Zegar IPv6 tyka nieubłaganie

Nie ma odwrotu przed wdrożeniem w centrum danych i sieci firmowej kolejnej wersji protokołu IP. Dlatego problemem lepiej zająć się wcześniej i nie odkładać na ostatnią chwilę, ponieważ nie jest to zadanie, które można szybko wykonać w ciągu kilku dni.

Wdrożeniem protokołu IPv6 warto zainteresować się już teraz. Sytuacja bardzo przypomina tę z przełomu wieków, kiedy branża IT musiała zmierzyć się z problemem roku 2000, aby zapewnić, że wszystkie urządzenia i aplikację będą poprawnie działać po 31 grudnia 1999 r. Dzisiaj różnica polega na tym, że nie ma konkretnej daty, do której IPv6 należy wdrożyć. Jednak im dłużej się zwleka, tym więcej traci się czasu, który można by przeznaczyć na spokojne opracowanie architektury IPv6, aby zrobić to dobrze. Jeśli nie zrobi się tego z odpowiednim wyprzedzeniem, można skończyć na pospiesznych działaniach, mających zapewnić operacyjność biznesową, ale w kiepsko zaprojektowanej sieci.

IPv6 to przyszłość

Znaczenie IPv6 napędza dodatkowo rosnąca popularność urządzeń mobilnych oraz różnych aplikacji, które wymagają dużej przestrzeni adresowej. Wielu użytkowników rozpoczyna przygodę z IPv6 od wdrożenia tego protokołu na brzegu sieci, ale niewielu dostrzega, jak jest on ważny również w centrach danych. IPv6 to nie tylko większa przestrzeń adresowa. W stosunku do IPv4 wprowadzono w nim wiele udoskonaleń, jak:

Zobacz również:

  • Docelowo mniejsze tablice routingu. Powinno to być ułatwieniem, ale w praktyce, przynajmniej na razie, routery muszą obsługiwać IPv6 równolegle z IPv4, więc przejściowo potrzebują jeszcze większych tablic, niż dla samego IPv4.
  • Uproszczony nagłówek IP: pewne ułatwienie dla konstruktorów sprzętu i programistów, w praktyce mało odczuwalne dla użytkowników końcowych.
  • Rozszerzanie protokołu poprzez dodawanie nagłówków. Ułatwienie dla aplikacji korzystających z protokołu, utrudnienie dla urządzeń sieciowych, szczególnie firewalli, które muszą przeglądać dłuższe fragmenty pakietów w celu analizy nagłówka wraz ze wszystkimi rozszerzeniami.
  • Autokonfiguracja i tworzenie sieci „ad-hoc”. Pomagają w opanowaniu zarządzania siecią.
  • Możliwość komunikacji P2P.
  • Wyeliminowanie złożonych warstw, np. wprowadzanych przez mechanizmy pośredniczące NAT.
  • Bezpieczeństwo. W IPv6 pod tym hasłem rozumie się wymóg, aby implementacja tego protokołu obsługiwała także szyfrowanie i uwierzytelnianie IPsec. Oczywiście od aplikacji zależy czy IPsec w ogóle będzie uruchomiony – na początku istnienia IPv6 z pewnością nie.
  • Łagodna migracja z IPv4. Pozostaje głównie w teorii, wdrażanie IPv6 wciąż przysparza wielu kłopotów technicznych związanych z równoległym działaniem sieci i usług zarówno IPv4, jak i IPv6.

Twardy orzech do zgryzienia

Firmy stoją przed ciężkim zadaniem. Nie wystarczą bowiem same chęci do wdrożenia IPv6. Konieczne jest zaplanowanie prac, zaprojektowanie architektury IPv6 oraz ocena zasobów centrum danych pod kątem zgodności z IPv6. Migracja do tego protokołu nie jest zadaniem, które można zrealizować w kilka dni.

Centrum przetwarzania danych łączy elementy sieci (routery i przełączniki powinny umożliwiać obsługę IPv6 w zakresie funkcjonalnym, jak dla IPv4), serwery (obsługa IPv6 przez systemy operacyjne), pamięci masowe, systemy bezpieczeństwa, aplikacje. IPv6 powinien być obsługiwany przez mechanizmy klastrowania, robienia kopii zapasowych i wszelkie inne pracujące w tle procesy. Jest to dużo bardziej złożony przypadek, niż komputery użytkowników końcowych. Konieczna jest weryfikacja, czy wszystkie elementy rozwiązania (nie tylko system operacyjny, ale też bazy danych) odnajdą się w nowej sytuacji. Przeprowadzenie takiej operacji wymaga sporządzenie spis tego, co działa w centrum danych. Dopiero na tej podstawie można określić, które elementy nie wymagają aktualizacji do IPv6, które należy poddać temu procesowi, a których można się już tylko pozbyć. Te ostatnie urządzenia można spróbować sprzedać zbędne urządzenia resellerowi, które znajdzie na nie nabywców. Dla sprzedającego jest to okazja do podreperowania budżetu, a dla nabywcy szansa na wymianę starych części, których dany producent już nie dostarcza.

Większość urządzeń sieciowych obsługuje jednak IPv6 od lat. Przykładowo, wiele routerów ma wbudowane sprzętowe przetwarzanie IPv6 i nie wymaga dodatkowych licencji na oprogramowanie IOS. Trzeba też pamiętać, że zagadnienia związane z protokołem IPv6 dotyczą trzeciej warstwy modelu OSI/ISO. Tradycyjne przełączniki sieciowe operują w warstwie drugiej i adresach MAC. Dlatego każde takie urządzenie poradzi sobie z komunikacją IPv6. Dopiero routing jest tym obszarem, w którym mamy do czynienia z adresami IP.

Wspomniany spis powinien zawierać również analizę dotyczącą długoterminowego planowania pod kątem potrzeb biznesowych, parametrów wydajnościowych oraz możliwości sieci i urządzeń. Audyt sieci przeprowadzony niezależnie od producentów może pomóc we wskazaniu bieżących wyzwań oraz określeniu rekomendacji na przyszłość. Przykładowo, audyt pomoże w określeniu horyzontu czasowego, w którym warto przeprowadzić proces aktualizacji sprzętu do IPv6.

Samo sprawdzenie, czy dany komponent obsługuje IPv6, to nie wszystko. W przypadku sprzętu trzeba pamiętać o dwóch podstawowych kwestiach:

  • licencjonowaniu – niektóre, starsze urządzenia sieciową mogą wymagać aktualizacji oprogramowania, aby obsługiwać komunikację IPv6, co może znacznie podnieść koszty migracji.
  • wydajność – część urządzeń przetwarzających pakiety IPv6 nie robi tego sprzętowo, a jedynie programowo, co obniża wydajność.

Aplikacje i bezpieczeństwo

Poważnym zadaniem jest przeniesienie na IPv6 aplikacji specyficznych dla firmy, tworzonych na zamówienie - baz danych, systemów wspomagania decyzji, zarządzania klientami. Wiele z nich jest napisanych z założeniem istnienia tylko IPv4, np. przez zakodowanie na stałe adresów IPv4 innych serwerów, czy kontrolę lub logowanie dostępu opartych na tych adresach. Przeniesienie i przetestowanie aplikacji to poważne zadanie stojące przed administratorami.

Polityka bezpieczeństwa wymaga nie tylko sprawdzenia czy firmowe firewalle i systemy wykrywania włamań obsługują IPv6, ale także napisania reguł bezpieczeństwa uwzględniających specyfikę IPv6 i wszelkie nowe protokoły z IPv6 powiązane. Do tego dochodzi – ponownie – kwestia obsługi tego protokołu przez firmowe systemy monitorowania i zarządzania siecią. Firmy mające skomplikowane środowiska IT korzystają z wielu różnych narzędzi do zarządzania siecią i systemami, które powstały na zamówienie bądź samodzielnie. Trzeba sporządzić spis tych narzędzi i sprawdzić, jak funkcjonują w sieci IPv6. Zapewne będą wymagały modyfikacji i dostosowania do tego protokołu. Trzeba pamiętać, że korzystając z mechanizmu Dual Stack, konieczne jest utrzymywanie zabezpieczeń dla obu wersji protokołu IP.

O zakupie urządzeń zapewniających ochronę IPv6, jak zapory sieciowe, koncentratory VPN czy systemy IDS/IPS, należy pomyśleć jeszcze przed rozpoczęciem wdrożenia. Bezpieczeństwo IPv6 należy zapewnić, nawet jeśli ten protokół nie jest używany w firmowej sieci. Przykładowo, niektóre systemy operacyjne mogą obsługiwać oba protokoły IP bez interwencji użytkownika i próbować komunikować się z Internetem przez IPv6 bez zmian w konfiguracji. Jeśli użytkownicy nie są tego świadomi i nie ma wdrożonych polityk bezpieczeństwa IPv6, powstaje zagrożenie atakiem.

Protokół IPSec (Internet Protocol Security) jest integralną częścią IPv6 i jego implementacja jest obowiązkowa. W przypadku IPv4 implementacja IPSec była opcjonalna, choć z reguły protokół ten jest obsługiwany. Jednak IPv6 nie rozwiązuje wszystkich problemów z bezpieczeństwem charakterystycznych dla IPv4, jak sniffing, ataki w warstwie aplikacji, man-in-the-middle, flooding, wirusy. Przejście na IPv6 może też stwarzać nowe zagrożenia, jak manipulacje nagłówkiem, L3/L4 spoofing w przypadku implementacji Dual Stack, bezstanową autokonfigurację (stateless autoconfiguration) czy atak zwielokratniany (rodzaj ataku DDoS).

Problemem protokołów IP jest przesyłanie komunikacji sygnałowej, np. przez protokoły routingu, tym samym medium, co właściwej komunikacji. Protokoły routingu IPv6 mogą wykorzystywać szyfrowanie i uwierzytelnianie, żeby zapewnić bezpieczeństwo informacji sygnałowych. Istotną zmianą jest integracja zabezpieczeń w samym protokole - w sieci IPv6 urządzenia muszą obowiązkowo obsługiwać IPSec. To pozwala na współpracę wielu różnych zabezpieczeń, a w konsekwencji na lepsze zabezpieczenie całego systemu.

W przyszłość sposób komunikacji w sieciach IPv6 może się zmienić. Nasili się komunikacja P2P (peer-to-peer). Mobilny IPv6 i tunelowanie mogą zmienić koncepcję styku sieci lokalnej z siecią publiczną, ponieważ zaufane urządzenia będą fizycznie znajdować się poza siecią lokalną. Konieczne będzie stosowanie lepszych narzędzi do szyfrowania komunikacji między urządzeniami końcowymi. Z czasem architektura IPv6 zostanie dostosowana do rzeczywistych sposobów komunikacji.

Stopniowe przejście

Uruchomienie sieci IPv6 w miejsce IPv4 nie jest sytuacją zero-jedynkową, ale stopniowym procesem. Często konieczne jest zachowanie zgodności wstecz i funkcjonowanie równolegle tych dwóch protokołów. Najpopularniejszym rozwiązaniem jest Dual Stack. Wszystkie urządzenia w centrum danych mają jednocześnie przydzielone dwa adresy: IPv4 i IPv6. To rozwiązanie może wydawać się nadmiernie skomplikowane, ale ma istotną zaletę – niezależnie od wersji protokołu IP używanej przez urządzenie końcowe będzie ono obsługiwane przez infrastrukturę sieciową. Niemal wszystkie współczesne systemy operacyjnej mają wbudowaną obsługę IPv4 oraz IPv6, więc w wielu przypadkach włączenie IPv6 jest prostą operacją. W praktyce większość infrastruktury internetowej pracuje obecnie w modelu Dual Stack. W sieciach korporacyjnych stosuje się kilka technologii (6in4, 6to4, Teredo), które umożliwiają komunikację między sieciami IPv6 i IPv4.

Używajmy proxy

Nawet jeśli w firmie jest świadomość, że trzeba zająć się tematem IPv6, bardzo często brakuje wiedzy, jak najlepiej do niego podejść. Brak wiedzy o tym protokole jest największą przeszkodą w jego wdrażaniu. Jest kilka sposobu zdobycia wiedzy i doświadczenia. Bardzo prostym i efektywnym rozwiązaniem jest wykorzystanie posiadanej infrastruktury proxy. Pierwszym krokiem jest przydzielenie serwerowi proxy adresu IPv6 i uruchomienie podwójnego stosu, żeby nie odciąć od sieci klientów IPv4. Drugim krokiem jest konfiguracja domyślnej trasy do routera IPv6. W ten sposób proxy będzie gotowe do pracy z protokołem IPv6. Teraz można użyć urządzenia końcowego używającego adresu IPv4 i połączyć się, np. ze stronąhttp://test-ipv6.com, która pokaże, pod jakim adresem IP jest widziane dane urządzenie.

Wykorzystanie proxy ma wiele zalet:

  • Nie ma konieczności wprowadzania od samego początku zmian w istniejącej infrastrukturze. Wszystkie urządzenia klienckiego mogą nadal korzystać z IPv4 i korzystać z proxy.
  • Można uzyskać wiedzę o tym, jak działają witryn internetowe z adresem IPv6.
  • Można uzyskać informację o stronach, mogących mieć problemy z obsługą IPv6.


TOP 200