Nedávno sme spolu s mojimi kolegami obdržali jeden veľmi znepokojujúci e-mail, ktorý znel nasledovne:
Dear colleagues,
Today, at 15:35 UTC+1 on 25 November 2019, we made our final /22 IPv4 allocation from the last remaining addresses in our available pool. We have now run out of IPv4 addresses.
Takýmto spôsobom oznámila organizácia RIPE vyčerpanie voľných IPv4 subnetov. Podľa správy disponujú ešte blokmi o veľkosti /24. O tieto je však enormný záujem, ako možno vidieť na tomto grafe.
Pri tejto príležitosti som sa rozhodol napísať blog o technológii IPv6 (nakoniec z toho vznikla séria). Chcel by som zodpovedať zopár základných otázok, zbúrať mýty a ukázať klady aj zápory IPv6 sveta. Myslím si, že na prechod z IPv4 na IPv6 je najprv nutné začať poskytovať služby na tejto technológií. Následne ju potom má zmysel implementovať aj pri firemných a rezidenčných internetových pripojeniach. Preto bude tento blog napísaný hlavne pre poskytovateľov služieb na internete (web, mail etc.)
Cieľom týchto článkov nie je do detailov poskytnúť vyčerpávajúce technické definície a prekladať do slovenčiny dokumenty RFC. Cieľom je prinajmenšom otvoriť debatu o IPv6 a nastaviť myseľ čitateľa na tento nový protokol. Chcem teda poskytnúť high-level pohľad na situáciu typu: „OK, tak mám tu novú technológiu, vôbec ju nepoznám, ale asi ju bude nutné nasadiť. Čo s tým?“. V skratke, nasledovné články budú popularizačné, a to je moja výhovorka nedostatku technických informácií :).
Mám panikáriť, že ešte nemám IPv6?
Rozhodne nie. Spomínaný mail síce vyzerá na prvý pohľad hrozivo, na pozore by však mali byť poskytovatelia internetovej infraštruktúry (ISP) a nie samotní používatelia. Prechod na IPv6 už trvá nejaký ten rok (je tu s nami od roku 1994) a bez obáv môžeme tvrdiť, že dlho ešte trvať bude.
Som však toho názoru, že teraz nastal vhodný čas zvážiť nasadenie IPv6 do svojho biznis riešenia. To zahŕňa potrebu definovať klady/zápory IPv6 pre svoje riešenie, zhodnotiť riziká nasadenia a pripraviť stratégiu. Šťastie praje pripraveným a akokoľvek budeme toto rozhodnutie odkladať, na konci dňa nás dobehne.
Prečo sa mám zaujímať o IPv6?
Prechod z IPv4 na IPv6 je nutný. Je to z dôvodu míňajúceho sa adresného priestoru IPv4 – tzv. “IPv4 Exhaustion“. Riešením je tzv. IPv6 Adoption, čiže nasadenie technológie IPv6. Existujú aj iné dočasné riešenia a prechodové mechanizmy (ako napr. 6to4, NAT64, 464XLAT a pod.). Tieto však neriešia spomínaný problém dlhodobo, a preto sa im v článku ďalej nebudem venovať. Doterajší stav IPv6 Adoption monitoruje napríklad spoločnosť Google a je vidno, že má rastúcu tendenciu.
Ďalším aspektom je cena adresy. Pri IPv4 vidíme nárast ceny pre providerov. Toto sa môže odraziť pri cenách verejných IPv4 adries aj pre používateľov. Tým, že (v Európe a v Severnej Amerike) nie sú voľné bloky, narastá priestor pre rôzne dražby a predaje, viď tento portál, čo môže cenu jednej adresy ešte zvýšiť.
Že je IPv4 Exhaustion reálny problém, potvrdzujú aj tzv. IPv6-Only riešenia. Tieto su nasadzované keď už provider (alebo veľká enterprise/campus sieť) vyčerpal aj privátne rozsahy IPv4 adries. V takomto prípade použije iba IPv6 adresu pre koncové zariadenia. Na bránach do internetu je následne nasadená kombinácia NAT64 a DNS64, ktorá robí preklad medzi sieťami IPv6 a IPv4. Zo skúsenosti však viem, že ak postavíme do stredu komunikácie nejaký “statefull“ box, ktorý zasahuje priamo do komunikácie, vyrojí sa zrazu kopec problémov.
Stále si môžem povedať, že na moje prostredie stačí jednoduché riešenie so zopár IPv4 adresami, čiže znesiem aj vyššiu cenu. Áno, s takýmto prístupom bude pravdepodobne možné “prežit“ na internete ešte dlhú dobu. Problémom však budú nové služby, ktoré budú iba IPv6 only. To znamená, že na prístup k nim je tiež potrebný preklad medzi týmito dvoma technológiami. Podobne ako v predošlom prípade, znova nám niečo zasahuje do komunikácie, a to nechceme.
S čím rátať pri prechode na IPv6?
Nezávislosť
Výhodou pri nasadení v už existujúcich prostrediach je možnosť mať aktívnu technológiu IPv4 aj IPv6 naraz. Tento spôsob sa nazýva “dual-stack”. To znamená, že nasadenie IPv6 nemusí nijako ovplyvniť už bežiace služby na IPv4. Dual-stack riešenie má ešte jednu “neoficiálnu výhodu”. Kedže je prostredie dostupné aj na oboch technológiách, viem jednu z nich využiť na testing nejakej zmeny alebo upgrade-u. Nové riešenie si napríklad otestujem na IPv6, pričom mi všetky služby ďalej bežia na IPv4.
Dvojnásobná práca
Vyplýva priamo z predošlého odstavca. Fakt, že su spomínané technológie od seba nezávislé, prináša aj jednu nevýhodu. Tou je 2 (a často aj viac) – násobná práca pri správe. Všetky firewall pravidlá, DNS záznamy, route-policy a podobne treba robiť 2x. Samostatne pre IPv4 aj IPv6. Na toto netreba zabúdať, pretože z hľadiska bezpečnosti môže mať fatálne následky.
Mindset
Nová technológia – nové zmýšlanie. S obrovským adresným priestorom prichádza priestor pre re-dizajn toho, ako k nemu pristupujeme. Pri IPv4 bola hlavná motivácia šetrenie a efektívny subnetting vzhľadom na počet koncových zariadení. Pri IPv6 sa hladí hlavne na to, aby sa jednoducho delila sieť na menšie časti a aby boli jednotlivé časti rovnako veľké (vysvetlíme si nabudúce). Toto je len zlomok z toho, čo je nové. Pre lepšie pochopenie nového sveta odporúčam podcast IPv6 Buzz od Packet Pushers. Podcast obsahuje neformálne diskusie vždy so zaujímavými hosťami. Diskutujúci sú ľudia, ktorí s IPv6 pracujú alebo ju pomáhali definovať (Ministerstvo obrany USA, LinkedIn, Amazon a pod.). Dá sa počúvať aj v obľúbených streamovacích službách ako Spotify a pod.
Packet Pushers – IPv6 Buzz:
https://packetpushers.net/series/ipv6-buzz/
Tréning
Pri práci s novou technológiou je vždy dobré pripraviť aj svoje “hard skills“. Čo dobré, je to úplne nevyhnutné. Treba si poriadne naštudovať teóriu, keďže IPv6 používa iné protokoly (napriklad ARP nepozná a miesto neho používa ICMPv6 Neighbor Discovery). Na internete sú tony materiálov, spomeniem knihu s príznačným názvom “IPv6“ od P. Satrapu, ktorá je v češtine. Okrem teórie je potrebná aj prax. Na začiatok by som odporučil tréning vo virtuálnom labe, ktorý si môžeme vytvoriť zadarmo aj na vlastnom počítači. Stačia nám na to voľne dostupné nástroje ako GNS, či EVE-NG.
Pavel Satrapa – IPv6:
Bezpečnosť
Nakoniec prichádza to najdôležitejšie. Na bezpečnosť sa často zabúda, ale pri IPv6 je ešte dôležitejšie ju nepodceniť. IPv6 nepozná NAT, takže všetky zariadenia majú “verejnú“ adresu. Pri použití NAT vzniká (falošný) pocit bezpečia, pretože zariadenia v lokálnej sieti nie sú dostupne “zvonku“, z verejnej siete. IPv6 na druhej strane prináša end-to-end komunikáciu naprieč celou sieťou až na zariadenia na lokálnej sieti. Predstava nezabezpečených počítačov, smartfónov a iných “smart“ zariadení je snom každého hackera. My ich ale z tohto sna preberieme naším firewallom. No a teraz seriózne. Minimálny krok k lepšej bezpečnosti je naozaj na bránu smerom do internetu nasadiť firewall (už tam mal byť dávno). Následne použijeme napríklad pravidlo, že komunikáciu môže začať iba zariadenie z lokálnej siete. Toto je základ, na ktorom sa dá stavať ďalej.
Čo získam s nasadením IPv6?
Čas
Veľkým benefitom je, že máme čas dopredu premyslieť celý dizajn – adresovanie, routing, FW pravidlá a podobne. Zároveň máme čas na tréning, ktorý som spomínal vyššie. Chápem, že čas je celkom nehmotná výhoda, ale má aj hlbší rozmer. Môže nastať situácia, kedy bude nutné ísť na platené školenie alebo bude nutné vymeniť hardvér. Toto sú položky, ktoré ovplyvňujú rozpočet. Čím skôr budem uvažovať nad týmito výdavkami, tým lepšie ich viem rozložiť a zahrnúť do rozpočtu.
Rýchlosť
IPv6 je rýchlejšia. Znie to zvláštne, ale naozaj boli namerané rýchlejšie odozvy pri oproti IPv4, čo potvrdzuje viacero článkov. Možno rýchlosti pomáha fakt, že komunikácia neprechádza cez NAT, kde môže vzniknúť delay. Operačné systémy taktiež uprednostňujú IPv6, čiže sa najskôr pokúšajú nadviazať komunikáciu pomocou nej. V prípade neúspechu použijú IPv4. Tu vzniká ďalší delay. Tak či onak, neostáva nám nič iné iba sa tešiť z lepších čísel.
Adresovateľnosť
Na rozsiahly adresný rozsah naozaj netreba zabúdať, pretože bol hlavným motívom vzniku IPv6. Klasická podsieť obsahuje 264 adries, čo je číslo, ktoré neviem ani vysloviť. Je to štandardná veľkosť siete akú vie provider prideliť svojim zákazníkom. Pri tomto počte nie je naozaj nutné šetriť adresami, čo si ukážeme v nasledujúcom blogu. Je to celkom pekná predstava oproti terajšiemu stavu, kedy šetríme každú jednu IP adresu.
Záver
Tak si to zhrňme. IPv4 adresný priestor bude čoskoro vyčerpaný. Ukazuje sa, že prechodové mechanizmy medzi IPv4-only a IPv6-only sieťami nebudú ideálne riešenia z dlhodobého pohľadu. Riešením je dual-stack a čím skôr začnem nad týmto riešením uvažovať, tým lepšie pre mňa. Potrebujem už len zvládnuť IPv6 technológiu, a ako prvú vec – adresáciu. IPv6 adresy nevyzerajú zrovna príťažlivo, a ak je práve toto dôvod, ktorý Vás odrádza, určite odporúčam počkať si na ďalšiu časť tohto blogu.