Протокол нового поколения внедряют активнее. И все больше государственных агентств публикует гайдлайны по миграции для своих инженеров. Обсудим их и ситуацию на рынке.
Ускоряем шаг
Процесс перехода на IPv6 идет не так быстро, как того бы хотели многие представители индустрии. Однако процесс идет и даже постепенно ускоряется. Так, по данным Google, примерно 40% пользователей обращаются к сервисам компании через протокол нового поколения. В целом среди экспертов и аналитиков крупных технологических фирм сегодня можно встретить достаточно оптимистичное мнение, что к 2025 году на IPv6 перейдут 100% сайтов и интернет-провайдеров.
Распространение протокола нового поколения подстегивают разного рода правительственные инициативы. По поручению Административно-бюджетного управления при президенте США в следующем году работу с IPv6 должны поддерживать как минимум 20% федеральных сетей.
Пока американское правительство строит дорожную карту перехода на протокол нового поколения в государственных учреждениях, другие страны ставят куда более амбициозные цели. К началу лета все индийские госсайты должны перейти на протокол нового поколения. Ну а с декабря на IPv6 будут строить все новые интернет-подключения.
Кенийское правительство пошло на еще более радикальный шаг и планирует завершить полную миграцию на IPv6 до конца 2023 года. Регулятор убежден, что это жизненно необходимо для дальнейшего развития телекоммуникационного сектора.
Другой пример — Катар. Рабочая группа Qatar National IPv6 Taskforce, куда входят IT-корпорации, интернет-провайдеры, институты, финансовые организации и компании, занимающиеся информационной безопасностью, разрабатывает инфраструктуру для эффективной миграции на IPv6. Дорожная карта расписана до 2030 года.
Регуляторы предлагают не только концептуальные инициативы, но и выпускают своды практических рекомендаций для штатных системных администраторов, отвечающих за поддержание инфраструктуры нового поколения. В большинстве случаев они предназначены для внутреннего использования, однако изучить их могут все желающие.
Кто и что рекомендует
Пожалуй, самый свежий набор гайдлайнов для миграции на IPv6 выпустило Агентство национальной безопасности США (NSA). В целом там нет каких-то откровений, и большинство советов известны сетевым инженерам. Например, специалисты NSA предлагают не назначать IP-адреса в сети с помощью сервера DHCPv6, но использовать механизм SLAAC — такой подход считается более безопасным.
Также они рекомендуют избегать IPv6-туннелирования. Так, инфраструктура становится проще, а потенциальная площадь для атак злоумышленников сокращается. В NSA допустили работу с протоколами туннелирования, но лишь на время переходного периода с IPv4 на IPv6 (и только в тех местах, где они абсолютно необходимы). Еще одна вещь, от которой советуют отказаться, — трансляция адресов (кроме NAT64/DNS64 или 464XLAT).
В целом подготовкой тематических рекомендаций для миграции на IPv6 занимаются и многие другие организации. Например, сейчас их готовит рабочая группа в составе Управления общих служб США. Свод правил даже прорабатывали на уровне ООН. Инженеры предложили провести миграцию путем простого «отображения» адресов IPv4 на адреса IPv6. Такой подход должен был упростить работу для сисадминов и пользователей сети, но сообщество встретило его не лучшим образом и раскритиковало за определённую «топорность». Пока рано говорить, как подобное многообразие отразится на лучших практиках, но возможно, все это позволит взглянуть на ситуацию с нескольких сторон — с точки зрения разных организаций и сфер деятельности.
О чем еще мы пишем в блоге VAS Experts:
Комментарии (23)
Didimus
29.01.2023 21:10Значит ли это, что 4-адреса освободятся и перейдут в общественное достояние?
Maxim_Q
30.01.2023 01:44+1...к 2025 году на IPv6 перейдут 100% сайтов и интернет-провайдеров.
Сейчас по графику от google видно что скорость перехода на IPv6 примерно 3-4% в год, сегодня 2023 и примерно 40% перешли на IPv6, значит через 2 года в 2025 будет 46-48%. Даже если сильно ускоримся то на IPv6 все 100% перейдут не раньше 2035 года, ошибочка на 10 лет.
AlexeyK77
30.01.2023 12:40На самом деле технология на практике не взлетела. то, что ее полудохлую изо всех сил подстегивают, ну, то от безысходности и отсуствия дейтсивтельно хорошей альтернативы.
На нормальное перейдут все сами лет 3-5 максимум.
DreamingKitten
30.01.2023 13:14от безысходности и отсуствия дейтсивтельно хорошей альтернативы.
Скорее от того, что лень разбираться.
На нормальное перейдут
А что в IPv6 ненормального?
Maxim_Q
30.01.2023 15:39А что в IPv6 ненормального?
1. Отсутствие совместимости. IPv6 никак не дружит с IPv4.
2. Техническая нагрузка. Простые в использовании фичи для людей, на поверку, оказались сложны для железа. Речь тут и про размер access листов и количества правил файрвола (ведь нужно фильтровать больше адресов) и про мультикаст трафик. Поддержка IPv6 весьма существенно грузит коммутаторы. А рынок железа ооочень инертен. Нужно менять железо не только у пользователя но и у провайдера, а оно у провайдера дорогое.
3. Человеческий фактор. Не стоит недооценивать и лень, но речь тут не об этом. Множество хостов в IPv4 могли коммуницировать с глобальной сетью, маскируясь одним адресом. У этой технологии есть одно неоспоримое достоинство: все те хосты, что мы замаскировали, оказываются скрытыми, без дополнительных действий. Злоумышленники попросту не видят их, с точки зрения сети. В IPv6 этого нет и нужно настраивать фаервол.
Все и так работает. В принципе, протокол IPv4 полностью справляется со своими задачами, поэтому большинство интернет-провайдеров просто не спешат переходить на новый протокол.
Wesha
30.01.2023 22:00-13.1. Какой адрес легче запомнить:
194.51.228.113илиa4:27:ea:4b:13:d8?
Prototik
31.01.2023 07:48Зачем вы сравниваете ipv4 и mac?
Зачем вы вообще запоминаете адреса?
Wesha
01.02.2023 01:36Зачем вы сравниваете ipv4 и mac?
Хорошо, хорошо, уломали: Вам придётся запоминать не
a4:27:ea:4b:13:d8, аa427:ea4b:13d8:3642. "Ну как, легче стало?" (с)Зачем вы вообще запоминаете адреса?
Вы хотите сказать, что ни разу не отлаживали сетку и Вам не нужно было знать, что 194.38.45.33 — это десктоп на первом этаже, 194.28.46.18 — это компьютер директора, а 192.28.44.01 — это раутер?
DreamingKitten
31.01.2023 13:291. Отсутствие совместимости. IPv6 никак не дружит с IPv4.
Это неправда. Смотрите RFC 5156, раздел 2.
Речь тут и про размер access листов
Что не так с размером access листов и с чего вы взяли что они станут больше?
количества правил файрвола (ведь нужно фильтровать больше адресов)
Почему нужно фильтровать больше адресов?
и про мультикаст трафик.
Который фильтруется одним правилом.
Поддержка IPv6 весьма существенно грузит коммутаторы
Коммутаторы именно? L2 которые? Которым должно быть вообще всё равно что там в L3 payload?
Нужно менять железо не только у пользователя но и у провайдера, а оно у провайдера дорогое.
Я не встречал ни одной модели провайдерского сетевого железа, выпущенной после 2010 года, в которой не было бы поддержки IPv6 из коробки.
У этой технологии есть одно неоспоримое достоинство: все те хосты, что мы замаскировали, оказываются скрытыми, без дополнительных действий.
Старая песня на новый лад. Побочный эффект уродского временного костыля, призванного подпереть дефицит белых адресов, вдруг продаётся как "неоспоримое достоинство". Куда мы катимся :(
В IPv6 этого нет и нужно настраивать фаервол.
А какая принципиальная разница между настройкой файрволла и настройкой NAT ?
В принципе, протокол IPv4 полностью справляется со своими задачами
Просто оставлю это здесь, чтобы не повторяться.
Wesha
Забыли самое главное правило: работает — не чини!
DreamingKitten
Это не универсальное правило.
Самолёты, например, загоняют на капремонты не дожидаясь, пока они упадут.
Javian
Но не меняют в них кинескопные мониторы и 3,5" дисководы. Закончится срок эксплуатации устройства — поставят новое, которое специально для этого предназначено.
DreamingKitten
Как это не меняют? Сравните кокпит B-52 оригинальный и современный.
Wesha
Ну да, шо такого, в 2019 году наконец-то
выкинуть ёлкуизбавиться от восьмидюймовых флоповодов.DreamingKitten
Ну так я как раз об этом.
Зачастую устаревание так растянуто во времени, что просто нельзя ждать, когда вся система встанет колом. А надо готовиться сильно заранее. IPv6 это именно такой случай.
Javian
B-52 и вообще военная техника это особый случай, модернизация( а не замена на новое поколение) которой вынужденная мера.
DreamingKitten
На гражданских тоже вполне себе меняют.
BerkutEagle
А на системах централизованного отопления специально пытаются сломать, проводя опресовки для выявления слабых мест.
dmitrmax
Ну дык и сидел бы себе на Windows 3.11 или Linux 2.0 до сих пор. Как ты на Хабре-то оказался?
Opaspap
А оно и не работает,т.е. работает, но не так как надо.
Wesha
УМВР, ЧЯДНТ?