Μέθοδοι και Εργαλεία για τη Διαχείριση Δικτύων IPv6

1. Γιώργος Κουτέπας, ΕΜΠ gkoutep@netmode.ntua.gr Ημερίδα "Τεχνολογία IPv6 και Προηγμένες Υπηρεσίες" 19 Οκτωβρίου 2004 Μέθοδοι και Εργαλεία για τη Διαχείριση Δικτύων IPv6

2. Τί ισχύει για τη διαχείριση στο IPv6 • Απαραίτητο στοιχείο για να επιτευχθεί η ομαλή μετάβαση στο νέο πρωτόκολλο • Απαιτούνται αντίστοιχα πρότυπα λειτουργικότητας και ποιότητας με το IPv4 • Ο σωστός σχεδιασμός του δικτύου αναδεικνύει τα κύρια τμήματα του και τους χρήστες (με τις ανάγκες τους) σε κάθε ένα από αυτά • Περιοχές διαχείρισης: • Παρακολούθηση της καθημερινής λειτουργίας του δικτύου • Εξέλιξη και βελτιστοποίηση του δικτύου • Η διαχείριση στο IPv6 δε διαθέτει οριστικές λύσεις σε όλους τους τομείς • Ορισμένα πρωτόκολλα είναι ακόμη σε εξέλιξη • Δεν υπάρχουν εργαλεία για όλες τις διαχειριστικές ανάγκες Διαχείριση στο IPv6 2/15

3. Διαδικασία Υλοποίησης IPv6 σε ένα Δίκτυο Φάση 1 • Σχεδιασμός της μορφής του δικτύου • Ευρύτερες και μικρότερες δικτυακές περιοχές • Περιοχές ειδικών αναγκών και ειδικών λειτουργιών (VLANs, DMZ κ.λπ.) • Ορισμός των διαχειριστικών οντοτήτων και των περιοχών ευθύνης στο δίκτυο • Προσδιορισμός των ροών πληροφορίας διαχείρισης • Καθορισμός των αναγκών στην ασφάλεια: • Για τους χρήστες και τις εφαρμογές • Για το ίδιο το δίκτυο (διαχειριστική πληροφορία, δικτυακές συσκευές, διαδικασίες διαχείρισης) • Σχεδιασμός της διαδικασίας μετάβασης στο νέο πρωτόκολλο και της χρήσης πιθανών μεταβατικών μηχανισμών (περιοχές IPv6 μέσα σε δίκτυο IPv4 και αντίστροφα) Διαχείριση στο IPv6 3/15

4. Διαδικασία Υλοποίησης IPv6 σε ένα Δίκτυο (2) Φάση 2 • Υλοποίηση διπλού περιβάλλοντος IPv4/IPv6 • Σταδιακή μετάβαση στο IPv6 συστημάτωνμη κρίσιμων λειτουργιών • Επιτρέπει την αξιολόγηση της σταθερότητας της λειτουργίας του IPv6 στο δικτυακό εξοπλισμό και σε μη κρίσιμα συστήματα • Αναπτύσσονται οι διαδικασίες διαχείρισης • Χρήση μηχανισμών μετάβασης: σήραγγες (tunnels), πύλες (gateways) κ.λπ. για την επικοινωνία περιοχών αποκλειστικά IPv6 Φάση 3 • Μετάβαση όλων των συστημάτων αποκλειστικά σε IPv6 • Χρήση αποκλειστικά IPv6 στο δίκτυο Διαχείριση στο IPv6 4/15

5. Προτυποποίηση Πρωτοκόλλων Διαχείρισης • Οι κύριοι κατασκευαστές δικτυακού εξοπλισμού υποστηρίζουν τη χρήση SNMP πάνω από IPv6 και παρέχουν agents • Η διαχείριση συσκευών αποκλειστικά IPv4 είναι δυνατή επειδή στα περισσότερα δίκτυα υπάρχει υποστήριξη dual stack • Από πλευράς agents γενικής χρήσης υπάρχει πλήρης υποστήριξη του SNMP-IPv6 από το net-snmp που υλοποιεί τις νέες MIBs • Ο αριθμός των εφαρμογών που χρησιμοποιούν το SNMP-IPv6 παραμένει μικρός. Τα Openview και CiscoWorks προσφέρουν σταδιακά υποστήριξη IPv6 σε επίπεδο MIB αλλά στις περισσότερες περιπτώσεις η πρόσβαση γίνεται με IPv4 • Νέα textual conventions υποστηρίζουν IPv4 και IPv6 για την αναπαράσταση IPs στις MIBs • RFC 3291 • Εντός του 2004 έχει προωθηθεί η ενοποίηση πινάκων πληροφορίας για τα IP, TCP και UDP σε οποιοδήποτε από τα δύο περιβάλλοντα Διαχείριση στο IPv6 5/15

6. Προτυποποίηση Πρωτοκόλλων Διαχείρισης (2) • Άλλα πρότυπα διαχείρισης έχουν επιτύχει διαφορετικούς βαθμούς μετάβασης στο IPv6: • Το RADIUS έχει προτυποποιηθεί στο IPv6 (RFC 3162) αλλά δε μπορεί να χρησιμοποιηθεί σε μεγάλα δίκτυα. Για το λόγο αυτό το IETF έχει ορίσει ένα πρωτόκολλο αντικατάστασης του, το DIAMETER. Έτσι δεν υπάρχουν υλοποιήσεις του RADIUS σε IPv6 • Το DIAMETER ορίζεται στο RFC 3588. Υπάρχει διαθέσιμη υλοποίηση του • Τα COPS και WBEM (Web-Based Enterprise Manager) έχουν προσαρμοστεί, όπως και τα μοντέλα πληροφορίας και οι πολιτικές που ορίζουν για τη διαχείριση δικτύων IPv6. Δεν υπάρχουν όμως διαθέσιμες υλοποιήσεις • Το Kerberos V έχει μερικώς μεταφερθεί στο IPv6 Διαχείριση στο IPv6 6/15

7. Προτυποποίηση Πρωτοκόλλων Διαχείρισης (3) • Το Netflow της Cisco υποστηρίζει την εξαγωγή στατιστικών για ροές IPv6 μόνον στην έκδοση 9 • Υποστηρίζεται από το IOS 12.3T • Συλλέκτες πληροφορίας Netflow που να υποστηρίζουν IPv6 υπάρχουν από τη Cisco και ακαδημαϊκές πηγές Διαχείριση στο IPv6 7/15

8. Μηχανισμοί Μετάβασης • Πρόκειται για τους μηχανισμούς που επιτρέπουν την (προσωρινή...) συνύπαρξη περιοχών IPv4 και IPv6 • Μηχανισμοί εγκατάστασης σηράγγων (tunnels) μέσα από δικτυακές περιοχές που δεν υποστηρίζουν το επιθυμητό πρωτόκολλο και ενθυλάκωσης του περιεχομένου που πρέπει να περάσει διαμέσου αυτών. Επίσης, μηχανισμοί μετάφρασης ανάμεσα στα δύο πρωτόκολλα • 6to4, Intra-Site Automatic Tunnel Addressing Protocol (ISATAP), Dual-stack Transition Mechanism (DSTM) • Αποτελούν ειδική διαχειριστική περίπτωση στο IPv6 • Απαιτούν προσεκτικό σχεδιασμό για: • Τα σημεία που θα εγκατασταθούν • Τον έλεγχο πρόσβασης σε αυτούς και τις πολιτικές χρήσης τους από τους χρήστες • Τις πολιτικές λειτουργίας, ειδικά στο θέμα της «αναμετάδοσης» εσωτερικής ή εξωτερικής κίνησης μέσω του 6to4 (6to4 relays) Διαχείριση στο IPv6 8/15

9. Μηχανισμοί Μετάβασης (2) • Υπάρχουν σημαντικά κενά στη διαχείριση τους • Είναι δυνατόν να δημιουργήσουν προβλήματα διαχείρισης πόρων και ασφάλειας • Δεν ακόμα απόλυτα ξεκάθαρες οι διαχειριστικές ανάγκες και διαδικασίες που πρέπει να ακολουθηθούν • Αφορούν μηχανισμούς «ενθυλάκωσης» που είναι γνωστοί και κατανοητοί από το IPv4 • Εναλλακτικά μπορούν να τεθούν υπό βασικό έλεγχο (π.χ. αποδοχής ή όχι της κίνησης) με υπάρχοντες μηχανισμούς (π.χ. Firewalls) Διαχείριση στο IPv6 9/15

10. Βασικά Εργαλεία Διαχείρισης • Διαχείριση Δικτύων Κορμού • ASPath Tree (http://carmen.ipv6.tilab.com/ipv6/tools/ASpath-tree/index.html) • Looking Glass (http://netmon.grnet.gr/lgv6.shtml) • IPFlow/Netflow (http://www.rrt.cr-picardie.fr/%7Efillot/nf6/ http://www.cisco.com/warp/public/732/Tech/nmp/netflow/index.shtml) • Mping (http://mping.uninett.no/) • RIPE Test Traffic (TT) Server with IPv6 Support (http://www.ripe.net/ttm/ttm-ipv6.html) – NTUA: tt42 • Cricket (http://cricket.sourceforge.net/) • MRTG Διαχείριση στο IPv6 10/15

11. Βασικά Εργαλεία Διαχείρισης • Διαχείριση Δικτύων - Πελάτων • Argus (http://argus.tcp4me.com/) • Ethereal (http://www.ethereal.com/) • Multicast Beacon (http://dast.nlanr.net/Projects/Beacon/) • Iperf (http://dast.nlanr.net/Projects/Iperf/) • ntop (http://www.ntop.org/) • Γενική Διαχείριση • Nagios (http://www.nagios.org/) • RANCID (http://www.shrubbery.net/rancid/) Διαχείριση στο IPv6 11/15

12. Προτάσεις για τη διαχείριση δικτύων IPv6 • Αρχιτεκτονική • Ακολουθείται συγκεκριμένη διαδικασία σχεδιασμού και υλοποίησης του IPv6 σε ένα δίκτυο • Διαχειριστικές Εργασίες – Δίκτυα πελάτες • Χρησιμοποιείται ένα κοινό εργαλείο για τη διαπίστωση σωστής λειτουργίας υπηρεσιών και δικτυακών συνδέσεων(Argus, Nagios ή Ntop) • Εργαλεία παρακολούθησης της κίνησης (MRTG) • Χρησιμοποιούνται εργαλεία για την αξιολόγηση της απόδοσης των δικτυακών συνδέσεων «από άκρο σε άκρο» με τους παρόχους (ISPs) και το υπόλοιπο Διαδίκτυο (Iperf) • Χρειάζεται να υπάρχει δυνατότητα καταγραφής και ανάλυσης της κίνησης (Ethereal) • Προαιρετικά χρήση εργαλείων για τη διαχείριση των ρυθμίσεων των δικτυακών συσκευών (RANCID) Διαχείριση στο IPv6 12/15

13. Προτάσεις για τη διαχείριση δικτύων IPv6 (2) • Δίκτυα κορμού • Έλεγχος της κίνησης (MRTG, Cricket, Nagios) • Καταγραφή και ανάλυση της κίνησης (Netflowv9) • Παρακολούθησης της ομαλής λειτουργίας του δικτυακού εξοπλισμού (Nagios) • Έλεγχος της δρομολόγησης • Για παρακολούθηση των πολιτικών δρομολόγησης και τη γενική εικόνα της κατάστασης δρομολόγησης BGP (ASpath-tree) • Η παρακολούθηση παραμέτρων του BGP σε συγκεκριμένους δρομολογητές δε μπορεί να γίνει αυτόματα λόγω έλλειψης κατάλληλων εργαλείων SNMP και υλοποίησης των αντίστοιχων MIBs στο IPv6 Διαχείριση στο IPv6 13/15

14. Χρήσιμο Υλικό από το Έργο 6NET Διατίθεται στο: http://www.6net.org/publications/deliverables/ Παραδοτέα: D6.3.3 Final Report on IPv6 Management and Monitoring Architecture Design, Tools and Operational Procedures - Recommendations D6.2.4 Final Report on IPv6 Management Tools, Developments and Tests Συμπληρωματικά: D6.2.2 Operational Procedures for Secured Management with Transition Mechanisms D3.5.1 6NET Implementation of Security Plan (υπό ολοκλήρωση) Διαχείριση στο IPv6 14/15

15. Ερωτήσεις...;