Alokacje IPv4 a IPv6

Ilość wykorzystanej adresacji IPv4 oraz zapotrzebowanie na nowe zasoby wzrasta wraz z ilością nowych urządzeń pojawiających się w sieci. Zjawisko to szczególnie nasiliło się wraz z rozwojem usług i urządzeń mobilnych. W 2011 roku IANA (Internet Assigned Numbers Authority) alokowała ostatnie bloki adresacji IPv4 dla pięciu regionalnych organizacji RIR (ARIN, LACNIC, RIPE NCC, AFRINIC, APNIC), rozdzielających zasoby dla organizacji. W obliczu braku możliwości uzyskania nowych alokacji IPv4, wprowadzone zostały bardzo rygorystyczne zasady przydziału alokacji dla zgłaszających się po zasoby organizacji. Zasoby adresacji IP są często dostępne, ale przydzielone dla podmiotów, które ich nie wykorzystują. Czasami wybrane RIR zgadzają się na transfer niewykorzystywanych przez daną organizację zasobów IPv4 do innej organizacji. Sprawa jest jednak skomplikowana nie tylko organizacyjnie, ale i z prawnego punktu widzenia.

Rozwiązaniem tej problematycznej sytuacji ma stać się adresacja IPv6. Adresacja IPv6 nie jest jednak wstecznie kompatybilna z IPv4. Operatorzy sieci w różny sposób próbują rozwiązać ten problem, ale wymaga to sporych nakładów związanych z wymianą sprzętu i implementacją nowych rozwiązań (CGN, DS-Lite). Bezpośrednia i całkowita migracja do IPv6, oznacza konieczność wsparcia nowego protokołu przez większość dostawców usług i treści czy producentów sprzętu.

Z punktu widzenia przedsiębiorstw i organizacji, także działy IT nie widzą sensu aktualizacji do IPv6, jeżeli ich operatorzy nadal wspierają i udostępniają IPv4. Operatorzy z kolei twierdzą, że przyczyną tego stanu rzeczy jest brak wsparcia IPv6 przez wielu dostawców treści. Dostawcy treści przerzucają odpowiedzialność na brak przygotowania infrastruktury sieciowej przez operatorów. W ten sposób sprawa zatacza koło. Dla operatorów brak nowych alokacji IPv4 stanowi dużo większy problem, niż klientów. W przyszłości migracja do IPv6 będzie jednak nieuchronna także dla ich klientów. Aktualnie wymagana jest więc optymalizacja struktury adresów IPv4 oraz przygotowanie się na docelowe wdrożenia IPv6.

W większości przypadków istnieje możliwość optymalizacji wykorzystywanej adresacji IPv4 z wykorzystaniem narzędzi zarządzania adresacją IPAM. Pozwala to nie tylko minimalizować niedogodności związane z ograniczoną liczbą dostępnych zasobów IPv4, ale także zapewnić poprawną koegzystencję i migrację do zasobów IPv6.

Funkcje zarządzania adresacją IP

Systemy zarządzania IPAM ewoluowały na przestrzeni lat. Początkowo były to proste narzędzia przeznaczone do określonych zadań, wspierające zadania konfiguracji i zarządzania. Z czasem następowało coraz większe powiązanie narzędzi z zaawansowanymi funkcjonalnościami IP. Szczególnie zjawisko rozwoju IPAM nasiliło się wraz z rozwojem sieci mobilnych i coraz większą ilością tabletów czy smartfonów w sieciach. Zarządzanie adresacją IP w sieciach jest realizowane za pomocą kilku znanych protokołów i aplikacji, wspieranych przez bazy danych i narzędzia monitorujące. Najczęściej stosowanymi serwerami w omawianych rozwiązaniach jest DHCP, DNS oraz specyficzne protokoły zarządzania adresacją IPAM (IP Management Address). Omawiając wskazany zestaw rozwiązań często wykorzystywany jest skrót DDI (DHCP, DNS, IP). Główną rolą tak skonfigurowanego środowiska jest zarządzanie, śledzenie, przydział adresacji IP, parametrów sieciowych czy nazwy hostów. Każdy z wymienionych elementów jest zarządzany z poziomu jednego interfejsu rozwiązania IPAM. W ramach tego interfejsu otrzymujemy możliwość centralnego zarządzania usługami DNS i DHCP, konfiguracji i monitorowania przestrzeni adresowej IP. Zarządzanie adresacją IP jest szczególnie istotne w sieciach, które obsługują bardzo duże pule adresowe. System zarządzania adresacją podpowie gdzie zlokalizowane są poszczególne adresy IP w sieci, ułatwi odszukiwanie dostępnych adresów IP, wyeliminuje duplikaty adresów, pokaże stopień wykorzystania adresacji. Dodatkowo w wielu narzędziach otrzymamy wsparcie dla migracji do IPv6.

Rozwiązania IPAM przeważnie składają się z trzech elementów. Pierwszym z nich jest proces inwentaryzacji i alokacji adresacji IP. Proces ten zajmuje się przydziałem przestrzeni adresowej do lokalizacji, podsieci, urządzeń, puli adresowych, użytkowników. Dodatkowo przydzielane i definiowane są przestrzenie adresów publicznych i prywatnych. Drugim elementem jest dynamiczny przydział adresacji IP poprzez zarządzane usługi DHCP. W ramach usług DHCP istnieje możliwość przydziału odpowiednich zakresów adresowych dla różnych użytkowników, przydziału odpowiednich parametrów dla wymagających tego hostów, zarządzania zapytaniami DHCP pochodzącymi od klientów. Przykładowo urządzenia realizujące transmisje VoIP lub wideo potrzebują specyficznych parametrów przekazywanych przez serwer DHCP, zintegrowany z serwerem TFTP. Trzecim elementem są usługi zarządzania nazwami. Jeżeli urządzenie ma przydzieloną adresację IP, dobrym rozwiązaniem jest wprowadzenie odpowiednich wpisów w DNS. Serwer DNS realizują powiązanie nazwy hosta z odpowiednim adresem IP oraz proces odwrotny. Coraz częściej wspierany jest także protokół DNSSEC. Przedstawione elementy powodują, że użytkownik przyłączający się do sieci, uzyskuje automatycznie wszelkie niezbędne parametry sieci oraz może komunikować się z wykorzystaniem nazw hostów. Z punktu widzenia administratora korzyści poza uporządkowaniem struktury adresacji są większe. Najważniejsze jest monitorowanie dostępności i zmian w adresacji. Warto w tym przypadku wspomnieć o planowaniu adresacji, alokacji zasobów, zarządzaniu zasobami, czy wdrażaniu IPv6.

Jaka architektura IPAM?

Istnieją dwie główne architektury wdrożeń rozwiązań DDI (DNS, DHCP, IPAM). Pierwsza umożliwia koegzystencję z istniejącymi usługami DHCP/DNS. Administrator może wykorzystać wewnętrzne mechanizmy systemu IPAM lub powiązać oprogramowanie z funkcjonującymi w infrastrukturze rozwiązaniami DHCP czy DNS. IPAM w postaci nakładki na istniejące systemy jest łatwiejszym mechanizmem do wdrożenia w większości środowisk. Organizacje przeważnie posiadają systemy DHCP/DNS, które pracują poprawnie. Oprogramowanie IPAM w takim przypadku łączy się z istniejącymi serwerami DHCP/DNS. Tego typu architektura wymaga mniejszego zaangażowania na poziomie implementacji. Mniejsze jest ryzyko, ponieważ najważniejsze komponenty działają standardowo i uzupełniane są nowymi rozwiązaniami. Należy pamiętać, że omawiana architektura powinna wspierać i integrować się z możliwie szerokim zakresem dostawców oprogramowania, produktów i usług. Rozwiązania z tej grupy przeważnie oferowane są w formie oprogramowania.

Jeżeli organizacja jest duża i ma rozsądny budżet przeznaczony na rozwiązania zarządzania adresacją IP, najlepsza okaże się opcja wdrożenia systemu zintegrowanego IPAM. Architektura tego typu zapewnia zintegrowaną obsługę rozwiązań serwerów DHCP/DNS zintegrowanych w jednym urządzeniu/aplikacji, a także systemów zarządzania. Implementacja tej architektury będzie wymagała modyfikacji wszystkich elementów zarządzania adresacją IP. Pozwala to jednak na nowo zdefiniować założenia sieci, a często wyeliminować popełnione w poprzednich wdrożeniach błędy. W niektórych przypadkach architektura wdrożenia wymagająca wymiany wszystkich elementów może okazać się skomplikowana. Zyskujemy jednak na integralności oraz wydajności rozwiązania. Rozwiązania z tej grupy przeważnie oferowane są w formie sprzętowej.

Zarządzanie adresacją z punku widzenia administratora sieci LAN

IPAM do niedawna było przeznaczone głównie dla operatorów, ale coraz śmielej wkracza w systemy sieci lokalnych. IPAM pomaga centralizować rozproszone geograficznie sieci IP i wspierać w zarządzaniu środowiskiem zawierającym wiele podsieci, domen, usług. Zastosowanie znajdzie także w małych środowiskach, gdzie administrator chciałbym mieć pełną kontrolę nad adresacją IP z powodów wymagań określonych urządzeń i aplikacji, przykładowo telefonii IP, systemów zdalnego dostępu czy kontroli użytkowników. Systemy IPAM pozwalają zagwarantować w sieci lokalnej niezmienność przydzielonej adresacji, a także monitorować potencjalne zmiany. Bardzo często uzupełnieniem IPAM jest serwer TFTP, umożliwiający w połączeniu z DHCP autokonfigurację sprzętu.

Zaletą wykorzystania IPAM w sieci lokalnej będą także niższe koszty administracji siecią, a także większe bezpieczeństwo operacji. Systemy zarządzania adresacją dostarczają mechanizmów wspomagających wdrożenia IPv6. IPAM może okazać się niezbędne w rozwiązaniu problemów z wdrożeniami IPv6 w różnej wielkości sieciach. System IPAM dostarcza mechanizmy monitorowania wykorzystywanych adresów IP, przy wykorzystaniu raportów, wykresów, dzienników zdarzeń. System IPAM redukuje błędy wynikające z przydziału adresacji, a także wynikające z problemów komunikacji ostrzeżenia, zmiany. W sieciach lokalnych przeważnie wykorzystywane są pule adresów IP prywatnych, więc mniejsze znaczenie ma zapewnienie odpowiednich alokacji adresacji i zarządzania wolnymi zasobami.

O ile w niewielkich sieciach lokalnych administrator może poradzić sobie z adresacją IP ręcznie, o tyle w dużych strukturach bez wdrożonego systemu IPAM zapanuje totalny chaos.

Zarządzanie adresacją z punktu widzenia operatora

Operatorzy i usługodawcy mają inne problemy związane z zarządzaniem adresacją IP, niż administratorzy sieci lokalnych. Potrzeby operatorów wynikają głównie z konieczności zapewnienia optymalnego wykorzystania dostępnej adresacji IPv4, raportowania wykorzystanych zasobów oraz możliwie bezproblemowej migracji IPv6.

Adresacja IPv4 w praktyce jest bardzo trudna do uzyskania. Ilość urządzeń u wielu operatorów przekracza liczbę adresów IP w pulach, którymi zarządzają. Operatorzy w poszukiwaniu rozwiązań optymalizujących wykorzystanie adresacji IP stosują translację adresów NAT, czy migrację do IPv6 z zastosowaniem mechanizmów CGN czy DS-Lite. Niestety zastosowanie wskazanych mechanizmów nie zawsze rozwiązuje problemy operatorów, a dodatkowo może degradować wydajność sieci. Coraz częściej mówi się o komunikacji wyłącznie poprzez IPv6 wraz z końcem bieżącej dekady. Dodatkowo wprowadzone zostaną mechanizmy bezpieczeństwa w postaci DNSSEC oraz własnych mechanizmów integralności IPv6. IPv6 oznacza komunikację w modelu end-to-end, co skutecznie utrudni zapanowanie nad istniejącymi zasobami adresowymi. Mechanizmy IPAM mogą pomóc operatorom w rozwiązaniu wielu problemów. IPAM pozwala centralnie zarządzać konfiguracją DHCP dla różnych geograficznie regionów i automatycznie integrować się z mechanizmami DNS. Dzięki integracji serwerów TFTP w niektórych produktach IPAM i odpowiednim opcjom DHCP, operatorzy mogą także wykorzystać IPAM do aktualizacji urządzeń końcowych oraz autokonfiguracji. IPAM dba jednocześnie o zgodność planu adresowego IP z przydzielonymi założeniami. Dzięki bazie danych przechowującej informacje o adresacji i jej parametrach, zapobiega konfliktom w sieci, a także umożliwia blokadę statycznych IP dla określonych grup klientów. IPAM tworzy także podbudową pod przyszłą opcję przeadresowania IPv4 na IPv6. Istnieje możliwość wykorzystania specjalnych mechanizmów planowania IPv6, monitorowania stopnia wykorzystania adresacji IPv6.

Warto przedstawić jeszcze jedno zastosowanie IPAM w domenie operatorów. Regionalne organizacje przydzielające adresację, czasami proszą operatorów o przedstawienie stopnia wykorzystania przydzielonej adresacji. Gdy operator składał wniosek do RIR (Regional Internet Registry) o przydział nowej przestrzeni adresowej IPv4, wniosek mógł zostać odrzucony. RIR prosił o dodatkowe raporty wykorzystania aktualnie przydzielonej adresacji oraz trendów i planowanego rozwoju. Dodatkowo zachodziła potrzeba przedstawienia planu realokacji pul adresowych o niskim stopniu wykorzystania. Narzędzia IPAM dla operatorów pozwalają szybko wygenerować odpowiednie raporty, zawierające szczegóły alokacji poszczególnych adresów IP, czy stopień wykorzystania adresów IP.

Koegzystencja i zarządzanie na styku IPv4 z IPv6

W urządzeniach przeznaczonych dla użytkownika końcowego coraz częściej pojawia się wsparcie dla IPv6. Większość dostawców operatorów i usługodawców nie działa proaktywnie na polu wdrożeń IPv6. Szczególnie usługodawcy czekają z przejściem na IPv6 do czasu. aż będzie to koniecznością. Produkty IPAM mogą wspierać wdrożenia IPv6 i przygotować sieć na nowe rozwiązania dużo wcześniej.

Zakres przestrzeni adresowej IPv4 jest znacznie mniejszy niż IPv6. Oznacza to stosunkowo duża łatwość w zarządzaniu adresacją IP oraz podziałem alokacji dynamicznych i statycznych. Ze względu na ilość adresów IPv6, zarządzanie tą adresacją może być dużo bardziej skomplikowane. Dzięki zintegrowanym bazom danych, ujednoliconemu zarządzaniu konfiguracją DNS i DHCP nawet przy rozproszonej sieci, IPAM ułatwia zarządzanie adresacją IPv6. Dodatkowo IPAM pozwala na łatwe zarządzanie zarówno IPv4, jak i IPv6 jednocześnie. IPAM dla IPv6 nie jest wyłącznie narzędziem, które dostępne jest wyłącznie dla operatorów.

Protokół IPv4 nie był tak rozbudowany i kompleksowy jak IPv6. Możliwe było zarządzania adresacją z poziomu prostych narzędzi. W przypadku IPv6 konieczne jest alokowanie i śledzenie tak dużych bloków adresacji, że możliwe jest to wyłącznie z wykorzystaniem pewnej automatyki. IPv6 wykorzystuje adresy o długości 128 bitowej, podczas gdy IPv4 wykorzystuje adresy 32 bitowe. O ile administrator w pewnych przypadkach jest w stanie zapamiętać adresy IPv4, o tyle składnia IPv6 praktycznie wyklucza taką możliwość. Potrzebny jest mechanizm IPAM umożliwiający realizację bazy danych adresów IPv6.

Protokoły IPv6 oraz IPv4 będą koegzystowały przez pewien czas w wielu sieciach. Operatorzy będą zmuszeni odpowiednio zarządzać adresami IP w obu wersjach. Większość rozwiązań IPAM pozwala zarządzać zarówno adresacją IPv4, jak i IPv6. System IPAM pozwala monitorować postępy wdrożeń IPv6 i dostosować strategię do uzyskanych raportów.

Darmowo czy komercyjnie?

Przeniesienie środowiska zarządzania adresacją do rozwiązań IPAM może, ale nie musi być kosztowne. Istnieje wiele strategii wdrożeń IPAM, które mogą zostać oparte o zupełnie darmowe oprogramowanie, jak i zaawansowane rozwiązania sprzętowe. Istnieje także możliwość zakupienia IPAM w coraz popularniejszej formy usługi dostępnej z poziomu chmury.

Darmowe rozwiązania będą szczególnie interesujące w małych wdrożeniach oraz niewielkim budżecie. Większość darmowych rozwiązań jest dostępnych dla systemu Windows oraz Linux. Najpopularniejsze rozwiązania darmowe to IPplan, GestioIP, OpenIPAM, OpenNetAdmin. Trudno znaleźć wśród nich produkt uniwersalny i przeważnie brakuje wsparcia twórców oprogramowania. Komercyjne systemy IPAM także są udostępniane w formie darmowej, w postaci okrojonych produktów, które dostępne są także w pełnych i płatnych wersjach. W wielu przypadkach darmowe narzędzia nie oferują kompletnego zestawu DDI. Konieczne jest uzupełnienie o serwery DNS czy DHCP. Rozważając implementację takiego produkty warto sprawdzić czy będzie wspierał wykorzystywane w danej infrastrukturze typy i wersje serwerów usług.

Komercyjnych rozwiązań jest znacznie więcej. Są to rozwiązania zarówno sprzętowe, jak i programowe. W systemie operacyjnym Microsoft Server 2012 wprowadzono rozwiązanie IPAM. Proste usługi DNS oraz DHCP pozostały w większości niezmienione. Zarządzanie usługami zostało jednak zintegrowane w jednym interfejsie użytkownika. Rozwiązanie ma kilka ograniczeń, a zarządzanie podsieciami i raportowaniem jest bardzo uproszczone. Brak jest wsparcia do zarządzania serwerami DHCP czy DNS niezależnych producentów.

Najlepsze rozwiązania IPAM oferują natomiast obsługę kompletnych serwerów DNS i DHCP oraz funkcjonalności typu zarządzanie zasobami adresacji, skanowanie, poszukiwanie hostów, ostrzeżenia, raporty, planowanie pojemności i inne, zależne od producenta. Przykładem komercyjnych rozwiązań IPAM może być Solarwinds IPAM, DiamondIP, BlueCoat Proteus, Infoblox, 6connect, Nixu NameSurfer, Men & Mice, EfficienIP.

Podsumowanie

Rozwiązania zarządzające adresacją IP ułatwiają kontrolę i organizację na poziomie adresacji IP. Wykorzystywane do tego celu są usługi DNS, DHCP oraz kilka innych powiązanych elementów analizy IP (DDI). Wynikiem udoskonalenia procesów zarządzania adresacją IP z wykorzystaniem IPAM jest zwiększone bezpieczeństwo sieci, ale także redukcja kosztów zarządzania infrastrukturą. Dodatkowo otrzymujemy wsparcie dla migracji do IPv6, narzędzia dla operatorów i usługodawców, łatwiejszy podział podsieci i monitorowania dostępnych zasobów. Sprawny administrator może wdrożyć rozwiązanie IPAM przy niewielkich kosztach, wykorzystując darmowe rozwiązania. Jeżeli poszukiwane jest rozwiązanie zaawansowane zawierające wsparcie producenta, konieczne będzie wykorzystanie rozwiązań zintegrowanych, występujących często w postaci sprzętowej. Warto wybrać rozwiązanie posiadają możliwie dużo funkcjonalności, ale także pozwalające na współpracę z możliwie duża liczbą niezależnych rozwiązań DHCP/DNS.

Przy wykorzystaniu IPAM można zdecydowanie zwiększyć wygodę korzystania z sieci dla użytkowników, ułatwić pracę administratorom, zwiększy możliwości i funkcjonalność sieci, a także zmniejszyć koszty wsparcia IT. Warto podkreślić, że realizacja projektów IPAM jest relatywnie tania w stosunku do kosztów innych elementów infrastruktury IT.