Ve středu 6. června 2012 proběhl den IPv6, kdy velcí operátoři zapnuli připojení po novém protokolu. Při té příležitosti se v Praze konala konference Den IPv6, jejímž cílem bylo upozornit na blížící se konec IPv4 a nutnost včasného přechodu na IPv6. Naštěstí se po letech zdá, že všechny velké firmy se probudily, respektive konečně zahájily práce nutné pro reálné nasazení šestky mezi uživatele.
Ondřej Filip: Není na co čekat
Jako první vystoupil ředitel CZ.NIC, Ondřej Filip, který obecně shrnul aktuální situaci a upozornil na to, že problémy budou přibývat. IP adresy stále ještě v Evropě jsou a lze je získat, ale komunikace s RIPE je velmi obtížná. Je to taková byrokratická bitva a záleží, kdo vydrží víc. To je ale také jediný způsob, jak udržet rozdělování na uzdě,
řekl Ondřej Filip. Zbývá asi 32 milionů adres, evropská spotřeba je 4 až 5 milionů měsíčně. Času tedy není mnoho. Konec je skutečně blízko, pokud budeme mít štěstí, tak evropské adresy dojdou v říjnu.
Poslední volný blok je 185/8, pokud někdo dostane adresu z tohoto rozsahu, už jsme se dostali do poslední fáze.
Podle Filipa už IP adresy došly a nedošly zároveň. Každý má ještě možnost nějaké dostat a nějaké také dostane.
Adresy už ale začaly docházet lokálně i u některých RIRů. Rezervy jsou u některých LIRů, kteří si naalokovali velké bloky kdysi dávno.
Tyto rozsahy se nevyužívají a bylo by řešením získat je zpět, bohužel to není na pořadu dne. Nic takového se v současné době neděje a pravděpodobně k tomu už nedojde.
Problém také je, že ne všechny přidělené adresy jsou propagovány do internetu, a tedy využívány. V současné době je propagováno asi 160 bloků. Celkem je jich ovšem přiděleno 220, takže asi 30 procent adres není vůbec z internetu dostupných,
postěžoval si Ondřej Filip. Kdybychom tedy s IPv4 zacházeli rozumně, mohli jsme mít ještě poměrně dost adres a tedy času na přechod. Ale takový systém jsme nastavili, takže se s tím už teď musíme smířit.
Poté už se Ondřej Filip věnoval rozšíření IPv6. Svět na IPv6 rozhodně není připraven, je ještě co dohánět.
Nasazení roste jen velmi pozvolna, velká špička se objevila před rokem při prvním dni IPv6, ale pak opět nastal prudký pokles. Všichni doufali, že nárůst bude pokračovat, ale nestalo se tak. Bohužel je to špatná zpráva,
řekl Filip.
Co bude dál? V jednotlivých regionech docházejí adresy různě rychle, takže je tu prostor pro vznikající šedý trh s adresami. Pravděpodobně poroste cena IPv4 adres a bude se s nimi obchodovat.
Ondřej Filip zmínil Microsoft, který před časem odkoupil asi 600 tisíc adres od zkrachovalé společnosti Nortel. Cena byla 11 dolarů za kus, což je překvapivě hodně.
Při prodeji bude také docházet k fragmentaci adresového prostoru, což bude způsobovat problémy ve směrovačích. V poslední době poskočil počet záznamu v BGP tabulce o 100 tisíc a předpokládá se, že se komfort přístupu k internetu postupně zhorší.
Ondřej Filip také zmínil chystané častější nasazení NATu u poskytovatelů a také technologii Carrier Grade NAT (CGN), kterou už plánují nasadit mnozí operátoři, včetně těch českých. Kromě vašeho domácího NATu bude u poskytovatele ještě jeden velký NAT. Je pro něj vyhrazen privátní rozsah 100.64.0.0/10.
Každopádně jde ještě o běh na dlouhou trať. IPv4 s námi zůstane hodně dlouho, očekává se sice, že nepřežije rok 2020, ale já tomu nevěřím.
Podle Ondřeje Filipa ale postupně poroste důležitost IPv6 s tím, jaké další problémy se starým protokolem vyvstanou. Už skutečně není na co čekat, pokud jste ještě IPv6 nenasadili, neváhejte. Nečekejte na to, až se vašim uživatelům zhorší kvalita připojení,
uzavřel varovně Ondřej Filip.
Jaromír Novák: IPv6 ve veřejné správě
Jaromír Novák z Ministerstva průmyslu a obchodu hovořil o tom, jak je státní správa (ne)připravena na IPv6. Penetrace u českých poskytovatelů obsahu je okolo 10 procent, u státní správy už tak veselá situace není.
Ačkoliv se v EU hovoří o přechodu už od roku 2002 a i u nás jsou přijaté potřebné dokumenty, jsou státní orgány i obce s nasazováním pozadu. Zatímco ministerstva jsou připravena zhruba ve 40 procentech, u obcí je to výrazně nižší. Tam je to jen okolo sedmi procent,
řekl Novák.
Když se ministerstvo připravovalo na den IPv6, ptalo se obcí, proč vlastně nejsou připraveny na přechod a co jim v něm brání. Dozvěděli jsme se řadu důvodů, včetně absurdních typu: Pracovník byl propuštěn a nemá to kdo dělat nebo Nejsou na to peníze.
Naštěstí se podle Nováka postupně daří překážky překonávat a situace se lepší. Dnes přidalo 12 nových obcí na své weby podporu nového protokolu. Je to první vlaštovka, která jaro nedělá, ale díky bohu za ni.
Martin Pustka: IPv6 v síti CESNET
CESNET je jednou z mála sítí, kde je skutečně nový protokol už dlouho nasazen v plné šíři. IPv6 je dnes v CESNETu plně podporovaný protokol a přistupuje se k němu stejně jako k IPv4,
shrnul Pustka na začátku situaci. Omezení tvoří jen některé starší směrovače s horší podporou IPv6, které mají nižší výkon. Nový hardware už ale musí mít podporu plnou. Při výběrových řízeních na nový hardware už je šestka podmínkou.
Při nasazováni IPv6 jsou aktivní především technické univerzity, což asi není pro nikoho překvapením. V těchto sítích jsou použity zejména prvky Cisco, jedna velká univerzita používá HP a někde se objevuje i Juniper.
CESNET nebuduje čistě IPv6 sítě, ale dual stack, kde je k dispozici i IPv4. Používají se i různé přechodové mechanismy, pomocí kterých je možné připojit i stanice v takových částech sítě, kam IPv6 nedosahuje.
Technických problémů je ale stále dost. Téměř všechny technické problémy souvisí s nedostatečnou implementací IPv6 ve starším hardware.
Další potíže vznikají na rozsáhlých WiFi sítích. Pokud někdo má pár ápéček, není to problém. Ale se stovkou bodů a tisícovkou uživatelů už se objevují nepříjemná přetížení, která není snadné řešit.
Obecně se objevují problémy s implementací bezpečnostních mechanismů, protože v IPv6 jsou některé věci jinak. Zatímco na čtyřce jsou administrátoři obvykle velmi zkušení, nastavit firewall na šestce vyžaduje jistou erudici a je třeba se to naučit,
vysvětlil Pustka.
Situace na vysokých školách je podle Martina Pustky poměrně dobrá, je zavedena jistá „štábní kultura“, kdy jsou nové služby už automaticky dostupné i po IPv6. Ani na koncových stanicích už nebývá takový problém. Novější Windows už s IPv6 počítají, ale je třeba je správně nastavit, aby se nehlásily jako směrovače.
To je možné řešit na jednotlivých stanicích nebo na úrovni sítě.
IPv6 je v síti CESNET intenzivně využíván, podle informací Martina Pustky teklo ráno do sítě CESNET po IPv6 z vnějších sítí asi 500 Mb/s, denní průměry se pohybují okolo 200 Mb/s. Čísla jsou však zkreslená. Z hlediska univerzit byl termín dne IPv6 zvolen špatně, protože už máme zkouškové a příliš lidí na síti není,
uzavřel vesele svou přednášku Pustka.
Ladislav Suk, Pavel Fryč: Vodafone v6
Mobilní operátoři jsou pochopitelně v hledáčku všech, kteří se o IPv6 zajímají. Proto všechny zajímala přednáška o situaci u Vodafone. Ladislav Suk se nejprve rozhovořil o službách Vodafone a způsobech přechodu na IPv6. Vodafone prý nemá problémy s nedostatkem IPv4 adres, protože pro koncové zákazníky používá NAT. Zatím je veškerý obsah dostupný i přes čtyřkový protokol, takže na mobilních zařízeních nás zatím přechod na šestku příliš nepálí. Spíše se snažíme uspokojit poptávku u firemních zákazníků využívajících pevné připojení,
vysvětlil.
Přesto se firma o nový protokol zajímá a zvažovala různá technická řešení. Jako nejvýhodnější se mezi různými NAT64 a NAT46 ukázal klasický dual stack, kdy mají zákazníci k dispozici oba protokoly. V rámci našeho IPv6 programu probíhá testování dual stacku na našich sítích. V rámci mobilní sítě máme v6 otestován a je to preferovaná varianta i na sítí LTE,
řekl Ladislav Suk ke globální situaci. Otestováno je už i několik zařízení včetně USB modemu či tabletu Samsung Galaxy.
V tuto chvíli však koncoví zákazníci na mobilních sítích o IPv6 nezavadí. V oblasti mobilních dat nyní přidělujeme jen IPv4 adresy přes NAT.
Cílovým stavem po přechodu by pak měl být dual stack i na mobilních zařízeních, takže by uživatel dostal privátní IPv4 a veřejnou IPv6 adresu. Ladislav Suk upozornil, že je třeba migrovat řadu různých systémů jako DNS, billing systém, NTP a další. IPv6 je třeba řešit v mnoha oblastech, na mnoha platformách,
vysvětlil.
IPv6 není novou technologií, ale pro řadu firem je nová v implementační rovině. Existuje spousta otázek, které ještě nebyly vyřešeny. Například podpora na koncových zařízeních, v aplikacích, či bezpečnost dat.
Suk se zastavil především u bezpečnosti, kde je řada potíží se stávajícími technologiemi i postupy. To, co funguje na IPv4, nemusí fungovat automaticky i na novém protokolu. IPv6 je nový protokol, budeme muset postupně debatovat, řešit problémy a učit se migrovat.
Padla samozřejmě i otázka na konkrétní datum spuštění IPv6 u Vodafone. IPv6 už máme k dispozici na pevných připojeních v sítích OneNet. U mobilních sítí probíhá testování koncových zařízení a počítáme se spuštěním.
Konkrétní datum opět nebylo uvedeno. Pro zajímavost: ve Slovinsku už všichni mobilní operátoři nabízí IPv6.
Michal Zima: NAT64
Michal Zima ze společnosti Kraxnet hovořil o různých možnostech nasazení starého i nového protokolu a o tom, zda už je NAT64 připraven na nasazení. Nejčastějším způsobem implementace je už zmíněný dual stack, kdy jsou přítomny obě sítě. Klasický dual stack uspokojí zájem o IPv6 a neovlivní uživatele, kteří o něj nejeví zájem,
vysvětlil Zima hlavní výhodu.
Není to ovšem zdaleka jediná varianta. Další zajímavou možností je překlad pomocí NAT64, který umožní IPv4 ze sítí vypustit. Uživatelé pak dostanou jen IPv6 adresu a překlad do IPv4 internetu zajišťuje poskytovatel na své síti. Uživatelům se pak celý internet jeví přístupný přímo přes IPv6. Zatím jde o neprozkoumanou oblast, ale může hrát v budoucnu významnou roli.
NAT64 se v sítích používá v kombinaci s DNS64. Dotazy do IPv4 internetu se vygeneruje virtuální šestková adresa, která se z DNS vrátí uživateli. Ten se má pak přes NAT možnost připojit. Vzniká tak možnost stavět čistě IPv6 sítě a nemusíme už zajistit správu obou protokolů najednou.
Administrátorům tak odpadá řada starostí.
Podpora NAT64 v hardware ovšem zatím není ideální. Společnost Juniper jej podporuje od roku 2010, Cisco od stejného roku umí bezestavovou variantu a od roku 2011 stavovou. Dá se podle poptávky očekávat, že i další výrobci přijdou se svou podporou.
Softwarové implementace jsou na tom podobně. Existuje projekt Ecdysis, který v OpenBSD 5.1 funguje perfektně, ale v Linuxu je opožděn a je problém s kompilací do nejnovějších jader. Konkurenční Tayga umí pouze bezestavový NAT64. Třetí implementací je WrapSix, která běží v uživatelském prostoru a je proto i na Linuxu bezproblémová. Ta je jako jediná aktivně vyvíjená, vyvíjím ji já osobně,
prozradil Zima.
Všechny tyto implementace fungují a jejich výkon pro malé sítě je dostatečný. Michal Zima provedl vlastní podrobná měření, při kterých měnil velikosti paketů a sledoval propustnost. Ačkoliv Tayga tvrdí, že zvládne i gigabit, platí to jen pro velké pakety. Nejhůř vychází Ecdysis, přestože je to jaderná implementace. Nejlepších výsledků dosahuje podle mých měření WrapSix, který má až dvojnásobný výkon proti ostatním.
Zima si to vysvětluje tak, že ostatní dva projekty nedostatečně využívají možností hardware, například při vícevláknovém zpracování. Správnou optimalizací je zjevně možné dosáhnout výrazně lepších výsledků.
Michal Zima se zabýval také problémy při používání IPv6 only sítí. Především chybí překlad pro aplikační protokoly, i když Cisco například překlad protokolu FTP umí. Další potíže způsobují IPv4 only zařízení jako tiskárny, VoIP telefony a podobně. Pravděpodobně bude třeba tato zařízení vyměnit,
řekl. Třetí skupinu problémů tvoří software, který chce komunikovat s v4 servery a okolní sítě mu to neumožní. Jde především o různé hry, Skype či ICQ.
I zde ovšem existují řešení, která dovolují lokálně překládat v6 protokol pro konkrétní aplikace do v4 a zajistit jim tak dojem, že běží ve staré síti.
NAT64 je sice zajímavá, ale zatím problematická technologie. Má sice funkční a výkonné implementace, ale ty zatím nepřekládají nic na aplikační vrstvě a některé aplikace mají na v6 only sítích problém. Zatím se tedy zřejmě bez IPv4 neobejdeme,
zakončil Zima.
Petr Černohouz: Stav podpory IPv6 na domácích routerech
Běžné uživatele především zajímá, jaká je podpora na koncových zařízeních a zda si budou muset koupit nový router. V široké nabídce se není jednoduché vyznat, takže Laboratoře CZ.NIC provedly vlastní testy mnoha dostupných zařízení. Podpora IPv6 v routerech je v současné době největší překážkou při nasazování v domácích sítích,
vysvětlil na úvod Petr Černohouz. IPv6 laboratoř provedla testy na mnoha různých routerech a vybrala si k tomu zařízení podle kritérií: určen pro domácí použití, má ethernetové WAN rozhraní a výrobce deklaruje IPv6 podporu.
Situace na trhu je přitom poměrně nepřehledná. V nabídce e-shopu CZC, který routery zapůjčil, je v současné době 147 routerů. Z toho ale jen 13 deklarovalo podporu IPv6. Celkem 11 se jich podařilo nakonec získat a v 9 případech IPv6 skutečně fungoval. Jeden router vyžadoval aktualizaci firmware a jeden testovaný router se choval velmi špatně.
Testovalo se získání nativní adresy, připojení pomocí tunelu, distribuce adresy koncovým klientům, předávání prefixů klientům v síti, IPv6 Pass through a DNSSEC. Vítězi jsou téměř všechny routery, protože fungovaly. Nejlépe dopadl produkt D-Link, který měl IPv6 certifikaci, má špičkovou administraci a umí vše potřebné.
Naopak poraženým je router firmy ASUS, na kterém fungovala jen statická adresa a nepředával adresy do sítě. Jediným řešením u tohoto zařízení je instalace alternativního firmware DD-WRT, na kterém by mělo vše fungovat.
Dobrou zprávou vyplývající z výsledků testu je, že na trhu jsou zařízení s bezproblémovou podporou IPv6. Je ovšem potřeba pečlivě vybírat podle různých recenzí a webů, případně podle nového katalogu routerů na webu Laboratoří IPv6. Zatím jde o beta provoz, který nabízí jen technická data. Připravujeme ale i podrobnější recenze s popisem vlastních zkušeností z testování.
Zdeněk Brůna: IPv6 u web hostingu
Zdeněk Brůna hovořil o zkušenostech z praktického nasazení IPv6 u web hostingové společnosti. ACTIVE 24 zavádí šestku už od roku 2009 a dříve bylo třeba, aby si zákazník zprovoznil podporu ručně. Dnes v noci jsme všem našim zákazníkům zprovoznili dual stack. Jejich weby jsou tedy dostupné po obou protokolech.
Do dnešního dne mělo AAAA záznam 900 domén, od dnešního dne je jich asi 38 tisíc. Provoz po IPv6 tak u hostera pochopitelně stoupl skokově přibližně na desetinásobek. Všechny nové domény už také budou mít šestku také automaticky.
Zajímavé je, jak využívají či nevyužívají šestku samotní zákazníci. Problém je, že uživatelé často nejsou vůbec schopni IPv6 použít.
Téměř 90 procent zákazníků využívá Windows a více než 41 procent z nich má Windows XP. Ti vůbec šestku nemají. Sice je možné ji na XP rozchodit, ale ve výchozím stavu není zapnutá.
Podle průzkumů společnosti však velká část uživatelů považuje podporu nového protokolu za velmi důležitou. Reálná potřeba je však výrazně menší, většina uživatelů ji pak nevyužije.
Brůna se také zabýval tím, proč jde rozšiřování IPv6 tak ztuha. Dnes je to především marketingová záležitost, ale reálné nasazení je otázkou reálných peněz a lidské práce,
vysvětlil realitu. V mnoha firmách tak podobné projekty z pochopitelných důvodů nemají příliš velkou prioritu a odsouvají se do pozadí. Rozumím tomu, proč se do nasazování IPv6 mnoho firem příliš nehrne.
Co vlastně přechod na IPv6 přináší? Hovoří se hlavně o větším množství IP adres. My jich zatím máme dost, ale s šestkou budeme schopni přidělovat zákazníkům i desítky adres, pokud je budou potřebovat.
Výhodou je také podle Brůny vyšší bezpečnost, protože už jednu IP nebude muset sdílet velké množství zákazníků. Pokud pak přijde třeba DDoS útok, nedotkne se skupiny uživatelů, ale jen jednoho z nich. Můžeme pak bez problémů útok odklonit či odfiltrovat.
Zavedení IPv6 má ale i své nevýhody jako jsou složitější infrastruktura, více práce pro administrátory či další náklady. Podle Brůny ale prakticky stejně není jiná možnost, než nový protokol nasadit. Zavedení IPv6 je ale nevyhnutelné a je lepší ho udělat hned, dokud máme čas a nemusíme to dělat na poslední chvíli a zbrkle.
(Foto: Jiří Průša, CZ.NIC)
