Usługi i aplikacje

O IPv6 mówi się zwykle w kontekście liczby dostępnych adresów, to jednak tylko jedno z wielu udoskonaleń, które wprowadzili do niego projektanci. Jedną z najważniejszych nowości IPv6 jest funkcja automatycznego przydzielania i konfiguracji adresu na interfejsie. Adres ten jest ustawiany na podstawie prefiksu adresu przydzielonego przez router w danym segmencie sieci. Ten swoisty mechanizm plug & play nie przewiduje, niestety, automatycznego przydzielania adresu serwera DNS, co jest kluczowe dla działania wielu aplikacji internetowych. Z kolei wpisywanie długiego adresu IPv6 ręcznie przez użytkownika raczej nie wchodzi w grę.

Problem można rozwiązać poprzez wdrożenie serwera DHCPv6. Wystarczy nawet jego prostsza wersja bezstanowa (stateless), która nie dokonuje samego przydziału adresów, ale zajmuje się tylko ustawieniami dodatkowymi, m.in. właśnie przydzielaniem adresów DNS, NTP itp. Inny sposób obejścia problemu to modyfikacja komunikatu RA (Router Advertisement) rozgłaszanego przez router, tak aby zawierał adres serwera DNS. W pierwszym rozwiązaniu przeszkodą może być niewielka jak do tej pory liczba gotowych implementacji serwerów DHCPv6. W drugim przypadku nie wypracowano jeszcze otwartego standardu - jest on obecnie na etapie wstępnej specyfikacji.

Całkiem niedawno, bo w lipcu 2003 r., na potrzeby IPv6 zdefiniowano nową wersję protokołu DHCP. O tym, że nie był to proces łatwy, świadczy fakt, iż zanim ukazała się ostateczna propozycja specyfikacji, powstało aż 28 wersji roboczych. Dzięki temu, że standard został w końcu przyjęty, trwają prace nad implementacjami. Na razie jest ich jednak mało i są w większości niekompletne. Są to głównie wersje bezstanowe, nieposiadające dodatkowych funkcjonalności, np. użytecznego w rozproszonych sieciach pośrednika DHCP (DHCP relay). Dotąd dostępne są ograniczone funkcjonalnie rozwiązania dla platform Linux/BSD. Microsoft wciąż nie zaimplementował w systemach Windows ani serwera, ani klienta DHCPv6 - w praktyce to właśnie może okazać się największym ograniczeniem uruchamiania IPv6 w sieciach firmowych.

Wdrażanie protokołu IPv6 ma sens wtedy, gdy istnieją aplikacje zdolne wykorzystać jego możliwości. Większość aplikacji internetowych (np. przeglądarki WWW, serwerowe i klienckie aplikacje FTP itd.) wymaga modyfikacji, by móc współpracować z sieciami IPv6. Ich liczba rośnie jednak z dnia na dzień. Przynajmniej na razie liczba aplikacji IPv6 dla Linuxa znacznie przewyższa liczbę aplikacji dla Windows. W ramce na str. 8 znajdują się adresy witryn, na których można znaleźć aktualne dane na ten temat.

Microsoft dopiero od niedawna zaczął wspierać protokół IPv6 (od Windows XP z SP1 wzwyż). Implementacja ta nie jest jednak pełna, system nie obsługuje bowiem transportu zapytań do DNS poprzez protokół IPv6 - transport może się odbywać tylko przy użyciu IPv4. Serwer root-DNS F obsługujący transport poprzez IPv6 działa już od lata 2002 r. Aktualna lista serwerów root-DNS obsługujących IPv6 znajduje się pod adresem:http://www.root-servers.org .

Nowy protokół wnosi nowe funkcje. Jedną z nich jest rozszerzone aż do 20 bitów pole flow label. Służy ono do markowania pakietów pod kątem przysługującego im priorytetu związanego z przynależnością do pewnego strumienia danych w ramach komunikacji między tymi samymi adresami: źródłowym i docelowym (IntServ QoS). Niestety, funkcja ta nie jest na razie wykorzystywana, gdyż dotąd nie powstały interfejsy API pozwalające programistom na bezpośrednie odwoływanie się do niej w tworzonych aplikacjach.

W nowo tworzonych aplikacjach struktury adresowe są już definiowane niezależne od rodzaju używanego protokołu, np. w języku Java. Trzeba jednak pamiętać, że na platformie Windows Java będzie wspierać IPv6 dopiero od JDK w wersji 1.5.

Zarządzanie sieciami

Każda sieć produkcyjna musi obejmować mechanizmy pozwalające na sprawne zarządzanie wszystkimi urządzeniami. Niestety, do tej pory narzędzi zarządczych obsługujących IPv6 jest mało (jednym z niewielu wyjątków jest HP OpenView - patrz ramka). Producenci pakietów do zarządzania siecią nie spieszą się z pełnym wsparciem dla IPv6 ze względu na mały popyt. Z kolei dostawcy Internetu, zanim uruchomią IPv6 w swoich sieciach, czekają na gotowe rozwiązania ze strony producentów - i tak koło się zamyka.

Na razie w większości rozwiązań (w tym nawet Cisco) komunikaty SNMP dotyczące IPv6 są przesyłane z wykorzystaniem IPv4. W przypadku sieci opartej wyłącznie na IPv6, gdzie nie jest to możliwe, jest stosowane dedykowane oprogramowanie dokonujące translacji IPv6 na IPv4. Tak jest np. w sieciach działających w Japonii, dla których pula adresów IPv4 jest na wyczerpaniu ze względów historycznych, a rośnie z kolei zapotrzebowanie na dostęp IPv6, m.in. dla zwiększającej się liczby urządzeń przenośnych. Taka translacja jest jednak trudna, gdyż nie da się w prosty sposób przetłumaczyć obiektów MIB (Management Information Base) z IPv6 na IPv4 i odwrotnie.

Prace nad standaryzacją obiektów MIB wciąż trwają. Ich definicje dla podstawowych typów urządzeń, jak routery, serwery czy stacje robocze, zostały ujednolicone, aby uniezależnić je od wersji protokołu IP, jednak część z nich nadal nie jest zaimplementowana w samych urządzeniach. Więcej na temat aktualnego stanu standaryzacji obiektów MIB oraz zagadnień związanych z zarządzaniem sieciami IPv6 można znaleźć pod adresem:http://www.6net.org/publications/deliverables/#wp6 .

IPv6 i bezpieczeństwo

Sieci IPv6 będą z definicji bezpieczniejsze niż sieci oparte na IPv4, jeśli - zgodnie ze specyfikacją IPv6 - będzie w nich stosowane zabezpieczanie transmisji za pomocą protokołu IPsec. Prawda jest jednak taka, że aktualnie IPsec jest bardzo szczątkowo implementowany w systemach i urządzeniach wspierających IPv6 i to pomimo faktu, że specyfikacja IPv6 obowiązkowo wymaga implementacji IPsec!

To się oczywiście może zmienić z czasem i zapewne nie bez znaczenia będzie popyt na taką funkcjonalność zgłaszany przez klientów.

Na rynku pojawiły się pierwsze zapory ogniowe dla IPv6. Również w systemach operacyjnych sytuacja wygląda coraz lepiej. Microsoft zawarł wsparcie dla IPv6 w zaporze firewall dostarczanej wraz z Service Pack dla Windows XP. Jednak w Windows Server 2003 standardowo obsługującym IPv6 wbudowana w system zapora nie obsługuje ruchu IPv6. Microsoft rekomenduje użycie zewnętrznej zapory obsługującej IPv6. Nowej wersji protokołu IP nie wspiera nawet ISA Server 2004 (wersja Beta 2).

Wciąż istnieją jednak kwestie do rozwiązania, dotyczące przede wszystkim tych cech protokołu IPv6, których nie ma w IPv4: obsługi przez firewalle nagłówków Security Header Extensions używanych do tworzenia kanałów VPN, jak również obsługi sesji IPsec i aplikacji typu peer-to-peer. Sytuacja wygląda jednak coraz lepiej. Przykładowo, pod koniec ub.r. zapory dla IPv6 zaoferowały Check Point i NetScreen. W marcu br. produkt tego rodzaju udostępniło także Cisco Systems. Przy okazji - rozwiązanie to oferuje całkiem bogatą funkcjonalność zabezpieczeń, w tym analizę stanu połączeń (stateful inspection).

Tak użyteczna cecha protokołu IPv6, jak wygodna samokonfiguracja adresów (zgodna z RFC 2462), jest całkowicie pozbawiona mechanizmów bezpieczeństwa. Niesie to realne zagrożenie przypadkowego przyłączenia się wewnętrznych hostów do Internetu. Możliwe jest także rozsyłanie spreparowanych prefiksów IP przez "złośliwego" hosta. Problem ten dotyczy głównie sieci lokalnej, zwłaszcza zaś wtedy, gdy jest ona połączona z siecią WLAN bądź istnieje inna metoda podłączenia nieproszonego komputera do sieci LAN.