Secure & Successful IPv6 Deployment Using OptiView XG

Fallstudie: Ein professionelles Dienstleistungsunternehmen gewährleistet sichere und erfolgreiche Entwicklungen für IPv6 mit dem OptiView® XG Network Analysis Tablet

Auf einen Blick:

Kunde:

Nephos6


Sparte:

Professioneller Service


Ort:

Raleigh, NC


Nephos6 Infograph

Zur Ansicht klicken


Die Herausforderung:

Errichten Sie schnell ein Netzwerk, das fähig ist, mehrere Schlüssel-IPv6-Technologien zur Unterstützung von Kundenausbildung und Abschlussprogrammen, zu demonstrieren.


Das Ergebnis:

Das Optiview XG Network Analysis Tablet verkürzt die Implementierungszeit durch schnelle und genaue Geräteentdeckung, Identifizierung von Tunnelprotokollen und bedienungsfreundliche Tools für die Fehlersuche von Integrationsproblemen.


Das Produkt:

OptiView® XG Network Analysis Tablet


Überblick

Die IPv6-Annahme beschleunigt sich global. Integratoren, lange Zeit vom ausreichenden Support in der IT-Infrastuktur für IPv6 beraubt, verlangen Funktionsparität zur Unterstützung zukünftiger Netzwerkerweiterungen. Zusätzlich zu Routern, Betriebssysteme und anderer „Standard“-IT-Infrastuktur, benötigen Netzwerkingenieure und Techniker IPv6-fähige Überwachungs- und Analysewerkzeuge. Das OptiView XG Network Analysis Tablet von Fluke Network, bereits ein Universalwerkzeug in vielen Organisationen, steht bereit. Mit Fähigkeiten zur IPv6-Netzwerkerforschung, der Tunnelprotokoll-Identifizierung, der Router-Advertisement-Analyse und der IPv6-Diensteerkennung ist OptiView XG eine unschätzbare Hilfe bei der IPv6-Implementierung, bei der Fehlersuche von Integrationsproblemen und hilft bei der Identifizierung einer unbeabsichtigten IPv6-Verwendung.

Die Zusammenfassung

In Februar 2011 verteilte die Internet Assigned Numbers Authority (IANA) die letzten fünf/8 (historisch als „Kategorie A“ verwiesenen) IPv4-Adressblöcke unter den Regional Internet Registries (RIR). Dieser Vorgang signalisierte das Ende für das IPv4-basierte Internet und kündigte den Anfang des globalen Überganges zum zukünftigen Internet-Protokoll, IPv6, an. Standardisiert im 1995 verbessert IPv6 das Internet-Protokoll und spricht das Problem der Erschöpfung der IP-Ressourcen an, aber gewann nie eine Stellung aufgrund einer Vielzahl ökonomischer und technologischer Gründe im Markt. Während einige Technologielager glauben, dass die Network Address Translation (NAT) ausreichend wäre, bilden Skalierbarkeitsanforderungen des Internets und die ständig steigende Komplexität mehrerer NAT-Umfelder ein unwiderstehliches Argument für eine jetzige Annahme von IPv6.

Trotz eines Mangels an weitverbreitetem Interesse an IPv6 machten zahlreiche Organisationen, einschließlich weltweiter Regierungen, großen IT-Produktunternehmen, wichtigen Dienstleistern und einigen Erstanwender den Weg für die Annahme von IPv6 frei. Die Internet Engineering Task Force (IETF) entwickelte Mechanismen, um die Koexistenz von IPv4 und von IPv6 zu unterstützen und die finanzielle Belastung der Migration abzuschwächen. IT-Anbieter integrierten die Unterstützung für IPv6 in vielen Hauptprodukten. Aus dieser Kollektivbemühung der Erstanwender sind Methoden und beste Vorgehensweisen für die sichere und leistungsfähige Entwicklung von IPv6 gekommen.

Nephos6, Inc. ist ein professionelles Dienstleistungsunternehmen für IPv6 und die Cloud-Datenverarbeitung, das in Raleigh, North Carolina, beheimatet ist. Die Firma wurde durch einige Branchenexperten mit bedeutender Implementierungserfahrung in IPv6 (und in Cloud-Computing) gegründet. Die Firma verwendet eine fünfstufige Methodologie zur Verwaltung der IPv6-Integrationsbemühung für Unternehmen und Diensterbringer. Die ersten vier Stufen beinhalten die Kultivierung eines allgemeinen Verständnisses der aktuellen Umgebung, das Ausrichten des Geschäftes und der technischen Treiber, Zugriff auf die IT-Infrastuktur und der Unterstützungssysteme für die IPv6-Unterstützungsfähigkeit und die Entwickelung der Architektur und der Pläne für die Implementierung. Die fünfte Stufe, die Implementierung, sieht das Rollout von IPv6 auf eine kontrollierte aber progressive Art vor.

Das ultimative gewünschte Umfeld für ein IPv6-Einführungsprogramm ist die Aktivierung eines Dual-Stacks (IPv4 und IPv6 laufen gleichzeitig auf dem gleichen Gerät) auf allen Geräten der Organisation. Aber der Weg zur Erzielung einer Dual-Stack-Installation ist selten für alle Organisationen derselbe. Trotz der verschiedenen Wege, um zum Endzustand zu kommen, benutzen alle gut gehandhabten Einführungen die folgenden Schritte:

  1. Validierung und Test von Designs — Konfiguration und Architektur werden zuerst in isolierten Labors ausgewertet und dann systematisch in das Produktionsfeld eingeführt.
  2. Verwaltung und Fehlersuche der Implementierung — nichts arbeitet beim ersten Mal absolut tadellos. Ausrüstungsprobleme, menschliche Fehler oder Murphys Gesetz sorgen für Behinderungen während der Implementierung und erfordern eine systematische Fehlersuche zur Behebung.
  3. Überwachung auf nicht autorisierte/fehlerhafte IPv6-Geräte — IPv6 wird meistens in modernen IT-Geräten und von Betriebssystemen unterstützt, in einigen Fällen sogar per Standardeinstellung. Unbeabsichtigte Einführung ist ein Sicherungsproblem und muß überwacht und gehandhabt werden.

Wirkungsvolle Werkzeuge sind ein kritisches Element des Implementierungsprozesses und unterstützen alle diese Schlüsselaktivitäten. Nephos6 verwendet Paketerfassungssoftware und Netzplantechnikwerkzeuge, aber wollte sehen, ob der Markt ein umfassendes, portierbares und dezentral zugängliches Werkzeug anbot. Yurie Reiche, leitender Geschäftsführer von Nephos6, erinnerte sich „Es war interessant. Ich arbeitete in 2000 mit NETSCOUT zusammen, als ich anfing, mit IPv6 zu arbeiten, anschließend noch einmal in 2007 oder 2008, als ihr OptiView-Team auf die JITC [Joint Interoperability Test Command] IPv6-Zertifikation hinarbeitete. Ich schätze, dass es Kismet war, als unseren CEO, Ciprian (Chip) Popoviciu, kontaktierten, um zu sehen, ob wir interessiert sein würden, das XG zu untersuchen.“

Nach der Prüfung der Fähigkeiten von OptiView XG auf dem Papier entwickelte John Spence, Vizepräsident von IP Services bei Nephos6, eine Reihe von Tests, um Fähigkeiten die OptiView XG zu prüfen. Herr Spence erinnert sich, „Chip, Yurie und ich verbrachten einige Zeit mit dem Nachdenken über die Allgemeinheit der Implementierungen, mit denen wir befasst waren. Keine Zwei sind gleich, aber im Allgemeinen sehen Sie die Prüfung im Labor, ein kontrolliertes Rollout (oder Prototyp oder eine Pilotimplementierung oder alle beide) in der Produktionsumgebung mittels einer oder mehrerer Übergangstechnologien, mit anschließender Prüfung aller möglichen Probleme und deren Behebung. Dieser Prozess wird kontinuierlich weiter entwickelt, bis die Organisation den Vorgang mit der optimalen Zielarchitektur abschließt, die betrieblich solide ist und bei dem der Dual-Stack aktiviert ist.“

OptiView XG enthält eine robuste Entdeckungsfähigkeit, die Fähigkeit, IPv6-Tunneldatenverkehr zu erfassen und den Typ des verwendeten Übergangsmechanismus zu identifizieren. Es kann auch einige der IPv6-Dienstarten identifizieren, die ein Knotenpunkt bietet und eine Analyse der Router-Advertisements durchführen. Zusammen bilden diese Funktionen ein wertvolles Werkzeug, um die allgemeinen Anforderungen von Nephos6 zu unterstützen.


Zusammenfassung der Netzwerk- und Geräte-Entdeckungsfunktionen

Abbildung 1 ist ein sehr vereinfachtes Diagramm einer typischen Unternehmensumgebung. Sie besteht aus drei unvereinbaren Campusumgebungen, einem Rechenzentrum und aus einem zentralisierten Zugriff auf das Internet. Herr Spence entwickelte eine Laborumgebung, die diese Architektur widerspiegelte und Berührungspunkte für den Anschluss des OptiView XGs identifizierte. IPv6-Implementierungen beginnen mit einem Prototyp, der in einem Labor durchgeführt wird. Der erste Schritt bestand in der Ermittlung der Entdeckungsfähigkeit.

Abbildung 1: Beispiel einer Unternehmensarchitektur

Das Labor begann mit einer Nur-IPv4-Umgebung und dann wurde IPv6 auf einigen Geräten aktiviert. OptiView XG erlaubt beide On-Subnet-Geräteentdeckungen und durch Konfiguration einiger Parameter, ebenfalls die Entdeckung der Off-Subnet-Geräte. Bei IPv6-Implementierungen wünschen die meisten Unternehmen (und Diensterbringer) wahrscheinlich einen gemanagten IPv6-Adressbereich - was den Einsatz von DHCPv6 bedeutet. Die vom Entdeckungsprozess bereitgestellten Informationen überprüfen, ob Knotenpunkte richtig erfasste IPv6-Adressenkonfigurationsinformationen verwenden. Der Entdeckungsprozess kategorisiert auch entdeckte Knotenpunkte als Router, Server, Switch oder Endknotenpunkt. Abbildung 2 ist ein Beispiel eines Bildschirmausdrucks eines Teilnetzes im Labor der Entdeckungs-Benutzerschnittstelle des OptiView XGs.

Abbildung 2: Netzwerk- und Geräteentdeckungs-Schnittstelle des OptiView XGs

Das markierte Gerät ist ein Server in diesem speziellen Segment des LANs. Der IPv6-Adressbereich ist in hohem Grade diversifiziert. Zusätzlich zur Verfügbarkeit einiger Adressarten (Unicast, Multicast, Anycast - wie IPv4) sind zusätzliche Adressbereiche verfügbar (wie Link Local - hier identifizierbar als fe80::82c:6ff:fe55:1c2b). Und, um die Sache etwas interessanter zu machen, können IPv6-Adressen durch einige Prozesse abgeleitet werden.

Hier wird der vorgelagerte Router zur Verwendung der Adressen-Autokonfiguration konfiguriert und zur Sendung von Router-Advertisements zum Knotenpunkt, der seine IPv6-Adresse teilweise auf den in RA enthaltenen Informationen richtig konfiguriert. Die Präferenz ist in diesem Fall eine Adresse, die mittels des Extended Unique Identifier (EUI-64)-Prozesses konfiguriert wird. Dies wird mittels der letzten 64 Bits verifiziert, bei denen die Hexenzeichen FF FE in die Mitte der MAC-Adresse platziert werden. Kombiniert mit dem Präfix von 2001:db8:ff:70::/64 erstellt die Schnittstelle 2001:db8:ff:70:82c:6ff:fe55:1c 2b als seine IPv6-Adresse

Das Nephos6-Team erkannte schnell einige Vorteile der Entdeckungsfähigkeit von OptiViews:

  1. Validierung der On-Link-Geräte-IPv6-Konfiguration — als Erinnerung - eine der allgemeinen Anforderungen aller IPv6-Integrationensverfahren ist die Anforderung der Prüfung und Validierung der Implementation. Die durch das OptiView XG gelieferten Informationen sind offensichtlich solide Informationen, um die IPv6-Anschlussfähigkeit, die IPv6-Anschriftinformationen und, mit weiterer Analyse, wie sich welche spezifischen Knotenpunkte im Hinblick auf offene Ports und Dienstangebote verhalten.
  2. Identifikation unautorisierter oder unbeabsichtigter IPv6-Implementierung — sicherlich wird der Erkennungsprozess zu jeder beliebigen Zeit ausgeführt und die auf dem Link vorhandenen IPv6-Geräte werden vom OptiView XG gefunden und gemeldet.
  3. Fernzugriff bedeutet dezentrale Expertise — IPv6-Skill-Sets benötigen einige Zeit zum Liefern von Ergebnissen. Es ist nicht selten für Kundendienstmitarbeiter, das viel der schweren Arbeiten beim IPv6-Integrationprozess leistet, als Letztes auf der IPv6-Ausbildungsliste zu erscheinen. Die Fernzugrifffähigkeit von OptiView XG bedeutet, dass ausgebuffte IPv6-Ingenieure nicht nur mit Kundendienstmitarbeitern zusammenarbeiten können, um die Prüfung und die Verifizierungsvorgänge durchzuführen, sondern auch um den IPv6-Wissensübertragungsprozess fortzusetzen.
Integration von IPv6

Sobald Basiskonfigurationen ausgeführt wurden und die Umgebung wie vorausgesagt funktioniert, besteht der nächste Schritt in der Erweiterung der Implementierung anderer Bereiche des Netzwerkes. In dem in Abbildung 3 gezeigten Laborbeispiel wird IPv6 in einem anderen Abschnitt des „Campus“ implementiert und die zwei Inseln werden mit einem manuell konfigurierten Tunnel verbunden, was allgemein als 6in4-Tunnel bekannt ist. An jedem Tunnelendpunkt befinden sich die Router in einer Dual-Stack-Konfiguration - die sowohl IPv4 als auch IPv6 gleichzeitig unterstützen. Die IPv6-in-IPv4-Tunnel werden manuell auf jedem Router konfiguriert.

Abbildung 3: Manuell konfigurierter (6in4-)Tunnel

John Spence bemerkt, „Manuelle Tunnel sind verhältnismäßig einfach zu erstellen (können aber nicht gut skaliert werden, wenn die Implementierungen wachsen), was gut aber auch gleichzeitig schlecht ist. Es ist ein leichter Vorgang, IPv6-Inseln über eine vorhandene Infrastruktur der Organisation zu verbinden. Die Herausforderung besteht darin, dass bei zu vielen implementierten Netzwerkelementen (Router, IDS, Firewalls) die durch einen Tunnel gesendeten Pakete ziemlich genau wie irgendein anderer IPv4-Datenverkehr aussieht. Zwei Parteien können fast mühelos einen IPv6-Tunnel zwischen ihren Computern herstellen. Von einem allgemeinen Standpunkt aus gesehen ist dies nicht das Ende der Welt, aber in einer gemanagten Umgebung, und besonders von einer Sicherheitsperspektive, muss der IPv6-Implementierungsprozess gesteuert und gemanagt werden.“


OptiView XG ist ein sehr effektives IPv6-Identifizierungswerkzeug bei Tunnelvorgängen. Abbildung 4 zeigt einen Bildschirmausdruck einer IPv6-Tunneling-Protokoll-Benutzerschnittstelle, die sich auf der Datenverkehrsanalyse-Registerkarte befindet. In diesem bestimmten Beispiel war Herr Spence in der Lage, die Entdeckungsschnittstelle von OptiView XG auf den SPAN-(Monitor)-Port zu platzieren, über die der getunnelte IPv6-Datenverkehr erfolgte. Durch Überwachung des Datenverkehrs auf diesem Kanal identifiziert OptiView XG automatisch den Tunneltyp bei 6in4. Die Erfassung identifiziert ebenfalls die Tunnelendpunkte, was extrem wichtig ist.

Abbildung 4: IPv6-Tunneling-Protokoll-Bildschirmausdruck

„Entdecken und Beseitigen von Problemen“-Szenario. „Mit den auf diesem Bildschirm bereitgestellten Informationen kann ich diesen Datenverkehr als eine meiner beabsichtigten Implementierungen identifizieren. Wenn ich jene Endpunkte nicht erkenne, ist es einfach, diese durch die DDI (DHCP DNS IP-Adressenmanagement)-Infrastruktur ausfindig zu machen und die IT zu verwenden, um diese Implementierungen unter Kontrolle zu bringen“ kommentierte Herr Spence.

Die IPv6-Entdeckungsfähigkeit von OptiView XG ist nicht auf 6in4-Tunnel begrenzt. Diese unterstützt die Identifizierung der weitverbreiteten, heute in der Branche wirksam eingesetzten Tunnel (siehe die folgende Tabelle). Dies ist außergewöhnlich wichtig, da in den meisten modernen Betriebssystemen IPv6 standardmäßig aktiviert ist und die Stapel aggressiv über hergestellte Übergangsmechanismen die IPv6-Anschlussfähigkeit erreichen. In Windows® 7 z. B. ist IPv6 standardmäßig aktiviert und in einer Nur-IPv4-Umgebung wird versucht, die IPv6-Fähigkeit über 6to4, ISATAP und Teredo-Übergangsmechanismen herzustellen.

IPv6-Tunneling-Protokolle
Manuelle Herstellung von Tunnel Beschreibung
6in4 Kapselung eines IPv6-Datagramms in einem IPv4-Paket mittels Protokoll 41 Marker. Tunnelendpunkte werden manuell mit zuvor geteilten Endpunktinformationen konfiguriert.
Automatische Herstellung von Tunnel Beschreibung
ISATAP Das „Intra-Site Automatic Tunnel Addressing Protocol“ (ISATAP) wird hauptsächlich benutzt, um isolierten Doppelstapelknotenpunkten die Verwendung des IPv4-Netzwerks als eine „Non-Broadcast Multiple Access“ (NBMA)-Datenverbindungsschicht zu erlauben. Benötigt ISATAP-Server/Router und minimale Client-Konfiguration.
6to4 6to4 benutzt ein System von Kommunikationsrechnern und Relais, um isolierte IPv6-Netzwerke (oder Hosts) zu erlauben, ein /48 IPv6-Netzwerkpräfix zu erstellen und mit anderen 6to4-Benutzern und Nur-IPv6-Clients im Internet zu kommunizieren.
Teredo Komplexer Mechanismus, der ein System von Servern und Relais benutzt, um isolierte Dual-Stack-Hosts mit der IPv6-Anschlussfähigkeit zu versehen. Fähigkeit zum NATS-Traversal.
Tunnel-Setup-Protokoll (TSP) Stellt einen Tunnel zwischen dem Client und einem Tunnelserver, normalerweise über einen Tunnel-Broker, her. Besitzt ebenfalls die Fähigkeit zum NATS-Traversal.

Der Vorteil von OptiView XG liegt nicht nur in der Fähigkeit, den getunnelten IPv6-Datenverkehr zu identifizieren, sondern auch darin, die Tunnelart und die teilnehmenden Endpunkte zu kategorisieren. Dies stellt eine bedeutende Zeiteinsparung im Analyseprozess dar, da sich das IT-Personal eher auf die Migration konzentrieren kann als auf das Verschieben durch Paketerfassungen, um zu versuchen, um die gleiche Art der ausführlichen OptiView XG-Information zu kompilieren, die dieser sofort zur Verfügung stellen kann.

IPv6-Implementierungsfehler suchen

Es ist kein Geheimnis, das die meisten IT-Projekte länger als erwartet dauern und fast nie ohne Probleme ablaufen. Es gibt viele bewegliche Komponenten in einem IPv6-Implementierungsprozess und die Störungssuche als gegeben betrachtet werden muss. Der Schlüssel für die schnelle Fehlerbehebung bei Problemen ist die Verfügbarkeit von richtigen Informationen, und dies ist ein Bereich, in der OptiView glänzt. Darüber hinaus unterstützen die im Standarderkennungsprozess generierten Informationen auch eine IPv6-Anwendungserkennungsfähigkeit des OptiView XGs.

Abbildung 5: TCP/IPv6-Port-Scan

Abbildung 5 identifiziert das Ergebnis des IPv6-Port-Scanprozesses auf einem bestimmten Gerät - in diesem Fall ein Server in der Beispielimplementierung. Als Herr Spence den Scanprozess beendete, bemerkte er, dass kein identifizierter DHCPv6-Dienst vorhanden war, obwohl dieses Gerät in diesem Laboraufbau ein DHCPv6-Server sein sollte.

Abbildung 6: IPv6-Adresskonfiguration von OptiView XG

Nach einer nochmaligen Prüfung der Informationen im Erkennungsfenster bemerkte Herr Spence, dass der OptiView XG selbst keine Adressen des DHCPv6-Pools benutzte, sondern eher die IPv6-Adressen automatisch mittels der unter Windows® 7 aktivierten Standard-Datenschutzerweiterung konfigurierte - was nicht der beabsichtigten Konfiguration entsprach. In Abbildung 6 sind die unbeabsichtigten Adressen hervorgehoben.


Abbildung 7: Auflösung der DHCPv6-Störungssuche

Die Entdeckung erforderte eine weitere Nachforschung in den zugrunde liegenden Konfigurationseinstellungen des Betriebssystems des OptiView XGs und des Servers selbst. Das Ergebnis der Störungssuche war eine fehlerhafte Konfiguration des DHCPv6-Servers. Nach der Behebung wurde der Erkennungsprozess und erneut ausgeführt und Abbildung 7 demonstriert das Ergebnis - eine richtig konfigurierte IPv6-Adresse auf dem XG.

Schlussfolgerung

Die Erkennungen der IPv6-Fähigkeiten des OptiView XGs sind sehr positiv. Nach der Überprüfung der Ergebnisse kam das Nephos6-Team zu folgenden Schlussfolgerungen:

  • Das OptiView XG ist ein ausgezeichnetes IPv6-Analysewerkzeug, das Ingenieuren und Technikern erlaubt, große Mengen an Daten über die IPv6-Fähigkeiten und die Aktivitäten der Geräte im Netzwerk zu erfassen, ohne zu jedem einzelnen Gerät gehen zu müssen - was Zeit und Bemühungen einspart.
  • Die Entdeckung, dass das IPv6-Tunneling-Protokoll und das Router-Advertisement (geprüft, aber nicht in diesem Aufsatz erwähnt) IPv6-Implementierer dabei unterstützen können, ihre Netzwerke auf fehlerhafte IPv6-Implementierungen zu überwachen - ob böswillig bzw. unbeabsichtigt - oder neugierige IT-Ingenieure können unabhängige Untersuchungen an IPv6 ausführen.
  • Alle zentralen IPv6-Funktionen des OptiView XGs unterstützen nicht nur die Prüfung von v6-Implementierungen, sondern stellen auch eine großartige Ressource zum Sammeln und Teilen von Informationen zur Beschleunigung der Störungssuchbemühungen dar.
  • Die breite Auswahl an Schicht 2 Verbindungsarten (wie Ethernet, 10GbE, Wi-Fi) bedeutet, dass das OptiView XG für eine große Anzahl an Märkten wertvoll ist, die sich aktuell mit der IPv6-Implementierung befassen, einschließlich Diensterbringern, großen Unternehmen, Regierungen und Universitäten.
  • Die Funktionen und Fähigkeiten des OptiView XG um IPv6 herum sind, verglichen mit anderen Geräten auf dem Markt, ziemlich hoch entwickelt, was bedeutet, dass dieses Gerät bereit ist, heute stattfindende IPv6-Implementierungen zu unterstützen. Dies ist für Nephos6-Kunden hilfreich, die ständig eine „Steht auf unserer Liste zukünftiger Geräte“-Aussage vieler ihrer aktuellen IT-Lieferanten erhalten.
 
 
Powered By OneLink