IPv6: что за FUD (страх, неуверенность и сомнение)?

Введение

Знаете ли вы, что 31 января 2011 г. последние два больших блока пространства IP-адресов (называемые «классом A» или «/8») были выделены IANA (Управление по присвоению номеров в Интернете) региональному интернет-реестру в Азиатско-Тихоокеанский регион? По любым меркам в Интернете быстро заканчивается пространство IP-адресов. Тем не менее беспокойство и тревога продолжают расти среди администраторов и ИТ-специалистов. Как мы тут оказались? Должны ли мы бояться неизвестного или проблема IP-адресации действительно является раздутым шаром шумихи?

IPv4 (подробно определенный в RFC 791) был разработан в начале 1980-х годов. Он использует 32-битные адреса, обеспечивая почти 4,3 миллиарда адресов по всему диапазону. Однако некоторые из этих диапазонов адресов зарезервированы для специальных целей, включая частные сети, многоадресную рассылку и другие цели. Многие большие блоки IP-адресов были назначены образовательным учреждениям и государственным учреждениям (например, диапазон адресов 18.0.0.0/8 назначен Массачусетскому технологическому институту). Конечно, в то время это считалось более чем достаточным адресным пространством, учитывая довольно ограниченные возможности развертывания и внедрения IP-устройств.

Мы все знаем, что мир изменился за последние 30 лет, как и спрос на IP-адреса. IPv6 был разработан для удовлетворения постоянно растущего спроса на IP-адреса с почти непостижимым 128-битным адресным пространством. Имея примерно 3,4 x 10^38 доступных адресов, IPv6 надеется открыть новую эру, когда устройства, о которых мы редко задумываемся (холодильники, тостеры и т. д.), смогут взаимодействовать друг с другом через IP. (Правильно: ваша стиральная машина сможет отправить вам электронное письмо, когда белье станет чистым!) Какое интересное время для работы в IT, правда?

Синтаксис IP-адреса в IPv6 выглядит совсем иначе, чем в IPv4; пример может выглядеть так: 2001:0db8:85a3:0000:0000:8a2e:0370:7334. Адреса IPv6 разделены на две части; есть 64-битный сетевой префикс и 64-битный идентификатор интерфейса. Существует три типа адресов IPv6: индивидуальные адреса (идентифицирующие каждый сетевой интерфейс), произвольные адреса (идентифицирующие группу интерфейсов) и многоадресные адреса (используемые для доставки одного пакета многим интерфейсам). Существуют также зарезервированные IPv6-адреса для определенных целей, такие как петлевой адрес, локальные адреса канала (только для использования в локальной сети) и многоадресные адреса запрошенных узлов (используемые для обнаружения соседних узлов через протокол обнаружения соседей).

IPv6 также реализует новые функции, которые были «запечены» на этапе разработки протокола, по сравнению с попытками добавить их позже в IPv4. Он предоставляет гораздо более простой метод назначения адресов клиентским устройствам. IP-безопасность (IP Sec) теперь интегрирована в IPv6 и является обязательной в стандартных спецификациях (в RFC 2401 есть отличное объяснение этого, если вы хотите погрузиться глубже). Развертывание IPv6 может в конечном итоге привести к удалению трансляции сетевых адресов; из-за огромного количества доступных адресов IPv6 ожидайте, что отрасль будет все больше и больше сосредотачиваться на подходе к безопасности на основе хоста (см. Форум Иерихона, чтобы узнать об этой концепции).

Хотя ИТ-специалисты пока не спешат рассматривать внедрение IPv6, многие сетевые команды уже подготовили сетевую инфраструктуру в организациях по всему миру. На самом деле, сетевые фанаты часто стремятся обсудить потенциальный переход на IPv6 в корпоративной сети и/или работу в так называемом режиме «двойного стека», когда устройства могут общаться на IPv6 и IPv4. Итак, что сдерживает усыновление? Обратная совместимость и потребности бизнеса. В 2005 году министерство обороны распорядилось, чтобы производители сетевого оборудования поддерживали IPv6 для устройств, закупаемых министерством обороны. Большинство относительно современных развертываний маршрутизаторов, коммутаторов и другого сетевого оборудования на предприятии, вероятно, поддерживают IPv6; координация конфигурации и развертывания между командами — это то, что необходимо для эффективной работы. Развертывание нового IP-протокола в корпоративной сети — это то, что не предпринималось во многих организациях и требует совместной работы и прозрачности со стороны различных задействованных групп.

Прямой доступ

Итак, что такое «убийственное приложение» для IPv6? Ранние ИТ-администраторы голосуют ногами и развертывают Direct Access. Прямой доступ — это новая технология, доступная в Windows 7. Она доступна только в Windows 7 Корпоративная и Максимальная ( Примечание. Я настоятельно рекомендую вам использовать Windows 7 Корпоративная для вашей корпоративной среды). Прямой доступ обеспечивает удобное удаленное подключение для пользователей. Устанавливая туннели IPv6 обратно в корпоративную сеть, пользователь может одинаково взаимодействовать с корпоративными ресурсами независимо от того, находится ли он на работе, в гостинице, кафе или дома. Прямой доступ пытается подключиться через туннель IPv6, установленный к системе Windows Server 2008 R2, которая «проксирует» соединение обратно в корпоративную сеть. Если IPv6 (6to4) заблокирован, используется Teredo (IPv6-внутри-IPv4). Если Teredo заблокирован, используется протокол IP-HTTPS. Вы обнаружите, что прямой доступ является обязательной функцией для пользователей, которые с ней сталкивались; как только он включен, его отключение, вероятно, приведет к восстанию пользователей. Аспектам управления Direct Access также трудно сопротивляться с точки зрения предприятия. Возможность исправлять, извлекать данные журналов или отправлять приложения на устройство, независимо от того, где оно физически находится, обеспечивает контроль и понимание того, что ИТ-отдел искал в течение многих лет.

Хотя Direct Access — феноменальная функция, интегрированная в Windows 7, она не требует полного развертывания IPv6 в корпоративной среде. С помощью Microsoft Forefront UAG (Unified Access Gateway) ресурсы с адресом IPv4 (возможно, система Windows Server 2003 или другая операционная система, изначально не поддерживающая IPv6) могут быть опубликованы через прямой доступ. Это позволяет ИТ-организациям немедленно развернуть Direct Access на своих клиентах Windows 7, постепенно переводя свои серверные ресурсы на более современную операционную систему.

При развертывании Direct Access в ИТ-организации необходимо учитывать ряд уникальных проблем. В зависимости от подключения пользователя и задействованного оборудования сетевой маршрутизации могут возникнуть уникальные проблемы устранения неполадок в сети, которые необходимо решить. Прямой доступ также интегрируется в среду инфраструктуры открытых ключей (PKI), поэтому разумно развернуть и привести ее в рабочее состояние, прежде чем приступать к реализации прямого доступа. Также рекомендуется исправная Active Directory и правильно настроенная установка Forefront Unified Access Gateway, привязанная к Active Directory.

Резюме

Планирование и предусмотрительность внедрения IPv6 в вашей среде — разумный первый шаг к продвижению вперед с прямым доступом или любыми другими технологиями, связанными с IPv6. Хотя вы, возможно, не будете переадресовывать свои серверы с IPv6 в ближайшем будущем, IPv6 уже здесь, он интегрирован в современные операционные системы и сетевое оборудование. Изучение IPv6 сейчас, изучение его возможностей и интеграция его в вашу дорожную карту ИТ будет иметь важное значение для поддержки не только ваших существующих устройств, но и стремительно растущего числа мобильных устройств. IPv6 — относительно новая технология для большинства ИТ-специалистов, и ей предстоит пройти обучение. IPv6 имеет существенно другую структуру, чем IPv4. Некоторые приложения уже поддерживают IPv6, другие находятся в процессе интеграции. Лучший совет — нырнуть с закатанными рукавами, настроить развертывание (правильно сегментированное и с воздушным зазором) в тестовой среде и запачкать руки! В следующей установке этой статьи я подробно опишу, как развернуть и внедрить Direct Access, чтобы дать вам несколько идей для опробования этой новой созданной лаборатории с поддержкой IPv6.