IPv6: възможни последствия и сценарии за корпоративните мрежи в краткосрочен план (до 2015 г.)
|Целта ни е да преразкажем накратко препоръки от Cisco Systems за включване на IPv6 адресацията в дизайна, планирането и управлението на мрежи в краткосрочен план (3 до 5 години). Препоръките са насочени към системните инженери в корпоративния сектор. Препоръките разглеждат секторите от мрежата, които следва да включат IPv6, и причините за включването им.
Защо изнемогва IPv4? С бързото разрастване на Интернет, крайният брой IPv4 адреси е почти изчерпан. Последната група IPv4 адреси ще бъде насочена към някой ISP през 2011 г. или 2012 г. Основният удар в следствие изчерпването на IPv4 адресите през следващите няколко години ще падне върху играчите в Интернет пространството (уеб сайтове, e-commerce, email). Макар много организации все още да имат достатъчно публични и частни IP адреси в наличност, продължителността на имплементацията на IPv6 изисква администраторите и ръководителите да премислят стратегиите за имплементация на IPv6 предварително.
Очаква се, че до края на 2011 г. IANA (Internet Assigned Numbers Authority) няма да има свободни IP адреси за дистрибуция към регионалните интернет регистри (Regional Internet Registries) в Африка, Югоизточна Азия, Северна Америка, Латинска Америка, Европа и Близкия Изток. В последствие регионалните регистри ще изчерпят своите налични свободни адреси. Интернет няма да спре да работи след като бъдат изчерпани наличните адреси, но нови адреси ще бъдат налични за разпределение едва след освобождаване на неизползвани адреси.
Последиците за Интернет: В резултат от изчерпването на адреси IPv4 ще се свие и разрастването на Интернет. Основните последици ще бъдат за IS доставчиците. Всеки ISP, който ще се стреми към растеж чрез увеличаване на клиентите си, ще трябва да намери начин да добавя нови Интернет потребители към мрежата си, без да разчита на IPv4 адресацията. IPv6 е разработен с цел да функционира въз основа на съществуващите Layer 2 технологии и да има значително по-голям адресен капацитет от IPv4. Важно е да се знае, че не съществува друг алтернативен план за развитие на мрежата, освен IPv6. Единственият въпрос, които стои пред нас, е кога и как да осъществим прехода от IPv4 към IPv6.
IPv6 не е директно съвместим с IPv4. Разработени са различни технологии, които имат за цел да интегрират IPv6 с IPv4. На кратко стратегиите за интеграция и съвместно съжителство на IPv4 и IPv6 биват:
- Dual stack: всеки Интернет потребител получава IPv4 и IPv6 адрес и избира кой от двата да използва за рутиране
- Shared IPv4 address: използва NAT
- IPv6-only: ISP предоставя единствено IPv6 адреси към крайните клиенти, в комбинация с Address Family Translation (AFT) за комуникация между IPv4 и IPv6
Очаква се, че Интернет ще премине изцяло към IPv6 в някакъв период в бъдещето, но не по-рано от 5 години (2015). Всеки ISP ще избере една или повече от изброените три стратегии за интеграция към IPv6. Стратегията за споделени IPv4 адреси (Shared IPv4-only) носи риск за организациите от неработещи или слабо работещи приложения, конкретно приложения тип Ajax. Съществуващите варианти за развитие на мрежата позволяват класифициране на Интернет потребителите в следващите 3 до 5 години в следните категории:
- Public IPv4-only
- Shared IPv4-only
- Public IPv4 and IPv6
- Shared IPv4 and IPv6
- IPv6-only
Последиците за корпоративната мрежа: Функциите на корпоративната мрежа могат да бъдат разделени на три сегмента:
- Интернет присъствие: всички услуги, които организацията предлага на Интернет потребителите
- Интернет достъп до ресурсите на организацията от служителите на организацията
- Интранет достъп до ресурсите на организацията от служителите на организацията (вкл. data center)
Поради намаляващия брой на IPv4 адреси се очаква цената им да се увеличи, както и потенциалните обеми на трансфери на IPv4 адреси между организациите. Последиците от един евентуален пазар на адреси за администраторите са, че е възможно локалното хостване (in-house hosting) на услуги да стане нерентабилно за организациите. Интернет общността съзнава, че недостигът ще породи агресивен пазар за трансфери на адреси. Обсъждат се възможности за създаване на система за контролиран ограничен трансфер между организациите.
Корпоративен IPv4 Интернет: Интернетът, който познаваме днес, няма да спре да работи след като се изчерпят IP адресите. Организациите следва да потърсят отговор на няколко въпроса при разработването на IPv6 базирани услуги:
- Налични ли са регулаторни рамки или стимули, които поощряват интеграцията на IPv6 за клиентите или за организацията?
- Съществуват ли клиенти или партньори, които няма да имат достъп до IPv6?
- Употребата на споделен NAT ще окаже ли критично въздействие върху конкретни приложения?
- Какви са производствените ползи от включването на IPv6 или от запазването на IPv4?
- До каква степен уникалният IP адрес е важен за дадена услуга?
Изграждане на корпоративно IPv6 Интернет присъствие: корпоративното интернет присъствие обикновено се състои от три основни услуги: имейл, уеб сървъри и DNS. Вграждането на IPv6 в тези услуги ще позволи на организациите да участват както в IPv4 Интернет, така и в IPv6 Интернет. Теоретичните стъпки за вграждане на IPv6 в тъканта на организацията би следвало да бъдат:
- Набавяне на IPv6 адреси за рутиране.
- Преразглеждане на нуждите на приложенията, в това число: добавяне на IPv6 адреси към уеб сървъри, добавяне на IPv6 към имейл услуги.
- Добавяне на IPv6 адресация към управленската функционалност на средата, в това число: добавяне на IPv6 адреси към DNS.
Изграждане на корпоративен IPv6 Интернет достъп: Очаква се единствено най-големите и бързо развиващи се корпорации да бъдат критично засегнати от недостиг на IPv4 адреси през следващите три до пет години. Изграждането на IPv6 Интернет достъп ще позволи на вътрешните потребители на организацията да достъпват външния Интернет. Активирането на Dual Stack ще бъде най-вероятният сценарий за корпоративния сектор през следващите няколко години. Вариантът, в който малкият и среден бизнес (SMB) не може да набави нови IPv4 адреси, купува IPv6 адреси и ползва услугите на ISP за превод между IPv6 и IPv4, е по-малко вероятен.
Корпоративен Интранет: IPv6 касае единствено Интернет и не влияе косвено върху интранет (вътрешните мрежи) на организациите. Вътрешните приложения ще продължат да функционират върху IPv4, независимо от наличието или липсата на IPv4 адреси.
Въпреки че липсата на IPv4 адреси няма да засегне пряко вътрешните мрежи, съществуват други съображения за имплементиране на IPv6 в интранет. Всички скорошни операционни системи (Vista, Mac OS/X, Linux) се стремят да използват IPv6, вместо IPv4. Това води до енкапсулиране на IPv6 в IPv4 пакети (например tunnel), които се превръщат в невидим трафик за IPS устройствата, в последствие и за самите специалисти по сигурността. IPv6 свързаността дава възможност за премахване на NAT, опростяване на дизайна на мрежата и дизайна на приложенията, и заместване на съмнителната сигурност на NAT с работещ firewall за IPv6. В допълнение Active Directory не поддържа NAT. При необходимост от използване на AD между различни части на организацията IPv6 предоставя решение без NAT.
Изграждане на корпоративен IPv6 Интранет: Процесът на добавяне на IPv6 капацитет към съществуваща IPv4 интранет мрежа е добре познат и документиран. Повечето устройства, произведени след 2007 г., поддържат IPv6. С изключение на евентуални ъпгрейди на паметта и обучение на мрежовите специалисти, инвестициите за изграждане на IPv6 интранет не би следвало да бъдат значителни. В допълнение следва да бъдат идентифицирани приложенията, които ще изискват миграция към IPv6.
Колко IPv6 адреси трябва да бъдат предвидени за организацията? IPv4 използва променлива subnet маска, базираща се на очаквания максимален брой хостове за един subnet. За разлика от IPv4, IPv6 използва статична /64 subnet маска (благодарение на еквивалента на ARP – NDP). Най-важните 64 бита отиват за рутиране, докато най-маловажните 64 бита остават за хост компонента. В резултат ISP ще предоставя IPv6 адреси въз основа на очаквания брой мрежи в организацията. Обикновено ISP предоставят /48 subnet маска, което позволява на организациите да използват до 16 бита за изброяване на всички мрежи, или над 65,000 subnet-а. Бройката ще бъде достатъчна за повечето организации.
В резюме: Днес пуснатата в експлоатация IPv6 инфраструктура е съвсем малко. Вероятно IPv4 ще продължи да съществува и в далечното бъдеще, подобно на DECnet (протокол, разработен през 1975 г., който все още се използва в определени случай). Вероятно IPv4 няма да изчезне преди XXII век.
Днес ISP се интересуват основно от последиците от изчерпването на IPv4 адресите. От своя страна, организациите следва да оценят готовността си за имплементиране на IPv6. Освен евентуалните регулации, които ще наложат употребата на IPv6, съществуват множество аргументи за имплементация на IPv6: сигурност, поддръжка на нови приложения, пенсиониране на NAT, улеснена мрежова имплементация, предоставяне на IPv6 услуги на бъдещите Интернет потребители, готовност за възможностите на бъдещето. Организациите би следвало да са готови с вътрешно становище относно IPv6 една или две години преди IANA да е изчерпила свободните IPv4 адреси, тоест към края на 2010 г.
Изграждането и поддържането на Интернет присъствие, отговарящо на изискванията на съвременните потребители, вероятно ще бъде основна причина (приоритет) организациите да преминат към IPv6. Друг основен приоритет за организациите би следвало да бъде осигуряването на достъп за служителите на организацията до IPv6-базирано Интернет съдържание и услуги. За да бъде предоставен IPv6 достъп до Интернет, обикновено е достатъчно да бъдат налични dual-stack проксита за имейл достъп и уеб достъп. Прокситата ще играят ролята на gateway между IPv4 интранет потребителя и IPv6 интернет услугата или IPv6 интернет съдържанието. Препоръката на Cisco и IETF (Internet Engineering Task Force) към организациите е да имплементират Dual-stack стратегия, чрез която всички компютри и мрежови устройства ще функционират върху IPv4 и IPv6.
Източник:
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6553/whitepaper_c11-586154.html
За повече информация по темата:
Deploying IPv6 in Campus Networks, Deploying IPv6 in Branch Networks, http://www.cisco.com/en/US/products/ps6553/products_data_sheets_list.html
Planning and Accomplishing the IPv6 Integration: Lessons Learned from a Global Construction and Project Management Company, http://www.cisco.com/web/partners/pr67/pr41/docs/C11-439724-00_PlanningandAccomplishingtheIPv6Integration_v2.pdf
Global IPv6 Strategies: From Business Analysis to Operational Planning, by Patrick Grossetête, Ciprian P. Popoviciu, Fred Wettling. Published by Cisco Press.
Deploying IPv6 Networks, by Ciprian Popoviciu, Eric Levy-Abegnoli, Patrick Grossetête. Published by Cisco Press.
IPv6 Security, by Scott Hogg, Eric Vyncke. Published by Cisco Press.
Cisco референции:
Cisco IPv6 main page: http://www.cisco.com/ipv6
Deploying IPv6 in campus networks: http://www.cisco.com/en/US/docs/solutions/Enterprise/Campus/CampIPv6.pdf
Deploying IPv6 in branch networks: http://www.cisco.com/en/US/docs/solutions/Enterprise/Branch/BrchIPv6.pdf
Podcast: IPv6 strategies: http://www.cisco.com/cdc_content_elements/podcast/3_26_09_94754_RobSloanPodcast_Chip.mp3
София, 26.08.2010 г.