V počítačové síti VŠB, kde postupně nasazujeme IPv6, provozujeme také bezdrátové sítě. V těchto sítích ale IPv6 v současné době dostupné není. Popíši technické důvody, pro které doposud IPv6 v bezdrátových sítích není dostupné a také technické kroky, které je potřeba realizovat pro vyřešení této situace.
IPv6 je oproti IPv4 je navrženo přeci jen trochu jinak, nelze si představovat, že IPv6 má jen delší adresy. Z našeho pohledu implementace IPv6 v bezdrátových sítích je důležité to, jakým způsobem se v IPv6 síti volí směrovače a konfigurují adresy. IPv6 adresu lze získat přes DHCPv6, ale bohužel ne všechny OS mají DHCPv6 klienta dostupného a funkčního. Proto je potřeba v současnosti podporovat i tzv. autokonfiguraci. Autokonfigurace je navržena tak, že směrovač v příslušné síti oznamuje prefix příslušné sítě (prvních 64 bitů adresy) a stanice si následně podle určitých algoritmů zvolí druhou polovinu adresy (druhých 64 bitů).
Směrovače v IPv6 síti nejsou stanicemi získávány přes DHCPv6 (to dokonce není ani podporováno), ale samy se v síti propagují. K dispozici mají také tři druhy priorit - malá, střední a vysoká. Je ovšem důležité si uvědomit, že tyto RA (Router Advertisements) jsou rozesílány na multicastové IPv6 adresy.
Po tomto úvodu se můžeme podívat na síť VŠB. Ta je postavena na řídicích modulech bezdrátové sítě. Jednotlivé přístupové bezdrátové body jsou z řídicích modulů řízeny a veškerý provoz APček je posílán na tyto řídící moduly prostřednictvím tunelů. To umožňuje velmi rychlé rekonfigurace celé bezdrátové sítě. A to nejen v LAN VŠB. Díky tomuto centralizovanému modelu mohou být shodné služby poskytovány např. v rekreačním středisku Desná, které je připojeno do Internetu prostřednictvím ADSL.
Aby mohly být RA přeposílány na AP, je nutné, aby řídicí moduly podporovaly IPv6 multicast. To programové vybavení našich řídicích modulů Cisco WiSM umožňuje. Takže to vypadá, že nasazení IPv6 v bezdrátových sítích nic nebrání. Ale opak je pravdou. Pokud totiž zapojíte do takové sítě stanici, která se začne propagovat jako směrovač, tak začnou problémy s ostatními koncovými stanicemi. A "vyrobit" takovou stanici je poměrně jednoduché - stačí mít Windows Vista/7 s nastaveným sdílením připojení.
A protože Cisco Wireless Controller nemá podporu pro filtrování RA (RA Guard), tak se musíme spolehnout na to, že taková stanice se nám v síti neobjeví. Naděje sice umírá poslední, ale při tomto rozsahu bezdrátové sítě je brzký konec nadějí v podstatě jistý. V naší síti, kde máme okolo 250 APček, je ve špičkách připojeno zhruba 800-900 uživatelů. Mezi těmito uživateli se běžně našlo 8-9 stanic, které měly nastaveno sdílení připojení a dělali v síti "nepořádek".
Cisco slíbilo, že doplní funkci RA Guard ve fázi 2 (fáze 1 je implementovaná, fáze 2 probíhá), ale pouze u modulů postavených na řadě 5500. Druhá fáze má být dokončena v 2011/Q3-4. A ještě před dvěma lety se prodávaly moduly řady 4400, které samozřejmě máme i my...
A jaké je tedy řešení pro tento případ? V prvé řadě je potřeba používat nejvyšší možnou prioritu pro RA našeho oficálního směrovače. Tím snížíme pravděpodobnost, že objeví-li se v síti cizí směrovač, že stanice jej použije. Druhým nutným technickým krokem je zprovoznění zneplatňovače RA. To je program, který poslouchá na síťovém rozhraní, a zaznamená-li RA od zařízení, které nemá v seznamu platných směrovačů, tak okamžitě pošle do sítě zneplatnění tohoto oznámení. Tím docílíme toho, že než stačí stanice tuto cestu použít, tak je zneplatněna.
Toto řešení vypadá funkčně, v poloprovozním režimu na vybraných částech bezdrátové sítě se osvědčilo, takže předpokládám, že s novým semestrem jej nasadíme v celé síti. Návrh je takový, že u každého z obou řídicích modulů bude umístěn jeden "zneplatňovač". Tím řešíme jednak zálohu pro případ výpadku a také zajištění doručení zneplatnění, protože oba servery budou umístěny v různých částech metropolitní sítě. Nicméně stále je to jen workaround, který fixuje jen důsledky.
A jak je tento zneplatňovač postaven? Je jím linuxový systém, který podporuje 802.1Q a zneplatňování realizuje program RAMON. Tento přístup lze samozřejmě aplikovat i u pevných sítích. Ale v nich máme přeci jen trochu více možností. Ty zkusím ale rozebrat jindy.
Tento režim plánuji provozovat minimálně následující rok. Přibližně za rok budeme řešit další problém související s rozvojem - nedostatečná redundantní kapacita řídicích modulů vzhledem k provozovaným APčkům. V tu dobu budeme muset řešit buď upgrade nebo doplnění řídicích modulů a při volbě platformy jistě bdueme přihlížet ke kvalitě implementace IPv6. Na každý pád čekám, že Cisco se pohne s rozvojem IPv6 v oblasti centralizovaných bezdrátových sítí kupředu.
Žádné komentáře:
Okomentovat