OZ 2013/1-4

14 ORGANIZACIJA ZNANJA 2013, LETN. 18, ZV. 1 – 4 je zaradi dodatne uvedbe novih segmentov IPv6 treba varnostno politiko podvojiti. To v praksi pomeni, da če se spremenijo pravila dostopa ali dosegljivosti za omrežja IPv4, se morajo tudi za IPv6. Dvojno delo bo potrebno vsaj do takrat, ko bomo lahko rekli, da pa konfiguracij IPv4 več ne potrebujemo, kar pa ne bo tako zelo kmalu. Sočasno smo zamenjali še strežnike DNS (angl. domain name system ), kar smo tudi že imeli v načrtu. Strežniki DNS razrešujejo ljudem razumljive in logične naslove v številke IP in obratno ter poskrbijo, da je ljudem internet bolj prijazen, saj številkam IP dodelijo razumljiva imena. Na primer spletna stran Knjižnice Bena Zupančiča Postojna, ki gostuje na strežniku IZUM-a z naslovom www.po.sik.si, ima IPv6 številko 2001:1470: FF84:100::121. Odločili smo se, da so strežniki DNS še naprej neodvisni od drugih storitev, saj če ti nehajo delovati, naše storitve ne bodo več dosegljive. Zato smo na dva nova manjša strežnika namestili operacijski sistem Linux in prenesli zapise DNS na ta dva nova strežnika. Ugotovili smo, da na strežnikih Linux novejših različic CentOS ni nikakršnih težav. Tako smo imeli pripravljena strežnika DNS, ki razrešujeta tudi naslove IPv6, in testno obdobje uvajanja IPv6 se je lahko začelo. Priprava testnih okolij Telekom Slovenije nam je za obdobje testiranja ponudil brezplačen dostop preko IPv6. Preverjali smo lahko dosegljivost IPv6 iz drugega internetnega omrežja, saj je promet IPv6 do nas najprej stekel po Telekomovem omrežju, nato pa šele preko Arnesovega omrežja do nas. S tem smo pridobili neodvisnost od omrežja ARNES, saj do naših storitev dostopajo tudi iz drugih omrežij, ne samo iz Arnesovega. Tako smo na to omrežje vključili delovno postajo (virtualni strežnik), ki je imel naslov IPv6 iz Telekomovega naslovnega prostora. Sočasno smo se z Lancomom, ki je eden od naših dobaviteljev računalniške opreme, dogovorili, da skupaj vpeljemo IPv6 v IZUM-u in Lancomu. Na strokovnem srečanju na Rogli, ki ga vsako leto za svoje stranke in partnerje organizira Lancom, smo se odločili, da od besed o IPv6 preidemo k dejanjem. Skupaj smo za namene testiranja pripravili ustrezna okolja. Ko je Lancom na svoji požarni pregradi omogočil IPv6 in se povezal v internet preko ponudnika T-2, so nam v virtualnem okolju pripravili en strežnik z Windows 2008 in eno delovno postajo Windows XP, ki sta imela nastavljena naslova IPv4 in IPv6. Dodatno smo imeli na voljo delovno postajo z Windows 7, kjer je bil nastavljen samo IPv6. Na delovnih postajah je bilo nameščenih več brskalnikov. Tako smo lahko preverjali dosegljivost tistih spletnih strani IZUM-a, ki smo jim poleg naslova IPv4 nastavili še naslov IPv6. To smo lahko počeli tako iz Telekomovega omrežja kot iz omrežja T-2. Tudi Lancomova osnovna spletna stran je na IPv6. Slika 1: Spletna stran podjetja Lancom je dosegljiva preko IPv6 Testno obdobje in prve težave V drugi polovici leta 2012 smo posamezne storitve IZUM-a preklopili na IPv6. Največji zalogaj je bil COBISS/OPAC, ki zaenkrat še teče na spletnem strežniku Apache na starejšem operacijskem sistemu OpenVMS. Testi so pokazali, da prihaja do nerazumljivih kratkih prekinitev v delovanju samega strežnika, ki so moteče za uporabnike, saj gre za dinamične spletne strani. Ker se pri statičnih spletnih straneh to ne opazi, smo IZUM-ovo vstopno stran, ki je sicer na isti tehnologiji, lahko ponudili preko IPv6. Slika 2: Spletna stran zavoda IZUM je dosegljiva preko IPv6 Napako smo javili HP-ju, kjer pa po več kot enem letu niso našli rešitve. Sicer je malo verjetno, da bi se intenzivno lotili reševanja te problematike, kajti razvoj na OpenVMS je praktično zamrl. Torej nismo dosegli najbolj želenega cilja, da ponudimo COBISS/OPAC po IPv6. Kot kažejo prve ugotovitve, bomo te probleme zaobšli s tem, da bomo v kratkem zamenjali že nabavljeno napravo za porazdeljevanje prometa (angl. load balancer ). Ko bo uporabnik zahteval stran COBISS/OPAC po IPv6, bo razporejevalnik prometa zahtevo prestregel in jo po protokolu IPv4 posredoval strežniku COBISS/OPAC. Torej na strežniku ne bo treba nastaviti IPv6. Gre za podoben princip kot je NAT64, ki smo ga že omenili. Nadaljnja testiranja so pokazala, da tudi vsi strežniki z operacijskim sistemom Windows Server 2003 niso najbolj primerni za IPv6, saj se težave pojavljajo pri usmerjanju prometa IPv6 predvsem za produkcijska okolja COBISS3. Pri testiranju funkcionalnosti aplikacije COBISS3 smo naleteli še na eno težavo. Nekje v konfiguraciji za komunikacijo je bila namreč Dejan Valh: IPv6 – ALI GA ŽE POTREBUJEMO?