Интернет. Версия 6.
Сергей Кондращев, Компьютерная Россия Online
Вот уже как 25 лет семейство протоколов TCP/IP является тем китом или, если хотите, черепахой, на которой весь электронный мир движется в сторону создания единой мировой информационной сети. Процесс этот, временами ускоряясь и замедляясь, до сегодняшнего дня базируется на стандарте IP version 4 или IP v.4. И теперь уже многим становится понятно, что прежде чем мировое Интернет-сообщество дружно перейдет на новую спецификацию - IP version 6, должна совершится "тихая" революция не столько в аппаратном обеспечении, сколько в умах и сердцах пользователей. Поэтому второе название новой спецификации - IPng (new generation), как оно ни банально звучит, может стать очень и очень символичным.
Адрес, сестра, адрес...
Итак, чем же все-таки плох IPv4? Недостатков у него, как и у всякого вполне законченного произведения, достаточно много. Прежде всего - адресация.
В момент своего появления число теоретически возможных хостов вызывало, по крайней мере, уважение - 4294967296! Но с течением времени стало ясно, что реальных хостов, способных напрямую подсоединиться к глобальной Сети, гораздо меньше. Связано это прежде всего с заложенной изначально неоднородностью интернетовского адресного пространства.
Из-за того, что сети класса E оказались навсегда "зарезервированы", а сети класса D стали использоваться только как "групповые", количество теоретически возможных адресов сократилось примерно на 20 процентов.
Но и это было бы еще ничего, если бы в самом начале развития Сети всем не показалось, что адресное пространство неисчерпаемо. В результате - сегодня теоретически возможно лишь получение адреса класса C, но и они вскоре должны закончится. По оценкам организации IETF (Internet Engineering Task Force) это случится примерно в 2005-2011 году, причем львиную долю адресов из еще оставшегося адресного пространства съедят портативные сетевые устройства, количество которых постоянно растет.
Есть и второй недостаток современной адресации, связанный с присутствием в Сети магистральных маршрутизаторов. Такие устройства обязаны хранить многостраничные таблицы, описывающие адрес любого компьютера в любом сегменте мировой Сети. Если же вспомнить, что эти таблицы должны просматриваться при обработке каждого пакета, то становятся понятными те аппаратные и программные затраты, на которые идут держатели подобных устройств.
А что взамен...
Спецификация IPv6 определяет длину IP-адреса в 128 бит.
Для того, чтобы представить себе величину этой цифры, надо сказать, что на каждого жителя Земли будет приходиться примерно 215 адресов.
Но на практике важнее оказывается не то, что это адресное пространство представляется сейчас просто гигантским, а то, что это дает возможность отображения в нем и адресов других протоколов. Например, адреса IPv4 и IPX вполне укладываются в эту адресную схему.
Адреса IPv6, подобно адресам IPv4, различаются по типам, но любой тип адреса по определению должен включать MAC-адрес сетевой карты. То есть получается, что ни один интерфейс во всей Сети не останется без уникального адреса. Это в свою очередь исключает возможность нахождения в Сети анонимных пользователей. Многие в Америке уверены, что это является ущемлением прав свободной личности.
Но пока суть да дело - новая схема адресации начинает работать в некоторых исследовательских сетях, и тестеры признают ее достаточно удачной.
Для оптимизации выбора маршрута в сети была придумана новая иерархическая схема адресации. Вместо прежних двух уровней (адрес сети, адрес хоста), теперь будет использоваться 5 уровней, и два их них будут характеризовать конкретного провайдера.
В таблицах маршрутизации будут храниться не длинные адреса следующих хостов, а короткие префиксы. Чем крупнее узел, тем больше записей в таблице, но длина префикса меньше. Соответственно, длина таблиц окажется примерно одинаковой как в малых, так и в больших узлах.
Как это писать.
Все мы привыкли считать IP-адресом набор из четырех десятичных цифр, разделенных точками. Теперь же адресом будет считаться совершенно иной набор символов. Полная запись адреса в соответствии с рекомендациями IPv6, будет состоять из восьми шестнадцатеричных цифр, разделенных двоеточиями. Практически же, скорее всего, будут использоваться соглашения, которые разрешают, во-первых, опускать старшие нули, и, во-вторых, не писать полностью нулевые числа. В результате адрес вида 501А:0000:0000:0000:00FC:ABCD:3F1F:3D5B можно будет записывать как 501А::::FC:ABCD:3F1F:3D5B.
Скорее всего, это и станет основной формой записи новых адресов.
Как получить адрес.
Одной из самых больших и непроизводительных трат времени для системного администратора может стать процедура назначения компьютерам в сети уникальных адресов. Хорошо, если сервер сети поддерживает протокол DHCP, тогда все становится просто и понятно. Администратор указывает диапазон адресов, а сервер сам назначает каждому компьютеру свободный на данный момент адрес. Но протокол DHCP не является частью IPv4, и его реализация существует не во всех ОС. Кроме того, процесс полуавтоматического назначения адресов может быть реализован с помощью других средств (RARP, BOOTP). Поэтому-то протокол DHCPv6 был включен непосредственно в спецификацию как неотъемлемая ее часть.
Этот протокол решит не только проблему назначения адресов, но и переназначения. А вот уж эта трудность, подстерегающая организации, решившие сменить провайдера, по трудозатратам приближается к труду Сизифа! Широко известен пример, когда для изменения адресов 100 компьютеров понадобилось 3 недели работы и 6 квалифицированных специалистов. Конечно, все это происходило за пределами нашей страны. Однако, разработчики IPv6 заложили в свое детище специальную возможность закрепления адреса за компьютером на определенное время и "мягкого изъятия" адресов, срок действия которых закончился. Все это, а также процедура продления регистрации адресов должно происходить без участия человека.
Фрагменты теряются... Запретить!
Проблема фрагментации, существующая в спецификации IPv4, связана не столько с IP, сколько с протоколами передачи низкого уровня. Физическая среда не позволяет передавать большие пакеты. К примеру, длина пакета Ethernet ограничена 1500 байтами. Именно поэтому для передачи больших пакетов (до 65535 байт) используется механизм фрагментации. То есть большой пакет разбивается на пакеты меньшего размера и в таком виде передается. Однако IPv4 разрешает осуществлять такое разбиение пакетов не только отправителю, но и любому маршрутизатору в сети. Надо или не надо производить фрагментацию, конкретный роутер решает для себя сам. Зависит это в первую очередь от его производительности, и только потом вступают в силу требования гарантированной доставки.
Всей этой неприятной для передаваемой информации процедуры принципиально можно избежать, если запретить фрагментирование в промежуточных узлах.
В IPv4 была сделана попытка такого запрета, однако механизм вычисления максимально допустимого размера пакета не был корректен для всех ОС. Поэтому задание параметра MTU, например в Windows, не является обязательным, и о нем знают только те, кто умеет корректно редактировать системный реестр.
Для того, чтобы запретить промежуточным узлам фрагментировать пакет, в IPv6 заложен механизм гарантированного определения MTU для всего пути передачи.
Проще говоря, все те попытки оптимизации работы Сети в плане фрагментации, которые предпринимались исследователями и разработчиками на протяжении долгих 25 лет, наконец, нашли свое логическое завершение в процедуре IPv6, которая называется "Path MTU discovery".
Большое количество - новое качество.
Сеть 10 лет назад и Сеть сейчас - совершенно разные вещи. В последнее время с развитием мультимедийных технологий появились такие службы, о которых раньше никто и не мечтал. Протоколы RealAudio и RealVideo определяют сегодня требования не только к гарантированной ширине каналов, но и к качеству предлагаемых для передачи линий. Совокупность требований к пропускной способности и задержкам передачи теперь называется требованиями к качеству услуг. Протокол IPv4 не способен гарантировать необходимое сегодня качество услуг. При его становлении предполагалось, что поле IP-заголовка "Type of service" будет в дальнейшем использоваться именно для этого, однако вскоре выяснилось, что это не совсем так, и подавляющее большинство активных сетевых устройств сегодня это поле просто игнорируют.
Вообще говоря, обеспечение качества услуг на сегодня является самым узким местом, даже и для IPv6. В настоящее время абсолютно независимо разрабатываются два способа интерпретации поля "Type of service", и соответственно - две структуры обеспечения качества. Предполагается, что оба этих способа будут использоваться как независимо друг от друга, так и независимо от версии спецификации IP.
Один из них (RSVP - Resource reSerVation Protocol) предполагает, что конечные узлы будут сообщать маршрутизаторам потребности в определенном качестве обслуживания. Для этого на узел назначения посылается специальное сообщение, обеспечивающее резервирование определенного качества (например, полосы пропускания) на протяжении всего пути. После получения ответа передающий хост посылает поток данных, снабженных единой меткой потока, который обрабатывается маршрутизаторами с необходимым качеством.
Второй способ заключается в том, что вместо протоколов транспортного уровня (TCP или UDP) будет использоваться специализированный протокол RTP (Real-Time Protocol). В нем будут передаваться временные отметки, необходимые для успешного восстановления информации на конечном узле и данные о типе кодирования информации (JPEG, MPEG и т.п.).
Безопасность.
С этим в IPv4 вообще-то очень туго. Если сказать точнее - вообще никак. IP version 4 создавалась в то время, когда компьютерные взломщики и малолетние хакеры были всего лишь героями фантастических романов, а военно-промышленный комплекс США, для которого изначально был разработан стандарт TCP/IP, и не помышлял о разглашении информации, хранящейся в сетях и на дисках.
Сегодня становится понятно, что основой безопасной передачи пакетов по сети должны стать шифрование передачи с одной стороны и обеспечение надежной идентификации пользователей с другой.
Для того, чтобы хоть как-то защищаться, сегодня используются в основном аппаратные средства, осуществляющие независимое кодирование и фильтрацию информации, и протоколы, располагающиеся между прикладными и транспортными уровнями стека TCP/IP. Пример такого протокола - широко применяемый сейчас SSL, кодирующий информацию при передаче.
Для того, чтобы не решать задачи безопасности на уровне приложений, спецификация IPv6 предлагает встроить средства защиты непосредственно в протокол сетевого уровня.
Основой обеспечения безопасной передачи должны стать т.н. "расширенные" пакеты IPv6. Идея заключается в том, что в стандартный пакет добавляется заголовок, определяющий тип следующего пакета. Это может быть обычный пакет, может быть пакет высокого уровня (TCP или UDP), а может быть и "расширенный" заголовок. Одним из типов расширенного заголовка является тип AH (authentication header), обеспечивающий аутентификацию получателя, другой тип - ESP (encapsulated security payload) заголовок, несущий в себе зашифрованную информацию точно так же, как ракета несет в себе полезную нагрузку.
Однако, справедливости ради, стоит отметить, что описание работы с этими заголовками пока не является составной частью стандарта IPv6. Видимо, широкая хакерская общественность не оставляет попыток взлома самых, казалось бы, защищенных узлов, а потому работа над реализацией механизма обеспечения безопасности продолжается...
Осторожно, переход!
Теперь, давайте представим себе, что все IP-сети во всем мире одновременно перешли на IPv6. Согласитесь, если бы это случилось, то предполагаемый поворот сибирских рек показался бы детским лепетом.
Однако, некоторые аналитики полагают, что у большинства корпоративных клиентов во всем мире есть скрытый спрос на IPv6, а это на практике может означать повальный переход на новый стандарт при условии появления на рынке соответствующей аппаратуры. Помня о судьбах нового в этом мире, разработчики IPv6 всерьез задумались о путях перехода на новый стандарт. Ведь все должно происходить постепенно и как можно незаметнее для рядового пользователя.
Путей перехода, естественно, несколько. Каждый из них обладает как достоинствами, так и недостатками. Самым удачным решением, по всей видимости, станет то, которое разумно объединит все пути и сделает акцент на наиболее удачных.
Прежде всего необходимо вспомнить, что в адресном пространстве IPv6 предусмотрен целый класс адресов, которые имеют восемь нулей в старших битах адреса. А младшие четыре байта такого адреса должны содержать современный IP-адрес. Тем самым создаются предпосылки для разработки многообразия средств перехода.
Путь номер один, который условно называется "двойной стек", подразумевает, что каждый хост, работающий как с IPv4, так и с IPv6 обладает полным набором средств и инструментов для работы с обоими стандартами. Этот метод по сути своей настолько радикален, что требует не только аппаратных затрат, но и полной замены всего сетевого ПО. Однако при его использовании мы получаем "чистый" переход с одного стандарта на другой.
Второй путь, "шлюз прикладного уровня", требует создания для каждого приложения своего шлюза, конвертирующего данные из одного стандарта в другой и наоборот. Очевидно, что в начале процесса общего перехода на IPv6 такой путь станет приоритетным, но зато впоследствии, когда количество приложений существенно увеличится, необходимо будет использовать что-либо другое.
Самый распространенный путь сегодня - туннелирование. Суть его заключается в организации туннеля IPv6 сквозь существующие сети IPv4. Пакет нового стандарта вставляется (инкапсулируется) в пакет IPv4 на хосте-передатчике и "вынимается" на хосте-приемнике. Таким образом, сеть IPv6 становится совершенно независимой от сети IPv4, однако аппаратно-программные затраты при этом достаточно существенны, поэтому этот способ используют сегодня экспериментальные IPv6 сети, владельцы которых готовы на финансовый риск.
Интересный механизм перехода предложен специалистами Института Системного Программирования Российской Академии Наук. Называется он "Бесконтекстный транслятор", а суть его заключается в том, что на границе двух типов сетей организуется специальный шлюз, преобразующий траффик. При этом все то, что идет в сторону сети IPv6 преобразуется в соответствующий формат, независимо от содержания пакетов. Однако транслятор может работать только в одном направлении. Дело в том, что пространство адресов IPv4 может быть однозначно отражено в пространство IPv6, но никак не наоборот. Поэтому этот механизм можно применять для связи локальных сетей IPv6 с глобальным Интернетом, работающим под IPv4.
Уже работает.
Совершенно необязательно быть пророком, чтобы понимать все преимущества перехода на новую спецификацию. Сама логика развития Сети, особенно в последнее время предполагает постоянное совершенствование. Некоторые компании, стремясь быть первыми на этом пути, уже сегодня эксплуатируют сети, построенные на IPv6.
Самой известной сегодня является сеть 6bone, владелец которой корпорация Sprint предоставляет доступ по протоколу IPv6 примерно 70 организациям, занятым научными исследованиями. Свою же часть сети 6Bone компания использует для туннелирования трафика "традиционного" интернета. По словам представителей компании Sprint такая организация позволяет реально оценить все преимущества спецификации IPv6, а особенно ее новые механизмы шифрования траффика и предоставления гарантированного качества услуг. Консалтинговая фирма Advanced System Consulting, имеющая подключение к сети 6bone, ставит своей целью получение информации о готовности новой технологии для корпоративного применения.
Американская фирма WorldCom осуществляет эксплуатацию своего сегмента магистральной национальной сети VBSN. В рамках исследования возможностей новой спецификации ряд узлов этой сети работает в режиме IPv6 поверх протокола ATM. Руководство компании считает, что работа этой сети на высоких магистральных скоростях ( до 155 Мбит/сек) позволит накопить бесценный практический опыт. Кроме того, специалисты WorldCom полагают, что протокол IPv6 откроет для клиентов новые возможности, связанные, прежде всего с повышением безопасности сети.
С января 2000 года существует и европейский сегмент сети 6bone, который называется 6INIT. Его эксплуатирует компания EU Fifth Framework. Эта сеть состоит из нескольких Web-сайтов, доступ к которым организован по протоколу IPv6.
Азиатские страны, роль которых на рынке информационных технологий сегодня трудно переоценить, тоже не остаются в стороне. Японская компания Internet Initiative Japan Inc. (IIJ) объявила о предоставлении полноценного IPv6 сервиса с 1 сентября 2000 года. При этом японцы планируют начать коммерческую эксплуатацию своей сети уже с 31 марта 2001 года.
Для тех пользователей, которые уже сегодня хотят опробовать возможности нового стандарта, можно рекомендовать посетить сайт http://www.freenet6.net/. Здесь, во-первых, находятся ссылки на ПО для организации IPv6 для любой операционной системы (включая и Windows NT, и Cisco IOS), и, во-вторых, вы сможете на практике ощутить все преимущества новой спецификации, например, сыграв в Quake через IPv6.
Ну когда же, когда?
Крупные компании-производители сетевого оборудования и программного обеспечения уже давно обратили внимание на новый стандарт. Корпорация Microsoft (ну куда же без нее!), еще во времена анонсирования и пререлизов Windows'95 заявляла, что эта ОС будет поддерживать новую спецификацию IPv6. Тогда ничего хорошего из этого не получилось, а сегодня ряд крупных компаний, специализирующихся на тестировании бета-версии ПО, испытывают в своих лабораториях версии Windows 2000 и Windows NT, поддерживающие IPv6.
Следующий шаг на пути глобального перехода на новую спецификацию протокола IPv6 должны сделать производители магистрального сетевого оборудования. Но вот они-то как раз и не торопятся. Хотя компания Cisco - признанный лидер рынка сетевых продуктов, уже сегодня проводит тестирования своей новой IOS, снабженной поддержкой IPv6. Но по оценкам наблюдателей, первые версии коммерческих продуктов и услуг следует ждать не ранее конца будущего года.
Словом, новое, как обычно, с трудом прокладывает себе дорогу. Но пользователи не особенно отчаиваются - ждали 25 лет, можно подождать и еще немного. Наверное, бум новой технологии надо ожидать где-нибудь к 2003 году. Будем надеяться, что к этому времени Россия не окажется снова на задворках мировой сети, и новый Интернет придет к нам без опоздания.
|