Vysoká škola ekonomická v Praze

Transkript

1 Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra informačních technologií Diplomant : Miroslav Matuška Vedoucí diplomové práce : Ing. Ivo Šmejkal (VC VŠE) TÉMA DIPLOMOVÉ PRÁCE Internetový protokol IP verze 6

2 Prohlášení Prohlašuji, že jsem diplomovou práci zpracoval samostatně a že jsem uvedl všechny použité prameny a literaturu, ze kterých jsem čerpal. V Praze dne podpis strana 2

3 Poděkování Autor diplomové práce by rád tímto poděkoval Ing. Ivo Šmejkalovi za neúnavné vedení práce, obsahové nasměrování textu práce, poskytnutí kontaktů na další odborníky, řadu podnětných rad a zkušeností, pečlivé pročtení textu práce a poskytnutí některých zdrojů. V neposlední řadě pak za ochotu ke konzultacím v jakémkoli čase a příjemnou atmosféru při zpracování diplomové práce. Vedoucímu oddělení síťové infrastruktury VC VŠE Ing. Luboši Pavlíčkovi za umožnění vytvoření testovací sítě. Mgr. Františku Potužníkovi a Ing. Haně Lukášové ze sdružení PASNET za pomoc při shánění potřebné literatury a zkušebního software. Pavolu Luptákovi a Ing. Petru Cahynovi z firmy ICZ a.s. za umožnění provedení části zkoušek na jimi spravovaném systému. RNDr. Pavlu Satrapovi z Technické univerzity Liberec za možnost nahlédnout do jím připravovaného textu o zpracovávané oblasti. Řediteli výpočetního centra VŠE RNDr. Igoru Čermákovi, CSc. za pomoc při nalezení vedoucího práce a shánění literatury. Všem, kteří za autora dočasně převzali jeho jiné povinnosti, aby se mohl plně věnovat zpracování této práce, zejména pak: o Rodičům a sestře. o Spolupracovníkům z různých útvarů výpočetního centra, zejména oddělení správy unixových systémů. o A všem dalším strana 3

4 Abstrakt Současná celosvětová síť Internet je založena protokolu IP verze 4. Cílem této diplomové práce je zjistit aktuální stav návrhu, standardizace, implementace, praktické použitelnosti a rozšíření znalostí o nově navrženém internetovém protokolu IP verze 6 (IPv6). Smyslem práce je uspořádat informace a znalosti, které jsou o novém protokolu k dispozici, do přehledné formy a využít je k získání dalších poznatků praktickým testováním dostupných implementací nového protokolu v laboratorní síti. V neposlední řadě je cílem také vytvoření textu, který by odborné i laické veřejnosti nový protokol více přiblížil, z tohoto důvodu obsahuje práce také některé výkladové pasáže, které může zkušenější čtenář již znát. Teoretická část práce je vytvořena zpracováním a zhodnocením informací z mnoha různých dostupných zdrojů, zejména anglických textů popisujících protokolové standardy. Informačním pramenem byly i názory odborníků z některých firem a institucí a skromné vlastní znalosti autora. Ty byly v souladu s posláním práce dále rozšířeny hlavní pasáží diplomové práce - praktickou zkouškou instalace a implementace protokolu ve zkušební síti, která přinesla řadu dalších poznatků. Cíle práce může být dosaženo i pomocí vlastních autorových úvah o dalších aspektech a problémech protokolu a nástiny prognóz přechodu větších sítí. Ty jsou založeny právě na zkušenostech získaných testováním. Přínosem práce je ucelené zmapování problémové oblasti, ke které existuje v současné době velmi málo kvalitní literatury, a vytvoření základní referenční pomůcky, která může dalším zájemcům rozšířit znalosti o IPv6 a pomoci jim se začátkem vlastních praktických zkoušek. Dalším přínosem mohou být popsané výsledky zjištěné z teoretických zkoušek, na kterých se dají naznačeným způsobem založit další, sofistikovanější zkoušky a implementace. A ještě dalším přínosem práce může být vytvoření textu v češtině, který může pomoci šířit mezi veřejností osvětu o zatím ne příliš známém (ale zřejmě v budoucnu nezbytném) protokolu. Práce je rozdělena na teoretickou a praktickou část. Teoretická část začíná krátkým zopakováním a připomenutím historických událostí, které vývoji nového protokolu předcházely. Následuje obsáhlejší technologická pasáž, která ve shrnuje vlastnosti a možnosti IPv6. Důležitou otázkou bude způsob přechodu ze stávajícího Internetu na nový protokol, a proto se přechodovým mechanismům věnuji v další kapitole. Další dvě kapitoly shrnují současný stav implementace protokolu na různých zařízeních a jeho použití v praxi. Úspěch protokolu bude záviset i na netechnologických okolnostech, které jsou shrnuty v kapitole o ekonomických aspektech nového protokolu. Závěrečnou kapitolou teoretické části práce je nástin některých, zvláště přechodových problémů IPv6 a opatrné prognózy možného budoucího vývoje Praktická část se v úvodní části zabývá stavem registrace IPv6 sítí a adresních rozsahů s důrazem na síť Vysoké školy ekonomické v Praze. Následující kapitola podrobně popisuje vytvoření malé testovací sítě, na které byly některé vlastnosti IPv6 ověřovány a hodnoceny. Tato část je doprovázena podrobnými konfiguračními údaji, z nichž některé jsou součástí přílohy diplomové práce. Další kapitolou praktické části je nástin budoucího možného přechodu celé sítě VŠE s uvedením jednotlivých fází, alternativních řešení a hrubého časového odhadu. Na závěr celé práce je uvedena shrnující kapitola se stručným zopakováním zjištěného a návrhy na možné navazující aktivity. Na konci práce je uveden terminologický slovníček a přílohy, které obsahují doplňující informace k hlavní stati práce. Hlavní myšlenkou práce (a protokolu IPv6) je snaha řešit obtížné problémy současného protokolu síťové vrstvy Internetu na komplexní a dlouhodobé bázi. strana 4

5 Abstract Internet as a contemporary global world-wide network is based on network protocol IP version 4. The objective of this diploma work is to examine current state of design, standardization, implementation, usability and general knowledge of the new designed Internet protocol IP version 6 (IPv6). The purpose of thesis is to assort available information and knowledge into synoptic form and use this knowledge to achieve more information by testing available implementations of the new protocol. Another objective is to create a text that would make new protocol more understandable for broader public. This is the reason why the work includes explanations that may be familiar for experienced reader. Theoretical part of thesis is done by achieving, processing and evaluating different information from many different sources, especially English texts describing protocol standards. Another source of information were the opinions of various professionals from commercial and academic institutions and own knowledge of author. This knowledge was considerably extended during the main part of the diploma work practical testing of installation and implementation of the protocol in small laboratory network. The testing brought many new facts. The objective of thesis can be achieved also through author s own ideas, thoughts and forecasts about further aspects and problems of the protocol. These ideas are included in text and they are based right on practical tests. The benefit of thesis is sustained survey of the problem area, which is not very well covered by good literature (especially in Czech language). Thesis could be used as a reference assistant for facilitating own practical tests of the interested reader. Even more sophisticated tests and implementations could be based on conclusions of this diploma work. The next benefit could be the creation of the Czech text that should facilitate the propagation of the new (but in future necessary) protocol to uninformed people. Thesis is divided into theoretical and practical part. Theoretical part starts with short recapitulation of historical events that preceded the evolution of the new protocol. The following technological part summarizes the characteristics and capabilities of IPv6. Very important question is transition of the Internet from present IPv4 to future IPv6 protocol and that is why I describe some of transition mechanisms in the next chapter. The following two chapters summarize contemporary implementations existing on routers and end nodes in various experimental and commercial networks. The successful transition to the new protocol depends also on non-technological circumstances that are summarized in chapter about economic aspects of the new protocol. The final chapter of theoretical part is outline of some (especially transition) problems of IPv6 and very conservative prognosis of the future evolvement. First chapter of the practical part deals with registration of IPv6 networks and address ranges with emphasis on the network of the University of Economics in Prague, CZ. The following chapter describes in detail the creation of small testing network, where were capabilities of IPv6 proved and evaluated. This part is accompanied by configuration information. Detailed information about configuring is included in annex of the diploma work. The next chapter is brief outline of possible future transition of the network of University of Economics, divided into time periods with alternative solutions. At the end of the whole thesis is complete summary with proposals of future IPv6 activities. Text ends with terminological vocabulary and annexes, which includes subsidiary information to main thesis. The main idea this diploma work is to solve difficult problems of present protocol of the network layer of the Internet on complex and longtime basis. strana 5

6 Obsah OBECNÝ ÚVOD... 9 PŘEDMLUVA...9 VYMEZENÍ TÉMATU PRÁCE A DŮVOD VÝBĚRU TÉMATU...9 STRUČNÁ CHARAKTERISTIKA SOUČASNÉHO STAVU PROBLÉMOVÉ OBLASTI...9 CÍL PRÁCE, SMYSL CÍLE...10 ZPŮSOB A METODA DOSAŽENÍ CÍLE...10 PŘEDPOKLADY PRÁCE...10 OMEZENÍ PRÁCE...11 KOMU JE MATERIÁL URČEN A JAK HO MÁ VYUŽÍT...11 TEORETICKÁ ČÁST 1. HISTORICKÝ ÚVOD O TÉTO KAPITOLE VZNIK PROTOKOLU IP A JEHO ROZŠIŘOVÁNÍ PO SVĚTĚ Myšlenka odolné sítě Vznik přenosového protokolu Komercionalizace Internetu NEDOKONALOSTI SOUČASNÉHO IPV4, PŘÍČINY VZNIKU HLEDÁNÍ NOVÝCH ŘEŠENÍ Rozsah adresního prostoru Bezpečnost Multicast Kvalita služby Mobilní zařízení, adresy a mobilita uzlu mezi sítěmi VLASTNOSTI IPV O TÉTO KAPITOLE SPECIFIKACE A ZÁKLADNÍ HLAVIČKA PROTOKOLU DOPLŇUJÍCÍ HLAVIČKY VELIKOST PAKETU ADRESOVÁNÍ V IPV Základní principy Zápis adres a prefixů sítí Členění adresy Multicastové adresy AUTOMATICKÁ KONFIGURACE A OBJEVOVÁNÍ OKOLÍ SMĚROVACÍ PROTOKOLY SERVISNÍ PROTOKOL PODPORA BEZPEČNOSTI MOBILNÍ ZAŘÍZENÍ KVALITA SLUŽBY DNS JMENNÉ SLUŽBY PROBLÉMY NÁVRHU PŘECHOD Z IPV4 NA IPV6 INTEGRACE, KOEXISTENCE O TÉTO KAPITOLE PŘEDPOKLADY PŘECHODU FORMY KOEXISTENCE A PŘECHODU Duální protokol Tunelování Překladače STAV IMPLEMENTACÍ DNES A VÝHLED DO BLÍZKÉ BUDOUCNOSTI O TÉTO KAPITOLE IMPLEMENTACE V OPERAČNÍCH SYSTÉMECH IMPLEMENTACE NA SÍŤOVÝCH PRVCÍCH STAV APLIKACÍ POUŽITÍ VE SVĚTĚ A V ČR O TÉTO KAPITOLE EXPERIMENTÁLNÍ A AKADEMICKÉ POUŽITÍ bone CESNET...44 strana 6

7 Euro6IX, 6NET Jiné IPv6 projekty Poskytovatelé zadarmo KOMERČNÍ POUŽITÍ Zahraničí Česká republika EKONOMICKÉ ASPEKTY O TÉTO KAPITOLE JAK SE MŮŽE ŘEŠENÍ UPLATNIT V PRAXI JAK OVLIVNÍ TRH ICT A EKONOMIKU JAK OVLIVNÍ FIRMY ISP A JEJICH ZÁKAZNÍKY JAK OVLIVNÍ KONCOVÉ UŽIVATELE ANALÝZA SWOT IPV Silné stránky (S) Slabé stránky (W) Příležitosti (O) Hrozby (T) ZÁVĚRY EKONOMICKÉ ČÁSTI PROBLÉMY A PROGNÓZY O TÉTO KAPITOLE PROBLÉMY PŘECHODU A NÁSTIN MOŽNÝCH ŘEŠENÍ Psychologické předpoklady přechodu Směrovače, páteřní a místní sítě Koncové uzly a aplikace PROGNÓZA Rozšiřování IPv Uživatelský a tržní úspěch...57 PRAKTICKÁ ČÁST 8. REGISTRACE SÍTÍ O TÉTO KAPITOLE PODMÍNKY A PRŮBĚH REGISTRACE Obecné skutečnosti a zásady Přidělování v praxi STAV REGISTRACE PRO VŠE ZKOUŠKA IMPLEMENTACE A PŘIPOJENÍ DO INTERNETU V MALÉ SÍTI O TÉTO KAPITOLE VÝCHOZÍ SITUACE Cíle zkušební sítě Popis zkušební sítě Tvorba zkušební sítě PRŮBĚH A VÝSLEDKY TESTOVÁNÍ Jmenné služby (DNS) Tunelovací mechanismy Směrování Služby protokolu http Služby vzdáleného přihlášení Služby přenosu souborů Poštovní služby SHRNUTÍ A ZÁVĚR TESTOVÁNÍ Zhodnocení provozu uzlů Další možnosti výzkumu NÁSTIN OSTRÉHO PŘECHODU V SÍTI VŠE O TÉTO KAPITOLE POPIS SÍTĚ MOTIVY PŘECHODU NÁSTIN POSTUPU PŘECHODU Počátek Pro první uživatele Přechod celých podsítí...84 strana 7

8 Přechod celých lokalit Dokončení Časový plán SHRNUTÍ OBSAHU PRÁCE O TÉTO KAPITOLE SHRNUTÍ VÝSLEDKŮ Z TEORETICKÉ ČÁSTI Proč vznikl IPv Nejvýznamnější vlastnosti Soužití s IPv4 a přechod na novou verzi Implementace a použití ve světě dnes Ekonomické aspekty Možný úspěch? SHRNUTÍ VÝSLEDKŮ Z PRAKTICKÉ ČÁSTI Současný stav registrace adres Testování v praxi Budoucí přechod v síti VŠE ZHODNOCENÍ VYUŽITELNOSTI DOSAŽENÝCH VÝSLEDKŮ Další náměty na řešení problémové oblasti MŮJ PŘÍNOS K ŘEŠENÉ PROBLEMATICE ZÁVĚREM LITERATURA, POUŽITÉ ZDROJE SLOVNÍČEK POJMŮ A ZKRATEK SEZNAM OBRÁZKŮ A TABULEK PŘÍLOHY NÁVRH SÍŤOVÝCH PROTOKOLŮ V SÍTI ARPANET/INTERNET - TCP/IP NEBO OSI? INSTITUCE A SPRÁVA INTERNETU VERZE PROTOKOLU IP PROČ PRÁVĚ 6? PŘEDPOKLADY A OČEKÁVÁNÍ OD PROTOKOLU NOVÉ GENERACE OČEKÁVÁNÍ OD IPV PRACOVNÍ SKUPINY IETF, KTERÉ SE ZÁLEŽITOSTMI KOLEM IPV6 ZABÝVAJÍ Jádrová pracovní skupina Přechod ze stávajícího protokolu Dopad na IETF a ne IETF standardy DALŠÍ VYBRANÉ NOVINKY IPV KONFIGURAČNÍ SOUBORY POUŽITÉ PŘI PRAKTICKÉM TESTOVÁNÍ - DNS VÝPIS SÍŤOVÝCH ROZHRANÍ, SMĚROVACÍCH TABULEK A DOSTUPNOSTI VYBRANÝCH UZLŮ Z POČÍTAČŮ V TESTOVACÍ SÍTI Počítač ASTRA Počítač STROM Počítač BSD TEXT DOPISU POSKYTOVATELŮM PŘIPOJENÍ A MOBILNÍM OPERÁTORŮM strana 8

9 Obecný úvod Předmluva Komunikace je jedním ze základních projevů života výměna informací s okolím je nutná podmínka existence pro jakýkoliv organismus. Týká se to i člověka, který odpradávna komunikuje a hledá možnosti, jak vzájemnou komunikaci usnadnit a odstranit překážky, které jí brání. Lidské dorozumívání je na poměrně vysoké úrovni jak svým obsahem, tak i prostředky, které využívá. Obě složky komunikace se rozvíjí i dále. Jednou z posledních významných změn je využití elektronických počítačových sítí pro výměnu informací. Otevřely se tím velké možnosti pro distribuci dat, informací a znalostí. Změnu pocítil každý z nás masovým rozvojem Internetu počátkem 90. let minulého století, zejména díky jeho úspěšné komercionalizaci, vstupu řady různých subjektů na něj a vytvoření řady užitečných služeb. Základy Internetu, neboli sítě založené na rodině protokolů Transmission Control Protocol/ Internet Protocol (TCP/IP), byly položeny již v šedesátých letech. Návrh protokolu IP se ukázal jako velmi životaschopný i ve velmi rozlehlých sítích a po dlouhou dobu nepotřeboval větších úprav. Svět se ovšem vyvíjí ve všech směrech a nedávno se ukázalo, že je třeba provést změny i v této oblasti. Vymezení tématu práce a důvod výběru tématu Diplomová práce se zabývá návrhem, vlastnostmi, možnostmi, problémy a stavem implementace nové verze internetového protokolu - IPv6. Jde o návrh nového protokolu síťové vrstvy Internetu, dnes bezesporu nejrozšířenější a nejpoužívanější počítačové sítě. V pojetí architektury IS/IT (informačního systému/informačních technologií) se pohybuji v oblasti technologické architektury informačního systému (IS), na spodní úrovni základních zdrojů informačního systému a v softwarové dimenzi (sw). Rozsah záběru práce jsem stanovil jako základní přehled důležitých aspektů nového protokolu od historie a důvodů, proč se někdo začal návrhem nové verze zabývat, přes vlastnosti a možnosti protokolu, které prakticky ověřím vlastními pokusy, až po pohled do praxe na jeho reálné využití s důrazem na ekonomické účinky, které může vyvolat. Jde o relativně nový prostředek a k jeho zhodnocení je nezbytná i prognóza - můj vlastní odhad budoucího vývoje a možnosti úspěchu navržených řešení jsem uvedl v závěru teoretické části. Druhou, praktickou částí práce, je jednoduché použití stávajících implementací IPv6 v praxi, zahrnující registraci u odpovědných autorit, tvorba zkušební IPv6 sítě a velmi základní nástin možného budoucího přechodu stávající IPv4 sítě na nový protokol u větší instituce. V této části práce očekávám zjištění nejvíce nových poznatků a použitelný přínos pro další aktivity kolem IPv6. Důvodem výběru tématu je aktuálnost problémů, které stávající verze IP (IPv4) má, a které je potřeba v dohledném časovém horizontu vyřešit. Tím, že je Internet globální veřejnou sítí, jsou problémy o to větší a o to naléhavěji vyžadují řešení. Pokud by současné potíže s použitím Internetu nebyly řešeny, mohl by být potlačen pozitivní síťový efekt Internetu, umožňující ve svém důsledku vzniknout novým hodnotám. Internetový protokol verze 6 je jedním z možných východisek a zdá se být řešením s velkou šancí na úspěch a další rozvoj, protože vedle řešení stávajících problémů nabízí i nové možnosti a služby. Dalším důvodem tématu je fakt, že se jedná o téma v české a slovenské literatuře jen málo zpracované (výjimkou budiž kvalitní dokumenty RNDr. Pavla Satrapy z Liberecké technické univerzity). Úvodní přehled k IPv6 jako velmi pravděpodobnému nástupci stávajícího IP protokolu by mohl být užitečný, a to nejen pro techniky, správce sítí, ale i pro taktická a strategická rozhodnutí v oblasti síťové infrastruktury firem. Stručná charakteristika současného stavu problémové oblasti Počet uzlů a sítí do Internetu zapojených každoročně roste, zdaleka se neblíží svému nasycení a požadavky kladené na služby sítě ze stany uživatelů a poskytovatelů služeb stále rostou. Některé tyto požadavky ovšem není snadné splnit, protože pro ně nebyla současná verze protokolu IPv4 přímo navržena. Je tedy nutno k jejich řešení přistupovat komplikovanější cestou, než kdyby je návrh protokolu bral v úvahu a implementace by je podporovaly již v základním provedení. Prvním problémem je nedostatek číselných adres počítačů a sítí, které je možné přidělovat. Původní 32-bitový rozsah byl dlouho dostatečný a zdál se dokonce nevyčerpatelný, nicméně současná strana 9

10 popularita IP sítě je taková, že se nové adresy musí přidělovat velmi opatrně, což omezuje použití některých žádoucích služeb. S rozvojem mobility uživatelů přišla i potřeba být dosažitelný z různých míst pod stále stejnou adresou. Původní koncept IP s mobilitou počítal v omezené míře, později pak na úrovni celých sítí úroveň jednotlivých počítačů je nutno řešit zvláštními nástroji. Komerční využívání Internetu přineslo také nasazování aplikací (např. přenos zvuku a obrazu v reálném čase), které potřebují mít ze strany síťové infrastruktury zajištěné určité parametry přenosu a tyto zákazníky zaplacené služby je potřeba umět garantovat. Přenosová kapacita sítě je sice stále rostoucí, nicméně je konečná a je tedy potřeba klasifikovat a třídit probíhající provoz a datovou zátěž. Důležitá data specifických aplikací musí dorazit včas, a poskytovatelé připojení k Internetu (ISP, Internet Service Provider) musí mít nástroj pro účtování svých klientů mimo jiné podle priorit přenášených dat. A se spolehlivostí souvisí i bezpečnost přenášených dat podpora šifrování či autentizace toku dat není součástí IP standardu, ale bývá řešena separátně (pokud vůbec). Požadavky na větší důvěryhodnost a bezpečnost sítí se objevují v souvislostí s elektronickým obchodováním. Při zpracování práce jsem vycházel ze zjišťování současného stavu IP sítí. Není překvapující stávající převaha protokolu IPv4, který však vykazuje výše zmíněné nedokonalosti. Cíl práce, smysl cíle Smyslem práce je poskytnout čtenáři základní představu o nejdůležitějších možnostech nového internetového protokolu v porovnání s předchozí verzí. Zájemce by měl získat technické informace teoretického a praktického charakteru a zmapování současného stavu zavádění protokolu do praxe v České republice a ve světě. Měl by také získat základy pro možné vlastní zkušební aktivity s IPv6 (plynoucí zejména z praktické části práce). Práce by také měla přispět náměty, důvody a prognózami při uvažování o přechodu na nový protokol z ekonomického hlediska. V neposlední řadě by mohla pomoci zvýšit všeobecné povědomí o možnostech a reálnosti nasazení IPv6 obecně. Způsob a metoda dosažení cíle Cíle práce jsem dosáhl studiem informačních zdrojů (hlavním zdrojem je sada navržených a schválených RFC dokumentů a literatury, informace o řešení rozhodujících firem z oboru, informace z konferencí), anketou v českých telekomunikačních firmách, vlastní zkušební činnost při tvorbě jednoduché IPv6 sítě, konzultacemi s vedoucím práce a dotazy odborníků z praxe. Informace získané z cizích zdrojů jsem roztřídil, zhodnotil dle aktuálnosti, relevance k tématu, zajímavosti a odborné úrovně, doplnil vlastními názory, znalostmi a zkušenostmi a ve zvolené struktuře a objemu uspořádal do jednotlivých podtémat diplomové práce tak, aby splňovaly mnou stanovené cíle. Záměrem diplomové práce bylo podat výklad části IP problematiky jak pro laickou, tak pro odbornou veřejnost. Z tohoto důvodu jsou zejména v úvodu práce uvedeny shrnující pasáže, které může informovaný čtenář už znát. Soudím však, že pro uvedení do záležitostí kolem IPv6 je dobré tyto skutečnosti krátce zopakovat. Některé informace jsou v práci z důvodu zdůraznění a usnadnění pochopení problému uvedeny na více místech například v odborné teoretické pasáži a při aplikaci v praktické pasáži. Nejde o prosté zopakování textu, ale jiný pohled na tutéž záležitost podle potřeby použití. Záměrem je umožnit čtenáři pochopení důležitých skutečností různými způsoby. Práci jsem zpracovával v časovém období od června 2001 do dubna 2002, přičemž informace jsou aktualizovány právě k dubnu Předpoklady práce Předpokladem platnosti práce a závěrů v ní obsažených je neutuchající zájem uživatelů o služby elektronických počítačových sítí (zejména mobilních), rostoucí role informatiky v podnikání a obchodu, požadavek důvěry v elektronické podnikání a stálý tlak na celosvětovou jednodušší výměnu informací. To implikuje i existenci počítačové sítě typu Internet na protokolu IP i v několika nejbližších letech a nutnost jejího dramatického rozvoje, včetně řešení otázek škálovatelnosti, dostupnosti, bezpečnosti a mobility. Troufám si říci, že výše uvedené předpoklady budou při klidném ekonomickém prostředí bez větších výkyvů ve společnosti splněny ve velké části světa. strana 10

11 Konkrétnějším předpokladem práce je existence jistých problémů současného IP protokolu (o čemž panuje všeobecná shoda) a nutnosti jejich řešení v krátkém čase a celosvětově shodně. Omezení práce Omezení práce vychází z mých možností a schopností a mně dostupných informačních zdrojů. Nejvíce se projeví v ekonomické a prognostické části práce, kde je velkou nevýhodou malý počet (ve srovnání s IPv4) existujících implementací nového protokolu (navíc primárně v akademické sféře), takže mnou vyvozené závěry nelze použít jako konkrétní argument pro rozhodování, ale jen jako další pohled a názor. Omezení v teoretické části vychází z rychlého rozvoje poznatků a standardů v této oblasti. Ne všechny návrhy protokolů a vlastností jsou standardizovány, ne všechny se budou ve finální verzi IPv6 vyskytovat tak, jako se vyskytují dnes a jak o nich píši. Může dojít k odchylkám a případný čtenář by si měl u zatím neustálených dokumentů (jsou označeny) zkontrolovat jejich poslední verzi vůči odchylkám. Jádro a obklopující skupina návazných služeb je již nicméně ustálena delší dobu a na principech by se nemělo měnit nic. Zajímavou a potřebnou další aktivitou by mohlo být trvalé testování větší sítě a širší škály platforem, než jsem měl při praktických pokusech k dispozici. To je však mimo záběr této diplomové práce a mimo současné možnosti hardware na VŠE (je využito provozně jinak). Nicméně je to možný námět pro budoucnost. Vhodným doplněním práce, které bohužel není obsaženo, by mohlo být konkrétní provedení projektu implementace (přechodu) IPv6 ve větší síti, tak, jak je nastíněno na konci praktické části práce. Při teoretickém uvažování jsem se i při nejlepší vůli mohl dopustit několika opomenutí nebo nepřesností, které by v praxi vyšly najevo a bylo by nutno návrh upravit. Z pochopitelných důvodů však testovací síť takového rozsahu neexistuje. Komu je materiál určen a jak ho má využít Diplomová práce je určena širokému okruhu odborníků laiků z oblasti informačních a komunikačních technologií: - Na nejdetailnější a nejspodnější úrovni (ve smyslu architektur IS/IT) si ji může přečíst návrhář, implementátor nebo správce sítí, který se z ní dozví technologické podrobnosti protokolu a možnosti praktického použití ve stávajících a nových sítích. - Zájemci o počítačové sítě z řad odborné i laické veřejnosti získají z diplomové práce základní přehled o nových navržených službách. Dozví se, proč se k některým změnám muselo přistoupit, co se bude muset změnit a co jim to umožní. - A konečně představitelé IT managementu budou po přečtení mít rámcovou představu o možnostech úspěchu IPv6, možných ekonomických přínosech, smysluplnosti přechodu jejich sítí na nový protokol a částečně i o možnosti rozvoje jejich infrastruktury IS/IT. Práce se sice primárně zabývá novým internetovým protokolem IPv6, nicméně si myslím, že najde užitek i v případě volby jiného východiska z problémů stávajících rozlehlých sítí. Práce by mohla sloužit například jako základní východisko při návrhu dokonalejšího řešení nebo jako referenční zdroj v případě porovnání s podobnou studií o alternativách. V neposlední řadě by pak její ekonomická část při určitém zobecnění mohla být sylabem pro uvažování o nových síťových řešeních obecně. U každého čtenáře práce se předpokládá minimální znalost síťové problematiky, základní znalost principů fungování IP protokolu a zájem o novinky. strana 11

12 TEORETICKÁ ČÁST strana 12

13 1. Historický úvod 1.1. O této kapitole V této kapitole diplomové práce je uvedeno, které relevantní události předcházely vzniku IPv6 v podobě, ve které se vyskytuje dnes. Vývoj začíná v šedesátých letech minulého století na ministerstvu obrany a univerzitách USA, samotný IP protokol vzniká v letech sedmdesátých. V průběhu osmdesátých let stále více nasazovaný protokol prožívá obrovský rozmach používání v letech devadesátých, což je nutně spojeno s novými požadavky na něj a s projevením se jeho nedokonalostí. Na jejich řešení vzniklo několik paralelních pracovních skupin, jejichž výsledky daly v polovině devadesátých let vzniknout návrhu IPv6. Zdrojem mi byly zejména prameny [2,24,26] Vznik protokolu IP a jeho rozšiřování po světě Myšlenka odolné sítě Počátkem šedesátých let se začaly objevovat první myšlenky (převážně v USA) na vytvoření sítě, která by navzájem propojovala nejdůležitější vojenské, vládní a vědecko-výzkumné počítače. Mělo jít o síť decentralizovanou, která bude fungovat i v případě výpadku či zničení některého z uzlů. Současně mělo platit, že všechny uzly měly být rovnocenné, každý z nich měl mít možnost vysílat i přijímat zprávy. Dalším cílem sítě mělo být propojení superpočítačových kapacit výpočetních středisek a možnost vykonávat úlohy na dálku. Počítačové komunikace (přenosu textu a binárních dat) bylo do té doby velmi málo a neměla síťový charakter, šlo spíše o dvoubodové přenosy, založených zejména na přepínání okruhů. Jde o koncept vyhrazení celé přenosové cesty mezi dvěma body předem, které se pak celá používá výhradně pro data jednoho přenosu. Cesta se v průběhu přenosu nemění a není možné dílčí spoje využít pro jiné přenosy, i když se dočasně data nepřenáší. Z požadavků na novou síť plynulo, že bude třeba zvolit takovou technologii, která bude více nezávislá na předem zvolené přenosové cestě a bude schopna udržet i běžící komunikaci, pokud dojde k poruše mezilehlých uzlů. Několik na sobě nezávislých výzkumných týmů rozvinulo na začátku šedesátých let myšlenku přepínání paketů, která svým založením myšlenku sítě bez centrální autority podporuje. Přenášená data se rozdělí do malých jednotek, které putují sítí společně s dalšími datovými přenosy bez nutnosti sestavit před přenosem vyhrazený okruh. Americké ministerstvo obrany přišlo v druhé polovině šedesátých let s požadavkem vybudovat síť založenou na tomto principu. Dostala označení ARPANET a v září roku 1969 došlo k prvním datovým přenosům mezi čtyřmi americkými univerzitami. Do roku 1971 se síť rozšířila na univerzity po celém americkém kontinentu. Ukázala se být úspěšnou a rostl zájem o připojení k ní. Hlavním využitím této sítě byla elektronická pošta Vznik přenosového protokolu V ARPANETu poprvé spatřily světlo světa přenosové protokoly založené na přepínání paketů, které se používaly dlouhou dobu a některé z nich existují dodnes. V sedmdesátých letech byla proto navržena robustnější sada ( rodina, anglicky stack ) protokolů, založená na standardu Transmission Control Protocol (TCP). Ten byl navržen pro komunikaci koncových uzlů. Tehdejší směrovače (nazývané gateways, brány) však nebyly dostatečně výkonné a řízení datového provozu na transportní úrovni, jako kdyby byly koncovými uzly, pro ně bylo zbytečnou zátěží. Aby se komunikace zbytečně nezpomalovala, byly činnosti a odpovědnosti TCP rozděleny do dvou protokolů sousedních vrstev (v terminologii modelu OSI: do síťové a transportní). Jednodušší síťový protokol, nezaručující spolehlivost, určený pro komunikaci uzlů se směrovači a mezi směrovači navzájem, dostal název Internet Protocol (IP). TCP zůstalo jako nadstavba zajišťující spolehlivou komunikaci, pro nepotvrzovaný přenos byl vytvořen transportní protokol UDP. Za posledních dvacet let se protokoly změnily jen málo jádro zůstalo stejné a rozšíření se týkala spíše doplňků, které řešily některé neočekávané problémy. Dvojice standardů TCP/IP byla ovšem navržena natolik robustně, že problémy byly malé a změny nemusely být tak závažné, aby nemohly být prováděny i v běžícím prostředí a jen v částech sítě. TCP/IP se stalo jedinou přenosovou platformou, která získávala na popularitě implementací do jádra tehdejší verze (4.2) univerzitního BSD Unixu. I díky rozvoji a zvyšování dostupnosti technologií strana 13

14 pro lokální sítě (Ethernet) se k páteři ARPANETu připojovaly další a další uzly. Po roce 1983 byla překročena hranice 1000 připojených uzlů, v roce 1987 hranice , o dva roky později již a rovného milionu uzlů dosáhla roku V roce 1986 vznikla v USA další páteřní síť NSFNET založená na protokolech TCP/IP, propojující výzkumná superpočítačová střediska. Postupně přebírá páteřní roli ARPANETu a k této páteřní síti už vznikali první poskytovatelé síťových služeb nižší úrovně. Provoz ARPANETu byl postupně omezován a v roce 1990 zcela ukončen Komercionalizace Internetu Až do roku 1993 byla síť NSFNET vedena na nekomerční bázi. Jeho rostoucí popularita i v neakademické sféře přitahovala velké telekomunikační firmy k myšlence postavit a provozovat vlastní páteřní sítě a využívat je k výdělečným účelům i pro podniky a jednotlivce. V roce 1994 došlo k výstavbě propojovacích bodů mezi začínajícími IP sítěmi různých provozovatelů a páteří NSFNET, stavbě nových páteřních spojů (teď už z iniciativy soukromého sektoru) a dohodám o směrovacích pravidlech a protokolech. I tato změna, mající za následek exponenciálně rostoucí počet připojených uzlů proběhla bez výraznějších změn v IP protokolu. Internet se od té doby decentralizovaně a rychle rozrůstal po všech kontinentech (Československo bylo připojeno linkou do rakouského Linze v roce 1992). Pojem Internet, které jsem zatím přesněji nedefinoval, se tedy používá pro označení rozsáhlé, globální a otevřené informační metasítě (tj. sítě sítí) vzniklé postupným vývojem popsaným výše. V užším slova smyslu pak Internet je soustava registrovaných sítí, schopných vzájemně si vyměňovat pakety protokolu IP. Síť je víceúrovňová, nejčastěji se používá rozdělení na páteřní, sítě střední velikosti a přístupové sítě, ke kterým se připojují koncoví uživatelé. Každá má trochu jiný charakter a účel, ale všechny využívají stejného síťového a transportního protokolu. Standardními službami postavenými nad protokoly TCP/IP v první fázi Internetu byly elektronická pošta, přenos souborů File Tranfer Protocol (FTP) a telnet. Pošta je důležitá i dnes, nicméně další dvě služby byly od devadesátých let postupně zastiňovány jinou, dnes zdaleka nejpopulárnější WWW. Myšlenka služby World Wide Web na protokolu HTTP se poprvé objevila v roce 1989 ve švýcarském středisku pro jaderný výzkum CERN, jeho první prototyp byl předveden roku 1990 a o tři roky později začal prudký nárůst obliby. Troufl bych si odhadnout, že právě vznik WWW přilákal k Internetu rozhodující část uživatelů a dnes je přenos dat protokolu HTTP dominantní součástí síťového provozu na světě. Až do roku 1993 zůstával Internet doménou vědeckých a akademických pracovišť. Poté se na něm ale začaly ve velkém objevovat komerční firmy a informační služby zaměřené na běžné uživatele. Internet se po tomto roce stal velmi rychlým vývojem v mnoha zemích běžnou součástí každodenního života. Rozmanitost služeb v Internetu roste, objevují se požadavky na multimediální přenosy. Přenosové rychlosti médií stále rostou do řádů terabitů (v páteřních sítích). Počet uživatelů roste exponenciální řadou, na začátku roku 1994 byly Vývoj počtu uzlů v Internetu v letech připojeno 2,5 milionu uzlů, v roce milionů uzlů, v první polovině roku 2000 už milionů. V březnu 2002 už tento počet dosáhl milionů a zatím není patrná fáze nasycení Obrázek 1: Graf počtu uživatelů Internetu podle [34]. počet uzlů X.91 X.92 X.93 X.94 X.95 X.96 X.97 X.98 X.99 X.00 X.01 zdroj: Internet Software Consortium ( strana 14

15 Síť používají k poskytování určitých služeb i státní instituce. Uživatel tak má hypoteticky možnost číst denní tisk, nakupovat, bavit se, být ve styku s bankou a pracovat na dálku z domova. Ne vždy to lze bezproblémově realizovat, důvody jsou jak technické (například nízká úroveň bezpečnosti), tak i netechnické (například náklady na připojení a práci). Snahou zúčastněných institucí je technické problémy odbourávat a řešit například návrhem nové verze síťového protokolu Nedokonalosti současného IPv4, příčiny vzniku hledání nových řešení I přes dobře promyšlený a lehce nadčasový návrh IP protokolu, který celosvětové rozšíření umožnil, má jeho specifikace slabá místa. Jde zejména o oblasti, které souvisí s komerčním využitím, multimediálními aplikacemi a mobilními zařízeními. O těch ovšem autoři v době vzniku nemohli nic vědět, stejně tak jistě nepředpokládali, že bude Internet přístupný téměř komukoliv a že počet připojených uzlů poroste exponenciální řadou. Co je IPv4 nejčastěji vytýkáno? Rozsah adresního prostoru Adresa, neboli unikátní označení uzlu připojeného k síti, je ve stávajícím IP protokolu o rozsahu 32 bitů, což dává teoreticky možnost připojit a označit 2^32 počítačů (přes čtyři miliardy). Tvůrci ale v záměru tolik uzlů připojit neměli. Skutečný počet počítačů, které je možné připojit, je nižší, protože některé adresy mají určeno speciální použití z důvodu dalšího rozčlenění adresy a přiřazení různého významu jejím částem. 32-bitová adresa je totiž rozdělena na část označující síť (prefix) a na část označující počítač v dané síti. Mechanismus směrování (routingu) paketu mezi sítěmi musí zajistit skutečnost, že libovolné dva počítače na Internetu si mohou předávat data, i když leží v úplně jiných sítích, které spolu nesousedí. Není zvládnutelné udržovat cestu ke každému uzlu zvlášť a při směrování se proto pracuje pouze s adresou celé sítě a podle ní směrovače volí další cestu paketu (to je princip, na kterém je založena síťová vrstva - na rozdíl od spojové). Pakety se posílají stejným směrem podle stejné síťové adresy a na adresu koncového uzlu se hledí až paket dorazí do cílové sítě. A aby tedy byl celý proces směrování rozumně zvládnutelný (aby jednotlivých cest pro stejný směr nebylo moc), jsou uzlům v sítích přidělovány adresy po blocích, takže se určitá část adres spotřebuje na režii spojenou s fragmentací adresního prostoru. Původně se adresy přidělovaly ve třech třídách A,B a C, každá o různém počtu připojitelných uzlů. Třídy se mezi sebou liší délkou části 32 bitové adresy, která označuje síť a uzel. V síti třídy A, kde síť označuje prvních 8 bitů, zbývá 24 bitů na adresu uzlu a bylo tedy možno připojit přes 16,7 milionu počítačů. V B síti je označení sítě dlouhé 16 bitů, uzel může pro své označení použít 16 bitů, což je použitelných uzlů (první a poslední adresa má speciální význam). V nejmenší síti C (kterých je ale zase nejvíc, protože šíře jejich označení je 24 bitů) můžeme přidělit 254 síťových rozhraní (interface). Třídy se tedy od sebe liší pomyslnou bitovou hranicí, kde končí síťová adresa a kde začíná adresa uzlu. Kde se hranice nachází (do jaké třídy adresa patří), se dalo rozeznat z prvních bitů adresy zbylé adresy zůstaly rezervované pro budoucí použití (našly jej později zejména v multicastu). A B 0 síť (8 bitů) 10 adresa sítě (16 bitů) adresa uzlu (24 bitů) adresa uzlu (16 bitů) 0 C třída adresy 110 adresa sítě (24 bitů) počáteční bitová kombinace Obrázek 2: Původní třídy IP adres uzel (8 bitů) strana 15

16 V době návrhu IP protokolu se zdálo, že 32 bitů ve třech třídách tvoří dostatečnou rezervu pro všechny možné konfigurace a velikosti budoucích jednotlivých připojených sítí a i sítě jako celku. Rozmach a celosvětovost Internetu, tak jak ji známe dnes, ale nikdo nečekal. Ukázalo se, že dělení IP adresy po celých osmicích bitů není příliš jemné. Protože počítačová síť má většinou jiný počet uzlů než oněch ideálních 16,7 milionu, nebo 254, určitá část adresního prostoru zůstávala nevyužita. Tyto adresy nebylo možno z důvodu směrování použít jinde a dále zmenšovaly počet možných připojitelných uzlů. Při návrhu sítě si také správci ponechávali určitou rezervu pro budoucí rozšiřování a změny sítě a žádali o větší počet adres, než byl aktuální počet uzlů. Počet dostupných C adres (který jsou vzhledem k velikosti nejužívanější) se ukázal při expanzi zájmu o Internet jako malý [22]. Bohužel ale nebylo možno přidělovat části dosud volných A a B bloků různým novým sítím. Směrovače by totiž nevěděly, do které z těchto sítí pakety posílat (protože prefix, síťová část adresy, by byla stejná pro obě dvě, i když by byly pravděpodobně dosažitelné po jiných přenosových spojích). Přidělení dosud volných A a B bloků malé síti by bylo velkým plýtváním sítí A a B je málo k dispozici, ale mají v sobě mnoho volného místa. Zdálo se, že slibný rozvoj sítě, která má obrovský potenciál, bude přidušen technickými omezeními a zbytečně se vytvoří restrikce, které nejsou žádoucí a které by nemusely být, pokud by se lépe navrhl adresní prostor. Výhody z toho být na síti ovšem byly a jsou tak veliké, že se začala hledat řešení, která by dovolila stávající adresový prostor lépe využít a umožnila připojovat nové účastníky a uzly bez omezení. Jedním z řešení je navrhnout zcela novou verzi protokolu, která by prodloužila délku adresy. Neboli pokud už se musí do návrhu protokolů z důvodu nějakého problému zasahovat, raději jej vyřešme důkladně a úplně s výhledem na delší čas, ať se za pár let nemusí řešit problémy, které se vynořují už dnes. Na tomto základu se začal tvořit na přelomu osmdesátých a devadesátých let IP protokol nové generace, IPng. Nicméně v případě důkladného nového návrhu, ve kterém se aplikují všechny znalosti a poznatky současné doby a řeší se i méně závažné problémy komplexně, nutně nastává problém se zpětnou kompatibilitou s původním protokolem. S postupem času se ale podařilo vyvinout několik doplňkových mechanismů, které pomohly na bázi stávajícího IPv4 (a to nejen primárně v počtu volných sítí a adres). Obtížná tvorba a přechod na zcela nový protokol se proto nezdály být tak akutní. Je pochopitelně jednodušší implementovat doplněk ke stávajícím standardům, než implementovat věci zcela nové. O jaké doplňky šlo? Sesterské technologie CIDR (Classless Inter Domain Routing) a VLSM (Very Large Subnet Masks) umožnily zjemnit striktní pojetí adresních tříd. Ty je možné u novějších implementací směrovacích protokolů úplně opustit a stanovit bitovou délku adresy sítě a uzlu libovolně (s respektováním celkového součtu 32 bitů) a přizpůsobit tak velikost adresního prostoru co nejlépe na míru své síti. Lze například rozdělit C síť na několik menších podsítí a použít je na úplně jiných místech, případně více C sítí spojit snadno do jediné. Dělit lze i dříve celistvé veliké A a B sítě (např. A síť ) na mnoho použitelnějších sítí menších. Místo, kde se pomyslná dělící část v adrese nachází, se pozná z tzv. masky podsítě ( subnet mask ). To je bitové pole, kde jedničky označují místa, kde se nachází adresa sítě a kde nuly označují adresu uzlu. Z důvodu jednoduchosti se používají masky spojité (jedničky a nuly následují bezproředně za sebou), takže se někdy lze setkat i se zjednodušeným zápisem masky podsítě jako bitové pozice, kde se nachází pomyslná hranice (často používaným termínem je délka prefixu sítě ). Jelikož nejde o původní vlastnost IP protokolu, informace o charakteru připojené sítě se nachází pouze na směrovačích a koncových uzlech, v paketech obíhajících po síti masku podsítě nenajdeme. To ale nevadí, ba naopak. Pokud totiž maska není v paketu pevně stanovena, je možné geograficky blízké sítě, které jsou od směrovače ve třetí síti dostatečně daleko a dosažitelné po stejném spoji, sdružit (zagregovat) do jakési jedné nadsítě a zjednodušit tak páteřní směrování*. Více koncových sítí tak bude dosažitelných pod jedním směrovacím záznamem. Čím se bude paket blížit do své cílové sítě, tím budou informace o cílové síti detailnější a tím bude síťová část adresy (prefix) delší. Tam ale zase bude paket dál od páteře a směrovač nebude potřebovat tolik informací o jiných vzdálených sítích přenechá je páteřním zařízením a všechny pakety do cizích sítí pošle implicitní cestou do páteře pryč. Maska sítě, na základě které směrovače rozhodují o další cestě paketu, se tedy v průběhu cesty jednoho paketu mění. Agregace adres a cest je mechanismus, který usnadňuje směrování paketů. *Páteřní směrovače směrovače, které nepoužívají pro směrování na neznámé adresy výchozí cestu ke směrovači vyšší úrovně, ale musí znát směr do všech používaných sítí Internetu, protože nad nimi žádný další směrovač vyšší úrovně není) strana 16

17 Objevily se i některé obtíže. Dříve pevný počet možných podsítí daný třídami A, B a C začal být rozsekáván mechanismem CIDR na menší a menší sítě a ty začaly být přidělovány sítím v různých lokalitách po celém světě. Spolu s rozvojem jemných a oddělených sítí začaly narůstat záznamy ve směrovacích tabulkách páteřních směrovačů Internetu. Čím oddělenější totiž jemné sítě jsou, tím roste pravděpodobnost, že nebudou dosažitelné po stejných spojích a že nepůjdou zpětně zagregovat do nadsítě. Ve směrovací tabulce tak musí být pro každou síť jeden zvláštní záznam s dlouhým prefixem namísto jednoho společného pro všechny sítě. A protože výkon těchto směrovačů není neomezený a jejich paměť rozhodně nestačí na pojmutí adres všech koncových uzlů a ani koncových podsítí, měly by mít páteřní směrovače přehled pouze hrubý a měly by uchovávat směrovací informace pouze pro velmi obecné (krátké) prefixy. Pokud by byla agregace stále obtížnější, nutně by se začal omezovat výkon páteřního směrování a tedy i rychlosti přenosu dat. CIDR a VLSM tak pomáhají tím, že uvolňují a spoří IP adresy a umožňují směrovat na třetí vrstvě i ve velmi malých sítích. Nicméně i přes výhody agregace a beztřídního směrování, které zmenšuje počet směrovacích záznamů, začaly jejich přičiněním (díky rozsekávání celistvých sítí na vícero geograficky oddělených) růst tabulky páteřních směrovačů. CIDR tedy pomohl, ale není řešením ideálním co se získalo na jednom místě (kapacita adres) se muselo na jiném místě (jednoduchost směrování) vzít. Přes to všechno není v adresním prostoru IP mnoho volného místa a je potřeba spořit i jinak. Další řešení nabídla technologie NAT/PAT (Network/Port Address Translation) překlad adres, využívající i čísla TCP portů v transportní vrstvě pro pseudo-rozšíření adresního rozsahu. NAT/PAT umožňuje skrýt celou síť s mnoha uzly za jedinou veřejnou IP adresu vnitřní uzly jsou pak očíslovány speciálním rozsahem, který se neinzeruje směrovačům ve vnější síti. Pakety z a do této sítě pak mají v Internetu jedinou IP adresu a rozlišení na konkrétní uzel v síti se provede na překládací bráně podle dříve přidělené asociace čísla portu. NAT/PAT ovšem také není řešením ideálním, protože: - Kombinuje síťovou a transportní vrstvu (používá v asociacích čísla portů a adres) do jediné. Z vývoje TCP/IP plyne, že právě rozdělení do dvou vrstev přineslo Internetu významné výhody při směrování - Ruší bezstavovost IP (je nutno udržovat tabulku asociací). - Omezuje plnou koncovou (end-to-end) konektivitu uzlů. Jde o myšlenku, že každý uzel na Internetu by měl být schopen plně komunikovat s uzlem jiným bez nutnosti specifické konfigurace nebo různých pomůcek. Požadavky pro tuto plnou konektivitu v poslední době narůstají: různé vzájemné peer-to-peer služby (dochází ke spojení mezi dvěma uzly, které jsou na stejné úrovni v poskytování síťových služeb nejde o servery), datová spojení přímo mezi mobilními zařízeními, plně duplexní přenosy zvuku, a obrazu, herní konzole a podobně. - Je nutno použít speciální aplikační brány pro služby, které jsou uvnitř sítě a jsou poskytovány ven. - Servisní protokoly (ICMP) lze použít jen omezeně. - Je to další prvek v síti, který je nutné pořídit, konfigurovat, udržovat, zabezpečovat a který by nemusel být. To jsou závažné důvody, proč je NAT považován za pouze dočasné východisko a proč jej řada odborníků neuznává jako řešení, které je v souladu s koncepcí a ideály původního TCP/IP. Nicméně v úspoře IP adres překlad adres pomohl. Další prostor na úspory se našel na aplikační úrovni například u nejčastěji používaného aplikačního protokolu HTTP lze ve verzi 1.1 specifikovat v požadavku jmennou adresu serveru. Tím lze použít jediný server a jedinou IP adresu na provoz mnoha různých webových serverů (webhosting) u poskytovatelů hostingových služeb. Rozlišení serveru podle jména uvedeného v URL, se provede až na aplikační úrovni - DNS všechna různá doménová jména překládá na jedinou IP adresu. Všechna výše uvedená a i jiná vylepšení IPv4 nicméně dle mého názoru nejsou dlouhodobým řešením, které by zajistilo dostatečný adresní prostor pro všechny zájemce o připojení při současném zajištění všech služeb. Druhy a počty zařízení, které je možné a vhodné k IP síti připojit neustále rostou a byla by škoda jejich potenciál nevyužít. Ani CIDR, ani NAT, ani jiná aplikační řešení však dlouhodobě problém nedostatku adres neřeší, jen oddalují. Zmíněné doplňky mají své problémy, které zabraňují využívat některé síťové služby, omezují použití uzlů a směšují funkce a vlastnosti různých vrstev OSI modelu dohromady, což z hlediska návrhu jednotného prostředí a idey oddělení funkcí vrstev není dobře. IP protokol nové generace by měl řešit všechny problémy od základů. strana 17

18 Bezpečnost Problematika bezpečnosti se při vývoji původních protokolů vůbec neuvažovala, nebyla součástí zadání. Protokol byl navrhován tak, aby byl co možná nejvíce efektivní a flexibilní. Proto přenosové cesty založené na tomto protokolu nejsou nikterak zabezpečeny. Bezpečnost se týká dvou věcí: - zda je ten, kdo je uveden jako zdroj (odesílatel), skutečným původcem paketu - zda jsou data zabezpečena proti odposlechu na přenášené lince (šifrována) IPv4 ani jednu z otázek neřeší a na síťové vrstvě spoléhá na důvěru připojených subjektů a provozovatelů přenosových spojů. Toto paradigma plně odpovídá čistě akademickému či vojenskému Internetu, nedá se ovšem plně aplikovat na jeho současnou komerční podobu. První bezpečnostní otázka není příliš závažná. Při používání dominujícího protokolu transportní vrstvy (TCP), kde se navazuje spojení, není podvrhnutí IP adresy úplně snadnou věcí. Z důvodu směrovacích pravidel musí být útočník na stejné IP podsíti a buď příchozí pakety odposlouchávat, nebo agresivně vystupovat jako původní počítač, což nezůstane v síti nepovšimnuto a zdroj se dá velmi rychle najít. Přesto by bylo dobré i v této oblasti větší jistotu mít. Důvěrnost přenášených dat je závažnější problém. Odposlechnutí dat může mít i stejně závažné následky jako falešná identita, ale provést se oproti ní dá mnohem snadněji. Přenosové spoje Internetu jsou různého druhu, vlastnictví a existuje možnost monitorovat na nich provoz. Na cestě k cíli na druhém konci světa projde paket po různých spojích a vždy se nelze na diskrétnost vlastníka přenosového okruhu spolehnout. A snadný je i odposlech na některých (zejména sdílených) médiích v sítích LAN (např. nepřepínaný Ethernet). Pokud je potřeba zajistit, že si přenášená data nikdo jiný nepřečte, musí se o to v současné době postarat vyšší vrstvy síťového modelu (např. SSL) nebo je potřeba k IP implementovat ještě různé doplňky (např. IPSec), které bezpečný přenos zaručí. Ty ovšem nejsou každým zařízením podporovány a jejich implementace do IPv4 prostředí nemusí být snadné a levné (stejně jako jiná proprietární řešení). Toto všechno zabraňuje masovému rozšíření všeobecných bezpečnostních mechanismů na síťové vrstvě přímo ke stávajícímu IPv4. Šifrování je velmi náročná aplikace na systémové zdroje, zejména na procesorový čas. Počítače a směrovače existující v době vzniku IP protokolu (70. léta) nedisponovaly (až na výjimky) takovým výkonem, aby mohlo být šifrování součástí každého přenosu dat a velmi rozumně tuto službu přesunuli tvůrci do vyšších aplikačních vrstev nechť se zpomalí až ten program, který bude bezpečnost opravdu potřebovat. Situace se však změnila (jak v oblasti výkonu CPU, tak i v pojetí ochrany dat) a služba by mohla propadnout v pojetí OSI modelu na nižší úroveň, například až do síťové vrstvy. Je jen třeba dát pozor, aby se touto snahou neomezila jedna z hlavních výhod IP jednotnost, jednoduchý návrh a implementace pouze těch nejdůležitějších služeb. Zbytečná režie a komplikovanost by mohla odsoudit i dobře míněný návrh vylepšení IP k neúspěchu Multicast Původní pojetí IP sítě uvažovalo jako primární druh přenosu tzv. unicast vyslání a příjem dat mezi dvěma uzly. Pokud je potřeba po síti přenášet stejná data z jednoho uzlu k více dalším najednou (tzv. multicast), bylo potřeba distribuovat je jako soubor unicastů. To není příliš šetrné k přenosové kapacitě, protože se tytéž pakety, jen s rozdílnou síťovou adresou příjemce přenáší po tomtéž spoji tolikrát, kolik je adresátů. Služby, které by takové přenosy dat mohly s výhodou využívat, vznikly s rozvojem internetu a přenosových kapacit jde zejména o multimediální (rozhlasové a televizní) vysílání a videokonference. S rostoucím počtem posluchačů a diváků roste i nárok na přenosové pásmo u zdrojového serveru, což omezuje širší využívání služby. Řešením je použití některé z multicastových přenosových technologií, neboli postupu, který shodná data bude vysílat pouze jednou a k rozdělení koncovým příjemcům dojde až co nejblíže u nich, takže větší část cesty spoří přenosové pásmo. Multicastové mechanismy se v síti implementovaly až dodatečně jako doplňková služba, takže nejsou rozšířené na všech přenosových zařízeních. Nelze je tedy použít všude v Internetu a spoléhat se na jejich existenci stejně, jako na možnost unicastového přenosu (který je základní službou). Pro vícebodové přenosy byla později vyhrazena část IP adres a navrženy protokoly linkové i síťové vrstvy, které jsou schopny tento druh dat směrovat a rozdělovat koncovým uživatelům. Příkladem implementace těchto technologií je virtuální síť MBone v rámci Internetu používaná pro strana 18

19 videokonference. Na směrovačích, které mají podporu multicastu implementovánu (tzv. mrouter ) se vícebodovými přenosy pracuje (směruje, duplikuje apod.) podle požadavků na multicast, tj.stejná data se přenáší jen jednou. Přes ostatní směrovače je nutno postavit virtuální cesty (tunely) do další části MBone sítě. Implementace IPv4 multicastových protokolů (u kterých je oproti unicastům komplikovanější směrování) však nejsou ve směrovačích Internetu tak rozšířené, aby se daly multicastové přenosy využívat běžně každým, kdo by takový přenos potřeboval. I když jde o relativně nejméně problémový bod IPv4, protože poptávka uživatelů sítě po multicastech zatím není velká, mělo by se při návrhu nového síťového protokolu (pokud už se bude vytvářet) pamatovat i na nativní podporu multicastu ve standardní implementaci. Dnes často používané řešení silou neboli pomocí rozšíření přenosové kapacity k vysílajícímu uzlu totiž nepůjde aplikovat věčně a služby na multicastu postavené by se nemohly dále rozvíjet Kvalita služby S multimediálními aplikacemi v reálném čase souvisí i další stále více sledovaný parametr přenosu - kvalita služby. Data těchto aplikací jsou totiž velmi citlivá na šířku přenosového pásma a zpoždění pokud některý z požadovaných parametrů není dodržen, není možné službu vůbec realizovat. To je rozdíl oproti klasickým datovým přenosům, kde se nedokonalosti projeví jen v čase, kdy bude úkol dokončen, ale neznemožní se jeho provedení. Dnešní negarantované přenosy fungují na principu best-effort, neboli směrovač udělám maximum, co je v jeho silách. Pokud totiž na přeplněné lince nezbude pásmo pro minimální výstup kodeku videopřenosu, z jeho sledování nebude nic. Stejně tak pokud se budou pakety v síti náhodně zpožďovat, nepodaří se je na cílovém uzlu složit tak, aby byly v krátkém čase srozumitelně poslouchatelné, natož použitelné pro obousměrnou konverzaci. A naopak - u FTP přenosu nebude příliš vadit kolísající rychlost podle ostatního provozu na síti a prostoje, protože nejde o aplikaci v reálném čase a uživatel je schopen na její výsledek počkat. Jak zajistit pro určitá data prioritní zpracování a vyhrazené pásmo jak garantovat kvalitu přenosové služby? Původní IP protokol (až na několik zatím nepoužívaných bitů v hlavičce) žádné standardní mechanismy nenabízí a je třeba v síti implementovat dodatečné technologie (např. nějakou variantu WFQ Weighted Fair Queueing na směrovačích podle určitých částí IP paketu). Lze také preferovat data na směrovači jejich zařazováním do front s rozdílnou prioritou. Pokud ovšem nebudou používány na celé přenosové trase od zdroje k příjemci, uplatní se jen částečně a zbytek cesty bude opět s negarantovanými parametry. Objevila se i řešení využívající garantované parametry na linkové vrstvě OSI modelu (např. ATM má velmi dobrou podporu kvality služby), takže pak IP funguje v jakémsi virtuálním kanálu se stálými parametry, ale jejich řízení není tak pružné jako směrování na síťové vrstvě a opět chybí mechanismus vyhradit takto parametry po celé trase po různých spojích. Nejjednodušší je opět řešení hrubou silou zvýšit přenosovou kapacitu všech spojů a směrovací výkon zařízení tak, aby úzká místa vůbec nevznikala. Datový provoz je ale schopen v krátkém čase zaplnit jakékoliv kapacity a citlivá data by opět mohla narazit. Řešení spatřuji ve skutečné nativní implementaci mechanismu prioritizace dat na všech směrovačích v síti. Pokud nebudou moci být parametry zajištěny, aplikace se to dozví a zdroj nedostane. I pro IPv4 prostředí byly navrženy nové protokoly RTP (Real-Time Transport Protokol) a RSVP (Resource Reservation Protokol). Tyto standardy dokáží rychleji a plynuleji přenášet data a lépe spolupracují se směrovači při rezervaci pásma pro přenos potřebného. Problémem je opět nízké rozšíření implementací a malý počet aplikací, které jej využívají. Požadavky na kvalitu služby se ze strany uživatelů ozývají stále častěji a jsou jedním z velkých nedostatků IPv4. Spolu s rozsahem adres zřejmě půjde o nejvýznamnější motivy, které uspíší zavedení nových přenosových technologií Mobilní zařízení, adresy a mobilita uzlu mezi sítěmi Velkým fenoménem poslední doby je (vedle Internetu) bezesporu užívání mobilních zařízení. Od jednoduchých GSM telefonů přes různé inteligentní organizéry, PDA až po notebooky - všechny tyto přístroje jsou pro svou přenosnost a dostupnost jsou stále více užívány. A většinu těchto (a i třeba ještě neznámých zařízení) by bylo možné a účelné připojit do nějaké celosvětové sítě, aby mezi sebou strana 19

20 mohly vyměňovat data efektivním způsobem. Nabízí se samozřejmě Internet jako síť s velkým objemem využitelného obsahu a službami, které by bylo škoda nevyužít (ať již z pohledu uživatele, tak poskytovatele mobilního připojení). Internet by tak mohl být doslova všude, což je bezesporu velkým lákadlem jako pro využití v práci, tak pro zábavu. Při rozvíjení myšlenky mobilních datových sítí a jejich konvergenci s pevnými sítěmi byly zjištěny dva základní nedostatky IP protokolu pro tento účel: - nedostatek adres pro obrovské množství nových zařízení - slabá podpora konceptu mobility neboli přesunu jednoho uzlu mezi sítěmi během přenosu bez ztráty spojení O nedostatku adres obecně bylo pojednáno výše, zde se problém jen zdůrazňuje a eskaluje. Například podle prognóz firmy Nokia v roce 2003 překročí počet uživatelů mobilních sítí počet uzlů v pevném Internetu a tak velké úspory IPv4 adres se nedají očekávat. Druhý problém je také důležitý uzel v síti by se měl dát nalézt na své stálé adrese, i když je dočasně v úplně jiné síti. Měl by mít možnost přesunovat se mezi různými sítěmi a zároveň stále přenášet data bez přerušování a nové konfigurace. Dřívější rozměry a hmotnosti dostupné výpočetní techniky na masovou mobilitu nedávaly ani pomyslet. V IPv4 je to proto problém - původní koncept počítal s pevnými uzly a pevnými uživateli (kteří pro svou případnou mobilitu využijí nějakého cizího nepřenosného uzlu a přihlášení do své vlastní sítě vyřeší aplikačně). Mobilita vyžaduje úpravy na všech uzlech, které s ní mají co do činění, jinak dochází k nežádoucím efektům (trojúhelníkové směrování a podobně). V IPv4, kde je pouze volitelná a nemá podporu v řídících protokolech, ji nelze masově nasadit. V mobilních sítích druhé generace s paketovým přenosem GPRS jde v zásadě o implementaci nějakého síťového protokolu (nejlépe IP) nad GSM. Ze strany výrobců mobilních zařízení existuje velký tlak na implementaci nového IP protokolu pro nasazování do bezdrátových sítí, protože použití IPv4 není z hlediska jejich předpokládaného rozvoje příliš vhodné. Jak adresy, tak mobilní přenosy by bylo nutno řešit komplikovaně až doplňkovými službami, což by nebylo dobrou vizitkou nově vzniklé služby (která by měla začít s co nejlepším návrhem standardů). V mobilních sítích se brzy začne rozvíjet i třetí generace bezdrátových přenosů (UMTS) s větší kapacitou přenosového pásma a větším potenciálem služeb pro uživatele. Vhodné řešení celého problému by mohl přinést IP protokol nové generace, jehož adresový prostor by měl být dostatečný i pro mobilní sítě fungující na paketovém principu přenosu dat (což je i GPRS). Z mobilních sítí by mohl být na implementaci nového IP velký tlak jde o oblast, která je potenciálně komerčně velmi dobře využitelná, nicméně pouze za předpokladu zásadních novinek ve stávajícím síťovém protokolu a infrastruktuře. strana 20