Jak bude vypadat nová éra internetu
po vyčerpání IPv4 adres?
Před nedávnem médii proběhla zpráva o blížícím se vyčerpání IPv4 adres a o možných dopadech na průmyslové odvětví IT i na běžné uživatele internetu. V článku se pokusím přiblížit, v čem spočívají nebezpečí vyčerpání IP adres, co se s tím dá dělat a jak bude vypadat nová éra internetu, až se tento problém podaří překonat.
Internet se stal celosvětovou sítí postupnou evolucí díky původním myšlenkám o svobodě komunikace a díky takřka geniálním technickým řešením. Nejdůležitější ideou od počátků bylo vyloučení technické, administrativní i legální autority, která by v jakémkoliv smyslu „řídila“ internet. V komunikační síti takové řízení znamená především rozhodování o tom, kudy mají téct data, jak se mají kódovat a o dalších technikáliích přenosu. Model decentralizované sítě měl značné výhody proti starším telefonním sítím a díky nim se v průběhu minulých dvaceti let prosadil. Decentralizovaná síť umožnila flexibilní propojování menších autonomních jednotek, které společně tvoří celek s proměnlivou kvalitou vzájemného propojení. To není na škodu, naopak volnost při propojování umožňuje snadnou globalizaci sítě, výrazně redukuje celkovou cenu i nutnost velkých investic a umožňuje rychlý růst. Spojovacím článkem mezi teorií o tom, jak by měla vypadat decentralizovaná síť, a životaschopnou implementací, kterou můžou používat miliony lidí, jsou protokoly. V případě internetu, či obecně toho, čemu se říká „rodina protokolů TCP/IP“, docházelo a dochází k volné soutěži myšlenek, jejímž produktem byl mimo jiné fenomenálně úspěšný protokol síťové vrstvy OSI modelu, protokol IP (což je zkratka od „Internet Protocol“).
Protokol IP má za úkol zajistit obalení dat protokolů vyšších vrstev, skrytí rozdílů technologií a protokolů nižších vrstev a především směrování při přenosu komunikační sítí. Decentralizované směrování je v IP navrženo jako souhra koordinovaného přidělení jednoznačných identifikátorů uzlům sítě bez stanovené hirearchie, nalezení nejlepších cest pomocí směrovacích protokolů a pak faktického směrování datagramů na základě znalosti úplné adresy cíle a dílčích informací o dostupnosti a nejlepším směru k cílovému uzlu. Jednoznačným identifikátorem uzlu je IP adresa, v případě IPv4 to je 32 bitů dlouhé číslo.
Problémem jinak revolučního a vizionářského návrhu protokolu IP je malá velikost adresního prostoru – 232 adres, což je něco málo přes 4,2 miliardy. Společně s nevhodnou distribucí adres a původní neexistence proměnivé hirearchie došlo už v počátcích internetu k vyplýtvání pětiny adres kvůli nesmyslně přidělovaným velikostem adresních bloků. Když se připojovala síť k internetu, zařadila se podle svých potřeb do jedné ze tříd C (dostala 255 adres), B (65 535 adres), nebo A (224 minus jedna adresa, to je zhruba 16,7 milionu). Tehdy se i routing řídil třídami, což zjednodušovalo situaci pro směrovací protokoly. Nicméně když se začaly k internetu připojovat komerční organizace, tak se ukázalo, že třída B by se velmi rychle vyčerpala. Naštěstí se široce uplatnila proměnná velikost subnetu a CIDR (Classless Inter-Domain Routing), což jsou standardy z roku 1993. To dokládá, že problémy s nedostatkem adres doprovázejí protokol IP už od doby, kdy internet přerostl výzkumnou síť a začal se stávat univerzální globální komunikační sítí. CIDR umožnil rozumné přidělování bloků IP adres na míru potřebám každého konkrétního zájemce a měl i pozitivní dopady na efektivitu směrování.
Dalším opatřením směrem k efektivnímu využití adres bylo ustanovení byrokratického aparátu na přidělování bloků adres. Tento aparát je známý jako systém RIR (regional internet registry) a skládá se z organizace IANA, která přidělovala volné adresy po blocích velikosti 224 adres pro jednotlivé RIR. Těch je pět, podle kontinentů. Pro Evropu, střední východ a centrální Asii je RIRem RIPE (Réseaux IP Européens). RIR jsou nejen byrokratické organizace, které přidělují adresy, ale jejich druhou a stejně důležitou funkcí je, že podporují komunitu svých členů a zainteresovaných jednotlivců v servisních regionech v procesu tvorby politik a reprezentují svojí komunitu při jednání mezi RIR a IANA. Proces tvorby politik je zcela otevřený, probíhá přes veřejné mailing listy pracovních skupin a je koncensuální. Celý systém přidělování adres je řízen „zdola nahoru“, díky tomu reflektuje skutečné potřeby a neobsahuje žádná nesmyslná omezení. RIR má základnu členů (která je odlišná od komunity pro tvorbu politiky) organizací LIR (local internet registry). LIR se může stát v servisním regionu RIPE organizace, která uzavře servisní kontrakt s RIPE NCC, podřídí se tak politikám, uzná autoritu RIPE NCC a zaváže se hradit servisní poplatky za služby RIPE NCC v řádu několika set až tisíců eur za rok, podle počtu a druhu používaných adresních bloků. Na tomto místě se hodí podotknout, že se jedná výhradně o servisní poplatek určený na pokrytí nákladů se správou prostoru adres, provozem registrační databáze a dalších činností RIPE NCC. V žádném případě nejde o jakoukoliv koncepci zpoplatnění využití IP adres, neboť IP adresy jsou jen čísla. A podobně jako třeba číslo sedm, ani žádná IP adresa nemůže nikomu patřit, a tím pádem adresu nemůže nikdo nikomu ani pronajmout či prodat. LIR je zpravidla ISP, či obecně provozovatel síťové infrastruktury, který spojí administrativní a technické prostředky a zajišťuje routing přidělených adres v internetu.
Pro úplnost je třeba uvést, že existuje ještě jiná možnost, jak získat adresy přímo od RIR, a to jsou takzvané PI (provider independent) adresy. Jejich smyslem je umožnit přítomnost na internetu institucím, které nechtějí být závislé na žádném LIR ani na jednom konkrétním ISP, ale zároveň sami nejsou ISP a neočekává se budoucí růst jejich požadavků na adresy. Typicky o PI prefix bude žádat státní správa, banka, nebo i malá firma provozující několik málo serverů, která chce multihoming své sítě. Nicméně protože jsou PI prefixy hůře kontrolovatelné a poměr nákladů na jejich routing a užitku, který přinášejí je horší, jsou pro přidělení PI adres přísnější podmínky.
Naproti celkem rozumnému a efektivnímu systému na distribuci adres je technické opatření známé jako NAT (network address translation) a RFC 1918 tragickým přešlapem, který se však bohužel také široce etabloval. Z adresního prostoru IPv4 bylo vybráno několik bloků adres, které byly označené za nepoužitelné na veřejném internetu, a naopak bylo jejich užití dovoleno bez jakékoliv registrace nebo přidělování v lokálních sítích, které se nebudou routovat v internetu. Překlad adres hraničním směrovačem se používá, aby počítače s těmito adresami mohly sloužit jako klienti pro služby nabízené na internetu. Směrovač má na vnějším rozhraní jednu veřejnou adresu a pod unikátní identitou této adresy posílá do internetu všechny požadavky klietnů z vnitřní sítě a přijímá pro ně odpovědi, které by jinak nebylo možné klientům doručit, neboť nemají globálně platnou identifikaci. Rozlišení klientů a rozřazení odpovědí může být u některých protokolů složité. Nicméně lidé si časem zvykli na nutnost složitější konfigurace, instalaci speciálních proxy serverů pro určité protokoly, anebo prostě přestali používat služby, které přes NAT nefungují. NAT například znemožnil nástup kvalitní internetové telefonie a videokonferenčních hovorů, a naopak umožnil prosadit se nekvalitním parodiím na videokonference, jako je Skype, který ovšem přes NAT funguje. NAT také komplikuje používání protokolu FTP, provoz domácích serverů, sdílení souborů, hraní her a další služby. Nejzávažnější je, že široké rozšíření NATu popřelo jednu z myšlenek distribuované sítě, takzvanou end-to-end dostupnost. Kvůli NATu se výrazně snižuje robustnost sítí, komplikuje se konfigurace síťových prvků a to přináší menší spolehlivost. NAT někdy znemožňuje hledání chyb a omezuje možnosti definování bezpečnostních pravidel, takže v důsledku snižuje bezpečnost. Pokud jde o bezpečnost, NAT je občas mylně považován za bezpečnostní prvek, který jakoby izoluje vnitřní (bezpečnou) síť od vnějšího (nebezpečného) internetu. Přitom to je jen iluzorní bezpečí, protože projít NATem a zaútočit zvenčí na vnitřní počítače je, v závislosti na implementaci NATu a protokolu, často jednoduché.
CIDR společně se systémem RIR oddálil vyčerpání volných bloků IPv4 adres takřka o dvacet let až do současnosti. Nicméně 31. ledna 2011 došlo k přidělení posledních dvou bloků „/8“, na které se ještě nevztahovala speciální politika, která byla následně uplatněna na pět posledních bloků „/8“. Každý RIR dostal jeden z posledních pěti bloků a použije jej, nebo jeho část, ve speciálním režimu. Cílem je mít i v budoucnu určité množství IPv4 adres nutné pro vstup nových LIR a institucí na internet, umožnit provoz základních služeb, routing a případně podpořit přechod na IPv6. V případě RIPE politika zavedla dvě změny v souvislosti s vyčerpáním IPv4 adres. Od poloviny roku 2010 se zkrátila doba, na kterou se podle adresních plánů přidělují adresy z dvanácti na devět měsíců. Od začátku roku 2011 to je šest měsíců a od poloviny roku 2011, pokud v ten moment RIPE NCC ještě zbudou nějaké adresy nepodléhající zvláštní politice, to budou jen tři měsíce. Tím se zvyšuje férovost přístupu k adresám do posledních chvil. Z posledního „/8“ bloku pak bude RIPE NCC alokovat nejvýše jeden „/22“ subnet každému LIR, a to jen za předpokladu, že už bude mít IPv6 alokaci. V současnosti se předpokládá, že RIPE vyčerpá svůj pool v září 2011. Předtím už dojdou adresy v servisním regionu střední Asie, Japonska a Austrálie, následovat bude severní Amerika. Naopak se očekává, že v jižní Americe a Africe adresy dojdou o něco později. Nicméně nemusí to být markantní rozdíl, protože v okamžiku, kdy nadnárodní společnosti nebudou mít možnost obdržet potřebné adresy v Evropě či severní Americe, použijí zkrátka svojí jihoamerickou či africkou pobočku jako LIR a získají adresy tam, kde ještě nějaké zbudou.
Po vyčerpání IPv4 adres nebude zdaleka tak jednoduché připojovat systematicky zařízení k internetu. Z hlediska provozovatelů síťové infrastruktury to nepředstavuje velký problém, neboť jejich nároky na adresní prostor nejsou velké a současné zásoby jim můžou vydržet takřka neomezeně. Naopak pro poskytovatele domácích a firemních připojení typu ADSL, CATV apod. to představuje vážnou překážku růstu jejich sítí. Střední problém to pak je pro poskytovatele obsahu, či obecně pro provozovatele datacenter a webhostingu. Ti teoreticky také nemají velké požadavky na adresní prostor, nicméně pokud vyčerpají svoje rezervy a další adresy už nezískají, pak to pro ně může být nepřekonatelná překážka. A navíc se na ně promítnou dopady zpomalení růstu internetu a přenese se na ně i část nákladů na připojování konzumentů obsahu. Teoreticky se nabízí tři scénáře, jak se s tím firmy budou moct vyrovnat. První možnost je, že se začne s IP adresami obchodovat, což je ovšem v různé míře porušení politik všech RIR s výjimkou fúze dvou firem, které jsou obě LIR. Další možnost je prostě zdražit či vypovědět smlouvy na služby, co konzumují adresy a přitom nepřinášejí dostatečný zisk. ISP, kteří připojují převážně klienty, můžou nasadit CGN (carrier-grade NAT). Tedy NAT na úrovni poskytovatele připojení pro celá města či sítě v národním měřítku. Technické a obchodní implikace všech možných řešení ale vedou jen je snižování kvality za současného zvyšování ceny internetových služeb, což málokdo považuje za přijatelné.
Východisko ze situace nabízí protokol IP nové generace známý také jako IPv6. Standard pro protokol IPv6 vznikl už v roce 1998 a je navržen velmi velkoryse. Z hlediska dostupného adresního prostoru má nepředstavitelných 2128 adres, tedy zhruba 3,4 krát 238. Alokační politika IPv6 počítá pouze s použitím jedné šestnáctiny adresního prostoru pro internet v nejširším smyslu, zbytek je rezervován pro účely, jež dosud nelze předvídat. Například pro meziplanetární komunikační sítě a podobně. Pro představu jedna šestnáctina adresního prostoru IPv6 umožňuje přidělit například třikrát 1027 adres každému žijícímu člověku na zemi. IPv6 nepřináší jen delší adresy, ale umožňuje end-to-end konektivitu, kterou dobře využijí videokonference, hry a přenosy souborů, podporuje mobilitu zařízení, zefektivňuje routing a zjednodušuje správu síťové infrastruktury i koncových zařízení. Nástup IPv6 je však pomalejší, než se čekalo, a původní plán, že v okamžiku, kdy dojdou IPv4 adresy, by měly být takřka všechny služby dostupné přes IPv6, zatímco IPv4 by pro svoje nevýhody měl být už vlastně dávno na ústupu, nebyl naplněn. To je důsledek toho, že na internetu nikdo nemůže nikomu nic přikázat, a přestože se odborníci už dávno shodli na tom, že IPv6 je jediná cesta vpřed, přesvědčit decission makery o prioritě investic do IPv6 se povedlo málokde. Dobrá zpráva je, že všechny v současnosti používané operační systémy a moderní síťový software IPv6 podporuje a implementace to jsou zpravidla velmi kvalitní. Dále je dobrá zpráva, že většina páteřních sítí je již dávno připravená na IPv6. Problémem zůstávají přístupové širokopásmové sítě a koncová zařízení zákazníků, podpora IPv6 na straně poskytovatelů obsahu a integrace IPv6 do různých CRM a dalších vnitrofiremních systémů. Dá se tedy říci, že velká část práce na přechodu na IPv6 už je hotová, ale masivnímu nasazení IPv6 stále chybí hodně detailů a tlak na jejich dokončení. Důvod k tomu je prostý: na IPv6 se zatím nedalo mnoho vydělat a reálné úspory ve správě systémů a lepší robustnosti sítí se dostaví až po tom, co IPv6 nahradí IPv4. Nakonec ale ne všichni manažeři byli tak krátkozrací a tak ten, kdo na IPv6 zapracoval a neškrtil drobné investice do IPv6 v průběhu minulých deseti let, ten je připraven a z rychlého nástupu IPv6 se bude jen radovat.
Další dobrou zprávou je, že v ČR je situace a podpora IPv6 jedna z nejlepších v Evropě i celosvětově. Přesto jsou přes IPv6 dostupné pouhé jednotky procent služeb a klientů v českém internetu. Z hlediska páteřních sítí je ale podpora velká a troufám si tvrdit, že v neutrálních datacentrech nebude problém najít providera IPv6 upstreamu. Stejně tak největší české peeringové centrum NIX IPv6 podporuje a IPv6 peering v něm je už léta realitou. Na straně providerů ADSL a CATV konektivity se také projevuje zájem o IPv6 a u poskytovatelů obsahu brání nasazení IPv6 často právě jen detaily, které nepředstavují ani moc práce, ani velké investice. I známé internetové portály vzaly IPv6 vážně a například Google sice nepodporuje IPv6 přímo na hlavní adrese www.google.com, ale nabízí své služby přes IPv6 na adrese ipv6.google.com jako dlouhodobý test a také se tím brání tomu, aby klienti s nekvalitní IPv6 konektivitou neměli potíže s přístupem. Nakonec je tedy možné, že proti původnímu plánu přejít na IPv6 evolučně dojde k revolučnímu a živelnému nasazení IPv6 a za pár let zjistíme, že IPv4 už není třeba a prostě na něj zapomeneme i se všemi problémy s docházením adres. Kdy však ke zrychlení nástupu IPv6 dojde a co ho spustí, to zůstává otevřenou otázkou.
Tomáš Hlaváček
Autor pracuje jako síťový specialista ve společnosti Ignum.
