Zajíc v pytli » ip

Google Code: STUBL, stateless IPv6 tunnel broker for LANs

zajDee — Wed, 16 Jul 2008 16:05:42 +0000

Na Google code se včera objevila zajímavá novinka: projekt STUBL, Stateless Tunnel Broker for LANs. Tento projekt cílí na uživatele LAN, kteří mají IPv6 konektivitu na routeru, ale nejsou schopni ji dopravit po LAN ke svému PC. Pojďme se podívat, jak to dělá a co všechno umí.

Projekt STUBL se skládá ze dvou částí:

modul do Linuxového jádra, který zajišťuje balení a vybalování IPv6 paketů do/z IPv4 datagramů.
miniwebserver napsaný v Pythonu, který podá uživateli instrukce, jak nastavit tunel na jejich PC

Jak vidno, jako operační systém na routeru musí být Linux – podle zdrojových kódů je v tuto chvíli podporováno jádro verze 2.6.24 a 2.6.25. Modul je před prvním použitím potřeba zkompilovat oproti aktuálnímu jádru (make && make install)Pythoní webserver je důležitým prvkem – protože se adresy koncových počítačů generují podle specifického klíče (viz dále), musí se uživatel dozvědět, jakou adresu si nastavit na koncovém PC. A právě k tomu slouží tento webserver.

Jak to funguje?

Jaderný modul vytvoří nové ethernetové zařízení v systému, na kterém je potřeba nastavit /64 prefix, který byl počítači přiřazen. Routování a firewallování IPv6 zajišťuje linuxový box. IPv6 adresy koncových uzlů (počítačů) jsou generovány automaticky z IPv4 adresy podle klíče, který zapíšete do /sys/modules/stubl/parameters/tunnel_key. Pro toto je dostupný inicializační skript a konfigurační soubor.Transport paketů po síti je klasicky přes IPv4, pakety jsou zabaleny v IP protokolu 41. Protože se adresy koncových uzlů nemění (jsou staticky vygenerovány z IPv4 adresy a šifrovacího klíče), nemusí STUBL udržovat žádnou stavovou tabulku a je tedy kompletně bezestavový.

STUBL vs. ISATAP

Nabízí se srovnání STUBL vs. ISATAP. Obě tyto metody zabalují IPv6 pakety do IPv4 paketů a posílají je přes IPv4 síť v paketech s číslem protokolu 41. Jaké jsou tedy výhody a nevýhody STUBLu vs. ISATAP? (Převzato z dokumentace):Výhody:

pro zprovoznění vám stačí jediný server
z vygenerované IPv6 adresy nelze zpětně vyčíst vaši IPv4 adresu
na straně klienta není potřeba žádný software, všechny moderní operační systémy mají podporu vestavěnou
všechen provoz jde skrz jeden server a tudíž se snáze zabezpečuje

A co má ISATAP a nemá STUBL?

Dokáže přiřadit více adres koncovému uzlu
Fungují s ní správně mechanismy vyhledávání sousedů a link-local adresy
Lépe škáluje, zejména provoz mezi koncovými uzly

Co tedy STUBL je a co není?

Stubl se rozhodně hodí na menší sítě, kde je problém dostat konektivitu ke koncovým uzlům (z jakýchkoli důvodů). Rozhodně ale nejde o dlouhodobé řešení a všem je více než doporučeno migrovat na nativní IPv6 síť.

Jak STUBL získat?

V tuto chvíli je možné stáhnout zdrojové kódy pomocí Subversion:

svn checkout http://stubl.googlecode.com/svn/trunk/ stubl-read-only

Shrnutí

Jedná se o zajímavý projekt, který může pomoci některým sítím přejít na IPv6. Stojí minimálně za vyzkoušení.

Historie protokolu IP

zajDee — Mon, 14 Jul 2008 13:14:21 +0000

V posledních měsících probíhá všemi více či méně odbornými weby nejeden článek skloňující pojem IPv6. V tomto článku bych chtěl shrnout, co to vlastně IPv6 je a proč je důležité.

K pochopení IPv6 je potřeba zabrousit o pár desítek let zpět do doby, kdy byl Internet v plenkách. V roce 1974 publikovali Vinton Cerf a Robert Kahn dokument, který popisoval protokol pro přenos dat. Z tohoto protokolu se během dalších pár let vyvinul protokol IPv4 – RFC, které jej popisuje, bylo vydáno v roce 1981. IPv4 popisuje způsoby, jak mají jednotlivé počítače propojené do sítě navzájem komunikovat.

IPv4 adresa vypadá tak, že každý bajt zapíšeme jako desítkové číslo a oddělíme je tečkou, tedy např.: 10.80.55.19

Protokol IPv4 byl navržen tak, že pro adresy odesilatele i příjemce používá čtyři bajty, tedy 32 bitů. V ideálním případě by tedy bylo možné do sítě připojit až 2³² počítačů, tedy téměř čtyři a čtvrt miliardy. Jenže na konci sedmdesátých let nikdo s tak ohromným počtem počítačů nepočítal. V té době se počty připojených uzlů pohybovaly ve stovkách a počty „zasíťovaných“ organizací bylo možné spočítat na prstech několika rukou. Pracovní skupina, která spravovala IPv4 adresy, tehdy vymyslela poměrně jednoduchý způsob přidělování celých bloků adres jednotlivým organizacím. Zjednodušeně dostala každá organizace blok 16777216 IP adres a co si s nimi dělala, to už bylo jen na ní. Těchto rozsahů bylo k dispozici celkem 256, tedy pro max. 256 organizací (ve skutečnosti méně, protože část rozsahu byla vyhrazena pro speciální účely).

Jak internet rostl a připojených sítí a počítačů přibývalo, bylo nutné ustanovit nový způsob přidělování adres. I bylo stanoveno přerozdělit adresní rozsah a začít používat tzv. masku sítě. První polovina IPv4 adresního rozsahu zůstala nadefinovaná „postaru“ a ti, kdo již měli přidělen blok 16777216 IPv4 adres, o něj nepřišli, i když jej nevyužívali efektivně. Adresní prostor byl rozdělen na tzv. třídy:

Třída A, obsahovala 16777216 IPv4 adres (používala se pro adresy 0.0.0.0/8 – 127.255.255.255/8)
Třída B, obsahovala 65536 IPv4 adres (128.0.0.0/16 – 191.255.255.255/16)
Třída C, obsahovala 256 IPv4 adres (192.0.0.0/256 – 223.255.255.255/256)
Třída D byla vyhrazena pro Multicast (224.0.0.0 – 239.255.255.255)
Třída E byla označena jako rezervována do budoucna a nesměla být nikde využita (240.0.0.0 – 255.255.255.255)

Maska sítě je to, co v příkladech uvádím za lomítkem, a určuje, kolik bitů z celkových 32 určuje adresu sítě. Například pro IP adresu 10.80.25.18/8 je adresa sítě určena prvními osmi bity a v síti může být až 2^(32–8) počítačů. Podobně do sítě 192.168.1.0/24 lze zapojit až 256 počítačů. (Ve skutečnosti je vždy nejnižší a nejvyšší adresa vyhrazena pro tzv. adresu sítě a broadcast adresu, takže počítačů lze zapojit o dva méně.) Některé operační systémy preferují zápis masky jako 255.0.0.0 pro /8 či 255.255.255.0 pro /24. Technicky jsou tyto zápisy ekvivalentní, ale například systém Windows si s „kratším“ zápisem /8 neporadí.

O pár let později se však ukázalo, že ani toto řešení nevyhovuje – mnohé organizace potřebovaly více než 256 adres, ale mnohem méně, než 65536 adres, tudíž žádaly o více bloků C. Obecně docházelo k nepříjemnému plýtvání adres. I bylo stanoveno, že bude tento systém zrušen a bude zavedeno tzv. beztřídní (classless) rozdělování adres. To umožnilo použít i jiné masky sítě, než jen /8, /16 a /24 a zefektivnilo přidělování IPv4 adres organizacím.

Zlo však již bylo dokonáno. Mnohé organizace si z minulosti nesou břímě obrovských IPv4 rozsahů, které nevyužívají naplno, ale vrátit je nemohou – musely by přečíslovávat své sítě. To by stálo stamiliony dolarů (naprostá většina organizací s velkými adresními bloky je ze Spojených států).

Ačkoli se loď s názvem IPv4 již začala potápět a svět zaplavovaly různě odvážné prognózy o nadcházejícím internetovém armageddonu (tedy vyčerpání dostupných IPv4 adres), objevila se technologie, která měla pomoci soudný den maximálně oddálit do doby, kdy bude nalezeno alternativní řešení problému. Tato technologie se jmenuje Network Address Translation, zkráceně NAT, česky se překládá jako „překlad adres“.

Už mnoho let totiž byly vyhrazeny tzv. privátní IPv4 adresní rozsahy (10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16), jejichž smyslem bylo využívat je v rámci interních sítí společností. Tyto adresy se nikdy nesměly objevit v globálním internetu. A právě toho využívá překlad adres. Organizaci stačí jedna jediná „veřejná“ IP adresa a všechny počítače v rámci vnitřní sítě za tuto adresu schová. O každém spojení zevnitř ven si uchovává záznam ve stavové tabulce a podle ní pak ví, která odpověď z internetu má být nasměrována na který počítač. (Režimů překladu adres existuje více, toto je však ten nejčastěji používaný a nejvíce zlý stav, protože umožňuje navázání komunikace jen jedním směrem, z vnitřní sítě do internetu. Opačně to nelze, při pokusu o spojení z internetu do vnitřní sítě nemá odesilatel možnost říci, kterému počítači ve vnitřní síti chce paket doručit.)

Ani překlad adres však nezastavil úbytek volných IPv4 adres a podle realistických odhadů a studií dojde k vyčerpání dostupných adres mezi roky 2011 až 2020.

A protože první z těchto roků je již poměrně blízko, začínají mnozí síťaři bít na poplach.

V dalším díle se podíváme na to, jak jsou na tom s IPv6 české společnosti.

Vítejte

zajDee — Wed, 09 Jul 2008 08:20:18 +0000

Vitejte na infostrance o IPv6.
Rozhodl jsem se, ze zacnu delat osvetu o tom, co to vlastne ten IPv6 protokol je. V CR se tu a tam objevuji nesmele hlasy, ktere se snazi upozornit na dochazejici IP(v4) adresy. Ale malokdo je bohuzel posloucha a jeste mene lidi to bere vazne, zbytek to po poslechnuti hodi k ledu.
IPv6, neboli internetovy protokol nove generace, resi mnohe neduhy dnesniho internetu: potlaceni zakladni filosofie (dnes uz se nespoji kazdy pocitac s kazdym), nedostatek IP adres (porovnejte cca 3,5 miliardy dostupnych IPv4 adres na temer sedm miliard obyvatel), disproporci rozdeleni (vetsinu IPv4 adres maji spolecnosti z USA, zatimco na lidnatou Asii se znacne nedostava) a mnohe dalsi.
IPv6 byl navrzen jako protokol, ktery ma toto a mnohe dalsi (technicke i administrativni) problemy odstranit. K jeho vlastni smule vsak neni uplne kompatibilni s protokolem soucasnym a prechod nelze tedy provest lusknutim prstu.
A od toho, abychom presli co nejsnaze, je tu tato stranka.

Dalsi informace budou uz velmi brzy nasledovat. Mate-li zajem o vic informaci, napiste mi e-mail na radek@zajic.v.pytli.cz.