次の方法で共有


Несколько слов о внедрении IPv6

Интернет развивается. Число пользователей растет семимильными шагами. Технологии тоже продвигаются. В результате такого поступательного движения даже супер-передовые в прошлом решения становятся сдерживающим фактором для дальнейшего развития информационных систем, к которым относится и Всемирная Паутина. Используемый повсеместно сегодня протокол IP четвертой версии, разработанный IETF почти 30 лет назад (1981), уже не соответствует в полной мере современным потребностям. В числе недостатков используемого протокола:

  • ограниченность пула ip-адресов Интернета и скорое окончание этого пула;
  • слабая расширяемость протокола - недостаточный размер заголовка IPv4, не позволяющий разместить требуемое количество дополнительных параметров в нем;
  • проблема безопасности коммуникаций - не предусмотрено каких-либо средств для разграничения доступа к информации, размещенной в сети;
  • отсутствие поддержки качества обслуживания - не поддерживается размещение информации о пропускной способности, задержках, требуемой для нормальной работы некоторых сетевых приложений;
  • проблемы, связанные с механизмом фрагментации - не определяется размер максимального блока передачи данных по каждому конкретному пути;
  • отсутствие механизма автоматической конфигурации адресов.

При этом главными причинами необходимости разработки нового протокола на замену существующему на мой взгляд следует считать именно конструктивные недостатки IPv4 в областях эффективности маршрутизации, безопасности и удобства работы.

В 1999 году был разработан новый протокол: IPv6. Кроме явного преимущества в расширении адресного пространства, его внедрение предоставляет человечеству дополнительные возможности, такие как:

  • возможность автоматической настройки IP адресов (с DHCP или без него);
  • облегчение  (упрощение) заголовка пакета;
  • измененное представление необязательных полей заголовка;
  • улучшенная поддержка иерархической адресации, агрегирования маршрутов;
  • механизмы аутентификации и шифрования на уровне IP-пакетов;
  • отсутствие функции фрагментации пакетов (взамен задан выполняемый конечными пользователями механизм поиска подходящего MTU);
  • метки потоков данных;
  • поддержка качества обслуживания (QoS).

В результате, применение нового протокола оптимизирует маршрутизацию, облегчит процессы настройки узлов и оборудования, повысит производительность, общий уровень безопасности, повсеместный доступ и мобильность.

Хочется сказать несколько слов о том, насколько необходимо уже сейчас задумываться о начале использования этого протокола в своих IT-системах, и какие средства в связи с этим предлагает Microsoft.

Основными сдерживающими факторами на пути перехода на IPv6 можно назвать:

  • необходимость дополнительных затрат на оборудование [и ПО], совместимые с IPv6;
  • не всё сетевое оборудование [и ПО] поддерживают IPv6;
  • у многих сетевых инженеров отсутствуют адекватные знания предмета (IPv6);
  • не все интернет-провайдеры гарантируют работу с IPv6;
  • опасения по поводу безопасности работы с IPv6.

Как можно прокомментировать эти доводы?

  • затраты на оборудование и ПО можно запланировать как часть общего плана любой компании по естественному обновлению устаревающего парка оборудования и ПО;
  • ситуация с поддержкой IPv6 оборудованием и основными программными продуктами (операционными системами) активно улучшается со временем: так, практически все производители сетевого оборудования уже либо поддерживают IPv6 либо эти работы стоят у них в самых ближайших планах; кроме того, в достаточно зрелом виде существуют технологии, позволяющие обеспечить совместную работу IPv4 и IPv6 (6to4, Teredo);
  • образование технического персонала – задача перманентная и не должна являться камнем преткновения; есть литература, авторизованные курсы по IPv6, на которых можно почерпнуть необходимую информацию;
  • да, не все интернет-провайдеры готовы к IPv6, но ситуация меняется в лучшую сторону: ISP находятся «на острие» проблемы, бизнес требует осуществлять такую поддержку, это не должно позволить расслабиться тем из них, кто заботится о своих клиентах и о своем будущем;
  • средства по поддержке безопасности встроены в сам протокол IPv6, что гарантирует гораздо больший уровень безопасности при использовании IPv6 нежели чем IPv4; риски на настоящий момент существуют у протоколов обеспечения совместимости (6to4, Teredo), но выявляемые уязвимости отрабатываются и оперативно закрываются (по крайней мере так действует Microsoft).

Основные опасения, касающиеся безопасности, возникают потому, что при использовании IPv6 выделяются адреса, все из которых теоретически могут маршрутизироваться через Интернет. В этом может заключаться угроза безопасности. Поэтому основное внимание должно переключиться с правильной настройки NAT на правильную настройку брандмауэров. Также нужно иметь в виду, что IPv6-туннелирование открывает брешь в брандмауэрах IPv4. Работая с IPv6, необходимо использовать брандмауэры, поддерживающие IPv6 (например, W7 firewall). Microsoft предлагает свои рекомендации по вопросам обеспечения безопасности при использовании IPv6.

Нужно понимать, что немедленной выгоды от начала использования IPv6 сейчас получить нельзя. Тем не менее технология IPv6 – вполне зрелая, процесс её внедрения в мировом масштабе уже идёт, и те кто участвует в этом процессе меньше рискуют чем те, кто предпочитает ждать. Они быстрее интегрируются в более эффективную среду, что позволит им высвободить свои усилия в дальнейшем, когда те, кто выжидали, вынуждены будут приняться за работу.

Внедрение IPv6 уже проводится в государственных учреждениях многих стран. В Евросоюзе план перехода официально утвержден еще в 2008 году. Согласно ему, 25% пользователей Интернета должны начать использование IPv6 к 2010 г. Для федеральных агентств США IPv6 законодательно обязателен к использованию уже сегодня. Стратегия использования IPv6 принята во многих развитых странах: Канаде, Австралии, Японии, Корее, Китае, т.п.

Какие усилия по данному направлению предпринимает Microsoft:

  • IPv6 встроен в ОС Windows последних поколений, он включен по умолчанию;
  • реализована поддержка одновременной работы IPv4 и IPv6 в ОС Windows;
  • реализуются на практике технологии на базе IPv6 (например, Direct Access).

Мне кажется, Direct Access настолько интересное, удобное в практическом плане решение, что его внедрение может являться хорошим поводом заодно начать планирование поддержки IPv6 на предприятии.

Несколько слов по планированию перехода на IPv6. Необходимо рассчитывать, что процесс перехода будет достаточно долог (как минимум несколько месяцев). Это значит, что нельзя откладывать его на последний момент в надежде разрешить «кавалерийским наскоком». Соответственно, лучше всего разбить его на этапы, чтобы лучше ориентироваться в том, что делается в определенном временном промежутке, иметь возможность корректировки, и планировать результаты. Три большие фазы такого проекта могут быть такими:

  • обозначение цели внедрения IPv6 и оценка готовности к работе с IPv6 (1-2 месяца)
  • планирование процесса перехода (внедрения) IPv6 (составление необходимой проектной документации, 3-4 месяца)
  • собственно процесс внедрения IPv6 (12-24 месяцев)

Кроме того, нужно понимать, что несмотря на часто употребляемое словосочетание «переход на IPv6», речь на ближайшие несколько лет будет идти не о замене IPv4 на IPv6, а на одновременную работу по обоим протоколам. Эксперты сходятся на том, что сосуществование версий будет продолжаться довольно продолжительное время (нечто подобное мы видим сейчас при постепенном переходе от 32-разрядного на 64-разрядное программное обеспечение). Безусловно, это сглаживает многие риски и дает возможность работать с новой технологией без ущерба для уже существующей отлаженной сетевой инфраструктуры.

Итак, уважаемые коллеги, нам уже сейчас нужно начинать предпринимать определенные усилия, чтобы понять и принять IPv6, начать использовать его и технологии на его основе. А мы, Microsoft Consulting Services, готовы вам в этом всемерно помогать. За работу, товарищи! :)

Литература и полезные ссылки:

“Understanding IPv6, 2nd Edition”, Joseph Davies, Microsoft Press

https://www.ipv6.ru/index.php

https://blogs.technet.com/abeshkov/archive/2009/06/28/direct-access.aspx

https://www.techdays.ru/videos/1428.html

Comments

  • Anonymous
    January 01, 2003
    10 лет назад оно было в поставке AIX, и для того чтобы протестировать работу с другими IPv6 чудаками было чудное средство - Quake (он тогда, до y2K, поддерживал IPv6) Лучше честно назвать пост DirectAccess в некоторых ревизиях W7 - это круто, так что забудьте об IP телефонии (хотя многие сипы с ним дружат), ибо как мы последние 10 лет говорим - IP адреса ну уже точно скоро кончаться