Hlavní navigace

IPv6 Mýty a skutečnost, díl IX. - Quo Vadis, IPv6?

7. 4. 2011
Doba čtení: 14 minut

Sdílet

Čeká protokol IPv6 světlá budoucnost, anebo jej čeká stejný neradostný osud jako svého času ISO-OSI? V dnešním závěrečném dílu seriálu se pokusíme nalézt odpověď na tuto otázku.

V průběhu předchozích týdnů jsme se pokoušeli odhalovat temná zákoutí protokolu IPv6. Pokud se ohlédneme, tak zjistíme, že v úrovni aktuální rozpracovanosti a stavu implementace IPv6 nepřináší prakticky žádné revoluční vylepšení, kromě rozšíření adresového prostoru. Většinu nových vlastností, kterými se měl protokol blýskat, lze rozdělit do několika základních skupin. Ty, které se v mezičase podařilo implementovat zpět IPv4 (například IPSec), ty které jsou v porovnání s IPv4 ekvivalentní nebo pouze mírně vylepšené (např. QoS, Multicast), anebo takové, které zatím nebyly v rovině standardizace či implementace dovedeny do zdárného konce (IP mobilita). Poslední, poněkud tragickou skupinu tvoří ta část, kde oproti IPv4 naopak dochází k jistému zhoršení stavu (Autokonfigurace, Bezpečnost). Z praktického hlediska jediným dominujícím benefitem, kterým IPv6 disponuje, je řešení otázky nedostatečného adresového prostoru. Ta je prakticky jediným motivem pro masové nasazování IPv6. Ponechme zatím stranou, zda byl prvotní návrh protokolu IPv6 tou nejšťastnější volbou a zdali neměl být specifikován jinak. Na chvíli předpokládejme, že budoucnost Internetu je na zavedení IPv6 zcela závislá a že žádné jiné alternativy neexistují, a pokusme se vnímat zavedení IPv6 jako technickou nutnost, která se musí zkrátka „nějak“ absolvovat. Jak tedy postupovat?

Technologickým garantem seriálu Pohněme s IPv6 je CZ.NIC.

Logo cz nic

Revidovaný plán

Revidovaný plán zavádění IPv6
Revidovaný plán zavádění IPv6, převzato z Is the Transition to IPv6 a „Market Failure?“
Geoff Huston

Již v prvním dílu jsme si naznačili, že zavádění IPv6 zdaleka neprobíhá tak, jak se před 15 lety předpokládalo. Jistou snahu o revizi původního plánu se snaží zpracovat Informační RFC 5211 pod názvem An Internet Transition Plan. Jedná se o revidovaný plán, který je už poněkud více realistický. Rozděluje proces zavádění IPv6 do tří etap, rozložených v časovém období únor 2009 až leden 2012.

Přípravná fáze – před koncem února 2009
Počáteční fáze, kdy je IPv6 provozováno víceméně v experimentálním režimu. Pro připojení je možno využít některého z přechodových mechanizmů. Služby provozované na IPv6 je vhodné provozovat na oddělené infrastruktuře, aby byl minimalizován dopad na existující IPv4 infrastrukturu. Koncovým uživatelům může být poskytnuta základní IPv6 konektivita.

Přechodová fáze – leden 2010 až prosinec 2011
V této fázi musí ISP poskytovat IPv6 služby svým zákazníkům. Služby mohou být dostupné nativně, anebo stále s využitím přechodových mechanizmů. Servery by měly být dostupné prostřednictvím IPv6, zejména pro služby provozované pouze v rámci vnitřní sítě.

Popřechodová fáze – od ledna 2012
Připojení prostřednictvím IPv6 musí již být realizováno nativně, tedy bez využití například tunelovacích přechodových mechanizmů. Mělo by se jednat o plně produkční prostředí IPv6.

Kde to vázne?

Bohužel ani tento revidovaný plán není příliš v souladu s realitou. Většina ISP a firem se dnes nachází před anebo v první fázi. Pouze v ojedinělých případech se lze setkat s nasazením IPv6 odpovídající fázi číslo dvě. Proč to jde stále tak pomalu? Kde to vázne? Domnívám se, že část důvodů tohoto stavu lze spatřovat zejména v celkové nevyzrálosti protokolu IPv6, jak v rovině standardizace, tak v rovině jednotlivých implementací. Nelze se tedy divit, že řada organizací přistupuje k zavádění IPv6 s velkou nedůvěrou. Absolutně v tomto směru nemohu souhlasit s tím, že zavedení IPv6 je záležitostí na jedno dopoledne. Klíčovou překážkou zavádění jsou právě technické „nedokonalosti“ IPv6. V průběhu seriálu jsme se postupně seznamovali s jednotlivými komplikacemi zavádění IPv6. Shrňme si krátce ty nejpalčivější problémy, které lze vnímat jako nejvíce blokující a působící ty největší rozpaky při zavádění IPv6.

Jeden vítěz, jeden poražený: odstranění chaosu autokonfigurace
Z pohledu nasazení IPv6 v existujících sítích je otázka autokonfigurace snad nejbolavějším místem celého IPv6. Situaci ještě zhoršuje implementace služby Windows Internet Connection Sharing, která se snaží v některých případech IPv6 konektivitu pochybné kvality zpřístupnit i svému okolí. V současné době je nutné pro autokonfiguraci používat jak bezstavovou konfiguraci, tak DHCPv6 protokol. Velkou část zařízení tak dnes není možné plnohodnotně připojit do IPv6 sítě.

Řešení se nabízejí dvě. První možnost bude v rozšíření podpory RFC 6106 (Router Advertisement Options for DNS Configuration), který rozšiřuje bezstavovou konfiguraci (SLAAC) o adresy rekurzivních DNS serverů. Tímto by mohl být definitivně vyřčen ortel smrti nad protokolem DHCPv6. Druhou možností je doplnění adresy směrovače (default gateway) do informací předávaných protokolem DHCPv6 a příběh se odehraje přesně obráceným způsobem – tedy nevratným koncem bezstavové konfigurace (SLAAC). V současné době je podpora autokonfigurace poměrně velkou překážkou při budování výhradních IPv6 sítí (IPv6 – only) a také zásadním způsobem komplikuje jejích zabezpečení. Podrobně se patové problematice bezstavové konfigurace IPv6 věnoval IV. díl.

Alternativa NATu: připojování domácích a firemních sítí
Této problematice jsme se detailně věnovali ve II. dílu . Dosud není zcela jasné, jakým způsobem připojovat nejrůznější „krabičky“ a zařízení v domácí síti. Obdobný problém je nutno řešit i na všech zařízeních poskytující tzv. sdílení Internetu. Ve všech těchto případech se v IPv4 využívala technologie NATu. Obdobnému problému čelí také firemní sektor. Snaha eliminovat v protokolu IPv6 technologii NATu vede k tomu, že současné řešení nedisponuje plnohodnotnými náhradami pro multihoming a snadnou změnu poskytovatele (viz. III. díl). Tohle je nepříjemné zejména pro firemní sektor.

Medvědí služba: tunelovací přechodové mechanizmy
V této oblasti již začalo docházet ke konfrontaci navržených standardů s reálnou praxí. Velice špatné zkušenosti s automatickými tunelovacími přechodovými mechanizmy se již začínají odrážet v rovině doporučení a standardů. První vlaštovkou může být rámcové akceptování draftu draft-troan-v6ops-6to4-to-historic, který převádí technologii 6to4 do historického stavu. V současné době jsou tunelovací mechanizmy společně s nešťastnou implementací služby Internet Connection Sharing zodpovědné za většinu selhání připojení k IPv6. Těžko říci, zda existuje nějaká možnost, že Microsoft časem přehodnotí chování této služby a přispěje tak k výraznému zvýšení spolehlivosti (či zmenšení nespolehlivosti) připojení IPv6.

Přílišná iniciativa škodí: upřednostňování IPv6
Poněkud dvousečným problémem je upřednostňování IPv6 při přístupu ke službám, které podporují oba protokoly (tj. v DNS jsou inzerovány jak pod A, tak pod AAAA záznamem). Tento princip vede k tomu, že téměř žádný poskytovatel služeb není ochoten zpřístupnit své služby protokolem IPv6, protože se obává, že řada jeho uživatelů najednou pocítí zhoršené odezvy nebo nepříjemné čekací stavy. Na druhou stranu, upřednostňování IPv6 umožňuje průběžně odhalovat a ladit problémy. Ty se však mnohdy „vyladí“ tak, že se IPv6 v systému jednoduše vypne. Řešení v tomto směru nabízí současné otevíraní spojení na služby jak IPv4, tak IPv6 protokolem, jak specifikuje draft draft-ietf-v6ops-happy-eyeballs-01. Jedná se však o relativně novou myšlenku prakticky bez implementace v aplikacích.

IPv6 nemá problémy: čas nalít si čistého vína
Pod vlivem různých propagačních kampaní často vidím snahu bagatelizovat problémy IPv6 a zejména všemožně kompromitovat ty, kteří na objektivní problémy IPv6 poukazují. To vede k tomu, že IPv6 je prezentován jako dokonalý a bezchybný protokol, a ti, kteří se potýkají s jeho praktickými problémy, raději mlčí, aby nebyli označení za kacíře. Je tedy nejvyšší čas přestat předstírat, že IPv6 nemá žádné problémy. Jediná cesta k dovedení IPv6 do použitelného stavu vede přes otevřenou konfrontaci, nasazování do sítí a odhalování jednotlivých nedostatků. Aby tohle mohlo probíhat, musí být IPv6 komunita ochotna naslouchat kritickým argumentům zejména z úst praktiků. Naštěstí se v tomto směru věci sunou poměrně rychle kupředu. Snad i pod vlivem postupného zavádění IPv6 jsou stále více slyšet kritické argumenty, které mnohdy vedou alespoň k diskusi o problémech. Doufejme jen, že se situace v tomto směru bude stále více a více zlepšovat.

Konec Internetu, selhání trhu a další pohromy

Společně s tenčícími se adresovými bloky na některých místech vzniká téměř hysterická snaha označit tento stav jako naprostý kolaps a konec Internetu. Ve skutečnosti ovšem přidělením všech adresových bloků mezi ISP tyto adresy nijak nezmizely z povrchu zemského. Nadále se dají bez problému využívat. Přímo se tedy nabízí možnost obchodování s adresovými bloky. Byť takové operace jsou zapovězeny pravidly pro přidělování adres jednotlivými registrátory, prvním významným počinem v tomto směru je zatím poněkud tajemný pokus o prodej 666 624 IP adres mezi společnostmi Nortel a Microsoft. Pro začátek byla cena za jednu IP adresu vykalkulována na 11,2 USD. Podrobněji se transakcí zabývá Ondřej Filip na blogu CZ NIC. Tento první pokus ukazuje, že dříve nebo později zřejmě nepůjde obchodování s adresovými zabránit. Kde bude poptávka, celkem přirozeně vznikne i nabídka. Je tedy otázkou, zda se tento postup legalizuje a nebo se vše nechá v rukou černého trhu. Zde, na rozdíl od mnohých odpůrců obchodování s IP adresami, vidím velkou příležitost pro protokol IPv6. Na rozdíl od IPv4 adres budou IPv6 adresy k dispozici zdarma a prakticky v neomezeném množství. To paradoxně může přispět k významnému rozšíření IPv6, zejména díky tomu, že by se v IPv6 konečně objevil pozitivní ekonomický prvek. Další výhodou zůstává, že tento model by poskytl další čas pro doladění IPv6 a získání praktických zkušeností s jeho provozem. Tentokrát už však motivovanými finančními úsporami spojenými s jeho zavedením.

I přes uvedenou hypotetickou úvahu zůstává nepopiratelným faktem, že se doposud nepodařilo najít smysluplně fungující obchodní model fungování IPv6. Samotný trh na technologii IPv6 reaguje velice vlažně. Právě v souvislosti s tímto se často zmiňuje termín selhání trhu (Market Failure). Následně je pak požadováno masivní dotování, daňové úlevy anebo vznik projektů, které zpravidla končí velice pochybnými výstupy. Obdobně troskotají rovněž nejrůznější vládní plány vytyčující si zpravidla naprosto nerealizovatelné cíle (viz. první díl), které se v lepším případě plní „jen tak na oko“.

Dalším nepříjemným prvkem je, že současně se zaváděním IPv6 uživatelé nezřídka kdy pociťují již zmíněné zhoršení kvality služeb. Je to dáno jednak vlastními zásahy do sítě při zprovozňování IPv6, a také samotným protokolem IPv6, který ne vždy funguje zcela spolehlivě, protože je často provozován v experimentálním režimu. To v konečném důsledku vede k tomu, že běžný uživatel pak přistoupí spíše k deaktivování IPv6 na svém zařízení a o zkušenosti s IPv6 nezapomene poinformovat široké okolí.

Ve světle těchto skutečností se nelze divit, že do zavádění IPv6 se nikomu nijak zvlášť nechce. Řada komerčních společností vidí za IPv6 stále poměrně rizikové investice, které můžou přijít vniveč. Dokonce ani v případě, kdy ISP nedisponuje žádnými volnými IPv4 adresami (kde by se použití IPv6 jaksi přirozeně nabízelo), jej IPv6 nijak nezachrání. Naprostá většina služeb zatím není dostupná prostřednictvím IPv6, takže v síti je nutno nadále provozovat nějakou formu IPv4 (NAT, NAT64, nativní IPv4). Zkrátka a jednoduše: alespoň jednu IPv4 adresu si musí ISP vždy opatřit, protože jinak je jeho připojení neprodejné. Nelze se tedy divit, že investice do IPv6 jsou dneska na řadě míst poměrně obtížně obhajitelné. Inovace části infrastruktury se dá řešit přirozenou obměnou zařízení, tedy nákupem zařízení podporujících IPv6. Nicméně zařízení podporující IPv6 jsou zpravidla o něco dražší. Sežeňte například levný přepínač s podporou RA, DHCPv6 a MLD snoopingu či levný domácí směrovač. Leckdy je navíc zavedení IPv6 podmíněno výměnou zařízení, které by mohlo ještě nějakou dobu sloužit.

Pro ty, kterým tento argument přijde malicherný, doporučuji následující cvičení. Pro začátek zkuste přesvědčit vaši manželku, že pro připojení domácí sítě nezbytně potřebujete novou IPv6-ready „krabičku“, a že tato investice je pro vaši domácnost mnohem důležitější než řekněme nové módní kozačky. Teprve až po úspěšném absolvování této procedury doporučuji předstoupit před vašeho finančního ředitele s konceptem zavádění IPv6 ve firmě. O výsledcích vašeho počínání se pro inspiraci můžete podělit s ostatními čtenáři.

Je pravděpodobné (troufám si říci jisté), že dříve nebo později se vhodný obchodní model fungování jistě podaří najít. Už jen proto, že řada společností investovala do vývoje spojeného s IPv6 nemalé prostředky a bude je chtít získat zpět. To může vyústit k poměrně výraznému tlaku na postupnou obměnu technologií, a tedy k navrácení prostředků investovaných do jejich vývoje. Zatím je však situace spíše taková, že se podpory IPv6 musíte poměrně intenzivně dožadovat.

Je situace skutečně tak špatná ?

Odpověď je prostá: Ne, v žádném případě není. 

Je třeba mít na paměti, že Internet je svobodné médium a tedy i standardizace pobíhá na základě demokratických principů. IPv6 tedy nelze ani v nejmenším považovat za teoretické dílo pošetilých vědců či komerčních lobbistů. Do procesu utváření se může teoreticky zapojit kdokoliv. To má dva důsledky. Samotný proces není vždy zcela nejpružnější a v rámci přípravy nových standardů je občas zapracováno řešení, které se při následné implementaci a praktickém provozu ukáže jako nešťastné. Bohužel těmto excesům nelze zabránit. Podstatné ovšem je, že celý standardizační proces disponuje jistými samoopravnými mechanizmy, které už byly historicky nejednou použity. Možná si ještě vzpomenete na A6 a DNAME záznamy, směrovací hlavičku typu 0, Site-Local adresy anebo nově 6to4 tunely. Je velice příjemné sledovat, že vědomosti získané při praktickém použití se průběžně odrážejí zpět ve standardizačním procesu. Naprosto chápu, že mnozí jsou poněkud netrpěliví (ostatně po 15 letech se není čemu divit), nicméně to vypadá, že některé evoluční fáze vývoje jako by nešly přeskočit a musí se v plné šíři absolvovat.

Zavádění IPv6 se prakticky odehrává velice přirozenou cestou. Lidé jak z univerzitního, tak komerčního prostředí již delší dobu usilovně pracují na nejrůznějších projektech spojených s IPv6. Byť protokol není zpravidla nasazen v produkčním režimu, tak prakticky neexistuje jediný ISP, který by se, alespoň v rovině laboratorních experimentů, problematikou IPv6 nezabýval. I přes zmíněné problémy můžete už dnes ve většině hostingových center získat relativně spolehlivou IPv6 konektivitu. Někteří ISP (zejména ti menší) se snaží už dnes IPv6 nabízet jako běžnou součást připojení.

Jako poměrně zajímavý a ne zcela bezvýsledný lze označit pokus o nařízené zavedení IPv6 ve vládních agendách v ČR. I přesto, že na zavedení IPv6 nebylo přiděleno příliš mnoho prostředků, řada institucí státní správy zvládla zpřístupnění svých služeb na IPv6. Příkladem může být katastr nemovitostí, datové schránky anebo registr ekonomických subjektů. Ne že by tyto agendy celosvětově výrazně zvýšily penetraci IPv6, ale posouvají problematiku IPv6 do provozního režimu, což v konečném důsledku vede k odhalení a nezbytnému řešení mnohých problémů. Z osobní zkušenosti (z pozice uživatele těchto agend) mohu dokonce potvrdit, že problémy jsou řešeny a to zpravidla ve velice krátkém čase. Zde lze pozorovat docela zásadní změnu oproti době například před rokem, kdy by se vám s reklamací nefunkční služby IPv6 většina provozovatelů nejspíše vysmála.

Má smysl se dnes protokolem IPv6 zabývat?

Pro firmy a jednotlivce z branže IT je zde jeden klíčový důvod, proč se problematikou IPv6 zabývat, a to zejména získání zkušeností a znalostí. V budoucnu se může stát, že poptávka po službách spojených s IPv6 rapidním tempem naroste. Dnes už jistě tušíte, že problematika IPv6 není zrovna jednoduchá a docela schází obecně rozšířené znalosti, jak s IPv6 zacházet. Zatímco konfiguraci menší sítě dnes zvládne přiměřeně technicky zdatný teenager, konfigurace IPv6 je stále komplikovanou záležitostí i pro leckterého kvalifikovaného odborníka. Novinky v podobě autokonfigurace, tvorby IPv6 adres v koncových zařízeních nebo nepříjemnosti spojené s eliminaci NATu vyžadují, abychom při budování sítí mnohdy přemýšleli úplně jinak. Vše je navíc komplikováno skutečností, že standardy ještě zdaleka nejsou „usazeny“ a celé prostředí IPv6 stále podléhá nemalým změnám. To, co platilo před rokem, je už možná zrušeno a nahrazeno nějakým jiným mechanizmem. Lze očekávat, že odborníci a firmy zvládající problematiku IPv6 budou časem jistě velice žádaným artiklem. Je tedy vhodné mít určitý náskok, který (snad) bude možné následně zpeněžit. Jistě si na tato slova vzpomenete, až k vám do firmy bude docházet osoba s tajemným označením IPv6 konzultant.

Dalším neméně významným důvodem pro plošné zavádění IPv6 je neřízená penetrace IPv6 provozu na klientských systémech. Velká část operačních systémů (resp. všechny z produkce Microsoftu) se snaží všemi prostředky získat připojení po IPv6. V místě, kde není nativní IPv6 konektivita, využijí některé z tunelovacích technik. Tímto dochází k výraznému obcházení bezpečnostních politik. Pokud se podaří takové připojení ustavit, nabízí v některých případech takové připojení svému okolí. Řízené zavádění IPv6 do koncových sítí sice neřeší všechny problémy, nicméně alespoň je zmírňuje a umožňuje mít nad sítí větší kontrolu. 

WT100

IPv6, snad světlé zítřky

Dnes už asi víme, že zavedení IPv6 rozhodně nebude procházka růžovým sadem a celý proces bude vyžadovat velké úsilí nejednoho jedince. Bezpečně také víme, že čekání na to, až „někdo“ vyřeší všechny problémy, je vcelku zbytečné. Žádný záhadný „někdo“ totiž neexistuje a je na každém z nás, zda přispějeme ke zvelebení protokolu, který by se měl stát nosnou platformou budoucího Internetu. Není nezbytně nutné se hned zapojit do standardizačního procesu na úrovní IETF, ale třeba jen drobnost, jako zmínka vašemu dodavateli informačního systému, či dodavateli hardware, může nepřímo přispět ke zlepšení stavu IPv6. Pokud vám není problematika IT úplně cizí, rozhodně neváhejte začít s pokusy na IPv6. Při odhalování problémů se nebojte o nich hovořit, protože pouze to je cesta, jak se věci mohou zlepšit, byť chápu, že je s tím mnohdy spojena řada komplikací. Internet je projekt, který tvoříme všichni společně, ať už jako uživatelé nebo lidé podílející se na jeho chodu. Je tedy pouze na nás, jak bude vypadat dnes, zítra, anebo za 20 let.

Doufám, že série článků alespoň trochu přispěla ke zlepšení povědomí o IPv6 a snad i některé čtenáře inspirovala do další práce. Rád bych na tomto místě poděkoval všem, kteří se podíleli na přípravě jednotlivých dílů, ať kritickými připomínkami, nekonečnými korekcemi, anebo věcnými radami. Obzvláště mimořádný dík patří spolupracovníkům z Vysokého učení technického v Brně a kolegům z dalších univerzit, kteří investují do problematiky IPv6 velké úsilí a nikdy se neváhají podělit s nově nabytými zkušenosti.

Seriál: Pohněme s IPv6

Autor článku

Autor pracuje jako správce metropolitní sítě VUT v Brně. Podílí se na řešení projektů zaměřenýchna bezpečnost a monitoring sítí. Je aktivním členem evropského projektu GÉANT v aktivitě Campus Best Practice.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).