...

суббота, 19 мая 2018 г.

[recovery mode] Закончились IPv4 — регистратор RIPE отдал последний блок

Региональный регистратор RIPE отдал последний блок IPv4. У части других регистраторов блоки кончились еще несколько лет назад: у APNIC — в 2011, у RIPE — в 2012, а у ARIN — в 2015 году. Немного публичных адресов еще осталось у AFRINIC, однако и эти «запасы» выйдут очень скоро (эксперты прогнозируют, что это случится уже в 2019 году).

Почему так получилось, какие есть способы решения проблемы и когда эксперты ожидают переход на IPv6, расскажем далее.


/ Flickr / Susan Adams / CC

Что привело к «истощению» адресов


В семидесятые годы на планете проживало 4,5 млрд человек, а о ПК-революции пока не было и речи. Поэтому в момент перехода на TCP/IP в 1983 году был сделан выбор в пользу 32-разрядных адресов. Казалось, что 4,3 млрд адресов вполне достаточно.

Однако уже в начале девяностых люди стали в этом сомневаться. Первым документом, в котором обсуждалась проблема истощения адресов, стал RFC 1287. Чтобы попытаться исправить положение, в 1992 году были созданы региональные интернет-регистраторы: AFRINIC (Африка), APNIC (Азиатско-Тихоокеанский регион), ARIN (Канада, США, Карибские и Североатлантические острова), LACNIC (Латинская Америка и страны Карибского бассейна), RIPE NCC (Европа, Ближний Восток и страны Центральной Азии). Они должны были управлять адресным пространством и раздачей IP-адресов. Однако это не решило проблему недостатка последних – рост пользователей сети был слишком велик, и IPv4 постепенно истощались.

Возможные решения проблемы


Несмотря на то что практически все регистраторы отдали доступные блоки, отдельные адреса до сих пор можно покупать и продавать. Одна из первых таких сделок состоялась еще в 2011 году: Microsoft приобрели 700 тысяч IPv4-адресов у обанкротившегося поставщика сетевого оборудования Nortel Networks за 7,5 млн долларов.

Также можно попытаться найти диапазоны адресов, выданных ранее, разбить на блоки поменьше и раздать снова. Однако обнаружить их непросто, так как их реестр не вели. Один из примеров — кейс Массачусетского технологического института (MIT). В 2017 году в MIT обнаружили, что у них есть 14 млн «лишних» IP-адресов, которые не использовались. 8 млн было решено продать.

Однако у такого подхода есть определенный недостаток. Бесконтрольная массовая перепродажа IP-адресов способна привести к фрагментации шаблонов и увеличению таблиц маршрутизации. Это может вызвать проблемы в работе роутеров с ограниченными ресурсами памяти.

Другое решение проблемы — использовать NAT. Метод NAT позволяет преобразовывать IP-адреса транзитных пакетов: заменяет локальный адрес на публичный, прописывает его в пакете, который идет на веб-сервер, и возвращает на устройство. Самое большое число портов NAT — 65 тысяч, значит, столько же локальных адресов можно превратить в один публичный. При этом в структуре сети виден только маршрутизатор, а сами устройства скрыты.

Однако у NAT есть ряд недостатков. Например, протоколы, которые появились раньше этого метода (например, FTP), могут работать через NAT нестабильно. Кроме того, если все сотрудники компании решат зайти на один сайт, сервер может принять это за DDoS-атаку — поскольку запрос совершается с одного публичного адреса — и заблокировать доступ для всех устройств с этим IP.

Также можно обратить внимание на CG-NAT. Это решение заточено под операторов связи и корпоративные сети и эффективнее использует ограниченное адресное пространство IPv4. Подробнее о том, как работает CG-NAT, можно прочитать в нашем корпоративном блоге.


/ Flickr / Dave Young / CC

Переход на IPv6


Вышеописанные подходы немного уменьшают размеры таблиц маршрутизации и оптимизируют использование IP-адресов. Однако не решают проблему нехватки на 100%. Поэтому еще с середины девяностых началась разработка протокола IPv6. Официальные описания IPv6 начали выпускать с 1996 года в рамках RFC (с RFC 1883 и далее).

Главное преимущество протокола — теоретическая неисчерпаемость IP-адресов (более 300 млн IP-адресов на каждого жителя Земли). Другое достоинство IPv4 — упрощенная маршрутизация: не нужно фрагментировать пакеты, а из заголовка адреса убрали контрольную сумму. Протокол следующего поколения имеет встроенный компонент IPSec, который шифрует и аутентифицирует каждый отдельный пакет данных. Он может усложнить работу для киберпреступников, хотя, безусловно, и в IPv6 встречаются уязвимости.

В 2008 году шестую версию протокола стали внедрять в Google, а в 2011 состоялся Международный день IPv6, в рамках которого большинство крупных провайдеров предоставляли доступ к сети по IPv4 и IPv6. Новую версию протокола уже используют в крупных зарубежных компаниях (AT&T, Cisco, Facebook и других). Отечественные провайдеры также переводят своих клиентов на IPv6: в «Вымпелкоме» уже успешно подключили несколько регионов, а в «Яндексе» используют протокол во внутренних сетях.

И хотя мировое сообщество настаивает на массовом переходе на новый протокол, полноценная «миграция» задерживается. По данным Google, всего 23% пользователей сервисов компании выходят в сеть по IPv6. И всего 12% сайтов поддерживают новый протокол. При этом из тысячи самых крупных сайтов из списка Alexa только 27% предлагает доступ по IPv6.

Причин для промедления несколько: помимо того, что нужно будет вложить серьезные деньги в оборудование, провайдерам придется переобучить персонал и заново заключить договоры с пользователями. Еще нужно будет обеспечить безопасную работу протокола и правильно настроить новое сетевое оборудование. На это уйдет много времени, сил и инвестиций.

Однако Пол Уилсон (Paul Wilson), который 20 лет был главой APNIC, отмечает, что переход на IPv6 неизбежен, поскольку новый протокол — единственная достойная замена IPv4.

Но пока единого мнения о датах полноценного внедрения IPv6 у общественности нет. Например, пользователи Quora предполагают, что IPv4 еще «проживет» от нескольких лет до вечности. В The Register считают, что топ-1000 сайтов будут поддерживать IPv6 уже к маю 2021 года. Исследователи и представители RIR пророчат, что IPv4 осталось существовать от года до десяти лет.

P.S. Полезные материалы из блога VAS Experts:


P.P.S. Статьи по теме из нашего блога на Хабре:

Let's block ads! (Why?)

Комментариев нет:

Отправить комментарий