📬 ISN 157: Nowy gracz w zbieraniu danych

Przyszłość należy do sieci IPv6

Kiedy w 1994 roku zidentyfikowano problem wyczerpywania się zasobów adresowych IPv4, rozpoczęły się pierwsze prace nad nowym protokołem - IPv6. Celem było stworzenie uniwersalnego, nowoczesnego rozwiązania zdolnego sprostać rosnącym wymaganiom współczesnej sieci. Pomimo upływu trzech dekad i ciągłego rozwoju oraz popularyzacji IPv6, wiele usług sieciowych wciąż nie w pełni wspiera tę technologię. Jednym z przykładów jest platforma GitHub, która do dziś obsługuje wyłącznie tradycyjne adresy IPv4. Zmuszeni jesteśmy zatem korzystać z mechanizmów umożliwiających współpracę obu światów.

Translacja adresów (NAT64) z połączeniem z DNS64 pozwala hostom IPv6-only na komunikację z serwerami IPv4. Technika ta umożliwia przeprowadzenie migracji do protokołu nowej generacji, pozostawiając otwartą drogę dla starszych usług internetowych, dopóki nie zostaną one w pełni zmodernizowane. W niniejszym artykule przyjrzymy się właśnie technologii NAT64 oraz jej implementacji w architekturze IPng.

Sieć IPng składa się z dwóch głównych warstw: (1) transportowej MPLS, odizolowanej od Internetu, oraz (2) zewnętrznej warstwy VPP, przez którą przechodzi ruch internetowy. Zaimplementowane w tej architekturze rdzenie transportowe (transport core) wykorzystują przełączniki MPLS firmy Centec, oferujące obsługę IPv4, IPv6 oraz technologii tunelowania.

Rdzeń sieci IPng Site Local bazuje na natywnych adresach IPv6 z zakresu 2001:678:d78:500::/56. Każdy hypervisor i maszyna wirtualna otrzymują adres z tego prefixu. Dla ruchu wewnętrznego IPv4 wykorzystywany jest zakres 198.19.0.0/16. Istotną rolę w tej architekturze pełnią Border Gateways - systemowe bramy graniczne, których zadaniem jest przekazywanie ruchu pomiędzy siecią IPng a Internetem.

Translacja NAT

Podstawowym zadaniem bram granicznych jest dostarczanie translacji adresów sieciowych (NAT) dla ruchu przychodzącego i wychodzącego. Implementowane jest przy tym wsparcie dla trzech rodzajów translacji:

NAT44 dla IPv4,
NAT66 dla IPv6,
NAT64, umożliwiająca komunikację pomiędzy hostami IPv4 i IPv6.

Aby umożliwić funkcjonowanie NAT64, należy przydzielić pule adresów zarówno IPv4, jak i IPv6 dla każdej bramy granicznej. W przypadku ruchu zewnętrznego użyte zostaną adresy z tych pul, podczas gdy ruch wewnętrzny będzie korzystał z adresów prywatnych z prefixów 198.19.0.0/16 i 2001:678:d78:500::/56. Konfiguracja ta zostanie zapewniona przez dodanie odpowiednich reguł SNAT w łańcuchu POSTROUTING iptables.

DNS64

Opisana dotąd konfiguracja umożliwia translację adresów i portów, jednak nie wystarczy do nawiązania skutecznej komunikacji w scenariuszu, w którym host IPv6 próbuje połączyć się z serwerem IPv4. W takim przypadku niezbędne jest użycie DNS64 - mechanizmu syntetyzującego rekordy AAAA z odpowiadających im rekordów A.

DNS64, opisane w RFC6147, pozwala klientom IPv6-only na kontaktowanie się z serwerami IPv4, bez ingerencji w samego klienta bądź serwer. Aby osiągnąć ten efekt, należy skonfigurować resolver DNS, tak aby generował on sztuczne rekordy AAAA na podstawie istniejących rekordów A. W przypadku IPng, rolę tę pełni serwer Unbound.

W uproszczeniu, gdy host IPv6 zapyta o rekord AAAA dla serwera dostępnego wyłącznie poprzez IPv4, Unbound wygeneruje syntetyczny rekord AAAA, kodując adres IPv4 w ostatnich 32 bitach. Klient otrzyma zatem adres w formacie IPv6, jednak ze specjalnie zarezerwowanym prefixem wskazującym na konieczność translacji. W przypadku IPng będzie to przedrostek 2001:678:d78:564::/96.

Gdy host IPv6 spróbuje się połączyć z takim syntetycznym adresem, zostanie on przechwycony przez Jool - implementację NAT64 dla systemu Linux. Jool wykryje, że adres docelowy należy do specjalnego prefixu NAT64, i dokona translacji IPv6 -> IPv4, wybierając adres z puli IPv4 przypisanej do danej bramy granicznej.

Konfiguracja bram granicznych IPng obejmuje zarówno mechanizmy translacji adresów (NAT44, NAT66, NAT64 z Jool), jak i rozgłaszanie adresów do sieci wewnętrznej przy użyciu OSPF oraz zewnętrznej za pomocą BGP.

Wewnątrz sieci, prefiksy dla NAT44 (198.19.0.0/16), NAT66 (2001:678:d78:500::/56) oraz NAT64 (2001:678:d78:564::/96) są rozgłaszane za pomocą protokołu OSPF, dzięki czemu wszystkie hosty znają trasę do odpowiedniej bramy granicznej. Z zewnątrz, pule adresów IPv4 i IPv6 przydzielone do translacji są rozgłaszane przy użyciu BGP z zastosowaniem communities no-export.

Dodatkowo, adresy Unbound są rozgłaszane w trybie anycast, umożliwiając klientom zrównoważone i redundantne korzystanie z usług DNS64. Odrębna konfiguracja Unbound ze zdefiniowanym prefixem DNS64 (2001:678:d78:564::/96) pozwala na właściwą obsługę zapytań domenowych i syntetyzowanie rekordów AAAA.

Dzięki takiej konfiguracji, możliwe jest redundantne i dynamiczne zarządzanie poszczególnymi bramami granicznymi. Zatrzymanie rozgłaszania pewnych prefiksów spowoduje natychmiastowe przestawienie ruchu na aktywne repliki, zapewniając wysoką dostępność usług translacji adresów.

W jakim kierunku powinieneś rozwijać swoją karierę?

Najnowsze prognozy Amerykańskiego Biura Statystyki Pracy (BLS) ujawniają znaczącą transformację w sektorze IT, szczególnie w obszarze sieci komputerowych.

Zróżnicowany Wzrost w Specjalizacjach Sieciowych

Architekci Sieci: +13,4% (23.900 nowych stanowisk)
Specjaliści Wsparcia Sieci: +7,3% (12.100 nowych stanowisk)
Administratorzy Systemów i Sieci: -2,6% (-8.800 stanowisk)

Spadek zapotrzebowania na administratorów systemów wskazuje na konieczność ewolucji w kierunku bardziej zaawansowanych ról. Szczególnie obiecujące perspektywy rysują się w obszarach:

Architektury rozwiązań chmurowych
Bezpieczeństwa sieciowego (wzrost o 32,7% dla analityków bezpieczeństwa)
Integracji rozwiązań AI z infrastrukturą sieciową

Kluczowe Obszary Kompetencji

Automatyzacja sieci i programowanie (Python, API)
Architektura rozwiązań multi-cloud
Bezpieczeństwo sieciowe nowej generacji
Integracja AI/ML w zarządzaniu sieciami

Ścieżki Rozwoju Kariery

Przejście z ról administracyjnych do architektonicznych
Specjalizacja w bezpieczeństwie sieciowym
Rozwój w kierunku architektury rozwiązań hybrydowych

Transformacja rynku pracy w sektorze sieciowym wymaga proaktywnego podejścia do rozwoju kompetencji. Dla doświadczonych inżynierów kluczowe będzie połączenie głębokiej wiedzy sieciowej z nowymi technologiami, szczególnie w obszarach AI, automatyzacji i bezpieczeństwa.

Rekomendowane Działania

Inwestycja w certyfikacje z zakresu bezpieczeństwa i chmury
Rozwój umiejętności programistycznych
Budowanie ekspertyzy w zakresie integracji AI z infrastrukturą sieciową
Aktywne śledzenie rozwoju technologii SDN i automatyzacji sieci

142 projekty automatyzacji sieci

John Capobianco jest autorem tegorocznej książki na temat automatyzacji sieci z wykorzystaniem pyATS. Jest również zwolennikiem stosowania modeli językowych (LLM) w obszarze sieci komputerowych. Na swoim koncie na GitHubie ma obecnie 142 publiczne projekty, dzięki którym nie będziesz musiał wymyślać koła na nowo.

Która chmura posiada najwięcej adresów?

Codziennie aktualizowane dane i statystyki dotyczące adresów IP dla głównych dostawców chmury publicznej, takich jak AWS, Azure i Cloudflare, oferują fascynujący wgląd w zmienność handlu prefiksami IPv4. Obserwowanie tych fluktuacji przypomina rynki akcji bardziej, niż można by przypuszczać.

Nowy gracz w zbieraniu danych

Przeczytaj całą historię

Zarejestruj się teraz, aby przeczytać całą historię i uzyskać dostęp do wszystkich postów za tylko dla płacących subskrybentów.

Subskrybuj

Masz już konto? Zaloguj się