IPV6 WIFI HÁLÓZATI SZOLGÁLTATÁSOK EGYETEMI KÖRNYEZETBEN

Informatika a felsĘoktatásban 2011 konferencia Debrecen, 2011. augusztus 24-26. _____________________________________________________________________________________________________

AKADÉMIAI ÉS ÜZLETI IPV4/IPV6 WIFI HÁLÓZATI SZOLGÁLTATÁSOK EGYETEMI KÖRNYEZETBEN

ACADEMIC AND BUSINESS IPV4/IPV6 WIFI NETWORK SERVICES IN UNIVERSITY ENVIRONMENT Dr. Gál Zoltán1, Balla Tamás1 és Dr. Sztrikné Karsai Andrea1 Összefoglaló: Az Európára jutó IPv4 címtartományok végleges kiosztása 2011-ben nem csak egyetemi környezetben, hanem az egyéb céges területeken is objektíven teszik szükségessé az IPv6 szolgáltatások bevezetését és elterjesztését Magyarországon. Az IPv6 technológia várhatóan több évtizedig ki fogja szolgálni a konvergens adat- és multimédia (hang, video) kommunikációs igényeket. Éppen ezért az IPv6 hálózati szolgáltatások bevezetésének lehetséges megközelítési módozatai közül az optimális és felhasználóbarát változat kiválasztása körültekintő előzetes stratégiai tervezést jelent. Az áttérési feladatokat tovább bonyolítja, hogy a nélkülözhetetlen vezeték nélküli (WiFi) kommunikációs technológiák az utóbbi években látványos fejlődési folyamaton jutottak át. Az IPv4/IPv6 csomagkapcsolt hálózati technológiákra épülő valósidejű interaktív kommunikációhoz a szolgáltatói rendszerben QoS/QoX minőségi garanciák szükségesek, amelyek huzalos és huzal nélküli technológiákon történő fenntartása Diffserv mechanizmusokkal szabályozott forgalmakat hoznak létre. Az egyetem oktatási és kutatási profiljának módosulása, külső cégek egyetem területén történő megjelenése, valamint az intézmény üzleti jellegű tevékenységének fokozódása miatt szükségszerűvé vált a HBONE kapcsolat mellett egy másik, komoly sávszélességű, profitorientált célra használt bérelt vonal beüzemelése. A két külső kapcsolat lényegesen bonyolultabbá teszi az intézményi belső huzalos vagy WiFi hálózatra kapcsolódó gépek akadémiai vagy üzleti tartalmú IPv4/IPv6 csomagforgalmának routingját. A cikk a Debreceni Egyetemen bevezetett IPv6 szolgáltatások WiFi környezetre történő kiterjesztési módozatát mutatja be, figyelembe véve az akadémiai, illetve üzleti célú összeköttetések technológiai specialitásait. Kulcsszavak: IPv6, Internet2, 6to4, 4to6, WiFi. Abstract: The allocation of IPv4 addresses belonging to Europe area has been finished in 2011 causing introduction of IPv6 services in Hungary, too. The IPv6 technology is expected to attend the converged data and multimedia (voice, video) communication necessities for the following several tens of years. Therefore the selection of optimal introduction method of IPv6 services requires circumspect strategic design previously. This migration process is influenced by the spectacular evolution of WiFi technologies in the previous an current years. For real time interactive communication services based on IPv4/IPv6 packet switched technologies need QoS/QoX quality guarantees, involving traffic flows processed by Diffserv mechanisms in both wired and wireless network environments. The modification of research and education profile of the university towards business area and the appearance of exterior companies at the university MAN caused to put in operation a high bandwidth second leased line for business data traffics, creating adjacency to the HBONE Internet link. These two exterior links to the Internet increases significantly the routing complexity of IPv4/IPv6 packets coming from nodes connected to the wired or WiFi MAN network of the institute. This paper presents the extension method of IPv6 network services in WiFi network environment at the University of Debrecen taking in consideration the technology specialties of academic and business oriented network data traffics. Keywords: IPv6, Internet2, 6to4, 4to6, WiFi.

1. Bevezetés A Debreceni Egyetem 3 centrumában működő 15 kara 5 campuson üzemel, 1500 oktató dolgozik, és több mint 32 ezer hallgató tanul. Az informatikai hálózat több mint 6000 végpontot tartalmaz, ezek egy része publikus, nagyobb része privát IPv4 tartományból kapott címet. Mivel az Európában kiosztható IPv4 címtartományok kimerültek, egyre sürgetőbbé válik mindenütt, így az egyetemen is az IPv6 szolgáltatások bevezetése. A Debreceni Egyetem akadémiai hálózata számára rendelkezésre álló IPv6 címtartomány kiosztása, illetve az IPv6 szolgáltatások bevezetése komoly tervezési feladatot 1

Debreceni Egyetem ISZK, {zgal,balla.tamas,karsai.andrea}@it.unideb.hu

320


jelentett. Az egyetem területén működő különböző cégek, illetve az intézmény üzleti jellegű tevékenységet végző egységei számára hozzáférést kell biztosítani mind az egyetemi LAN, mint pedig az Internet felé. Ezt a 20 Gbit/sec sebességű HBONE kapcsolat mellett profitorientált szolgáltatótól bérelt 1 Gbit/sec sávszélességű, üzleti bérelt vonal biztosítja. Az üzleti célú IP végpontok számára az akadémiai címtartománnyal azonos méretű IPv6 címtartomány áll rendelkezésre. Mind az IPv4, mind az IPv6 forgalom irányítását meglehetősen bonyolulttá teszi az akadémiai és üzleti célú forgalmak szétválasztása, és megfelelő kijáraton való továbbítása az Internet felé. Az IPv4/IPv6 csomagkapcsolt hálózati technológiákra épülő valósidejű interaktív kommunikációhoz a szolgáltatói rendszerben QoS/QoX minőségi garanciák szükségesek, amelyek huzalos és huzal nélküli technológiákon történő fenntartása Diffserv mechanizmusokkal szabályozott forgalmakat hoznak létre. Ezek megfelelő karbantartása csak jól felkészült, komoly gyakorlati szakmai ismeretekkel rendelkező informatikusokkal lehetséges. A helyzetet tovább bonyolítja, hogy a huzalos hálózati végpontok mellett egyre nagyobb számban csatlakoznak vezeték nélküli állomások különféle hardver platformokon, mind az akadémiai, mind pedig az üzleti célú kommunikációs hálózatokban. Ugyanakkor a vezeték nélküli (WiFi) kommunikációs technológiák az utóbbi években látványos fejlődési folyamaton jutottak át és erőteljesen éreztetik hatásukat a hagyományos vezetékes infókommunikációs rendszerek mellett, jelentősen kiegészítve azok szolgáltatási körét. Célunk a huzalos és vezeték nélküli üzleti és akadémiai végpontok számára az IPv4 mellé az IPv6 szolgáltatások fokozatos, zökkenőmentes bevezetésének biztosítása. A cikk a második fejezetben összefoglalja az IPv6 kommunikációs technológia bevezetésével és üzemeltetésével kapcsolatos általános sajátosságokat, majd az új generációs WiFi legfontosabb technológiai jellemzőit ismerteti a harmadik fejezetben. A negyedik fejezet a virtuális LAN és virtuális routing megoldások lényegét mutatja be, kiemelve a gerinc, a szétosztási és a hozzáférési hálózatok szintjén megjelenő, ezekre vonatkozó speciális problémákat. A Debreceni Egyetemen alkalmazott IPv6, új generációs WiFi, virtuális LAN és virtuális routing konkrétumokat a hatodik fejezet tartalmazza, ahol a rendszer működésével kapcsolatos mérési eredmények is megtalálhatók. A különböző alrendszerek tervezésének és bevezetésének tapasztalatait, valamint azok összefoglalását és további fejlesztési terveket az utolsó fejezetben ismertetjük.

2. Az IPv6 technológia vonatkozó sajátosságai Az IPv6 szabvány az IPv4 csomag fejrésztől eltérő mezőket definiál. Az IPv6 fejrész a 128 bites címzési rendszer miatt hosszabb, de kevesebb mezőt tartalmaz, melyek megnevezésükben és esetenként tartalmukban is eltérnek a 32 bites címmezőket tartalmazó IPv4 fejrésztől. Az IPv6 globális címek kiosztását az IANA (Internet Assigned Numbers Authority) nevű hatóság felügyeli. Jelenleg az FF00::/8 többesek (multicast) számára fenntartott tartomány kivételével a teljes 2000::/3 - E000::/3 tartományt használja. A globális egyes (unicast) címek használata megegyezik az IPv4 globális egyes címek használatával, jobb aggregálhatóságuk a routing táblák méretének csökkenését eredményezi a gerinc routerekben. A globális egyes címek globális routing előtag (prefix), alhálózat azonosító, és interfész azonosító részekből állnak. Tipikusan 48 bit globális előtag, 16 bit alhálózat azonosító, és 64 bites EUI (Extended Unique Identifier) interfészazonosító használata javasolt. Az interfészazonosító dinamikusan képződik a fizikai címből, a leggyakrabban használatos 48 bites Ethernet cím esetén a középre a 16 bites FFFE érték beillesztésével. Ethernettől eltérő adatkapcsolati technológia esetén az EUI cím előállításának javasolt módja az interfész fizikai azonosítója balról nullákkal kitöltve 64 bitig. Olyan adatkapcsolati technológiánál, ahol az interfész nem rendelkezik fizikai címmel, az eszköz sorozatszáma vagy egyéb azonosítójának használata javasolt az EUI cím meghatározásához. Az interfészazonosító 7. és 8. bitjének külön jelentése van: a 7. bit U/L (Universal/Local), mely az azonosító univerzális (0 érték) vagy lokális (1 érték) egyediségét jelzi. A 8. bit I/G (Individual/Group), a cím egyedi (unicast, a bit értéke 0) vagy csoport (multicast, a bit értéke 1) jellegét mutatja. Az IEEE 802.x tipikus hálózati kártya címében mind az U/L, mind az I/G bit értéke 0, amely az univerzálisan egyedi egyes MAC címet jelenti. Az IPv6 címzési rendszerét az IETF (Internet Engineering Task Force) több ajánlása írja le és mindegyik 3 címtípust definiál (RFC 4291, 2006): Unicast cím, Multicast cím, Anycast cím. Az IPv6

321


nem valósítja meg a szórási (broadcast) címzést. A szórás hagyományos szerepét átvette a többescímzés minden csomópont kapcsolati szintű (link-local) többescímzési csoportja (ff02::1). Azonban ennek az összes csomópont csoportnak a használata nem ajánlott, és a legtöbb IPv6-protokoll dedikált kapcsolati szintű többescímzésű csoportot használ annak érdekében, hogy ne zavarja a hálózat összes interfészét. IPv6 unicast (egyes) cím: Egyetlen interfészt definiál, az unicast célcímű csomag erre az interfészre lesz továbbítva. Két típusa létezik. A Link-local unicast cím adott alhálózatra nézve egyedi cím, nem routolható, így az ilyen célcímmel rendelkező csomag az alhálózatbot nem tudja elhagyni. E cím segítségével az azonos alhálózatban elhelyezkedő hosztok globális cím nélkül is tudnak kommunikálni. Ezek a címek automatikusan létrejönnek a link felépülése után, a cím az FE80:: linklocal előtagból, és a 64 bites EUI interfész azonosítóból épül fel. Ezt állapotmentes (stateless) autókonfigurációnak nevezik, mivel az állapot alapú (stateful) protokollokkal ellentétben nem igényel külső címosztó szervert. Global unicast cím az Internet szinten egyedi, az ilyen forrás és cél című csomag az Interneten módosítás nélkül továbbítható. IPv6 multicast (többes) cím: Az IPv6 nem használ üzenetszórási címet, ezzel a szórási vihar (broadcast storming) problémáját is kezelte. Helyette multicast címeket használ, mely interfészek egy csoportját definiálja, így nem egy hálózat minden címére, csak a multicast címmel definiált csoportban levő interfészekre jut el a csomag. A multicast célcímű csomag a csoport minden interfészére azonos módon érkezik meg. Egy interfész több multicast címmel rendelkezhet, így több csoportnak is tagja lehet. A multicast címek az FF00::/8 előtaggal kezdődnek. A második 8 bit a cím élettartamára (permanens vagy temporális) és hatókörére utal. A multicast cím hatóköre lehet interfész (loopback átvitel), link, alhálózat, admin-local (rendszer adminisztrátor által konfigurált hálózati rész), site, organization (több telephelyen magába foglaló), vagy globális. A multicast csoportot az alsó 112 bit azonosítja. IPv6 anycast (bármely) cím: IPv6 definiálja az anycast címet, amely interfészek egy csoportját definiálja. Az anycast célcímű csomag a csoportban egy interfészre, a használt routing protokoll távolságfogalma szerinti legközelebbi interfészre lesz továbbítva. Anycast cím nem lehet a csomag forrás címe. Ha egy unicast címet több interfész számára is konfigurálunk, az anycast cím az unicast címek között nincs megkülönböztetve speciális előtaggal, mivel az automatikusan anycast címként funkcionál. Majdnem minden unicast cím használható anycast címként is.

2.1.

IPv6 címkiosztási módszerek

A rendelkezésre álló IPv6 címtartomány kiosztása két javasolt módszer szerint történhet: legjobban illeszkedő (best-fit), és elszórt kiosztás (sparse allocation) algoritmus szerint (Federal CIO Council, 2006). Legjobban illeszkedő (best-fit) algoritmus: a szükséges méretű címtartományt lefedő legkisebb méretű alhálózat kiosztása olyan módon, hogy a kiosztott címtartományok között minél kisebb kihasználatlan tartomány maradjon. Ez elérhető például felezéses módszerrel: addig felezzük a rendelkezésre álló tartományt, míg a szükségest lefedő legkisebb darabot kapjuk. A módszer a lehető legnagyobb összefüggő megmaradó darabokat eredményezi. Elszórt kiosztás (sparse allocation) algoritmus: a kiosztandó címtartományokat nem folytonosan, hanem elszórtan osztja ki, a szükséges címtartomány után megfelelő méretű helyet hagyva a későbbi növekedésre. Így az adott egység később úgy kaphat újabb címtartományt, hogy az az előzővel összefüggő lesz, így az egység felé az útbejegyzések aggregálhatók. Itt is használható a felezéses módszer, de például a szükséges méterű tartomány utáni ugyanakkora darabot nem osztjuk ki, hanem fenntartjuk további bővítési célokra, és csak ez utáni tartományból osztunk a további igények számára.

2.2.

IPv6 többletek IPv4-hez képest

Az IPv6 technológia ugyan követője az IPv4-nek, de a közel negyven éves használat alatt kialakult tapasztalat alapján lényeges módosításokat alkalmaztak. Így nem csak a címzési tartomány méretét növelték meg több mint kilenc nagyságrenddel, hanem hatékonyabb technikákat is bevezettek. Ezek a következők:

322


· Link-local címek: Az IPv6-ban definiált link-local cím használatával az azonos alhálózatban levő hosztok globális cím nélkül is elérik egymást. · A szomszédok felfedezése (neighbor discovery) lehetővé teszi a hosztok számára az azonos alhálózatban levő IPv6 hosztok felfedezését, fizikai címük azonosítását, esetlegesen a duplikált címek felfedezését is. · Az átjáró felfedezés (router discovery) lehetővé teszi az alapértelmezett átjáró automatikus beállítását, kézi konfiguráció nélkül. · A hálózat azonosító felfedezés (prefix discovery) elérhetővé teszi a hoszt számára az adott hálózatban használt prefix hosszát és értékét. · Mindezekhez a routernek meghatározott időközönként hirdetnie kell a hálózaton saját IPv6 címét, valamint azt a tulajdonságát, hogy átjáróként funkcionál a hálózatban, a Layer2 címét, az IPv6 címben a prefix hosszát és értékét. Mindezek birtokában a hosztok automatikusan juthatnak unicast IPv6 címhez, és a működésükhöz szükséges további paraméterekhez, hiszen a hoszt azonosító rész a fizikai címük alapján automatikusan képezhető, manuális konfiguráció nélkül. A mobilitás nagyon fontos tulajdonság a mai hálózati környezetekben. A mobil IP IETF standard, lehetővé teszi, hogy mobil eszközök a hálózati kapcsolat megszakadása nélkül mozogjanak. Ez mind az IPv4-ben, mind az IPv6-ban elérhető szolgáltatás, de míg az IPv4 esetén a funkciót külön hozzá kel adni az alapértelmezett szolgáltatásokhoz, az IPv6 beépítve tartalmazza.

3. Az új generációs WiFi technológia vonatkozó sajátosságai Az IEEE 802.11 szabványú WiFi (Wireless Fidelity) vezetéknélküli technológia az elmúlt közel tizenöt évben jelentős fejlődésen ment át és aktuális trendek alapján ez koránt sem tekinthető befejezett állapotnak. Az alábbi táblázat néhány fontosabb jellemzőjét foglalja össze. 1. táblázat. Az IEEE 802.11 szabványú technológiák alap jellemzői IEEE szabvány 802.11 802.11a 802.11b 802.11g 802.11n

Megjelenés éve 1997 1999 1999 2003 2009

Frekvencia tartomány [GHz] 2,4 5,0 2,4 2,4 2,4 vagy 5

Maximális adatsebesség [Mbit/sec] 1 54 11 54 600

Jellemző adatsebesség [Mbit/sec] 0,5 23,0 4,3 19,0 74,0

Az IEEE 802.11n a jelen és egyben a jövő évek vezeték nélküli LAN szabványa (IEEE 802.11n 2009). Átviteli sebessége többszöröse a jelenlegi IEEE 802.11a/b/g rendszerekkel szemben. Az új szabvány teljesen kompatibilis a régebbi WiFi eszközökkel, nincs szükség szoftver vagy hardver változtatására, viszont értelemszerűen csak az IEEE 802.11n eszközök képesek az új technológia sajátosságait kihasználni. A jelenleg használt vezeték nélküli eszközök nagy része a 2,4GHz-es frekvenciatartományban forgalmaz, miközben az 5GHz-es tartomány kihasználatlan. Az IEEE 802.11n rendszere mindkét sávot egyszerre használja. Az 5GHz tartományban 21 egymást át nem lapoló csatorna (frekvenciasáv) áll rendelkezésre, míg a 2,4GHz tartományban mindössze három. A több száz Mbit/sec-os adatátviteli sebesség elérése a csatornák dinamikus váltogatásával lehetséges, ezt hívják DFS2-nek (Dynamic Frequency Selection). Az IEEE 802.11n rendszerek a 20 MHz, illetve 40 Mhz-es sávszélességben dolgoznak, miközben a korábbi rendszerek csak a keskenyebbikben. A jelvisszaverődés is komoly gondot jelentett az IEEE 802.11a/b/g rendszerekben, amelyet az IEEE 802.11n a többcsatornás átvitellel és vétellel kompenzál.

3.1.

MIMO specialitások

A MIMO (Multiple In, Multiple Out) egy többantennás rendszer, amely ellentétben a normál vezeték nélküli hálózatokhoz képest nem zajként értelmezi a több utas terjedésből származó jeleket, hanem ellenkezőképpen, a kisugárzott teljesítmény növelése nélkül a reflektált jeleket felhasználva

323


kiterjeszti a kommunikációs hatósugarat, és csökkenti az elérhetetlen pontok számát. Magasabb spektrális hatékonyság mellett a kapcsolat megbízhatóbb. A módszer nem kizárólagosan a WiFi technológiák specialitása, de előnyösen kerül alkalmazásra legelőször az IEEE 802.11n technológia esetén. A több antenna segítségével az értelmezhető jel akár négyszer nagyobb távolságra is képes eljutni, mint az IEEE 802.11g szabvány esetén. Az 1993-ban feltalált MIMO SDM (Spatial Division Multiplexing) egy absztrakt matematikai modell a több antennából álló rendszerek számára, ahol úgy az adó, mint a vevő több aktív antennát alkalmaz, így az adás és a vétel egyidőben több antennán zajlik párhuzamosan. Ezt a megoldást szokás még intelligens “smart” módszernek is nevezni. A 4x4:4 MIMO elméleti sebessége 600Mbps, amit 4 adó és 4 vevőantennával produkál, 4 adatcsatornán.

3.2.

Kontrolleres és kontroller nélküli WiFi rendszerek specialitásai

A huzalos LAN hálózat egy állandó és stabil átviteli közegként fogható fel. Ezzel szemben a rádiófrekvenciás csatornákat befolyásolják a környezeti változók is. A hagyományos WiFi rendszer egy szigetmegoldás. Az ilyen módon működő AP (Access Point - bázisállomás) eszközt önálló WiFi rendszernek nevezzük. Jelentős problémát okoz, hogy ezek az AP eszközök alapértelmezésben statikus, azaz rögzített csatornahasználattal üzemelnek. Ha két, azonos csatornán forgalmazó szomszédos bázisállomás és klienseik maximális adáserősséggel dolgoznak, a kibocsátott rádióhullámok interferálnak egymással, zavart okozva és lerontva a jel/zaj viszonyt, csökkentve ezáltal a vevő fogadóképességét. Ha több WiFi eszközt használunk közös fizikai átfedéssel, akkor csatlakozási problémák lépnek fel, mivel az MT (Mobile Terminal) kliensek mindegyik bázisállomáshoz csatlakozni próbálnak. Az átviteli teljesítmény függ a kliens és az AP eszköz közötti távolságtól, valamint az azonos frekvencia tartományban működő rádiós csatornán esetlegesen egyidőben forgalmazó különféle szabványú csomópontok (AP-k és MT-k) jeleinek keveredésétől is. Az MT felhasználó az AP eszközhöz csatlakozik, miközben kapcsolatát a bázisállomás vezérli. Az MT felhasználó hálózati eléréseit az szabja meg, hogy milyen rádiós cella szegmenseket ér el. Az AP eszköz rádiós üzemi alap konfigurálásán túlmenően meg kell határozni az engedélyezett MT felhasználókat, a rádiós és huzalos hálózatok közötti VLAN (Virtual LAN) összerendeléseket, esetleges tűzfal szabályokat, stb. Könnyen belátható, hogy ez viszonylag kevés eszköz esetén is meglehetősen kényelmetlen és sok hibalehetőséget rejtő kezdeti integrációs munka. Ha időben változtatásra is igény jelenik meg, akkor komoly humán erőforrást köt le ezen módosítások ismételgetése. Ezzel szemben viszont a kontrollerrel vezérelt Wi-Fi architektúra egy intelligens rendszer. Az AP eszközök mellett tartalmaz egy huzalos kontrollert is, amely az AP eszközök menedzsmentjét végzi. A kontroller biztosítja, hogy a bázisállomások automatikusan igazodni tudjanak a rádiós környezethez, csatornát vagy adáserősséget váltsanak, esetleg szabályozzák az MT kliensek működését. A fejlettebb vállalati megoldások ezért az AP-khez érkező adatforgalmat nem közvetlenül a huzalos hálózatba, hanem egy tunnel (szoftverrel megvalósított alagút kapcsolat) segítségével a kontroller felé irányítják. Ezzel a funkcióval biztonságosan szétválaszthatóak az egyes SSID-k vagy a felhasználók adatforgalma, mintha csak a kábeles infrastruktúrát használnák. Jelentős különbségek tapasztalhatóak az egyes jelentős gyártók között abban a tekintetben, hogy mely funkciók vezérlése kerül át a kontrollerre, és melyek maradnak meg az AP eszközökön (Cisco Systems, Co. 2009). A második generációs vezeték nélküli hálózatok rendelkeznek automatikus rádiófrekvenciamenedzsmenttel. Ennek segítségével az azonos kontroller által vezérelt bázisállomások dinamikusan változtatják a rádiós csatornák használatát. Így például nem engedi meg, hogy két fizikailag szomszédos AP ugyanazt a csatornát használja, és lehetőség szerint kerüli azon csatornák szomszédos használatát, melyek frekvenciatartománya egymással interferálhat. Szükség esetén csökkentheti vagy növelheti az adóteljesítményeket, MT klienseket és/vagy AP-ket léptethet át másik csatornákra és képes az MT kliensek adáserősségét dinamikusan is szabályozni. A kontroller által vezérel, több bázisállomásos WiFi hálózat automatikusan és a felhasználók számára észrevétlenül igazodik a rádiós környezetben bekövetkező forgalom mennyiségi és minőségi állapotához. További hasznos szolgáltatása ennek a megoldásnak a nem regisztrált bázisállomások rádiós cellán belüli megjelenésének érzékelése, valamint ezek forgalmának tiltása speciális kontrol

324


jelek segítségével. Azonos rádiós cellán belüli több vezérelt bázisállomás jelenléte további hasznos térinformatikai szolgáltatás bevezetésére nyújt lehetőséget (Gál Z., Marius O. 2011), (Zichar M. 2011).

4. Akadémiai és üzleti IP forgalmak menedzsmentje egyetemi környezetben Az oktatási és kutatási fő profiljához kapcsolódó tevékenységhez szükséges Internet forgalmát az egyetem az országos felsőoktatási és közgyűjteményi hálózaton, a HBONE-on keresztül fogalmazza. Az intézmény saját, illetve a camusok területén a LAN-hoz kapcsolódó cégek profit orientált Internet forgalmát egy másik, erre a célra dedikált bérelt vonalon keresztül bonyolítják. Az intézményen belüli tetszőleges intranet forgalom az egyetem meglévő MAN/LAN hálózatán belül valósul meg (lásd 1. ábra.) (Gál Z. et al 2011).

1. ábra. Akadémiai és üzleti Internet forgalmak viszonyai

Jelen topológiai elrendezésben biztosítani kell, hogy az üzleti típusú forgalmat generáló csomópontok biztosan a bérelt vonalon, míg az akadémiai célú csomópontok pedig a HBONE-on keresztül küldjék csomagjaikat az Internetbe. Ugyanakkor az egyetemi LAN/MAN-ra csatolt IP csomópontok egymás közötti forgalmukhoz az Internet igénybevétele nélkül az intranet-et használják. Mivel az IP csomagok útválasztása a célcím alapján történik, egy ilyen probléma megoldása a triviális szintnél lényegesen komplexebb. Több módszer is alkalmazható lenne. Ezek az SR (Source Routing) és a VRF (Virtual Routing and Forwarding).

4.1.

Source routing

Ennél a megoldásnál az útválasztók nem csak az aktuális IP csomag fejrészében lévő célcímet, hanem a forrás címet is megvizsgálják. A két cím függvényében kiértékelésre kerülő szabály alapján történik a további irány kiválasztására vonatkozó döntés. Belátható, hogy ez a módszer a klasszikus célcím alapú döntéshozatalhoz képest minden csomag esetén kétszeres mennyiségű processzálást igényel. Ez az útválasztók kapcsolási teljesítményének jelentős terhelését okozza. Ugyanakkor, mivel az akadémiai és az üzleti célú forgalmak számára az útválasztók routing táblája azonos, a két fajta felhasználó hálózatai között biztonsági rések, valamint túlterhelési veszélyek képesek megjelenni az egyetemi LAN/MAN környezetben. Egy elszabadult üzleti célú forgalom képes lehet az útválasztókat olyan mértékben túlterhelni, ami az akadémiai forgalmak bénulásához vezethet. Belátható, hogy egy ilyen megoldás nem a legbiztonságosabb. A problémát az útválasztókban a két forgalom számára fenntartott közös routing tábla okozza.

325


4.2.

Virtual Routing and Forwarding

A VRF egy olyan megoldás, amely fizikai útválasztóban további virtuális útválasztó létrehozásával működik. A fizikai útválasztóban VRF processz segítségével szeparált routing tábla hozható létre. Ehhez a virtuális routerhez fizikai, illetve VLAN interfészek rendelhetők, amelyek között a VRF saját routing bejegyzései szerint történik az aktuális IP csomag számára a következő interfész kiválasztása. A fizikai útválasztóban a VRF processz által lefoglalt CPU teljesítmény korlátozható, ezáltal nincs lehetősége a VRF-nek tetszőlegesen túlterhelni a fizikai útválasztót. Ugyanúgy a fizikai routing processz sem éheztetheti ki a VRF processzt bármilyen mértékben. Ezáltal a két routing tábla kezelésére és a megfelelő típusú forgalmakhoz tartozó IP csomagok továbbításra garantált útválasztó szintű erőforrás jut. Ez a megoldás költséghatékony, mivel az útválasztó táblák szétválasztásához nem szükséges újabb eszköz beszerzése. A meglévő fizikai útválasztó állomány funkciójában azonos, további virtuális útválasztók létrehozására ad lehetőséget. A létrehozott VRF-ek darabszáma természetesen korlátos és erőteljesen függ a fizikai útválasztó intelligenciájától és hardver kapacitásától.

5. Az IPv6 és az új generációs WiFi megoldások alkalmazása az egyetemen Különböző csomagok kerültek kialakításra, melyek keretén belül a cégek akár dedikált sávszélességet is kérhetnek maguknak, lényegesen kedvezőbb feltételekkel, mintha egyénileg építtetnének ki Internet kijáratot.

2. ábra. Akadémiai és üzleti Internet forgalmak VRF-fel

A probléma megoldására a VRF technológiát találtuk a legalkalmasabbnak. Ennek segítségével lehetőség van a meglévő L3 eszközökben virtuális routerek létrehozására. Ezen virtuális eszközök segítségével lehetőség nyílik a megfelelő forgalmak helyes irányba történő továbbítására. A technológia nagy előnye, hogy IPv4 és IPv6 támogatással is rendelkezik, nincs szükség külön VRF definícióra IPv6 esetén egy virtuális routerrel lekezelhető mindkét IP protokoll. Az IPv6 címkiosztáshoz úgy az akadémiai, mint az üzleti kijárathoz egy-egy /48 méretű címtartományt szereztünk be, amelyeknek a gépekhez rendelését intézményen belül a “best-fit” és a “sparse allocation” módszerekből kialakított heterogén megoldással végeztük. Az IPv6 bevezetésével eddig nem alkalmazott kiszolgáló mechanizmusra volt szükség. Ilyen kiszolgálók a DNSv6, DHCPv6. Szükséges az egyetemi tűzfal IPv6 képessé tétele is. Az aktív eszközök nagytöbbsége az operációs rendszerfrissítés után kompatibilis az IPv6-tal. Az IPv6 statikus címkezelés meglehetősen kényelmetlen, emiatt csak a dinamikus kezelés jöhetett szóba: SLAAC ( StateLess Address AutoConfiguration), DHCPv6 (Dynamic Host Configuration Protocol for IPv6). Mindkét megoldásnak vannak előnyei és hátrányai is. Az automatikus konfigurációnak az előnye az, hogy nincs szükség külön kiszolgáló alkalmazására, aktív eszköz szinten le lehet kezelni a csomópontok címzését, hátránya viszont, hogy bonyolult naplózni, és nem lehet specifikus beállításokat közölni a

326


kliensek felé (pl.: DNS szerver). A DHCPv6 hátránya, hogy kiszolgálófüggővé teszi a hálózatot. Megfelelő redundanciával, nagy rendelkezésre állású, földrajzi elhelyezkedésben föderált infrastruktúrával a szolgáltatás kiesésének lehetősége minimalizálható. Ezért a DHCPv6 alkalmazása mellett döntöttünk. A DNS szolgáltatás esetében két fontos feladat van, a kiszolgálót alkalmassá kell tenni IPv6-on történő szolgáltatásra, a DNS bejegyzéseket kezelő alkalmazásnak képesnek kell lennie AAAA rekord bejegyzésére is. A Bind9-es verziójába ezek a szolgáltatások már integrálva vannak, így a DNS szerver kis konfigurációs módosítással már képes IPv6 alapon is szolgáltatni. A tűzfal esetében sajnos csak részlegesen lehet megvalósítani az új protokollra való áttérést. A fő probléma az, hogy a jelenlegi rendszer nem képes aktív-passzív “failover” üzemmódban az IPv6 parancsok szinkronizálására, illetve, hogy az IPv6-os tűzfal szabályok feldolgozása csak szoftveresen történik. HURO/0802/012_AF kódú EU-s projekt keretén belül 130 darab WiFi bázisállomás kerül beszerzésre. A beüzemelésük kontroller vezérelt architektúrával valósul meg. Mivel ennyi eszköz nem elég minden campus minden épületének teljes lefedésére, így egyelőre csak a frekventált beltéri helyeken lesz elérhető a WiFi hálózat. Mivel második generációs vezeték nélküli hálózat kerül bevezetésre, ezért szükség van intézményen belüli frekvenciagazdálkodási terv megvalósítására. Nagy figyelmet kell fordítani az authentikáció kérdésére. Egyre inkább elterjedt a hallgatók és az oktatók körében az EduID használata, melynek segítségével hozzáférnek a különböző szolgáltatásokhoz (pl.: NEPTUN rendszer, egyetemi levelezés). A Debreceni Egyetem csatlakozott az eduroam (Education Roaming) konföderációhoz (http://www.eduroam.org), amelyhez a csatlakozást a NIIF biztosítja. A Debreceni Egyetem hallgatóin és dolgozóin kívül az eduroam föderációhoz csatlakozott intézményekből azonosítható személyeknek is tudják majd használni a vezetéknélküli hálózatot. A rendszer használat felhasználói oldalról megközelítve nem triviális. A WPA Enterprise és az ezzel járó 802.1x hitelesítés beállítása kliens oldalon meglehetősen bonyolult. Terveink szerint egységesen WEB alapú authentikáció lesz megvalósítva, melynek előnye, hogy nem kell kliens oldalon specifikus beállításokat tennünk, elég egy WEB formon keresztül elvégezni a hitelesítést.

6. Tapasztalatok, összefoglalás LAN/MAN egyetemi környezetben IPv4/IPv6 technológia számára akadémia és üzleti célú adatforgalom redundáns Internet kijárattal WiFi és huzalos környezetben témájú projekt 6000 számítógép és közel 300 darab gerinchálózati eszközt számláló csomagkapcsolt hálózaton olyan nagyságrendű integrációs és mérnöki munka, amely egyensúlyban van a Debreceni Egyetem Informatikai Szolgáltató Központjában rendelkezésre álló humán erőforrással és tudással. A lehetséges műszaki megoldások, illetve módszerek közül az optimális kiválasztása komoly szakmai tájékozottságot igényelt, aminek eredményeit jelen írásban érzékeltettünk. A rendszer továbbfejlesztése (kültéri WiFi, 40/100 GE, DWDM, stb.) újabb pályázatok segítségével várhatóan jövő évben kerül sorra. Irodalomjegyzék Cisco Systems, Co. (2009): Wireless LAN Controller, http://www.cisco.com Federal CIO Council Architecture and Infrastructure Committee (2006): IPv6 Transition Guidance, http://www.cio.gov, 1-37. Gál Zoltán, Balla Tamás, Sztrikné Karsai Andrea (2011): IPv4/IPv6 akadémiai és üzleti szolgáltatások egyetemi környezetben, NetworkShop'2011 konferencia, Kaposvári Egyetem, Kaposvár, 2011. április 27-29. Gál Zoltán, Marius Onică (2011): A Debreceni Egyetem és a Nagyváradi Egyetem közös intelligens intranet rendszere, Az elmélet és a gyakorlat találkozása a térinformatikában, Térinformatikai konferencia és szakkiállítás, Debrecen, ISBN: 978-963-318-116-4, 107-112. IEEE 802.11n (2009): http://standards.ieee.org/getieee802/download/802.11n-2009.pdf, 1-536. RFC 4291 (2003): IP Version 6 Addressing Architecture, http://tools.ietf.org/pdf/rfc4291.pdf, 1-26. Zichar Marianna (2011): Interaktív térképek a neten, Az elmélet és a gyakorlat találkozása a térinformatikában, Térinformatikai konferencia és szakkiállítás, Debrecen, ISBN: 978-963-318116-4, 365-372.

327

IPV6 WIFI HÁLÓZATI SZOLGÁLTATÁSOK EGYETEMI KÖRNYEZETBEN

Recommend Documents