(ne)bojte se IPv6
Začátkem roku 2011 by mělo dojít k úplnému rozdání všech veřejných rozsahů IPv4 adres. O IPv6 určitě většina trošku počítačově gramotnějších někdy slyšela. Ale jak se používá? Co se pro mě, jako uživatele změní? Chtěli byste znát odpovědi? Snad vám je tu zodpovím.
Jak to s těmi adresami opravdu je? Už opravdu adresy došly? Když přibude poskytovateli nový zákazník, dostane se ještě k veřejné adrese?
Došly a nedošly. Globální správce veřejných internetových adres, organizace IANA už nemá co rozdávat. Poslední z volných rozsahů přidělila některému z regionálních správců (je jich pět) k dispozici. Takže vlastně došly.
Rozsahy však zůstávají v rukou regionálních správců a poskytovatelů a ti zpravidla ještě nějakou tu volnou adresu k dispozici mají. O přidělení všech veřejných adres konkrétním zařízením se nikdy nedozvíme, neexistuje totiž žádný registr poskytovateli přidělených veřejných adres. Takže pro koncového uživatele ještě vlastně adresy nedošly.
Jak se liší IPv6 a IPv4? Je to jen větší číslo?
Ne tak úplně, popis IPv6 obsahuje spoustu vlastností, které však běžný uživatel neuvidí a ani nebude nikdy potřebovat. Takže by se dalo říct, že z pohledu uživatele je IPv6 jenom větší číslo. Co si bude muset domácí uživatel naučit je, že v IPv6 není místo pro NAT. Neexistuje překlad adresa a všechna zařízení mají veřejnou adresu.
No počkat, veřejná adresa? To teda ne, můj počítač v žádném případě nechci mít s veřejnou adresou, aby se mi na něj mohl kdokoli dostat.
Není se čeho obávat, nikdo se vám na něj nebude moci dostat, pokud mu to nedovolíte. Ukážu dva ilustrační obrázky:
Najdete v nich kromě adres nějaký rozdíl? Není tam, že? Pokud používáte a plánujete i v budoucnu používat router s firewallem, tak se není čeho bát. Do vaší domácí sítě s veřejnými adresami se dostane jen ta komunikace, kterou na firewallu povolíte.
Slovo veřejný je v tomto směru poněkud paradoxní. Znamená to pouze to, že žádná dvě zařízení v internetu nebudou mít stejnou adresu. A to v rámci veřejně dostupných i privátních sítí.
Ostatně stejně tomu bylo v počátku protokolu IP, zařízení bylo tak málo, že nebyl žádný luxus mít na každém zařízení veřejnou adresu. NAT také neexistoval a vznikl v podstatě jen jako berlička, aby rozsah IPv4 poněkud déle vydržel.
Aha! Takže můžu můj router přepnout na IPv6 a nebude mě nedostatek veřejných adres trápit. To je skvělé.
Já bych se do toho tak nehrnul, všechno má i své záporné stránky. V první řadě byste narazil hned v případě vašeho zařízení. Troufnu si tvrdit, že žádné ze zařízení v relaci do 1000 korun IPv6 nepodporuje a ani výrobce neplánuje rozšíření vlastností stávajících modelů. Mohou to ale podporovat alternativní firmware či zařízení ve vyšších cenových relacích. Můžu vás uklidnit, i velcí výrobci síťových zařízení, jako Cisco či Juniper ve svém SOHO segmentu přidali podporu IPv6 teprve nedávno. A to jsou zařízení v řádech desetitisíců.
Dobrá, výměna routeru je sice nemilá věc, ale budiž. Pak už to bude fungovat?
Ano bude. U vás doma určitě. Jestli se někam dostanete je věc druhá. K tomu, abyste mohli fungovat na IPv6 do internetu, je také potřeba, aby váš poskytovatel podporoval IPv6 a měl IPv6 konektivitu do internetu. On vám také může poskytnout váš veřejný rozsah.
No, předpokládám, že tím výčet nevýhod nekončí.
Předpoklad je to správný. Další nevýhoda, stejně jako obě předchozí vychází z velmi pozvolného rozšiřování a pronikání IPv6 internetem. V případě, že budete mít celou síť na IPv6 s adresami od poskytovatele, který má IPv6 konektivitu, tak brouzdání nebude nic moc. Na většinu známého internetu se totiž nedostanete.
Jak to?
IPv6 a IPv4 jsou vzájemně nekompatibilní. A většina serverů v internetu ještě IPv6 neimplementovala. Tudíž z čistě IPv6 prostředí jsou nedosažitelné.
No, v tom případě se na celé IPv6 můžu vykašlat a počkám, až se to dostatečně rozšíří.
A máme tu začarovaný kruh: poskytovatelé obsahu čekají, až bude více klientů IPv6, klienti čekají, až bude více poskytovatelů obsahu IPv6. Z tohoto začarovaného kruhu nás naštěstí tlačí ven stále rostoucí počet zařízení připojených k internetu, kde i NATy se dostávají na své hranice.
Tohle dilema nicméně bylo jasné hned od začátku. Cisco implementovalo do svých zařízení NAT-PT pro prostup mezi IPv6 a IPv4. Ten však vykazoval značné nedostatky, takže v současné době čeká na schválení draft (návrh) implementující NAT64 a DNS64, kteréžto technologie umožňují přístup k prostředkům IPv4 z IPv6 sítí. Nikoli však obráceně. Je to nástroj umožnující provoz plně IPv6 klientských sítí, aniž by byli uživatelé ochuzeni o obsah serverů IPv4.
To už zní lépe. Takže když si nasadím NAT64, tak už bych měl být za vodou.
Dalo by se to tak říct, ale nasazení NAT64 není triviální záležitostí a rozhodně to nedokážete dostat do vašeho SOHO routeru. NAT64 je v podstatě druhý router do sítě, v současné fazi implemetnace počítač s linuxem. Rozhodně logičtější by bylo, kdyby takový router provozoval poskytovatel, aby svým IPv6 klientům mohl poskytnout službu srovnatelnou se službou na IPv4.
Ale co když můj poskytovatel takový router nemá?
Další možností je provozovat IPv6 paralelně s IPv4, takzvaný dualhome. Každé zařízení v síti bude mít nastavené dvě adresy, jednu IPv6 a jednu IPv4. Sice v síti také budete mit dva routery, jeden pro IPv6, druhý pro IPv4, ale budou to oboje jednoduchá SOHO zařízení. Na obou routerech je nutné mít správně nastavená pravidla firewallu.
To je teda pěkně složité. Co je na tom IPv6 vlastně tak zajímavého, že bych to měl používat?
Předně je jich dostatečné množství, je jich víc než bilion na centimetr čtvereční naší rodné planety. Dále zmizí NAT. Mohu demonstrovat i příkladem z domácího prostředí:
Mám doma dva počítače, na které chci přistupovat na vzdálenou plochu. V IPv4 mám jen jednu veřejnou adresu, takže na routeru nastavím přesměrování portu 3389 na jedné počítač a na druhý holt použiji jiný port, třeba 3390. Co se ale stane, když se budu chtít na domácí počítače připojit ze sítě, kde je ven povolen pouze port 3389? Vysvětlovat správci, že potřebuji povolit ještě port 3390, protože tam doma mám vzdálenou plochu? V IPv6 tenhle problém odpadá. Ve firewallu se nastaví přístup na adresy těch dvou počítačů na port 3389. A víc nic. Na oba se v klidu dostanete, protože mají veřejnou adresu, každý svou.
No jo, ale když se tak dívám na tu adresu, kdo si to má pamatovat?
Tak pokud jste matematický génius s fenomenální pamětí na čísla, tak si to pamatovat můžete. My méně nadaní používáme DNS. Místo adres si pak pamatuju jen jména. Ano, nejspíš to bude pro uživatele znamenat nutnost vlastnit doménu, ale myslím, že 130 korun ročně ještě nikoho nezabilo.
A co když se dostanu do situace, že mi adresy přidělené providerem nebudou stačit?
Tak o to bych se rozhodně nebál. Doporučený nejmenší rozsah adres jednu síť je s maskou /64, tedy 2^64 adres. Takováto velikost sítě totiž umožňuje další s nových vlastností IPv6, totiž autokonfigurace sítě, kdy si počítač pomocí nástrojů IPv6 bez DHCP serveru nastaví takovou adresu, která mu umožní komunikovat v rámci sítě a přes případný router dál do internetu.
To už zní docela zajímavě. Nicméně počkám, až můj poskytovatel mi umožní přístup přes NAT64 a pak o IPv6 uvažovat. Děkuji za odpovědi
Nějaké další otázky?
Otázka č.1
Teraz je bežné je provider prideľuje svojim klientom pripojenie, kde jedna verejná IP adresa je zdieľaná viacerými užívateľmi. Toto ak som pochopil už nebude možné?
Otázka č.2
Ako sa budú prideľovať IP adresy pre obyčajnývh ľudí? Koľko "jedinečných" verejných IP adries budem môcť mať a používať? Keď budem potrebovať 5 budem si musieť zaplatiť 5?
Doteraz som jedno pripojenie jednu IP adresu zdieľal cez router (NAT) s PC-čkami v mojej sieti koľko som len chcel...
Otázka č.3
Ak bude mať každé zariadenie/PC jedinečnú verejnú IP adresu k čomu bude slúžiť router? Primárne router=smerovač - smeruje packety tam kam patria nie?
Dík za odpovede.
ad 1. NAT je principiálně možný i s IPv6, ale kdo by to proboha dělal?
ad 2. IPv6 je tak velký, že adres bude naprostý přebytek. Budou je přehazovat vidlema..
ad 3. ano. Zde se oproti IPv4 nemění prakticky nic, routery budou fungovat stále stejně, tj. směrovat pakety mezi oddělenými sítěmi (pozor, asi máš trochu zmatek mezi funkcí směrování a překladu adres (NAT))
IPv6 sa zda byt len teraz velky, zrejme sa zabuda na to, ze za nejaky cas sa bude Globalna siet rozsirovat smerom do Vesmiru, najprv na automatizovane stanice-roboty, neskor na Planety. Taka vesmirna stanica moze potrebovat nie jednu adresu ale aj niekolko desiatok tisic adries, pretoze kazdy elementarny vykonavaci clen bude adresovatelny.
IPv6 nieje taka vyhra ako by sa mohlo zdat. Technologicky vyhrava ako to uz byva zvycajne pravidlom nie technologia najlepsia (Video8 vs.VHS), ale technologia, ktora je lacnejsia.
Preco je zavadzanie IPv6 take pomale? Ako obycajne je to o peniazoch. Pokial nebude vyvinuty tlak v podobe vyhodnejsej ceny za pripojenie technologiou IPv6, tak ziadne IPv6 nebude, aspon nie tak rychlo. Dalsim problemom je vykonnost IPv6. Ta v sucastnosti zaostava za IPv4. To je tiez dovod, preco sa velki hraci moc do IPv6 nehrnu, pretoze to znamena mensi objem prenesenych dat za casovu jednotku a tym padom nizsi zisk.
Urciti zasvetenejsi ludia su skor nazoru, ze pravdepodobnejsi scenar je ten, za sa bude NATovat na viacerych urovniach napriklad aj u ISP.
To nieje ziadne Sci-Fi to je realita, ktoru v sucastnosti riesi trebars NASA alebo JPL. Kazda vec ktora sa do Vesmiru posiela uz v sucastnosti obsahuje technologiu, ktora z nej urobi clanok siete. Bohuzial presne detaily mi niesu zname.
To chapu, ale jak jsem uvedl, povazuji za sci-fi, v dohledu nejblizsi stovky ci dvou stovek let masivnejsi rozsireni (nemyslim vedecke zakladny) lidstva ci jeho zarizeni do vesmiru, na jina telesa a tak podobne.
ad 1) Kazdy uzivatel, kazdy pocitac bude mit svoji adresu
ad 2) od providera dostanes celou sit s maskou 64, to jest 2^64 adres. Priplatky za verejne adresy by mely zmizet, protoze vsechny adresy budou verejne.
ad 3) odpovedel uz predrecenik
2^64? To mi připadá jako opravdu přehnané, neříkám, že čekám, že dojdou, ale kdo má doma/ve společnosti/kdekoli nutnost "18 446 744 073 709 551 616" adres? To bych nevyužil ani kdyby melo vlastní IP každé kolečko u židle. V podstatě bych si domu mohl dát kopii celého dnešního WAN světa a ještě bych se smál... kdyby 2^16, ok, nějaké velká společnost to může potřebovat. 2^32 možná nějaká supervelká společnost a těm bych udělal prostě několik velkých (a potřebovala by to stejně až poté, co by měla vlastní IP každá zásuvka). 2^64 je prostě naprosté plýtvání, i když si teď lidé myslí, že mají nekonečno^2... btw.kolik by šlo v IPv6 udělat sítí, kdyby každá měla 2^64 adres? asi pořád hodně, ale docela by mě zajímalo kolik... Děkuji. (v případě odpovědi prosím na kuronomaartyl@gmail.com, děkuji)
Pozdní odpověď, ale i tak pro doplnění. IPv6 adresa ma 128 bitů, při velikosti sítě 64 je tedy přesně stejné množsví (2^64) subnetů.
Takže de facto záleží na poskytovatelích internetu a služeb, aby přešli na ipv6 a "koncoví" uživatelé "jen" vyměnili routery? "NIC" jiného v tom není?
Ja bych k tomu jeste pridal, ze se uzivatele budou muset naucit s verejnymi adresami zit. Prejen zadny NAT, zadny portforwarding, virtual server ci podobne. Uz to bude jen provoz pres router dovnitr a ven.
a to jako nepujdou VPS vubec nebo to bude jen slozitejsi?
Nebude to slozitejsi. Je to jine. Misto "presmerovani portu xx na server s privatni adresou", coz defakto vytvorilo destination NAT pravidlo a v lepsim pripade i pravidlo na firewallu (ten horsi pripad je, ze zadny firewall neni), bude "povoleni provozu po portu XX na adresu <nejaka IPv6 adresa>, tedy vlastne jen ten firewall.
Takže teoreticky bude i lehčí nastavení na sdílení souborů atd..? Teda Jestli to čtu dobře.