Kontrolery ADC - wdrożenie IPv6 zaczyna się na brzegu sieci

Dokumentacja urządzenia wspomina, że do obsługi IPv6 wymagana jest konfiguracja radvd (Router Advertisement Daemon). Nasze testy wykazały, że nie jest to konieczne w przypadku, gdy urządzenie nie będzie pełnić funkcji bramy domyślnej. Innymi słowy, jeśli chcemy, aby komputery bezpośrednio podłączone do F5 odbierały wiadomości ICMPv6 Router Advertisement, to konfiguracja radvd jest konieczna.

Skonfigurowaliśmy interfejs webowy do współpracy z IPv4 a także z IPv6 - w obu przypadkach funkcjonował prawidłowo, nie jest możliwe jednak jednoczesna praca na obu protokołach. Adresy Self-IP były dostępne z wykorzystanie SSH i IPv6. F5 pozwala na zdalne zarządzanie systemem poprzez IPv6 z wykorzystaniem SNMP v1/v2/v3.

Jedną z ciekawszych funkcji F5 Local Traffic Manager jest język skryptowy oparty na zdarzeniach o nazwie iRules. Pozwala on administratorowi zdecydować, jak obsługiwany jest ruch danej aplikacji. iRules może być stosowany także z protokołem IP w wersji 6.

Ostatnia wersja oprogramowania 11.1 dysponuje obsługą IPv6 w zaporze Web Application Firewall. Pozwala to na inspekcję protokołu HTTP dla aplikacji komunikujących się protokołem IPv6. Nie udało się nam jednak skonfigurować i uruchomić tej funkcjonalności.

F5 oferuje oprócz klasycznego appliance także rozwiązanie wirtualne o nazwie BIG-IP Local Traffic Manager Virtual Edition, który także może pracować jako load balancing gateway dla protokołu IPv6 ze wsparciem dla NAT64/DNS64.

Riverbed Stingray Traffic Manager: prosty w konfiguracji, brak niektórych funkcji IPv6

Firma Zeus Technology, która działa od 1995 r. opracowała swoje rozwiązanie ADC w 2004 roku, a obsługę IPv6 wprowadziła do niego w 2008 r. W ubiegłym roku firma Riverbed zakupiła Zeusa i teraz to ADC nazywa się Stingray Traffic Manager.

Stingray Traffic Manager w wersji 8 został udostępniony w październiku ubiegłego roku wraz z Stingray Application Firewall w wersji 4.1, który stanowi obecnie element dystrybucji Traffic Managera. Cena rozwiązania zaczyna się od 5500 a kończy na 63 000 USD za model 4000VH, który testowaliśmy.

Kontrolery ADC - wdrożenie IPv6 zaczyna się na brzegu sieci

Stingray Traffic Manager był bardzo prosty w konfiguracji jako wirtualna maszyna. Wszystkie zadania administracyjne można przeprowadzić przez komputer z przeglądarką internetową, połączony z administracyjnym adresem IP.

Stingray Traffic Manager był bardzo prosty w konfiguracji jako wirtualna maszyna. Nic nie trzeba było konfigurować w linii komend. Z CLI skorzystaliśmy tylko raz - żeby elegancko wyłączyć system. Wszystkie zadania administracyjne można przeprowadzić przez komputer z przeglądarką internetową połączony z administracyjnym adresem IP.

Za pomocą kilku kliknięć osiągnęliśmy następujące konfiguracje load balancingu: IPv4 do IPv4, IPv6 do IPv6, IPv6 do IPv4. Interfejs jest na tyle intuicyjny, że można pominąć wnikliwe czytanie instrukcji. Trywialnym okazało się na przykład skonfigurowanie serwerów i usług front- i back-end z protokołami IPv4 i IPv6 oraz SSL offload z obsługą IPv6. Gdziekolwiek można ustawić adres IPv4, tam również można podać adres IPv6.

Podczas testu okazało się, że jeśli skonfigurujemy adres domenowy (FQDN - fully qualified domain name), to najpierw wykonywany jest lookup DNS IPv4, a gdy on się nie powiedzie, to wykorzystywany jest adres IPv6 zwrócony przez DNS. Rozwiązanie Riverbed nie obsługuje stanowego NAT64, ale pracuje jako proxy dla połączeń IPv4 i IPv6. Nie jest obsługiwany także mechanizm przeźroczystości IP (IP Transparency) dla back-endu i klientów IPv6.

Stingray wyposażono w mechanizm skryptowy TrafficScripts, pozwalający na zaawansowane kształtowanie ruchu i zapobieganie rozproszonym atakom Denial of Service (DoS). Z powodzeniem wykorzystaliśmy ZeusBench - wbudowany system testowania ruchu IPv4/IPv6 i serwerów. Zaobserwowaliśmy przy tym, że informacje przesyłane pomiędzy zarządcami ruchu i klastrami odbywają się poprzez protokół IPv4, również mechanizm heartbeat (do wymiany informacji pomiędzy węzłami klastra) korzysta tylko z pakietów IPv4.

Stingray Application Firewall - Application Firewal Module (AFM) nie wspiera obecnie protokołu IPv6 podobnie jak GSLB Mutli-Site Manager (MSM). Kolejnym wadą rozwiązania jest brak obsługi dynamicznych protokołów routingu dla IPv6. Producent zapewnia jednak, że wsparcie dla nich jest właśnie opracowywane i pojawi się kolejnej wersji oprogramowania.

(Oprac. psz)

Każde z sześciu biorących udział w teście urządzeń pozwalało na podstawowy load balancing z SSL offloadem zarówno dla IPv4, jak i IPv6. Urządzenia różniły się zarządzaniem i routingiem IPv6 oraz funkcjami IPv6 przeznaczonymi dla operatorów i korporacji. Jednak w ostatecznej ocenie, każde urządzenie dobrze spełnia swą rolę w adaptacji korporacyjnego styku z internetem do protokołu IPv6.


TOP 200