Už nějakou dobu sleduju dění v oblasti počítačových sítí a Internetu. Problematika IPv6 mě zaujala někdy v roce 2007, první články o IPv6 jsem napsal pro Abclinuxu v březnu roku 2008. Tehdy se IPv6 zabývali převážně nadšenci a implementátoři síťových protokolů. Dnes už je tomu poněkud jinak. IPv4 adresy docházejí navzdory všem opatřením i navzdory věčnému předstírání opaku. Mezinárodní registr IANA je prázdný, regionální registry ho následují, lokální registry momentálně spotřebovávají rezervy.
Původní Internet
Nebudu se pouštět do dávné historie, kterou jsem sám nezažil. Nicméně, původní myšlenkou Internetu je propojení sítí. A nejen propojení, ale jejich spojení v jednu velkou celosvětovou síť. Jeho využití je velmi široké, od propojení uživatelských počítačů v různých částech sítě (i světa), přes propojení firemních sítí, až po vytvoření univerzální komunikační platformy.
Počítače a vůbec všechna zařízení, která jsou součástí Internetu, mají své unikátní IP adresy. Pokud jim nepostavíte do cesty umělou překážku v podobě firewallu, může každé zařízení komunikovat s každým jiným zařízenímna světě.
Nedostatek IPv4 adres a IP maškaráda (NAT)
Postupem času obrovský úspěch Internetu způsobil to, že se počet zařízení na celosvětové síti začal blížit hranici, kdy už nepůjde novým zařízením a sítím rozdávat adresy. Hledaly se všechny možné způsoby, jak vyčerpání adres oddálit. Když už nestačily změny v organizaci přidělování adres, bylo potřeba sáhnout po poněkud silnější zbrani.
Tou zbraní je IP maškaráda neboli schovávání více počítačů za jednu IP adresu. Celé to funguje tak, že se vnitřním počítačům přidělují adresy z několika málo neveřejných rozsahů, které se v různých sítích opakují. Dnes tímto způsobem funguje většina místních sítí, úspora je tedy obrovská.
Slabou stránkou IP maškarády je to, že se vnitřní adresy musejí při odchodu do Internetu překládat na sdílenou veřejnou IP adresu. To představuje různé technické problémy, a co je horší, úplně to rozbíjí možnost propojovat počítače z různých sítí mezi sebou.
Propojení koncových počítačů a jiných zařízení
Vedle počítačů mám namysli například i IP telefony. Internetové telefony totiž představují skvělou analogii ke klasickým telefonům, kdy každý telefon má nějaké číslo a pomocí jiného telefonu můžete na to číslo zavolat. Tak fungoval i původní Internet.
Dnešní situace je poněkud odlišná. Počítače a telefony mají neveřejné adresy, které nejdou „volat“, protože veřejných adres je málo. Vymýšlí se tak různé mechanismy pro zprostředkování těchto volání. Telefon s neveřejnou adresou tak musí neustále komunikovat se zprostředkujícím serverem, aby vůbec mohl být kontaktován.
Tato situace se netýká jen telefonování, ale veškeré přímé komunikace, od psaní textových zpráv, přes videokonference, sdílení dokumentů, videohovory, tisk, až po vzdálenou pomoc a vzdálenou správu. Toto technické omezení se obchází mnoha různými prostředky, které by vůbec nemusely být potřeba, nehledě na to, že jejich vývoj a nasazení stojí hromadu peněz a času.
Nebýt této překážky, pravděpodobně by dnes byly (nejen) výše uvedené služby daleko běžnější.
Kritický nedostatek adres a přechod na IPv6 a carrier-grade NAT
Vyčerpání IPv4 adres už dospělo tak daleko, že přestává stačit i řešení, kdy se pomocí IP maškarády schová domácnost, firma či škola za jedinou IP adresu. Nastupuje tak úplně nová situace, která se nouzově řeší tak, že se za IP maškarádu schovají celé řady skupiny domácností či firem, čemuž se odborně říká carrier-grade NAT (CGN).
Takové řešení je všechno, jen ne udržitelné. Na straně poskytovatele představuje komplikace s udržováním tabulek spojení. Ani uživatelům to spokojenost nepřinese. Budou si stěžovat na různá omezení na straně poskytovatelů obsahu (ty jsou obvykle na jednu IP adresu) a blokování IP adres na některých službách kvůli jiným uživatelům.
Další problémy se budou týkat připojení uživatelů do firemních VPN a podstatně se zkomplikuje (pro některé znemožní) vzdálený přístup k domácí síti.
Jedinou cestou je zbavit se příliš krátkých adres IPv4 a použít místo toho adresní prostor, který zahrne všechna zařízení na světě teď i v dohledné budoucnosti. Když přidáme nějaká ta vylepšení, vyjde nám protokol IPv6, což je jediná dostupná náhrada protokolu IPv4.
„IPv5“ bylo přeskočeno z organizačních důvodů (jmenoval se tak úplně jiný protokol).
Připravenost na IPv6
Dnes se dá říct, že IPv6 může zavést kdokoli. Je k dispozici IPv6 hardware v levných i špičkových variantách. Většina aktuálního software už IPv6 umí. Největší mezery v připravenosti mají stále ještě poskytovatelé připojení, poskytovatelé služeb a (firemní) uživatelé.
Poskytovatelé postupně zjišťují nevyhnutelné, poskytovatelé služeb trochu váhají, a většina koncových uživatelů včetně těch firemních zatím IPv6 ignoruje.
Popostrčení ze strany Microsoftu
Zásadní roli v prosazování nového protokolu hraje Microsoft, jehož operační systém se aktivně snaží získat konektivitu IPv6 prostřednictvím automatických tunelů v IPv4 síti. Linuxové distribuce něco takového ve výchozím nastavení nedělají. Apple v tomto ohledu stojí někde mezi.
To je velký tlak na poskytovatele připojení a správce firemních sítí, aby se IPv6 zabývali, protože jinak si žije vlastním životem. Správci sítí už nemůžou IPv6 ignorovat při zajišťování bezpečnosti a spolehlivosti sítě.
Zabezpečení nového Internetu
Oproti stávajícímu IPv4 s IP maškarádou přináší IPv6 nový pohled na zabezpečení internetové komunikace. Zásadně odděluje technologická omezení (maškarádu) od bezpečnostních opatření (firewall, IPsec). Ten přístup je mnohem transparentnější a používá se na IPv6 i IPv4.
IPsec (IP security) je obecné řešení pro zabezpečenou komunikaci mezi internetovými uzly a celými sítěmi. Funguje jako VPN i jako zabezpečení komunikačních kanálů. IPsec byl přizpůsoben i staršímu protokolu IPv4, ale jeho výhody daleko lépe vyniknou v kombinaci s protokolem IPv6. IPsec a firewall tvoří základ síťové bezpečnosti.
Školení a konzultace
Rád bych vám v této oblasti nabídl školení, konzultace a další služby. Mojí specializací je operační systém Linux a na něm založené síťové prvky (OpenWRT, Mikrotik, Ubiquiti), ale poskytuju i obecné konzultace pro sítě založené na jiných síťových prvcích (Juniper, Cisco) a jinými operačními systémy na serverech a stanicích (Apple, Microsoft).