1 16 Table of Contents 18 60

OZ 2013/1-4

M T 13 ORGANIZACIJA ZNANJA 2013, LETN. 18, ZV. 1 – 4 Pod temi pogoji smo nato izvedli razpis za nabavo usmerjevalnikov oziroma stikal L3 (angl. layer 3 ) za dostop do omrežja ARNES, torej tistih dveh naprav (dve sta zaradi redundance), ki prestavljata most med omrežjem Arnesa kot ponudnika dostopa do interneta in lokalnim omrežjem IZUM-a. Ugodno je bilo to, da je bila zamenjava takratne zastarele opreme že prej načrtovana, zato strošek sam po sebi ni nastal zaradi uvajanja IPv6. Po nabavi opreme smo izvedli zamenjavo stikal in uredili konfiguracijo za podporo IPv6. Nato smo na Arnes posredovali zahtevo za vzpostavitev IPv6. V vsem tem času smo pripravili koncept načrta prehoda na IPv6, začenši z organizacijo naslovnega prostora (IZUM, 2011). Organizacija naslovnega prostora IZUM je od Arnesa dobil naslovni prostor velikosti /48 (t. i. maska). Ker je 48 trikrat po 16, to pomeni, da imamo prve tri segmente določene, in to so 2001:1470:FF84. Tako imamo do 128 bitov na razpolago še 80 bitov. 2 80 ali 1,2 x 10 24 naslovov samo za IZUM. Zakaj toliko? Javnih naslovov IPv4 imamo namreč samo dva bloka razreda C, kar pomeni 2 x 253 naslovov. Že tukaj vidimo, da je sam koncept razdeljevanja naslovnega prostora IPv6 drugačen od tistega v svetu IPv4. Ponudniki interneta pa lahko od RIPE NCC pridobijo najmanj /32. Najmanjši prostor, ki ga lahko ponudniki interneta delijo naprej končnim uporabnikom pa je /64 (RIPE NCC, 2014). Tak naslovni prostor dejansko predstavlja najmanjše lokalno omrežje (angl. subnet ), v katerem lahko imamo 1,8 x 10 19 naslovov IPv6. To je zdajšnji internet na kvadrat (2 32 x 2 32 = 2 64 ). Torej vsak končni uporabnik bo dobil najmanj 18 trilijonov naslovov IPv6. Kaj bo z njimi počel, ne ve verjetno nihče, vemo samo to, da mu jih ne bo zmanjkalo. IZUM je torej dobil 2 16 oziroma 65536 omrežij /64. Na prvi pogled se zdi, da bo s takim razsipavanjem tudi naslovov IPv6 enkrat zmanjkalo, vendar jih je tako zelo veliko, da si ne moremo predstavljati. Pa dajmo bolj za šalo kot zares preveriti, kako je s tem v primeru IZUM-a. Če je površina ozemlja, ki ga zaseda IZUM, okoli 3000 kvadratnih metrov, bi glede na prej zapisano lahko dobili le 3000 x 6,67 x 10 23 oziroma 2 x 10 27 naslovov IPv6. Čeprav smo jih dobili manj, "samo" 1,2 x 10 24 , se pritožili zaradi tega ne bomo, saj vemo, da bo nekaj naslovov IPv6 ostalo še za vse tiste satelite točno nad IZUM-om. Če ne, pa bomo par naslovov radodarno odstopili. Resnica je, da bi nam zadostovala že milijoninka teh naslovov IPv6, ki smo jih pridobili. Koliko je to, poskusite izračunati sami. Za pametno razdelitev, t. i. segmentacijo omrežja in umestitev IPv6 v naše okolje, smo poiskali nasvet pri izkušenih strokovnjakih na Arnesu, ki se z IPv6 ukvarjajo vse od leta 2001 naprej. Odločili smo se, da prvih 16 bitov, ki jih lahko naslavljamo (torej četrti segment), razdelimo na dva dela, dva okteta (2 16 = 2 8 x 2 8 = 256 x 256). Prvi oktet predstavlja cono, npr. intranet, DMZ (angl. demilitarized zone ), ki jih je lahko 256, drugi oktet pa podcono, npr. delovne postaje in strežnike, ki jih je lahko tudi 256. Potem pa smo se dogovorili, da iz naslova IPv4 naprave vzamemo samo zadnji del oziroma oktet naslova, ki v naslovnem prostoru IPv4 v razredu C predstavlja številko naprave (t.i. host). Recimo strežnik, ki je prej imel IPv4-naslov 193.2.126.135 (www.sicris.si ), ima zdaj naslov IPv6 2001:1470:FF84:100::135. Prve tri segmente fiksno določijo v Arnesu, sledi en oktet za cono, ki je 1 (DMZ), in potem še za podcono, ki je 00, na koncu pa je unikatna številka strežnika, ki pa je enaka, kot je zadnji oktet naslova, torej 135. Tako smo dobili vsaj delno smiselno organizacijo naslovnega prostora IPv6, ki nekako upošteva razmere, ki so veljale za IPv4. Ker nam je tako lažje. Ne bomo pa se ustavljali pri 254, ker lahko gremo najprej do FFF, pa do FFFF. Lahko pa prvo številko v zadnjem segmentu uporabimo za vmesne naslove, če bi enemu strežniku radi dali do 15 dodatnih naslovov (recimo od 1135 do F135). Lahko se širimo tudi v tisti predzadnji segment, ki je sedaj enostavno postavljen na 0. Še vedno smo v isti podconi. Ko si torej enkrat zapomnimo prve tri fiksne segmente in vemo, v katero cono in podcono neka naprava spada, potem si moramo zapomniti samo še končni naslov (ali bolje več podobnih). In če delamo dnevno z nekim strežnikom, potem to niti ne bo tako težko. Priprave omrežja za podporo IPv6 V letni program dela IZUM-a za leto 2012 smo zapisali projekt z naslovom Vpeljava protokola IPv6 in mu pripisali prvo prioriteto. Ideja je bila, da najprej našim uporabnikom ponudimo naše ključne storitve na internetu še preko IPv6, v prvi vrsti COBISS/OPAC, SICRIS in druge spletne strani IZUM-a, šele nato pa IPv6 omogočimo tudi na internem omrežju IZUM-a. Zato smo najprej zamenjali zastarelo požarno pregrado, ki ločuje naše omrežje od interneta in je priključena takoj za tistimi prej omenjenimi stikali, ki so prav tako bila že zamenjana. Menjavo smo že prej načrtovali, saj smo iskali tudi rešitev za namerne ali nenamerne poskuse napadov DOS na naše najbolj obiskane strežnike za COBISS/OPAC. Požarna pregrada je seveda morala imeti popolno podporo za IPv6, mi pa smo si zagotovili tudi dobro podporo tako lokalnega distributerja kot proizvajalca opreme. Takoj po uspešni zamenjavi in konfiguraciji nove požarne pregrade smo na priključku, ki je povezan na usmerjevalnik, vključili IPv6. Tu smo naleteli na prvo težavo, ki smo jo uspešno rešili s pomočjo dobre podpore proizvajalca strojne in programske opreme. Glede varnostnih pravil na sami požarni pregradi pa velja, da Dejan Valh: IPv6 – ALI GA ŽE POTREBUJEMO?

RkJQdWJsaXNoZXIy MTAxMzI5