tuotantoverkon IPv6 toteutus Pr - papaya.ictlab.kyamk.fi serveri
KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikka / Tietoverkkotekniikka Antti Parkkinen ICTLAB – tuotantoverkon IPv6 toteutus Projektiopinnot kevät 2011 SISÄLLYS 1 JOHDANTO 3 2 TUTUSTUMINEN IPV6 – OSOITTEISIIN 3 3 SIMUNETIN IPV6 -OSOITTEET 3 3.1 SimuNetin IPv6 – osoiteavaruus 3 3.2 Tuotantoverkko (Kalaverkko) 4 3.3 SimuNetin ydin 4 3.4 Asiakkaat 4 3.5 Linkkiverkot 4 4 TUOTANTOVERKON IPV6 TOTEUTUS 4 4.1 Tietoliikennelaitteet 4 4.1.1 Kalaverkon kytkimet 4 4.1.2 Comserver-etäkäyttöpalvelimet 5 4.1.3 TLT – WLAN -verkko 5 4.2 ICTLAB – toimialueen palvelimet ja työasemat 6 4.2.1 Palvelimet 6 4.2.2 Työasemat 6 4.3 Tuotantoverkon kytkentä IPv6- internetiin 7 5 LOPPUTULOS 7 6 ESIMERKKIOSOITTEITA 8 3 1 JOHDANTO Tämän projektin tarkoituksena oli lisätä ICTLAB -tuotantoverkkoon IPv6 -osoitteet nykyisen IPv4 rinnalle yhtäaikaiseen käyttöön. Projektiin kuului verkon työasemien, palvelimien sekä verkkolaitteiden muuttaminen käyttämään IPv6 – osoitteita, mikäli laite niitä vain tuki. 2 TUTUSTUMINEN IPV6 – OSOITTEISIIN Projekti alkoi tutustumalla Ciscon CCNP1 – materiaalin IPv6 moduuliin ja tekemällä siihen liittyvät harjoitukset. Näin sain hyvän pohjan kuinka Ciscon laitteisiin tehdään IPv6 – vaatimat muutokset. 3 SIMUNETIN IPV6 -OSOITTEET 3.1 SimuNetin IPv6 – osoiteavaruus SimuNetille oli saatu KYMP OY:ltä oma IPv6 – osoiteavaruus 2a00:1dd0:100::/48, josta on tarkoitus jakaa osoitteita SimuNetin asiakkaille. Yksi näistä tulee olemaan ICTLAB-opetusympäristön oma tuotantoverkko ns. ”Kalaverkko”. Taulukko 1. IPv6 -osoitteet 2a0 Eurooppaan, Lähi-itään ja Keski-Aasiaan IP – osoitteita jakava RIPE NNC 0:1dd0 Kymen puhelimen saama osoiteavaruus. 0100 SimuNet. 0000 Seuraavat 4 heksadesimaalia on varattu SimuNetin asiakkaille siten, että 2 ensimmäistä määrittävät asiakkaan ja 2 jälkimmäistä ovat varattu asiakkaan omiin aliverkotuksiin. /64 Loput 64 bittiä ovat laitteille määriteltäviä osoitteita aliverkoista. 4 3.2 Tuotantoverkko (Kalaverkko) Kalaverkosta tuli SimuNetin asiakas 01, jolloin sen osoitteet ovat verkosta 2a00:1dd0:100:0100::/56 3.3 SimuNetin ydin SimuNetin omiin IPv6 toimintoihin on varattu 2a00:1dd0:100:0000::/56 –verkko. 3.4 Asiakkaat SimuNetin asiakkaille on tarkoitus jakaa /56 -verkkoja alkaen verkosta 2a00:1dd0:100:1000::/56, jolloin asiakkaille jää vielä 8 bittiä aliverkotukseen. 3.5 Linkkiverkot SimuNetin asiakaslinkkiverkkoihin on tarkoitus käyttää osoitteita siten, että neljäs heksadesimaalisarja alkaa merkillä F, seuraava heksadesimaali ilmaisee linkin numeron ja 2 viimeistä ovat asiakkaan numero. Esimerkiksi SimuNetin ja tuotantoverkon linkkiverkko on: 2a00:1dd0:100:f001::/64 4 TUOTANTOVERKON IPV6 TOTEUTUS 4.1 Tietoliikennelaitteet 4.1.1 Kalaverkon kytkimet Verkon ytimenä toimiva C3750 -monikerroskytkin oli kaiken avain käyttöönoton kannalta. Aluksi se tuli laittaa dual-ipv4-and-ipv6 – moodiin jotta se edes osaisi ipv6 – komentoja, tämä tapahtuu komennolla: lohi(config)# sdm prefer dual-ipv4-and-ipv6 default Tämän jälkeen kytkin vaati vielä uudelleenkäynnistyksen ja oli itse asiassa ainoa laite joka piti käynnistää uudelleen verkossa. 5 Seuraavaksi C3750-kytkimeen piti käynnistää ipv6 unicast routing sekä antaa tarvittaville aliverkkojen vlan interfaceille ipv6-osoitteet (esim. vlan 131): lohi(config)# ipv6 unicast-routing lohi(config)# interface vlan 131 lohi(config-if)# ipv6 address 2a00:1dd0:100:0104::129/64 lohi(config-if)# ipv6 enable Kuva 1. C3740:n VLAN 136:n configuraatio Vanhemmat C2950 L2-kytkimet eivät vaadi toimiakseen muutoksia mutta niihin ei saa IPv6 – osoitteita hallintaa varten, joten niiden hallinta tapahtuu edelleenkin vanhoilla osoitteilla. 4.1.2 Comserver-etäkäyttöpalvelimet Uudemmat comserver-etäkäyttöpalvelimet tukivat IPv6 – osoitteita hallintaa varten mutta vanhempien kohdalla pitää pysyä IPv4 hallinnassa. 4.1.3 TLT – WLAN -verkko Tässä tapauksessa tukiasemat eivät vaatineet mitään muutoksia ja riitti, että C3750kytkimen VLAN 123 oli asetettu IPv6 – toimintaan. Langattomaan verkkoon liittyvillä laitteilla tulee vain olla tuki IPv6 – protokollalle ja niiden tulisi toimia tällöin ongelmitta. 6 Kuva 2. TLT-WLAN:ssa olevan kannettavan ipconfig 4.2 ICTLAB – toimialueen palvelimet ja työasemat 4.2.1 Palvelimet Toimialueen palvelimet tarvitsivat vain kiinteät IPv6 -osoitteet ja lähtivät tämän jälkeen toimimaan ilman ongelmia. Lisäksi Windows-toimialueen sääntöjä (policy) muutamalla käynnistettiin työasemien IPv6 -protokollat. 4.2.2 Työasemat Työasemille ei varsinaisesti tarvinnut tehdä mitään muutoksi vaan niiden tarvitsemat asetukset tulivat suoraan palvelimilta. Ainoa ongelma ilmeni F-Securen palomuurin kanssa, jossa on oletuksena estetty kaikki IPv6 -liikenne. Tämä oli vielä melko ihmeellisesti niin, että varsinaiset palomuurisäännöt ohittava lisämäärite oli asetettava sallivaan tilaan, jotta säännöt tulivat voimaan. Tämä muutos piti tehdä koulun tietohallinnossa, koska työasemien F-Securet saavat asetuksensa suoraan hallintapalvelimelta. Kun palomuurin asetus oli muutettu, alkoivat työasemat keskustella välittömästi C3750-kytkimen kanssa ja saivat autoconfigure osoitteet. 7 Kuva 3. Palomuurin asetus 4.3 Tuotantoverkon kytkentä IPv6- internetiin Tuotantoverkon IPv4 – internetkytkennät ulkomaailmaan tapahtuvat Funetille kun taas IPv6- liikenne piti ohjata KYMP OY:lle. Käytännössä tämä on toteutettu siten, että C3750 on L2-kytkimen kautta kytketty ASA5510 – palomuuriin, josta edelleen SimuNetin PE4 – laitteeseen. SimuNetin MPLS siirtää liikenteen PE3:lle, josta se jatkuu edelleen KYMP Oy:lle. Linkki C3750-kytkimeltä SimuNettiin on VLAN 140. Palomuurista on tällä hetkelle sallittu vain http -pyyntö osoitteeseen ipv6.ictlab.kyamk.fi eli laboratorion www-palvelimeen. DNS – palvelimeen on lisätty neljän A:n merkintä (AAAA) kyseiseen osoitteeseen ja palvelin jakaa tuota tietoa IPv4 – kytkennän kautta maailmalle. Lisäksi muuriin lisättiin staattinen reitti: ipv6 route inside 2a00:1dd0:100:100::/56 2a00:1dd0:100: 5 LOPPUTULOS Kun kaikki toimenpiteet oli suoritettu, työasemilta pääsi ongelmitta IPv6 – internetiin ja esimerkiksi http://test-ipv6.com antoi täydet pisteet. Monet laboratorion vanhemmat laitteet eivät tue IPv6-yhteyskäytäntöä ja todennäköisesti niihin ei koskaan sitä ole päivityksillä tulossakaan, joten nämä laitteet jäävät vanhan IPv4 varaan. Kuva 4. test-ipv6.com sivun täydet pisteet 8 Varsinainen muunnos IPv6 – toimintaan ei vaatinut hurjia toimenpiteitä ja suuremmaksi haasteeksi projektissa muodostuikin SimuNetin osoitekäytäntöjen suunnittelu. 6 ESIMERKKIOSOITTEITA 2a00:1dd0:100:f001::/64 SimuNet-Kalaverkko -linkki 2a00:1dd0:100:0101::1/64 Cisco 3750G-24TS-E (VLAN 125 GW) 2a00:1dd0:100:0101::2/64 DNS –palvelin 2a00:1dd0:100:0101::20/64 WWW –palvelin 2a00:1dd0:100:0101::25/64 titesrv01 2a00:1dd0:100:0104::161/64 comserver1
© Copyright 2024