Kontrolery ADC - wdrożenie IPv6 zaczyna się na brzegu sieci

Wyczerpywanie się adresów dla protokołu IP w wersji 4, powoduje że będzie on w użyciu tylko przez następne 15 do 20 lat. Są dwie ścieżki rozwoju. Jedna to dalsze używanie protokołu IPv4 i wykorzystywanie wielu warstw translacji adresów sieciowych (NAT). Druga - rozpoczęcie korzystania z IPv6. Najbardziej efektywną strategią wydaje się uruchomienie IPv6 najpierw na styku sieci z internetem, co pozwoli na udostępnienie serwisów opartym na IPv4 klientom korzystającym z IPv6.

Większość korporacji zignorowała IPv6. Uważają one, że mają zapewnioną bezpieczną przyszłość, dzięki dużej liczbie adresów IPv4, które wykupiły. Dodatkowo globalne gospodarcze spowolnienie powoduje, że działy IT muszą robić więcej za mniej i nie mają dość dużo czasu, aby zajmować się nowymi technologiami w rodzaju IPv6. Chociaż protokół został ustandaryzowany już wiele lat temu, to pracownicy działów IT nie mają na jego temat dużej wiedzy ani tym bardziej doświadczenia.

Organizacje wstrzymują implementację IPv6 uważając, że pociągnie to za sobą konieczność wymiany wszystkich urządzeń. Nie jest to konieczne - urządzenia z podwójnym stosem będą prawdopodobnie pracować jeszcze wiele lat. Niektóre z obecnie stosowanych, specyficznych urządzeń nie pozwalają w ogóle na stosowanie nowego protokołu. Dla przykładu wiele zasilaczy UPS ma interfejsy sieciowe, które pracują jedynie z IPv4. Jednak nie ma żadnego sensu wymieniać ich tylko z powodu wymiany protokołu komunikacyjnego i możliwości zarządzania przez IPv6.

Kontrolery ADC - wdrożenie IPv6 zaczyna się na brzegu sieci

Application Delivery Controller (ADC) w działaniu

IPv6 miał wiele czasu, aby dojrzeć i jest standardowo zaimplementowany w większości nowoczesnych produktów. Serwery DNS i większość głównych serwerów nazw obsługują IPv6. Routery, firewalle i inne urządzenia sieciowe także. Protokół zaczynają wspierać operatorzy internetowi.

Organizacje powinny stosować strategię migracji opartą na podwójnym stosie (dual stack). Polega ona na włączeniu IPv6 w ramach istniejącej infrastruktury i umożliwieniu komunikacji za pomocą obu protokołów jednocześnie. W przypadku, gdy takie podejście nie jest możliwe, należy wykorzystać technologie tunelowania oraz translacji. Powinniśmy się kierować regułą: dwa stosy - gdzie się da, tunelowanie - kiedy trzeba.

Przez wiele lat eksperci od IPv6 nakłaniali organizacje do włączenia IPv6 na brzegu sieci (połączenie z internetem). To logicznie pierwszy krok dla każdej firmy korzystającej z połączenia internetowego. Brzegowe systemy DNS, serwery webowe czy serwery pocztowe powinny być pierwszymi strefami sieci, które uzyskają możliwość połączenia nowym protokołem IP. Podczas procesu wprowadzania IPv6 na brzegu sieci organizacje uzyskają wiedzę i doświadczenie, które pozwoli na implementację w kolejnych strefach sieci. Natywne połączenie IPv6 musi zostać wdrożone w warstwie 3, aby zapewnić ciągłość routingu. Dalsze wprowadzanie IPv6 jest konieczne, aby zapobiec powstawaniu poprzerywanych sieci, w których trzeba będzie użyć połączeń mostkowych przez ręcznie konfigurowane tunele.

Pierwszym krokiem jest więc nawiązanie połączenia IPv6 z internetem. Dostawca internetowy powinien umożliwić to bez dodatkowych kosztów. W sytuacji, gdy ISP nie oferuje natywnej aktywności IPv6 w internecie, można wykorzystać ręcznie skonfigurowany tunel na routerze internetowym, aby szybko uzyskać połączenie IPv6 z internetem. Warto jednak rozejrzeć się za operatorem oferującym natywne połączenia IPv6.

Funkcjonalności ADC

Rozwiązania ADC oferują wiele funkcjonalności w zakresie IPv6. Testowane produkty (w większości) dają użytkownikowi następujące możliwości:

• IPv4/IPv6 Server Load Balancing (reverse proxy), IPv6 VIP z IPv4 lub podwójny protokół dla serwerów/farm serwerów.

• SSL offload i akceleracja dla IPv6 VIP i serwerów.

• Filtrowanie zawartości, dopasowywanie wyrażeń regularnych, przepisywanie URL dla połączeń IPv6.

• Web Application Firewall (WAF) z obsługą IPv6.

• Funkcje bezpieczeństwa (zabezpieczenie przez DDoS, SYN-cookies, IPS) z obsługą IPv6.

• Stanowe listy kontroli dostępu (ACL) dla pakietów IPv6, filtrowanie ICMPv6, rozszerzeń nagłówka i zabronionych pakietów RH0.

• Wysoka dostępność (HA) dla połączeń IPv6 (synchronizacja stanów IPv6 pomiędzy parami wysokiej dostępności).

• Logowanie połączeń IPv6 (wewnętrzne logowanie i z wykorzystaniem Sysloga).

• Możliwość sprawdzania wpisów IPv6 neighbor cache.

• Routing statyczny IPv6.

Funkcje opcjonalne:

• Geographical Server Load Balancing (GSLB) z obsługą IPv6.

• Dwuprotokołowy serwer DNS.

• Stanowa translacja NAT64.

• Integracja z DNS64 z NAT64.

• Wsparcie protokołów routingu IPv6 (statyczny, RIPng, OSPFv3, IS-IS, MP-BGP, RHI).

• Zarządzanie za pomocą IPv4 i IPv6.

Funkcje dla ISP lub dużych centrów danych:

• Large Scale NAT (LNAT), Carrier Grade NAT (CGNAT), NAT 444.

• 6rd (IPv6 Rapid Development) border relay.

• Dual-Stack Lite (DS-Lite) AFTR.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200