Карта распространенности IPv6-подключений
Самыми активными странами по использованию протокола IPv6 являются Бельгия (52,68%), Германия (39,14%), Греция (36,53%). С небольшим отставанием за этой тройкой идут США (34,23%), Индия (33,51%), Уругвай (32,45%) и Малайзия (28,89%). А вот очевидная для всех инноваторская Япония позади этих стран с показателем в ~26,72%. Еще можно выделить Канаду, Францию, Финляндию, Бразилию, Перу, Саудовскую Аравию и даже Эквадор. А вот на территориях за пределами Европы и обеих Америк дела обстоят значительно хуже. На территории СНГ IPv6 почти не используется (<1% соединений).
О том, что рано или поздно нам придется перейти на протокол IPv6 сообщество активно заговорило еще в 2011-2014 годах, когда массово стали появляться новости о физическом окончании пула адресов IPv4. Кстати говоря, эти новости и рассуждения не обошли стороной и Хабр, вот некоторые из них в поиске.
Динамика роста количества IPv6-соединений согласно статистике Google
Наиболее остро проблема сокращения пула IPv4-адресов стала с развитием рынка IoT-устройств, имеющих прямое подключение к сети интернет в обход локальных роутеров и других точек доступа. Речь идет о технологиях умного дома, дистанционном управлении устройствами и даже модулях управления реле ворот, которые зачастую используют мобильный интернет вместо технологии Wi-Fi. Также «умные» устройства с прямым доступом к сети интернет повсеместно распространены в такой сфере, как охранные и противопожарные системы оповещения, и используют в качестве модуля связи SIM-карты мобильных операторов.
Ранее применяемые полумеры в качестве NAT-сетей, которыми провайдеры закрывали пользователей от внешнего мира, привели к серьезным неудобствам в 2012-2014 годах, когда Google воспринимал NAT как ботнет. Также пользователи страдали, если в одной NAT-сети с ними оказывались зараженные устройства, посылающие через единый внешний ip-адрес автоматические запросы. Думаем, многие жители СНГ, сидящие за NAT, сталкивались в тот период с подобными сообщениями.
Почему так медленно?
Технологии IPv6 уже более 20 лет, но явное распространение она начала получать только в последнюю пятилетку, когда провайдеры столкнулись с проблемой нехватки реальных ip-адресов. Основная причина нежелания внедрять IPv6 — банальная инертность и следование на высших уровнях святой и наиглавнейшей заповеди любого сетевого инженера: «Работает? Не трогай!». Конечно же, немалую роль сыграла и сложность самих IPv6 адресов в визуальном плане. Подавляющее большинство сетевых инфраструктур до сих пор управляется и обслуживается в ручном или полуавтоматическом режиме, когда поддерживающему ее инженеру требуется вводить адреса вручную. И обрекать людей на работу с адресами вида 2001:9db8:11b4:09d7:1f34:8a2e:07a1:541c вместо 192.104.22.12 выглядит минимум негуманно. При этом о том, что NAT — не панацея рассуждали на Хабре еще в 2011 году, приводя вполне понятные и очевидные доводы в пользу IPv6.
Но наиболее очевидная причина нежелания внедрять IPv6 повсеместно — банальное отсутствие нужного числа специалистов для обеспечения бесперебойной и безопасной работы таких сетей. Кроме большего количества адресов (а именно 2^128), архитектура пакета в протоколе IPv6 значительно отличается от таковой в IPv4. По сравнению с предшественником, многие вещи в IPv6 стали опциональными и вынесены в extension header. Вот сравнение структуры заголовка пакета IPv4 и IPv6:
За счет оптимизации, в пакетах IPv6 очень многие вещи, не влияющие прямо на маршрутизацию, были вынесены в extension header. Это позволило значительно ускорить работу сети IPv6, но принесло и свои проблемы. Так, архитектура IPv6 породила новые векторы для сетевых и LAN-атак, которые руководствуются теми же принципами, которые были и для IPv4-сетей. При этом IPv6 затрудняет контроль над трафиком и его мониторинг, что, понятное дело, не устраивает провайдеров, предоставляющих лимитированный доступ в сеть. Подробно и со вкусом о технических особенностях IPv6, плюсах и минусах писал журнал «Хакер» в своем блоге на Хабре (когда они еще были тут), ознакомиться можно (и рекомендуем) по этой ссылке.
В заключение стоит сказать, что последние десять лет мы наблюдали массированную подготовку к внедрению IPv6 и переходу к его непосредственному повсеместному использованию. Подавляющее большинство современных устройств и операционных систем поддерживают IPv6 «из коробки», не отстают и производители маршутизаторов и прочего инфраструктурного оборудования. Приведенная в начале публикации статистика от Google — лишь логичное следствие из этих мероприятий, которые растянулись на столько лет. Вполне возможно, что при сохранении текущей динамики, мы пересечем рубеж в 50% соединений по IPv6 уже в начале следующего десятилетия.
Комментарии (35)
pehat
15.10.2018 14:58-1NAT — это не только средство выживания на одном IP, но и механизм фильтрации трафика в подсети, поэтому любителям оградить своих работников от чтения «Одноклассников» на рабочем месте переход на IPv6 сломает привычный инструмент.
Serge78rus
15.10.2018 15:20+3Разве отказ от NAT требует полного отказа от маршрутизатора между локальной сетью и Internet? А если маршрутизатор остается, то что ему мешает по прежнему обеспечивать фильтрацию трафика?
netricks
15.10.2018 15:30+1Строго говоря, ipv6 не ломает концепцию NAT. NAT можно перевести на ipv6 ровно в том виде, в котором он сейчас существует.
Впрочем, наверняка можно придумать более правильные механизмы фильтрации. Тоесть, реализовывать фильтрацию трафика не лишая внутреннюю машину глобального ip.
enzain
16.10.2018 12:52NAT — это трансляция адресов, и ничего более.
Хватит уже как средство защиты преподносить
Или что, если за роутером будучи, прописать маршрут в вашу сеть через ваш роутер, то вас спасет НАТ? Или вас спасет все-таки файрвол?....
5exi
16.10.2018 16:32Фильтровать доступ на рабочем месте должен прокси. Это на IPv6 можно реализовать. Но как системный администратор, с задачами жёсткой фильтрации доступа в интернет, я не понимаю зачем мне во внутренней сети IPv6? Зачем мне нужен компьютер генерального директора или разработчика, с чувствительными данными, с белыми адресами в интернете? И IPv6 предъявляет повышенные требования к ПО любого устройства (фаерволл, актуализация ПО) и его настройке. Любые проблемные устройства я могу закрыть NAT'ом на границе и уже там осуществлять контроль, не особо заморачиваясь настройкой фаервола на конечном устройстве.
NeoSonic
17.10.2018 10:32Извините, оставлю это под вашим комментарием.
Я конечно понимаю что на роутере три строчки:
ip6tables -P FORWARD DROP ip6tables -A FORWARD -m state --state NEW -i $LAN_IF -o $WAN_IF -s $SUBNETPREFIX -j ACCEPT ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
гораздо длиннее чем одна:
(Пример утрированный в реальности конечно правил что там что там больше)iptables -t nat -A POSTROUTING -o $WAN_IF -s $SUBNET -j MASQUERADE
Да фактический смысл этих строк разный, но логически они схожи: выпустить весь исходящий трафик и принять ответы на него, и заблокировать любой входящий трафик ни с чем не связанный.
Весь заморочь в головах. То что в IPv4 введена концепция Private IP, а в IPv6 она упразднена за особой не надобностью. По идее никто не мешает получать себе от провайдера подсеть /64 и заявлять всему миру что она приватная «FORWARD DROP»(в абстрактном смысле).
NAT это не «закрывашка» это инструмент который решает совсем другие задачи (привет КЭП); сколько еще будет обсуждений что FIREWALL всему голова, а NAT это левая рука(нога, палец и т.д.; кому как интересно).
netricks
15.10.2018 15:13Процесс, в любом случае, необратим… Так что перейдём все, никуда не денемся.
50% до конца десятилетия — верится с трудом. График очень красивый. Похож на правду — по идее — колебательный процесс с небольшими флуктуациями, похож на процессы в ТАУ. Если это действительно так, процесс ускорится, но не на много. 2022, ИМХО, более реальный прогноз для 50%. Дальше рост начнет замедляться. Где-то к 2032 от ipv4 остануться проценты.…
Ну… Гадание по графику…AMDmi3
15.10.2018 17:23+1Колебательный процесс объясняется обычным недельным графиком и означает, по идее, большее проникновение IPv6 в домохозяйствах, чем в офисах.
none7
15.10.2018 17:54+2По моему больше всего в IPv6 заинтересованы мобильные операторы. У них очень много клиентов и очень много трафика идёт через одну точку, в которой они как то должны балансировать трафик, адреса и порты. А ведь им, как и прочим провайдерам дают IPv4-адреса малыми порциями. Мобильниками же легко объяснить рост IPv6-трафика, ведь доля мобильного трафика до сих пор растёт.
Но в СНГ это не актуально, нет у наших сотовых операторов такого трафика. Можно весь NAT повесить на один единственный мощный роутер.wlr398
15.10.2018 19:33На один врядли. Судя по публичным отчётам, у наших опсосов где-то 10-15 терабит трафика.
Но в общем, может у кого-то вопрос IPv6 и стоит на повестке дня, но не у всех.khim
15.10.2018 23:26Но в общем, может у кого-то вопрос IPv6 и стоит на повестке дня, но не у всех.
И это, в общем, серьёзно огорчает. Одна вещь, на которую тут, может быть, не очень обратили внимание — а стоило бы: в лидерах — страны, с которых можно получить больше всего денег. Не обязательно самые богатые… Индия — это нищая, в общем-то, страна… но при этом это, всё-таки, не Афрка и индусов — очень и очень много. А Германия, США, Япония… просто богатые страны. В результате небольшое отставание от графика, о котором я писал много лет назад ни на что не повлияет: в начале следующего тысячелетия появление сервисов принципиально не поддерживающих IPv4 — вполне верояно… а что это, фактически, отсечёт целые страны, в том числе Россию… будет волновать только жителей эти стран…
P.S. Интересно — будет это воспринято так, как это реально и будет (просто выгоднее «забить» на людей, не имеющих отдельного IP, если их не очень много, так как это резко упрощает многие вещи) или начнуть объяснять это неофициальными санкциями против России?
ksenobayt
16.10.2018 09:18Справедливости ради, в МТС можно опционально пользоваться dualstack'ом.
Это по-прежнему не включено по умолчанию (требуется подключать услугу в ЛК), но работает без проблем.khim
16.10.2018 19:54Кстати хорошее решение со многих сторон. По крайней мере если кому-то IPv6 реально надо (а это время стремительно приближается), то он может его включить…
ksenobayt
18.10.2018 10:17Ну, по факту-то, решение хреновое: надо по умолчанию включать всем не спрашивая.
Во всех моих Android-телефонах, сколько я себя помню, dualstack был включен по умолчанию.
Ну и в любом случае, это один оператор из четырёх федеральных. Остальные не чешутся и не планируют: я прямо интересовался у господ из Yota, есть ли у них внедрение в планах — говорят, что нет.
saboteur_kiev
16.10.2018 01:22Есть вероятность, что 25% это не пользователи перешли, а новые устройства сразу идут на IPV6, ибо им не нужен IPV4.
khim
16.10.2018 06:23Вот только без поддержки ISP — эти новые устройства ничего сделать не смогут.
P.S. На этом графике кроме жирной зелёной линии (условно — люди, получившие IPv6 от провайдера) есть ешё тооооненькая такая красная линия (условно — энтузиасты, настраивающие IPv6 самостоятельно). Вот если вернуться в 2009й год — то там на каждого пользователя, получившего IPv6 от ISP приходится два настроивших его руками. А примерно к 2012у году количество «самоделкиных» упало чуть не в 10 раз, а количество «халявщиков» — возросло примерно во столько же раз… так что разница стала примерно стократной… сейчас же «самоделкиных» — ещё меньше…
SignFinder
15.10.2018 17:07-3Надеюсь, что не перейдем. Такая низкая скорость внедрения в том числе показывает и массовое отторжение нового стандарта со стороны всех заинтересованных сторон.
none7
15.10.2018 18:16Отторжение больше связано с необходимостью поддерживать двойной стек. Затраты растут, а прибыль остаются прежней. На сей счёт было придумано множество костылей вроде 6RD, но большого распространения они не получили. Многие сайты построенные на CMS, вообще могут включить IPv6 тупо прописав запись в DNS.
enzain
16.10.2018 13:04Вообще, по хорошему — IPv6 выгоден операторам тем же…
Одно только то, что можно избавиться от НАТа, уже нехилый такой бонус…
hzs
16.10.2018 13:57Вообще, казалось бы, для домашней локальной сети IPv4 вполне себе достаточно, даже с учётом всех железяк, подключённых к сети.
Но вот если планируется реализация умного дома, где все железки общаются по сети, всего пула адресов может не хватить, чтобы все эти железки оказались в одной подсети.
В таком случае устройства умного дома могут сидеть на IPv6 и общаться с одним роутером, а всё остальное оборудование может быть на IPv4, а то как-то не удобно будет запоминать длинные адреса устройств для того же входа по SSH.
Мне кажется, что не будет полного перехода на IPv6, по крайней мере в локальных сетях.Extravert34
16.10.2018 16:10Чтобы «заполнить» сеть 10.0.0.0/8 нужно 16 миллионов устройств. Думаю, пока до этого ещё далеко)
Sabubu
16.10.2018 23:08Вообще, NAT имеет пару плюсов:
— сокращает поверхность атаки на пользователей (по умолчанию NAT не позволяет отправлять UDP и устанавливать TCP соединения снаружи). У пользователей могут быть открытые порты.
— немного затрудняет идентификацию пользователя, так как за одни IP могут сидеть разные пользователи и он может присваиваться динамическиnone7
17.10.2018 07:24В отличии от IPv4, нет никаких проблем с использованием нескольких ip-адресов. Можно вообще каждому сетевому сервису выдать по адресу. Если злоумышленник не знает на каком адресе весит сервис, то и достучатся до него не сможет. В Интернет можно выходить с адреса на котором вообще ничего не весит. Windows по умолчанию ходит с временных адресов и её службы не должны откликаться с этих адресов.
Что до анонимности, гугл и сейчас всех прекрасно различает, а провайдерский NAT не скрывает ничего от ФСБ. А анонимность от тех, кто не сможет сопоставить действия в сети с конкретным почтовым адресом или реальной личностью, бессмысленна.
huginn
17.10.2018 10:32Год назад копался с ipv6. Тоннели поднимал, прокси настраивал (которые ip -6 proxy rule), openvpn и прочее. Недели две где то копался. Интересно, было. Успешно настроил. И бросил.
Ибо невостребовано.
Есть огромный пласт железа который не умеет в ipv6. И этот пласт железа никуда не денется и обновляться будет очень медленно и не меньше десятка лет.
Массовый интернет вещей в этой стране не существует и существовать в обозримом будущем не будет по причинам далеким от технических, а именно у каждого свои проблемы — у одних суп жидкий у других жемчуг мелкий. Так вот здесь сейчас не будет массовой проблемы мелкого жемчуга.
Провайдеры при подключении выделяют клиентам серый ip v4 адрес и этого клиентам ХВАТАЕТ. Соответственно потребности нет. Для домашнего внутриквартирного интернета ip v4 хватает за глаза.
Плюс, ужасная, просто ужасная архитектура. ipv4 мелкий, примитивный, простой, но при наличии nat очень легкий и гибкий. ipv6 громоздкий. Плюс где несложные доки для среднего уровня внедренцев, которые как раз и были основной массой поднявшей ipv4?
Я запоминаю ipv4 адреса, но я не могу запомнить ipv6 адреса.
Короче, короче я не верю в глобальное внедрение ipv6 в этой стране. Оно будет происходить по мере смены КЛИЕНТСКОГО оборудования, а меняться оно в текущей реальности будет очень медленно.
Я думаю к этой теме можно будет вернуться лет через пять, не меньше. Пока нет этом смысла, невостребовано оно.khim
17.10.2018 10:50Провайдеры при подключении выделяют клиентам серый ip v4 адрес и этого клиентам ХВАТАЕТ.
Ну если им нравится решать капчи.
Короче, короче я не верю в глобальное внедрение ipv6 в этой стране.
Почему нет?
Пока нет этом смысла, невостребовано оно.
Ну то есть Россия сознательно выбрала путь аврала: дождаться когда IPv6 «вдруг» (ага, «вдруг»… после десятилейтий внедрения) станет остро необходим — и потом настраивать всё в пожарном порядке.
Плюс где несложные доки для среднего уровня внедренцев, которые как раз и были основной массой поднявшей ipv4?
Я боюсь что доки по IPv4 вам кажутся «несложными» либо потому что вы с ними много возились, либо потому, что они очень ограничены.
andreymal
ВК когда-то работал по IPv6, но потом, как мне сказали в поддержке, отключили из-за спамеров. Если случаются отказы от IPv6, то что-то даже фиг знает