Scott Hogg, di Network World, spiega come comportarsi con il prossimo avvicendarsi del protocollo IPv6, che andrà a sostituire l'attuale IPv4.

(Network World) - Il protocollo IPv6 è stato rilasciato completo di tecniche di migrazione in grado di affrontare la maggior parte dei casi di upgrade da IPv4, ma moltissimi hanno provocato il rifiuto della "technology community" (gli utenti, ndt); oggi, quindi, siamo stati "abbandonati" con un modesto set di istruzioni pratiche per affrontare la migrazione.

Una di queste tecniche, chiamata dual stack, comporta il far funzionare contemporaneamente sia l'IPv4 che l'IPv6. Così, i nodi terminali e i router/switch terranno in piedi entrambi i protocolli e, dove IPv6 è disponibile, lo tratteranno come protocollo preferito.

Una comune strategia dual stack, adottabile per la migrazione, consiste nell'effettuare gradualmente la transizione dagli estremi verso il centro di una rete. Ciò comporta l'abilitare i due protocolli TCP/IP sui principali router a ridosso della WAN; successivamente, sui router perimetrali e sui firewall, poi sui router della server farm e infine sui router d'accesso per le workstation. Quando l'intera rete sarà in grado di supportarli entrambi, si passerà ad attivare il dual stack sui server, quindi, per ultimi, sulle workstation.

Un altro approccio può essere quello di impiegare i tunnel, per consegnare un protocollo facendolo viaggiare dentro a un altro. In questo caso, i tunnel accetteranno i pacchetti IPv6 e li incapsuleranno in normali pacchetti IPv4, per essere inviati attraverso le porzioni di rete che non siano ancora state aggiornate a IPv6. Metaforicamente, i tunnel possono essere creati dove esistono isole IPv6 separate da un oceano IPv4, cosa che, nei primi periodi di transizione, sarà pressoché la norma. Successivamente accadrà il contrario: vi saranno isole IPv4 che dovranno connettersi tra loro attraversando un oceano IPv6.

Altre tecniche, come il NAT-PT (Network Address Translation - Protocol Translation, chiamato da alcuni anche NAPT), semplicemente traducono i pacchetti IPv6 in IPv4 e viceversa. Tali tecniche sono più complesse del normale NAT in ambito IPv4, in quanto in IPv6 le intestazioni dei pacchetti hanno una struttura diversa. La tecnica del NAT-PT, quindi, è meglio lasciarla come "ultima spiaggia": molto meglio utilizzare il dual stack e il tunnel.

Esistono due tipi di tunnel: manuale e dinamico. Il tunnel manuale in IPv6 (vedi RFC 2893) richiede di essere configurato su entrambi gli estremi del tunnel stesso, mentre quello dinamico viene automaticamente creato sulla base del routing e della destinazione del pacchetto. Le tecniche di tunnel dinamico semplificano la manutenzione in confronto a quelle manuali; tuttavia queste ultime hanno il vantaggio di restringere le informazioni sul traffico che si svolge ai soli due punti interessati, offrendo così maggiori garanzie su eventuale traffico malevolmente "iniettato" per altri scopi.

Vi sono, infatti, alcune preoccupazioni circa le tecniche di tunnel a proposito di sicurezza. Ad esempio, con la tecnica dinamica non è facile tracciare chi sta comunicando lungo i canali di transito e non si conosce a priori dove si trova l'endpoint.

Far comunicare i propri router con altri router non autenticati è una circostanza poco allettante. È anche possibile inviare traffico falso verso l'endpoint di un tunnel e ottenere il risultato di inserirvi del traffico spurio. I tunnel creano uno stato di incapsulamento che produce un flusso di traffico normalmente non ispezionato da molti firewall per il solo fatto di essere riconosciuto come tunnel. Permettere al protocollo n. 41 (IPv6 incapsulato in IPv4) il transito attraverso un firewall IPv4 non è una buona idea. Sarebbe come creare una regola, secondo il "linguaggio Cisco", che reciti:

IPv6 permit any any all