1 / 24

צה"ל ו- IPv6

בלמ"ס. היחידה לתקשוב. ולטכנולוגיות המידע. צה"ל ו- IPv6. הצגה לפורום IPv6 הישראלי מרצה: לאוניד סנדומירסקי מהנדס מערכת "אבנט זהב". פברואר 2007. יחידת לוט"ם / מעו"ף וענף CTO. IPv6 - הכל מהתחלה ?. 15 שנה ניסיון עם IPv4 לתחילת פיתוח IPv6 (בשנת 1995).

avent
Download Presentation

צה"ל ו- IPv6

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. בלמ"ס היחידהלתקשוב ולטכנולוגיותהמידע צה"ל ו-IPv6 הצגה לפורום IPv6 הישראלי מרצה: לאוניד סנדומירסקימהנדס מערכת "אבנט זהב" פברואר 2007 יחידת לוט"ם / מעו"ף וענף CTO

  2. IPv6 - הכל מהתחלה ? • 15 שנה ניסיון עם IPv4 לתחילת פיתוח IPv6 (בשנת 1995). • הרחבת מרחב הכתובות מ-32 ל- 128 ביט: • מחשב כיס, מכשיר טלפון, טלוויזיה, רכב, מקרר, תנור, דוד, מנעול, ... • מחשב קרב, מכשיר קשר, מצלמה, טנק, חיישן,... • פותח בראיה להתמודד עם אתגרי גידול, שירותים, ניידות, ואבטחה • שמירת חוזקות של IPv4 • דרישות תקשורת מתקדמות – מגוון רחב של התקני רשת ותקשורת ניידת • הוספת פונקציונליות החסרה ב IPv4 – "חיים קלים יותר" • Auto-configuration • Optimized Multicast Routing & Group Management • Neighbor Discovery • MTU discovery • Mobile IPv6 • מנגנונים למעבר חלק – דו-קיום בין IPv4 ו-IPv6 • עדיין יש הרבה מה לעשות

  3. קצת היסטוריה • IPv4 (NCP) פותח בשנות ה-70' (ללא אבטחה, איכות שירות וכד') • בשנת 1983 בוצע מעבר מ-NCP ל- IP ביום אחד, והוא ממשיך להתפתח. • היסטוריה מעניינת של אירועי האינטרנט מופיעה ב- "Hobbes' Internet Timeline” (RFC 2235) • ב-2003 US DoD הכריז ביצוע מיגרציה של הרשתות ל-2008. • ב- 2005: • כמות משתמשים מקוונים הגיעה ל-1.08 מיליארד • Google ביצע רישום של IPv6 prefix (/32) • Moonv6: • רשת בינלאומית הגדולה ביותר המשלבת מערכות מיצרנים שונים • בהובלת NAv6TF • משתתפים: UNH-IOL, Internet2, כ- 50 יצרנים מובילים, ספקי שירותים • גופים חשובים: DoD JITC, DREN, HPCMP • IPv4 שורד כבר 30 שנה: • מעבר ל-IPv6 בלתי נמנע • גם מערכת מתוחכמת מגיעה לסוף דרכה

  4. מה חדש ? • IPv6 – אבולוציה של IPv4 • מותקן כשדרוג תוכנה ברוב ההתקנים ומערכות תוכנה • מנגנוני מעבר הקיימים מאפשרים הכנסת IPv6 צעד אחר צעד, מבלי לסכן תשתיות תקשורת IPv4 • השינויים העיקריים: • מרחב הכתובות הורחב (מ-32 ל-128 ביט): • כתובת לכל חלקיק של החול בכדור הארץ • מבנה היררכי של מרחב כתובות לטובת אופטימיזציה של ניתוב גלובלי • קונפיגורציה אוטומטית (Stateless Autoconfiguration): מבוסס על מזהה MAC או מספר אקראי מתחום פרטי • פישוט של כותרת החבילה: גודל קבוע של 40 בית • תמיכה משופרת באופציות והרחבות: • אופציות מועברות בכותרות הרחבה ומוספות רק במידת הצורך • הגדרה בסיסית כוללת בין היתר: ניתוב, ניידות, איכות שירות, אבטחה

  5. מדוע צריך IPv6? • ארה"ב: 5% של אוכלוסיית העולם שולטים ב- 60% של מרחב הכתובות • רק לכ-14% מאוכלוסיית העולם יש גישה לאינטרנט. גידול לכ-20% יחייב שימוש ב- IPv6 • מאפשר להיפתר משימוש ב-NAT • כניסה חזקה של עולם האינטרנט: • מסופי משחק • TV/IP • מקררים , תנורים, מחממים • גידול רחב של טכנולוגיות גישה אלחוטיות: • 3G (UMTS) • WiMaX (802.16) • Wi-Fi (802.11x)

  6. מדוע לא צריך IPv6? (אשליות נפוצות) • "הכנסת IPv6 יכול לסכן את תשתיות התקשורת והשירותים הניתנים" • טיעון לא מבוסס: קיימים מנגנונים המאפשרים דו-קיום מלא • ניתן למשל להחדיר IPv6 עבור שימוש ביישומים חדשים, בו-בזמן תקשורת ליישומים קיימים תבוצע ב-IPv4 • "פרוטוקול IPv6 לא בשל ולא הוכח לאורך זמן ולא הוכחה יכולתו לתת מענה לצרכי תקשורת" • IPv6 מיושם בהרבה נתבים ומערכות הפעלה במשך 10 שנים, כתוצאה עבר ועובר בדיקות ואופטימיזציה רחבה • מושקעים מאמצים ניכרים ברמה בינלאומית במחקר ובבדיקות אינטגרציה (interoperability and conformance) – פרויקט moonv6

  7. מדוע לא צריך IPv6? (אשליות נפוצות) • "עלות הכנסת IPv6 גבוהה מאוד" • ברשתות חדשות יחסית, רמת התמיכה ב-IPv6 גבוהה יחסית • למרות זאת, מעבר יכול לגרור (אין ארוחות חינם): • עלויות מסוימות בחומרה ותוכנה • הדרכות של אנשי IT • מומחים חיצוניים בנושא • חסכון בעלויות לטווח ארוך: • רשתות IPv4 הופכות להיות מורכבות – שירותי VoIP, IM, VTC, IPTV, UC מוסיפים שכבות middleware וסיבוכיות • ניהול ואיתור תקלות בסביבות NAT מסובך במיוחד עבור מיזוג ארגונים/חברות ועסקים מבוססי B2B • "מנגנון קונפיגורציה אוטומטית (Stateless Autoconfiguration) לא יאפשר בקרה וניטור גישה לרשת" • טיעון זה יכול להיות אמיתי באם נעשה שימוש בהיקף רחב במנגנון זה בלבד. • למנהלן קיימת בחירה לגבי רמת השליטה – DHCPv6 תומך בשתי שיטות: • Stateful – כמו ב-DHCPv4 • Stateless – תחנת קצה מקבלת רק אופציות קונפיגורציה מהשרת • ניתן גם להכריח שימוש ב-DHCPv6 להקצאה דינאמית תוך שימוש במנגנוני הזדהות

  8. מדוע לא צריך IPv6? (אשליות נפוצות) • "יהיה מאוד מסובך ויקר לבצע שדרוג לליבת הרשת שלנו" • מנגנוני מעבר מאפשרים השמשת IPv6 בהתאם לצורך ללא הכתבת סדר מסוים בשדרוגי תשתית • ניתן לחכות עד לסיום מחזור חיים של המוצרים ואז לשדרג • עד אז ניתן להעביר IPv6 מעל IPv4 • "יהיה מאוד מסובך ויקר לבצע מעבר לכל היישומים שלנו" • בד"כ המאמץ הנדרש להריץ יישומים מעל IPv6 נמוך בהרבה מההערכות • יישומים שנכתבו בצורה טובה שקופים לפרוטוקול תקשורת, נדרש לבצע בדיקות • עבור יישומים "רעים" (הדורשים שינויי תוכנה) קיימים מנגנונים: • IPv4 מעל IPv6 (tunneling) • IPv6 מול IPv4 (translation) • IPv6 & IPv4 (dual stack) • "יש לנו מספיק כתובות; אין לנו צורך ב-IPv6" • אכן נכון, אין צורך מיידי לשלב IPv6 • התעלמות לטווח ארוך מניחה כי רשת תהיה מבודדת משאר העולם (ספקים, שותפים, לקוחות) – אסיה במקום הראשון • כמובן, תכונות מתקדמות של IPv6 לא יהיו זמינות עבור יישומים

  9. מתי הזמן המתאים ? • אם שאר העולם עובר ל IPv6 ואתה ממשיך עם IPv4, אתה עלול לאבד תקשורת מולו • היום זה לא הנושא הקריטי, אך הזמנים משתנים די מהר • אם נחכה יותר מדי זמן, עלולים להיות בסכנה עסקית מול העולם • כלל הזהב ב-IT: "אף פעם אל תיגע במערכות שעובדות טוב ומספקות צרכים. אין סיבה לשנות זאת" • בכל פעם שמבוצעת השקעה מומלץ ואף הכרחי לקחת בחשבון IPv6 • השקעה בטכנולוגיה חדשה משמרת אותה לטווח ארוך יותר ושומרת על חדשנות קדמה טכנולוגית • סימנים עיקריים למעבר ו/או שילוב IPv6: • מרחב כתובות הולך להיגמר • נדרש להרחיב ו/או לתקן רשת IPv4 • יישומים חדשים מתבססים על תכונות מתקדמות של IPv6 • נדרשת אבטחה מקצה לקצה עבור כמות גדולה מאוד של משתמשים או קיימת התמודדות עם NAT • נדרש לשדרג חומרה או תוכנה שהגיעו לסוף מחזור חיים • קיים רצון החדרת IPv6 ללא לחץ זמן

  10. מתי הזמן המתאים ? • על מנת להתכונן להחדרת IPv6 בצורה מתאימה נדרש: • לבנות ידע, ללמד אנשי IT, לבנות רשת ניסיונית לבדיקות • להכניס נושא IPv6 כאסטרטגיה ארגונית • לבנות תרחישי שילוב בהתאם לרשת ולדרישות • להגדיר תמיכה ב-IPv6 עבור החומרה והתוכנה הנרכשים • יש צורך להיות מדויק ולפרט אילו תכונות (RFC) נדרשים להיתמך • אין צורך להמתין לאיזה אירוע או סימן: • לא יהיה "יום הדגל" עבור IPv6 כפי שהיה ב-1983 במעבר מ-NCP ל-IPv4 • לא יהיה גם killer application • IPv6 לאט לאט יגדל בתוך הרשתות השונות • גישה של צעד אחר צעד: • הינה בעלת עלות/תועלת הגבוהה ביותר • מקטינה סיכונים למינימום האפשרי

  11. עלות החדרת IPv6 • אנשים מסוימים חושבים כי עלות החדרת IPv6 מאוד גבוהה, ובכך מפסיקים לחשוב על זה • אנשים אחרים פשוט רוצים לדעת: • מערכות הפעלה • רוב מערכות הפעלה כוללות תמיכה (ללא עלות נוספת) או ניתנות לשדרוג • חומרה • לא כל התקני חומרה תומכים ב-IPv6 לכן נדרש לבצע החלפות • באם מבוצע תכנון מראש, החלפה תהיה כחלק מתהליך שדרוג במחזור חיים של המוצר (ללא עלויות נוספות גבוהות) • תוכנה • מאמץ התאמת תוכנה תלוי באופן מימושה • הפרדה ברורה בין שכבת היישום לבין שכבת התקשורת תאפשר התאמה קלה • צפוי כי יישומים נפוצים כוללים או יכללו תמיכה ב IPv6 • באם תוכנה פותחה באופן פנימי ו/או נעשה שימוש ב-API מותאם בגישה ל-IP נדרש כמובן לבצע בדיקות תאימות ולנתח מאמץ התאמה

  12. עלות החדרת IPv6 • השכלה והדרכה • כל שדרוג טכנולוגי מחייב רכישת ידע (מפתחים, יצרנים, ספקי שירותים, מפעילים) • תוכנית טובה להשכלה ולהדרכה בהתאם לתפקידים השונים תאפשר הגירה חלקה ל-IPv6 (בדומה לטכנולוגיות אחרות: DHCP, NAT, VPN) • בטווח ארוך אחזקת רשת IPv6 תהיה זולה יותר מאשר רשת IPv4 • תכנון • בדומה לתהליכי תכנון הנדרשים להרחבת תשתיות IPv4 נדרש לבצע תכנון לשילוב IPv6 • תכנון דורש מהנדסי מערכת ומהנדסי ארכיטקטורת רשתות עם הבנה הן בתחום IPv4 והן בתחום IPv6 • דגש מיוחד ב IPv6 לתכונות חדשות, תפיסות, אבטחה, ניידות, תפעול • ככל שהתכנון יהיה מוקדם יותר, כך המעבר יהיה חלק וזול יותר • השיטה הטובה ביותר צעד אחר צעד - נותן זמן לימוד ולאחר מכן שילוב • עלויות אחרות • עלויות גבוהות הן כאשר מחכים יותר מדי זמן – יותר השקעות בתשתיות קיימות • מומלץ לשים דרישות ל-IPv6 על רשימת קניות עבור IT למוצרים בעלי אורך חיים יותר משנתיים

  13. מה חסר עדיין ב- IPv6 • ניתוב IPv6 לא אופטימלי • רוב הרשתות עדיין IPv4 • IPv6 מועבר מעל IPv4 (tunnel) • בחירת פרוטוקול בתצורת dual-stack • מהי הבחירה הטובה ? • האם ניתן לתקשר מול שירות/יישום בשני פרוטוקולים ? • מי יבצע בחירה: יישום או פרוטוקול תקשורת ? • רב-מיעון (Multihoming) • עבור IPv4 נעשה שימוש בקידומות שונים לניתוב • תצורה זו מאוד מעמיסה על טבלאות הניתוב • DNS • לא כל מערכות הפעלה תומכים בשאילתות DNS מעל IPv6 • ניהול רשתי • כמות קטנה מאוד של יישומי SNMP מעל IPv6 • כמות IPv6 MIB מאוד מוגבלת

  14. IPv6 בעולם • רשת IPv6 הוותיקה ביותר היא 6Bone (משנת 1996) • ב-2004 היו בה יותר מ-1000 תחנות בכ-50 מדינות בעולם • שימשה לביצוע בדיקות עבור קבוצות IETF • באסיה IPv6 – מציאות אמיתית מתוך חוסר ברירה • ביפן קיים חדר הדגמות להתקנים התומכים ב-IPv6 • Toshiba – מקרר ומיקרוגל נשלטים דרך web או email מעל IPv6 • Sanyo – מצלמה דיגיטלית מאפשרת טעינת תמונות לשרת ביתי מהרחוב/כביש דרך רשת גישה אלחוטית • Canon – מצלמת web הנשלטת מרחוק ומאפשרת לראות ילדים, כלבים מהכביש/רחוב • Nokia Japan and NTT – מסוף אינטרנט המשלב wireless, RFID, Mobile IPv6 • סין הכריזו ב-2001 על דור הבא של אינטרנט (IPv6). ב-2006: • 300 רשתות ארגוניות • רשתות MAN בכל עיר • במדינות הודו, קוריאה, טאיוואן קיימת תמיכה חזקה של ממשל ביישום IPv6

  15. IPv6 בעולם • אירופה: • Telia Sweden כבר ב-2001 התחילו לספק שירותי IPv6 במקומות שונים • רוב ספקי תקשורת אינם מספקים שירותים ברמה עסקית, אך ברקע הם הכינו תשתית למתן מענה מיידי לצורכי שוק • NTT communicationמספקת שירותי IPv6 ברמה בין-לאומית • Renault, BMW, DaimlerChrysler, Audi בונים אבי טיפוס משולבים עם נתבי IPv6 לתקשורת אלחוטית • ארה"ב: • למרות שבארה"ב נושא של כתובות אינו קריטי US DoD הכריז ב-2003 על מיגרציה ל-IPv6 לקראת 2008 • מאז סוכנויות DoD מחויבות לרכש ולפיתוח מוצרי חומרה ותוכנה עם תמיכה ב-IPv6 • תקציב שנתי של DoD IT עומד על כ-30 מיליארד דולר • ב-2005 הוכרז כי גם סוכנויות ממשל נדרשים לעבור ל-IPv6 לקראת 2008 • החלטות ותקציבים בהיקפים כה גדולים מהווים האצה משמעותית בפיתוח ויישום טכנולוגיה חדשה • המוטיבציה: • מוכנות לעתיד עקב תהליך התיישנות IPv4 • צמצום עלויות עתידיות ע"י מדיניות IPv6 ready לכלל המערכות

  16. DISA ו- IPv6 • JITC אחראי על ביצוע בדיקות בכל התחומים בהם עוסק DISA • בפרט JITC מבצע בדיקות תאימות ל-IPv6 עבור מערכות שונות • כל מוצר “IPv6 capable” נבדק לפי RFCs כפי שהוגדרו עבור סוגי ציוד שונים • בתום תהליך האישור, המוצר מפורסם באינטרנט ב-APL

  17. דרישות תאימות ל-IPv6 (לפי תוכנית DISA) • סוגי ציוד עבורם הוגדרו דרישות תאימות: • Host/WorkStation • Network Appliances • Router • Layer-3 Switch • Network Server • Information Assurance Device • דרישות תאימות ל-IPv6 נחלקות למספר קטגוריות: • Core IPv6 Functionality • Routing and Switching Protocols • Transition Mechanisms • Common Network Applications • Security/Information Assurance (IA) • Mobility • Quality of Service (QoS) • Multicasting • Network Operations and Management

  18. תוכנית מיגרציה ל-IPv6

  19. תיאור מצב קיים בצה"ל IPTel ורד הרים מערך נפרס V.C ממסרים אפליקציות תומכ"ל רשת תקשורת צה”לית אפליקציות מבצעיות תקשורת לווינים מערכת הביטחון ישומי חמ”ן “אבנט כחול” ישומי חה”י

  20. תיאור מצב קיים בצה"ל • במסגרת תוכנית "אבנט ירוק" נבנתה מערכת תקשורת "נהר איתן" • מערכת "נהר איתן" תוכננה ונבנתה בראיה לספק תשתית תקשורת IP לכלל צה"ל • מכלול WAN: מספק קישוריות בין אתרים השונים. • מבוסס נתבים של Juniper Networks • מספק שירותי תקשורת PPVPN (רשתות לוגיות) L2/L3 על גבי MPLS • מספק שירותי הפצה multicast • מכלול LAN: מספק קישוריות בתוך מחנה • מבוססת מתגים של Cisco Systems • מספק תקשורת בקצבי GE באתרים • מאפשר בקרת גישה לרשת 802.1x • תשתית תקשורת "נהר איתן" בעתיד תהווה תשתית תקשורת IP מרכזית למימוש סביבות תקשורת שונות. • סביבה תומכ"ל משותפת • סביבה מבצעית לכל זרוע • סביבות ייעודיות ליישומים שונים

  21. תיאור מצב קיים בצה"ל • שירותי רשת תשתיתיים: • DHCP & DNS • Active Directory & FTP • NTP • RADIUS • מכלול נו"ב: • EMS • NMS • אמצעי הגנה: • Firewalls • מצפינים צבאיים • טלפוניה: IPTel Avaya. • יישומים בפיתוח פנימי – בתי תוכנה צבאיים (סביבה IPv4): • מבצעיים (כגון שו"ב והפצת חוזי) • תומכ"לים (כגון "שח"ר של"י")

  22. סיכום • תחילת בחינה והיערכות ל-IPv6: • רשתות סגורות ומנותקות מהאינטרנט • "אין בעיה של כתובות" – "מה זה יכול לתת ?" • סדרי עדיפויות – "האם זה בוער ?" • אין מספיק משאבים – שיטת עבודה "כיבוי שריפות" • המצב כיום: • אין מדיניות לרכש ציוד תומך • לא נעשתה בחינה מעמיקה בנושא • אמצעי הגנת מידע פותחו ל-IPv4 בלבד (נדרש פיתוח) • עיתוי המעבר: • אילוצים מהעולם האזרחי – פיתוחים חדשים ותמיכת יצרנים • שימור והרכשת ידע והכשרות כ"א לתקן החדש • נדרש לבצע עבודת מטה לבחינת משמעויות ולגבש המלצות לתוכנית פעולה

  23. שאלות פתוחות • האם יש "הכרח" להגר ל- IPv6 ? • מהו העיתוי המתאים ו/או הנדרש ? • ההשקעה הכלכלית (₪, דו"ס, חודשי אדם) • מהי רמת מוכנות של המערכות הקיימות ? • חומרה ותוכנה (מוצרים מן המדף) • יישומים בפיתוח פנימי • מהם הסיכונים ? • מידת בשלות IPv6 ומידת תמיכתו בכל תכונות של IPv4? • מהו אופן שילוב IPv6: • תאימות אחורה ברשת IPv4 ? • קישור בין מערכות IPv6 למערכות IPv4 ?

  24. היחידהלתקשוב ולטכנולוגיותהמידע תודה על הקשבה הטכנולוגיה בחזית

More Related