Autor: Veronika Štorková, Systems Engineer, CCIE R&S #23705, Cisco Systems s.r.o. 

Úvod

O vyčerpání adresního prostoru internetového protokolu (IP) verze 4 se hovoří již léta. Prakticky od začátku 90. let minulého století, kdy bylo zjištěno, že při tehdejších postupech přidělování IP verze 4 adres, díky logice specifikace IPv4 a jaký je skutečně použitelný prostor z teoretického celku, dojde v určitém okamžiku k jejich vyčerpání. Odhady tehdejší doby předvídaly, že se tak stane mezi rokem 2005 a 2011. Reálné vyčerpání dostupných IPv4 adres se opravdu nenávratně blíží, u některých Internetových autorit je to dnes již skutečností. Proto bylo již v roce 1995 schváleno RFC 1883, definující internetový protokol verze 6 –  IPv6 . (1)

Na začátku jen podotknu, že cílem tohoto článku není přiživovat „fámu o konci Internetu“ s vyčerpáním IPv4 adres (osobně ji považuji za nesmysl). Cílem je čtenáře srozumitelným jazykem poučit o protokolu, který je mezi odborným publikem již mnoho let znám (minimálně jeho název), jehož nasazení je pro některé poskytovatele telekomunikačních služeb (např. Japonské NTT nebo americké AT&T) už skutečností a který je dalším vývojovým krokem ve světě telekomunikací.

Co je protokol  IPv6

Jedná se o novou generaci internetového protokolu, který je již poslední 2-3 roky reálně nasazovaný vedle IPv4 i v jiných sítích než pouze ve výzkumných a akademických (2). IPv6 je specifikován souborem RFC – první z nich RFC 1883 (3) bylo nahrazeno v roce 1998 RFC 2460 (4). Jeho hlavním cílem je řešení nedostatku IPv4 adres vzhledem k narůstajícímu počtu uživatelů připojených do sítě Internetu (nejen lidí, ale hlavně zařízení, která dnes běžně komunikují po IP).

IPv6 se proti svému předchůdci odlišuje hlavně v těchto oblastech:

- velikostí adresního prostoru,
- pozměněným formátem IP hlavičky,

- odstranění broadcastu, jeho náhrada multicastem, a zavedení anycastu,
- náhradou Address Resolution protokolu (ARP) mechanismem Neighbor Discovery,

- zásadní změnou role ICMP protokolu ,
- autokonfigurací koncových zařízení připojených do sítě – nabízí se více možností než u IPv4.

Co se týče obecně rozšířeného mýtu, že je IPv6 bezpečnější než IPv4, protože ve své specifikaci obsahuje využívání IPSec, tomu se budeme věnovat ve třetí části tohoto článku. Kde si dovolím jej napadnout a čtenáři předložit k zamyšlení, proč je takové vnímání nesprávným vyložením jedné myšlenky tvůrců IPv6.

IPv6 adresní prostor

IPv6 adresa je 128 bitů dlouhá, což představuje čtyřnásobný nárůst v počtu bitů ve srovnání s 32-bitovou IPv4 adresou. Co se týče počtu z toho plynoucích IPv6 adres, ten je

2128 = 340 282 366 920 938 463 463 374 607 431 768 211 456.

Pro ilustraci, když toto číslo podělíme obyvateli naší planety (cca 6,5 miliardy), znamená to, že v současnosti má každý člověk k dispozici 52 bilion bilionů IPv6 adres.

IPv6 adresa je zapisována nikoliv decimálně, ale hexadecimálně. Je rozdělena do osmi skupin, od sebe oddělených dvojtečkou, z nichž každá obsahuje čtyři hexadecimální znaky (tzn. 16 bitů ve skupině). Délka adresy a využívání hexadecimálních znaků pak způsobuje mírný zmatek v hlavě všech síťařů, zvyklých na krátké a snadno čitelné IPv4 adresy.

IPv6 adresa je rozdělena do dvou částí:

1. Síťová část (Network portion), prvních 64 bitů, která se skládá z
     a. globálního směrovacího prefixu (Global Routing Prefix) a
     b. identifikátoru podsítě (Subnetwork ID)

2. Identifikátor rozhraní (Interface ID), neboli části hostovské (Host). Tato část může být ručně nakonfigurována nebo automaticky vytvořena koncovou stanicí na základě rozšířeného formátu MAC adresy rozhran (EUI-64). V každém případě musí být o délce 64 bitů.

Jelikož je IPv6 adresa tak dlouhá a ne všechny skupiny obsahují konkrétní hexadecimální hodnotu kromě nul, je možné adresu zkracovat.

Respektive podle daných pravidel činit o něco čitelnější. Pravidla zní:

     - po sobě jdoucí skupiny, které obsahují samé nuly je možné vynechat a nahradit dvěmi dvojtečkami (::) – toto lze učinit v celé IPv6 adrese pouze jednou;

     - skupinu, která obsahuje pouze nuly, lze zapsat s pouze jednou nulou;

     - pokud je ve skupině zleva nula či nuly, je možné vedoucí nulu/nuly vynechat. Nikoliv však zprava, ani uprostřed. Napřídklad IPv6 adresa: 2001:0:0:A1::0123 se pak zapíše jako 2001:0:0:A1::123.

Formát IPv6 hlavičky

IPv6 hlavička doznala oproti své předchůdkyni určitého zjednodušení. Byla vynechána pole jako:

     - délka hlavičky (Header Length), protože základní IPv6 hlavička má pevně stanovenou délku 40 bytů,
     - identifikační pole (Identification),
     - Fragment Offset,
     - kontrolní součet (Header Checksum) a
     - Flags.

Jiná pole změnila v rámci IPv6 hlavičky název a pozici. Jde o:

     - typ služby (Type of Service), který se nově nazývá Třída provozu (Traffic Class);
     - celková délka (Total Length) je Payload Length;
     - Time to Live je nově pojmenováno výstižnějším názvem Hop Limit;
     - Protocol je obsažen v novém Next Header poli, pod extension hlavičkou s názvem Upper-Layer Header.

Díky tomuto zjednodušení základní hlavičky se pak i přes prodloužení IP adresy zásadně nezvýšily nároky na směrovače v internetových sítích. Zatímto tvrzením se skrývá určité ALE. Pozorný či zkušený čtenář ví o Next-Headers, které mohou značně prodloužit délku celkové IPv6 hlavičky a tím zvýšit zátěž směrovačů (Next-Headers se řetězí za základní IPv6 hlavičkou). Například ve chvíli, kdy máme nakonfigurovaný IPv6 Access Control List (ACL), který kontroluje právě hodnoty v Next-Headers.

V přístupu k řešení této problematiky se výrobci liší. Proto obzvlášť zde platí, že deklarovaný IPv6 výkon směrovačů se nemusí rovnat skutečnému IPv6 výkonu. Stačí přiblížit IPv6 provoz, na kterém výkon testujeme reálnému provozu a sledovat, jestli je jeho zpracování v síťovém prvku realizováno v softwaru nebo v hardwaru a jak se výsledný výkon změní. Pokud má síťový prvek pouze softwarovou podporu zpracování ACL, je více než dost pravděpodobné, že papírový IPv6 výkon není tím správným údajem s dobrou vypovídací schopností.

Nové typy adres

Typy IPv6 adres jsou definovány v RFC 3513. Již zmíněný broadcast byl v IPv6 nahrazen multicastovými adresami a byl zaveden Anycast (5).

Multicastové adresy snadno rozpoznáme, protože pro ně je, podobně jako v IPv4, vymezen adresní prostor. Multicastové IPv6 adresy začínají hexadecimálně FF00::/8. Též se zvýšil jejich dostupný počet, což je užitečné pro nasazování nových služeb v sítích (především video – IPTV).

Anycast znamená, že dva a více uzlů na síti může mít stejnou unicastovou IPv6 adresu. Tím lze zajistit dostupnost síťové služby, která je k dispozici na více místech a není ohrožena v případě výpadku jednoho uzlu.(6) Provoz na anycast adresu je díky směrovacím protokolům doručen na nejbližší uzel s touto adresou.

Dále se unicastové adresy rozdělily na následující:

     - Link-local –  hexadecimálně začíná FE80::/10. Adresa platná pouze na lokálním spoji mezi dvěma síťovými prvky, není směrovatelná v Internetu. Směrovače se správně naimplementovanou podporou IPv6 provoz na link-local adresy neposílají ven ze sítě, ani mimo daný síťový segment.

     - Site-local – hexadecimálně začíná FC00::/9 (7). Adresa určená pro komunikaci v rámci sítě, neměla by být směrována mimo ni. Je do jisté míry obdobou privátních IPv4 adres.

     - Global – hexadecimálně začíná 2 nebo 3 (binárně 001). Adresa přidělována síti z globálního souboru IPv6 adres. Je určena pro směrování v IPv6 internetu a je globálně jedinečná.

K Link-local adrese je nunté zmínit, že hraje zásadní roli při navazování „sousedských“ relací v rámci směrovacích protokolů. Na toto je potřeba dát pozor při nasazování ACL, omezujících komunikaci na IPv6 adresu rozhraní, aby nedošlo odfiltrování právě Link-local adresy sousedního směrovače resp. lokální Link-local adresy a tím nebylo znemožněno navázání relace směrovacího protokolu.

Neighbor Discovery protokol

Address Resolution Protocol, určený k reverznímu zjištění odpovídající L2 adresy ke známé L3 adrese, byl v IPv6 nahrazen Neighbor Discovery protokolem (NDP) (8). Kromě vlastností shodných s ARP, neboli zjištění L2 adresy a přesměrování provozu na vhodnější next-hop (redirect), NDP nabízí ještě další. Jde například o zjištění IPv6 prefixu, detekce nedosažitelnosti souseda na lokálním segmentu, velikosti MTU na lince, autokonfigurace IPv6 adresy či detekce duplikátní adresy na segmentu.

NDP využívá ICMPv6 pro komunikaci se svými sousedy na lokálním segmentu sítě. Důvodem pro implementaci této funkce do ICMPv6 byla především jednoduchost.

ICMPv6

Internet Control Message Protocol verze 6  prošel fází očisty a v rámci IPv6 získal důstojnější postavení než jeho předchůdce ICMP(v4). Kombinuje v sobě vlastnosti ICMP, ARP a IGMP protokolů.

ICMPv6 je proto neodmyslitelnou součástí IPv6 a kromě použití pro diagnostiku problémů na L3  v sítích (ping, traceroute), zasílání informací o problémech v síti (error a information messages) a požadavků na fragmentaci, hraje roli ve:
     - zjišťování adres sousedních IPv6 prvků na společném segmentu sítě (Neighbor Discovery),
     - přiřazování IPv6 adres (asistuje při bezstavové autokonfiguraci – více viz níže),
     - zjištení routeru na síti (gateway v síti),
     - řízení multicastových skupin (Multicast Group Management) a
     - podpoře mobilního IPv6.

Na základě tohoto (samozřejmě jen částečného) seznamu nejspíš čtenáře napadne, že již nebude možné jen tak jednoduše ICMPv6 „propustit ze služeb“ v síti, protože asistuje při jejím fundamentálním fungování. Též bude nutno nově upravit bezpečnostní politiky na firewallech a zajistit ICMPv6 provozu průchod sítí.

Autokonfigurace

Autokonfigurací mám na mysli automatické nastavení IPv6 adresy a dalších parametrů bez nutnosti manuálního zásahu uživatele/síťového administrátora.V IPv6 jsou koncovým stanicím připojujícím se do sítě k dispozici dva typy autokonfigurace.

Bezstavová autokonfigurace – nastavení IPv6 adresy se odvíjí od odeslání požadavku (Router Solicitation, ICMPv6 typ 133) a přijetí informací (Router Advertisements, ICMPv6 typ 134) o prefixu sítě, době platnosti, autokonfiguračním znaku (Flag) a options.

Stavová autokonfigurace – nastavení IPv6 adresy je založeno na konfiguračním protokolu jako je DHCPv6. Koncová stanice jej využije ve chvíli, kdy od routeru dostane Router Advertisement bez informace o prefixu sítě, nebo když na segmentu síti není router, který by podal informace pro bezstavovou autokonfiguraci.

Důvody a přínosy nasazení IPv6

Na závěr této první části bych chtěla uvést alespoň hlavní důvody, proč je IPv6 nasazován a jaké přínosy lze od něj očekávat.
1. Vyčerpání adresního prostoru Internetového protokolu v4 vedlo k vytvoření jeho nové verze, která bude mít na dostatečně dlouhou dobu zásobu IP adres a tím se zajistí další rozvoj sítí, zejména Internetu. Stačí si projít zajímavé statistiky o  využívání Internetu například na http://www.internetworldstats.com/stats.htm a je zřejmé, že rozvojové regiony jako je Asie, Afrika a Jižní Amerika s nízkou penetrací Internetu potřebují mít k dispozici nějaké IP adresy a ty již z prostoru IPv4 nezískají. A pokud na chvíli nějaké adresy v důsledku obchodování s IPv4 adresami a uvolňování nevyužívaného adresního prostoru dostanou, stejně nakonec i zbývající snahy o zachování dominance IPv4 budou převálcovany pouhou masou nově připojovaných uživatelů. Je to jen hra čísel – noví uživatelé versus existující IPv4 adresy.

2. Nárůst velikosti Internetových směrovacích tabulek díky ne zcela přímočarému „rozdrobování“ přidělovaných IPv4 adres má za následek, že přidělování IPv6 adres se řídí mnohem striktnějšími pravidly. Jejich cílem je zajistit lepší agregovatelnost, tím zmenšit směrovací tabulky (také vyrovnat fakt, že IPv6 adresa je 4x delší než IPv4) a urychlit směrování v Internetu.

3. Nárůstá počet zařízení, která jsou IP-enabled a vyžadují síťovou konektivitu (uživatelská CPE, set-top boxy, IP kamery, sensory, mobilní zařízení, vozidla apod.). Tato zařízení být spravována a jejich adresace z privátních IPv4 adres není možná, protože těch není dostatek. V IPv6 tomu je naopak.

4.  Odstranění problémů plynoucích z NAT (Network Address Translation). NAT byl vytvořen jako jedno z dočasných řešení nedostatku veřejných IPv4 adres. NAT ničí model end-to-end komunikace mezi koncovými zařízeními, IPv6 tento model podporuje a umožňuje fungování transparentních aplikací (například komunikaci inteligentních elektroměrů směrem k dodavatelům elektrické energie). Při implementaci IPv6 se v budoucnu bude muset ovšem počítat s faktem, že IPv6 provoz bude tunelován přes IPv4 sítě, ve kterých bude fungovat NAT. Schopnost správně projít těmito sítěmi bude kritický pro nasazení IPv6.

V pokračování tohoto článku se budeme věnovat způsobům přechodu mezi a koexistencí IPv4 a IPv6.

(1) Čtenář jistě ví, že IPv5 byl experimentální protokol pro rezervaci zdrojů na síti - Internet Strem Protocol verze 2. Jeho cílem bylo zajistit kvalitu služeb na síti pro audio a video. Tento protokol nebyl nikdy používán.
(2) Ke koexistenci obou verzí Internetového protokolu se dostaneme ve druhé části tohoto článku.
(3) RFC 1883 http://www.faqs.org/rfcs/rfc1883.html
(4) RFC 2460 http://tools.ietf.org/html/rfc2460
(5) RFC 3513 – Internet Protocol Version 6 (IPv6) Addressing Architecture http://www.faqs.org/rfcs/rfc3513.html
(6) Upozorním na lehce záludnou, ale ze standardu vycházející, vlastnost IPv6 adresy. Je možné, aby L3 rozhraní mělo nakonfigurováno více IPv6 adres.  Z toho plyne, že IPv6 adresu z rozhraní neodstraníme jen tím, že na něm nakonfigurujeme novou  IPv6 adresu, jak tomu je u IPv4 adresy (ta se tím přepíše). Proto je u IPv6 nutné původní adresu smazat a pak nakonfigurovat novou. Jinak na rozhraní původní IPv6 adresa přetrvá.
(7) Internet Draft: Globally Unique IPv6 Local Unicast Addresses http://tools.ietf.org/html/draft-hinden-ipv6-global-local-addr-00
(8) Neighbor Discovery Protocol for IP version 6 (IPv6): RFC4861 http://tools.ietf.org/html/rfc4861
(9) RFC4443 Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification http://tools.ietf.org/html/rfc4443

Komunikační protokoly