Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem (ne)bojte se IPv6

Začátkem roku 2011 by mělo dojít k úplnému rozdání všech veřejných rozsahů IPv4 adres. O IPv6 určitě většina trošku počítačově gramotnějších někdy slyšela. Ale jak se používá? Co se pro mě, jako uživatele změní? Chtěli byste znát odpovědi? Snad vám je tu zodpovím.

Jak to s těmi adresami opravdu je? Už opravdu adresy došly? Když přibude poskytovateli nový zákazník, dostane se ještě k veřejné adrese?

Došly a nedošly. Globální správce veřejných internetových adres, organizace IANA už nemá co rozdávat. Poslední z volných rozsahů přidělila některému z regionálních správců (je jich pět) k dispozici. Takže vlastně došly.
Rozsahy však zůstávají v rukou regionálních správců a poskytovatelů a ti zpravidla ještě nějakou tu volnou adresu k dispozici mají. O přidělení všech veřejných adres konkrétním zařízením se nikdy nedozvíme, neexistuje totiž žádný registr poskytovateli přidělených veřejných adres. Takže pro koncového uživatele ještě vlastně adresy nedošly.

Jak se liší IPv6 a IPv4? Je to jen větší číslo?

Ne tak úplně, popis IPv6 obsahuje spoustu vlastností, které však běžný uživatel neuvidí a ani nebude nikdy potřebovat. Takže by se dalo říct, že z pohledu uživatele je IPv6 jenom větší číslo. Co si bude muset domácí uživatel naučit je, že v IPv6 není místo pro NAT. Neexistuje překlad adresa a všechna zařízení mají veřejnou adresu.

No počkat, veřejná adresa? To teda ne, můj počítač v žádném případě nechci mít s veřejnou adresou, aby se mi na něj mohl kdokoli dostat.

Není se čeho obávat, nikdo se vám na něj nebude moci dostat, pokud mu to nedovolíte. Ukážu dva ilustrační obrázky:

http://pc.poradna.net/file/view/4943-1-png

http://pc.poradna.net/file/view/4944-2-png

Najdete v nich kromě adres nějaký rozdíl? Není tam, že? Pokud používáte a plánujete i v budoucnu používat router s firewallem, tak se není čeho bát. Do vaší domácí sítě s veřejnými adresami se dostane jen ta komunikace, kterou na firewallu povolíte.
Slovo veřejný je v tomto směru poněkud paradoxní. Znamená to pouze to, že žádná dvě zařízení v internetu nebudou mít stejnou adresu. A to v rámci veřejně dostupných i privátních sítí.
Ostatně stejně tomu bylo v počátku protokolu IP, zařízení bylo tak málo, že nebyl žádný luxus mít na každém zařízení veřejnou adresu. NAT také neexistoval a vznikl v podstatě jen jako berlička, aby rozsah IPv4 poněkud déle vydržel.

Aha! Takže můžu můj router přepnout na IPv6 a nebude mě nedostatek veřejných adres trápit. To je skvělé.

Já bych se do toho tak nehrnul, všechno má i své záporné stránky. V první řadě byste narazil hned v případě vašeho zařízení. Troufnu si tvrdit, že žádné ze zařízení v relaci do 1000 korun IPv6 nepodporuje a ani výrobce neplánuje rozšíření vlastností stávajících modelů. Mohou to ale podporovat alternativní firmware či zařízení ve vyšších cenových relacích. Můžu vás uklidnit, i velcí výrobci síťových zařízení, jako Cisco či Juniper ve svém SOHO segmentu přidali podporu IPv6 teprve nedávno. A to jsou zařízení v řádech desetitisíců.

Dobrá, výměna routeru je sice nemilá věc, ale budiž. Pak už to bude fungovat?

Ano bude. U vás doma určitě. Jestli se někam dostanete je věc druhá. K tomu, abyste mohli fungovat na IPv6 do internetu, je také potřeba, aby váš poskytovatel podporoval IPv6 a měl IPv6 konektivitu do internetu. On vám také může poskytnout váš veřejný rozsah.

No, předpokládám, že tím výčet nevýhod nekončí.

Předpoklad je to správný. Další nevýhoda, stejně jako obě předchozí vychází z velmi pozvolného rozšiřování a pronikání IPv6 internetem. V případě, že budete mít celou síť na IPv6 s adresami od poskytovatele, který má IPv6 konektivitu, tak brouzdání nebude nic moc. Na většinu známého internetu se totiž nedostanete.

Jak to?

IPv6 a IPv4 jsou vzájemně nekompatibilní. A většina serverů v internetu ještě IPv6 neimplementovala. Tudíž z čistě IPv6 prostředí jsou nedosažitelné.

No, v tom případě se na celé IPv6 můžu vykašlat a počkám, až se to dostatečně rozšíří.

A máme tu začarovaný kruh: poskytovatelé obsahu čekají, až bude více klientů IPv6, klienti čekají, až bude více poskytovatelů obsahu IPv6. Z tohoto začarovaného kruhu nás naštěstí tlačí ven stále rostoucí počet zařízení připojených k internetu, kde i NATy se dostávají na své hranice.
Tohle dilema nicméně bylo jasné hned od začátku. Cisco implementovalo do svých zařízení NAT-PT pro prostup mezi IPv6 a IPv4. Ten však vykazoval značné nedostatky, takže v současné době čeká na schválení draft (návrh) implementující NAT64 a DNS64, kteréžto technologie umožňují přístup k prostředkům IPv4 z IPv6 sítí. Nikoli však obráceně. Je to nástroj umožnující provoz plně IPv6 klientských sítí, aniž by byli uživatelé ochuzeni o obsah serverů IPv4.

To už zní lépe. Takže když si nasadím NAT64, tak už bych měl být za vodou.

Dalo by se to tak říct, ale nasazení NAT64 není triviální záležitostí a rozhodně to nedokážete dostat do vašeho SOHO routeru. NAT64 je v podstatě druhý router do sítě, v současné fazi implemetnace počítač s linuxem. Rozhodně logičtější by bylo, kdyby takový router provozoval poskytovatel, aby svým IPv6 klientům mohl poskytnout službu srovnatelnou se službou na IPv4.

Ale co když můj poskytovatel takový router nemá?

Další možností je provozovat IPv6 paralelně s IPv4, takzvaný dualhome. Každé zařízení v síti bude mít nastavené dvě adresy, jednu IPv6 a jednu IPv4. Sice v síti také budete mit dva routery, jeden pro IPv6, druhý pro IPv4, ale budou to oboje jednoduchá SOHO zařízení. Na obou routerech je nutné mít správně nastavená pravidla firewallu.

To je teda pěkně složité. Co je na tom IPv6 vlastně tak zajímavého, že bych to měl používat?

Předně je jich dostatečné množství, je jich víc než bilion na centimetr čtvereční naší rodné planety. Dále zmizí NAT. Mohu demonstrovat i příkladem z domácího prostředí:
Mám doma dva počítače, na které chci přistupovat na vzdálenou plochu. V IPv4 mám jen jednu veřejnou adresu, takže na routeru nastavím přesměrování portu 3389 na jedné počítač a na druhý holt použiji jiný port, třeba 3390. Co se ale stane, když se budu chtít na domácí počítače připojit ze sítě, kde je ven povolen pouze port 3389? Vysvětlovat správci, že potřebuji povolit ještě port 3390, protože tam doma mám vzdálenou plochu? V IPv6 tenhle problém odpadá. Ve firewallu se nastaví přístup na adresy těch dvou počítačů na port 3389. A víc nic. Na oba se v klidu dostanete, protože mají veřejnou adresu, každý svou.

No jo, ale když se tak dívám na tu adresu, kdo si to má pamatovat?

Tak pokud jste matematický génius s fenomenální pamětí na čísla, tak si to pamatovat můžete. My méně nadaní používáme DNS. Místo adres si pak pamatuju jen jména. Ano, nejspíš to bude pro uživatele znamenat nutnost vlastnit doménu, ale myslím, že 130 korun ročně ještě nikoho nezabilo.

A co když se dostanu do situace, že mi adresy přidělené providerem nebudou stačit?

Tak o to bych se rozhodně nebál. Doporučený nejmenší rozsah adres jednu síť je s maskou /64, tedy 2^64 adres. Takováto velikost sítě totiž umožňuje další s nových vlastností IPv6, totiž autokonfigurace sítě, kdy si počítač pomocí nástrojů IPv6 bez DHCP serveru nastaví takovou adresu, která mu umožní komunikovat v rámci sítě a přes případný router dál do internetu.

To už zní docela zajímavě. Nicméně počkám, až můj poskytovatel mi umožní přístup přes NAT64 a pak o IPv6 uvažovat. Děkuji za odpovědi

Nějaké další otázky?

Komentář k článku

1 Zadajte svou přezdívku:
2 Napište svůj komentář:
3 Pokud chcete dostat ban, zadejte libovolný text:

Zpět na články