Secure & Successful IPv6 Deployment Using OptiView XG

Estudo de Caso: Firma de serviços profissionais assegura uma implantação de ipv6 segura e bem-sucedida com o Tablet de Análise de Rede do OptiView XG

Visão geral:

Cliente:

Nephos6


Mercado:

Serviços profissionais


Local:

Raleigh, NC


Infográfico da Nephos6

Clique para ver


Desafio:

Construa rapidamente uma rede capaz de demonstrar múltiplas tecnologias importantes de IPv6 para dar suporte ao treinamento de clientes e a programas de transação.


Resultado:

O OptiView XG Network Analysis Tablet reduziu o tempo de implantação, ao fornecer a descoberta rápida e exata do dispositivo, identificação de protocolos de tunelamento, e ferramentas fáceis de usar para pesquisar defeitos de problemas de integração.


Produto:

OptiView® XG Network Analysis Tablet


Visão geral

Cada vez mais, a adoção do IPv6 está acelerando globalmente. Os integradores, privados há muito tempo de suporte adequado ao IPv6 na infraestrutura de TI, estão exigindo paridade de recursos para suportar as implementações de redes da próxima geração. Além dos roteadores, sistemas operacionais e outros elementos da infraestrutura de TI, os engenheiros e técnicos de rede precisam de ferramentas de monitoração e análise padrão que possam trabalhar com IPv6. O tablet de análise de rede do OptiView XG da NETSCOUT, que já é uma ferramenta essencial em muitas organizações, está pronto. Com recursos de IPv6 para a descoberta da rede, identificação do protocolo de túneis, análise de anúncios de roteadores, e detecção de serviços de IPv6, o OptiView XG é uma ferramenta indispensável para a implementação de IPv6, resolução de problemas de integração, e para ajudar a identificar implementações involuntárias de IPv6.

A revisão

Em fevereiro de 2011, a IANA (Internet Assigned Numbers Authority) distribuiu os últimos cinco/8 blocos de endereços IPv4 (historicamente designados como da “Classe A”) aos Registros Regionais de internet (RIR). Este evento sinalizou o final da internet baseada em IPv4 e protagonizou o início da transição global para a próxima geração de protocolos da internet, o IPv6. Padronizado em 1995, o IPv6 foi criado para aprimorar o protocolo da internet e abordar a questão da exaustão de recursos de IP, mas nunca teve uma presença significativa no mercado devido a uma variedade de razões econômicas e tecnológicas. Enquanto alguns campos de tecnologia acreditam que o NAT (tradução de endereço da rede) é suficiente, as exigências de escalabilidade da internet e a complexidade crescente dos ambientes com múltiplos NATs criam agora um argumento convincente a favor da adoção do IPv6.

Apesar de uma falta de interesse geral no IPv6, várias organizações, incluindo governos mundiais, grandes empresas de TI, os principais fornecedores de serviço, e alguns pioneiros que já adotaram o IPv6 abriram caminho para a adoção do IPv6. A Internet Engineering Task Force (IETF) desenvolveu mecanismos para dar suporte à co-existência do IPv4 e IPv6 e para mitigar um pouco da carga financeira da migração. Os fornecedores de TI incorporaram o suporte para o IPv6 em muitos de seus principais produtos. Emergindo deste esforço coletivo dos pioneiros estão as metodologias e as melhores práticas para a implantação segura e eficiente do IPv6.

A Nephos6, Inc. é uma firma de serviços profissionais de computação em nuvem e IPv6 situada em Raleigh, NC. A empresa foi fundada por vários de peritos da indústria com grande experiência na implementação de IPv6 (e de computação em nuvem). A empresa usa uma metodologia de cinco etapas para controlar o trabalho de integração do IPv6 em empresas e provedores de serviços. As primeiras quatro fases envolvem o cultivo de uma compreensão comum do ambiente atual, o alinhamento dos propulsores de negócios e tecnológicos, a avaliação dos sistemas de suporte e da infraestrutura de TI com relação à capacidade de suporte a IPv6, e o desenvolvimento de arquiteturas e planos para a implementação. A quinta fase, a implementação, executa a implementação de IPv6, de uma maneira controlada mas progressiva.

O ambiente mais desejado para todo o programa de adoção do IPv6 é permitir o uso das duas pilhas de protocolos, (IPv4 e IPv6 , (funcionando simultaneamente no mesmo dispositivo) em todos os dispositivos de toda a organização. Mas o caminho para a realização de uma instalação das duas pilhas de protocolos é raramente o mesmo de uma organização para outra. Apesar das diferentes abordagens para se chegar ao estágio final, todas as implementações bem gerenciadas têm os seguintes aspectos em comum:

  1. Validação e teste dos projetos - Configurações e arquiteturas são avaliadas primeiramente em laboratórios isolados e depois implementadas sistematicamente no ambiente de produção.
  2. Gerenciamento e resolução de problemas da implementação - Nada acontece perfeitamente na primeira vez, nunca. Invariavelmente, há equipamentos apresentam defeitos, erro humano, ou mesmo a lei de Murphy, que interferem durante as implementações e requerem identificação e resolução sistemática de problemas.
  3. Monitoramento de dispositivos IPv6 não autorizados - O IPv6 é suportado pela maioria dos dispositivos de TI e sistemas operacionais modernos, sendo, em alguns casos, habilitado como padrão. A implantação involuntária é um problema de segurança e necessita ser monitorada e controlada.

Um elemento crítico desse processo de implementação são ferramentas eficazes que ofereçam suporte a todas estas atividades importantes. A Nephos6 utiliza ferramentas de análise de rede e de software com captura de pacotes, mas queriam ver se o mercado oferecia uma ferramenta abrangente, portátil e que pudesse ser acessada remotamente. Yurie Rich, diretor executivo de operações da Nephos6 lembra-se da época, “Foi interessante. Eu trabalhei com a NETSCOUT desde há muito tempo atrás, desde 2000, quando comecei trabalhar com IPv6, e depois, outra vez, em 2007 ou 2008, enquanto nossa equipe de OptiView estava trabalhando para obter a certificação JITC [Joint Interoperability Test Command] para IPv6. Suponho que for por sorte que contataram o nosso CEO, Ciprian (Chip) Popoviciu, para ver se estaríamos interessados em avaliar o XG.”

Após ter analisado os recursos do OptiView XG na documentação, John Spence, vice-presidente de serviços de IP da Nephos6, desenvolveu uma série de experiências para testar os recursos do OptiView XG. John lembra-se, “Chip, Yurie e eu passamos algumas horas pensando sobre o que havia de comum nas implementações em que tínhamos trabalhado. As implementações são sempre diferentes, mas geralmente você vê o teste no laboratório, uma implementação controlada (ou um protótipo ou piloto de todas elas) no ambiente de produção usando uma ou várias tecnologias da transição, depois vem a etapa de teste e remediação de qualquer problema. Esse processo é evoluiu continuamente até a organização acertar na arquitetura alvo ideal, que é operacionalmente íntegra e habilitada para as duas pilhas de protocolos.”

O OptiView XG tem uma capacidade de descoberta robusta, a capacidade para capturar tráfego de IPv6 do túnel e de identificar o tipo de mecanismo de transição que está sendo usado. Pode também identificar o número de tipos de serviços de IPv6 que um nó está oferecendo, e analisar os anúncios dos roteadores. Coletivamente, estes recursos representam uma caixa de ferramentas valiosa para o suporte aos requisitos comuns da Nephos6.


Aproveitando o recurso de descoberta de dispositivos e de rede.

A figura 1 é um diagrama muito simplificado de um ambiente típico da empresa. Consiste em três campi com ambientes, um data center, e acesso centralizado à internet. John desenvolveu um ambiente de laboratório que espelhava esta arquitetura e identificavas os pontos para conectar o OptiView XG. A maioria das implementações de IPv6 começa com um protótipo realizado em laboratório. A primeira etapa era aproveitar sua capacidade da descoberta.

Figura 1: Exemplo da arquitetura da empresa

O laboratório começou como IPv4 somente, depois, o IPv6 foi habilitado em alguns dispositivos. O OptiView XG permite a descoberta de dispositivos na sub-rede, e através de alguns parâmetros da configuração, também a descoberta de dispositivos fora da sub-rede. Em implementações de IPv6, a maioria de empresas (e provedores de serviços) provavelmente deseja um espaço de endereços IPv6 gerenciado - significando o uso de DHCPv6. As informações fornecidas pelo processo de descoberta verificaram se os nós estão usando as informações de configuração de endereços IPv6 obtidas corretamente. O processo de descoberta também categoriza os nós descobertos como roteadores, servidores, comutadores, ou nó final. A figura 2 é um exemplo de captura de tela da interface do usuário da descoberta do OptiView XG em uma sub-rede de laboratório.

Figura 2: A interface de descoberta de dispositivos e de rede do OptiView XG

O dispositivo destacado é um servidor neste segmento específico da LAN. O espaço dos endereços IPv6 é altamente diversificado. Além de ter vários tipos do endereços (unicast, multicast, anycast - como no IPv4), há escopos de endereços (como link local - identificável aqui como fe80::82c:6ff:fe55:1c2b). E, para tornar as coisas um pouco mais interessantes, os endereços IPv6 podem ser derivados através de uma variedade de processos.

Aqui, o roteador ascendente é configurado para usar a configuração automática de endereços e enviar anúncios do roteador ao nó, que está configurando corretamente seu endereço IPv6 baseado em parte nas informações contidas no RA. A preferência neste caso é um endereço configurado usando o processo EUI-64 (Extended Unique Identifier, ou Identificador exclusivo estendido). Isto é verificado examinando-se os últimos 64 bits, que têm os caracteres hexadecimais FF FE no meio do endereço MAC. Combinados com o prefixo 2001:db8:ff:70::/64, a interface criou 2001:db8:ff:70:82c:6ff:fe55:1c 2b como seu endereço IPv6

A equipe da Nephos6 reconheceu rapidamente as diversas vantagens do recurso de descoberta do OptiView:

  1. Validação da configuração de IPv6 no dispositivo no link - lembre-se de que um dos requisitos comuns de todos os processos de integração de IPv6 é a necessidade de testar e validar as implementações. As informações fornecidas pelo OptiView XG claramente fornecem informações sólidas para verificar a conectividade de IPv6, informações de endereços IPv6 e, com análises adicionais, o que os nós específicos estão fazendo em termos de portas abertas e ofertas de serviços.
  2. Identificação de implementações não autorizadas ou não intencionais de IPv6- certamente todas as vezes que o processo de descoberta é executado e dispositivos IPv6 estão presentes no link, o OptiView XG os encontrará e os reportará.
  3. Acesso remoto significa conhecimento remoto - leva algum tempo para se adquirir o conjunto de conhecimentos necessários sobre o IPv6. Não é raro que as equipes de campo, que fazem muito do trabalho pesado do IPv6 durante o processo de integração, sejam as últimas na lista de treinamento em IPv6. A capacidade de acesso remoto do OptiView XG significa que os engenheiros que tem conhecimentos sobre IPv6 podem colaborar com os engenheiros em campo para realizar não somente o teste e os exercícios da validação, mas também para continuar o processo de transferência de conhecimento sobre IPv6.
Integração de IPv6

Uma vez que as configurações básicas tenham sido realizadas e o ambiente estiver operando da maneira prevista, o próximo passo é expandir a implementação para outras áreas da rede. No exemplo do laboratório, mostrado na figura 3, o IPv6 é implementado em outra seção do campus e as duas ilhas são conectadas com um túnel configurado manualmente, conhecido geralmente como um túnel 6in4. Em cada extremidade do túnel, os roteadores têm pilhas duplas - suportando IPv4 e IPv6 simultaneamente. Os túneis IPv6-in-IPv4 são configurados manualmente em cada roteador.

Figura 3: Túnel (6in4) configurado manualmente

John Spence observa, “Os túneis manuais são relativamente simples de criar (mas são facilmente escaláveis com o crescimento das implementações), que é, ao mesmo temo, bom e ruim. É uma maneira fácil de conectar ilhas de IPv6 na infraestrutura existente das empresas. O desafio é que, para muitos elementos de rede já implantados (roteadores, IDS, firewalls), esses pacotes no túnel parecem muito com qualquer outro tráfego de IPv4. Duas partes podem criar um túnel de IPv6 entre seus computadores com muito pouco esforço. De um ponto de vista geral, isto não é o fim do mundo, mas em um ambiente controlado, e especialmente de uma perspectiva de segurança, o processo de implementação de IPv6 precisa de ser controlado e gerenciado.”


O OptiView XG é uma ferramenta muito eficaz para a identificação de túneis de IPv6. A figura 4 mostra uma captura de tela da interface do usuário do protocolo de túnel de IPv6, que é encontrada na guia Análise de tráfego. Neste exemplo específico, John conseguiu colocar a interface de descoberta do OptiView XG em uma porta SPAN (de monitoração) sobre o qual o do túnel de tráfego IPv6 estava passando. Através da monitoração do tráfego nessa porta, o OptiView XG identifica automaticamente o tipo do túnel como 6in4. A captura também identifica as extremidades do túnel, que é algo extremamente importante em um cenário de

Figura 4: Captura de tela do protocolo de túnel de IPv6

“detecção e eliminação de IPv6 não autorizado”. “Com as informações fornecidas nesta tela, posso identificar este tráfego como uma das minhas implementações pretendidas. Se não reconheço essas extremidades, é fácil identificá-las através da infraestrutura do DDI (DHCP, DNS, gerenciamento de endereços IP) e trabalhar com a equipe de TI para controlar tais implementações”, diz John.

A capacidade de descoberta de IPv6 do OptiView XG não é limitada aos túneis 6in4. Ele suporta a identificação da maioria dos túneis mais frequentemente utilizados na indústria atualmente (veja a tabela abaixo). Isto é excepcionalmente importante porque a maioria dos sistemas operacionais modernos habilitam o IPv6 por padrão e as pilhas são agressivas sobre a obtenção de conectividade por IPv6 através dos mecanismos de transição estabelecidos. Por exemplo, o Windows® 7 habilitou o IPv6 por padrão e, em um ambiente exclusivamente IPv4, tentará estabelecer a capacidade do IPv6 através dos mecanismos de transmissão 6to4, ISATAP e Teredo.

Protocolos de túneis IPv6
Túneis manuais Descrição
6in4 Encapsula um datagrama IPv6 em um pacote IPv4 usando o marcador do protocolo 41. As extremidades do túnel são configuradas manualmente com informações pré-compartilhadas dos endpoints.
Túneis automáticos Descrição
ISATAP O túnel automático ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) é usado primariamente para permitir que os nós isolados que tenham as duas pilhas de protocolos usem a rede IPv4 como uma camada de link de dados NBMA (Non-Broadcast Multiple Access). Requer servidor/roteador de ISATAP e configuração mínima do cliente.
6to4 6to4 usa um sistema de Gateways e de relés para permitir que as redes IPv6 isoladas (ou hosts) criem um prefixo de rede IPv6 /48 e comuniquem-se com outros usuários de 6to4 e com clientes somente IPv6 na internet.
Teredo Mecanismo complexo que usa um sistema de servidores e de relés para provisionar hosts isolados que tenham as duas pilhas de protocolos com conectividade IPv6. Habilitado para NAT transversal.
Protocolo de configuração do túnel (TSP) Estabelece um túnel entre o cliente e um servidor de túnel, geralmente através de um intermediário de túnel. Habilitado também para NAT transversal.

O vantagem do OptiView XG encontra-se não somente na sua capacidade de identificar o tráfego IPv6 em túnel, mas também na maneira como categoriza o tipo de túnel e as extremidades que participam do túnel. Isto representa uma economia de tempo significativa no processo de análise, já que o pessoal da TI pode se concentrar na mitigação, em vez de ter de trabalhar com várias capturas de pacotes para tentar compilar o mesmo tipo de informações detalhadas que o OptiView XG pode fornecer imediatamente.

Resolução de problemas de implementações de IPv6

Não é segredo que a maioria dos projetos da TI levam muito mais tempo do que esperado e quase nunca são concluídos sem que haja algum problema. Há muitas peças no quebra-cabeça que é o processo de implementação do IPv6, e a resolução de problemas é uma constante desse processo. A chave para identificar e solucionar problemas rapidamente é ter as informações corretas, e esta é uma área na qual o OptiView é superior. Além das informações geradas no processo de descoberta padrão, o OptiView XG também suporta a capacidade da descoberta de aplicativos em IPv6.

Figura 5: Varredura da portas TCP/IPv6

A figura 5 identifica o resultado do processo da de varredura de portas IPv6 em um dispositivo específico - neste caso um servidor no exemplo da implementação. Quando John terminou o processo da varredura, observou que não havia nenhum serviço DHCPv6 identificado, mas este dispositivo deveria ser o servidor DHCPv6 no local do laboratório.

Figura 6: Configuração de endereços de OptiView XG IPv6

Mais uma vez, revendo as informações no painel da descoberta, John observou que o próprio OptiView XG não estava usando endereços do grupo de DHCPv6, mas, em vez disso, estava configurando automaticamente os endereços IPv6 usando a extensão da privacidade padrão permitida habilitada no Windows® 7, algo que não era a configuração pretendida. A figura 6 destaca os endereços indesejados.


Figura 7: Resolução de problemas do DHCPv6

A descoberta gerou pesquisas adicionais dos ajustes da configuração subjacentes no sistema operacional do OptiView XG e do próprio servidor. O resultado da identificação do problema foi uma configuração incorreta do servidor DHCPv6. Uma vez reparado, o processo de descoberta foi repetido e a figura 7 mostra o resultado - um endereço IPv6 corretamente configurado no XG.

Conclusões

Os achados com relação às capacidades de IPv6 do OptiView XG são muito positivos. Após ter revisto os resultados, a equipe da Nephos6 chegou às seguintes conclusões:

  • O OptiView XG é uma ferramentas excelente para a análise de IPv6 que permite que os engenheiros e técnicos coletem grandes quantidades de dados sobre as capacidades e atividades de IPv6 dos dispositivos na rede sem ter de ir fisicamente a cada dispositivo, economizando tempo e trabalho.
  • A descoberta, o protocolo de túneis de IPv6, e os anúncios de roteadores (testados, mas não cobertos neste documento) podem ajudar os técnicos responsáveis pela implementação de IPv6 a monitorar implementações não autorizadas de IPv6 em suas redes, sejam elas maliciosas, não intencionais ou criadas por engenheiros de TI curiosos que estejam realizando pesquisas independentes sobre IPv6.
  • Todas as características do OptiView XG centradas no IPv6 não só ajudarão a testar as implementações de IPv6, mas também representam um grande recurso para a coleta e compartilhamento de informações para agilizar os trabalhos de resolução de problemas.
  • A grande variedade de tipos de conexão da camada 2 (como Ethernet, 10GbE, Wi-Fi) significa que o OptiView XG é valioso para diversos mercados que no momento estão envolvidos na implementação de IPv6, incluindo provedores de serviços, grandes empresas, órgãos do governo, e instituições acadêmicas.
  • As características e capacidades do OptiView XG relacionadas ao IPv6 são significantemente avançadas, em comparação com outros dispositivos no mercado, o que significa que o OptiView XG é um dispositivo pronto para oferecer suporte à implementações de IPv6 que estão sendo realizadas atualmente. Isto é útil para os clientes da Nephos6, muitos dos quais continuam a ouvir “Isto está em nossos planos” de muitos de seus fornecedores atuais de TI.
 
 
Powered By OneLink