Mendelova univerzita v Brně Provozně ekonomická fakulta
Implementace protokolu IPv6 do firemní sítě společnosti Znovín Znojmo, a.s. se sídlem v Šatově Bakalářská práce
Vedoucí práce: Ing. Petr Zach
Marek Viklický
Brno 2015
Na tomto místě bych rád poděkoval vedoucímu mé bakalářské práce Ing. Petru Zachovi za cenné rady, informace, připomínky a také za ochotu a čas při konzultacích.
Čestné prohlášení Prohlašuji, že jsem tuto práci: Implementace IPv6 do firemní sítě společnosti Znovín Znojmo, a.s. se sídlem v Šatově vypracoval samostatně a veškeré použité prameny a informace jsou uvedeny v seznamu použité literatury. Souhlasím, aby moje práce byla zveřejněna v souladu s § 47b zákona č. 111/1998 Sb., o vysokých školách ve znění pozdějších předpisů, a v souladu s platnou Směrnicí o zveřejňování vysokoškolských závěrečných prací. Jsem si vědom, že se na moji práci vztahuje zákon č. 121/2000 Sb., autorský zákon, a že Mendelova univerzita v Brně má právo na uzavření licenční smlouvy a užití této práce jako školního díla podle § 60 odst. 1 Autorského zákona. Dále se zavazuji, že před sepsáním licenční smlouvy o využití díla jinou osobou (subjektem) si vyžádám písemné stanovisko univerzity o tom, že předmětná licenční smlouva není v rozporu s oprávněnými zájmy univerzity, a zavazuji se uhradit případný příspěvek na úhradu nákladů spojených se vznikem díla, a to až do jejich skutečné výše. V Brně dne 5. ledna 2015
_______________________________
Abstract Viklický, M. Implementation of IPv6 protocol to company network of Znovín Znojmo, a.s. se sídlem v Šatově. Bachelor thesis. Brno: Mendel University in Brno, 2015. Subject of this bachelor thesis is implementation of IPv6 protocol to company network. The theoretical part explains characteristics of IPv6 protocol and describes differences against IPv4 protocol. The practical part suggests configurations of network devices in company network. Keywords IPv6, company network, computer network, windows, linux.
Abstrakt Viklický, M. Implementace protokolu IPv6 do firemní sítě společnosti Znovín Znojmo, a.s. se sídlem v Šatově. Bakalářská práce. Brno: Mendelova univerzita v Brně, 2015. Tématem bakalářské práce je zavedení protokolu IPv6 do firemní sítě společnosti. Teoretická část vysvětluje charakteristiku protokolu IPv6 a popisuje rozdíly oproti protokolu IPv4. Praktická část navrhuje konfigurace síťových prvků v počítačové síti společnosti. Klíčová slova IPv6, firemní síť, počítačová síť, windows, linux.
Obsah
9
Obsah Seznam obrázků
11
Seznam zkratek
12
1
13
2
Úvod a cíl práce 1.1
Úvod....................................................................................................................................... 13
1.2
Cíl práce................................................................................................................................ 13
1.3
Metodika .............................................................................................................................. 13
Charakteristika protokolu IPv6
14
2.1
Popis protokolu IPv6 ...................................................................................................... 14
2.2
Vznik protokolu IPv6 ...................................................................................................... 14
2.3
Datagram protokolu IPv6.............................................................................................. 14
2.3.1 2.4
Popis datagramu ..................................................................................................... 14
Adresace protokolu IPv6 ............................................................................................... 16
2.4.1
Adresní prostor ....................................................................................................... 16
2.4.2
Zápis adresy IPv6 ................................................................................................... 16
2.4.3
Druhy IPv6 adres .................................................................................................... 17
2.4.4
Individuální adresy ................................................................................................ 18
2.4.5
Skupinové adresy ................................................................................................... 18
2.5
ICMPv6 ................................................................................................................................. 18
2.6
Objevování sousedů ........................................................................................................ 19
2.7
Automatická konfigurace .............................................................................................. 20
2.7.1
Stavová konfigurace .............................................................................................. 20
2.7.2
Bezstavová konfigurace ....................................................................................... 21
2.8
DNS a IPv6 ........................................................................................................................... 22
2.8.1
Dopředné dotazy .................................................................................................... 22
2.8.2
Reverzní dotazy ...................................................................................................... 22
2.9
Přechodové mechanismy .............................................................................................. 23
2.9.1
Dvojí zásobník (dual stack) ................................................................................ 23
10
Obsah
2.9.2
Tunelování ................................................................................................................ 23
2.9.3
Překladače ................................................................................................................. 24
2.10 Směrování v protokolu IPv6......................................................................................... 24
3
2.10.1
Statické směrování................................................................................................. 24
2.10.2
Dynamické směrování .......................................................................................... 25
Praktická část
26
3.1
Představení firmy ............................................................................................................. 26
3.2
Topologie firemní sítě ..................................................................................................... 26
3.2.1
Sídlo společnosti v Šatově ................................................................................... 27
3.2.2
Pobočka společnosti ve Znojmě ........................................................................ 27
3.3
Komunikace sídlo – pobočky ....................................................................................... 27
3.3.1
Ověření nativní dostupnosti IPv6 .................................................................... 27
3.4
Konfigurace webového a emailového serveru ...................................................... 29
3.5
Konfigurace v sídle společnosti................................................................................... 31
3.6
Konfigurace pobočky v Šatově .................................................................................... 32
3.7
Konfigurace pobočky ve Znojmě ................................................................................ 33
3.8
Konfigurace DNS v rámci protokolu IPv6 ............................................................... 34
4
Finanční zhodnocení
35
5
Diskuze
36
6
Závěr
37
7
Literatura
38
Seznam obrázků
11
Seznam obrázků Obr. 1 Obr. 2 Obr. 3 Obr. 4 Obr. 5 Obr. 6 Obr. 7 Obr. 8
Základní hlavička datagramu protokolu IPv6 (Cesnet, 2014) ........................ 16 Členění Global unicast adresy (Cesnet, 2014) ................................................ 18 Dual stack – topologie (what-when-how.com, 2014) ..................................... 23 Logická topologie společnosti ........................................................................ 27 Logická topologie společnosti včetně IPv6 a nové pobočky ......................... 29 Nastavení pro dynamickou konfiguraci IPv6 adresy – Windows 7................ 32 Nastavení pro statickou konfiguraci IPv6 adresy – Windows 7 ..................... 33 Finanční zhodnocení ....................................................................................... 35
12
Seznam zkratek
Seznam zkratek IPv6
Internet protocol version 6
IPv4
Internet protocol version 4
NAT
Network address translation
IPng
Internet protocol next generation
TTL
Time to live
MTU
Maximum transmission unit
DHCPv6 Dynamic host configuration protocol version 6 ICMPv6 Internet control message protocol version 6 DNS
Domain name system
SSH
Secure shell
HTTP
Hypertext transfer protocol
HTTPS Hypertext transfer protocol secure SMTP
Simple mail transfer protocol
POP3
Post office protocol 3
IMAP
Internet message access protocol
TSP
Tunnel setup protocol
ISATAP Intra-site automatic tunnel addressing protocol SIIT
Stateless IP/ICMP translation
NAT-PT Network address translation – port translation TRT
Transport relay translator
Úvod a cíl práce
13
1 Úvod a cíl práce 1.1
Úvod
Protokol IPv6 vznikl proto, aby nahradil stávající protokol IPv4, ve kterém dochází adresní prostor. První nedostatky adres se začaly objevovat začátkem 90. let. Tehdejší studie odhadovaly, že adresy budou kompletně vyčerpány v horizontu 10 let. Tento problém částečně vyřešilo to, že se začalo používat beztřídní adresování CIDR (Classless Inter-Domain Rouing). Současně se objevil mechanismus pro překlad adres NAT (Network Address Translation). Kritéria na přidělování adres se zpřísnila, ale celý problém všechna tato opatření pouze oddálila. Okolo roku 2005 se opět projevil nedostatek adres protokolu IPv4. Centrální zásoba celosvětové organizace IANA (Internet Assigned Numbers Authority), která dohlíží na přidělování adres, je vyčerpána. Nástupce IPv4 tedy musí disponovat obrovským adresním prostorem, což IPv6 naplňuje více než hodně. Problém s nedostatkem IPv4 adres je stále aktuálnější a přechod na nový protokol IPv6 bude nevyhnutelný.
1.2
Cíl práce
Cílem této bakalářské práce je analyzovat současný stav firemní sítě společnosti Znovín Znojmo a.s., se sídlem v Šatově a provést návrh implementace protokolu IPv6, který zahrnuje připojení k celosvětové síti Internet.
1.3
Metodika
Bakalářská práce Implementace protokolu IPv6 do firemní sítě společnosti Znovín Znojmo a.s., se sídlem v Šatově se skládá z několika kapitol. První kapitola se jmenuje Charakteristika protokolu IPv6 a popisuje základní problematiku této oblasti. Jsou zde vysvětleny základní vlastnosti a popsány rozdíly oproti protokolu IPv4. Kapitola se také věnuje přechodu ze staršího protokolu na novější. Druhá kapitola se věnuje samotné implementaci protokolu IPv6 do podnikové sítě společnosti Znovín. Jsou zde popsány konkrétní konfigurace a návrhy řešení. Závěr práce patři finančnímu zhodnocení, diskuzi nad aktuální potřebností implementace protokolu IPv6.
14
Charakteristika protokolu IPv6
2 Charakteristika protokolu IPv6 2.1
Popis protokolu IPv6
IPv6 je označení protokolu pro komunikaci v prostředí sítě Internet. Protokol IPv6 byl již od počátku koncipován jako náhrada za v současnosti používaný protokol IPv4. Jako takový přináší především opravdu velké rozšíření adresního prostoru (jeden z hlavních důvodů jeho vzniku), což znamená, že v podstatě každé síťové zařízení může mít svoji unikátní IPv6 adresu, která je jednoznačně identifikovatelná v rámci celosvětové sítě Internet. Mezi cíle při návrhu protokolu se řadily: Dostatečně bohatý adresní prostor (takový, aby nebyla vyčerpána jeho kapacita jako u IPv4). Design odpovídající vysokorychlostním sítím. Bezpečnostní prvky přímo v datagramu. Automatická konfigurace Kooperace s IPv4 a s tím spojený co nejméně náročný přechod z původního protokolu na nový. V současné době však protokol IPv6 přináší i zápory. Například nemá zpětnou kompatibilitu s protokolem IPv4, tudíž i přes plánované nahrazení modernějším protokolem stále musí současná zařízení podporovat i protokol původní. (CESNET, 2014).
2.2
Vznik protokolu IPv6
V roce 1992 byla poprvé podána výzva na zpracování návrhu IPng. Následovalo vydání sady RFC, která definuje základy nového internetového protokolu. Následující vývoj a rozšíření protokolu IPv6 však neprobíhalo tak rychle, jak se původně předpokládalo. Jedním z důvodů zpomalení rozvoje protokolu IPv6 bylo zavedení směrování na základě síťové masky a překladu síťových adres, neboli technologie NAT u protokolu IPv4. Pomocí těchto technologií došlo k dočasnému potlačení nedostatku adres v rámci adresního prostoru protokolu IPv4. Nicméně vývoj protokolu IPv6 neustal a v následujících letech došlo k vydání různých revizí a přidávání dalších prvků protokolu IPv6 a především se začala dostávat podpora protokolu IPv6 do řady používaných operačních systémů a síťových zařízení (Satrapa, 2011).
2.3 2.3.1
Datagram protokolu IPv6 Popis datagramu
Datagram protokolu IPv6 částečně staví na formátu datagramu, který byl již použit v protokolu IPv4. Pokud uvážíme fakt, že protokol IPv6 má být a považuje se za
Charakteristika protokolu IPv6
15
nástupce dnes masově používaného protokolu IPv4, dojdeme závěru, že muselo dojít k určitým změnám a optimalizacím ve formátu a složení datagramu. Formát datagramu a základní informace o jeho částech definuje dokument, který nese označení RFC 2460: Internet Protocol Version 6 (IPv6) Specification. Tento dokument lze také označit a je často označován jako základní stavební prvek celého protokolu IPv6. Zaměříme-li se na samotný datagram v protokolu IPv6, zjistíme, že jeho základní podoba je v podstatě obvyklá. Tedy, že jako první jsou v datagramu hlavičky a za nimi pak následují vlastní data nesená datagramem. Zaměříme-li se však na hlavičky datagramu, objevíme první rozdíly. V protokolu IPv4 měly hlavičky proměnlivou délku a každý další bod, kterým datagram prošel, mohl připojit další volby, které nebyly povinné. V hlavičce datagramu IPv4 byl dále kontrolní součet tzv. header checksum. I když byl tento kontrolní součet vypočítáván pouze ze záhlaví datagramu IPv4 a ne z datagramu celého, tak každá změna v hlavičce datagramu vyvolala potřebu přepočítat kontrolní součet datagramu a změnit jeho hodnotu v hlavičce. Vezmeme-li v úvahu ve většině případů běžné fungování protokolu IPv4, kde při průchodu směrovačem, směrovač změní nějakou položku v záhlaví datagramu protokolu IP např. hodnotu TTL, kterou až na výjimky musí při průchodu změnit. Dostáváme se tedy k faktu, že by každý průchod směrovačem znamenal pro směrovač dodatečnou zátěž ve formě přepočítání kontrolního součtu v hlavičce datagramu protokolu IP. Konkrétně kontrolní součet v hlavičce, tak jak byl použit v protokolu IPv4, je v protokolu IPv6 odstraněn a je změněna i celá koncepce hlavičky tak, že je v podstatě v tomto místě nepotřebný. Tento čin je odůvodněn tvrzením, že služba kontrolního součtu je poskytována prostřednictvím nižší vrstvy v síťové architektuře a na úrovni protokolu IPv6 by byl tento úkon opakován znovu a v podstatě redundantně. Což není z hlediska výkonu žádoucí. V protokolu IPv6 je hlavička minimalizována a použití prvků v hlavičce je omezeno pouze na ty prvky, které jsou nutné. Vznikla tak hlavička, která má konstantní počet prvků a je možno ji tedy také označit za hlavičku základní. Podstatným faktem je, že i velikost této základní hlavičky je konstantní. Je tedy patrné, že došlo k maximálnímu zjednodušení struktury základní hlavičky. Všechny ostatní údaje byly přemístěny do rozšiřujících hlaviček, které slouží jako doplnění základní hlavičky o další položky, které však v datagramu na rozdíl od základní hlavičky mohou být přítomny, nebo mohou zcela chybět. Aby byl celý koncept týkající se hlavičky datagramu v protokolu IPv6 škálovatelný, je zaveden systém zřetězení hlaviček. S tím souvisí i odlišný způsob, kterým jsou reprezentovány rozšiřující hlavičky v porovnání s protokolem IPv4. Každá hlavička v tomto systému vytváří samostatný blok. Tyto samostatné bloky jsou propojovány prostřednictvím v protokolu IPv6 nově zavedené položky hlavičky, která se nazývá další hlavička (Next header). Hodnota položky další hlavička, resp. kód v ní obsažený, určuje typ hlavičky, která následuje po hlavičce s tímto kódem. Každá rozšiřující hlavička je uvozena položkou další hlavička. Díky těmto položkám a jejich hodnotám je možno provést zřetězení v podstatě libovolného počtu
16
Charakteristika protokolu IPv6
hlaviček. Za povšimnutí stojí také velikosti hlaviček. Pokud vezmeme hlavičku z datagramu protokolu IPv6 a porovnáme ji s hlavičkou datagramu z protokolu IPv4, zjistíme, že má hlavička protokolu IPv6 pouze dvojnásobnou délku oproti své předchůdkyni. Délka hlavičky datagramu protokolu IPv6 je tedy čtyřicet bajtů, přičemž z těchto čtyřiceti bajtů činí třicet dva bajtů pouze adresy příjemce a odesílatele. V protokolu IPv4 měly adresy příjemce a odesílatele délku pouze osmi bajtů (Hotský, 2013).
Obr. 1
2.4 2.4.1
Základní hlavička datagramu protokolu IPv6 (Cesnet, 2014)
Adresace protokolu IPv6 Adresní prostor
Protokol IPv6 používá delší adresy, než je tomu u protokolu IPv4. Délka IPv6 adresy je 128 bitů, což je čtyřikrát více, než má IPv4 adresa. Co se tedy samotné kapacity adresního prostoru týče u IPv4 je k dispozici 232 neboli 4 294 967 296 adres. Adresní prostor IPv6 skýtá 2128 možných adres, což definitivně řeší problém s potencionálním vyčerpáním dostupných adres. Pro představu lze s adresním prostorem IPv6 přidělit každému člověku na planetě přidělit zhruba několik trilionů adres. To by znamenalo, že jeden člověk by měl k dispozici více adres, než jich nabízí celý adresní prostor protokolu IPv4 (Lammle, 2007). 2.4.2
Zápis adresy IPv6
Jak již bylo zmíněno, IP adresa protokolu IPv6 má délku sto dvaceti osmi bitů a ke svému zápisu, používá šestnáctkovou soustavu. Samotná adresa je rozčleněna na osm skupin, kde každá skupina má délku šestnácti bitů. Dále je každá skupina vyjádřena prostřednictvím čtyř čísel šestnáctkové soustavy. Jednotlivé skupiny jsou od sebe odděleny prostřednictvím dvojtečky. Vezmeme-li v potaz, že IPv6 adresa obsahuje ve své základní a nezkrácené podobě třicet dva čísel šestnáctkové soustavy, dojdeme k závěru, že práce s tímto formátem IPv6 adresy je poněkud těžko-
Charakteristika protokolu IPv6
17
pádná. Z tohoto důvodu byla stanovena pravidla, která určují, jak je možno zkrátit zápis IPv6 adresy v její základní podobě. Tato pravidla budou popsána v následujícím odstavci a týkají se především nakládání s hodnotou nula v zápise adresy. Pokud je jedna skupina IPv6 adresy tvořena samými nulami, je možné tyto čtyři nuly nahradit v zápisu nulou pouze jednou. Zároveň je možné v zápise této adresy vynechat všechny počáteční nuly ve všech skupinách. Samozřejmě je nutné, aby v daných skupinách po vynechání nul zůstaly nějaké hodnoty, za předpokladu, že se nejedná o následující situaci. Pokud by se v IPv6 adrese vyskytovalo více bezprostředně sousedících skupin, jejichž obsah je tvořen pouze nulami (tzv. nulové skupiny), je možné tyto nulové skupiny zcela nahradit zapsáním dvou dvojteček („::“). Toto nahrazení je však možné v zápisu IPv6 adresy použít pouze jednou a nesmí být použito k nahrazení pouze jedné nulové skupiny. Nulu, která se nalézá na konci zápisu dané skupiny a zároveň ji předchází v dané skupině jiné hodnoty, nelze ničím nahradit, ani ji ze zápisu vynechat. Tato pravidla tedy umožňují zkrátit zápis IPv6 adresy ze základního tvaru (Satrapa, 2011). Příklad IPv6 adresy: 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 dále adresa, kterou lze zkrátit: 0123:0000:0000:0000:4560:0000:0000:0000 a to následujícím postupem: 123:0:0:0:4560:0:0:0 123::4560:0:0:0 nebo 123:0:0:0:4560:: nyní je zřetelné, proč nelze použít zápis dvou dvojteček vícekrát než jednou. 2.4.3
Druhy IPv6 adres
Protokol IPv6 děli své adresy na 3 základní typy. Příslušnost adresy k některému z nich určuje její vlastnosti a také její funkce. IPv6 adresy se dělí takto (Kabelová, Dostálek, 2008): Individuální (unicast) – adresy, které identifikují jednotlivá síťová rozhraní. Skupinové (multicast) – data odeslaná na jednu skupinovou adresu jsou doručena celé skupině uzlů. Může se jednat například o všechny routery v lokální síti.
18
Charakteristika protokolu IPv6
Výběrové (anycast) – tyto adresy také označují skupinu uzlů, ovšem data nejsou doručována všem ve skupině, ale pouze členovi skupiny, který je nejblíž odesílateli. 2.4.4
Individuální adresy
Adresy pro jednotlivá síťová rozhraní se dělí na ty, které adresovat prakticky odkudkoliv z Internetu a na adresy platné pouze v rámci lokální linky. Global unicast adresy - jak již název napovídá, jedná se o adresy určující konkrétní uzel, můžeme je tedy přirovnat k veřejným IPv4 adresám. To znamená, že jsou unikátní v rámci sítě Internet. V současné době se rozděluje velmi malá část těchto adres, konkrétně se jedná o prefix 2000::/3. Global unicast adresa je rozdělena na tři části. Jedná se o globální směrovací prefix, identifikátor podsítě a identifikátor rozhraní. Toto členění značně snižuje zatížení směrovačů při směrování. Lokální linkové adresy – jsou na rozhraní k dispozici vždy, nezávisle na existenci global unicast adresy nebo dostupnosti internetového připojení. Jejich platnost je však omezena pouze na lokální linku, což může být například připojení více zařízení do stejného switche (IPv6.cz, 2012).
Obr. 2
Členění Global unicast adresy (Cesnet, 2014)
2.4.5
Skupinové adresy
Skupinové adresy představují samostatný typ adres v protokolu IPv6 a slouží především k adresaci určitých skupin síťových zařízení. Pokud jsou na skupinovou adresu odeslána nějaká data, budou odeslána všem členům této skupiny. Se skupinovými adresami se lze setkat především u šíření obrazového a zvukového signálu v reálném čase, může se tedy jednat např. o videokonference. Jsou také velmi používané v rámci nového systému objevování sousedů v rámci protokolu IPv6. V protokolu IPv6 identifikují jednotlivé multicastové skupiny skupinové adresy, které mají speciální rozsah adres ff00::/8 (Lupa.cz, 2009).
2.5
ICMPv6
Protokol ICMPv6 je v rámci IPv6 používán zejména pro výměnu provozních informací, testování dosažitelnosti a pro hlášení jednotlivých chybových stavů. Protokol ICMPv6 je dále využíván systémem objevování sousedů a podporou skupinových
Charakteristika protokolu IPv6
19
adres. Zprávy protokolu ICMPv6 jsou distribuovány pomocí datagramu protokolu IPv6. V rámci protokolu ICMPv6 existují dvě skupiny zpráv. První skupinu tvoří chybové zprávy a druhou informační zprávy. Chybové zprávy obsahují čtyři druhy chybových zpráv: Nedosažitelnost, Nadměrný datagram, Vypršení životnosti datagramu a Chybný datagram. Chybová zpráva Nedosažitelnost informuje o situaci, kdy byl směrovači doručen datagram, jehož cílová adresa je nedosažitelná. Chybová zpráva Nadměrný datagram informuje odesílatele datagramu o tom, že se v přenosové cestě vyskytuje úsek, jehož hodnota MTU je nižší, než je velikost datagramu. Chybovou zprávu Vypršení životnosti datagramu zasílá směrovač, pokud pro daný datagram vypršela doba jeho životnosti. Daná zpráva se může objevit i v případě, kdy směrovač neobdržel všechny fragmentované části datagramu. Chybová zpráva Chybný datagram informuje o situaci, kdy příjemce obdržel datagram s takovými parametry, kterým nerozumí. Mezi informační zprávy lze zařadit zprávy Echo a Odpověď na echo, což jsou klasické zprávy využívané pomocí rozšířeného a známého programu ping. Dále pak se jedná o zprávy Dotaz a Odpověď na dotaz, prostřednictvím kterých lze získat základní informace o síťovém zařízení a jako takové slouží především pro účely správy sítě. Další typy ICMPv6 zpráv je možné nalézt v rámci jednotlivých mechanismů, které využívá protokol IPv6. Do protokolu ICMPv6 byly zabudovány i některé bezpečností prvky, jejichž účelem je omezení zneužití ICMPv6 zpráv. Tyto bezpečností prvky definují např. minimální časovou prodlevu, která se musí vyskytovat mezi jednotlivými zprávami, nebo přidání šifrovacího mechanismu do jednotlivých zpráv protokolu ICMPv6 (Hotský, 2013).
2.6
Objevování sousedů
V rámci protokolu IPv6 je využíván nový systém pro objevování sousedů. Nese název Neighbor Discovery (ND). Pro svou činnost využívá především ICMPv6 zpráv a skupinových adres. Tento systém je obdobou ARP v rámci IPv4. Systém ND slouží k následujícím účelům: Zjišťování linkových adres uzlů ve stejné lokální síti. Rychlé aktualizace neplatných položek a zjišťování změn v linkových adresách Hledání směrovačů. Přesměrování. Zjišťování prefixů, parametrů sítě a dalších údajů pro automatickou konfiguraci adresy Ověřování dosažitelnosti sousedů. Detekce duplicity adres. Systém objevování sousedů využívá ke své činnosti pět druhů ICMPv6 zpráv. Jedná se o tyto: Výzva sousedovi (Neighbor solicitation).
20
Charakteristika protokolu IPv6
Ohlášení souseda (Neighbor advertisement). Výzva směrovači (Router solicitation). Ohlášení směrovače (Router advertisement). Přesměrování (Redirect). V rámci systému objevování sousedů funguje systém, který se neustále snaží ověřovat dostupnost sousedů, se kterými dané síťové zařízení komunikuje. Daný systém existuje také z důvodu, že se cache sousedů nedá považovat za stoprocentně spolehlivý mechanismus. K určení dosažitelnosti souseda jsou definovány dva principy. První princip využívá informací od vyšší síťové vrstvy o tom, že úspěšně probíhá komunikace s daným sousedem a tím pádem je jasné, že je daný soused dostupný. Druhý princip ověřuje dostupnost sousedů za pomoci toho, že aktivně zasílá výzvy daným sousedům a pokud na ně daní sousedé odpovědí, je jasné, že jsou dostupní. V rámci tohoto systému je definováno pět stavů, ve kterých se sousedé daného síťového zařízení mohou v rámci cache sousedů nacházet. Jedná se o stavy: Nekompletní (Incomplete), Dosažitelný (Reachable), Prošlý (Stale), Odložený (Delay) a Testovaný (Probe). Stav Nekompletní dává najevo, že daná linková adresa není známa, ale že již byla odeslána patřičná výzva sousedovi, na kterou však soused doposud neodpověděl. Pokud nedorazí žádná odpověď, je daný záznam vymazán. Stav Dosažitelný signalizuje, že je známa příslušná linková adresa a daný soused je dosažitelný. Stav Prošlý signalizuje, že vypršel časový limit dostupnosti daného souseda. Stav Odložený signalizuje, že je daný záznam prošlý a že se aktuálně čeká na potvrzení dostupnosti daného souseda. Stav Testovaný signalizuje čekání na odpověď na zprávu Výzva sousedovi (Satrapa, 2011).
2.7
Automatická konfigurace
Automatická konfigurace je vlastností protokolu IPv6 a staví na principu minimální potřebné počáteční konfigurace. Obecně lze tedy říci, že pokud připojíme síťové zařízení, kterým může být v našem případě např. osobní počítač, do sítě, počítač se sám postará o zjištění parametrů sítě, které jsou potřebné pro komunikaci s okolními sítě a sám si vygeneruje příslušnou IPv6 adresu. Automatická konfigurace se v rámci protokolu IPv6 vyskytuje ve dvou typech. 2.7.1
Stavová konfigurace
Prvním typem je Stavová konfigurace, která je v podstatě následníkem protokolu DHCP, který je hojně používán v rámci sítí protokolu IPv4. V rámci protokolu IPv6 byl protokol DHCP přepracován a označuje se jako DHCPv6. I když se jedná o novou verzi protokolu DHCP, je princip jakým obě verze těchto protokolů pracují v podstatě totožný. Základem tohoto principu je síťové zařízení, na kterém je spuštěn server dané verze protokolu DHCP, který se stará o přidělování parametrů konfigurace sítě jednotlivým klientským síťovým zařízením. Pokud tedy chce dané klientské zařízení znát příslušné konfigurační parametry platící pro danou síť,
Charakteristika protokolu IPv6
21
odešle do této sítě požadavek, na nějž mu odpoví DHCP server zasláním příslušných konfiguračních parametrů. DHCPv6 může pracovat ve dvou režimech konfigurace, tedy ve stavovém režimu (Stateful Mode) a v bezstavovém režimu (Stateless Mode). V rámci stavového režimu DHCP server může přidělovat svým klientům všechny konfigurační parametry pro jejich fungování v rámci dané sítě, tedy kromě příslušné IPv6 adresy, prefixu sítě a výchozí brány, také např. adresy DNS serverů a NTP serverů. V rámci bezstavového režimu je kombinováno použití DHCPv6 a Bezstavové konfigurace. Pomocí Bezstavové konfigurace získají síťoví klienti konfigurační parametry typu IPv6 adresy, prefixu sítě a výchozí brány. Zbylé konfigurační parametry, které není schopná dodat síťovým klientům Bezstavová konfigurace, jsou zprostředkovány klientům prostřednictvím DHCPv6. Tato dodatečná konfigurace je prováděna prostřednictvím k tomu vyhrazené položky O (Other Stateful Configuration) v rámci zprávy Ohlášení směrovače. Pokud síťový klient zaregistruje tuto položku v rámci dané zprávy, odešle svůj požadavek na doplňující konfigurační parametry příslušnému DHCPv6 serveru. 2.7.2
Bezstavová konfigurace
Druhým typem automatické konfigurace je tzv. Bezstavová konfigurace, neboli SLAAC. Bezstavová konfigurace je prezentována jako součást systému objevování sousedů. Tento způsob automatické konfigurace již představuje skutečnou novinku, kterou přináší protokol IPv6. Bezstavová konfigurace se zaměřuje na fakt, že každá síť (např. lokální síť) má svůj hlavní směrovač. Hlavní směrovač ze své pozice zná všechny konfigurační parametry, které jsou potřebné pro komunikaci s ostatními sítěmi. Tyto konfigurační parametry jsou pomocí daného směrovače rozesílány v náhodných časových intervalech v rámci sítí, ke kterým je připojen a do kterých je odesílání těchto informací povoleno. Pro veškerou komunikaci je v rámci Bezstavové konfigurace protokolu IPv6 využit protokol ICMPv6. K odesílání těchto konfiguračních parametrů používá směrovač v rámci Bezstavové konfigurace tzv. Ohlášení směrovače, neboli Router Advertisement Klientskému zařízení tak stačí v podstatě pouze naslouchat, aby zjistilo konfigurační parametry dané sítě. Jedná se především o konfigurační parametry typu síťový prefix a výchozí brána. Identifikátor rozhraní v rámci adresy IPv6 si je klient schopen odvodit sám, např. pomocí EUI-64 (64-bit Extended Unique Identifier), nebo pomocí Privacy Extensions. Pro zajištění větší dynamičnosti tohoto typu autokonfigurace může klientské zařízení vyslat do dané sítě požadavek, kterým žádá o zaslání příslušných konfiguračních parametrů. Požadavek je odeslán prostřednictvím výzvy směrovači, neboli Router Solicitation. Použitím Bezstavové konfigurace odpadá nutnost konfigurace a údržby DHCP serveru, jako je tomu u Stavové konfigurace. Pro aktivaci Bezstavové konfigurace pro danou síť, která přísluší k určitému směrovači, v podstatě postačuje mít nastavený globální prefix na daném rozhraní a zapnutou podporu Bezstavové konfigurace.
22
Charakteristika protokolu IPv6
Nevýhodou Bezstavové konfigurace je, že její základní definice neobsahuje v rámci směrovačem rozesílaných konfiguračních parametrů informace o DNS serverech, které mají být použity. V podstatě se nabízí dvě možnosti, jak tento problém vyřešit. První možností je využít rozšířenou verzi Bezstavové konfigurace, která byla popsána v rámci RFC 6106: IPv6 Router Advertisement Options for DNS Configuration. Nevýhodou tohoto řešení je, že musí být dané změny implementovány jak na straně směrovače, tak na straně klientských síťových zařízení a tak toto řešení nemusí být podporováno v rámci všech síťových zařízení. Druhou možností je zabezpečit celý proces předávání konfiguračních parametrů jiným způsobem, než je Bezstavová konfigurace, tedy využitím např. Stavové konfigurace, tedy protokolu DHCPv6 (Hotský, 2013).
2.8
DNS a IPv6
2.8.1
Dopředné dotazy
Pro převod jména na IPv6 adresu slouží záznamy typu AAAA. Název byl odvozen od A záznamů, které obstarávají tentýž úkol pro IPv4. Jelikož je délka IPv6 adresy čtyřnásobná, bylo A v názvu záznamu také čtyřikrát zopakováno. Použití v zónovém souboru je obvyklé: jméno AAAA IPv6_adresa například pc AAAA 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 2.8.2
Reverzní dotazy
Zatímco v adrese je nejobecnější část na začátku (adresa sítě, pak podsíť a až na závěr adresa počítače v podsíti), u domén je tomu přesně naopak. Obecné domény (např. cz) jsou na konci a směrem dopředu se konkretizují. Aby se dala databáze reverzního DNS distribuovat obvyklým způsobem, je třeba adresu v dotazu obrátit. U IPv6 se reverzní dotaz z IPv6 adresy vytvoří tak, že se obrátí pořadí šestnáctkových číslic v celé adrese (nesmí se vynechávat žádné nuly) a každá z nich je brána jako poddoména. Na konec se pak připojí ip6.arpa. Dotaz zjišťující doménové jméno k IPv6 adrese 2001:0db8:85a3:08d3:1319:8a2e:0370:7344 by vypadal takto: 4.4.3.7.0.7.3.0.e.2.a.8.9.1.3.1.3.d.8.0.3.a.5.8.8.b.d.0 .1.0.0.2.ip6.arpa Do zónového souboru se zapisují prostřednictvím klasických PTR záznamů, nastavených pro protokol IPv6. Pro výše uvedenou adresu by instituce dostala při-
Charakteristika protokolu IPv6
23
dělen prefix 2001:db8:85a3::/48 a jemu odpovídající reverzní doménu 3.a.5.8.8.b.d.0.1.0.0.2.ip6.arpa. V jejím zónovém souboru by pak bylo uvedeno (IPv6.cz, 2009): 4.4.3.7.0.7.3.0.e.2.a.8.9.1.3.1.3.d.8.0 PTR pc.domena.cz
2.9
Přechodové mechanismy
Přechodové mechanismy jsou nedílnou součástí současného používání počítačových sítí. Důvodem existence přechodových mechanismů je také fakt, že na protokol IPv6 nelze přejít skokově. Síťově protokoly IPv6 a IPv4 mohou fungovat buď současně, nebo se v rámci tunelování propojují sítě IPv6 přes sítě IPv4, poslední možností je oboustranný překlad mezi protokoly. 2.9.1
Dvojí zásobník (dual stack)
Pro práci v režimu Dvojího zásobníku musí zařízení podporovat jak IPv4, tak IPv6 a také musí mít, resp. získat adresy svých rozhraní pro oba protokoly. Není zde definován žádný speciální způsob získání adres, zkrátka je využito běžných technik manuální či automatické konfigurace. Samotná komunikace mezi protokoly, pokud je nutná, probíhá na aplikační vrstvě, kde je prostředníkem dané aplikace, která přijatá data náležitě upraví a odešle druhým protokolem. (NetworkComputing, 2012).
Obr. 3
Dual stack – topologie (what-when-how.com, 2014)
2.9.2
Tunelování
Tunelování je metoda, která umožňuje přenos dat přes infrastrukturu, která nesplňuje požadované vlastnosti. Principem metody je, že se původní datagram zabalí
24
Charakteristika protokolu IPv6
do jiného datagramu, který již danou sítí může být přenesen. Klasickým případem použití tunelu je propojení dvou sítí, které využívají protokol IPv6, ale síť, která zprostředkovává jejich propojení, využívá IPv4. Typy tunelů se dělí do dvou základních skupin. Jedná se o tunely manuální, které jsou konfigurovány pověřenou osobou, a automatické, které navazují spojení dynamicky, bez potřeby opakovaného zásah administrátora. Mezi manuální tunely patří: Tunnel Broker TSP Mezi automatické tunely patří: 6to4 6over4 ISATAP Teredo 2.9.3
Překladače
Předchozí dva postupy vychází z toho, že v síti je integrován i nativní IPv6. Může ale nastat situace (např. u mobilních sítí třetí a čtvrté generace), kdy zařízení podporující pouze IPv6 potřebuje zahájit komunikaci s uzlem nebo zdrojem podporujícím pouze IPv4. Právě v těchto případech se používají translátory. Umožňují totiž přímou komunikace mezi uzly, které používají rozdílné protokoly. Mezi translační metody se řadí: SIIT NAT-PT NAT64 TRT SOCKS64
2.10 Směrování v protokolu IPv6 Routing se v protokolu IPv6 nijak zásadně neliší od svého předchůdce. Přináší ale pár změn, které v zásadě přichází, jak už je u IPv6 zvykem, se snahou o zjednodušení konfigurace síťových prvků. 2.10.1
Statické směrování
Oproti starší verzi prakticky beze změn, vše je postaveno na stejném principu jako u IPv4. Do směrovací tabulky se vloží záznam, který se skládá z IPv6 adresy s prefixem a next-hop či exit interface. Opět zde platí, že statické směrování se vyplatí používat v malých sítích, které jsou neměnné.
Charakteristika protokolu IPv6
2.10.2
25
Dynamické směrování
Protokoly pro dynamické směrování samozřejmě doznaly určitých změn, ale jedná se zejména o zajištění podpory pro IPv6 adresy, samotné principy směrování se nemění. RIPng RIPv2 byl pro potřeby protokolu IPv6 upraven na RIP next generation. V zásadě byl rozšířen pouze o podporu IPv6 adres a stále pro něj platí, že se hodí spíš pro menší sítě. OSPFv3 Link-state dynamický směrovací protkol, jehož principem je, že všechny routery si uchovávají kompletní topologii sítě a udržují ji stále aktuální. Změnou oproti staré verzi je opět zejména podpora IPv6 adres. EIGRPv6 Proprietární dynamický směrovací protokol od společnosti Cisco také figuruje mezi směrovacími protokoly, které si ve své nové verzi poradí s IPv6.
26
Praktická část
3 Praktická část 3.1
Představení firmy
Společnost Znovín Znojmo, a.s. se sídlem v Šatově sídlí na jižní Moravě. Město Šatov leží blízko hranic s Rakouskem. Jedná se však o poklidnou oblast, která svědčí zdejšímu průmyslu. Znovín Znojmo se společnosti, která se zabývá pěstováním a prodejem vín. V neposlední řadě, také pořádá spoustu kulturních akcí, ale co se prodeje týče, zaměřuje se spíše na velkoobchodní sféru. Tomu odpovídá i počet prodejních míst koncovým zákazníkům. Znovín ve svém sídle prodejnu nemá. Poloha sídla firmy k tomu není vhodná. Sídlo leží na jih od Šatova a je prakticky na okraji města. Proto má Znovín prodejnu vín v Šatově. Zdejší prodejna funguje už zhruba dvacet let a nic nenasvědčuje tomu, že by se měla někam přesouvat či končit. Další pobočkou byla prodejna ve Znojmě na ulici Česká. Zde ovšem maloobchodní prodej skončil před šesti lety. Důvodem uzavření pobočky je výše zmíněná orientace a velkoobchodní prodej. V neposlední řadě důvodem k uzavření Znojemské pobočky bylo to, že Znovín má ve Znojmě ještě jednu pobočku, kterou dokonce vlastní. Je to areál Louckého kláštera, který kromě prodeje slouží k organizování zmíněných kulturních akcí. Také zde ale probíhají různá školení, či jiné firemní akce. Společnosti Znovín Znojmo kompletně outsourcuje servis a správu informačních technologií od společnosti NET EXPERT, v.o.s.
3.2
Topologie firemní sítě
Společnost Znovín se skládá ze tří různých sítí. Znovín má v současné době dva fyzické servery. Ty jsou umístěny v sídle společnosti, Znovín je vlastní, ale jak již bylo uvedeno, kompletní správa spadá pod společnost NET EXPERT, v.o.s. Jelikož společnost Znovín si nepřeje, aby byly zveřejněny citlivé informace o interní síti, a já jsem vázán smlouvou o mlčenlivosti, nemohu nic zveřejnit bez předchozího souhlasu. Některé informace jsou tedy zkreslené do té míry, aby neprozradily žádné citlivé údaje, a některé informace jsem nemohl uvést vůbec. Na obrázku č. 4 můžete vidět topologii společnosti, kde je patrné, že nejvíce zaměstnanců a techniky je soustředěno v sídle společnosti. Jedná se o počítače z kanceláří administrativních pracovníků, kanceláře generálního ředitele a ostatních členů vedení a v neposlední řadě také několik počítačů přímo ve výrobě.
Praktická část
Obr. 4
Logická topologie společnosti
3.2.1
Sídlo společnosti v Šatově
27
Technické vybavení: Router Cisco 2811 4x Switch Cisco 2950 10x PC Intel Core i3, Windows 7, 3 GB RAM, 500 GB HDD 3.2.2
Pobočka společnosti ve Znojmě
Technické vybavení: Router Cisco 2811 Switch Cisco 2950 2x PC AMD Athlon x64, Windows 7, 2GB RAM 2x PC Intel Core i3, Windows 7, 3 GB RAM, 500 GB HDD
3.3 3.3.1
Komunikace sídlo – pobočky Ověření nativní dostupnosti IPv6
Jelikož poskytovatelem připojení k internetu pro společnost Znovín je NET EXPERT, v.o.s. jednal jsem o nativní podpoře IPv6 přímo se zástupci NET EXPERT. Stanoviskem poskytovatele bylo, že by nativní podporu IPv6 dokázal zajistit, ovšem důrazně tento krok nedoporučoval a argumentoval tím, že spojení by nemuselo být tak stabilní jako stávající a že ze své strany nemůže zajistit stoprocentní zabezpečení firemní sítě.
28
Praktická část
Společnost NET EXPERT by tedy byla schopna zajistit nativní podporu IPv6 pro sídlo společnosti a pro pobočku v Šatově. U pobočky Znovín Znojmo se nakonec také našel poskytovatel, který by byl schopen zajistit nativní podporu IPv6. Nejedná se však o stávajícího dodavatele a tak vypovězení stávající smlouvy a aktivace od nového dodavatele by přinesly dodatečné náklady. V současné situaci tedy, díky nativní podpoře IPv6 na všech pobočkách, není třeba používat tunelování pro komunikaci se sídlem společnosti. Společnost ovšem v horizontu 10 let uvažuje o zřízení nové pobočky na jižní Moravě. Otázkou tedy je, zda v takovém případě bude nativně dostupný protokol IPv6 v místě nové pobočky. Kolega Hakl (2013) testuje tunelovací mechanismy. Celkem 3 tunely byly testovány skriptem, který spouštěl příkaz ping na určitý server a sbíral informace o ztrátovosti paketů a odezvě serveru. Z testu je patrné, že tunely, které jsou velmi jednoduché k implementaci, jsou náchylné ke ztrátovosti paketů a tím pádem nevhodné zejména pro použití ve firemní sféře. Konkrétně se jedná o tunel 6to4 a průměrná ztrátovost paketů neklesla pod 10 procent. Vítězem testu se stal na zavedení náročnější, ale spolehlivý tunel Hurricane Electric, jehož ztrátovost byla nulová. Pokud by tedy nastala situace, že by společnost Znovín založila novou pobočku, ve které by nebyla nativní podpora IPv6, bylo by nutné použít mechanismus tunelování. Aby bylo možné využívat tunelování, musí se subjekt zaregistrovat u tunnel brokera. Hodláme použít tunel Hurricane Electric, tudíž se budeme registrovat na adrese https://www.tunnelbroker.net/register.php, po úspěšné registraci můžeme vytvořit tunel. Při jeho vytváření je nutné zadat aktuální IPv4 adresu a dále vybrat tunel server. Přímo v ČR je pouze jeden server, který je umístěný v Praze a jeho adresa je 216.66.86.122.
Praktická část
Obr. 5
3.4
29
Logická topologie společnosti včetně IPv6 a nové pobočky
Konfigurace webového a emailového serveru
Linuxový server primárně spravuje dodavatel služeb NET EXPERT. Běží zde tedy SSH daemon pro vzdálenou správu. Primárně však server slouží jako webový. Potřebujeme pracovat s protokoly SSH, HTTP, HTTPS, FTP, SMTP, POP3, IMAP a také s ICMPv6. Nejprve nakonfigurujeme Ip6tables na serveru, aby byla bezpečnostní politika aktivní již ve stejný moment, ve který aktivujeme rozhraní pro připojení do sítě Internet. Soubor, který budeme modifikovat, se nachází v etc/sysconfig/ip6tables. Povolovat budeme ICMPv6, FTP, SSH, HTTP, HTTPS, SMTP, POP3 a IMAP. Následně povolíme pakety již existujících spojení a pakety již běžící komunikace. Všechny ostatní přijaté pakety se budou zahazovat. ip6tables –A INPUT –p icmpv6 –j ACCEPT ip6tables –A OUTPUT –p icmpv6 –j ACCEPT ip6tables –A FORWARD –p icmpv6 –j ACCEPT ip6tables –A INPUT –i eth0 –p tcp –-dport 20 –j ACCEPT ip6tables –A OUTPUT –i eth0 –p tcp –-dport 20 –j ACCEPT ip6tables –A FORWARD –i eth0 –p tcp –-dport 20 –j ACCEPT ip6tables –A INPUT –i eth0 –p tcp –-dport 21 –j ACCEPT ip6tables –A OUTPUT –i eth0 –p tcp –-dport 21 –j ACCEPT ip6tables –A FORWARD –i eth0 –p tcp –-dport 21 –j ACCEPT
30
Praktická část
ip6tables –A INPUT –i eth0 –p tcp –-dport 22 –j ACCEPT ip6tables –A OUTPUT –i eth0 –p tcp –-dport 22 –j ACCEPT ip6tables –A FORWARD –i eth0 –p tcp –-dport 22 –j ACCEPT ip6tables –A INPUT –i eth0 –p tcp –-dport 80 –j ACCEPT ip6tables –A OUTPUT –i eth0 –p tcp –-dport 80 –j ACCEPT ip6tables –A FORWARD –i eth0 –p tcp –-dport 80 –j ACCEPT ip6tables –A INPUT –i eth0 –p tcp –-dport 443 –j ACCEPT ip6tables –A OUTPUT –i eth0 –p tcp –-dport 443 –j ACCEPT ip6tables –A FORWARD –i eth0 –p tcp –-dport 443 –j ACCEPT ip6tables –A INPUT –i eth0 –p tcp –-dport 25 –j ACCEPT ip6tables –A OUTPUT –i eth0 –p tcp –-dport 25 –j ACCEPT ip6tables –A FORWARD –i eth0 –p tcp –-dport 25 –j ACCEPT ip6tables –A INPUT –i eth0 –p tcp –-dport 110 –j ACCEPT ip6tables –A OUTPUT –i eth0 –p tcp –-dport 110 –j ACCEPT ip6tables –A FORWARD –i eth0 –p tcp –-dport 110 –j ACCEPT ip6tables –A INPUT –i eth0 –p tcp –-dport 143 –j ACCEPT ip6tables –A OUTPUT –i eth0 –p tcp –-dport 143 –j ACCEPT ip6tables –A FORWARD –i eth0 –p tcp –-dport 143 –j ACCEPT ip6tables –A INPUT –p tcp –m --state ESTABLISHED,REALTED –j ACCEPT ip6tables –A INPUT –p tcp –m --state ESTABLISHED,REALTED –j ACCEPT ip6tables –P INPUT DROP ip6tables –P OUTPUT ACCEPT ip6tables –P FORWARD DROP
Nyní nakonfigurujeme síťové rozhraní. Jedná se o server, proto je vhodné použít statickou konfiguraci. Před samotnou konfigurací adresy je nutné se přesvědčit, zda je protokol IPv6 na serveru aktivní. Tuto informaci standartně najdeme v souboru /etc/sysconfig/network, který je dostupný pro uživatele root. V tomto souboru musí být uveden řádek NETWORKING_IPV6=yes Nyní přistoupíme ke konfiguraci rozhraní. Otevřeme soubor /etc/sysconfig/network-scripts/ifcfg-eth0 a vložíme do něj následující řádky IPV6INIT=yes IPV6ADDR=2001:db8:320::a
Praktická část
31
IPV6_DEFAULTGW=2001:718:720:ba10::1 ONBOOT=YES Po restartu rozhraní by měla být konfigurace aktivní, ověříme příkazem Ping6 www.seznam.cz
3.5
Konfigurace v sídle společnosti
V sídle společnosti použijeme dynamickou konfiguraci pro klientské uzly. Výjimkou jsou servery a router, který je výchozí branou. U těchto zařízení je použita statická konfigurace. Nyní aktivujeme DHCPv6 v sídle společnosti HQ#configure terminal HQ(config)#ipv6 unicast-routing HQ(config)#ipv6 dhcp pool dhcpv6_hq HQ(config-dhcp)#ipv6 address prefix 2001:db8:320:ba10::10/64 HQ(config-dhcp)#dns-server 2001:db8:320::a HQ(config-dhcp)#domain-name znovin.cz
Konfigurace vnitřního rozhraní HQ#configure terminal HQ(config)#interface GigabitEthernet0/1 HQ(config-if)#ipv6 address 2001:db8:320:ba10::1/64 HQ(config-if)#end
Jelikož v kancelářích jsou pouze osobní počítače s operačním systémem Windows 7, použijeme konfiguraci jako je na obrázku níže.
32
Praktická část
Obr. 6
3.6
Nastavení pro dynamickou konfiguraci IPv6 adresy – Windows 7
Konfigurace pobočky v Šatově
V této pobočce nakonfigurujeme výchozí bránu opět staticky HQ#configure terminal HQ(config)#ipv6 unicast-routing HQ(config)#interface GigabitEthernet0/1 HQ(config-if)#ipv6 address 2001:db8:330:b1::1/64 HQ(config-if)#end
Jelikož v pobočce jsou pouze dva osobní počítače, použijeme u nich statickou konfiguraci.
Praktická část
Obr. 7
3.7
33
Nastavení pro statickou konfiguraci IPv6 adresy – Windows 7
Konfigurace pobočky ve Znojmě
Další pobočka se konfigurací neliší od předchozí. Výchozí brána a její statická konfigurace HQ#configure terminal HQ(config)#ipv6 unicast-routing HQ(config)#interface GigabitEthernet0/1 HQ(config-if)#ipv6 address 2001:db8:330:b1::1/64 HQ(config-if)#end
Stejně jako u předchozí pobočky, ani zde se nenachází takový počet osobních počítačů, aby se dalo uvažovat o zřízení dynamické konfigurace. Bude tedy použita statická konfigurace podobně jako v předchozím případě
34
3.8
Praktická část
Konfigurace DNS v rámci protokolu IPv6
Dodavatel služeb NET EXPERT zprostředkovává společnosti Znovín DNS server. Jedná se o BIND9. Při nasazení protokolu IPv6 je třeba uvést následující konfiguraci a záznamy $TTL 86400 ; 1 day znovin.cz IN SOA dns.znovin.cz. ( 2009040700 ; serial 10800 ; refresh (3 hours) 900 ; retry (15 minutes) 604800 ; expire (1 week) 86400 ; minimum (1 day) ) NS dns.znovin.cz. ; znovin.cz AAAA 2001:db8:320::a
Reverzní záznam – pro zjištění IPv6 adresy z doménového jména $TTL 86400 $ORIGIN 0.2.3.0.8.b.d.0.1.0.0.2.ip6.arpa. @ IN SOA dns.znovin.cz ( 2008121200 ;serial 3H ;refresh 15M ;retry 1W ;expire 1D ;negative cache TTL ) @ IN NS dns.znovin.cz.
Finanční zhodnocení
35
4 Finanční zhodnocení Společnost Znovín Znojmo v roce 2011 začala s obnovou své počítačové infrastruktury. V horizontu 3 let bylo zakoupeno zhruba 40 nových osobních počítačů, které nahradily odepsané stroje jak v sídle, tak na pobočkách společnosti. Díky této obnově jsem nenarazil na žádný problém, co se samotné podpory protokolu IPv6 týká. Dodavatel v oblasti informačních technologií NET EXPERT, si za zpřístupnění nativní podpory IPv6 účtuje 5 tisíc korun. Odůvodněno je to potřebnou technickou změnou v jejich vlastní infrastruktuře. O konfiguraci prvků by se taktéž starala společnost NET EXPERT. Odhadovaná doba pro konfiguraci a otestování funkčnosti je 20 hodin. Sazba za tuto činnost činní 450 korun na hodinu. Další náklady jsou spojeny se změnou poskytovatele připojení v areálu Louckého kláštera.
Obr. 8
Finanční zhodnocení
Celkové náklady na implementaci IPv6 do firemní sítě společnosti Znovín činí 17 tisíc korun. Částka je relativně nízká, zejména proto, že není třeba kupovat žádný hardware.
36
Diskuze
5 Diskuze Společnost Znovín se věnuje výrobě vín. Je jasné, že v dnešní době se i toto odvětví neobejde bez moderních technologií. Ovšem nynější přechod na protokol IPv6 by pro společnost Znovín nepředstavoval žádný významný posun v rámci vnitropodnikových mechanismů. Ovšem globální nutnost přechodu na protokol IPv6 je nevyhnutelný a tak je dobré, že společnost má představu jak nákladné by tato změna byla a co vše by bylo potřeba udělat. Také v případě, že společnost bude rozšiřovat své pobočky, může dopředu počítat s podporou IPv6 a kupovat tedy takový hardware, který později nebude muset vyměnit. Dále bych společnosti Znovín doporučil založit úsek informatiků, absence těchto pracovníků je znát zejména v rychlosti reakce, když je potřeba operativní zásah. Také si nemyslím, že by dlouhodobý outsourcing byl finančně výhodný.
Závěr
37
6 Závěr Jak již bylo několikrát zmíněno, přechod na IPv6 je nevyhnutelný. Adresní prostor IPv4 zkrátka jednou dojde. Protokol IPv6 je na dobré cestě a přináší mnoho novinek, které u IPv4 chyběly. Jsou tu však ale i hojně diskutovaná bezpečnostní rizika a relativní složitost. Relativní proto, že protokol zatím není příliš rozšířen a tím pádem jej uživatelé neovládají. IPv6 by potřeboval impuls, který by ho rozšířil mezi většinu poskytovatelů internetového připojení a tím pádem i ke koncovým uživatelům. Jestli tímto impulsem bude až okamžik, kdy IPv4 adresy skutečně dojdou, to nelze odhadnout. Hlavním cílem práce bylo navrhnout implementaci protokolu IPv6 do firemní sítě společnosti Znovín Znojmo. To zahrnuje zajištění připojení k internetu, nastavení všech síťových prvků společnosti a umožnění bezproblémového přechodu na IPv6. Dle testování se tento cíl podařilo splnit. Při tvorbě bakalářské práce mi svazovala ruce dohoda o mlčenlivosti, kterou jsem měl se společností Znovín sepsanou. Některé údaje jsem proto nemohl zveřejnit a občas byla složitá komunikace s dodavatelem NET EXPERT, ale i přesto považuji svou práci za úspěšně dokončenou.
38
Literatura
7 Literatura Publikace Satrapa, P. IPv6: internetový protokol verze 6. 3., aktualiz. a dopl. vyd.. Praha: CZ.NIC, 2011. 407 s. ISBN 978-80-904248-4-5. KABELOVÁ, Alena a DOSTÁLEK, Libor. 2008. Velký průvodce protokoly TCP/IP a systémem DNS. 5. aktualizované vydání. Brno : Computer Press, a.s., 2008. str. 488. ISBN 978-80-251-2236-5. LAMMLE, T. CCNA: Cisco Certified Network Associate Study Guide. Indianapolis : Wiley Publishing, 2007. HOTSKÝ, Ondřej. Protokol IPv6 a jeho praktické využití. Praha, 2013 [cit. 2014-1212]. Diplomová práce. Bankovní institut vysoká škola, Bankovní institut vysoká škola HAKL, Jan. Návrh integrace protokolu IPv6 ve firmě Z-Ware. Brno, 2013. Bakalářská práce. Mendelova univerzita, Provozně ekonomická fakulta. Internetové zdroje NETWORKCOMPUTING. DEPLOYING DUAL-STACK IPV4 AND IPV6 NETWORKS[ONLINE]. 2012 [CIT. 2014-12-5] DOSTUPNÉ Z: . IPV6.CZ. Přechod od IPv4 k IPv6 [online]. 2009 [cit 2014-11-19]. Dostupné z: IPV6.CZ. DHCPV6 [ONLINE]. 2009 [CIT. 2014-11-24]. DOSTUPNÉ Z: . IPV6.CZ. Vlastnosti protkolu IPv6 [ONLINE]. 2009 [CIT. 2014-11-24]. DOSTUPNÉ Z: . LUPA.CZ. Články věnované problematice IPv6 [online]. 1999-2009 [cit 201411-24]. Dostupné z: < http://www.lupa.cz/n/ipv6/> CISCO SYSTEMS. The Internet Protocol Journal – Volume 9, Number 3 [online]. 2006 [cit 2014-11-5]. Dostupné z:
Literatura
39