Secure & Successful IPv6 Deployment Using OptiView XG

Étude de cas : Un cabinet de services professionnels assure et garantie des déploiements IPv6 réussis et sécurisés pour les clients possédant la tablette d’analyse réseau OptiView® XG

En un coup d’œil :

Client :

Nephos6


Secteur :

Services professionnels


Emplacement :

Raleigh, Caroline du Nord


Infographie de Nephos6

Cliquez pour afficher cet élément


Défi :

Construire rapidement un réseau capable de démontrer plusieurs technologies clés IPv6 venant soutenir la formation des clients et des programmes de transaction.


Résultat :

La tablette d'analyse réseau OptiView XG réduit les temps de déploiement en offrant un outil de découverte de périphériques rapide et précis, l'identification des protocoles au sein de la transmission tunnel et des outils facile à utiliser pour les problèmes en matière d'intégration de dépannage.


Produit :

Tablette d'analyse de réseau OptiView® XG


Présentation

L'adoption du protocole IPv6 s'accélère au niveau mondial. Les intégrateurs, longtemps privés d'une prise en charge du protocole IPv6 adéquate au sein de l'infrastructure informatique, réclament une équivalence des fonctionnalités pour être à même de prendre en charge le déploiement de réseaux de nouvelle génération. En plus des routeurs, systèmes d'exploitation et autres infrastructures informatiques « standard », les ingénieurs réseau et techniciens ont besoin d'outils de surveillance et d'analyse prenant en charge le protocole IPv6. L'OptiView XG, la tablette d'analyse réseau de NETSCOUT, déjà un outil incontournable dans de nombreuses organisations, est en mesure de prendre en charge ce protocole. Avec des capacités d'analyse réseau IPv6, d'identification des protocoles au sein de la transmission tunnel, d'analyse des avis de routeur et de détection des services IPv6, l'OptiView XG est une aide précieuse pour soutenir le déploiement d'IPv6, dépanner des problèmes d'intégration, et aider à identifier un déploiement de protocoles IPv6 involontaires.

L'examen

En février 2011, l'IANA (Internet Assigned Numbers Authority) a distribué les cinq/8 derniers blocs (désigné sous le nom de « classe A ») d'adresse IPv4 aux registres Internet régionaux (RIR). Cet événement a marqué la fin de l'Internet basé sur le protocole IPv4 et a marqué le début de la transition mondiale vers le protocole Internet de prochaine génération, IPv6. Normalisé en 1995, le protocole IPv6 améliore le protocole Internet et aborde le problème de l'épuisement des ressources IP, mais n'a jamais gagné de part de marché significative à cause de raisons économiques et technologiques. Alors que certains partisans de la technologie NAT sont assurés que la traduction d'adresses réseau (Network Address Translation, ou NAT) suffit, les besoins d'évolutivité d'Internet et la complexité sans cesse croissante de multiples environnements NAT présentent désormais des arguments convaincants pour l'adoption du protocole IPv6.

En dépit d'un manque d'intérêt global pour le protocole IPv6, de nombreux organismes, y compris des gouvernements internationaux, de grandes entreprises de produit informatique, les principaux fournisseurs de service et quelques premiers utilisateurs ont ouvert la voie pour l'adoption du protocole IPv6. Le groupe pour la participation à la standardisation de l'Internet IETF ou Internet Engineering Task Force a développé des mécanismes pour soutenir la coexistence des protocoles IPv4 et IPv6 et atténuer une partie de la charge financière de la migration. Des fournisseurs informatiques ont incorporé la prise en charge du protocole IPv6 dans beaucoup de produits grand public. Des méthodologies et pratiques exemplaires à suivre pour un déploiement sécurisé et efficace du protocole IPv6 ont vu le jour grâce à cet effort collectif de la part des premiers utilisateurs.

Nephos6, Inc. est un cabinet de services de l'infonuagique et de l'IPv6 professionnel situé à Raleigh, en Caroline du Nord. La société a été fondée par un certain nombre d'experts de l'industrie dotés d'une expérience significative dans le déploiement IPv6 (et l'infonuagique). La société utilise une méthode basée sur cinq étapes pour gérer l'effort d'intégration d'IPv6 pour les entreprises et les prestataires de services. Les quatre premières étapes sous-entendent la mise en place d'une compréhension commune de la situation actuelle, en alignant les facteurs opérationnels et techniques, en évaluant les infrastructures et systèmes de soutien informatique pour une prise en charge des fonctionnalités IPv6, et de développer des architectures et des plans pour le déploiement. La cinquième étape, la mise en œuvre, voit le déploiement de l'IPv6, d'une manière contrôlée, mais progressive.

L'environnement final à atteindre pour n'importe quel programme d'adoption du protocole IPv6 est de permettre une configuration en double pile (dual stack) (avec IPv4 et IPv6 fonctionnant en même temps sur le même périphérique) sur tous les périphériques de l'organisation. Mais la méthode pour réaliser une installation double pile est rarement la même d'une organisation à l'autre. Même en ayant des approches différentes pour parvenir à la configuration finale, les déploiements bien gérés ont tous en commun ces approches :

  1. Valider et tester des conceptions : les configurations et les architectures sont évaluées dans des laboratoires isolés dans un premier temps, puis déployées de manière systématique dans l'environnement de production.
  2. Gérer et dépanner les déploiements : rien ne se déroule jamais de manière parfaite la première fois. Des dysfonctionnements de l'équipement, des erreurs humaines, ou la loi de Murphy (« Tout ce qui peut mal tourner, va mal tourner ») viennent s’immiscer pendant les déploiements et exigent un dépannage systémique pour rectifier le tir.
  3. Surveiller les périphériques compatibles IPv6 non autorisés/malveillants : le protocole IPv6 est pris en charge dans la plupart des dispositifs informatiques et systèmes d'exploitation modernes, activé par défaut dans certains cas. Le déploiement involontaire est un problème de sécurité et doit être surveillé et contrôlé.

Des outils efficaces constituent un élément critique du procédé d'exécution et viennent soutenir toutes ces activités principales. Nephos6 utilise un logiciel de capture de paquets et des outils d'analyse de réseau, mais la société voulait voir si le marché offrait un outil complet, portable et accessible à distance. Yurie Rich, directeur de l'exploitation de Nephos6 se souvient: « C'était intéressant. J'ai été en contact avec NETSCOUT en 2000 quand j'ai commencé à travailler sur le protocole IPv6, puis en 2007 ou 2008 pendant que leur équipe OptiView travaillait sur la certification JITC [Joint Interoperability Test Command] pour IPv6. Je pense qu'il s'agissait d'une coïncidence inouïe quand ils ont contacté notre Président, Ciprian (Chip) Popoviciu, pour voir si nous serions intéressés par une évaluation du XG. »

Après avoir examiné les capacités de l'OptiView XG sur le papier, John Spence, vice-président des services IP à Nephos6, a développé une série d'essais pour tester les capacités de l'OptiView XG. John se souvient: « Chip, Yurie et moi même avions passé un certain temps à réfléchir sur les points communs des déploiements où nous avions été impliqués. Ils sont tous différents, mais en général, vous voyez les essais en laboratoire, un déploiement contrôlé (ou prototype ou programme pilote ou bien les deux à la fois) dans un environnement de production en utilisant une ou plusieurs technologies de transition, des essais et la mise en place de mesures correctives pour tous les problèmes. Ce processus est en constante évolution jusqu'à ce que l'organisation se retrouve avec une architecture cible optimale qui est opérationnelle et un protocole double pile activé.

L'OptiView XG contient une capacité de détection robuste, la capacité de capturer le trafic du tunnel IPv6 et d'identifier le type de mécanisme de transition utilisé. Il peut également identifier le nombre de types de services IPv6 dont un nœud dispose, et effectuer une analyse des publications du routeur. Ensemble, ces caractéristiques constituent un coffre à outils précieux pour les exigences communes de la société Nephos6 ».


S'appuyer sur la fonctionnalité de détection des périphériques et d'analyse réseau

La figure 1 est un schéma très simplifié d'un environnement d'entreprise typique. Il se compose de trois environnements de campus disparates, d'un centre de données et d'un accès centralisé à Internet. John a développé un environnement de laboratoire qui reflète cette architecture et les points de contact identifiés pour connecter l'OptiView XG. La plupart des déploiements IPv6 commencent avec un prototype réalisé dans un laboratoire. La première étape consistait à accroître sa capacité d'analyse.

Figure 1 : Exemple d'architecture d'entreprise

Le laboratoire est tout d'abord uniquement compatible IPv4, mais ensuite le protocole IPv6 est activé sur quelques appareils. L'OptiView XG permet à la fois la détection de périphériques sous-réseau, et à travers certains paramètres de configuration, la découverte de périphériques n'étant pas de type sous-réseau. Dans les déploiements IPv6, la plupart des entreprises (et des prestataires de services) voudront probablement un espace d'adressage IPv6 géré, ce qui signifie l'utilisation de DHCPv6. Les informations fournies par le processus de détection permettront de vérifier que les nœuds ont bien reçu les informations de configuration des adresses IPv6. Le processus de détection classe également les nœuds détectés en tant que routeur, serveur, commutateur ou nœud d'extrémité. La figure 2 est une capture d'écran de l'interface de détection de l'OptiView XG en provenance de l'environnement laboratoire sur un sous-réseau.

Figure 2: Interface de détection du réseau et des périphériques de l'OptiView XG

Le périphérique sélectionné est un serveur sur ce segment spécifique du LAN. L'espace d'adressage IPv6 est très diversifié. En plus d'avoir un certain nombre de types d'adresses (unicast, multicast, anycast, comme sous le protocole IPv4) il y a des étendues d’adresses (comme la liaison locale, identifiable ici sous la forme : fe80::82c:6ff:fe55:1c2b). Pour rendre les choses un peu plus intéressantes, les adresses IPv6 peuvent être obtenues grâce à un certain nombre de processus.

Ici, le routeur en amont est configuré pour utiliser la configuration automatique des adresses et pour envoyer des publications de routeur vers le nœud, qui configure correctement son adresse IPv6 en se basant en partie sur les informations contenues dans le RA. Dans ce cas, il est préférable d'avoir une adresse configurée à l'aide du processus Extended Unique Identifier (EUI-64). Ceci est confirmé par l'examen des 64 derniers bits, qui présentent les caractères hexadécimaux FF FE placés au milieu de l'adresse MAC. Combiné avec le préfixe 2001:db8:ff:70::/64, l'interface a créé 2001:db8:ff:70:82c:6ff:fe55:1c 2b comme adresse IPv6

L'équipe Nephos6 a rapidement identifié plusieurs avantages de la capacité de détection de l'OptiView :

  1. Validation de la configuration du périphérique de liaison IPv6, rappelons qu'une des exigences communes de tous les processus d'intégration de protocole IPv6 est la nécessité de tester et valider des déploiements. Les informations fournies par l'OptiView XG donnent clairement des informations fiables pour vérifier la connectivité IPv6, les informations d'adressage IPv6, et, grâce à une analyse plus poussée, ce que fait un nœud spécifique en ce qui concerne les ports ouverts et offres de services.
  2. Identification de déploiement IPv6 involontaire ou malveillant : dès lors que le processus de détection est exécuté et que des appareils IPv6 sont présents sur la liaison, l'OptiView XG les trouve et les signale.
  3. L'accès à distance signifie une expertise à distance : les ensembles de compétences spécifiques au protocole IPv6 prennent un certain temps à maîtriser. Il n'est pas rare que le personnel sur le terrain, qui réalise le plus gros du travail dans le processus d'intégration du protocole IPv6, soit le dernier sur la liste de personnes devant être formées au protocole IPv6. La capacité d'accès à distance de l'OptiView XG signifie que les ingénieurs IPv6 avertis peuvent collaborer avec les ingénieurs sur le terrain, non seulement pour effectuer des tests et des exercices de validation, mais aussi pour poursuivre le processus de transfert des connaissances IPv6.
Intégration du protocole IPv6

Une fois que des configurations de base sont mises en place et que l'environnement fonctionne comme prévu, la prochaine étape est d'étendre le déploiement à d'autres zones du réseau. Dans l'exemple de l'environnement de laboratoire, comme le montre la figure 3, IPv6 est déployé dans une autre section du « campus » et les deux îlots sont reliés par un tunnel configuré manuellement, communément connu comme un tunnel 6in4. A chaque extrémité du tunnel, les routeurs sont en double pile, ils prennent en charge le protocole IPv4 et IPv6 simultanément. Les tunnels IPv6 sous IPv4 sont manuellement configurés sur chaque routeur.

Figure 3: Tunnel (6in4) manuellement configuré

John Spence remarque : « Les tunnels manuels sont relativement simples à créer (mais n'évoluent pas bien lorsque le déploiement se développe), ce qui est à la fois une bonne et une mauvaise chose. C'est un moyen facile de relier les îlots IPv6 sur une infrastructure d'organisation existante. Le problème est que comme beaucoup d'éléments de réseau (routeurs déployés, IDS, pare-feu), ces paquets transmis sous tunnel ressemblent un peu à tout autre trafic IPv4. Deux parties peuvent très facilement établir un tunnel IPv6 entre leurs ordinateurs. D'un point de vue général, ce n'est pas la fin du monde, mais dans un environnement géré, et en particulier du point de vue de la sécurité, le processus de déploiement de l'IPv6 doit être contrôlé et géré. »


L'OptiView XG est un outil d'identification très efficace de tunnel IPv6. La figure 4 représente une capture d'écran de l'interface utilisateur de protocole de mise sous tunnel IPv6, qui se trouve sous l'onglet analyse du trafic. Dans cet exemple particulier, John était en mesure de placer l'interface de détection de l'OptiView XG sur un port SPAN (moniteur) sur ​​lequel le trafic transmis sous tunnel IPv6 passait. En surveillant le trafic sur ce port, l'OptiView XG identifie automatiquement le type de tunnel 6in4. La capture identifie également les points d'extrémité du tunnel, ce qui est extrêmement important dans la

Figure 4: récupération du tunnel de protocole IPv6

et les scénarios de « détection et d'élimination des éléments malveillants ». « Avec les informations fournies sur cet écran, je peux identifier ce trafic comme l'un des mes déploiements prévus. Si je ne reconnais pas ces points de terminaison, il est facile de les retrouver par le biais de l'infrastructure DDI (DHCP, DNS, gestion des adresses IP) et de travailler en collaboration avec l'équipe informatique dans le but de contrôler ces déploiements », a commenté John.

La capacité de détection de l'OptiView XG de protocole IPv6 n'est pas limitée aux tunnels 6in4. Il prend en charge l'identification des tunnels les plus largement utilisés dans l'industrie à l'heure actuelle (voir le tableau ci-dessous). Ceci est extrêmement important, car la plupart des systèmes d'exploitation modernes ont le protocole IPv6 activé par défaut et les piles recherchent activement l'obtention d'une connectivité IPv6 via des mécanismes de transition établis. Par exemple, sous Windows® 7 le protocole IPv6 est activé par défaut et les environnements ne disposant que du protocole IPv4 tenteront d'établir une capacité IPv6 via des mécanismes de transition 6to4, ISATAP et Teredo.

Protocoles de mise en tunnel IPv6
Mise en tunnel manuelle Description
6in4 Encapsuler un datagramme IPv6 en paquet IPv4 à l'aide de marqueurs de protocole 41. Les extrémités du tunnel sont configurées manuellement avec des informations de critère prépartagées.
Mise en tunnel automatique Description
ISATAP Le protocole Tunnel Intra-Site Automatic Addressing Protocol (ISATAP) est utilisé principalement pour permettre aux nœuds à double pile isolés d'utiliser le réseau IPv4 en tant que couche de liaison Non-Broadcast Multiple Access (NBMA). Cela nécessite un serveur/routeur ISATAP et une configuration minimale du client.
6to4 Le 6to4 utilise un système de passerelles et de relais pour permettre aux réseaux IPv6 isolés (ou hôtes) de créer un préfixe de réseau IPv6/48 et de communiquer avec d'autres utilisateurs 6to4 et clients uniquement basés sous IPv6 sur Internet.
Teredo Mécanisme complexe qui utilise un système de serveurs et de relais pour fournir une connectivité à des hôtes en double pile avec une connectivité IPv6. Prise en charge du NAT traversal.
Tunnel Setup Protocol (TSP) Établit un tunnel entre le client et un serveur de tunnel, généralement au moyen d'un filtrage de tunnel. Prend également en charge le NAT traversal.

L'avantage de l'OptiView XG réside non seulement dans sa capacité à identifier le trafic IPv6 mis sous tunnel, mais aussi comment il catégorise le type de tunnel et les points d'extrémité participants. Il s'agit d'un gain de temps important dans le processus d'analyse, ainsi, le personnel informatique peut se concentrer sur l'application de mesures correctives plutôt que de passer en revue des captures de paquets et d'essayer de compiler le même type d'informations détaillées que l'OptiView XG peut fournir de manière immédiate.

Dépannage des déploiements IPv6

Ce n'est pas un secret que la plupart des projets informatiques prennent plus de temps que prévu et ne se déroulent presque jamais sans accroc. Il y a beaucoup d'éléments incertains dans le processus de mise en œuvre du protocole IPv6 et le dépannage est une constante. La clé d'une résolution rapide des problèmes : disposer des bonnes informations. C'est un domaine où l'OptiView excelle. En plus des informations générées dans le processus de détection standard, l'OptiView XG prend également en charge une fonction de recherche d'applications IPv6.

Figure 5: Analyse de port TCP/IPv6

La figure 5 identifie le résultat du processus de balayage de port IPv6 sur un dispositif spécifique, un serveur dans l'exemple de déploiement ici présent. Après avoir terminé le processus de balayage, John a remarqué qu'il n'y n'avait aucun service de DHCPv6 identifié, même si cet appareil était censé être le serveur DHCPv6 de ce site de laboratoire.

Figure 6: Configuration d'adresse IPv6 d'OptiView XG

Une fois les informations contenues dans le volet détection examinées, John a remarqué que l'OptiView XG n'utilisait pas les adresses depuis le paquet DHCPv6, mais qu'il configurait automatiquement des adresses IPv6 à l'aide de l'extension de confidentialité par défaut activée sur Windows® 7, ce qui n'était pas la configuration prévue. La figure 6 met en évidence les adresses imprévues.


Figure 7: Résolution du dépannage de DHCPv6

La détection a incité à faire d'autres recherches dans les paramètres de configuration sous-jacents du système d'exploitation de l'OptiView XG et sur le serveur en lui-même. Le résultat du dépannage mettait en évidence une mauvaise configuration du serveur DHCPv6. Une fois ce problème résolu, le processus de détection a été réexécuté et la figure 7 illustre le résultat : une adresse IPv6 correctement configurée sur l'OptiView XG.

Conclusions

Les conclusions sur les capacités en matière d'IPv6 de l'OptiView XG sont très positives. Après révision des résultats, l'équipe Nephos6 est venue aux conclusions suivantes :

  • L'OptiView XG est un excellent outil d'analyse IPv6 qui permet aux ingénieurs et techniciens de recueillir de grandes quantités de données sur les capacités et les activités des périphériques IPv6 sur le réseau sans devoir aller sur chaque appareil individuellement, ce qui représente un gain de temps et d'efforts conséquent.
  • Le processus de détection, la transmission en tunnel de protocole IPv6 et la publication de routeurs (testé, mais pas couvert au sein de cette note) peut aider les techniciens en charge de l'implémentation du protocole IPv6 à surveiller leurs réseaux pour détecter des déploiements IPv6, qu'ils soient malveillants, accidentels ou simplement le résultat de recherches sur le protocole IPv6 de la part d'ingénieurs informatiques avides de nouvelles expériences.
  • Toutes les fonctionnalités centrées sur le protocole IPv6 de l'OptiView XG seront non seulement une aide précieuse dans les tests de déploiements d'IPv6, mais constituent également une excellente ressource pour la collecte et le partage d'informations permettant d'accélérer les efforts de dépannage.
  • Le large éventail de types de connexion de couche 2 (tels que l'Ethernet, 10GbE, Wi-Fi) signifie que l'OptiView XG est un outil précieux pour une grande variété de marchés qui sont actuellement engagés dans le déploiement du protocole IPv6, y compris les fournisseurs de services, les grandes entreprises, les gouvernements et les universités.
  • Les fonctionnalités et les capacités de l'OptiView XG de prise en charge de protocole IPv6 sont très avancées par rapport à d'autres appareils sur le marché, ce qui signifie qu'il est un appareil prêt à prendre en charge les déploiements IPv6 d'aujourd'hui. Ceci est utile pour les clients de Nephos6, dont beaucoup continuent d'entendre des déclarations comme « Cela fait partie de notre feuille de route » de la part d'un bon nombre de leurs fournisseurs informatiques actuels.
 
 
Powered By OneLink