat, kterou adresu kdy používá který uživatel. S IPv6 přidělíme konkrétním zákazníkům adresy a celé data retention může být jedna velká excelová tabulka, kde máme zapsáno, kdo má které adresy. Takhle jednoduché to může být.

Dalším známým problémem je kolize IPv4 adres. Obvykle totiž v místních sítích používáme privátní rozsahy adres, které nejsou unikátní. V případě propojení takových sítí pak může dojít k překryvu a směrovač pak neví, do které sítě má data odesílat. To v IPv6 nenastává, protože každá adresa je globálně unikátní.

Když se rozhodněte IPv6 nasazovat, je potřeba začít s dobrým adresním plánem. Pokud to podceníte a vyčerpáte příliš brzy svůj příděl adres, další nedostanete. Je tedy potřeba rezervovat dostatečný prostor pro další růst. Seskupujte tedy prefixy podle funkce a nevytvářejte velké podsítě. Správný adresní plán vám pak umožňuje vytvářet naprosto logické části, které mohou být snadno zapamatovatelné. V IPv4 už si kvůli vyčerpání nic podobného dovolit nemůžeme.

Aby bylo možné IPv4 v budoucnu vypnout, měli bychom používat nativní IPv6 a ne ji jen tunelovat přes IPv4. Použití přechodového mechanismu pro IPv4 je naopak dobrý nápad, protože bez něj se ještě neobejdeme a později budeme moci snadno starý protokol tlumit.

Uživatelé se často ptají na bezpečnost IPv6 v porovnání se starším protokolem. IPv6 není ani více, ani méně bezpečný. Často je velkým strašákem globální adresovatelnost, kterou kritici často zaměňují za globální dostupnost. Že je komunikace mezi uzly možná, neznamená, že bude vždy povolená. Filtrace funguje úplně stejně jako u IPv4.

Budoucnost je podle Ondřeje Caletky v každém případě IPv6-only. IPv6 je jediné známé řešení dalšího rozvoje internetu, žádnou další variantu nemáme. Nasazení IPv6 je ale jen první krok, posledním krokem bude vypnutí IPv4. V současnosti se nejčastěji nasazuje dual-stack, který ale často překrývá problémy s IPv6, protože se na pozadí vždy přepne na IPv4.

Při nasazování je dobré začít s privátní sítí pro management. Ta bývá dostupná jen přes VPN, takže na ní není IPv4 vůbec potřeba. Pak můžete pokračovat svou domácí kancelářskou sítí, kde můžete provozovat třeba NAT64. Já to tak mám dva roky celkem bez problémů. U mobilních zařízení s tím dnes není žádný problém, protože vlastnosti mobilních zařízení jsou tlačeny mobilními operátory, kteří mají rádi IPv6. U desktopových operačních systémů je to horší, protože jejich tvůrci se použití CLAT brání.

Vít Labuda: Jak funguje bezstavový NAT64 překladač

Tundra je bezestavový překladač NAT64 a CLA, který je určen pro Linux a je napsán v jazyce C. NAT64 je přechodový mechanismus, který umožňuje zařízením v IPv6 síti komunikovat s IPv4, aniž by zařízení mělo IPv4 adresu. Překladač pomocí pravidel SIIT překládá pakety mezi IPv4 a IPv6 a mapuje IP adresy v nich obsažené.

SIIT je bezestavový algoritmus pro překlad IP a ICMP, který je standardizovaný v RFC 7915. To definuje přesná pravidla pro překlad IP hlaviček, překlad ICMP zpráv a aktualizaci kontrolních součtů u transportních protokolů. Naopak se nezabývá překladem adres, který je ponechán na konkrétním přechodovém mechanismu. Každý paket je přeložen individuálně, což vyplývá z bezestavovosti. Překlad paketu nezávisí na překladu jeho předchůdců.

Kromě transportních protokolů je potřeba překládat také ICMP zprávy, protože ICMPv4 a ICMPv6 jsou různé protokoly s různými čísly. V případě informačních zpráv se překládají pouze zprávy Echo Request a Echo Reply (ping). V případě chybových zpráv je součástí obsahu také část IP paketu, který chybu způsobil, a tu je potřeba také přeložit.

Nejsložitějším zdrojem problému překladu SIIT je fragmentace a path MTU discovery. Překladač se musí zabývat rozdíly mezi oběma světy a přizpůsobovat vytvářené pakety.

Radek Zajíc: Když je jeden lepší než dva

IPv6 je už poměrně starý protokol, první RFC vyšla už v roce 1995, přechodové mechanismy byly navrženy už v roce 1996. Autoři už popsali možnost provozu obou protokolů, který tehdy nazvali Dual IP Layer. Nepočítalo se ale s provozem uzlů v IPv6-only síti.

V roce 2000 pak vznikl standard pro NAT-PT, který měl zajistit překlad mezi oběma světy. Používaly se tu docela složité mechanismy a nesetkalo se to v komunitě příliš s pochopením. Protokol už byl o několik let později označen za historický.

V té době tedy neexistoval protokol, který by vám umožňoval provoz sítě jen s IPv6. Už v roce 2011 ale vyšlo RFC s definicí NAT64. Princip je velmi jednoduchý: postavíte síť pouze na IPv6 a uživatelé budou mít stále přístup i do IPv4 světa. Ušetří vám to ale spoustu práce a problémů.

Opačný přístup je prakticky nemožný: ze sítě pouze s IPv4 konektivitou nelze snadno přistoupit do IPv6 sítě. Obráceně to ale možné je, právě pomocí současných přechodových mechanismů. Mezi další problémy v IPv4 je určení velikosti rozsahu pro jednu síť, problémy s přečíslováním celé sítě a kolize adres. To je dost častá situace například u VPN. Pokud se připojíte do práce, kde se používají stejné rozsahy jako u vás doma, musíte přečíslovat. To v IPv6 nenastane.

Pokud chcete propojovat dvě sítě přes internet, v případě privátních adres IPv4 budete potřebovat tunelování, u IPv6 vám stačí otevřít přístup na firewallu a je hotovo. Omezený adresní prostor v IPv4 je také problém tam, kde máte velkou spotřebu adres, například u kontejnerů.

Problémů z IPv4 světa se ale nezbavíme, dokud se nezbavíme IPv4. Proto dává smysl zabývat se tím, jak provozovat sítě pouze s IPv6. Různé státy se tím začínají intenzivně zabývat, například Čína plánuje přechod na IPv6 do roku 2030, Spojené státy mají také velmi smělé plány týkající se postupného přechodu.

IPv6-only se začíná postupně rozšiřovat v datacentrech, kde se směrem ven servery připojují pomocí DNS64 a NAT64, ale je potřeba tu řešit i opačný směr – aby se uživatelé mohli k serverům připojit z IPv4-only sítě. V takové situaci je možné do sítě vložit překladač SIIT, který se postará o přeložení do vnitřní sítě. K tomu ale potřebujete mít ve vnitřní síti IPv4. Nezanášejte si ale síť IPv4, budete ji chtít časem zrušit.

Proto je výhodnější použít SIIT-DC (EAM), kde vzniká statická tabulka mapování. Máme pak namapováno, na jakou adresu se který provoz překládá. Výhoda je, že je celý překlad bezestavový a není problém mít v síti překladačů několik. Takové řešení je velmi elegantní.

Na vyšší síťové vrstvě je pak možné použít proxy server, který se postará o přeposlání paketů. To se obvykle používá u protokolů jako HTTP. Problémem tu je ale identifikace cíle, kvůli které musím provádět analýzu hlaviček. Pokud používáme šifrované protokoly, musíme nahlížet například do SNI. Například u SSH ale nemůžeme z komunikace nijak zjistit správný cíl, musíme tak využít například různé TCP porty, ale zase nezjistíme, který klient se k nám připojuje.

V případě nasazení IPv6-only sítě pro koncové uživatele je naprostým základem NAT64 a DNS64, to ale nestačí, protože princip Happy Eyeball zakrývá spoustu problémů. Přesto stále existují aplikace, které na IPv6-only síti neběží správně, například aplikace Spotify.

Pak jsou tu aplikace, které bez IPv4 vůbec nefungují: VPN, IoT, herní konzole, audiosystémy, ESP, ARduino, hardware z IKEA, běžecké pásy a mnoho dalších. Jediný způsob, jak zjistit, co se rozbije, je spustit si síť jen s IPv6, ověřit to a postupně opravit. RFC 8925 přineslo volbu IPv6-Only, která umožňuje klientům pomocí DHCPv4 oznámit, že v dané síti žádná IPv4 síť není a nemají po ní dále pátrat.

Veronika McKillopová: Příběh britské Rady IPv6

Před deseti lety, v roce 2012, bylo podle Google globálně jen 0,62 % internetového provozu vedeno po IPv6. Žádný z velkých britských poskytovatelů neměl žádné plány nasazení. Ale zákazníci chtěli informace o IPv6, což je obvykle první fáze. Nejdříve potřebujete načerpat znalosti, pak teprve se můžete zabývat testováním. Situace v Británii vyžadovala významnou změnu, protože země začínala v nasazování nového protokolu zaostávat.

V dubnu roku 2014 byla založena britská Rada IPv6, jejímž cílem bylo vytvořit prostředí pro techniky a byznysmany z různých oblastí průmyslu. Chtěli jsme, aby mohli sdílet své zkušenosti s nasazením IPv6, diskutovat o tom a vytvořit komunitu.

Rada měla také za cíl spolupracovat s dalšími organizacemi v zemi i v zahraničí a přitom zviditelnit aktivity okolo IPv6 na mezinárodní úrovni. Když jsme veřejně oznámili svou aktivitu, měli jsme v Británii jen 0,29 % provozu po IPv6.

Jádrem je centrální tým, který přináší témata k diskusi a organizuje setkání. Provozuje také webové stránky, na kterých je udržován seznam členů. Organizace má také youtubový kanál, na kterém zveřejňuje přednášky z různých akcí. Nikdo z nás není za tuto práci placen, jsme všichni dobrovolníci.

Skupina každý rok pořádá pravidelné setkání, které probíhá celý den a je možné se ho zúčastnit osobně v Londýně i online formou. Kromě toho probíhají dvakrát až třikrát do roka kulaté stoly, u kterých běží diskuse na konkrétní témata mezi nejvýše dvaceti účastníky. Funguje to velmi dobře, během pandemie jsme se takto setkávali online.

Britská Rada IPv6 není formální organizací, ale řadí se mezi uživatelské technologické skupiny (TUG, Technology User Group). Nemá tedy žádnou právní subjektivitu, ale zároveň ani žádný rozpočet. To je skvělé, protože jsme nezávislí. Zároveň nás to omezuje v tom, že nemůžeme na svou činnost získat žádné peníze. Organizace setkání proto vyžaduje vždy nějakého místního sponzora. Účast na nich je ale potom zdarma.

V současné době má skupina přes 750 členů a inspiruje řadu dalších organizací po celém světě. Překvapilo nás to, protože jsme byli původně zaměřeni na britské prostředí. Ozývají se ale lidé z celého světa, kteří děkují za možnost načerpat důležité informace. V současné době se britský provoz po IPv6 podle Google blíží ke 44 %.

Rada od roku 2016 uděluje také ceny za významný přínos IPv6. Chce tak zviditelnit důležité organizace a lidi, kteří v této oblasti pomohli dosáhnout změny. Vždycky je to nakonec v konkrétních lidech. Podobné Rady IPv6 existují také v dalších státech, například ve Švýcarsku, Belii, mnoha státech USA a nejnověji také třeba v Itálii. Našim společným cílem je zvýšit celosvětový podíl IPv6.

Po přednášce oznámil Radek Zajíc založení Skupiny pro podporu nasazení IPv6 v ČR. S nadějí, že se nám podaří shromáždit zástupce ISP, státu i poskytovatelů obsahu a podpořit rozvoj IPv6 v ČR.

Ondřej Caletka: Internet v Nizozemsku

Ondřej Caletka se asi před dvěma lety přestěhoval do Nizozemska a při té příležitosti začal zkoumat zdejší nabídku připojení k internetu. Z hlediska mobilních sítí jsou na tom v Nizozemsku velmi podobně, jako jsme my v Česku. Také mají tři operátory a stejně jako u nás má jen jeden z nich v síti IPv6. Operátor KPN zavedl podporu na podzim v roce 2019. Existují tam i nějací virtuální operátoři. K dispozici je i neomezený datový tarif za 35 eur, ale po vyčerpání 5 GB za den je nutné manuálně objednat další datový balíček dostupný zdarma.

Pevné internetové připojení je paradoxně dražší než mobilní internet. Neexistují tu bezdrátoví poskytovatelé, vlastně v celém Nizozemsku neuvidíte na domech téměř žádné antény. K dispozici jsou tři různá vedení: telefonní vedení (xDSL), koaxiální kabel (DOCSIS) nebo optické vlákno. Koaxiální síť provozuje společnost Ziggo a je to naprosto uzavřený systém vyžadující jejich zařízení. Telefonní vedení a většinu optiky provozuje společnost KPNetwerk.

Operátoři běžně nabízejí triple-play, tedy internet, televizi a telefon v jednom. Televizi takto v Nizozemsku přijímá 90 procent populace. Je obvyklé, že uživatelé přijímají televizi od svého internetového operátora. Pokud chcete pevnou linku, dostanete VoIP pomocí SIP. Brána je integrovaná přímo ve vašem modemu. Klasické telefony už se vůbec nezřizují.

Telefonní vedení se v Nizozemsku využívá výhradně jen pro xDSL, do každého bytu jsou zavedeny vždy dva metalické páry. Za příplatek si můžete objednat bonding, ale ne vždy to funguje dobře. V zemi je velmi mnoho předsunutých DSLAM, nejčastěji se využívá profil VDSL 17a, tedy až 150/50 Mbps. Potěšilo mě, že tam už dále není zapojeno žádné rychlostní omezení.

Nejmodernějším řešením je samozřejmě optická přípojka Fiber-to-the-Home (FttH), která je běžná v novostavbách a postupně se dostává i do starších domům. Podle místních podmínek se používají různé technologie, nejčastěji AON (EoF/GoF), kdy koncovým bodem je optické vlákno.

Většinu sítě provozuje KPNetwerk a jde o otevřenou síť s různými operátory, která přenáší ethernetové VLAN. Uvnitř je obvykle ještě PPPoE nebo méně často IPoE nad VLAN. Vedle je ještě druhá VLAN, na které běží routovaná multicastová IPTV. Operátoři dodávají vlastní modem, jehož součástí je vestavěné heslo pro přihlášení.