Проблемы, связанные с внедрением протокола 6-ой версии
Внедрен ли IPv6 у сервис-провайдера?
Первый вопрос, с которого следует начать строительство сети или ее модернизацию, – возможности вышестоящего провайдера, если таковой имеется, либо возможности AS (автономной системы), от которой подключен конечный оператор связи. Не все провайдеры внедрили в инфраструктуру своей сети поддержку IPv6, однако это вопрос времени. Список провайдеров, предоставляющих IPv6, доступен по ссылке.
Старое железо
Многие провайдеры до сих пор используют устаревшее оборудование. Принцип прост: работает – значит, нечего лезть. Это самая распространенная ошибка. Новое железо создается с учетом использования не только новых технологий, но и новых критериев безопасности. В свою очередь оборудование с актуальной (последней) версией прошивки и оконченной поддержкой производителя не подлежит программному и аппаратному апгрейду. Это означает, что если оборудование не умело работать с протоколом IPv6, то каким-либо образом установить и включить его не получится.
Дело в том, что адрес IPv4 имеет размер 4 байта, а IPv6 – 16 байт, то есть в 4 раза больше. Соответственно, и памяти потребуется в 4 раза больше, а для аппаратных платформ это роскошь.
Инфраструктура сети. IPv6 + IPv4. DNS
Допустим, оператор связи уже имеет собственное пространство IPv4-адресов и хочет внедрить еще и IPv6. Какое оборудование необходимо?
Есть несколько способов внедрения IPv6 в уже существующую инфраструктуру. Самые распространенные:
- IPv4v6 Dual-Stack – одновременная поддержка IPv4 и IPv6;
- NAT64 – трансляция IP-адресов из адресного пространства IPv6 в IPv4 или наоборот;
- туннелирование IPv6 внутри IPv4.
Каждый вариант имеет как преимущества, так и недостатки, однако IPv4v6 Dual-Stack является самым перспективным.
А что с DNS? Там все просто. Адресная запись IPv4 для доменного имени является записью типа A. Для IPv6 было предложено назвать тип записи как A6, который позже переименовали в AAAA.
Проблемы клиентов
Очередная проблема перехода к IPv6 – поддержка этого протокола клиентским оборудованием. Если современные операционные системы полностью поддерживают IPv6, то, например, домашние маршрутизаторы могут оказаться не готовы. И тому есть ряд причин:
- Клиент использует устаревшее оборудование и не имеет желания тратить деньги на замену того, что «и так работает».
- Производители пользовательского оборудования по каким-то причинам не хотят включать поддержку IPv6 на своем оборудовании.
- Поддержка IPv6 имеется, но работает нестабильно, либо программное обеспечение клиентского маршрутизатора поддерживает IPv6, но не так, как это реализовано у провайдера.
- Отсутствие пользовательского контента в IPv6-сетях.
На третьем пункте хотелось бы заострить внимание. Производитель клиентского оборудования, например TP-Link, включил поддержку IPv6 в последних моделях своей продукции. Достаточно выбрать тип WAN-соединения:
- DHCPv6;
- статический адрес IPv6;
- PPPoEv6;
- туннелирование (Tunnel 6to4).
К сожалению, не все производители готовы предоставить такой выбор клиенту и ограничиваются в лучшем случае туннелированием и динамической/статической конфигурацией, в худшем – только динамической конфигурацией.
Касательно нестабильной работы, упомянутой в этом пункте, следует обратить внимание, что клиенту по умолчанию выдается подсеть с префиксом /64, которая рассчитана на 18446744073709551616 сетевых адресов. Пространство достаточно большое, однако изменение префикса сети как в большую (/63, /64), так и в меньшую (/61, /60) сторону у некоторых производителей приводит к нестабильной работе оборудования.
Отсутствие контента в IPv6-сетях больше вызвано нежеланием владельцев ресурсов внедрять этот протокол. Несмотря на то что многие зарубежные организации уже активно его используют, российские не торопятся это делать.
Почему нельзя будет отказаться от IPv4-адреса?
От адресного пространства IPv4 еще долгое время нельзя будет отказаться. Причина – неспешный переход к IPv6. Ход миграции изображен на графике:
Теоретически предполагается, что размер пула IPv4-адресов будет уменьшаться, в то время как IPv6 – только расти. На практике пространство IPv4-адресов еще не окончено, то есть RIR (региональные интернет-регистраторы) исчерпали адресное пространство не полностью, и выглядит оно следующим образом:
Прогнозируемые сроки окончания пула IPv4 для стран Африки – 30 апреля 2019 года, для Европы, Ближнего Востока и Центральной Азии – начало 2021 года. Предполагается, что массовый переход к IPv6 начнется после полного исчерпания свободных адресов и увеличения роста пользователей Интернета (в том числе и Интернета вещей).
Проблемы законодательства
Провайдер, в соответствии со статьей 64 Федерального закона «О связи», должен хранить логи доступа клиентов в Сеть на протяжении трех лет. Введение IPv6 требует внесения изменений в сбор данной статистики. В частности, netflow-данные должны иметь поля IPv6 в адресе назначения и адресе источника. Это доступно начиная с 9-й версии протокола.
Также значительному изменению подвергнется биллинговая система провайдера и СОРМ.
СКАТ DPI и IPv6
Специфика внедрения IPv6
В актуальной версии СКАТ-DPI поддержка IPv6 активируется в конфигурационном файле DPI, для этого параметру IPv6 нужно задать значение 1:
ipv6=1
Также можно изменить размер префикса IPv6 сети, выдаваемой клиенту (по умолчанию /64). Достаточно изменить следующий параметр в конфигурационном файле:
ipv6_subnetwork=64
Важно! Поддержка IPv6 требует дополнительных ресурсов памяти и процессора, поэтому если вы не предоставляете абонентам IPv6-адреса, то активировать поддержку IPv6 в DPI не рекомендуется.
RADIUS и СКАТ DPI
СКАТ поддерживает IPv4- и IPv6-адресацию абонентов. Для IPv4-абонентов в ответе должен быть атрибут Framed-IP-Address, задающий IPv4-адрес, причем этот адрес должен совпадать с тем, который был указан в Access-Request. Если значения Framed-IP-Address в запросе и ответе различаются, это считается ошибкой.
Для IPv6-абонентов в Access-Accept/Reject поддерживаются атрибуты:
- Framed-IPv6-Address – задает IPv6-адрес абонента. Значение данного атрибута в ответе должно совпадать со значением в запросе.
- Framed-IPv6-Prefix – задает IPv6-префикс подсети абонента. Размер префикса и его значение в ответе должны совпадать с запросом.
- Framed-IPv6-Pool – имя пула. Необязательный атрибут. Если этот атрибут указан в ответе, то он будет передаваться во всех Accounting-Request.
Для IPv6 ответ обязательно должен содержать один из атрибутов Framed-IPv6-Address или Framed-IPv6-Prefix (или оба сразу). При этом СКАТ интерпретирует атрибут Framed-IPv6-Address как префикс подсети, не учитывая младшие биты адреса (напомним, что пока СКАТ умеет работать только с префиксами одинакового размера, задаваемыми параметром ipv6_subnetwork).
Следует отметить, что разработчики СКАТ DPI предусмотрели возможность назначения абоненту IPv6- и IPv4-адресов, в том числе «серых» с дальнейшим натированием.
Преимущества перехода к IPv6
Первое и очевидное преимущество IPv6-сетей – доступность огромного количества IP-адресов. Это означает, что любому устройству, подключенному к Сети, можно будет выдать «белый» IP-адрес. Провайдер получает возможность закрепить его (адрес) за каждым абонентом и более того – выделять целые подсети для каждого клиента.
В промышленности возможна перспектива выдачи IP-адреса на каждый датчик, не говоря уже о целых агрегатах.
Какие преимущества получает рядовой пользователь? Система «умный дом» и Интернет вещей также получат возможность доступа к сети Интернет, все – от тостера до домашнего сервера. При этом не обязательно будет использовать облачные сервисы производителя.
Второе явное преимущество – возможность автоконфигурирования интерфейса, то есть выдача IP-адреса клиенту возможна не только средствами DHCPv6, но и с помощью SLAAC (Stateless address autoconfiguration). Узел сам может отправить ICMPv6-запрос, в свою очередь маршрутизаторы, получившие такой запрос, направляют ответ, в котором указывается информация о сетевом префиксе, адресе шлюза, адресах рекурсивных DNS-серверов и прочее.
Заключение
Переход на IPv6 неизбежен. Это долгий и сложный процесс, который невозможно сделать мгновенно. К сожалению, на данный момент для большинства пользователей преимущества нововведений не столь очевидны. В основном первыми переходят те страны или районы, где недостаток адресов ощущается наиболее остро.