Hlavní navigace

Stav IPv4: drancování a všudypřítomný NAT

Ondřej Caletka 2. 12. 2015

Je to už takový evergreen. Každý, kdo se pohybuje kolem Internetu, slyšel už mnohokrát, že IPv4 adresy docházejí, případně že už došly a že jediné řešení, které umožní další rozvoj Internetu, je přechod na IPv6. Ovšem zatímco lidstvo usilovně přechází na IPv6, lidi na to z vysoka kašlou.

Situace se vyhrotila natolik, že ručička na pomyslném měřiči hladiny zásob IPv4 adres je hluboko v červené oblasti a poptávka přitom nepolevuje.

Nepotřebuju veřejnou adresu, mně stačí internet

Dočasné řešení nedostatku IPv4 adres v podobě sdílení adresy nástrojem na překlad adres (NAT) se objevilo už v devadesátých letech dvacátého století, tedy dávno před rozvojem aktuálních trendy technologií, jakými jsou třeba mobilní internetové připojení nebo internet věcí. Většina těchto technologií je od prvního dne provozována s překladem adres, princip end-to-end konektivity tam nikdy nefungoval. Ve vší zvrácenosti byl a stále občas je takový stav popisován jako výhoda − „bezpečná“ vnitřní síť je chráněna před nebezpečím zvenku, protože do ní jednoduše nic nepustíme.

Extrémní případ mi popisoval jeden známý, který si koupil vypínatelnou elektrickou zásuvku ovládanou pomocí Wi-Fi. Zásuvka má pěkné webové rozhraní, pomocí kterého je možné zásuvku nakonfigurovat, ale paradoxně z něj není možné zásuvku zapnout nebo vypnout. To je možné udělat pouze pokynem do cloudu kdesi v IPv4 internetu, odkud si jej převezme zásuvka. Bez připojení k internetu zásuvku ovládat nemůžete.

Mnozí uživatelé tak nabývají dojmu, že jich se vyčerpání IPv4 adres netýká, veřejnou IPv4 adresu měli naposledy před deseti lety, když se naposledy připojili pomocí telefonního modemu. Od té doby veřejnou adresu neměli a všechno jim funguje. V zásadě mají pravdu a dá se říct, že přinejmenším ještě několik následujících let bude možné klienty připojovat k Internetu pomocí kaskády překladačů adres, které se stále zdokonalují, aby zvládly více současných spojení, vyšší rychlost i větší poměr sdílení adres.

Se zdokonalováním ovšem také roste cena. Zařízení pro tzv. Carrier Grade NAT jsou spolu se zařízeními na obranu proti DDoS útokům dnes nejdražšími síťovými prvky. Spousta velkých poskytovatelů připojení proto do poslední chvíle raději adresovala i rezidentní zákazníky veřejnými adresami, protože to vyšlo levněji. Naopak menší operátoři, typicky připojující klienty pomocí Wi-Fi technologie, kteří měli v síti překladač adres od prvního dne, obvykle narazí na problémy v momentě, kdy vyrostou z Wi-Fi na optickou přístupovou síť. Při rychlostech v desítkách či stovkách Mbps na zákazníka se centrální NAT začne rychle projevovat jako úzké hrdlo.

Problém u obsahu už dávno nastal

I klienti, kteří si teď vesele lebedí na privátních IP adresách za překladačem adres, se však potřebují připojovat ke službám Internetu. Na straně poskytovatelů obsahu je sdílení adres s výjimkou speciálních případů vyloučeno. Přesto velcí poskytovatelé obsahu nemají s nedostatkem adres problém. Proč? I velký poskytovatel obsahu potřebuje oadresovat jen několik desítek, případně stovek serverů. V porovnání s poskytovateli připojení, kteří své zákazníky počítají klidně na desetitisíce i statisíce, je tak jejich potřeba adres v podstatě zanedbatelná.

Jsou tu ale i další poskytovatelé obsahu – společnosti zabývající se pronájmem datových center, případně virtuálních privátních serverů. Pro ty je situace kritická už několik let. Každý zákazník tam legitimně potřebuje přinejmenším jednu veřejnou IPv4 adresu, často i několik. Představa sdílení jedné adresy mezi několika zákazníky téhož datacentra je naprosto mimo realitu. Tyto společnosti jsou tedy lapeny v pasti, nedostatek adres brzdí jejich další rozvoj a není jim jiné pomoci, než si nějaké další adresy obstarat. Hezky je to napsáno na blogu občanského sdružení vpsFree.cz:

Za nějaký čas budeme ale muset koupit místo nového serveru další rozsah. Není to vůbec levná záležitost. Ceny na volném trhu se pohybují okolo 10 dolarů za adresu a prodávají se bloky minimálně o 1024 adresách.

RIPE: je vyčerpáno, adresy nedáváme

O koordinaci internetových sítí v Evropě a na Blízkém východě se stará komunita RIPE. Jde o neformální otevřenou skupinu lidí; kdokoli může přinést vlastní návrhy nebo se vyjádřit k existujícím návrhům. O návrzích se také nikdy nehlasuje; vstupují v platnost na základě hrubého konsenzu, tedy stavu, kdy návrh má nezanedbatelnou podporu a všechny připomínky byly úspěšně vypořádány.

Tato komunita se shodla na tom, že v momentě, kdy zbude v zásobě poslední blok 16 milionů adres, prohlásí se zásoba za vyčerpanou a další adresy už rozdělovány nebudou, až na pár výjimek. Jednou výjimkou je právě jeden blok 1024 adres pro každého poskytovatele (Local Internet Registry – LIR). Myšlenka za tím je, že i noví hráči, kteří přijdou na trh po vyčerpání adres, budou potřebovat nějaké malé množství IPv4 adres do začátku, třeba pro nasazení přechodových mechanizmů mezi IPv4 a IPv6.

Založení LIRa jako levnější alternativa nákupu adres

Netrvalo dlouho a vykukové objevili způsob, jak si přijít na libovolné množství adres bez nutnosti spoléhat na volný trh. Tou možností bylo založení LIRa pouze za účelem získání IPv4 adres, převedení adres na jiného LIRa a zrušení LIRa. Takovýto cyklus bylo možné neomezeně opakovat, přičemž každá obrátka vyšla zhruba na 3000 eur za 1024 adres, tedy výrazně levněji než na trhu.

Trvalo celkem dlouho, než se komunita dohodla na opatření, které podobnému podnikání zabrání. Diskuze v e-mailové konferenci pracovní skupiny přidělování adres byla celkem plamenná, jako argumenty proti návrhu se objevovala například tvrzení: „my ty adresy ale fakt potřebujeme“, „vždyť se to týká jen malého množství všech rozdaných adres“, nebo „vždyť těch adres pořád zbývá dost“. Návrh přesto v platnost vešel a počínaje 23. červencem 2015 už není možné přidělené IPv4 adresy převádět na jiný subjekt dříve než po dvou letech. Tím cena za adresy vzrostla o dvojici ročních poplatků, přibližně o další 3000 eur.

Otevřete mi LIRa, šedesátého čtvrtého

Ani zmíněné opatření úplně nepomohlo. Někteří podnikavci začali hromadně otevírat větší množství LIRů se stejnými držiteli. Vysvětlení k takovému kroku je dvojí – buď jde o investory, kteří ve spekulativním nákupu adres vidí příležitost ke zbohatnutí, nebo IPv4 adresy opravdu potřebují a tahle cesta se jim jeví stále jako nejlevnější.

Oproti komunitnímu řízení politik přidělování adres, politika zakládaní LIRů, tedy členství v RIPE NCC (což je organizace sloužící jako sekretariát pro RIPE komunitu), je čistě pod řízením valné hromady členů, která tuto moc deleguje na představenstvo. To vyslyšelo stížnosti valné hromady, která se konala 18. listopadu a velmi promptně rozhodlo s okamžitou platností o pozastavení možnosti zakládání duplicitních LIRů.

Zásoba adres však ani tak není zcela v bezpečí. Většina států umožňuje celkem snadno a levně založit obchodní společnost, která se následně může stát LIRem, získat IPv4 adresy a následně se nechat odkoupit jinou společností a sloučit LIRy i přidělené adresy. Tímto se dají obě omezení obejít, neboť na slučování společností se dvouletá čekací doba neaplikuje. Zároveň je těžké takovéto slučování podchytit nějakou politikou tak, aby taková politika zároveň nepřiměřeně neomezovala skutečné fúze skutečných společností, ke kterým průběžně dochází.

Expandujeme do Afriky, ráje IPv4 adres

Jediný regionální registr, kde vyčerpání adres není hlavním tématem dne, je africký AfriNIC. Stále mu zbývá víc než 32 milionů adres a podle aktuální predikce Geoffa Hustona adresy vystačí někam do roku 2019. AfriNIC si samozřejmě nenechá adresy jen tak vyvézt mimo svou oblast působnosti, k jejich získání je tedy nutné skutečně založit firmu v Africe. Přesně o něco takového se zjevně pokouší známá jihočeská hostingová společnost WEDOS, která podle všeho založila pobočku v Tunisku a získala pro ni první blok 1024 adres.

Na rozdíl od RIPE regionu to v Africe přidělením 1024 adres nekončí, LIR může žádat o další (a větší) blok ihned, jak první blok prokazatelně zaplní. Pokud by tedy africkou cestu zvolili všichni poskytovatelé housingových služeb, došlo by k vyčerpání tamních zásob velmi rychle. Masové expanzi do Afriky však nejspíše brání nepříliš rozvinutá IT infrastruktura a vysoká latence, zejména do vzdálenějších částí světa.

Nepodporujme překupníky, zaveďme IPv6

Nepříjemné na celé situaci je, že skutečný problém se (zatím) týká pouze malé skupiny podnikatelů na Internetu, řešení ale leží především na bedrech úplně jiných podnikatelů – poskytovatelů připojení. Ani poskytovatel připojení však často nedokáže zavést IPv6 bez spolupráce se zákazníkem, zvlášť v případě, kdy se zákazník IPv6 aktivně brání. Jak jinak si vysvětlit, že páteřní síť sdružení CESNET, která poskytuje IPv6 produkčně již víc než deset let, stále stojí nejvýše na 30% dostupnosti IPv6, a to ještě jen díky několika velkým univerzitám s osvícenými správci.

S pracovním prostředím je to vůbec problematické. Ze statistik IPv6 u Google je krásně vidět znatelný nárůst až o dvě procenta každý víkend, kdy lidé začnou používat Internet z domova, kam jim bylo IPv6 zavedeno pravděpodobně bez jejich vědomí.


Google

statistiky provozu IPv6

Tragikomedie s drancováním posledních pozůstatků IPv4 adres roste do obrovských rozměrů. Přitom cesta, jak tu hru skončit, je jednoduchá. IPv6 se stále více a více prokazuje jako funkční a nasaditelné, ostatně statistiky laboratoří APNIC ukazují téměř poloviční penetraci IPv6 připojení v Belgii, či téměř 30 % v USA. V absolutních číslech jde o opravdu velké množství přípojek na kterých už teď IPv6 funguje. Jistě, můžeme se bavit o tom, že v IPv6 se dala spousta věcí udělat jinak, někdy možná i z dnešního pohledu lépe, ale tak to je se vším. Jisté je, že nic lepšího není a v dohledné době nebude. Nečekejte a vyslyšte výzvu Vinta Cerfa už dnes. Včera bylo pozdě!

Osobní vzkaz na závěr: Meku, už si konečně zapni tu šestku! 

(Článek původně vznikl pro CESNET blog.)

Našli jste v článku chybu?

2. 12. 2015 16:30

Protože na IPv6 je fail2ban ještě větší nesmysl, než na IPv4.

2. 12. 2015 8:27

Muhehehe (neregistrovaný)

Ano, můžu i jmenovitě.

NAT NENÍ FIREWALL, ale poměrně úspěšně zařízení vnitřní sítě schovává a proti dobré implementaci NAT jsou techniky na prostřelení NAT neúčinné (mluvím o zařízeních, které nekomunikují ven).

No a třeba teď jedu do koncernu, kde je 64 sítí spojených v MPLS, jsou hlavní sítě na site(sajtě) a pak podsítě na každé site (cca 8), většina zařízení je interních a nemají mít bránu natož možnost se pokoušet prostřelit ven, přesto komunikace musí fungovat 100%, pozor, některá zaříze…

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí

Podnikatel.cz: Hledáte investora? Neunáhlete se

Hledáte investora? Neunáhlete se

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

DigiZone.cz: Sat novinky: slovenská TV8 HD i ruský NTV Mir

Sat novinky: slovenská TV8 HD i ruský NTV Mir

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Lupa.cz: EET v e-shopech? Zdražení a horší komfort

EET v e-shopech? Zdražení a horší komfort

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?