Переход на IPv6 может занять еще десять лет / Хабр
Такую точку зрения высказал представитель интернет-регистратора RIPE NCC Марко Хохевонинг (Marco Hogewoning). Однако некоторые члены ИТ-сообщества посчитали такой прогноз излишне оптимистичным. Обсуждаем мнения экспертов и рассказываем, как идет внедрение IPv6.
/ Unsplash / Markus Spiske
Ситуация с адресами
В конце ноября прошлого года интернет-регистратор RIPE, отвечающий за Европу и Азию,
сообщилоб исчерпании последнего блока адресов IPv4. Еще пять лет назад аналогичная ситуация произошла с
американской ARIN. Остальные регистраторы также
распределяютсвои последние ресурсы.
Многие эксперты — например, ИТ-журналист и редактор PC Pro Дериен Грэм-Смит (Darien Graham-Smith) — призывают поскорее совершить переход на IPv6, чтобы забыть о проблеме недостатка адресов как минимум на миллион лет.
Сколько может занять миграция
Протокол нового поколения до сих распространен недостаточно широко, несмотря на тот факт, что со дня его
глобального запускапрошло уже более восьми лет. Руководитель исследовательского отдела интернет-регистратора APNIC Джефф Хастон (Geoff Huston) при этом
отмечает, что в последнее время скорость внедрения IPv6 замедлилась. По данным W3Techs, год назад IPv6
14,3% сайтов, на сегодняшний день эта цифра
увеличиласьвсего на 2%.
О чем еще мы пишем в нашем блоге на Хабре:
Но ряд экспертов убежден, что в скором времени ситуация начнет меняться. Например, по
словамМарко Хохевонинга из RIPE NCC, на эту процедуру потребуется еще около 5–10 лет. Он убежден, что этого времени достаточно для того, чтобы избавиться от необходимости в dual-stack.
Как он говорит, сперва на IPv6 должны мигрировать правительственные организации — это один из факторов, сдерживающих развитие протокола и заставляющих поддерживать обратную совместимость с IPv4. Но некоторые считают сроки, обозначенные Марко, довольно оптимистичными.
Другая точка зрения
Представитель международной организации Internet Society
Мэт Форд(Mat Ford) и
некоторые резидентыHacker News отмечают, что ожидать масштабной миграции в ближайшем будущем не стоит. Интернет-провайдеры успешно работают даже в условиях нехватки IPv4 — например, они
покупаютосвободившиеся адреса на
специализированных площадках.
/ Unsplash / Markus Spiske
Также миграции мешают технические сложности, особенно в крупных сетях. Например, компания-разработчик игр SIE Worldwide Studios внедряла IPv6 на протяжении семи лет. Но в итоге забросила проект, так как им не удалось до конца избавиться от наследия IPv4.
Еще одна причина, замедляющая переход на новый протокол, — инженеры до сих пор находят баги, связанные с IPv6. Например, в конце 2019 года одному из австралийских сетевых провайдеров пришлось остановить тестирование IPv6. Причина — ошибка в микропрограмме маршрутизаторов Cisco ASR, которая приводила к сбою процесса DHCP. Чтобы исправить проблему, приходилось перезагружать маршрутизатор, что затрагивало не только IPv6-абонентов, но и всех остальных.
Получается, что простого расширения адресного пула недостаточно для быстрого перехода на протокол нового поколения — по крайней мере, ожидать этого в ближайшее десятилетие не стоит.
Материалы из нашего корпоративного блога:
Переход на IPv6: операторы ищут смысл
Выйти из кризиса, о котором рассказано в статье «Почему в интернете закончились адреса», можно. Однако от интернет-провайдеров потребуются решительные действия и миллиардные затраты. Телекомы должны потратить от 40 до 100 долларов на абонента.
Решить адресный кризис должен новый протокол IPv6. Казалось бы, нет ничего проще – включай и переходи. Но на практике этот переход требует не только настройки, но и замены дорогостоящего оборудования. «Уже год, как мы реализуем проект по переходу на IPv6. Проблема в том, что переход на новый протокол означает для нас замену клиентского оборудования (роутеров) у всех клиентов и замену всего оборудования доступа и части самых старых агрегаций. Восемь лет назад введение IPv6 было совсем другое, чем сейчас. Но на замену оборудования никто не пойдет, объемы инвестиций будут в этом случае очень большими. Поэтому мы обратились к варианту с туннелированием», – рассказывает технический директор оператора «Атлант Телеком» (Беларусь) Олег Гаврилов.
Благодаря, так называемому «туннелю» через IPv4 можно получить доступ к ресурсам Сети по протоколу IPv6. Но такая технология требует от пользователей интернета определенных знаний.
«В настройках нужно прописать адрес из 20 символов, любая опечатка приведет к неработающей сети и звонкам в техническую поддержку оператора. Поэтому мы решили сделать шаг в прошлое, к VPN-туннелям, которые пользователи уже умеют настраивать. Если подытожить, все печально», – заключает Олег Гаврилов.
Зато у магистрального оператора Беларуси «Белтелеком» проблем с IPv6 нет. Заместитель генерального директора компании по техническим вопросам Вадим Шайбаков рассказал Digital.Report, что «сеть передачи данных «Белтелекома» уже поддерживает протокол IPv6 на магистральном, внутриобластном и местном уровнях».
«На межоператорском уровне и в Центре обработки данных «Белтелекома» протокол IPv6 уже используется для взаимодействия информационных систем. Часть глобальных ресурсов интернета уже доступна через сеть «Белтелекома» по IPv4 и IPv6 одновременно. Развитие IPv6 сейчас больше сдерживается не техническими ограничениями оборудования операторов, а недостатком ресурсов, доступных по протоколу IPv6. В 2017 году мы планируем осуществлять параллельную выдачу адресов как протокола IPv4, так и IPv6 физическим лицам. Уже есть корпоративные клиенты, которым выданы адреса версии 6. «Белтелеком» обладает значительным пулом IPv6 адресов, позволяющим каждому жителю Беларуси подключить тысячи устройств. По мере перевода глобальных интернет-ресурсов на IPv6 доля подключений по IPv4 будет уменьшаться», – сказал он.
А если силой?
Чтобы проект IPv6 заработал, операторам нужен толчок или крупные инвестиции. По подсчетам операторов, чтобы быстро внедрить IPv6 нужно потратить от $40 до $100 на абонента. Это серьезная сумма, и добровольно ее выложить никто не решится. Если только не произойдет принудительное отключение протокола IPv4. «Никто и никогда в здравом уме не будет силой стимулировать переход с IPv4 на шестую версию. Весь текущий контент в интернете доступен прежде всего в IPv4. Ни операторы, ни контент-провайдеры не будут себе стрелять в ногу, чтобы применить IPv6. Нужно понимать, что IPv6 – это не замена IPv4. Это возможность продолжать развиваться теми же темпами в условиях, когда IPv4 больше не хватает. Провайдеры постепенно начинают использовать IPv6, тем более уже есть сайты доступные по новому протоколу, в их числе Google, Яндекс и другие, а также есть оборудование для клиентов — модемы с поддержкой IPv6. Но это не значит, что операторы предоставляют клиентам доступ только по протоколу IPv6. Работают оба протокола. Например, если вы выходите в интернет и набираете yandex.ru, оператор проверяет готовы ли вы получить трафик по IPv6. Если ваше оборудование поддерживает этот протокол и оператор тоже поддерживает IPv6, то трафик пойдет по новому протоколу. Если нет – по IPv4», – сказал региональный представитель RIPE NCC (Réseaux IP Européens Network Coordination Centre)
Отвечая на призывы RIPE NCC активно использовать IPv6, Олег Гаврилов скептически замечает: «Товарищи из RIPE, Google и Яндекс, конечно, молодцы. Но они забывают, что для того, чтобы подготовить свою инфраструктуру к IPv6, контент-провайдерам достаточно прописать в маршрутизаторах соответствующие адреса. Это занимает не так много времени. А вот что делать с клиентским оборудованием и коммутаторами – непонятно. Сейчас я вижу вопрос реализации IPv6 так – мы будем предлагать абонентам, которые хотят пользоваться IPv6, купить роутер, который поддерживает этот протокол. Иди, покупай, и у тебя все будет работать. Другой вопрос – нужен ли IPv6 абонентам. В IPv6 сегодня нет никакого смысла. По крайней мере сейчас. Если вы думаете, что с уходом от IPv4 и NAT исчезнут проблемы с вирусными атаками и блокировкой пользователей поисковыми системами, то на IPv6 будет еще хуже. С IPv6 к любому устройству в локальной сети клиента можно получить доступ извне. А это может оказаться очень болезненным с точки зрения распространения интернета вещей, когда к сети подключены веб-камеры и даже холодильники. Протоколу IPv4 – 25 лет, и даже в нем есть лазейки».
Впрочем, специалист признает, что «в долгосрочной перспективе, остаться на протоколе IPv4 не получится». Сегодня ответ на вопрос «что делать?» можно считать риторическим. Объективно переход на протокол IPv6 в странах СНГ произойдет не раньше, чем через 5–7 лет.
Как возник дефицит IP-адресов и как технология NAT помогает операторам справляться с ситуацией, читайте в статье «Почему в интернете закончились адреса».
Переход на IPv6 | Журнал сетевых решений/LAN
В ближайшие несколько лет сетевым администраторам придется искать ответ на вопрос, как безболезненно перейти на новую версию протокола Internet.
При сохранении существующих темпов роста Internet такие особенности протокола IPv4, как недостаточный объем адресного пространства и неэффективный способ распределения адресов, станут неминуемо сдерживать ее развитие. Большинство специалистов в области технологий Internet уверены в необходимости перехода на новую, шестую версию протокола IP. Косвенным свидетельством этому служит постоянно увеличивающееся число организаций, компаний-разработчиков сетевого оборудования и программного обеспечения, принимающих участие в Международном форуме IPv6. Вместе с тем, многие считают, что переходный период может затянуться на длительное, практически неограниченное время, в течение которого две версии протокола IP должны мирно сосуществовать. Поэтому способ перехода должен предусматривать сохранение совместимости новых узлов и сетей с доминирующим сейчас в Сети протоколом IPv4. Логика работы и форматы данных двух протоколов существенно отличаются, поэтому их совместимость должна обеспечиваться внешними по отношению к ним механизмами.
При правильном использовании механизмов перехода процесс смены версий протокола IP может оказаться не таким уж сложным, как это представляется сейчас.
СУЩЕСТВУЮЩИЕ МЕХАНИЗМЫ
- трансляция;
- мультиплексирование;
- инкапсуляция (туннелирование).
Трансляция обеспечивает согласование стеков протоколов путем преобразования форматов сообщений, а также отображения адресов узлов и сетей, различным образом трактуемых в этих протоколах. Транслирующий элемент, в качестве которого могут выступать, например, программный или аппаратный шлюз, мост, коммутатор или маршрутизатор, размещается между взаимодействующими сетями и служит посредником в их «диалоге».
Другой подход к согласованию протоколов получил название мультиплексирования стеков протоколов. Он заключается в том, что в сетевое оборудование или в операционные системы серверов и рабочих станций встраиваются несколько стеков протоколов. При их мультиплексировании на узлы сети устанавливается несколько стеков коммуникационных протоколов — по числу сетей с различающимися сетевыми протоколами. Для того чтобы запрос от прикладного процесса был правильно обработан и прошел через соответствующий стек, необходимо наличие специального программного элемента — мультиплексора протоколов, называемого также менеджером протоколов. Он должен определять, куда в какую конкретно сеть направлен запрос клиента.
Инкапсуляция или туннелирование — это еще один метод решения задачи согласования протоколов. Инкапсуляция может применяться, когда две сети с одной технологией необходимо соединить через транзитную сеть, где используется другая технология.
В процессе инкапсуляции принимают участие три типа протоколов:
- транспортируемый протокол;
- несущий протокол;
- протокол инкапсуляции.
Протокол объединяемых сетей является транспортируемым, а протокол транзитной сети — несущим. Пакеты транспортируемого протокола помещаются в поле данных пакетов несущего протокола с помощью протокола инкапсуляции. Пакеты-«пассажиры» никаким образом не обрабатываются при транспортировке их по транзитной сети. Инкапсуляцию выполняет пограничное устройство (как правило, маршрутизатор или шлюз), которое располагается на границе между исходной и транзитной сетями. Извлечение пакетов транспортируемого протокола из несущих пакетов выполняет второе пограничное устройство, которое находится на границе между транзитной сетью и сетью назначения. Пограничные устройства указывают в несущих пакетах свои адреса, а не адреса узлов в сети назначения.
Обычно инкапсуляция оказывается более простым и быстрым решением по сравнению с трансляцией, поскольку решает частную задачу, не обеспечивая взаимодействия узлов связываемых сетей с узлами транзитной сети.
В смешанных сетях IPv6—IPv4 наиболее часто используется мультиплексирование, а также туннелирование. Использование этих средств позволяет системам IPv6 обмениваться информацией с другими узлами IPv6 через сети IPv4. Для того чтобы узлы, поддерживающие только протокол IPv6, могли обращаться к ресурсам в сети IPv4, необходимо наличие дополнительных систем: шлюзов прикладного или транспортного уровня, трансляторов протоколов, шлюзов SOCKS. Сейчас основные усилия разработчиков направлены на создание механизмов, позволяющих протоколу IPv6 беспрепятственно работать поверх сетей, поддерживающих только IPv4. Однако в будущем потребуются средства, обеспечивающие передачу IPv4 через сети, где используюется исключительно IPv6, так как большинство систем в Internet перейдет на этот протокол.
Итак, для того чтобы вычислительные платформы работали в сетях IPv4 так же, как в IPv6, необходима одновременная поддержка и того и другого стека. Расширенная версия интерфейса socket дает приложению возможность указать, каким адресом — IPv6 или IPv4 — оно желает воспользоваться для установления соединения. Если приложение выдает адрес IPv6, то операционная система будет создавать соединение по протоколу IPv6. Системы с двойным стеком могут принимать, отправлять и обрабатывать пакеты обоих протоколов. Соответственно, каждая из таких систем должна иметь как минимум по одному никак не связанных друг с другом адресу IPv4 и IPv6.
Поскольку шестнадцатибайтный адрес IPv6 запомнить сложнее, чем четырехбайтный IPv4, то роль службы DNS в сетях IPv6 становится еще более значимой. Стандарт DNS определяет новые типы записей о ресурсах для установления соответствия между именем системы и ее адресами в форматах IPv4 и IPv6. Какой из протоколов будет задействован для того или иного соединения, зависит от порядка записей, предоставляемых службой DNS приложению. Например, система может предоставлять только адрес IPv4, или только IPv6, или возвращать все имеющиеся в DNS адресные записи, относящиеся к запрошенному имени.
Доставка пакетов IPv6 конечным системам возможна при условии существования общей для этих систем инфраструктуры доставки. Поскольку сети, поддерживающие IPv6, составляют пока лишь малую часть всего Internet, будучи «островами» в «океане» IPv4, то для обеспечения соединений между ними широко применяется метод туннелирования. Несущим протоколом здесь является IPv4, а транспортируемым — IPv6. Пакет IPv6 помещается в поле данных пакета IPv4 и передается по обычной сети IPv4. По окончании передачи он извлекается из поля данных и обрабатывается обычным образом — т. е. либо отправляется в дальнейший путь (уже по сети IPv6), либо используется непосредственно получившей его системой. В общем случае полный маршрут пакета IPv6 может включать несколько туннелей через транзитные сети IPv4.
Поскольку туннели (как статический, вручную сконфигурированный, так и автоматически построенный) имеют интерфейсы IPv6, то у них должен быть локальный адрес для их канальной среды (link local address), который используется протоколами маршрутизации, механизмом обнаружения соседей и т. п. Спецификацией протокола IPv6 предусматривается возможность автоматической конфигурации адреса на интерфейсе путем объединения префикса маршрутизации и канального адреса интерфейса. В случае туннельного интерфейса, адрес канальной среды составляется из идентификатора интерфейса — его адреса в сети IPv4 и префикса FE00::/64 (см. Рисунок 1).
Поддержка туннелирования расширяет функциональность узлов, являющихся конечными точками туннеля, и налагает на них дополнительные требования. Принимающий узел должен распознать, что в поле данных полученного им пакета IPv4 находится пакет IPv6. Для этого анализируется поле «протокол» в заголовке пакета IPv4, значение которого в данном случае должно быть равным десятичному числу 41.
Минимальное значение максимального размера пакета, который может быть отправлен через интерфейс (Maximum Transmission Unit, MTU) для IPv6 составляет 1280 байт. Для того чтобы избежать излишней фрагментации, инкапсулирующая система должна, по возможности, использовать такое значение MTU для пакета IPv6, чтобы он помещался вместе со своим заголовком в разрешенном значении MTU для IPv4. Если размер присылаемого пакета IPv6 не позволяет разместить его целиком в поле данных пакета IPv4, инкапсулирующий узел может отправить узлу-источнику трафика IPv6 управляющее сообщение ICMPv6. При передаче трафика IPv6 через туннель в сети IPv4 протокол IPv4 играет роль канальной среды, поэтому, когда пакет проходит через туннель, счетчик транзитных узлов маршрута (hop counter) уменьшается на 1. Это делает туннель прозрачным на уровне IPv6, а для инструментов сетевой диагностики (например, traceroute) — невидимым.
При приеме пакета IPv4, несущего в поле данных пакет IPv6, система должна применить к нему стандартные методы фильтрации трафика по исходному адресу IPv4: пакет отбрасывается, если это особый адрес — для многоадресной или широковещательной рассылки, 0.0.0.0 или 127.х.х.х (loopback). Затем, отбросив инкапсулирующий заголовок IPv4, аналогичную фильтрацию необходимо выполнить для адресов IPv6. К числу особых в протоколе IPv6 относятся адреса многоадресной рассылки, неопределенные адреса (unspecified address — 0.0.0.0/32 для IPv4 и ::/128 для IPv6), адреса обратной петли, а также особые адреса IPv4, полученные отображением на IPv6. Далее пакет передается стеку IPv6 и обрабатывается им как обычный пакет IPv6. Единственное исключение состоит в том, что узел не должен осуществлять дальнейшую маршрутизацию данного пакета, если только такая возможность не разрешена конфигурацией для адреса IPv4, с которого пришел пакет, т. е. если этот узел не сконфигурирован как конечная точка туннеля, начальной точкой которого является рассматриваемый адрес IPv4.
Поскольку начальная точка туннеля, осуществляющая инкапсуляцию пакетов IPv6 в пакеты IPv4, — это узел-отправитель по отношению к пакетам IPv4, она может получить сообщение протокола ICMP об ошибке, возникшей при передаче пакета IPv4 по сети. В некоторых случаях, в зависимости от типа сообщения, появляется необходимость передачи информации об ошибке узлу-отправителю вложенного пакета IPv6. Например, если сообщение ICMPv4 сигнализирует о превышении допустимого размера пакета, то система должна вести себя в соответствии со спецификацией определения максимального для маршрута IPv4 блока данных, который может быть отправлен по данному маршруту без фрагментации (Path MTU, PMTU). Т. е. необходимо зарегистрировать значение Path MTU для IPv4 и определить, следует ли генерировать информацию ICMPv6 о превышении размера пакета. Обработка других типов сообщений ICMPv4 зависит от того, какая часть пакета, вызвавшего ошибку, содержится в сообщении ICMP. В зависимости от реализации ICMP помимо внешнего заголовка IPv4 может быть передано либо 8, либо более начальных байт поля данных пакета, к которому относится это сообщение. Если оно содержит достаточно информации для реконструкции заголовка пакета IPv6, то инкапсулирующий узел может воспользоваться этими данными для составления сообщения ICMPv6 и отправки его узлу-источнику данного пакета IPv6.
СТАТИЧЕСКИЕ И ДИНАМИЧЕСКИЕ ТУННЕЛИ
В зависимости от того, как инкапсулирующий узел определяет адрес IPv4 другой стороны туннеля, туннели делятся на два типа — статические и динамические.
В случае статически сконфигурированного туннеля адрес IPv4 его конечной точки определяется из конфигурационной информации, заданной вручную на инкапсулирующем узле. Когда пакет IPv6 передается через туннельный интерфейс, то для его инкапсуляции в пакет IPv4 берется адрес IPv4 узла на противоположном конце соответствующего туннеля. Система определяет необходимость туннелирования того или иного пакета, руководствуясь своей таблицей маршрутизации.
Если туннель является двусторонним, т. е. позволяет передавать инкапсулированные пакеты IPv6 в двух направлениях, то помимо стандартных проверок пакетов IPv6, поступающих внутри пакетов IPv4, принимающая система должна разрешать дальнейшую передачу только тех пакетов IPv6, чей инкапсулирующий пакет IPv4 имеет исходный адрес, совпадающий с адресом удаленного узла на противоположном конце соответствующего туннеля. Если же туннели односторонние, то принимающая система должна иметь список адресов IPv4, с которых разрешен прием инкапсулированных пакетов IPv6.
Для автоматического построения туннеля необходимо, чтобы IPv6-адрес получателя относился к типу IPv4-совместимых (см. Рисунок 2). Адреса такого типа присваиваются узлам, которые готовы к автоматическому туннелированию и могут принимать пакеты IPv6. Указанные пакеты должны инкапсулироваться в пакеты IPv4 с адресом назначения IPv4, содержащимся в совместимом с IPv4 адресе IPv6. Адрес IPv6, совместимый с IPv4, уникален, если в нем содержится уникальный в глобальном масштабе адрес IPv4. Интерфейс для автоматического туннелирования не считается подключенным к реальной физической сети: в частности, он не участвует в работе механизма автоматического нахождения соседей.
Узел IPv6/IPv4 может получить свой совместимый с IPv4 адрес IPv6, с использованием любого разрешенного механизма конфигурации адресов IPv4. Полученный адрес IPv4 используется для конфигурации интерфейса узла IPv4, а затем, при дополнении префиксом ::/96, становится IPv4-совместимым адресом устройства IPv6.
При автоматическом туннелировании адрес удаленного узла на противоположном конце туннеля определяется из последних 32 бит IPv4-совместимого адреса пакета. Если IPv6-адрес назначения пакета не является IPv4-совместимым, то такой пакет не может быть отправлен с помощью механизма автоматического туннелирования. Для того чтобы пакеты можно было направлять на интерфейс автоматического туннелирования, в таблицу маршрутизации можно занести маршрут с префиксом ::/96, поскольку все пакеты с IPv4-совместимыми адресами имеют такой префикс.
Рассмотрим, например, сеть, в которой имеется несколько узлов IPv6/IPv4, не разделенных маршрутизаторами IPv4/IPv6. Узлы могут быть сконфигурированы на использование автоматического туннелирования для взаимной передачи пакетов IPv6, а также настроены на удаленный маршрутизатор IPv6/IPv4, который также способен выполнять автоматическое туннелирование. Для обеспечения работы такой системы в таблицах маршрутизации узлов должно быть две записи: одна из них направляет все пакеты с префиксом ::/96, на автоматическое туннелирование, а вторая указывает маршрут по умолчанию ::/0 на удаленный маршрутизатор IPv6/IPv4. Пакеты IPv6, адресованные узлам IPv6, отправятся через удаленный маршрутизатор по статически сконфигурированному одностороннему туннелю, в то время как ответные пакеты будут переданы удаленным маршрутизатором с помощью автоматического туннелирования (см. Рисунок 3).
МЕХАНИЗМ 6-TO-4
Задавая для каждой сети IPv6 уникальный префикс, включающий адрес IPv4 конечной точки туннеля, механизм 6-to-4 позволяет соединять сети IPv6 через IPv4 без явной конфигурации туннелей. Таким образом, для его использования достаточно одного глобально маршрутизируемого адреса IPv4.
КАК ПОДКЛЮЧИТЬСЯ К INTERNET ПО IPV6
Если сетевой администратор реализует поддержку протокола IPv6 на всех конечных системах и маршрутизаторах, а собственного провайдера услуг IPv6 у организации нет, то единственным способом подключения к Internet по протоколу IPv6 является создание туннелей. Они могут быть проложены ко всем сетям, с которыми необходим обмен трафиком. Однако в типичном случае подключение производят к крупной магистральной сети IPv6; она и обеспечивает дальнейшую связь (см. Рисунок 4).
При выборе провайдера услуг Internet администратор сети IPv6 должен выполнить следующие действия:
- найти сеть, у которой был бы хороший канал связи с магистральными сетями IPv6 и владелец которой был бы готов предоставить сервис по транзиту трафика клиента IPv6;
- определить в этой сети наиболее эффективный маршрут для туннеля;
- заключить соглашение с администрацией выбранной сети относительно предоставления услуги туннелирования трафика IPv6;
- определить порядок обмена маршрутной информацией и технические параметры туннеля;
- проверить совместимость реализаций всех протоколов, планируемых для установки на маршрутизаторах сетей клиента и провайдера, и, при необходимости, заменить имеющиеся продукты на совместимые.
МЕХАНИЗМ 6-TO-4 УПРОЩАЕТ КОНФИГУРАЦИЮ ТУННЕЛЯ
Механизм 6-to-4 позволяет отказаться от сложной конфигурации вручную туннелей к провайдеру IPv6. Для этого выполняется анонсирование адреса IPv4 конечной точки туннеля, т. е. данный адрес объявляется во внешнем префиксе маршрутизации для этой сети. Пытаясь соединиться с системой в другой сети, система в одной из сетей для организации автоматического туннеля определяет адрес IPv4 по информации из DNS.
Как показано на Рисунке 5, сначала маршрутизатор в IPv6-сети 1 генерирует префикс на основе своего адреса IPv4 — 10.1.1.1. Этот префикс 2002:10.1.1.1:0::/48 анонсируется в сети 1 (шаг 1). Далее узлы IPv6 в этой сети конфигурируют свои адреса, основываясь на значении префикса (шаг 2). Узнав из DNS адрес IPv6 узла в сети 2, которому нужно отправить пакет, узел в сети 1 создает пакет IPv6 и отправляет его через маршрутизатор 6-to-4 в своей сети (шаг 3). Маршрутизатор 6-to-4 в сети 1, получив пакет IPv6, передает его по туннелю на адрес IPv4 маршрутизатора в сети 2 (шаг 4). Маршрутизатор в сети 2 принимает пакет, производит необходимые проверки и передает пакет IPv6 внутри своей сети узлу, которому пакет адресован, по адресу 2002:10.2.2.2:0::2 (шаг 5). Естественно, что процесс конфигурации адреса IPv6 (шаги 1 и 2) должен быть выполнен в обеих сетях. На рисунке показан нестандартный для IPv6 способ текстового представления адреса: в соответствии с принятой в IPv6 формой записи часть адреса, содержащая адрес IPv4, должна быть представлена в виде двух шестнадцатеричных чисел. Записывать же адрес IPv4, входящий в адрес IPv6, в виде четырех десятичных цифр, разделенных точками, разрешается только для IPv4-совместимых и отображенных адресов IPv6.
Каждый из автоматических туннелей 6-to-4 существует до тех пор, пока по нему идет трафик IPv6. Применение механизма 6-to-4 позволяет отказаться от использования для подключения к 6BONE или другой магистральной сети IPv6 постоянно действующих туннелей.
Формат 48-разрядного префикса маршрутизации для механизма 6-to-4 предусматривает наличие 32-раз-рядного поля для передачи в нем адреса IPv4 конечной точки туннеля, как показано на Рисунке 6. Таким образом, префикс 6-to-4 имеет такой же формат, как и обычный префикс в формате адресов IPv6, и может быть использован, как и любой другой префикс IPv6: в частности, для автоматической конфигурации адресов и нахождения других устройств в соответствии со стандартными механизмами, предусмотренными спецификациями IPv6.
СПОСОБЫ ПРИМЕНЕНИЯ 6-TO-4
В простейшем случае несколько сетей начинают использовать IPv6 параллельно с IPv4 и применяют механизм 6-to-4 для обеспечения связи между собой по IPv6. На один из маршрутизаторов такой сети одновременно устанавливаются протоколы IPv4 и IPv6 и активизируется механизм 6-to-4. Каждый из таких маршрутизаторов должен быть доступен узлам IPv6 из своей сети и иметь, как минимум, один глобально маршрутизируемый адрес IPv4. Связь узлов сети с выделенным маршрутизатором может быть реализована либо при помощи внутренней инфраструктуры маршрутизаторов IPv6, либо через маршрутизаторы IPv4/IPv6, либо с использованием других методов туннелирования.
Маршрутизатор 6-to-4 распространяет префиксную информацию по своей сети, пользуясь стандартным механизмом автоматического поиска соседей. Получившие префиксную информацию устройства конструируют свой адрес, включающий префикс 6-to-4, и анонсируют его путем регистрации в DNS.
Конечные системы при работе с механизмом 6-to-4 придерживаются определенных правил. Если узлу в одной сети нужно установить связь с узлом в удаленной сети, он выполняет запрос к DNS, получая в ответ адрес узла IPv6, содержащий префикс 6-to-4 удаленной сети. Инициирующий соединение узел пользуется этим адресом для создания пакета IPv6, который должен пройти через маршрутизатор 6-to-4 в сети инициирующего узла.
Правила работы по механизму 6-to-4 для маршрутизаторов выглядят следующим образом. Когда маршрутизатор 6-to-4 в сети узла-отправителя получает пакет с нелокальным адресом получателя, а префикс получателя содержит значение 2002::/16, то такой пакет инкапсулируется в пакет IPv4. В этом пакете тип протокола указывается как «41», в качестве адреса получателя назначается адрес IPv4 из префикса 6-to-4 сети получателя, а адрес отправителя приравнивается адресу IPv4, указанному в префиксе сети отправителя.
Когда на маршрутизатор в сети получателя приходит пакет IPv4 со значением «41» в поле типа протокола, маршрутизатор делает необходимые при стандартном туннелировании проверки и, удаляя заголовок пакета IPv4, обрабатывает пакет IPv6 в обычном порядке. Правило отправки — единственная модификация механизма передачи пакетов IPv6, поскольку условие приема уже задано в рекомендациях по туннелированию IPv6 поверх IPv4. Таким образом, механизм 6-to-4 является простой модификацией правил работы маршрутизатора IPv6/IPv4, не требует обмена дополнительной маршрутной информацией IPv6 и не приводит к появлению новых записей в таблице маршрутизации IPv4.
При использовании механизма 6-to-4 важно правильно выбрать адреса получателя и отправителя при конструировании пакетов IPv6. В простейшем случае при обмене между двумя сетями, не имеющими внешней связи по протоколу IPv6, проблемы выбора адресов IPv6 получателя и отправителя не возникает, поскольку для каждого узла в каждой из сетей существует только один адрес IPv6 — тот, что содержит префикс 6-to-4. Поэтому отправитель использует адрес с префиксом 6-to-4 узла получателя и указывает собственный адрес с префиксом 6-to-4 своей сети в поле адреса отправителя пакета IPv6. Однако в более сложных ситуациях потребуется специальный алгоритм выбора между несколькими адресами IPv6 для применения их в качестве адресов получателя и отправителя пакета. Это необходимо, когда одна из двух сетей связана с магистральной инфраструктурой IPv6 непосредственным соединением по IPv6 (называемом далее реальной связью).
Например, если сетевой узел, использующий для соединения с другими сетями IPv6 туннель 6-to-4 и реальную связь, устанавливает соединение с сетью IPv6, с которой имеется связь только в режиме 6-to-4, то в качестве адреса отправителя обязательно должен быть выбран адрес, содержащий префикс 6-to-4. Лишь в таком случае узел сети, обладающей только соединением 6-to-4, сможет отправлять пакеты в обратном направлении.
Когда и та и другая сети имеют возможность устанавливать оба типа соединений, то в общем случае предпочтение должно отдаваться реальной связи, а не туннелированию.
ШЛЮЗ 6-TO-4
Наиболее сложный сценарий использования механизма 6-to-4 может возникнуть, когда узлу сети, где имеется только туннель 6-to-4, необходимо связаться с сетью, в которой наличествует только реальная связь по IPv6. В таком случае потребуется использовать шлюз 6-to-4, роль которого может взять на себя маршрутизатор, поддерживающий IPv6/IPv4 (см. Рисунок 7). Шлюз 6-to-4 анонсирует маршрут 2002::/16 в сети IPv6 с реальными соединениями, к которым он подключен. Внутри сетей IPv6 любые маршруты 6-to-4 (2002:…) с префиксом длиной более 16 бит должны фильтроваться и отбрасываться. С другой стороны, шлюз может анонсировать маршруты IPv6 (не 6-to-4) по своим соединениям 6-to-4, в то время как сети, использующие 6-to-4, могут либо получать эти маршруты по протоколу BGP4+, либо просто устанавливать маршрут по умолчанию во все подключенные к шлюзу сети IPv6.
Схема работы системы проста: узел в сети 6-to-4 отправляет пакеты узлам с реальной связью по IPv6, посылая инкапсулированные в пакеты IPv4 шлюзу, который, удалив заголовок IPv4, передает пакеты IPv6 далее по инфраструктуре с реальной связью IPv6.
Все сети, входящие в сеть 6BONE (имеющие префикс 3FFE::/16), и сети, имеющие блоки адресов для не экспериментального использования, т. е. для предоставления реального сервиса (префикс 2001::/16), связаны друг с другом как реальными соединениями IPv6, так и туннелями IPv6 поверх IPv4. В связи с этим, существование множества шлюзов 6-to-4 не является принципиальным, а служит лишь для распределения нагрузки.
ЗАКЛЮЧЕНИЕ
Опыт нескольких лет эксплуатации сети 6BONE позволяет говорить о том, что создание туннельных соединений IPv6 — вполне жизнеспособный способ организации взаимодействия крупных сетей. В то же время многочисленные небольшие сети могут использовать дополнительные средства, в частности автоматическое туннелирование или механизм 6-to-4, что позволит им подключиться к Internet по IPv6 с минимальными затратами и подыскать устраивающего их провайдера IPv6. Однако, исходя из результатов работы экспериментальной сети IPv6 Ярославского государственного университета, всерьез рассчитывать на высокое качество и надежность туннелей сложно, хотя бы потому, что за одним туннелем может скрываться длинный маршрут IPv4, проходящий через несколько сетей с их специфическими проблемами. Наиболее качественным решением, без сомнения, остается реальное подключение к провайдеру по IPv6.
Игорь Алексеев — эксперт по информационным системам Центра Internet Ярославского государственного университета. С ним можно связаться по адресу: [email protected]
Ресурсы Internet
Как обычно, самую исчерпывающую информацию по аспектам перехода с IPv4 на IPv6, можно получить на сервере IETF по адресам: http://www.ietf.org/html.charters/ ipngwg-charter.html и http://www.ietf.org/html.charters/ngtrans-charter.html. В качестве общей информации по организации сети IPv6 и простым сценариям ее подключения можно посмотреть http://tru64unix.compaq.com/faqs/ publications/best_practices/ BP_IPV6/TITLE.HTM.
Информацию о поддержке протокола IPv6 в новых версиях популярных операционных систем, маршрутизаторах и других сетевых продуктах можно найти на сайтах: http://www.ipv6forum.com, http://www.ipv6.ru, http://playground.sun.com/pub/ipng,http://www.ipv6.org.
Перспективы перехода на IPv6
Протокол IP настолько распространен, что планомерная замена его четвертой версии на шестую представляется весьма непростым делом. Именно поэтому и разрабатываются технологии, которые, не будучи частью спецификации IPv6, способны обеспечить одновременное использование обеих версий протокола IP в глобальных сетях. В документах рабочей группы IETF по вопросам смены версий протокола IP (Next Generation Transition, NGTRANS) указывается, что IPv4 и IPv6 могут сосуществовать в течение неограниченного времени.
Процесс перехода не обещает быть простым — даже обычная смена адресов для сети провайдера Internet или крупной корпоративной сети далеко не легкая задача (достаточно вспомнить про базы DNS, пакетные фильтры, настройки VPN и отдельных сетевых сервисов). Вместе с тем, перейти на IPv6 не намного сложнее, чем поменять адреса, зато вы раз и навсегда избавитесь от необходимости их конфигурирования вручную, поскольку IPv6 предусматривает полную автоматизацию этой операции (оставляя, однако, администратору возможность собственноручно задавать сетевые адреса, если он того пожелает).
Поскольку IPv6 нормально функционирует в сети вместе c IPv4 (даже на одних и тех же узлах), то перевод сети на IPv6 можно осуществлять постепенно, в течение длительного времени.
И, наконец, задача перехода на IPv6 становится все более легкой благодаря поддержке этого протокола все большим числом операционных систем и маршрутизаторов. Если еще пару лет назад, прежде чем начать работать с IPv6, администратор сети должен был найти стек протокола (тогда он имелся только для ограниченного числа систем UNIX), откомпилировать и установить его на клиентской станции или на программном маршрутизаторе, то сейчас почти все основные операционные системы имеют встроенную поддержку полного набора функциональных возможностей IPv6. Число аппаратных маршрутизаторов, поддерживающих IPv6, также неуклонно растет. Все это свидетельствует о возрастании интереса операторов сетей и поставщиков программного и аппаратного обеспечения к протоколу IPv6.
Поделитесь материалом с коллегами и друзьями
Три причины для перехода на IPv6 | Сети/Network world
Чем IPv6 лучше IPv4?
Расширение пула доступных IP-адресов до 3,4*1038 (340 ундециллионов, или триллионов триллионов триллионов)дает определенные преимущества. Ввиду нехватки адресов IPv4 большая часть Интернета полагается на технологию Network Address Translation, «прячущую» под одним наружным адресом по нескольку внутренних. А с переходом на IPv6 каждое устройство сможет получить свой отдельный наружный адрес.
Три Нгуен, сотрудник ZyXEL, объясняет: «Когда каждое устройство станет адресуемым из глобальной сети, упростится управление через Интернет домашней автоматикой, обмен файлами, участие в онлайн-играх, подключение к p2p-сетям и другие задачи — для них больше не понадобится сложной настройки маршрутизатора».
По его словам, у IPv6 есть внутренние особенности, делающие его более защищенным, чем IPv4. Целостность и аутентичность каждого пакета обеспечивается с помощью шифрования и механизмов предотвращения подделки. IPv6 гораздо лучше справляется с тем, чтобы передавать трафик Интернета по назначению без опасности перехвата.
Смогут ли мои устройства IPv4 по-прежнему работать и соединяться с Интернетом?
Говоря кратко — да. Протоколы IPv4 и IPv6 напрямую несовместимы, но разработчики понимали, что не получится просто щелчком выключателя избавиться от IPv4, на который все еще полагается большая часть мира. Устройства IPv6 поддерживают двойной стек, то есть обе версии протокола на них могут работать одновременно.
Нужно ли срочно переходить на IPv6?
Сегодня подавляющее большинство устройств, подключенных к Интернету, несовместимо с IPv6, но благодаря технологии двойного стека все, что полагается на IPv4, сохранит работоспособность в обозримом будущем. Так что срочно переходить на IPv6 не нужно.
Тем не менее забыть о IPv6 не получится. Как объясняет Нгуен, в регионах, где адреса IPv4 закончатся, новые хосты, подключающиеся к Интернету, могут принудительно переводиться на IPv6. Вот три причины, по которым на малых предприятиях стоит озаботиться переходом на IPv6:
1. Неизбежность
Истина в том, что IPv6 уже скоро станет единственным вариантом подключения новых устройств и хостов к Интернету. Малым и средним предприятиям стоит переходить на IPv6, чтобы быть готовыми к неизбежному наступлению того дня, когда IPv4 попросту больше не будет поддерживаться. Заблаговременное освоение IPv6 позволит предприятиям сбросить с себя груз опасений, что исчезновение IPv4 отразится на их бизнесе.
2. Эффективность
«IPv6 упрощает и ускоряет передачу данных за счет боле эффективной обработки пакетов и отказа от необходимости проверять их целостность, — объясняет Нгуен. — В результате ценное рабочее время маршрутизатора высвобождается для выполнения его непосредственных задач».
Располагая более чем достаточным количеством уникальных IP-адресов, организации смогут отказаться от использования NAT для соединения с Интернетом. IPv6 практически исключает конфликты адресов, типичные для IPv4, и упрощает процессы подключения и обмена данными.
3. Безопасность
Когда сетевые гуру разрабатывали IPv4, о том, чтобы предусмотреть механизмы безопасности, они не подумали. IPv4 изначально не задумывался как защищенный протокол.
IPv6, напротив, с самого начала разрабатывался как защищенный. Многие функции безопасности, впоследствии «прикрученные изолентой» к IPv4 в качестве необязательных, в IPv6 встроены и по умолчанию активны. IPv6 шифрует трафик и проверяет целостность пакетов, реализуя для стандартного трафика Интернета защиту, подобную VPN.
Поделитесь материалом с коллегами и друзьями
22.10 Переход на IPv6. TCP/IP Архитектура, протоколы, реализация (включая IP версии 6 и IP Security)
Читайте также
17.5.3. Адресация IPv6
17.5.3. Адресация IPv6 В IPv6 используется тот же самый кортеж (локальный хост, локальный порт, удаленный хост, удаленный порт), что и в IPv4, и одни и те же номера портов (16-битные значения).IPv6-адреса локального и удаленного хостов являются 128-битными (16-байтовыми) числами вместо
7.8. Параметры сокетов IPv6
7.8. Параметры сокетов IPv6 Эти параметры сокетов обрабатываются IPv6 и имеют аргумент level, равный IPPROTO_IPV6. Мы отложим обсуждение пяти параметров сокетов многоадресной передачи до раздела 21.6. Отметим, что многие из этих параметров используют вспомогательные данные с функцией
11.9. Функция getaddrinfo: IPv6
11.9. Функция getaddrinfo: IPv6 Стандарт POSIX определяет как getaddrinfo, так и возвращаемые этой функцией данные для протоколов IPv4 и IPv6. Отметим следующие моменты, прежде чем свести возвращаемые значения воедино в табл. 11.3.? Входные данные функции getaddrinfo могут относиться к двум различным
22.8. Информация о пакетах IPv6
22.8. Информация о пакетах IPv6 IPv6 позволяет приложению определять до пяти характеристик исходящей дейтаграммы:? IPv6-адрес отправителя;? индекс интерфейса для исходящих дейтаграмм;? предельное количество транзитных узлов для исходящих дейтаграмм;? адрес следующего
22.9. Управление транспортной MTU IPv6
22.9. Управление транспортной MTU IPv6 IPv6 предоставляет приложениям средства для управления механизмом обнаружения транспортной MTU (раздел 2.11). Значения по умолчанию пригодны для подавляющего большинства приложений, однако специальные программы могут настраивать процедуру
27.4. Заголовки расширения IPv6
27.4. Заголовки расширения IPv6 Мы не показываем никаких параметров в заголовке IPv6 на рис. А.2 (который всегда имеет длину 40 байт), но следом за этим заголовком могут идти заголовки расширения[7] (extension headers).1. Параметры для транзитных узлов (hop-by-hop options) должны следовать
А.3. Заголовок IPv6
А.3. Заголовок IPv6 На рис. А.2 показан формат заголовка IPv6 (RFC 2460 [27]). Рис. А.2. Формат заголовка IPv6? Значение 4-разрядного поля номера версии (version) равно 6. Данное поле занимает первые 4 бита первого байта заголовка (так же как и в версии IPv4, см. рис. А.1), поэтому если получающий стек
А.5. Адресация IPv6
А.5. Адресация IPv6 Адреса IPv6 содержат 128 бит и обычно записываются как восемь 16-разрядных шестнадцатеричных чисел. Старшие биты 128-разрядного адреса обозначают тип адреса (RFC 3513 [44]). В табл. А.4 приведены различные значения старших битов и соответствующие им типы
Б.4. Переход на IPv6: 6to4
Б.4. Переход на IPv6: 6to4 Механизм перехода 6to4 (6на4) полностью описан в документе «Соединение доменов IPv6 через облака IPv4» (RFC 3056 [17]). Это метод динамического создания туннелей, подобных изображенному на рис. Б.2. В отличие от предыдущих механизмов динамического создания
Опции поддержки IPv6
Опции поддержки IPv6 Работа Internet обеспечивается за счет протоколов семейства TCP/IP, в частности, для передачи пакетов используется протокол IP (IPv4). К сожалению, на сегодняшний день уже невозможно игнорировать тот факт, что версия IPv4 устарела. Для представления IP-адреса в IPv4
8.1.3. Протокол IPv6
8.1.3. Протокол IPv6 Думаю, что основной момент настройки понятен, и теперь переходим к протоколу IPv6. Схема 32-разрядной адресации протокола IPv4 привела к дефициту IP-адресов. В новой версии протокола IP (IPv6, ранее именовавшегося IPng — IP next generation) адрес состоит из 16-ти октетов и
22.2 Обзор IPv6
22.2 Обзор IPv6 Протокол IPv6 имеет следующие характеристики:? Введен 128-разрядный адрес (16 октетов), который иерархически структурирован для упрощения делегирования прав выделения адресов и маршрутизации.? Упрощен главный заголовок IP, но определены многие необязательные
22.4 Адреса IPv6
22.4 Адреса IPv6 Адреса IPv6 имеют длину 16 октетов (128 бит). Для записи адресов используется компактная (хотя и уродливая) нотация. Адреса представлены как 8 шестнадцатеричных чисел, разделенных двоеточиями. Каждое шестнадцатеричное число представляет 16 бит.
22.6 Формат заголовка IPv6
22.6 Формат заголовка IPv6 Основной заголовок очень прост (см. рис. 22.2) и имеет немного полей: Version Версия. Равна 6 для IP следующего поколения. Priority Приоритет. Дифференцирует конкретное взаимодействие из общего трафика или определяет последовательность отбрасывания во время
22.7 Дополнительные заголовки IPv6
22.7 Дополнительные заголовки IPv6 Использование дополнительных заголовков (extension header) — это прогрессивная идея, позволяющая последовательно добавлять в IP версии 6 новые функциональные возможности.Напомним, что в заголовке IP версии 4 поле протокола служит для идентификации
22.8.3 Адреса интерфейсов IPv6
22.8.3 Адреса интерфейсов IPv6 Каждый интерфейс версии 6 имеет список соответствующих ему адресов. Как минимум, список содержит уникальный адрес локальной связи (link local address), имеющий формат: 1111111010 (10 бит) 00…00 Уникальный адрес технологии связи Каждому узлу необходим способ
Переход на версию IPv6 | Компьютерные сети
При разработке IPv6 была предусмотрена возможность плавного перехода к новой версии, когда довольно значительное время будут сосуществовать островки Интернета, работающие по протоколу IPv6, и остальная часть Интернета, работающая по протоколу IPv4. Существует несколько подходов к организации взаимодействия узлов, использующих разные стеки TCP/IP.
Наши партнеры:
— Возможно эта информация Вас заинтересует:
— Посмотрите интересные ссылочки вот тут:
- Трансляция протоколов. Трансляция протоколов реализуется шлюзами, которые устанавливаются на границах сетей, использующих разные версии протокола IP. Согласование двух версий протокола IP происходит путем преобразования пакетов IPv4 в IPv6, и наоборот. Процесс преобразования включает, в частности, отображение адресов сетей и узлов, различным образом трактуемых в этих протоколах. Для упрощения преобразования адресов между версиями разработчики IPv6 предлагают использовать специальный подтип 1Ру6-адреса — 1Ру4-совместимый 1Ру6-адрес, который в младших 4-х байтах переносит 1Ру4-адрес, а в старших 12 байтах содержит нули (рис. 1). Это позволяет получать ПЧ4-адрес из ПЧб-адреса простым отбрасыванием старших байтов.
Рис. 1. Преобразование IPv6 в IPv4
Для решения обратной задачи — передачи пакетов IPv4 через части Интернета, работающие по протоколу IPv6, — предназначен 1Ру4-отображенный 1Ру6-адрес. Этот тип адреса также содержит в 4-х младших байтах 1Ру4-адрес, в старших 10-ти байтах — нули, а в 5-м и 6-м байтах 1Ру6-адреса — единицы, которые показывают, что узел поддерживает только версию 4 протокола IP (рис. 2).
Рис. 2. Преобразование IPv4 в IPv6
- Мультиплексирование стеков протоколов. Мультиплексирование стеков протоколов означает установку на взаимодействующих хостах сети обеих версий протокола IP. Обе версии стека протоколов должны быть развернуты также на разделяющих эти хосты маршрутизаторах. В том случае, когда IPv6-xoct отправляет сообщение 1Ру6-хосту, он использует стек 1Ру6*Га если тот же хост взаимодействует с IPv4-xoctom — стек IPv4. Маршрутизатор с установленными на нем двумя стеками называется маршрутизатором IPv4/IPv6, он способен обрабатывать трафики разных версий независимо друг от друга.
- Инкапсуляция, или туннелирование. Инкапсуляция — это еще один метод решения задачи согласования сетей, использующих разные версии протокола IP. Инкапсуляция может быть применена, когда две сети одной версии протокола, например IPv4, необходимо соединить через транзитную сеть, работающие по другой версии, например IPv6 (рис 3) При этом пакеты IPv4 помещаются в пограничных устройствах (на рисунке роль согласующих устройств исполняют маршрутизаторы) в пакеты IPv6 и переносятся через «туннель», проложенный в IPv6-ceTH. использоваться для переноса пакетов IPv6 через сеть маршрутизаторов IPv4.
Рис. 3 Согласование технологий IPv4 и IPv6 путем туннелирования (инкапсуляции)
Переход от версии IPv4 к версии IPv6 только начинается. Сегодня уже существуют фра менты Интернета, в которых маршрутизаторы поддерживают обе версии протокола. Эт фрагменты объединяются между собой через Интернет, образуя так называемую маг страль бВопе.
Причины и проблемы перехода на IPv6 Текст научной статьи по специальности «Компьютерные и информационные науки»
Причины и проблемы перехода на IPv6
Дул идо в Егор Алексеевич
Студент СамГТУ, Россия, г.Самара Email: [email protected] Холуянов Алексей Евгеньевич Студент СамГТУ, Россия, г.Самара Email: [email protected] Нуянзин Олег Сергеевич Студент СамГТУ, Россия, г.Самара Email: [email protected] Научный руководитель: Золин Алексей Георгиевич Кафедра Информационных технологий, СамГТУ
Россия, г.Самара
Введение
В настоящее время 4 миллиарда 1Ру4-адресов уже закончились. Переход на протокол IPv6 позволит получить 3,4*1038 устройств. В будущем, всё больше устройств будут подключены к интернету ведь у каждого человека зачастую имеется не одно устройство, которому требуется доступ в интернет, а ведь с каждым годом все больше и больше людей получают доступ во всемирную сеть
Последнее десятилетие между интернет-провайдерами и владельцами крупных интернет-ресурсов идет неспешное обсуждение о том, кто ответственен за продвижение IPv6 в «массы», интернет-провайдеры ссылаются на то, что нет смысла во внедрении IPv6, так как количество IPv6 ресурсов существенно меньше, чем IPv4 ресурсов. Ресурсы в свою очередь утверждают, что отсутствует большое количество IPv6 пользователей и, соответственно, нет смысла включать поддержку IPv6 на сайтах.p. Reseaux IP Européens + англ. Network Coordination Centre) в Европе. В апреле 2011 года APNIC раздала все выделенные региону IPv4 адреса, кроме последней сети /8 (т.е. 224 или 16777216 адресов) и перешла в специальный режим распределения последних адресов. В европейском сегменте раздача адресов произошла к сентябрю 2012 года, и RIPE также перешёл в специальный режим выделения последних адресов. Российская ИТ-компании Яндекс достался последний блок 5.255.192.0/18 (и, соответственно, адрес 5.255.255.255) перед переходом в специальный режим.
Общие сведения об IPv6
IPv6 (от англ. Internet Protocol version 6) — новая версия протокола IP, цель которой решить проблемы своей предыдущей версии IPv4 за счёт использования 128 битного формата длины адреса вместо 32 битного формата, который использовался в IPv4. Протокол был разработан !ЕТР(Инженерный совет Интернета (от англ. Internet Engineering Task Force).
В данный момент протокол IPv6 распространен значительно меньше устаревшего IPv4, на конец 2012 года его процент в сетевом трафике составлял около 1%.
После того, как закончилось адресное пространство IPv4, начались активные попытки интеграции IPv6 в существующую инфраструктуру IPv4 с перспективой полного перехода адресное пространство в IPv6[1].
Причины для перехода
В тот момент когда проблема нехватки IPv4 становилась все более актуальной и обсуждаемой, провайдеры стали использовать технологию NAT (от англ. Network Address Translation — «преобразование сетевых адресов»). К сожалению, решением это не стало. Когда за одним NAT скрывается слишком большое количество различных устройств, сайты могут идентифицировать таких пользователей как роботов, которые создают нагрузку на ресурс и, соответственно, принять меры по защите от подобных действий.
В частности, такая проблема приобрела массовый характер в Беларуси. После перехода RIPE в специальный режим распределения адресов из последнего блока 18. Белорусские провайдеры, оказавшись в условиях нехватки IPv4 адресов, увеличили количество пользователей за счет NAT. В конечном счете некоторые интернет-ресурсы идентифицировали активность NAT-пользователей за деятельность роботов и полностью блокировали IP-адрес (и, соответственно, всех пользователей NAT) или увеличили интенсивность показа Капчи
(от САРТСНА —англ. Completely Automated Public Turing test to tell Computers and Humans Apart — полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей). Результатом, неготовности провайдеров к исчерпанию IPv4 адресов стало существенное снижение качества доступа во «всемирную паутину» для конечных пользователей. Подобная проблема существует так же для почтовых систем: большие NAT-пулы означают, что письма, отправленные пользователем в NAT, могут быть приняты за спам и не дойти до адресата[2].
Проблемы
Существование DNS (Domain Name System) избавляет обычного пользователя от необходимости задумываться о числовых IP-адресах. Она позволяет присваивать любому IP-адресу домен (символьное имя). Преобразование символьного имени в числовое и наоборот осуществляется DNS-серверами. На них содержится информация о каждом домене. Она представлена в виде ресурсных записей, каждая из которых принадлежит конкретному доменному имени и содержит ряд сведений о нем, в том числе его IP-адрес. До начала внедрения IPv6 адресов имелось 20 типов записей, которые относились к 32-разрядным IP-адресам (записи «А»), результатом чего была несовместимость IPv6 и DNS.
В последствии был определен новый тип ресурсной записи «АААА», который хранит 128-битный IPv6 адрес. Адрес определен в информационной части записи и в виде имени представляется в специально созданном домене ip6.int. Это имя выглядит как набор символов, разделенных точками, и заканчивается суффиксом ip6.int.
Клиент, который направляет с устройства запросы на DNS-сервер, должен распознавать записи не только об адресах IPv4, но и об адресах IPv6. Получив запрос, DNS-сервер должен определить тип ресурсной записи («А» или «АААА») и отправить ее устройству. Распознавая запись, устройство выбирает для передачи данных соответствующий протокол (протокол IPv4 или протокол IPv6).
Когда 1Ру4-совместимый адрес назначается какому-либо узлу, в DNS создается две ресурсных записи: «АААА» и «А». Первая отображает этот адрес в 128-битном формате, а вторая — в 32-битном. Это позволяет устройствам, которые не способны работать одновременно с двумя протоколами получать либо только IPv6 адреса, либо только на IPv4 адреса.
Переход на IPv6
Технология протокола IPv6 предлагает более надежный набор характеристик и значительно увеличивает пул глобальных IP-адресов по сравнению с IPv4, одновременно позволяя упрощать не только администрирование сети, но и решать проблемы связанные с безопасностью и мобильностью, а также улучшать качество сервиса (Quality of Service, QoS). Реализуются возможности основанные технологии трансляции IPv4 в IPv6. Цель разработки данных технологий — помочь заказчикам внедрять технологию IPv6 без дорогостоящей и длительной замены существующей инфраструктуры
приложений IPv4. Кроме того, заказчики, использующие устройства, которые способны поддерживать только протокола IPv6, смогут подключать их существующей инфраструктуре на IPv4. В результате организации получают возможность обслуживать новое поколение клиентских систем на базе IPv6.
Заключение
В настоящее время вопрос перехода на протокол IPv6 стоит довольно остро, так как с каждым годом увеличивается как количество людей получающих доступ к сети интернет, так и количество устройств у этих людей. На примере Беларуси стало понятно, что технологии NAT не могут быть решением данной проблемы. Фактически провайдеры были абсолютно не готовы к данной проблеме, что в конечном итоге отразилось на конечных пользователей. Процесс перехода на IPv6 уже начался в крупных IT компаниях, таких как Google. Переход на IPv6 требует решения многих проблем, но наиболее значимая — проблема совместимости оборудования IPv4 и IPv6. В связи с тем, что построение отдельной сети IPv6 это довольно трудоемкий и материально затратный процесс, наибольшую актуальность сейчас имеет оборудование, которое, работая на IPv6, позволяет интегрировать его в существующую инфраструктуру IPv4.
Использованная литература:
1. https://ru.wikipedia.orq/wiki/IPv6
2. http://habrahabr.ru/company/yandex/bloq/215535/
Шесть шагов к IPv6 (2020)
Первый — немного предысторииАгентство по присвоению номеров в Интернете (IANA) — это организация, ответственная за выдачу IP-адресов для Интернета. IANA объявила, что доступные IPv4-адреса, те, с которыми мы сегодня наиболее знакомы с четырьмя группами номеров, подошли к концу. В рамках IANA существует пять регионов по всему миру (известных как RIR), каждый из которых предоставляет IP-адреса для устройств в этом регионе.3 февраля 2011 г. IANA распространила последние блоки / группы адресов IPv4, один блок адресов / 8, в каждый регион. . APINC (Азиатско-Тихоокеанский регион) был первым, который закончился в 2011 году, и с тех пор разработал меры, чтобы продлить их как можно дольше. LACNIC (Латинская Америка) затем закончился в 2014 году ARIN (Северная Америка) исчерпал свой свободный пул адресов в 2015 году. RIPE (регион Европы) закончился 25 ноября 2019 года.AFRINIC (Африка) — единственный RIR, который еще не исчерпал свой запас, но неизбежно, что эти адреса в конечном итоге будут использованы.
Введите IPv6IPv6 — это решение проблемы с IP-адресами. Это не новый стандарт, но тот, который в последние годы в значительной степени игнорировался из-за того, что все еще осталось так много адресов IPv4. Это время прошло. Продолжение игнорирования IPv6 может вызвать любое количество потенциальных проблем, включая невозможность перехода на IPv6, когда выбора больше нет, полную потерю подключения к Интернету и потерю конкурентоспособности с другими организациями, системы которых настроены на IPv6 и готовы перейти к следующему поколению адресации и использования Интернета.
К счастью, IPv4 и IPv6 могут сосуществовать в сети, и это очень хорошо, так как переход займет годы. Это означает, что организации должны будут поддерживать оба эти направления, по крайней мере, в промежуточный период, чтобы продолжать полноценную работу в Интернете. Этот метод одновременной поддержки обеих версий IP известен как двойное стекирование. Он был разработан из-за ограничений IP-версий, в частности, между собой. IPv4 и v6 несовместимы и вообще не могут разговаривать друг с другом.Таким образом, необходимо поддерживать поддержку обоих, чтобы использовать их одновременно в процессе миграции. Слишком быстрое движение или поддержка только одного или другого почти гарантированно приведет к потере связи или коммуникации до тех пор, пока не будет завершено полное переключение мира. Чтобы помочь организациям с этим переходом, потребуются решения для управления IP-адресами (IPAM). Это программы или пакетные решения, которые находят IP-адреса в сетях и помогают администраторам решать такие задачи управления, как то, что используется, доступно и как консолидировать.Решение в этом случае требуется из-за очень большого количества адресов в IPv6, когда электронная таблица или другой ручной процесс не будет большим или достаточно быстрым.
В этом документе будут рассмотрены преимущества перехода на IPv6 раньше, чем позже. Кроме того, будет представлен и обсужден IPAM по его назначению, а также подход и план перехода.
История IP-адресовIPv4 появился в 1970-х годах, что делает его довольно устаревшим с точки зрения технологий.Он использует 32-битные адреса, каждые 8 бит составляют один октет адреса (или одно число). Конечно, тогда Интернет был не таким большим и использованным, как сегодня. В то время эта схема была огромной, но в эпоху технологического Интернета она стала очень маленькой. Со временем все адреса просто раздавались для различных целей — от крупных организаций до служб веб-хостинга; все в Интернете должно иметь какой-либо адрес, выходящий в Интернет. Трансляция сетевых адресов (NAT) была разработана для замедления истечения срока действия IPv4, позволяя этим общедоступным адресам преобразовываться в частные адреса внутри организаций.Это означает, что, хотя вы видите один адрес снаружи, на самом деле это другой (потенциально один из тысяч) внутри, но для нас это не имеет значения, потому что эта система переводит адреса и позволяет нам просматривать контент. Однако это по-прежнему не создавало новых публичных адресов, а только отсрочивало неизбежное. Это также вызвало сложности из-за добавления еще одного звена в цепочку для соединения людей и информации через Интернет. Вместо того, чтобы идти прямо к нему, вы отправились по адресу, были переведены на адрес NAT, отправлены туда, куда вы действительно хотели пойти, и промыли и повторили почти все.
Примечание : как насчет IPv5?
Теперь здесь идет IPv6 и огромный объем адресов, использующих 128 бит. При увеличении в 4 раза размера и использовании шестнадцатеричного (0-F), а не двоичного (0 или 1) кодирования количество потенциальных адресов увеличивалось экспоненциально. Точнее говоря, количество адресов выражается в ундециллионах, что составляет 39 цифр. Ожидается, что он будет предоставлять адреса для каждого устройства в Интернете индивидуально, и срок его действия не истекает в течение 200–300 лет. Это также устранит необходимость в NAT, поскольку он может адресовать каждое устройство, которое устанавливает прямые соединения между ними, а добавление сложности NAT к этому количеству адресов будет практически невозможным для работы.
С новым IPv6 также добавлены новые функции, такие как включение мобильных и встроенных приложений, которым сегодня просто не хватает места в Интернете с адресами. Кроме того, он может обрабатывать кадры большого размера, качество обслуживания, семейства адресов и имеет встроенный IPSEC. Большинство из них средний пользователь не будет знать или когда-либо будет иметь дело с собой, но следует отметить, что мы используем их каждый день для различных целей, таких как телефоны и обмен файлами, и улучшения, вероятно, будут заметны, когда все это будет перенесено.Если по какой-либо другой причине, подключение напрямую к другим адресам IPv6 будет быстрее, чем через преобразование и переход по адресам, которые существуют сегодня.
Зачем внедрять IPv6 сегодняТак зачем кому-то беспокоиться об IPv6 прямо сейчас? Вам следует позаботиться о том, чтобы адресное пространство IPv4 было исчерпано. По состоянию на январь 2020 года развертывание IPv6 во всем мире составляет более 30%, а в США — более 42%. Основные поставщики услуг развернули существенное развертывание IPv6.Например, по состоянию на 2018 год Comcast достиг 66% развертывания IPv6, а T-Mobile USA — 93%.
Если у вашей организации уже есть план, вы идете по графику. Однако большинство из них даже не приступили к планированию и должны начать как можно скорее. Чтобы начать процесс планирования, организациям следует провести инвентаризацию адресов IPv4 в своей сети и способов их использования, оценить устройства на совместимость с IPv6 и начать разработку плана, ориентированного на конечные точки IPv6 и адреса отдельных устройств.Это также всего лишь разумное планирование на будущее в целом, поскольку, как только IPv6 станет стандартом, IPv4 в конечном итоге уйдет, и организации все еще будут использовать его вне Интернета.
Другие преимущества, помимо пребывания в сети и в Интернете, можно найти, планируя и внедряя уже сегодня. Использование новейших технологий дает преимущества, особенно когда старые технологии не могут использовать их, как в данном случае. Возможность обрабатывать трафик IPv6 означает, что все остальные, которые могут просматривать соединения IPv6, будут использовать вашу организацию, а не другую организацию, которой не хватает позади.Это также снижает риски и затраты за счет интеграции перехода сейчас с другими и будущими проектами, вместо того, чтобы продолжать использовать стандарт IPv4 сейчас, а потом все заново переделывать.
Проблемы миграции IPv6Переход вашей организации на IPv6 потребует значительного времени и усилий. Такие инструменты, как IPAM, станут стандартными, но это также будет во многом зависеть от ваших собственных знаний о вашей системе и от того, насколько тщательно вы спланировали. При планировании миграции следует учитывать несколько факторов.
Совместимость аппаратного и программного обеспеченияВы должны убедиться, что ваше существующее оборудование, особенно основное коммуникационное оборудование, которое соединяет вашу сеть со всем остальным и самим собой, должно поддерживать IPv6. Это может быть так же просто, как патч или обновление прошивки, или может потребоваться совершенно новое оборудование или программное обеспечение. Если это критично и необходимо, лучше узнать сейчас, а не выяснять, когда это не сработает. Однако с 2020 года все основные операционные системы поддерживают IPv6.Если вы управляете программными приложениями, разработанными внутри компании или имеющими коммерческие источники, вам может потребоваться другой элемент, поскольку IPv6 может не поддерживаться в самом приложении. Возможно, вам придется обновить свое программное обеспечение и / или выделить ресурсы для устранения недостатков, связанных с совместимостью.
Длина и объем IPv6-адресаДалее идет IPAM для помощи и управления схемой адресации IPv6. IPv6 в шестнадцатеричном формате и невероятно большой, что означает неудобство для пользователя.Даже сетевые администраторы и те, кто хорошо знаком с управлением компьютерами и сетями, скорее всего, столкнутся с трудностями, что в конечном итоге приведет к ошибкам и каскадным проблемам. Длина адресов также вызовет проблемы для служб DHCP и DNS, то есть они должны будут иметь возможность обрабатывать именование и адресацию IPv6 (DHCP6 уже определен как предпочтительный). IPAM может не только обрабатывать большой объем и длину адресов, но также интегрироваться в службы DHCP и DNS, чтобы помочь управлять ими.Стратегия работы с этим новым протоколом заключается в использовании параметров метаданных для определения пулов распределения, а также в наличии надежных параметров API / GUI для различных ролей в вашей организации.
Интерфейс IPv6-адресов АдресацияIPv6 также изменилась с IPv4, и администраторы должны понимать это изменение в случае, если когда-либо требуется несколько адресов на интерфейсе, а также ознакомиться с новым словарем. Есть много новых типов адресов, похожих на те, что мы знаем сегодня.Вкратце, глобальная одноадресная передача указывает на уникальный публичный адрес. Локальные уникальные частные IP-адреса — это уникальные частные одноадресные адреса. Адреса локальных ссылок аналогичны немаршрутизируемым IPv4-адресам и не покидают сеть. Наконец, локальный шлейф в IPv6 определен как «:: 1 ″. В целом это та же функциональность, только в гораздо большем масштабе. То, как это написано, является одним из основных отличий, которые имеют тенденцию запугивать организации.
Двойное стекирование с IPv4 и IPv6Двойной стек означает запуск IPv4 и IPv6 в одной сети.Он дает IPv6-совместимым устройствам выбор, какие использовать, и, хотя он по-прежнему ограничен количеством доступных IPv4-адресов, имеет то преимущество, что развертывание IPv6 готово к миграции. Это среда, в которой организации, скорее всего, будут работать до полного перехода на IPv6. Существуют и другие варианты, такие как «6to4», которые передают IPv6 поверх IPv4, но имеют такое же ограничение количества адресов IPv4 без готовности к развертыванию IPv6. Туннелирование также решит проблему связи, но из-за маскировки трафика заставляет проблемы оставаться незамеченными, пока не станет слишком поздно.Также нет необходимости запускать обе версии IP, но, как напомним ранее, использование только одной, вероятно, вызовет в какой-то момент нарушение и потерю связи с Интернетом и клиентами.
Насколько точно IPAM вписывается во все этоIP Address Management (IPAM) — это решение, которое управляет IP-адресами в сети. Он может определить, что доступно, что используется, и показать способы их объединения. Что еще более важно, он достаточно надежен, чтобы обрабатывать огромные размеры адресов IPv6.Само по себе это является основным фактором миграции IPv6, но, кроме того, он также интегрируется и объединяет службы DNS и DHCP, имея возможность предоставлять практически любое представление, которое только можно вообразить, которое имеет дело с IP-адресацией, особенно огромную длину и объем IPv6, предлагая значительные Экономия времени и усилий по сравнению с ручными, самодельными решениями или решениями с таблицами, не предназначенными для работы с этими новыми функциями. Давайте более подробно рассмотрим некоторые области, в которых IPAM поможет в переходе на IPv6, а также шесть шагов по переходу на IPv6.
Шаг 1. Откройте для себя свою IP-сетьПервым шагом и примечательной особенностью IPAM является обнаружение. IPAM может сначала определить объем IPv4, существующий, используемый и доступный в сети с помощью автоматизированного инструмента. Он также может провести тщательную инвентаризацию узлов в сети (узлами являются ПК, принтер, все, что подключено к сети). Это позволит IPAM определять, что IPv6 готов, включено и несовместимо. Подробная информация из этой инвентаризации будет включать то, что необходимо обновить или заменить в отношении оборудования и программного обеспечения.Заключительный этап обнаружения касается DHCP и DNS, чтобы убедиться, что они совместимы с IPv6 и могут разрешать и распределять адреса IPv6. Цель обнаружения IPAM — знать, как выглядит ваша сеть, и ее возможности в отношении IPv6 в лучшую или худшую сторону, чтобы можно было строить планы сейчас, а не позже, когда время простоя станет гораздо более вероятным.
Шаг 2. Планируйте внедрение IPv6Следующим шагом является планирование с использованием информации обнаружения IPAM. Эти планы могут быть простыми, как тесты, или полномасштабными проектами для развертывания.После обнаружения они могут включать в себя то, что нужно приобрести для обновления или замены оборудования или программного обеспечения, учебные курсы для поддержки администраторов и пользователей или полный план организационных требований высокого уровня. Однако основная идея состоит в том, чтобы определить, что нужно изменить или модифицировать, и как лучше всего выполнить эти задачи с наименьшими затратами времени и средств. Как предлагалось ранее в этом документе, интеграция миграции IPv6 в существующие технологические планы устраняет необходимость делать что-то дважды, что немедленно сокращает как время, так и затраты, а также реализует миграцию в течение определенного периода времени.Это также будет включать в себя команды и роли, разработанные специально для выполнения этих задач, а также решение общей миграции как группы со структурой. Если планирование выполнено эффективно, IPAM сможет помочь, когда оно будет завершено, отслеживая IPv6 так же, как это было с IPv4, за исключением деталей аппаратного и программного обеспечения. Он будет знать, где находятся сети IPv6, их диапазоны DHCP, и сможет отображать их логически. Важно отметить, что эта часть IPAM носит скорее технический характер и лучше всего работает с опытом.Если ресурсы в вашей организации недоступны, лучше всего обратиться к специалисту по IPAM и поставщику решений. Гораздо лучше добавить небольшую стоимость сейчас, чем большую позже.
Шаг 3. Моделирование новой сети с двойным стекомТеперь, когда обнаружение и моделирование завершено, мы будем использовать IPAM для создания модели миграции. Это определит, как IPv6 будет выглядеть в вашей сети после завершения. Важно использовать моделирование, чтобы определить влияние внедрения адресов IPv6 в сеть, которое может потребовать изменений в маршрутизаторах, интерфейсах, политиках безопасности и т. Д.Инструменты IPAM помогут сопоставить данные IP с бизнес-логикой, такой как отделы, приоритеты или инфраструктура, с помощью визуальных карт и моделей потенциальной новой инфраструктуры. Конкретные функции будут включать создание сетей / 64 и / 128 и обновление DNS, а также создание / сегментирование блоков адресов IPv6. На этом этапе настоятельно рекомендуется испытательная или лабораторная среда, чтобы избежать любого повреждения или простоя производственной сети.
Шаг 4 — Совместное сопоставление IPv4 и IPv6Завершив моделирование и получив хорошее представление о том, как IPv6 будет внедрен в сеть, пора составить карту.Это означает сопоставление устройств IPv4 с их адресами IPv6 и наоборот. Роль IPAM в этой области заключается в помощи в визуализации текущей сети IPv4 и предлагаемой сети IPv6 вместе с двойным стеком. Чтобы отслеживать устройства с двойным стеком в сети, вам по-прежнему требуется один общий объект между адресами v4 и v6 для устройства (MAC и имя хоста DNS работают хорошо), из которых IPAM может автоматически захватывать MAC-адреса. Таким образом, IPAM создает единую точку, в которой можно отслеживать хосты, хотя они по-прежнему используют два разных адреса.На этом этапе внедрения организации также могут изменить свою схему IP, если захотят, поскольку в это время все равно отображаются адреса. Однако будьте очень осторожны, если в данный момент выбрана переадресация схемы. Проблемы могут возникнуть, если все не отображается правильно, особенно если в сети две отдельные схемы адресов, которые не коррелируют.
Шаг 5 — Реализация плана, модели и отображенияКогда этапы планирования завершены, пришло время внедрить двойной стек.Основные компоненты здесь используют всю информацию IPAM до этого момента и следуют плану до успешной реализации. Конечно, никто не может все спланировать, и, несмотря на самое тщательное планирование, могут быть ошибки или могут возникнуть непредвиденные обстоятельства. IPAM готов помочь и здесь, быстро настроив новые сегменты адресов IPv6, которые должны работать автоматически, поскольку IPv6 DNS является частью реализации. В противном случае это нужно будет делать вручную. После внедрения важно проверить сетевые функции, чтобы убедиться, что они работают правильно.Такие элементы, как политики безопасности и другие зависимые системы, зависящие от IPv4, могут нуждаться в изменении для устранения любых проблем с подключением или уязвимостей.
Шаг 6. Управляйте своей новой сетью с двойным стекомВсе проекты и развертывания требуют обслуживания, и этот вариант ничем не отличается. Продолжение использования IPAM для отслеживания и управления адресацией IPv6 и сетью сократит чрезмерное время и усилия, необходимые для управления сетью с двойным стеком и самой сетью IPv6.Используя некоторые из тех же инструментов, которые использовались в процессе реализации, он также будет полезен для устранения множества проблем, от общих проблем с подключением до проблем безопасности и соответствия политикам. Интеграция служб DNS и DHCP с IPAM также поможет предоставить еще больше информации через решение IPAM, повысив его важность и функциональность для вашей организации.
ВкратцеIPv6 уже здесь. По состоянию на 2020 год у всех RIR, кроме AFRINIC, закончились адреса IPv4.Ожидание адресации IPv6 несет в себе значительный риск для организации в связи с потерей связи и потенциальной потерей доходов и клиентов. Разумно начинать планировать будущее прямо сейчас. К счастью, это не так сложно, как кажется, и при тщательном планировании миграция и внедрение IPv6 могут быть гладкими и легкими.
Однако выполнение этой задачи по-прежнему потребует времени и усилий со стороны организации. Сеть должна быть проанализирована и спланирована для сети IPv6. IPAM может помочь в этом, используя несколько автоматизированных инструментов, представлений и других интегрированных сетевых функций для выполнения множества задач.Сюда входит определение того, как IPv6 впишется в существующую сеть, что необходимо изменить, как он будет выглядеть до и после внедрения, и даже помочь в будущем управлении. Хотя IPv6 не является абсолютно необходимым для работы или перехода на него, для вашей организации настоятельно рекомендуется использовать IPv6 быстро и эффективно, с минимальным прерыванием и максимальной эффективностью.
Миграция IPv6 с IPv4: Практическое руководство (с бонусом)
Интернет изначально был разработан для поддержки сквозного соединения i.32 бита) адресов IPv4 показалось много.
Однако с взрывным ростом Интернета (в основном из-за всемирной паутины и распространения вычислительных устройств) стало ясно, что адреса IPv4 в конечном итоге закончатся. Было внедрено несколько механизмов для замедления исчерпания адресного пространства IPv4, в том числе:
В то же время, чтобы обеспечить более постоянное решение, в 1998 году была также предложена и стандартизирована новая версия Интернет-протокола — IP версии 6 (IPv6) .IPv6 использует 128-битные адреса, которые (теоретически) предоставляют МНОГО IP-адресов — в миллион раз больше IP-адресов, чем предполагаемое количество песчинок в мире.
Проблемы / препятствия миграции IPv6
Правы те, кто прогнозировал истощение адресного пространства IPv4 . Из пяти (5) региональных интернет-реестров (RIR), которым поручено выделять общедоступные IPv4-адреса, только один RIR (AFRINIC) все еще имеет IPv4-адреса для распределения, и, по прогнозам, они будут исчерпаны к июлю 2018 года.
Примечание : Несмотря на то, что RIR исчерпали адреса IPv4, все еще существуют нераспределенные блоки, доступные у различных интернет-провайдеров (ISP) по всему миру. Различные RIR также имеют политики передачи для перемещения IP-адресов между объектами (пример здесь).
Итак, если IPv4-адреса действительно исчерпаны, почему IPv6 составляет менее 20% интернет-трафика? В этом разделе мы рассмотрим несколько причин.
Эффективность обходных путей
CIDR, частный IP-адрес и особенно NAT в его различных формах хорошо сработали, чтобы смягчить влияние исчерпания IPv4-адресов .
Хотя это может быть приемлемым для существующих организаций, новая организация может столкнуться с трудностями при получении общедоступного блока IPv4 из-за истощения адресного пространства IPv4. Кроме того, многие организации (например, Facebook) уже переходят или в конечном итоге перейдут на IPv6. Это означает, что многие службы (к которым вам нужен доступ) в конечном итоге будут доступны только через IPv6. Если вы все еще используете IPv4, возможно, вы не сможете получить доступ к этим службам или, по крайней мере, это может повлиять на качество доступа.
Side talk : Как мы увидим позже в этой статье, есть нечто, называемое Dual Stack , где IPv4 и IPv6 поддерживаются одновременно, и это рекомендуемый подход для перехода на IPv6. Планируется поддерживать оба протокола до тех пор, пока IPv4 в конечном итоге не будет прекращен. Однако вопрос о том, будет ли когда-либо полностью прекращен IPv4, остается без ответа. Никто из «больших парней» ничего не упомянул о полном отказе от IPv4, хотя некоторые интернет-провайдеры прекратили выдачу адресов IPv4.
Отсутствие знаний IPv6
Существует общее непонимание IPv6, потому что это совершенно другая версия IP (не расширение) от IPv4 и не имеет обратной совместимости с IPv4 . Из-за этого многие организации не хотят раскачивать лодку. Образование и обучение могут помочь людям избавиться от этого страха.
Предполагаемые финансовые последствия
Поскольку IPv6 является «новым» протоколом, организации думают, что им придется потратить много денег на миграцию своих сетей.Однако правда заключается в том, что IPv6 на самом деле не нов — черновой вариант стандарта был выпущен еще в 1998 году. Это означает, что большинство устройств уже поддерживают IPv6 , и предполагаемая стоимость перехода на IPv6 может быть не такой дорогой, как реальная стоимость.
Как перенести вашу сеть с IPv4 на IPv6
На этом этапе мы предполагаем, что вы решили перевести свою сеть (или ее части) на IPv6. Таким образом, мы обсудим шаги, которые вы можете предпринять для достижения своей цели.
План, объем и цели проекта
Переход с IPv4 на IPv6 — серьезное дело, и к нему следует относиться соответствующим образом.Как и в любом стандартном проекте, у вас должен быть план, определение объема и целей проекта.
Например, глядя на цели перехода на IPv6, чего вы хотите достичь? Некоторые сценарии включают:
- Получите блок адресов IPv6, чтобы внутренние пользователи в вашей сети, которые хотят поэкспериментировать с IPv6, могли получить доступ к службам IPv6 в Интернете
- Включите IPv6 только во внутренней сети. Это означает, что все коммуникации в вашей сети будут использовать IPv6; однако пользователи по-прежнему имеют доступ к Интернету только с IPv4.
- Включите IPv6 на границе вашей сети, чтобы внешние пользователи могли получить доступ к вашим службам (например, веб-серверу) с помощью IPv6.
На этом этапе миграции вам нужно создать команду , которая будет отвечать за проект. Поскольку может быть трудно оправдать переход на IPv6, получение поддержки со стороны высшего руководства также очень важно для успеха такого проекта.
Оценка готовности сети
Следующий шаг — выполнить аудит вашей сети (аппаратного и программного обеспечения), чтобы определить три основных момента:
- Какие сетевые компоненты поддерживают IPv6 i.е. IPv6 поддерживается на сетевых устройствах и уже активирован или может потребовать активации
- Какие сетевые компоненты необходимо обновить для поддержки IPv6
- Какие сетевые компоненты необходимо заменить для поддержки IPv6
Давайте рассмотрим несколько примеров по пунктам выше. Глядя на первый пункт, большинство ОС Windows уже поддерживают IPv6. В некоторых версиях (например, Windows 7 и 8) по умолчанию включен IPv6 . Рассматривая второй экземпляр, вам, возможно, придется обновить версии IOS некоторых из ваших маршрутизаторов Cisco, чтобы они могли поддерживать IPv6.Наконец, если у вас есть устаревшие системы / программное обеспечение, которые были разработаны для использования только с IPv4, вам, возможно, придется заменить эти системы / программное обеспечение, если они подпадают под объем вашего проекта.
На этом этапе проекта финансовые последствия перехода на IPv6 должны стать очевидными. Имейте в виду, что стоимость не должна ограничиваться только сетевыми устройствами и программным обеспечением; Также необходимо учитывать эксплуатационные расходы, обучение и т. д.
План адресации
Размер IPv6-адресов может быть огромным, поэтому рекомендуется иметь план для распределения блока IPv6-адресов в вашей организации.
В зависимости от размера вашей организации и ISP / RIR, у которого вы запрашиваете блок адресов IPv6, получаемый вами блок будет отличаться. Предположим, вы получили от своего интернет-провайдера блок /48 . Если вы хотите придерживаться рекомендации, что последние 64 бита IPv6, это означает, что у вас есть 16 бит для создания подсетей. Вы можете разделить эти 16 бит на разные части, представляющие регионы, местоположения, тип и так далее.
Здесь есть хороший документ, в котором подробно обсуждается план адресов IPv6.Об адресах IPv6 следует отметить то, что вам не нужно быть таким консервативным, как с IPv4. Насколько это возможно, планируйте адресацию IPv6 таким образом, чтобы было легко объединить адресов , тем самым уменьшив размер таблицы маршрутизации и снизив влияние на производительность маршрутизатора.
В зависимости от объема вашего проекта вам также может потребоваться определить, как конечные устройства будут получать адреса IPv6. Возможные варианты:
Переход на IPv6
Большинство организаций в настоящее время сильно полагаются на IPv4, и перейти на IPv6 за один день будет невозможно.Таким образом, должен быть способ постепенного перехода с IPv4 на IPv6. Это означает, что в большинстве случаев IPv4 и IPv6 будут сосуществовать, и это, вероятно, будет долгое время. Мы посвятим следующий раздел этой статьи методам перехода.
Другие соображения
При переходе с IPv4 на IPv6 необходимо учитывать еще несколько моментов. Первым в списке стоит Routing . Так же, как в IPv4 была статическая маршрутизация, маршрутизация по умолчанию и динамическая маршрутизация, IPv6 также поддерживает все эти типы маршрутизации.Что касается динамической маршрутизации, то протоколы маршрутизации, с которыми мы знакомы по IPv4, также доступны для IPv6, включая OSPFv3 и EIGRPv6.
Примечание : OSPFv3 — это не то же самое, что OSPFv2, хотя они похожи.
Еще одно соображение — Security . Существует заблуждение, что IPv6 более безопасен, чем IPv4, но это не всегда так. Первоначально IPsec был обязательным для IPv6, но теперь его нет; теперь это необязательно. Это означает, что IPv6 также должен быть защищен, как и IPv4.Применяются те же методы безопасности: IPsec, ACL, межсетевые экраны с отслеживанием состояния и так далее. В этом документе от NIST подробно обсуждается безопасное развертывание IPv6.
Наконец, необходимо учитывать Services for IPv6 . Одной из самых важных из таких услуг является система доменных имен (DNS). Благодаря большей длине адреса в IPv6 DNS становится ценным сервисом не только для внешних, но и для внутренних пользователей. В отличие от записей «A», используемых для хранения адресов IPv4 в DNS, адреса IPv6 хранятся в записях «AAAA».
Методы перехода
Для облегчения перехода между IPv4 и IPv6 существует несколько методов, в том числе:
- Двойной стек : При использовании этого метода все сетевые устройства настроены как для IPv4, так и для IPv6. Несмотря на то, что это рекомендуемый подход, у него есть много преимуществ, но есть и недостатки. Например, стоимость использования двойного стека увеличивается как из-за емкости требуемых устройств, так и из-за административных операций.Другая проблема заключается в том, что все стороны на пути также должны поддерживать двойной стек, что может оказаться невозможным.
- Туннелирование : В этом случае один протокол инкапсулируется внутри другого протокола. Например, если у вас есть две сети IPv6, которым необходимо взаимодействовать друг с другом, но они подключены через сеть IPv4, трафик IPv6 может туннелироваться внутри пакетов IPv4 и передаваться по сети IPv4. Примеры туннельных технологий, поддерживающих переход IPv4-to-IPv6, включают настроенные / ручные туннели (6in4), быстрое развертывание IPv6 (6rd) и автоматическую адресацию туннелей внутри сайта (ISATAP)
- Преобразование : Этот последний метод включает в себя преобразование одного протокола в другой, что позволяет хостам IPv6 взаимодействовать с хостами IPv4.NAT64 и DNS64 являются общими механизмами трансляции между IPv6 и IPv4.
Примечание : Хотя мы обсуждали туннелирование и преобразование IPv6 поверх / в IPv4, обратный случай также возможен.
Лабораторный сценарий: пример настроенного туннеля
Настроенные туннели (также известные как ручные туннели, статические туннели, 6 на 4) не считаются гибкими, поскольку все настройки должны выполняться вручную. Однако они стабильны и просты в настройке и устранении неполадок.
Рассмотрим простую лабораторную установку, в которой у организации есть два сайта. Два сайта имеют внутреннюю поддержку IPv6, но соединены вместе через сеть IPv4 (например, интернет-провайдер поддерживает только IPv4).
В этом сценарии ручной туннель может быть настроен между граничными маршрутизаторами на обоих сайтах для передачи трафика IPv6 между ними. Давайте посмотрим на конфигурацию устройств по умолчанию (без туннеля).
INTERNET RTR
интерфейс FastEthernet0 / 0
ip-адрес 192.0.2.1 255.255.255.252
без выключения
!
интерфейс FastEthernet0 / 1
ip-адрес 192.0.2.5 255.255.255.252
без выключения
!
EDGE1
IPv6 unicast-routing
!
интерфейс FastEthernet0 / 0
без IP-адреса
IPv6-адрес 2001: DB8: ABCD: 1 :: 1/64
без выключения
!
интерфейс FastEthernet0 / 1
ip-адрес 192.0.2.2 255.255.255.252
без выключения
!
IP-маршрут 192.0.2.4 255.255.255.252 192.0.2.1
!
EDGE2
IPv6 unicast-routing
!
интерфейс FastEthernet0 / 0
без IP-адреса
IPv6-адрес 2001: DB8: ABCD: 2 :: 2/64
без выключения
!
интерфейс FastEthernet0 / 1
ip-адрес 192.0.2.6 255.255.255.252
без выключения
!
ip route 192.0.2.0 255.255.255.252 192.0.2.5
!
Как видите, маршрутизаторы EDGE с двойным стеком , то есть включены как IPv4, так и IPv6.На внутренних интерфейсах (Fa0 / 0) включен только IPv6; IPv4 включен на внешних интерфейсах (Fa0 / 1), подключающихся к Интернет-провайдеру (ИНТЕРНЕТ).
Конфигурация хост-устройств (смоделированная с помощью маршрутизаторов) очень проста — IPv6-адрес и IPv6-шлюз по умолчанию — как показано ниже:
HOST1
interface FastEthernet0 / 0
ipv6 address 2001: DB8: ABCD: 1: : 1000/64
без выключения
!
ipv6 route :: / 0 FastEthernet0/0 2001: DB8: ABCD: 1 :: 1
HOST2
интерфейс FastEthernet0 / 0
IPv6-адрес 2001: DB8: ABCD: 2 :: 2000/64
без выключения
!
ipv6 route :: / 0 FastEthernet0/0 2001: DB8: ABCD: 2 :: 2
Теперь мы можем настроить ручной туннель между EDGE1 и EDGE2.Необходимые параметры конфигурации включают адрес IPv6, источник туннеля, пункт назначения туннеля и режим туннеля ( ipv6ip ). Мы также включим EIGRPv6 для целей маршрутизации (также можно использовать статические маршруты).
EDGE1
интерфейс Tunnel12
без IP-адреса
IPv6-адрес 2001: DB8: ABCD: 12 :: 1/64
ipv6 eigrp 12
источник туннеля FastEthernet0 / 1
пункт назначения туннеля 192.0.2.6
режим туннеля ipv6ip
!
интерфейс FastEthernet0 / 0
ipv6 eigrp 12
!
ipv6 router eigrp 12
no shutdown
!
EDGE2
интерфейс Tunnel12
без IP-адреса
IPv6-адрес 2001: DB8: ABCD: 12 :: 2/64
ipv6 eigrp 12
источник туннеля FastEthernet0 / 1
пункт назначения туннеля 192.0.2.2
туннельный режим ipv6ip
!
интерфейс FastEthernet0 / 0
ipv6 eigrp 12
!
ipv6 router eigrp 12
no shutdown
!
Если все идет по плану, таблица маршрутизации IPv6 маршрутизаторов EDGE должна содержать подсеть IPv6 другой стороны. Например, вот таблица маршрутизации EDGE1:
EDGE1 # show ipv6 route
Таблица маршрутизации IPv6 - 6 записей
Коды: C - Подключен, L - Локальный, S - Статический, R - RIP, B - BGP
U - Статический маршрут для каждого пользователя, M - MIPv6
I1 - ISIS L1, I2 - ISIS L2, IA - ISIS между областями, IS - сводка ISIS
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
D - EIGRP, EX - EIGRP external
C 2001: DB8: ABCD: 1 :: / 64 [0/0]
через ::, FastEthernet0 / 0
L 2001: DB8: ABCD: 1 :: 1/128 [0/0]
через ::, FastEthernet0 / 0
D 2001: DB8: ABCD: 2 :: / 64 [90/297270016]
через FE80 :: C000: 206, Tunnel12
C 2001: DB8: ABCD: 12 :: / 64 [0/0]
через ::, Tunnel12
L 2001: DB8: ABCD: 12 :: 1/128 [0/0]
через ::, Tunnel12
L FF00 :: / 8 [0/0]
через ::, Null0
Кроме того, мы должны иметь возможность пинговать между хостами:
HOST1 # ping 2001: db8: abcd: 2 :: 2000
Введите escape-последовательность для прерывания.
Отправка 5 100-байтовых эхо-сообщений ICMP в 2001: DB8: ABCD: 2 :: 2000, тайм-аут 2 секунды:
!!!!!
Уровень успеха составляет 100 процентов (5/5), мин. / Сред. / Макс. Туда-обратно = 64/130/348 мс
Если мы захватим пакеты между EDGE1 и EDGE2, мы увидим, что ping-пакеты IPv6 (ICMPv6) инкапсулированы внутри пакетов IPv4.
Заключение
На этом мы подошли к концу этой статьи, где мы кратко обсудили IPv6 и некоторые вещи, о которых следует подумать при переходе с IPv4 на IPv6.
Как и любой проект, переход с IPv4 на IPv6 должен быть спланирован, правильно ограничен четко определенными целями . После этого также должна быть проведена оценка готовности сети для определения состояния сети для поддержки IPv6.
Определение плана адресации IPv6 на ранней стадии поможет в успешном выполнении проекта перехода на IPv6. Из-за размера адресов IPv6 (и назначенных блоков) нет необходимости быть столь консервативным с планом адресации IPv6.
В связи с тем, что IPv4 и IPv6, вероятно, должны будут сосуществовать в течение некоторого времени, доступно несколько механизмов перехода , включая двойной стек, туннелирование и трансляцию.
Наконец, необходимо учитывать другие факторы, такие как маршрутизация , безопасность и IP-сервисы .
Переход на IPv6 — Amazon Virtual Private Cloud
Если у вас есть существующий VPC, поддерживающий только IPv4, и ресурсы в вашей подсети которые настроены на использование только IPv4, вы можете включить поддержку IPv6 для своего VPC и Ресурсы.Ваш VPC может работать в режиме двойного стека — ваши ресурсы могут обмениваться данными через IPv4, IPv6 или и то, и другое. Связь IPv4 и IPv6 не зависит друг от друга.
Вы не можете отключить поддержку IPv4 для вашего VPC и подсетей; это IP по умолчанию система адресации для Amazon VPC и Amazon EC2.
Эта информация предполагает, что у вас есть существующий VPC с общедоступным и частным подсети.Для получения информации о настройке нового VPC для использования с IPv6 см. Обзор IPv6.
В следующей таблице представлен обзор шагов по включению VPC и подсетей. использовать IPv6.
Перед тем, как перейти на использование IPv6, убедитесь, что вы ознакомились с функциями IPv6. адресация для Amazon VPC: характеристики и ограничения IPv4 и IPv6.
Пример: включение IPv6 в VPC с общедоступным и частным подсеть
В этом примере у вашего VPC есть общедоступная и частная подсеть. У вас есть база данных экземпляр в вашей частной подсети, который имеет исходящую связь с Интернетом через шлюз NAT в вашем VPC.У вас есть общедоступный веб-сервер в вашем общедоступном подсеть, имеющая доступ к Интернету через Интернет-шлюз. Следующая диаграмма представляет архитектуру вашего VPC.
Группа безопасности для вашего веб-сервера ( sg-11aa22bb11aa22bb1
) имеет
следующие правила для входящих:
Тип | Протокол | Диапазон портов | Источник | Комментарий |
---|---|---|---|---|
Весь трафик | Все | Все | SG-33cc44dd33cc44dd3 | Разрешает входящий доступ для всего трафика от экземпляров, связанных с sg-33cc44dd33cc44dd3 (экземпляр базы данных). |
HTTP | TCP | 80 | 0.0.0.0/0 | Разрешает входящий трафик из Интернета через HTTP. |
HTTPS | TCP | 443 | 0.0.0.0/0 | Разрешает входящий трафик из Интернета по HTTPS. |
SSH | TCP | 22 | 203.0.113.123/32 | Разрешает входящий SSH-доступ с локального компьютера; например, когда вам необходимо подключиться к вашему экземпляру для выполнения администрирования задания. |
Группа безопасности для вашего экземпляра базы данных ( sg-33cc44dd33cc44dd3
) имеет
следующее входящее правило:
Тип | Протокол | Диапазон портов | Источник | Комментарий |
---|---|---|---|---|
MySQL | TCP | 3306 | SG-11aa22bb11aa22bb1 | Разрешает входящий доступ для трафика MySQL из связанных экземпляров. с sg-11aa22bb11aa22bb1 (экземпляр веб-сервера). |
Обе группы безопасности имеют исходящее правило по умолчанию, которое разрешает все исходящие IPv4-адреса. трафик, и никаких других правил для исходящего трафика.
Ваш веб-сервер — t2.средний тип экземпляра
. Ваш сервер базы данных — это м3. Большая
.
Вы хотите, чтобы ваш VPC и ресурсы были включены для IPv6, и вы хотите, чтобы они работали в режиме двойного стека; другими словами, вы хотите использовать адресацию как IPv6, так и IPv4. между ресурсами в вашем VPC и ресурсами в Интернете.
После того, как вы выполнили эти шаги, ваш VPC будет иметь следующее конфигурация.
Шаг 1. Свяжите блок IPv6 CIDR с вашим VPC и подсети
Вы можете связать блок IPv6 CIDR с вашим VPC, а затем связать /64
Блок CIDR из этого диапазона в каждой подсети.
Чтобы связать блок IPv6 CIDR с VPC
Откройте консоль Amazon VPC на https://console.aws.amazon.com/vpc/.
На панели навигации выберите Ваши VPC .
Выберите свой VPC, выберите Действия , Изменить CIDR .
Выберите Добавить IPv6 CIDR , выберите один из следующих параметры, а затем выберите Выберите CIDR :
Блок CIDR IPv6, предоставленный Amazon : Запрашивает IPv6 Блокировка CIDR из пула IPv6-адресов Amazon.Для сети Border Group , выберите группу, из которой AWS рекламирует IP-адреса.
IPv6 CIDR, принадлежащий мне : (BYOIP) Выделяет блок IPv6 CIDR с вашего IPv6-адреса бассейн.Для пула , выберите пул адресов IPv6 из который выделяет блок IPv6 CIDR.
Чтобы связать блок IPv6 CIDR с подсетью
Откройте консоль Amazon VPC на https: // console.aws.amazon.com/vpc/.
На панели навигации выберите Подсети .
Выберите свою подсеть, выберите Действия с подсетью , Редактировать CIDR IPv6 .
Выберите Добавить IPv6 CIDR . Укажите шестнадцатеричную пару для подсети (например,
00
) и подтвердите ввод, нажав выбрав значок галочки.Выберите Закройте . Повторите шаги для других подсетей. в вашем VPC.
Дополнительные сведения см. В разделе VPC и определение размера подсети для IPv6.
Шаг 2. Обновите таблицы маршрутов
Для общедоступной подсети необходимо обновить таблицу маршрутов, чтобы включить экземпляры (например, веб-серверы), чтобы использовать интернет-шлюз для трафика IPv6.
Для частной подсети необходимо обновить таблицу маршрутов, чтобы включить экземпляры (например, экземпляров базы данных), чтобы использовать только исходящий интернет-шлюз для трафика IPv6.
Для обновления таблицы маршрутов для общедоступной подсети
Откройте консоль Amazon VPC на https://console.aws.amazon.com/vpc/.
На панели навигации выберите Таблицы маршрутов и выберите таблицу маршрутов. это связано с общедоступной подсетью.
На вкладке Routes выберите Edit маршруты .
Выбрать Добавить маршрут .Укажите
:: / 0
для Destination , выберите ID интернет-шлюза для Задайте , а затем выберите Сохранить. изменения .
Для обновления таблицы маршрутов для частной подсети
Откройте консоль Amazon VPC на https: // console.aws.amazon.com/vpc/.
Если вы используете устройство NAT в своей частной подсети, оно не поддерживает трафик IPv6. Вместо этого создайте Интернет-шлюз только для выхода для вашей частной подсети, чтобы включить исходящий связь с Интернетом через IPv6 и предотвращение входящей связи.Только выход Интернет-шлюз поддерживает только трафик IPv6. Дополнительные сведения см. В разделе Интернет-шлюзы только для исходящего трафика.
На панели навигации выберите Таблицы маршрутов и выберите таблицу маршрутов. это связано с частной подсетью.
На вкладке Routes выберите Edit маршруты .
Выбрать Добавить маршрут .Для Destination укажите
:: / 0
. Для Target выберите идентификатор выходящий интернет-шлюз, а затем выберите Сохранить. изменения .
Для получения дополнительной информации см. Примеры параметров маршрутизации.
Шаг 3. Обновите правила группы безопасности
Чтобы ваши экземпляры могли отправлять и получать трафик по IPv6, вы должны обновить правила группы безопасности для включения правил для адресов IPv6.
Например, в приведенном выше примере вы можете обновить группу безопасности веб-сервера.
( sg-11aa22bb11aa22bb1
), чтобы добавить правила, разрешающие входящие HTTP, HTTPS и
Доступ по SSH с адресов IPv6.Вам не нужно вносить никаких изменений во входящий
правила
для группы безопасности вашей базы данных; правило, разрешающее любое общение с sg-11aa22bb11aa22bb1
по умолчанию включает связь IPv6.
Для обновления правил группы безопасности
Откройте консоль Amazon VPC на https: // console.aws.amazon.com/vpc/.
На панели навигации выберите Security Groups и выберите свой веб-сервер. группа безопасности.
На вкладке Правила для входящих подключений выберите Редактировать .
Для каждого правила выберите Добавить другое правило и выберите Сохраните , когда закончите. Например, чтобы добавить правило, разрешает весь HTTP-трафик через IPv6, для Тип выберите HTTP и для Source введите
:: / 0
.
По умолчанию правило исходящего трафика, разрешающее весь трафик IPv6, автоматически добавляется в ваши группы безопасности, когда вы связываете блок IPv6 CIDR с вашим VPC. Тем не мение, если вы изменили исходные правила исходящего трафика для своей группы безопасности, это правило не добавляется автоматически, и вы должны добавить эквивалентные правила исходящего трафика для трафика IPv6.Для дополнительную информацию см. в разделе Группы безопасности для вашего VPC.
Обновите правила ACL сети
Если вы связываете блок IPv6 CIDR с вашим VPC, мы автоматически добавляем правила к сетевому ACL по умолчанию, чтобы разрешить трафик IPv6, при условии, что вы не изменили его правила по умолчанию.Если вы изменили сетевой ACL по умолчанию или создали настраиваемый сетевой ACL с правилами для управления потоком трафика к и от вашего подсети необходимо вручную добавить правила для трафика IPv6. Для получения дополнительной информации см. Сетевые ACL.
Шаг 4. Измените тип экземпляра
Все типы экземпляров текущего поколения поддерживают IPv6.Для получения дополнительной информации см. Типы экземпляров.
Если тип вашего экземпляра не поддерживает IPv6, вы должны изменить размер экземпляра до
поддерживаемый тип экземпляра. В приведенном выше примере экземпляр базы данных является m3.large Тип экземпляра
, который не поддерживает IPv6.Вы должны изменить размер
экземпляр к поддерживаемому типу экземпляра, например, m4.large
.
Чтобы изменить размер экземпляра, помните об ограничениях совместимости. Для большего
информацию см. в разделе Совместимость для изменения размера экземпляров в Руководство пользователя Amazon EC2 для инстансов Linux .В этом сценарии, если ваш экземпляр базы данных
был запущен из AMI, который использует виртуализацию HVM, вы можете изменить его размер до m4.large
, используя следующую процедуру.
Чтобы изменить размер вашего экземпляра, вы должны остановить его.Остановка и запуск изменений экземпляра в общедоступный IPv4-адрес экземпляра, если он есть. Если у вас есть какие-либо данные на томах хранилища экземпляров данные стираются.
Чтобы изменить размер вашего экземпляра
Откройте консоль Amazon EC2 на https: // console.aws.amazon.com/ec2/.
На панели навигации выберите Экземпляры и выберите базу данных. пример.
Выберите Действия , Состояние экземпляра , Остановка .
В диалоговом окне подтверждения выберите Да, Остановка .
Не снимая выделения с экземпляра, выберите Действия , Настройки экземпляра , Изменить экземпляр Тип .
Для типа экземпляра выберите новый тип экземпляра и затем выберите Применить .
Чтобы перезапустить остановленный экземпляр, выберите экземпляр и выберите Действия , Состояние экземпляра , Старт .В диалоговом окне подтверждения выберите Да, Старт .
Если ваш экземпляр является AMI с поддержкой хранилища экземпляров, вы не можете изменить размер своего экземпляра. используя более раннюю процедуру.Вместо этого вы можете создать экземпляр AMI с поддержкой хранилища из ваш экземпляр и запустите новый экземпляр из вашего AMI, используя новый тип экземпляра. Для дополнительную информацию см. в разделе «Создание экземпляра Linux AMI с поддержкой хранилища» в Руководство пользователя Amazon EC2 для инстансов Linux и Создание инстанса сохраненный в хранилище Windows AMI в Руководство пользователя Amazon EC2 для экземпляров Windows .
Возможно, вы не сможете перейти на новый тип экземпляра, если есть совместимость. ограничения. Например, если ваш экземпляр был запущен из AMI, который использует PV виртуализация, единственный тип экземпляра, который поддерживает как виртуализацию PV, так и IPv6. это C3. Этот тип экземпляра может не подходить для ваших нужд.В этом случае вы можете необходимо переустановить программное обеспечение на базовом HVM AMI и запустить новый экземпляр.
Если вы запускаете экземпляр из нового AMI, вы можете назначить IPv6-адрес своему экземпляр во время запуска.
Шаг 5. Назначьте IPv6-адреса своему экземпляры
После того, как вы убедились, что ваш тип инстанса поддерживает IPv6, вы можете назначить IPv6-адрес вашего инстанса с помощью консоли Amazon EC2.IPv6-адрес назначен к основному сетевому интерфейсу (eth0) экземпляра.
Чтобы назначить IPv6-адрес вашему экземпляру
Откройте консоль Amazon EC2 на https: // console.aws.amazon.com/ec2/.
На панели навигации выберите Экземпляры .
Выберите свой экземпляр и выберите Действия , Сеть , Управление IP Адреса .
Под IPv6 Адреса выберите Назначить новый IP . Вы можете ввести конкретный IPv6-адрес из диапазона вашей подсети, или вы можете оставить значение по умолчанию
Auto-Assign
на позвольте Amazon выбрать один за вас.Выберите Да, обновить .
В качестве альтернативы, если вы запускаете новый экземпляр (например, если вы не смогли измените тип экземпляра, и вместо этого вы создали новый AMI), вы можете назначить IPv6 адрес во время запуска.
Чтобы назначить IPv6-адрес экземпляру во время запуска
Откройте консоль Amazon EC2 на https://console.aws.amazon.com/ec2/.
Выберите свой AMI и тип инстанса, совместимого с IPv6, а затем выберите Далее: настройка сведений об экземпляре .
На странице Configure Instance Details выберите VPC для Сеть и подсеть для Подсеть .Для Автоматическое назначение IPv6 IP , выберите Включить .
Следуйте оставшимся шагам мастера, чтобы запустить экземпляр.
Вы можете подключиться к экземпляру, используя его IPv6-адрес.Если вы подключаетесь из локальный компьютер, убедитесь, что ваш локальный компьютер имеет IPv6-адрес и настроен к использовать IPv6. Дополнительную информацию см. В разделе Подключение к инстансу Linux в Руководстве пользователя Amazon EC2 для инстансов Linux . и подключение к вашему Экземпляр Windows в Руководстве пользователя Amazon EC2 для экземпляров Windows .
Шаг 6. (Необязательно) Настройте IPv6 на вашем экземпляры
Если вы запустили свой экземпляр с помощью Amazon Linux 2016.09.0 или более поздней версии, Windows Server 2008 R2 или новее или Ubuntu Server 2018 или новее, ваш экземпляр настроен для IPv6 и никаких дополнительных действий не требуется.
Если вы запустили свой экземпляр из другого AMI, он может не быть настроен для IPv6 и DHCPv6, что означает, что любой IPv6-адрес, который вы назначаете экземпляру является не распознается автоматически на основном сетевом интерфейсе.
Для проверки DHCPv6 в Linux
Используйте команду ping6 следующим образом.
$
ping6 ipv6.google.com
Для проверки DHCPv6 в Windows
Используйте команду ping следующим образом.
C: \>
ping -6 ipv6.google.com
Если ваш экземпляр еще не настроен, вы можете настроить его вручную, как показано в следующих процедурах.
Ручная настройка операционной системой
Amazon Linux
Для настройки экземпляра Amazon Linux
Подключитесь к своему экземпляру, используя общедоступный IPv4-адрес экземпляра.
Получите последние пакеты программного обеспечения для своего экземпляра:
sudo yum update -y
В любом текстовом редакторе откройте
/ etc / sysconfig / network-scripts / ifcfg-eth0
и найдите следующая строка:IPV6INIT = нет
Замените эту строку следующей:
IPV6INIT = да
Добавьте следующие две строки и сохраните изменения:
DHCPV6C = да DHCPV6C_OPTIONS = -nw
Откройте файл
/ etc / sysconfig / network
, удалите следующие строки и сохраните изменения:NETWORKING_IPV6 = нет IPV6INIT = нет IPV6_ROUTER = нет IPV6_AUTOCONF = нет IPV6FORWARDING = нет IPV6TO4INIT = нет IPV6_CONTROL_RADVD = нет
Откройте
/ etc / hosts
, замените содержимое следующим и сохраните ваши изменения:127.0.0.1 локальный хост localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost6 localhost6.localdomain6
Перезагрузите ваш экземпляр. Подключитесь к своему экземпляру и используйте
ifconfig
, чтобы убедиться, что IPv6-адрес распознается на основном сетевом интерфейсе.
Ubuntu
Вы можете настроить свой экземпляр Ubuntu на динамическое распознавание любого IPv6. адрес, присвоенный сетевому интерфейсу.Если в вашем экземпляре нет IPv6-адрес, эта конфигурация может привести к тому, что время загрузки вашего экземпляра будет продлен до 5 минут.
Сервер Ubuntu 16
Эти шаги должны выполняться от имени пользователя root.
Для настройки экземпляра Ubuntu Server 16
Подключитесь к своему экземпляру, используя общедоступный IPv4-адрес экземпляра.
Просмотрите содержимое файла
/ etc / network / interfaces.d / 50-cloud-init.cfg
файл:кот /etc/network/interfaces.d/50-cloud-init.cfg
# Этот файл создан на основе информации, предоставленной # источник данных. Его изменения не сохранятся в экземпляре. # Чтобы отключить возможности конфигурации сети cloud-init, напишите файл # /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg следующим образом: # сеть: {config: disabled} авто лоу iface lo inet loopback авто eth0 iface eth0 inet dhcp
Убедитесь, что петлевое сетевое устройство (
до
) настроен, и обратите внимание на имя сетевого интерфейса. В этом Например, имя сетевого интерфейса —eth0
; имя может быть разным в зависимости от типа экземпляра.Создайте файл
/etc/network/interfaces.d/60-default-with-ipv6.cfg
и добавьте следующую строку. При необходимости заменитеeth0
на имя сетевого интерфейса, полученного на шаге выше.iface
eth0
inet6 dhcpПерезагрузите свой экземпляр или перезапустите сетевой интерфейс, запустив следующая команда. При необходимости замените
eth0
на имя вашего сетевого интерфейса.sudo ifdown
eth0
; sudo ifupeth0
Повторно подключитесь к своему экземпляру и используйте
ifconfig
команда, чтобы убедиться, что IPv6-адрес настроен в сети интерфейс.
Для настройки IPv6 с использованием данных пользователя
Вы можете запустить новый экземпляр Ubuntu и убедиться, что любой IPv6-адрес назначенный экземпляру автоматически настраивается в сети интерфейс, указав следующие данные пользователя во время запуска:
#! / Bin / bash echo "iface
eth0
inet6 dhcp" >> / etc / network / interfaces.г / 60-по умолчанию-с-ipv6.cfg dhclient -6В этом случае вам не нужно подключаться к экземпляру для настройки IPv6. адрес.
Для получения дополнительной информации см. Запуск Команды на вашем экземпляре Linux при запуске в Руководство пользователя Amazon EC2 для инстансов Linux .
Сервер Ubuntu 14
Если вы используете Ubuntu Server 14, вы должны включить обходное решение известной проблемы, которая возникает при перезапуске сети с двумя стеками. интерфейс (перезапуск приводит к увеличенному таймауту, в течение которого ваш экземпляр недоступен).
Эти шаги должны выполняться от имени пользователя root.
Для настройки экземпляра Ubuntu Server 14
Подключитесь к своему экземпляру, используя общедоступный IPv4-адрес экземпляра.
Отредактируйте файл
/etc/network/interfaces.d/eth0.cfg
так, чтобы он содержит следующий:авто lo iface lo inet loopback авто eth0 iface eth0 inet dhcp вверх dhclient -6 $ IFACE
Перезагрузите пример:
перезагрузка sudo
Повторно подключитесь к своему экземпляру и используйте
ifconfig
команда, чтобы убедиться, что IPv6-адрес настроен в сети интерфейс.
Запустите клиент DHCPv6
В качестве альтернативы, чтобы вывести IPv6-адрес для сетевого интерфейса. сразу, не выполняя никаких дополнительных настроек, вы можете запустить Клиент DHCPv6 для экземпляра.Однако адрес IPv6 не сохраняется на сетевой интерфейс после перезагрузки.
Для запуска клиента DHCPv6 в Ubuntu
Подключитесь к своему экземпляру, используя общедоступный IPv4-адрес экземпляра.
Запустите клиент DHCPv6:
судо dhclient -6
Используйте команду
ifconfig
, чтобы убедиться, что IPv6-адрес распознается на основном сетевом интерфейсе.
RHEL / CentOS
RHEL 7.4 и CentOS 7 и более поздних версий используют cloud-init для настройки сетевого интерфейса и генерации / etc / sysconfig / network-scripts / ifcfg-eth0
файл. Вы можете создать
настраиваемый файл конфигурации cloud-init
для включения DHCPv6, который
генерирует файл ifcfg-eth0
с настройками, которые включают DHCPv6 после
каждая перезагрузка.
Из-за известной проблемы, если вы используете RHEL / CentOS 7.4 с последними
версии cloud-init-0.7.9, эти шаги могут привести к потере
подключение к вашему экземпляру после перезагрузки. В качестве обходного пути вы можете
вручную отредактируйте / etc / sysconfig / network-scripts / ifcfg-eth0
файл.
Для настройки экземпляра RHEL / CentOS с помощью cloud-init
Подключитесь к своему экземпляру, используя общедоступный IPv4-адрес экземпляра.
Используя любой текстовый редактор по вашему выбору, создайте собственный файл, например:
/etc/cloud/cloud.cfg.d/99-custom-networking.cfg
Добавьте в файл следующие строки и сохраните изменения:
сеть: версия: 1 config: - тип: физический имя: eth0 подсети: - тип: dhcp - тип: dhcp6
С помощью любого текстового редактора добавьте следующую строку в файл, относящийся к интерфейсу, в папке
/ etc / sysctl.d
. Если вы отключили Согласованное именование сетевых устройств, имя сетевого интерфейсаethX
или вторичный интерфейс.net.ipv6.conf.
имя-сетевого-интерфейса
.accept_ra = 1В следующем примере сетевой интерфейс
en5
.net.ipv6.conf.en5.accept_ra = 1
Перезагрузите ваш экземпляр.
Повторно подключитесь к своему экземпляру и используйте ifconfig команда, чтобы убедиться, что IPv6-адрес настроен в сети интерфейс.
В качестве альтернативы вы можете использовать следующую процедуру для изменения / etc / sysconfig / network-scripts / ifcfg-eth0
напрямую.
Вы должны использовать этот метод с более ранними версиями RHEL и CentOS, которые не поддерживают
облако-инициализация.
Для настройки экземпляра RHEL / CentOS
Подключитесь к своему экземпляру, используя общедоступный IPv4-адрес экземпляра.
В любом текстовом редакторе откройте
/ etc / sysconfig / network-scripts / ifcfg-eth0
и найдите следующая строка:IPV6INIT = "нет"
Замените эту строку следующей:
IPV6INIT = "да"
Добавьте следующие две строки и сохраните изменения:
DHCPV6C = да NM_CONTROLLED = нет
Откройте файл
/ etc / sysconfig / network
, добавьте или измените следующее строку, как показано ниже, и сохраните изменения:NETWORKING_IPV6 = да
Перезапустите сеть на своем экземпляре, запустив следующую команду команда:
перезапуск сети службы sudo
Вы можете использовать команду ifconfig , чтобы убедиться, что IPv6-адрес распознается на основном сетевом интерфейсе.
Для устранения неполадок RHEL 6 или CentOS 6
Если при перезапуске сети появляется сообщение об ошибке IPv6-адреса,
получить, открыть / etc / sysconfig / network-scripts / ifup-eth
и найдите следующую строку (по умолчанию это строка 327):
если / sbin / dhclient "$ DHCLIENTARGS"; затем
Удалите кавычки, окружающие $ DHCLIENTARGS
, и сохраните
ваши изменения.Перезапустите сеть на своем экземпляре:
перезапуск сети службы sudo
Окна
Используйте следующие процедуры для настройки IPv6 в Windows Server 2003 и Windows Server 2008 с пакетом обновления 2 (SP2).
Чтобы убедиться, что IPv6 предпочтительнее IPv4, загрузите исправление с именем Prefer IPv6 over IPv4 в политиках префиксов с веб-сайта следующую страницу поддержки Microsoft: https://support.microsoft.com/en-us/help/929852/how-to-disable-ipv6-or-its-components-in-windows.
Для включения и настройки IPv6 в Windows Server 2003
Получите IPv6-адрес своего экземпляра с помощью команды интерфейса командной строки AWS describe-instance или проверив поле IPv6 IPs для экземпляра в консоли Amazon EC2.
Подключитесь к своему экземпляру, используя общедоступный IPv4-адрес экземпляра.
В экземпляре выберите Start , Панель управления , Сеть Подключения , по локальной сети Подключение .
Выберите Properties , а затем выберите Установить .
Выберите Протокол и выберите Добавить .В списке Network Protocol выберите Microsoft TCP / IP версии 6 , а затем выберите ОК .
Откройте командную строку и откройте сетевую оболочку.
сеть
Перейти к контексту IPv6 интерфейса.
интерфейс ipv6
Добавьте IPv6-адрес к подключению по локальной сети, используя следующие команда.Замените значение IPv6-адреса на IPv6-адрес для ваш экземпляр.
добавить адрес «Подключение по локальной сети» «
ipv6-адрес
»Например:
добавить адрес "Подключение по локальной сети" "
2001: db8: 1234: 1a00: 1a01: 2b: 12: d08b
"Закройте сетевую оболочку.
выход
Используйте команду
ipconfig
, чтобы убедиться, что IPv6-адрес распознается для подключения по локальной сети.
Для включения и настройки IPv6 в Windows Server 2008 SP2
Получите IPv6-адрес своего экземпляра с помощью команды интерфейса командной строки AWS describe-instance или проверив поле IPv6 IPs для экземпляра в консоли Amazon EC2.
Подключитесь к вашему экземпляру Windows, используя общедоступный IPv4 экземпляра адрес.
Выберите Start , Control Панель .
Откройте Центр управления сетями и общим доступом , затем откройте Сетевые подключения .
Щелкните правой кнопкой мыши Локальная сеть (для сети интерфейс) и выберите Свойства .
Выберите протокол Интернета версии 6 (TCP / IPv6) Установите флажок и выберите ОК .
Снова откройте диалоговое окно свойств для локальной сети.Выбирать Интернет-протокол версии 6 (TCP / IPv6) и выберите Недвижимость .
Выберите Используйте следующий IPv6-адрес и выполните следующие действия:
Для IPv6-адреса введите IPv6-адрес вы получили на шаге 1.
Для длины префикса подсети введите
64
.
Выберите ОК и закройте диалоговое окно свойств.
Откройте командную строку. Используйте команду
ipconfig
для проверки что IPv6-адрес распознается для подключения по локальной сети.
— направление сети
Последнее обновление: [последнее изменение] (UTC)
Зачем переходить на IPv6?
Вот стандартный вопрос для начала.Зачем мне вообще переходить на IPv6? Все говорили, что мне нужно мигрировать годами, но мне все еще не приходилось. Зачем начинать сейчас?
Что ж, это правда. У нас уже давно не хватает места для IPv4. Технически у нас уже закончились, так как IANA передала все оставшиеся блоки RIR. Но если вы не стремитесь к быстрому росту, вы можете обнаружить, что для вас достаточно места для IPv4. Вы должны сами это оценить.
Тем не менее, вот стандартный список причин, по которым рассматривает переход на IPv6:
- Интернет вещей становится все больше и требует больше адресов, чем может предоставить IPv4
- NAT можно исключить.В IPv6 нет NAT (в традиционном понимании)
- Нет необходимости в частных IP-пространствах (например, RFC 1918)
- Ваши клиенты могут захотеть использовать IPv6, и вам необходимо их поддержать
- Могут существовать государственные требования для IPv6
- Вы пытаетесь сдать экзамен, включающий IPv6
Теперь это не так, давайте посмотрим на подход к миграции и технологии, которые мы можем использовать.
Методология миграции
Подумайте, как вы хотите перейти на IPv6.Не прыгайте прямо сейчас. Возможно, это больше, чем вы думаете.
Здесь мы подробно рассмотрим каждый этап миграции. Вы можете заметить, что это соответствует модели Cisco PBM.
- Дискавери
- Оценка
- Планирование и проектирование
- Реализация
- Оптимизация сети
Дискавери
На этапе открытия основное внимание уделяется бизнесу. Ключевым моментом здесь является определение бизнес-целей и движущих сил. Почему мы хотим использовать IPv6? Какое влияние на бизнес окажет использование IPv6? Что будет, если мы этого не сделаем?
Проект нуждается в обосновании бизнес-кейса.Учитывайте временные рамки проекта, соответствие требованиям правительства или отрасли, а также географию сайта.
Некоторые оправдания, которые вы можете рассмотреть, включают:
- Если вы поставщик услуг, вам может потребоваться расширение IPv6, и вашим клиентам может потребоваться его поддержка
- Расширяется ли бизнес в страны, где IPv4 сложно или дорого получить?
- IPv6 дешевле (на адрес) для регистрации, чем IPv4
- Существуют ли в вашей отрасли требования соответствия?
- Предоставляете ли вы веб-интерфейс своим клиентам? Нужно ли это для поддержки IPv6 для растущего рынка мобильной связи?
Затем создайте команду проекта.Это не просто сетевые люди. Сюда может входить поддержка приложений, менеджеры по работе с клиентами, а иногда и юридические.
Оценка
Может возникнуть соблазн пропустить этот этап. Постарайтесь избежать соблазна. Именно здесь мы выявляем потенциальные проблемы, мешающие работе, прежде чем столкнемся с ними.
Здесь нам нужно проверить, с какими проблемами мы можем столкнуться:
- Есть ли оборудование, не поддерживающее IPv6?
- Поддерживает ли какое-то оборудование частичные функции IPv6? Например, транспорт IPv6 может поддерживаться, но OSPFv3 не может
- Требуется ли дополнительное лицензирование для IPv6?
- Существуют ли приложения, использующие жестко заданные IP-адреса?
- Понимают ли сотрудники службы технической поддержки и поддержки IPv6? Требуется ли план тренировок?
Планирование и проектирование
Начните с получения (или планирования получения) ваших адресов IPv6.Это означает, что вам нужно решить, хотите ли вы использовать адресацию PA или PI. Рекомендуется использовать PI, поскольку IPv6 проникает глубоко в вашу сеть. В дальнейшем может быть сложно выполнить миграцию с IP-адреса, назначенного провайдером.
Затем выберите место для начала развертывания. Вы хотите начать с края и двигаться к сердцевине? Может, лучше начинать с ядра и заниматься спортом? Может быть, остров IPv6 — это то, что вам нужно?
Место, с которого вы начали, влияет на используемую вами стратегию миграции. В большинстве случаев обычно рекомендуется использовать двойной стек.Если вы начинаете с ядра или с острова, вам может понадобиться туннель. Более подробная информация о технологиях миграции появится в ближайшее время.
Подумайте, как вы будете назначать адреса хостам. Здесь есть несколько вариантов, например DHCP, SLAAC и руководство. Подробнее об этом позже.
В конце этого этапа у вас должен быть детальный проект. Убедитесь, что это соответствует бизнес-драйверам, которые вы определили ранее. Дизайн должен включать такие области, как:
- Адрес
- LAN, WAN
- Безопасность
- Прочие сведения, относящиеся к этой сети / бизнесу
Реализация
Вот самое интересное, чего вы так долго ждали.Здесь вы начинаете развертывание IPv6.
Частью этого является стратегия исполнения. Например, можно начать в лаборатории? Как вы собираетесь тестировать результаты изменений? Каков ваш процесс управления изменениями? Как это повлияет на вашу политику безопасности? Рассмотрим процесс, в котором пользователи могут оставлять вам отзывы о своем опыте.
Рекомендуется сначала начать с небольшого развертывания. Как только вы устраните ошибки и все исправите, вы сможете передать полученный опыт остальной части сети.
Оптимизация сети
Это непрерывный процесс. Для этого требуется мониторинг процесса, обратная связь от пользователей и настройка сети.
Технологии миграции
Не существует единственного правильного способа переноса. В вашем распоряжении несколько инструментов, и вам нужно выбрать те, которые вам подходят. Выбирая инструменты для использования, подумайте, насколько они соответствуют вашей стратегии развертывания.Кого из них ваш персонал может поддержать?
Инструменты миграции делятся на три основные категории. Dual-Stack , Tunnels и Translation . Будьте осторожны, чтобы не использовать устаревшие устаревшие инструменты, такие как NAT-PT.
Двойной стек
По возможности, первым выбором должен быть Dual-Stack. Здесь все устройства одновременно работают как с IPv4, так и с IPv6. Изменения в одном стеке не влияют на изменения в другом стеке. Вы можете увидеть здесь, насколько важен этап оценки.Для повсеместного использования двойного стека необходимо, чтобы все устройства полностью поддерживали IPv6.
Для использования этого метода требуется немного больше ресурсов ваших устройств. Вдобавок к этому вам может потребоваться запустить другой IGP. Например, если вы в настоящее время используете OSPFv2, вам нужно будет использовать другой протокол маршрутизации, такой как OSPFv3. Некоторые IGP поддерживают как IPv4, так и IPv6 с семействами адресов, что упрощает настройку. Одна из причин состоит в том, что лучше держать IGP (и, следовательно, плоскости управления) отдельно.Таким образом, проблема в одном не влияет на другой.
Клиенты часто предпочитают путь IPv6, если он доступен. По крайней мере, это верно на уровне операционной системы, поскольку приложения могут следовать своим собственным правилам. Это верно и для DNS, поскольку клиенты будут искать записи AAAA перед записями A.
Фактически, DNS играет важную роль в развертывании IPv6. Хорошая новость заключается в том, что вам не нужен DNS-сервер с поддержкой IPv6 для возврата записей AAAA. IPv6 нужен только в полезной нагрузке. Базовый транспорт, используемый для доставки информации клиенту, может по-прежнему быть IPv4.
При оценке двойного стека учтите:
- Некоторые сетевые устройства имеют ограниченное пространство TCAM; запуск IPv4 и IPv6 может исчерпать это пространство
- Могут ли сетевые устройства обрабатывать дополнительную пропускную способность?
- Имеют ли устройства безопасности (например, брандмауэры и IPS) одинаковые функции для IPv6?
- Существуют ли устаревшие приложения, которые не будут работать с IPv6?
- Существуют ли старые устройства, не поддерживающие IPv6?
Основная процедура использования двойного стека:
- Включить маршрутизацию IPv6
- Включить IPv6 CEF
- Добавить адреса IPv6 к интерфейсам
- Создание записей DNS
Тоннели
Туннели используются для соединения различных «островов» через сеть.Например, у вас может быть несколько сетей IPv6, которым требуется подключение через IPv4. Альтернатива также может быть верной. В будущем вы можете использовать IPv6 повсюду, за исключением нескольких небольших устаревших островов IPv4.
Имейте в виду, что туннели могут представлять проблему для устройств безопасности. Некоторые устройства «запутаются» из-за лишнего заголовка.
Основные варианты туннелей:
- Ручная
- Туннельный брокер
- 6РД
- DS-LITE
- LISP
- ISATAP
Руководство
Ручной туннель похож на VPN без шифрования.Это может быть туннель GRE или туннель IPIP (IP over IP). DMVPN (многоточечный GRE с IPSec) также является вариантом. Как вы понимаете, у каждого варианта есть свои плюсы и минусы.
GRE поддерживает многоадресную рассылку, а IPIP — нет. Но у него более крупный заголовок, что снижает ваш MTU. GRE — хороший выбор, если у вас есть IS-IS, поскольку он может передавать не-IP-трафик. IPIP кодирует адрес IPv6 в заголовке IPv4.
Ручной туннель — подходящий выбор для соединения небольшого количества островов.Если количество островов начинает расти, это решение становится менее управляемым.
Туннельный брокер
Туннельный брокер — это поставщик услуг, предлагающий IPv6 поверх IPv4. Вы используете устройства с поддержкой IPv6 для создания туннеля к провайдеру. Туннель проходит по базовой сети IPv4. Затем вы получаете доступ к Интернету IPv6 через этот туннель.
Это вариант, если вам нужен доступ к Интернету IPv6, но невозможно реализовать IPv6 на границе вашей сети.Этот вариант связан с повышенными эксплуатационными расходами.
6РД
6RD (быстрое развертывание) позволяет интернет-провайдерам быстро предоставлять IPv6 своим клиентам. В этом методе IPv4 по-прежнему используется на границе поставщика.
Этот подход состоит из двух частей. Маршрутизатор 6RD — это устройство CE (на территории заказчика) с поддержкой IPv6. Этот маршрутизатор создает туннель к 6RD Border Relay в сети провайдера.
Это ограничивает требования к капитальным затратам для поставщика услуг.Они могут поддерживать IPv6 без повсеместной замены оборудования.
DS-LITE
DS-LITE (Dual-Stack Lite) — это транзитная сеть, основанная на IPv6, но нам все еще необходимо поддерживать хосты IPv4. Проще говоря, он туннелирует IPv4 поверх IPv6.
DS-LITE кодирует адреса IPv4 в адреса IPv6. NAT операторского уровня преобразует адрес обратно в IPv4, прежде чем он попадет в Интернет.
ЛИСП
LISP или Протокол разделения идентификаторов локаторов — это технология наложения.Он запускает слой-3 поверх слоя-3. IP традиционно плохо справляется с мобильностью. Он не имеет встроенной географической информации. LISP был создан с учетом этой мобильности.
Для этого LISP использует адрес хоста, называемый идентификатором конечной точки (EID). Кроме того, есть адрес для местоположения, который называется Routing Locator (RLoc). Эти общие адреса могут содержать информацию об IP-адресах. Это туннелируется по базовой сети. Вот почему это может быть полезно при миграции на IPv6.
Рассмотрите возможность использования LISP при наличии нескольких островков IPv6. У него нет таких проблем с масштабируемостью, как у ручных туннелей. Это полезно, если не может быть изменений в базовой инфраструктуре. Обратной стороной является то, что вам нужно знать LISP, чтобы использовать это решение.
ISATAP
ISATAP использует хост с двойным стеком, который подключается к шлюзу IPv6. Хост использует DNS для определения местоположения шлюза. Затем он создает туннель к шлюзу через сеть IPv4.Отсюда хост может получить доступ к IPv6-адресам.
Достоинством этого является то, что он позволяет осуществлять сквозное управление, что хорошо для безопасности.
Обратной стороной является то, что он плохо масштабируется, не поддерживает многоадресную рассылку и не поддерживает NAT.
Перевод
Перевод особенно полезен на границе сети. Это полезно при подключении устройств IPv6 к Интернету IPv4 или IPv4 к IPv6. Внутри сети туннелирование предпочтительнее трансляции.
Услуги перевода полагаются на хорошо работающую DNS. Это не подходящее решение, если в вашем приложении жестко заданы IP-адреса.
Услуги переводавключают NAT64, DNS64 и SLB64.
NAT64
NAT64 — это основной механизм преобразования между IPv4 и IPv6. Это может быть с сохранением состояния или без состояния.
Соединение с отслеживанием состояния позволяет соединениям, инициированным с IPv6, получать доступ к IPv4. При этом используется внешний пул IPv4-адресов, что делает его похожим на перегрузку порта на порт .
NAT с отслеживанием состояния используют отношение «один к одному». Это позволяет инициировать связь в любом направлении. Это делает его особенно полезным для доступа к серверам IPv6 из сети IPv4.
Некоторым недостатком NAT64 является то, что он может нарушать заголовки HTTP, которые используют IP-адреса клиента (например, X-Forwarded-For ). Устройство, которое может выполнять перезапись, может решить эту проблему.
Кроме того, NAT64 может выглядеть как DoS-атака для некоторых устройств безопасности. Это связано с тем, что с одного IP-адреса можно постоянно получать доступ ко многим службам.
DNS64
DNS можно использовать для синтеза записей AAAA там, где их нет. Это работает вместе с устройством NAT64.
Представьте, что клиент IPv6 пытается получить доступ к серверу IPv4.
- Клиент запрашивает у сервера DNS64 запись AAAA
- Сервер DNS64 запрашивает полномочный сервер, который сообщает об отсутствии записи AAAA
- Сервер DNS64 получает A-запись вместо
- Сервер DNS64 создает поддельную запись AAAA, которая включает запись IPv4, и возвращает ее клиенту
- Клиент начинает связь с сервером
- Устройство NAT64 перехватывает трафик и выполняет преобразование между IPv6 и IPv4
SLB64
Балансировка нагрузки сервераполезна при представлении интерфейса к Интернету IPv6.Идея заключается в том, что балансировщик нагрузки (например, NetScaler) настроен с использованием внешнего интерфейса IPv6. Все внутренние сервисы по-прежнему являются IPv4.
Это немного похоже на использование NAT64, но развертывается на основе приложения.
Это краткосрочное решение, но оно подходит при наличии устаревших приложений.
Список литературы
Cisco — IPv6-to-IPv4 со сбалансированной нагрузкой на сервер (SLB64)
Cisco Live — BRKSPG-2067 — Разработка IPv6 и механизмы перехода
Cisco Live — средний уровень — развертывание корпоративного IPv6 — BRKRST-2301
Марван Аль-Шави и Андре Лоран — Учебное руководство по проектированию для архитектур сетевых сервисов Cisco (ARCH): CCDP ARCH 300-320 (ISBN 158714462X)
3 стратегии миграции IPv6 | CBT Nuggets
- Возможно, со временем вы не сможете общаться с другими клиентами или сетями.
- Скоро вам может потребоваться IPv6 для общедоступных веб-сайтов.
- Для использования IPv4 потребуется больше устройств NAT, которые могут снизить скорость сети и усложнить архитектуру сети.
- Возможно, ваша компания не сможет предоставлять больше услуг публично из-за ограниченного количества общедоступных адресов IPv4.
Зачем нам IPv6?
Согласно Google, всего существует 4 294 967 296 IPv4-адресов. Вот и все. С математической точки зрения больше не может быть. Конечно, это звучит много, пока вы не поймете, что население Земли составляет 7 человек.9 миллиардов человек. Это более чем в два раза превышает количество доступных IPv4-адресов. Мы даже не можем назначить один IPv4-адрес каждому человеку в мире. Это не считая нескольких устройств, которые могут быть у них, или предприятий, у которых есть несколько компьютеров на человека.
Аналогичным образом некоторые блоки адресов IPv4 закрыты для использования. Например, вооруженные силы США владеют миллионами адресов IPv4, которые недоступны для широкой публики. IBM, Google, Microsoft, Facebook и Apple также имеют свои собственные блоки адресов IPv4.Это делает этот пул из 4,2 миллиарда адресов IPv4 еще меньше.
Конечно, не все так просто, правда? Мы разработали обходные пути для решения нашей проблемы с IPv4. Один из самых распространенных инструментов, который мы используем, — это NAT (преобразование сетевых адресов). Используя NAT, один общедоступный IPv4-адрес может обслуживать все домашнее хозяйство. Интернет-провайдеры также используют форму Nat. Таким образом, трафик, входящий в сети Интернет-провайдера и исходящий из них, также не обязательно имеет собственный общедоступный IPv4-адрес.
Мы уже привыкли к таким методикам.Фактически, из-за этого мы значительно расширили использование IPv4. Было предсказано, что весь мир должен будет перейти на IPv6 в 2010 году, но спустя почти 12 лет мы по-прежнему в значительной степени зависим от IPv4. Тем не менее, придет время, когда всем нам нужно будет перейти на IPv6, и начать этот процесс раньше, чем позже, будет лучше для всех.
Итак, давайте обсудим три разные стратегии миграции IPv6.
Ничего не делать
Ничего не делать для перехода на IPv6 в некоторых случаях является допустимой стратегией.Причины могут быть разными:
- У вашего предприятия оборудование, несовместимое с IPv6
- Экономическое обоснование перехода на IPv6 недостаточно убедительно
- Сетевая архитектура вашего бизнеса не является сложной или достаточно требовательной, чтобы требовать IPv6
Какой бы ни была причина, иногда предприятиям просто не нужно переходить на IPv6. Особенно это актуально для малого бизнеса. Малым предприятиям может не потребоваться ничего, кроме NAS, простого сервера, нескольких ноутбуков и подключения к Интернету.
В этом примере внутренняя сеть может продолжать использовать свою схему адресации IPv4, в то время как их маршрутизатор использует NAT для преобразования своего ISP-соединения в IPv6 (при условии, что их ISP поддерживает IPv6). Некоторые интернет-провайдеры уже делают это. Например, Comcast по умолчанию будет использовать IPv6 для большей части своей сети в настоящее время. В этом сценарии переход бизнеса на IPv6 происходит естественным образом.
Обновление Edge
Мы достигли точки, когда многие приложения, службы и аппаратные компоненты теперь поддерживают IPv6.Переход пограничных служб и устройств не должен быть большой проблемой, если ваше предприятие постоянно обновляется. Итак, миграция только края сети возможна.
Это означает использование IPv6 только для таких вещей, как:
- Серверы электронной почты
- DNS
- Шлюзы
- Веб-серверы
- И т.д. Граница сети организации, а также внешние службы и устройства должны перейти на IPv6 раньше, чем остальная часть внутренней сети.Такой подход позволяет вам это сделать.
В этом случае компаниям может потребоваться использовать стратегию NAT. Однако использование NAT — неплохая идея. NAT имеет больше применений, чем расширение IPv6. Например, он может скрыть внутреннюю топологию сети. Его также можно использовать в качестве меры безопасности. Таким образом, предприятия, вероятно, не хотят полностью отказываться от NAT.
При поэтапном подходе организации могут найти время, чтобы упростить реализацию NAT. Это также дает им возможность поддерживать защищенную сеть IPv4 для устройств, служб или приложений, которые необходимы, но не поддерживают IPv6.
Реализация трансляции IPv6 или прокси-серверов
Одно из возможных решений — реализовать услуги трансляции или прокси на границе сети. Эти службы могут располагаться между шлюзом и остальной частью сети или где-то внутри самой сети. Есть несколько способов сделать это.
Например, шлюз прикладного уровня или прокси-сервер может находиться внутри сети. Когда приложение IPv4 пытается связаться с устройством или приложением IPv6 или пытается отправить данные за пределы сети, этот шлюз прикладного уровня или прокси-сервер завершит соединение IPv4 и установит соединение IPv6 вместо него.
Однако создание службы переводов — это последняя стратегия. Вместо этого лучше реализовать прокси. Прокси-серверы более универсальны и могут иметь гораздо меньше проблем с крайними случаями.
Существует множество бесплатных решений с открытым исходным кодом, которые компании также могут использовать в качестве прокси:
- Apache с установленным модулем mod_proxy
- IPVS
- Nginx
Также существует множество платных решений. Microsoft PortProxy — хороший выбор для предприятий Microsoft.IBM WebSphere — еще одно распространенное решение.
Переход на IPv6
Это только три примера того, как можно упростить переход на IPv6. Есть много разных решений и стратегий. Прочтите эту статью в качестве основы для начинающих. Путь миграции с IPv4 на IPv6 может быть непростым. Каждой компании необходимо будет проанализировать свои сценарии использования и тщательно проанализировать возможности своего программного и аппаратного обеспечения перед выполнением этого перехода. Только после завершения процесса инвентаризации компания может создать надлежащий план перехода с IPv4 на IPv6.
Переход с IPv4 на IPv6 — Sunset Learning Institute
Переход с IPv4 на IPv6
15 февраля, 2019
Автор: Tuan Nguyen | 14 минут чтения
Технический уровень: Продвинутый Загружаемый PDF: переход с IPv4 на IPv6Текущая версия Интернет-протокола IPv4, первоначально разработанная в 1970-х годах и официально опубликованная в 1981 году (RFC 791), не использовала свое предназначение до начала 1990-х годов.К 1992 году расширение Интернета и освоение адресного пространства выявили ограничения в отношении количества фактических адресных пространств, которые будут доступны при увеличении числа устройств, добавляемых во всемирную паутину, что подтолкнуло стандарт IPv4 к своему пороговому значению. Поскольку эти ограничения были признаны, в 1994 году Инженерная группа Интернета (IETF) инициировала изменения для обновления до IPv6 (RFC 2460). В настоящее время проникновение сетей IPv6 невелико, однако ожидается, что оно будет расти, поскольку истощение IPv4 неизбежно.
По мере того, как количество подключаемых компьютеров, облака, использование BYOD и других устройств резко возрастает, необходимость в изменениях заставит поставщиков услуг сделать переход. Разница между IPv4 и IPv6 заключается в формате адреса, где IPv4 использует 32-битный (4 байта) адрес, а IPv6 использует 128-битный (16 байтов). IPv6 позволяет использовать гораздо более длинные адреса, поэтому можно технически преодолеть проблемы с истощением IPv4-адресов и включить сервисные функции без перезаписи протокола.
Одной из причин медленного перехода на IPv6 является стоимость перехода на новый формат без немедленного обмена доходами на обновление. Однако это недальновидно, поскольку из-за истощения адресных пространств и появления большего количества интернет-устройств, а также из-за роста облака поставщики услуг, которые не мигрируют, столкнутся с трудностями в эффективном обслуживании более высокого спроса, предъявляемого к их сетям. . IPv6 имеет встроенные функции безопасности, усиленный контроль потока и более простую функцию аутентификации.Короче говоря, IPv6 — это будущее, обещающее сквозную безопасность, QOS и упрощенное управление при одновременном увеличении пропускной способности сети для обслуживания большего числа пользователей.
10 основных функций, которые делают IPv6 «лучше», чем IPv4 # 1 — IPv6 предоставляет значительно большее пространство IP-адресов, чем IPv4Каждому компьютеру или онлайн-устройству, которому необходимо подключиться к Интернету, требуется глобальный уникальный IP-адрес. IPv4 использует 32 бита для IP-адреса, что позволяет использовать около 4 миллиардов уникальных IP-адресов.Когда IPv4 был представлен в 1970-х годах и принят в качестве протокола для Интернета, они не предвидели такого взрыва популярности Интернета или степени, в которой онлайн-технологии станут повсеместными. Поэтому было твердо убеждено, что этих 4 миллиардов адресов будет достаточно для покрытия любого будущего роста Интернета.
IPv6 использует 128 бит для адресов IPv6, что позволяет использовать 340 миллиардов миллиардов миллиардов миллиардов (3,4 × 1038) уникальных адресов.Чтобы получить представление о масштабе, представьте, что все пространство IPv4 содержится в iPod, тогда новое пространство IPv6 будет размером с Землю. Из этих чисел видно, что с IPv6 можно предоставить миллиарды адресов каждому человеку и гарантировать, что любое устройство, которое должно быть подключено к Интернету, будет иметь уникальный IP-адрес.
Первое преимущество расширенного адресного пространства состоит в том, что в отсутствие NAT упрощается аппаратное и программное обеспечение сети, а настройка сети становится намного проще.Во-вторых, это позволяет по-настоящему представить себе сетевой дом, в котором различные устройства и устройства будут находиться в сети, что потребует, чтобы каждое такое устройство имело уникальный IP-адрес. Наконец, большая доступность IP-адресов устраняет любые препятствия, которые существовали ранее при полном развертывании беспроводных и мобильных устройств.
# 2 — IPv6 обеспечивает лучшую сквозную связь, чем IPv4Самые интересные приложения, появившиеся в последнее время, — это одноранговые приложения, такие как многопользовательские онлайн-игры, видеоконференцсвязь (потоковое мультимедиа), совместное использование файлов и VoIP.В одноранговой сети группа компьютеров может напрямую взаимодействовать друг с другом и не нуждается в центральном сервере. Одноранговые приложения требуют сквозных соединений между уникальными IP-адресами.
IPv6 с большим адресным пространством больше не требует NAT и может гарантировать истинное сквозное соединение. Это означает, что одноранговые приложения, такие как VoIP или потоковая передача мультимедиа, могут очень эффективно и действенно работать с IPv6.
# 3 — IPv6 имеет лучшие возможности для автоконфигурации устройств, чем IPv4Всякий раз, когда узел подключается и хочет быть частью сети, для правильной настройки узла и его запуска требуется информация об IP-адресе и информация о маршрутизаторе.В прошлом, когда в сети было меньше устройств и компьютеров с IP, почти все они были статически настроены, а IP-адреса назначались вручную. Однако с быстрым распространением персональных компьютеров (ПК) и других устройств с поддержкой IP для эффективного управления устройствами и повторного использования ресурсов стало абсолютно необходимо рассмотреть возможность автоконфигурации.
IPv4 использует протокол автоконфигурации адреса с отслеживанием состояния, протокол динамической конфигурации хоста (DHCP).В модели автоконфигурации с отслеживанием состояния хост получает от сервера адреса интерфейсов, а также другую необходимую информацию, такую как информация о конфигурации и параметры. DHCP-сервер ведет список хостов, управляемый вручную, и отслеживает, какие адреса каким хостам были назначены.
IPv6 предлагает автоматическую настройку и, что более важно, простые механизмы настройки. Эти возможности, известные как автоматическая настройка plug-and-play, выходят далеко за рамки того, что в настоящее время предлагает IPv4.IPv6 предлагает DHCPv6, который является автоконфигурацией, аналогичной IPv4 DHCP, и предлагает автоконфигурацию адреса с отслеживанием состояния. Кроме того, IPv6 также предлагает автоконфигурацию адресов без сохранения состояния или без сервера.
В автоконфигурации без сохранения состояния хост может автоматически настраивать свой собственный адрес IPv6 и не нуждается в какой-либо помощи со стороны сервера адресов с отслеживанием состояния. На устройство доставляются целые префиксы IPv6, а не просто адрес. Эта особенность позволяет маршрутизаторам легко автоматически настраивать свои интерфейсы и может очень эффективно использоваться в сетях широкополосного доступа для динамического предоставления клиентских шлюзов.
# 4 — IPv6 содержит упрощенные структуры заголовков, что обеспечивает более быструю маршрутизацию по сравнению с IPv4Настоящий IP использует сервис дейтаграмм для передачи пакетов данных между точкой с помощью маршрутизаторов. Структура заголовка пакета IPv4 содержит 20 байтов данных, таким образом, она содержит в заголовке все возможные параметры, тем самым вынуждая промежуточные маршрутизаторы проверять, существуют ли эти параметры, и, если они есть, обрабатывать их перед их пересылкой.В заголовке пакета IPv4 эти параметры имеют определенный максимально допустимый размер.
По сравнению с IPv4, IPv6 имеет гораздо более простую структуру заголовка пакета, которая по существу предназначена для минимизации времени и усилий, затрачиваемых на обработку заголовка. Это было достигнуто путем перемещения необязательных полей, а также несущественных полей в заголовки расширения, которые помещаются только после заголовка IPv6. Следовательно, заголовки IPv6 обрабатываются более эффективно на промежуточных маршрутизаторах без необходимости анализа заголовков или повторного вычисления контрольных сумм сетевого уровня или даже фрагментации и повторной сборки пакетов.Эта эффективность позволяет снизить накладные расходы на обработку для маршрутизаторов, делая оборудование менее сложным и позволяя обрабатывать пакеты намного быстрее.
Другой особенностью структуры заголовка IPv6 является то, что заголовок расширения позволяет более гибкие включения протоколов, чем то, что делает IPv4. Напротив, заголовки расширения IPv6 не имеют такого ограничения на максимальный размер. Их можно расширить для размещения любых дополнительных данных, которые считаются необходимыми для эффективного обмена данными по IPv6.Фактически, типичный пакет IPv6 не содержит заголовка расширения, и только если промежуточные маршрутизаторы или пункт назначения требуют особой обработки, хост, отправляющий пакеты, будет добавлять один или несколько заголовков расширения в зависимости от требований. Этот новый заголовок расширения делает IPv6 полностью оснащенным для поддержки любых будущих потребностей или возможностей.
# 5 — IPv6 обеспечивает лучшую безопасность, чем IPv4 для приложений и сетейИнтернет функционировал в течение последних трех десятилетий с IPv4 в качестве основного протокола.Однако из-за этой сквозной модели IPv4 был разработан без учета требований безопасности и предполагает, что необходимая безопасность будет обеспечиваться на конечных узлах. Например, рассмотрим приложение, такое как электронная почта, которому могут потребоваться службы шифрования — в IPv4 ответственность за предоставление этих услуг лежит на почтовом клиенте на конечных узлах. Сегодня Интернет сталкивается с такими угрозами, как атаки типа «отказ в обслуживании», распространение вредоносного кода, атаки типа «человек посередине», атаки фрагментации и разведывательные атаки.
В IPv6 IPSec является основным требованием протокола и одним из факторов, гарантирующих, что IPv6 обеспечивает лучшую безопасность, чем IPv4.
IPSec содержит набор криптографических протоколов для обеспечения безопасной передачи данных и обмена ключами. Основные используемые протоколы:
- Протокол заголовка аутентификации (AH), который обеспечивает аутентификацию и целостность данных.
- Протокол инкапсуляции полезной нагрузки (ESP), который обеспечивает аутентификацию и целостность данных, а также конфиденциальность данных.
- Протокол обмена ключами в Интернете (IKE). Этот набор протоколов помогает изначально установить и согласовать параметры безопасности между двумя конечными точками. Затем он также отслеживает эту информацию, чтобы связь оставалась безопасной до конца.
Таким образом, IPv6 гарантирует наличие механизмов сквозной безопасности, которые будут обеспечивать возможности аутентификации и шифрования для всех приложений, и тем самым устраняет необходимость для самих приложений иметь интегрированную поддержку таких возможностей.Дополнительным преимуществом использования одних и тех же механизмов безопасности для всех приложений является то, что установка и администрирование политик безопасности становится намного проще. IPv6 обеспечивает полную сквозную безопасность, тем самым позволяя развертывать новый набор персонализированных услуг, таких как услуги мобильной электронной коммерции, которые полагаются на безопасные транзакции.
# 6 — IPv6 обеспечивает лучшее качество обслуживания (QoS), чем IPv4Настоящий IP использует сервис дейтаграмм для передачи пакетов данных между точкой с помощью маршрутизаторов.Структура заголовка пакета IPv4 содержит 20 байтов данных, таким образом, она содержит в заголовке все возможные параметры, тем самым вынуждая промежуточные маршрутизаторы проверять, существуют ли эти параметры, и, если они есть, обрабатывать их перед их пересылкой. В заголовке пакета IPv4 эти параметры имеют определенный максимально допустимый размер.
QoSполучает особое усиление в протоколе IPv6 с заголовком IPv6, содержащим новое поле, называемое полем метки потока, которое определяет, как определенные пакеты идентифицируются и обрабатываются маршрутизаторами.Поле метки потока позволяет маршрутизаторам быстро и эффективно обрабатывать пакеты, которые принадлежат определенному потоку, другими словами, которые начинаются с определенного хоста и направляются в конкретный пункт назначения.
Поле метки потока, таким образом, обеспечивает более эффективную доставку информации от одного конца к другому без возможности ее изменения промежуточными системами. Это обеспечивает высокую степень QoS, особенно для одноранговых приложений, таких как VoIP и других приложений реального времени.
# 7 — IPv6 обеспечивает лучшие возможности многоадресной и Anycast по сравнению с IPv4В методе многоадресной рассылки пакет копируется с одного этапа на другой в иерархической древовидной структуре, вместо того, чтобы отправлять его напрямую от источника. Это означает, что в сети меньше пакетов, что оптимизирует использование полосы пропускания, а также сокращает ресурсы, необходимые на каждом сетевом узле. Этот метод многоадресной рассылки особенно полезен, когда потоки информации должны быть доступны для большого количества подключенных устройств, а не только для одного адресата.Например, метод многоадресной рассылки используется для ретрансляции аудиоданных, видеоданных, каналов новостей, каналов финансовых данных и т. Д.
IPv6 расширяет возможности многоадресной рассылки IPv4, предлагая большой диапазон адресов многоадресной рассылки. Очевидно, это ограничивает степень распространения информационных пакетов и значительно повышает эффективность сети.
IPv6 также значительно улучшает концепцию сервисов Anycast, которые доступны, хотя и в очень минимальной форме в IPv4.В сервисах anycast пакеты отправляются не всем узлам в сети, а только ближайшему доступному члену. Типичное приложение, в котором anycast будет иметь огромное применение, говорит при обнаружении сервера данного типа, например. DNS-сервер среди группы серверов. Он также предоставит избыточные пути к другим серверам, так что если по какой-либо причине маршрут к первичному серверу станет недоступным, в следующем сеансе соединение будет предоставлено следующему серверу в группе.
# 8 — IPv6 предлагает лучшие функции мобильности, чем IPv4Когда мы рассматриваем функции IP-мобильности, мы, по сути, рассматриваем функции, которые были бы полезны для:
- Мобильные устройства, которые могут изменять свое местоположение, но хотели бы сохранить существующие подключения.
- Мобильные сети, обеспечивающие мобильность группе устройств.
- Специальная сеть, при которой некоторые из погружений остаются подключенными к сети или в непосредственной близости от сети только на короткое время сеанса связи.
Когда мобильный узел отсутствует дома, он передает домашнему агенту информацию о своем текущем местоположении, также называемую адресом для передачи. Теперь, если узел хочет связаться с этим мобильным режимом, он сначала отправит информационные пакеты на домашний адрес.Домашний агент принимает эти пакеты и, используя таблицу, отправляет эти пакеты на служебный адрес мобильного узла.
При использовании IPv6 поддержка мобильности является обязательной за счет использования мобильного IPv6 (MIPv6). Оптимизация маршрута — это встроенная функция мобильного IPv6. Кроме того, такие функции, как обнаружение соседей и автоконфигурация адреса, позволяют мобильным узлам работать в любом месте, не прибегая к услугам какого-либо специального маршрутизатора.
MIPv6 может использоваться для достижения бесшовной мобильности, позволяя переключаться между различными технологиями доступа, например, от сотовой сети к беспроводной сети, с минимальным прерыванием текущих соединений.В Mobile IPv6 нет проблем с входящей фильтрацией, поскольку узел-корреспондент использует временный адрес в качестве адреса источника.
Эти устройства все чаще требуют доставки конвергентной речи, видео и данных, что стало возможным благодаря стандарту, называемому стандартом IP Multimedia Subsystem (IMS). Однако IMS требует, чтобы каждое мобильное устройство имело уникальный IP-адрес, который является постоянным IP-адресом, чтобы обеспечить полную двунаправленность услуг.
IPv6 благодаря большому адресному пространству гарантирует, что каждое мобильное устройство может иметь свой собственный уникальный IP-адрес.Кроме того, Mobile IPv6 использует заголовки расширения для добавления мощных возможностей, таких как оптимизация маршрута между мобильными узлами при роуминге между различными сетями 3G.
# 9 — IPv6 обеспечивает простоту администрирования через IPv4Когда существующая сеть должна быть расширена или две сети должны быть объединены, или когда поставщики услуг меняются, сеть необходимо перенумеровать, поскольку ей будет назначена новая схема адресации.
IPv6 обеспечивает автоматическое изменение нумерации сети.Таким образом, перенумерация сети с использованием IPv6 больше не требует ручной перенастройки каждого хоста и маршрутизатора и обеспечивает более плавное переключение или слияние.
Еще одна полезная административная функция IPv6 — это метод множественной адресации. При этом одновременно устанавливаются подключения к двум ISPS. Когда услуга одного провайдера теряется, создается резервное подключение к Интернету. Это обеспечивает гораздо большую надежность услуг, поскольку существует более одного пути от хоста к месту назначения.
# 10 — IPv6 следует ключевым принципам проектирования IPv4, тем самым обеспечивая плавный переход от IPv4 ПротоколIPv4 успешно внедряется во всем мире уже много лет, и его популярность свидетельствует об успехе его разработки. IPv6 следует многим из тех конструктивных особенностей, которые сделали IPv4 таким успешным. Это позволяет плавно переходить с IPv4 на IPv6. Сегодня на рынке существует множество коммерчески привлекательных приложений, для которых требуется IPv6, и многие из них могут склонить к быстрому переходу на IPv6.Однако приложения IPv4 будут использоваться еще некоторое время, и процесс перехода с IPv4 на IPv6 должен быть постепенным.
Успешный механизм перехода с IPv4 на IPv6 — это механизм, при котором элементы IPv6 включаются в сеть, при этом поддерживается совместимость с уже существующей большой базой хостов и маршрутизаторов IPv4. Таким образом, в ближайшее время узлы и маршрутизаторы IPv6 должны взаимодействовать и функционировать с существующей сетевой инфраструктурой IPv4.
Определен ряд таких механизмов перехода, которые позволяют двум сетям сосуществовать до тех пор, пока полный переход на IPv6 не станет возможным.
Использование реализаций двойного стека IPv4 / IPv6, таких как туннелирование, двойной стек IP с использованием трансляторов сетевых адресов и протоколов.
Что следует знать перед переходом с IPv4 на IPv6Провайдер интернет-услуг (ISP) — Убедитесь, что ваш интернет-провайдер предоставляет услуги IPv6 — Для Интернета и электронной почты вы можете запустить их с двойным стеком, создать для них записи A и AAAA, и они должны работать.Такие вещи, как анализ файлов журналов, необходимо сделать с учетом версии 6. В идеале вам нужны записи PTR IPv6, особенно для электронной почты.
Сетевая инфраструктура — Ваши маршрутизаторы должны поддерживать IPv6. В противном случае вы можете запустить туннель 6to4, но это не совсем промышленный уровень, если у вас нет контракта с поставщиком туннелей. Как правило, компьютеры, маршрутизаторы и т. Д. Уже некоторое время поддерживают IPv6. Коммутаторам плевать.
Межсетевые экраны — Вам необходимо продублировать правила межсетевого экрана в IPv6.Если вы используете NAT, потому что не можете получить достаточно адресов IPv4, вы можете просто отказаться от него и запустить v6. Если вы полагаетесь на NAT для обеспечения безопасности, вам необходимо добавить правила брандмауэра.
DHCP — маршрутизаторы IPv6 объявляют маршруты и адреса, чтобы все было подключено к сети, но вам нужен DHCP6, чтобы сообщить им, какой DNS использовать. В конечном итоге все может работать, но не иметь четко определенных адресов — то есть вы можете потерять информацию о том, что находится в вашей сети, если не будете отслеживать, к каким портам все подключено, и не выполнять аутентификацию MAC по Wi-Fi.
Хотите узнать больше?
Sunset Learning предоставляет авторизованное обучение IPv6 более 10 лет! Мы обучили более 1200 студентов IPv6, многие из которых были из крупных правительственных агентств, таких как DoD, DISA, DARPA, AFSCA или FAA.
Теги: Маршрутизация и коммутация Cisco Переход сIPv4 на IPv6: зачем ждать?
Вы уже перевели сеть своей компании с IPv4 на IPv6? Если нет, то почему? Уже много лет мы слышим апокалиптические теории о том, что нам нужно перейти на IPv6, иначе Интернет умрет.Об исчерпании IPv4 ходят слухи с 1990-х годов, а IPv6 существует уже 19 лет, поэтому, если вы еще не сделали этого, вы не одиноки. Google отслеживает статистику IPv6, и по состоянию на декабрь 2017 года только 18,67% в мире развернули IPv6, а в Соединенных Штатах это было быстрее, примерно на 25%. Если все мы знаем, что в какой-то момент IPv6 станет стандартом, то почему переход занимает так много времени?
ЭТО СЛОЖНО
Одним из основных факторов является то, что изменение Интернет-протокола (IP) не может выполняться по одному подключению за раз.Отправляющей системе, которая создает пакет IPv6, нужны все маршрутизаторы, брандмауэры и балансировщики нагрузки, которые находятся на ее пути, чтобы понимать и иметь возможность обрабатывать пакет IPv6. Кроме того, принимающая система должна понимать IP-пакет, чтобы все работало правильно. Мы не можем просто обновить сервер и клиентское приложение; это также требует обновления всего, что между ними.
КОМНАТА ДЛЯ РАЗВИТИЯ
Еще одним движущим фактором является то, что у нас все еще не закончились адреса IPv4.Управление по присвоению номеров в Интернете (IANA) отвечает за глобальную координацию всех IP-адресов, которые они, в свою очередь, распределяют между пятью региональными внутренними реестрами (RIR). IANA исчерпала свой пул адресов IPv4 в феврале 2011 года, когда распределила последние пять из 8 блоков адресов, по одному каждому из пяти RIR. Только AFRINIC все еще имеет доступные IPv4-адреса, хотя, по их оценкам, они также закончатся где-то в 2018 году. Эти два факта наверняка говорят о том, что у нас закончились адреса IPv4 и у нас большие проблемы, верно? Не волнуйтесь, у интернет-провайдеров (ISP) все еще есть адреса IPv4, которые можно назначать клиентам.
КАК ЭТО ВОЗМОЖНО?
Основная причина того, что у нас не закончились адреса IPv4, — это использование трансляции сетевых адресов (NAT), метода переназначения одного пространства IP-адресов в другое. Большинство NAT сопоставляют частные хосты с одним общедоступным IP-адресом, что сокращает количество требуемых общедоступных IPV4-адресов. Интернет-провайдеры делают еще один шаг вперед, используя NAT операторского уровня. Это позволяет им использовать частное адресное пространство в своей сети и выполнять сопоставление с общедоступным адресом в демаркационной точке в Интернете.Использование бесклассовой междоменной маршрутизации (CIDR) и получение провайдерами неиспользуемого адресного пространства от клиентов также помогло сохранить адреса IPv4.
НЕ ЖДИТЕ
Хотя исчерпание IPv4 заняло больше времени, чем ожидалось, это произойдет. Активное использование мобильных устройств и Интернета вещей (IoT) только ускорит этот процесс. Не ждите! Начните процесс и будьте готовы внести изменения. Вот как:- Начните оценку устройств в вашей сети, чтобы определить, какие из них поддерживают IPv6, а какие необходимо обновить.
- Получите префикс IPv6 и разработайте план адресации.
- Обсудите варианты миграции и методы перехода документов. Microsoft уже много лет включает IPv6 в Windows по умолчанию, поэтому есть вероятность, что в вашей сети уже есть трафик IPv6.
Нужна помощь с планом перехода с IPv4 на IPv6 или у вас просто есть вопросы? Обратитесь к нашей команде интеллектуальной инфраструктуры. Наши инженеры обладают большим опытом, чтобы помочь в разработке и выполнении плана перехода, адаптированного к вашей уникальной среде и возможностям.Настройте свой бизнес на успех IPv6 уже сегодня!
Об авторе
Джефф Паттерсон работает в сфере технологий более 20 лет и имеет опыт работы с корпоративными сетями, безопасностью, совместной работой и мобильностью.