IPv6 a plán nasazení
Začali jsme pracovat na zavedení IPv6 v naší síti a u všech našich služeb a stránek. Co nás všechno čeká, co to obnáší a kdy očekáváme, že IPv6 zpřístupníme?
Datum: 07.12.2010
O tom, že se konec IPv4 adres nezadržitelně blíží a získat další IPv4 adresy bude brzy velmi těžké či dokonce nemožné, zde diskutovat nebudeme. O tom bylo psáno mnoho jinde na Internetu. Zde budeme řešit IPv6 v naší síti a u našich služeb. Pro získání základních informací o IPv6 doporučujeme web www.ipv6.cz.
Na základě naší žádosti, podané u organizace RIPE, nám již byl přidělen blok IPv6 adres, konkrétně 2a02:2b88::/32.
Naše síť a náš autonomní systém, zatím podporující pouze IPv4, funguje od září 2010. Zprovozněním druhé datové trasy mezi námi a Internetem a zapojením dalších routerů do sítě jsme dosáhli téměř finálního stabilního stavu a potřebné redundance. Proto můžeme IPv4 prohlásit za plně funkční a vrhnout se na IPv6.
Zavést IPv6 v sítích hostingových společností je relativně jednoduché, protože taková společnost má všechna síťová zařízení plně pod svou kontrolou. Takže se teoreticky jedná jen o rozchození potřebných protokolů a provedení potřebných nastavení na routerech, serverech a aplikacích na serverech. Prakticky to samozřejmě obnáší nějaké komplikace - je nutné se se vším důkladně seznámit, důkladně vše promyslet, vyzkoušet kompatibilitu všech zařízení a aplikací s IPv6 atd.
Zásadním problémem při zavádění IPv6 jsou spíše ISP společnosti, poskytující připojení k Internetu koncovým uživatelům. Už jen to, že IPv6 musí podporovat zařízení jako domácí routery, ADSL modemy atd., je těžký oříšek. Mnoho těchto zařízení to vůbec neumí, je velmi složité a nákladné tato zařízení u zákazníků doma vyměnit atd. Alternativou je různé tunelování či NATování mezi IPv4 a IPv6, ale vše to přináší mnoho technických komplikací.
Takže teoreticky to máme velmi jednoduché, už to zbývá prostě jen udělat.
Použití IPv6
Všechny naše služby budou dostupné přes IPv4 i IPv6 (odborně se tomu říká dual-stack). IPv4 zrušit nemůžeme, protože návštěvníci Internetu, kteří se nemohou připojit přes IPv6, by se do naší sítě neměli jak dostat. IPv4 se dá teoreticky "vypnout" až úplně celý Internet bude podporovat IPv6 (všechny servery a všichni uživatelé). Ale to je asi hudba hodně vzdálené budoucnosti.
Je-li nějaká služba (nějaká stránka) dostupná přes IPv4 i IPv6, je obvyklým řešením upřednostňovat IPv6. Prakticky to funguje tak, že doména, pod kterou je služba dostupná, má v DNS A i AAAA záznam. A pokud je přítomen AAAA záznam a váš osobní počítač má IPv6 konektivitu, je AAAA záznam upřednostněn a spojení se navazuje přes IPv6.
Pro nasazení IPv6 na nějakém serveru nestačí jen provést příslušná nastavení na síťovém rozhraní. S IPv6 musí počítat i aplikace na serveru běžící. Musí se vyrovnat zejména s tím, že se jim jako zdrojová IP při komunikaci s uživateli bude objevovat IPv6 - musí s tím počítat, mít potřebné datové struktury pro uložení a práci s IPv6 adresami atd.
Co je potřeba všechno udělat
- zprovoznění routování, propagace IPv6 přes BGP do Internetu přes naše poskytovatele konektivity
- nasazení IPv6 v naší interní síti
- konfigurace firewallů
- zpřístupnění našich DNS serverů přes IPv6 (AAAA záznamy naše DNS servery již podporují)
- zpřístupnění IPv6 adres zákazníkům virtuálních, dedikovaných a vlastních serverů
- podpora IPv6 u webhostingu
- zpřístupnění našich stránek a zákaznické administrace přes IPv6
Implementovat to budeme přibližně v uvedeném pořadí.
Co se týká routování, zatím nevíme, co nás čeká. Teoreticky je to snadné - vhodně rozmyslet podsítě, nastavit IPv6 na routerech, rozchodit potřebné routovací protokoly a propagovat naše IPv6 adresy přes naše poskytovatele konektivity.
V naší interní síti nasadíme IPv6 prostě proto, abychom mohli provádět příslušné testy. Týká se to našich pracovních stanic a vývojových a testovacích serverů, kde si vše důkladně otestujeme, než IPv6 nasadíme na produkčních serverech a systémech.
Serverhosting a webhosting
U virtuální, dedikovaných a vlastních serverů je řešení snadné. Při zřízení služby zákazníkům spolu s IPv4 adresou přidělíme též IPv6 adresu, kterou si zákazník, pokud má zájem, může nastavit na svém síťovém rozhraní. U virtuálních a dedikovaných serverů, na které umisťujeme předinstalovaný operační systém, však nebudeme IPv6 adresu implicitně nastavovat, protože nevíme, zda zákazníkovy aplikace na serveru budou IPv6 podporovat.
Podobný problém je u webhostingu. Webhostingové servery sice budou nakonfigurované též na IPv6, ale standardně nebudeme k doméně do DNS přidávat AAAA záznam. Nemůžeme totiž vědět, co budou zákazníci na webu provozovat a co jejich PHP aplikace řekne na to, když se jí v proměnné $_SERVER['REMOTE_ADDR'] objeví IPv6 adresa, kterou např. ukládají do databáze, používají k logování, omezování přístupu atd. AAAA záznamy se k doméně u webhostingu přidají pouze v případě, že o to zákazník požádá (při vyplňování objednávky webhostingu či dodatečně v zákaznické administraci).
S webhostingem souvisí i to, že provedeme průzkum, které open source redakční a další systémy IPv6 podporují a které nikoliv. A výsledky průzkumu zveřejníme.
Naše stránky a aplikace
Naše WWW stránky, zákaznická administrace a další naše aplikace potřebují několik drobných úprav, právě proto, že se IP adresy návštěvníků používají k logování, omezování přístupů (např. u WAPI rozhraní) a dalším operacím. Je potřeba doimplementovat různé funkce pro práci s IPv6 adresami, jejich evidenci, automatické přidělování atd.
Kdy to bude?
První věci (routování, DNS) bychom rádi stihli během prosince a ledna, zpřístupnění pro serverhosting, webhosting a naše stránky v únoru. To je naše přání, ale, prosím, neberte nás za slovo. Budeme se snažit a budeme vás průběžně informovat o tom, co je v jakém stádiu. Bez mučení se přiznáváme, že nemáme s IPv6 vůbec žádné zkušenosti, takže na to půjdeme pomalu a raději to pustíme později než kdybychom to neměli důkladně udělané a otestované.