IPv4 vs IPv6

Posted on by Monika P.
IPv4 vs IPv6

Proč vznikl IPv6 a v čem se liší od IPv4

IPv4 je základní protokol internetu od 80. let, ale jeho 32bitový adresní prostor (≈4,3 miliardy adres) je vyčerpán. IPv6 přináší 128bitové adresy, jednodušší směrování a moderní síťové mechanismy, které zlepšují škálovatelnost, bezpečnost a automatickou konfiguraci. Oba protokoly dnes běží paralelně (dual-stack) a internet je postupně migrován na IPv6.

Adresní prostor a notace

  • IPv4: 32 bitů, obvykle v dekadickém zápisu: 203.0.113.42, maska / síť: /24 (CIDR), např. 192.0.2.0/24.
  • IPv6: 128 bitů, hexadecimální zápis po 16 bitech (hextety) oddělený dvojtečkami: 2001:db8:abcd:0012:0000:0000:0000:00ff. Zkracování:
    • Vynechání nul v hextetu: 001212.
    • Jedna posloupnost nul se může zkrátit na ::: 2001:db8:abcd:12::ff.
  • Rozsahy: Globální unicast (např. 2000::/3), link-local fe80::/10, unikátní lokální adresy (ULA) fc00::/7, multicast ff00::/8.

Struktura adres a přidělování

  • IPv4: přidělují se typicky /24, /23; masivní využití privátních rozsahů (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) a NAT.
  • IPv6: poskytovatelé běžně přidělují koncovému zákazníkovi /56 nebo /48 (mnoho /64 podsítí). Standardní velikost podsítě pro hosty je /64 (nutné pro SLAAC a některé bezpečnostní a multicastové funkce).

Porovnání klíčových vlastností

Vlastnost IPv4 IPv6
Velikost adresy 32 bitů 128 bitů
Broadcast Ano Ne (nahrazen multicastem/anycastem)
ARP/ND ARP pro mapování IP→MAC ICMPv6 Neighbor Discovery (ND)
NAT Rozšířený (SNAT, PAT, CGN) Obvykle se nepoužívá; koncové adresování
Záhlaví Proměnné, obsahuje checksum Jednodušší, bez header checksum; volit. extension headers
Autokonfigurace DHCPv4 SLAAC, DHCPv6, RA (Router Advertisements)
Bezpečnost IPsec volitelný IPsec součástí specifikací, praxe: volitelný dle nasazení
Fragmentace Routery i hosty Jen hosty; Path MTU Discovery povinné
QoS pole DSCP + ECN Traffic Class + Flow Label (+ DSCP/ECN)

IPv6 záhlaví a rozšiřující hlavičky

  • Pevné záhlaví IPv6: menší počet polí než IPv4, rychlejší zpracování směrovači.
  • Extension headers: např. Fragment, Routing, Hop-by-Hop, Destination Options, AH/ESP pro IPsec. Nasazení musí respektovat omezení middleboxů a MTU.
  • TTL vs. Hop Limit: IPv6 používá Hop Limit se shodnou funkcí.

Neighbor Discovery (ND) místo ARP

  • ICMPv6 ND řeší mapování L2↔L3, Router Solicitation/Advertisement, Neighbor Solicitation/Advertisement, detekci duplicit (DAD) a prefix discovery.
  • Výhoda: integrace s autokonfigurací, bez broadcastu, používá multicast na linku.

Autokonfigurace: SLAAC, RA a DHCPv6

  • SLAAC: Host vytvoří adresu z prefixu /64 a identifikátoru rozhraní; prefix poskytuje router v RA.
  • DHCPv6: Doplňuje/nahrazuje SLAAC tam, kde je žádoucí centrální správa (DNS, doména, specifické opce).
  • Privacy Extensions: Dočasné (temporary) adresy pro odchozí spojení zvyšují soukromí proti sledování stabilního identifikátoru.

Multicast a absence broadcastu

  • IPv4 broadcast může zatěžovat síť; IPv6 jej nahrazuje multicastem (např. ff02::1 všichni hosté na lince, ff02::2 všichni routery) a anycastem (nejbližší instanci služby).
  • MLD (Multicast Listener Discovery) je ekvivalent IGMP pro správu skupin v IPv6.

DNS a pojmenování

  • IPv4: záznam typu A (adresa) a PTR v in-addr.arpa.
  • IPv6: záznam AAAA a PTR v ip6.arpa (hexadecimální nibble formát). Doporučuje se mít pro služby jak A, tak AAAA pro dual-stack.

MTU, fragmentace a Path MTU Discovery

  • IPv6 minimální MTU rozhraní je 1280 bajtů. Routery nefragmentují; odesílatel musí upravit velikost paketů dle Packet Too Big zpráv (ICMPv6).
  • Praktický dopad: filtrování ICMPv6 může rozbít PMTUD a způsobit problémy se spojováním nebo výkonem.

Bezpečnost: IPsec, RA Guard a filtrace

  • IPsec: Standardizován pro IPv4 i IPv6; u IPv6 byl historicky vnímán jako součást základní sady, v praxi je volitelný dle politik.
  • Filtrace na hraně: Stejně jako v IPv4 je nutné filtrovat příchozí provoz; v prostředí bez NAT je koncový host přímo adresovatelný → důsledná host-based ochrana a stateful firewall na perimetru.
  • RA Guard / ND inspection: Ochrana proti podvrženým Router Advertisements a ND spoofingu na přepínačích přístupové vrstvy.

NAT vs. end-to-end konektivita

  • IPv4: Široké nasazení NAT (včetně CGNAT) šetří adresy, ale komplikuje P2P, VoIP, geolokaci, telemetrii i bezpečnostní dohled.
  • IPv6: Cílem je bez NAT end-to-end konektivita; bezpečnost se řeší řízením přístupu, segmentací a šifrováním, ne nutně překladem adres.

QoS a řízení toků

  • Traffic Class (DSCP/ECN) a Flow Label v IPv6 umožňují směrovačům identifikovat a optimalizovat zpracování per-tok, zejména v sítích s ECMP a pro aplikační QoS.

Mechanismy přechodu a souběhu

  • Dual-stack: Současný běh IPv4 a IPv6 na hostech i sítích; preferovaná strategie migrace.
  • Tunelování: 6in4, 6rd, GRE, IPsec tunely – dočasná řešení přes IPv4 páteř.
  • Překlad mezi protokoly: NAT64/DNS64 (IPv6-only klienti ↔ IPv4 služby), 464XLAT a další techniky pro mobilní sítě.

Adresování hostů a rozsahy v praxi

  • Globální unicast: veřejné adresy směrovatelné v internetu; běžné přidělení /56 pro domácnost (256 podsítí /64).
  • Link-local fe80::/10: automaticky přítomné na každém rozhraní; používají se pro ND a směrovací protokoly (OSPFv3, RIPng).
  • ULA fc00::/7: interní adresy bez globální směrovatelnosti (analogicky k privátním IPv4), vhodné pro interní služby a overlaye.

Směrování a agregace prefixů

  • IPv6 podporuje rozsáhlejší agregaci díky hojnosti adres; správné přidělování prefixů snižuje počet záznamů v globálním BGP.
  • IGP protokoly: OSPFv3, IS-IS for IPv6; BGP multiprotocol pro šíření IPv6 tras.

Dopady na aplikace a služby

  • Klienti a servery: Měly by naslouchat na IPv4 i IPv6 (A/AAAA). Aplikační logika by měla správně volit rodinu (Happy Eyeballs).
  • Logování a SIEM: Připravenost na delší adresy, korektní parsování, aktualizace filtrů a detekčních pravidel.

Příklady konfigurací a doporučení

  • Prefixy pro LAN: oddělte sítě (např. 2001:db8:100::/64 uživatelé, 2001:db8:101::/64 servery, 2001:db8:1ff::/64 management).
  • RA a DHCPv6: RA pro on-link a default gateway, DHCPv6 pro DNS a doménu; nebo Managed/Other-config flagy dle politiky.
  • Firewall: výchozí deny-in, povolit nezbytné služby (ICMPv6 typy pro PMTUD/ND), segmentace pomocí VRF/VLAN a ACL.

Časté omyly při nasazování IPv6

  • „IPv6 nepotřebuji, mám CGNAT“: CGNAT komplikuje služby a zhoršuje uživatelskou zkušenost; IPv6 zjednodušuje konektivitu.
  • Filtrování ICMPv6 „jako v IPv4“: v IPv6 je ICMPv6 kritické pro funkci (ND, PMTUD). Nevhodná filtrace rozbíjí přenos.
  • Malé prefixy pro LAN (/120 apod.): porušují SLAAC a mohou způsobit nekompatibility.
  • Závislost na NAT pro bezpečnost: bezpečnost stojí na politikách a stavových firewallech, nikoliv na překladu adres.

Soukromí a identita zařízení

  • Stable vs. temporary adresy: Stabilní identifikátory (např. RFC7217) a dočasné privacy adresy pro odchozí spojení omezují sledování.
  • Logování: uchovávejte vazby mezi uživateli a adresami/prefixy v čase (rotace dočasných adres komplikuje forenzní analýzu bez správného logování).

Výkon a spolehlivost

  • Rychlost: Menší režie ve směrovačích díky jednoduššímu headeru; reálný výkon závisí spíše na implementaci a síťové architektuře.
  • Redundance: Stejné principy (VRRPv3/HSRPv2 pro IPv6, ECMP, BFD). Doporučeno testovat PMTUD a ICMPv6 průchodnost.

Závěr: kdy a jak přejít

IPv6 řeší nedostatek adres a přináší čistší end-to-end síťový model, lepší automatizaci a škálování. Doporučený postup je začít dual-stackem, aktualizovat bezpečnostní politiky (ICMPv6, RA Guard), připravit DNS (AAAA, reverzy), standardizovat přidělování /64 pro LAN a zavést monitorování a logování pro obě protokolové rodiny. Cílem je postupná preference IPv6 u klientů i služeb až k plnohodnotnému IPv6-first prostředí.

Related Posts

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *