6.2 IP verze 6
Projekt se zabývá protokolem IP verze 6, který je vyvíjen IETF jako nástupce stávajícího IP (IPv4). V roce 2000 jsme hlavní úsilí věnovali konsolidaci páteřní sítě a rozvoji připojených experimentálních uzlů. Uspořádali jsme dva rozsáhlejší testy - jeden zaměřený na směrovací protokoly a druhý na bezpečnostní mechanismy IPv6.
6.2.1 Infrastruktura
Páteřní IPv6 síť projektu TEN-155 CZ byla uvedena do provozu v létě roku 1999. Její přístupové body byly většinou tvořeny běžnými počítači či dočasně zapůjčenými směrovači. V roce 2000 jsme se snažili tento stav zlepšit a převést páteřní infrastrukturu na solidnější úroveň. Proto jsme zakoupili dva směrovače Cisco 3620 a instralovali je v uzlech v Českých Budějovicích a v Hradci Králové.
Přibyl nový uzel v Ostravě a po jistou dobu vykazovalo zájem o zapojení do projektu i Ústí nad Labem, tato aktivita však postupně odezněla. Došlo také k rozšíření experimentálních sítí v jednotlivých uzlech. Souhrnné údaje o jejich aktuálním stavu uvádí tabulka.
| uzel | směrovač | připojení | počítače, OS |
| Brno | PC (NetBSD) | tunel | 3 PC (NetBSD) |
| České Budějovice | Cisco 3620 | tunel | 2 PC (Linux) |
| Liberec | Cisco 4700 | PVC | 3 PC (Linux, NetBSD) |
| Hradec Králové | Cisco 3620 | PVC | 3 PC (MS Windows, NetBSD) |
| Ostrava | PC (Linux) | tunel | 1 PC (různé OS) |
| Praha | Cisco 4500 | centrum | - |
Tabulka 6.1: Uzly páteřní IPv6 sítě
Zabývali jsme se také možnostmi pro distribuci IPv6 v lokálních či metropolitních sítích připojených institucí. Zatím se takové požadavky sice nevyskytly, nicméně předpokládáme, že v dohledné době se začnou objevovat. V současnosti lze vycházet z následujících předpokladů: většina aktivních prvků nepodporuje IPv6 a požadavků na jeho zavedení nebude mnoho.
V této situaci se jako optimální jeví použití virtuálních sítí na bázi 802.1Q. Aktuální L2 přepínače tento protokol zpravidla podporují a lze očekávat, že je či brzy bude plošně dostupný ve většině lokálních sítí. Možnost poskytnout IPv6 na bázi 802.1Q do většiny přípojných míst jsme prakticky ověřili v síti TU Liberec při použití kombinace aktivních prvků Cisco Catalyst a Extreme Networks Summit.
![[Obrázek]](ipv6topo.gif)
Obrázek 6.2: Topologie páteřní IPv6 sítě
6.2.2 Testování směrovacích protokolů
V rámci aktivit pracovní skupiny IPv6 evropského programu TF-TANT jsme na jaře provedli rozsáhlejší test směrovacích protokolů pro IPv6. Do testů jsme zapojili tyto hardwarové a softwarové platformy:
- Cisco 4700 - software 12.0(19991126)
- Linux - Zebra 0.86
- Linux - MRT 2.2.1a
Ověřovali jsme základní protokoly: RIPng, OSPFv3 a BGP4+. Pro testy jsme vytvořili experimentální síť zahrnující uzly v Liberci a Českých Budějovicích. Její základní topologii znázorňuje obrázek, během testů jsme však její podobu měnili přepojováním jednotlivých tunelů podle potřeby. Činnost protokolů jsme sledovali jednak prostřednictvím ladicích nástrojů vestavěných v testovaných programech, jednak analýzou paketů zachycených programem Ethereal.
![[Obrázek]](ipv6test.gif)
RIPng
Protokol RIP je velmi jednoduchý a snadno implementovatelný. Díky tomu je dostupný na většině platforem. Všechny testované produkty jej podporovaly a v praxi se ukázal jako plně funkční. Směrovací informace se propagovaly korektně a díky mechanismu vyvolaných aktualizací (triggered update) i rychle.
Nezaznamenali jsme žádné problémy se vzájemnou kompatibilitou různých produktů. Vše fungovalo, jak má. Paradoxně jediným problémem byla nekompatibilita dvou různých verzí programu Zebra, kdy se verze 0.85 nebyla schopna domluvit s verzí 0.86.
OSPFv3
Tento pokročilý směrovací protokol byl v době testování implementován jen v programu Zebra. Testy však ukázaly, že tato implementace je teprve ve stádiu zrodu a pro praktické nasazení je zcela nepoužitelná. OSPF se vůbec nešířilo tunely. Počítače přímo propojené Ethernetem se o sobě sice dozvěděly (partner se objevil v seznamu sousedů), ale nevyměňovaly si žádné směrovací informace.
BGP4+
Protokol BGP4+ se používá jako standardní externí směrovací protokol v síti 6bone a jeho implementace ve směrovačích Cisco se jeví jako dostatečně zralá. Protokol je k dispozici i v programech Zebra a MRT. Neobjevili jsme žádné problémy se vzájemnou kompatibilitou. Pouze v programu Zebra nedocházelo k redistribuci směrovacích informací získaných protokolem RIPng do BGP4+.
6.2.3 Testování bezpečnostních mechanismů
Povinná implementace bezpečnostních prvků (IPsec) je jednou z významných předností IPv6. Bohužel většina současných implementací tuto povinnost pomíjí a IPsec neobsahuje. Jedinou běžně dostupnou implementací s dostatečně kvalitní podporou IPsec je KAME pro operační systémy BSD. Proto se testy odehrávaly na dvojici počítačů s operačním systémem NetBSD.
Vedle samotné funkceschopnosti jsme se zajímali především o to, jak použití IPsec ovlivní výkonnost přenosu dat. Provedli jsme dvě série měření přenosových rychlostí - jednu na vyhrazeném segmentu Fast Ethernet, druhou po běžné infrastruktuře sítě TEN-155 CZ. Měřili jsme reálný výkon vykazovaný aplikací, konkrétně přenosovou rychlost dosaženou protokolem FTP.
Test na vyhrazeném segmentu probíhal na dvojici počítačů, z nichž jeden odpovídal současné standardní konfiguraci (Pentium III 600 MHz, 128 MB RAM), zatímco druhý se nacházel na spodní hranici dosud používaných strojů (Pentium 100 MHz, 32 MB RAM). Jeho výsledek představuje obrázek.
![[Obrázek]](ipv6rychlosti1.gif)
Pokles přenosové rychlosti byl výrazný (v závislosti na použitém algoritmu klesá na 10-40 % rychlosti bez šifrování), nicméně ne natolik, aby způsoboval zásadní problém v komunikaci. Výkon zůstával na rozumně použitelné úrovni. Podle očekávání způsobovala menší zátěž autentizační hlavička AH, při jejímž použití se přenosové rychlosti pohybovaly kolem 1 MB/s. U šifrovaných paketů (hlavička ESP) byly ve výkonech daleko větší rozdíly - zatímco algoritmus Blowfish dosahoval přenosové rychlosti přes 800 KB/s, 3DES jen těsně překonal 200 KB/s. Při kombinaci obou bezpečnostních hlaviček hrála rozhodující roli ESP, připojení AH představovalo již jen nepříliš velké zpomalení.
Ve druhé sérii jsme měřili přenosové rychlosti mezi počítači umístěnými v Liberci a v Ostravě. Data procházela po linkách sdílených s běžným provozem sítě TEN-155 CZ. Jak je vidět na obrázku, na přenosovou rychlost zde má daleko větší vliv zpoždění způsobené přenosem po síti, než šifrování. Přenosová rychlost bez šifrování jen mírně přesahuje 0,5 MB/s a při použití různých šifrovacích algoritmů klesá jen o 15-30 %. Výjimkou je algoritmus 3DES, který výkon sráží zhruba na polovinu.
![[Obrázek]](ipv6rychlosti2.gif)
Uvažujeme-li o nasazení v konfekčních sítích, jejichž parametry jsou ve srovnání s TEN-155 CZ výrazně horší, lze očekávat, že se rozdíl mezi šifrovanými a nešifrovanými přenosy ještě sníží. Při použití vhodných algoritmů pravděpodobně nepřekročí 20 %. IPsec tedy lze prohlásit za reálně použitelný nástroj, jehož dopad na výkon v rozlehlých sítích bude zanedbatelný. Výrazněji se projeví v sítích lokálních, kde ale potřeba jeho použití nebývá tak výrazná.
Výsledky měření dále ukázaly následující vlastnosti IPsec v implementaci KAME:
- IPv6 je prakticky stejně výkonné jako IPv4 (rozdíly pod 5 %).
- U algoritmu Blowfish nezáleží na délce klíče. Rozdíl v přenosové rychlosti mezi klíči 40 bitů a 448 bitů byl menší než 1 %, což je dáno charakterem algoritmu.
- 3DES představoval na dané konfiguraci takovou zátěž procesoru, že při testu na vyhrazeném segmentu nebyl rozdíl v dosažené přenosové rychlosti mezi kartou Ethernet (10 Mb/s) a Fast Ethernet (100 Mb/s).
6.2.4 Aktuální stav IPv6
V roce 2000 začaly aktivity související s protokolem IPv6 a jeho uváděním do praxe zvolna nabírat na obrátkách. Především zahájilo aktivní činnost IPv6 konsorcium, které sdružuje zainteresované výrobce síťových prvků. Konsorcium se angažuje především v oblasti osvěty a propagace - uspořádalo několik konferencí po celém světě a zveřejňuje prostřednictvím WWW zajímavé materiály z této oblasti.
Stav nejvýznamnějších implementací zaznamenal v roce 2000 znatelný posun vpřed.
BSD
Na vedoucím postavení BSD v této oblasti se nic nezměnilo. Implementace KAME je stále to nejlepší, co je k dispozici, přestože ještě má jisté nedostatky v součinnosti IPsec a mobility. V roce 2000 došlo k postupnému začleňování KAME do standardních distribucí BSD (NetBSD 1.5, FreeBSD 4.0, OpenBSD 2.7).
Linux
IPv6 je v Linuxu implementováno již delší dobu, tato implementace se však příliš nevyvíjí a obsahuje řadu nedostatků. Jako reakce vznikl v roce 2000 projekt USAGI (UniverSAl playGround for Ipv6), který si klade za cíl vytvořit pro Linux kvalitnější implementaci IPv6. Své první výsledky členové projektu vydali v listopadu. Jednalo se o upravené jádro, knihovny glibc a sadu uživatelských nástrojů. Cílem skupiny vývojářů je začlenit kód do standardního jádra a běžných distribucí Linuxu a dosáhnout kvality srovnatelné s KAME implementací.
Microsoft
Nové verze operačních systémů firmy Microsoft vydané v roce 2000 (Windows 2000, Windows ME) nepodporují IPv6. V září byla vydána ověřovací implementace IPv6 pro Windows 2000, která obsahuje zárodky podpory IPsec a mobility (implementuje cache vazeb pro komunikaci s mobilními uzly). Přináší i podporu IPv6 pro základní aplikace: WWW a FTP klienti, Telnet. Stroj s MS Windows 2000 však nemůže pracovat jako IPv6 směrovač. Chybí podpora jakýchkoli směrovacích protokolů či sériových linek. Uživatelé řady 95/98/ME jsou nadále odkázáni na produkty třetích firem, které zatím nevykazují příliš dobré vlastnosti.
Cisco
Firma Cisco Systems vydala v polovině roku oficiální plán podpory IPv6. Bohužel není nijak optimistický: začátkem roku 2001 by měla vyjít první oficiální verze Cisco IOS s podporou IPv6, jejíž schopnosti budou zhruba odpovídat současným testovacím verzím. Náročnější prvky, jako je OSPF či mobilita jsou naplánovány až "za polovinou roku 2001".
6.2.5 Publikační činnost
Během roku 2000 jsme na serveru www.ten.cz otevřeli tématickou sekci věnovanou IPv6. Bohužel se nepodařilo dokončit plánovanou rozsáhlejší publikaci zaměřenou na tuto problematiku. Z předpokládaného rozsahu cca 150 stran jsou připraveny zhruba dvě třetiny. K jejímu vydání by mělo dojít v první polovině roku 2001.
Své aktivity jsme prezentovali na semináři pořádaném sdružením CESNET v dubnu. Na podzim jsme pak publikovali dvojici článků na serveru Lupa.
6.2.6 Plán další činnosti
V roce 2001 se chceme soustředit především na zpřístupnění IPv6 širšímu okruhu uživatelů. Předpokládáme, že sílící aktivity v této oblasti povedou k většímu zájmu uživatelů. V lokálních a metropolitních sítích napojených na IPv6 páteř implementujeme taková opatření, aby přístup k IPv6 mohlo získat co nejvíce zdejších uživatelů. Dále plánujeme instalaci veřejného serveru tunelů, který by umožnil připojení k IPv6 prakticky komukoli s běžnou IPv4 konektivitou.
Vzhledem k rostoucí aktivitě v implementacích IPv6 budeme sledovat vývoj jednotlivých produktů a testovat jejich vlastnosti. Pozornost budeme věnovat především podpoře mobility, která se - doufáme - v některých implementacích objeví v použitelné podobě. Počítáme s instalací páteře pro podporu mobility alespoň ve čtyřech uzlech sítě a jejím uvedením do ověřovacího provozu.
Budeme pokračovat ve spolupráci na mezinárodních výzkumných aktivitách, především participací na TF NGN v rámci projektu Géant.
 předchozí |
 obsah |
následující
 |