Jeff Doyle: Mimo wielu lat w branży i setek rozmów, nadal uważam, że nie ma głupich pytań. Mam nadzieję, że moje odpowiedzi będą dla Was satysfakcjonujące.
IPv6 i IPv4
Wielu dostawców usług już myśli o IPv6. Dlaczego przedsiębiorstwa powinny zacząć wdrażać to rozwiązanie? Jeśli nie teraz, to kiedy? Czy zna Pan firmę używającą IPv6 w środowisku produkcyjnym i z jakimi problemami musiała się ona uporać?
Z pewnością narażę się zwolennikom IPv6, ale moim zdaniem duże organizacje nie muszą się spieszyć z zastosowaniem IPv6. Protokół ten jest bardzo ważny dla dostawców usług internetowych i innych jednostek, które potrzebują dużej puli publicznych adresów IP do swojej działalności. Duże przedsiębiorstwa nie mają tego problemu, gdyż mogą z powodzeniem wykorzystać mechanizm NAT. Sytuacja ulegnie zmianie, gdy firmy będą potrzebowały nowych publicznych adresów IP. Wtedy może się okazać, że jedyne dostępne to IPv6. Wówczas stosowanie IPv6 na zewnątrz NAT i IPv4 wewnątrz może być prawdziwym problemem. Moim zdaniem właśnie to spowoduje, że korporacje zaczną stosować IPv6. Sądzę jednak, że stanie się to co najmniej za pięć lat, gdzieś pomiędzy rokiem 2012 i 2015.
Jakie są Pańskie rady odnośnie przejścia na IPv6? Czy lepsze jest tunelowanie, czy użycie podwójnych stosów protokołów?
Podwójne stosy byłyby rozwiązaniem lepszym, prostszym i pozwalającym na kontrolowanie wdrożenia głównie przez DNS. Niestety, takie podejście zakłada jednoczesne używanie adresów IPv4 i IPv6. Na spotkaniu RIPE55 w Amsterdamie Geoff Huston słusznie zauważył, że przejście na IPv6 powinno się zakończyć, zanim zasoby IPv4 się wyczerpią. Wówczas użycie podwójnych stosów byłoby podstawą do migracji na IPv6. Najwyraźniej jednak tak się nie stanie i wszystko wskazuje na to, że będziemy zmuszeni do tunelowania protokołów. W związku z tym, z coraz większym zainteresowaniem przyglądam się rozwiązaniom NAT-PT. Nie dlatego, że jestem ich sympatykiem, lecz wydają się one nieuniknione.
Często klienci ze skomplikowaną siecią IPv4 (spaghetti) myślą o przejściu na IPv6. Sądzą jednocześnie, że jest to sposób na uporządkowanie infrastruktury. Co sądzi Pan o takim podejściu?
Uważam, że jest ono błędne. Jak zwykle mogę powiedzieć, że należy najpierw rozwiązać istniejące problemy, zinwentaryzować i zoptymalizować sieć. Następnie można myśleć o IPv6. W przeciwnym razie zwiększy się jedynie skomplikowanie sieci i trudności w jej zarządzaniu. W skrajnym przypadku niewłaściwe wdrożenie IPv6 może spowodować awarie sieci.
Czy programiści powinni zwrócić szczególną uwagę na IPv6?
Oczywiście. Wielokrotnie pomagałem w szkoleniu programistów w zakresie standardu IPv6. Moim zadaniem było pokazanie co jest ważne w IPv6 w odniesieniu do produktu przygotowywanego przez danego klienta. Przyznaję jednak, że szczegółowe rozwiązania programistyczne to nie moja domena. Nie jestem programistą. Dlatego najczęściej odsyłam do publikacji autorstwa Qing Li, Jinmei Tatuya, Keiichi Shima, "IPv6 [Core and Advanced] Protocols Implementation."
Czy routery, na których bazuje Internet, sprostają milionom sieci i połączeń IPv6? Czy sądzi Pan, że dostawcy i operatorzy będą współpracować celem zmniejszenia liczby sieci IPv6 w internecie?
W chwili obecnej tylko najdroższe routery szkieletowe są w stanie obsłużyć milion lub więcej wpisów. To rzeczywiście duży problem. Z jednej strony wielcy dostawcy tacy jak Cisco czy Juniper gwarantują, że ich produkty zaspokoją potrzeby klientów. Dotychczas obie firmy potrafiły nadążyć za popytem. Z drugiej strony jednak, należy się spodziewać nowych problemów do rozwiązania. Nie wolno zapomnieć o ograniczeniach fizycznych. Różne rodzaje sprzętu, protokołów i algorytmów muszą zostać przystosowane do przenoszenia ruchu IPv6. Według wielu moich kolegów prawo Moore'a nie stosuje się do routerów. Zainteresowanych przyszłością routingu i nie tylko odsyłam do grup tworzących IRTF (na przykład RRG - Routing Research Group).
Gdyby budowałby Pan nową sieć regionalną (łączącą wiele oddziałów), to czy użyłby Pan IPv6? Którzy dostawcy routerów szkieletowych zapewniają najlepszy sprzęt do budowy sieci regionalnych?
W pierwszej kolejności upewniłbym się czy wybrany sprzęt obsługuje IPv6. Wdrożyłbym jego użycie, gdyby istniały ważne ku temu przesłanki. Jeśli pytacie, czy zbudowałbym sieć wykorzystującą tylko IPv6, to odpowiedź brzmi: nie. Odpowiadając na dalszą cześć pytania nie chciałbym nikogo obrazić. Uważam jednak, że Cisco i Juniper opanowały rynek routerów szkieletowych.
Trudno się nie zgodzić z Pana wcześniejszą opinią, że przedsiębiorstwa obecnie nie są zainteresowane IPv6. Jakie przeszkody na drodze ku IPv6 musimy jeszcze według Pana pokonać?
Jeff Doyle: Sądzę, że dostawcy usług przestali się zastanawiać czy IPv6 jest im potrzebne, nie analizują praktycznych aspektów implementacji. A należy pamiętać, że IPv6 nie jest doskonałe! Brakuje wielu istotnych rzeczy! Pozostaje sporo do rozwiązania w kwestii zarządzania siecią czy bezpieczeństwa. Produkty typu IDS nie obsługują IPv6. Aplikacje używane w pracy również mogą mieć problemy z nowym protokołem. Dostrzegam różnicę pomiędzy tym, co producenci, dostawcy twierdzą a tym co faktycznie są w stanie zaoferować. Oczywiście to się zmienia, gdyż dostawcy usług internetowych wywierają presję na producentów.
Ile organizacji Pan zna, które choć częściowo wdrożyły IPv6?
Obecnie większość ISP pracuje nad implementacją IPv6. Moim zdaniem jedynie kilku jest już na tym etapie zaawansowania, że są w stanie zaoferować komercyjnie IPv6. Wcześniej już mówiłem, że przedsiębiorstwa myślą o IPv6, lecz nie mają one w tej chwili realnej potrzeby do jego używania.
Wspomniał Pan, że pula adresów IPv4 wyczerpie się w 2010 lub 2011 roku. Czego możemy wówczas oczekiwać? Co się właściwie stanie?
Jeff Doyle: Nie przewiduję wielkich problemów. Proszę pamiętać, że nic nie przestanie działać, gdy przydzielony zostanie ostatni adres IPv4. Strach ten może odrobinę przypominać lęk przed rokiem 2000 (groźba katastrofy jest dużo mniejsza). Weźmy jednak pod uwagę, że operatorzy sieci, których biznes zależy od puli publicznych adresów IP już dawno zauważyli problem kończących się adresów. Sądzę, że są oni dobrze przygotowani i nic nam nie grozi.
Wielokrotnie pisał Pan o przyszłości protokołu IP. Kiedy Pana zdaniem będziemy żyli w świecie całkowicie opartym o IPv6?
Zagadnienie współistnienia i współpracy v4/v6 zawsze było kluczowe. W rzeczywistości nikt nie chce nadmiernej komplikacji sieci wynikającej z użycia dwóch protokołów jednocześnie. W konsekwencji, po upowszechnieniu się IPv6 koszty operacyjne zadecydują o wyparciu IPv4. Może to trochę kontrowersyjne, lecz moim zdaniem IPv4 wyjdzie z powszechnego użycia pomiędzy rokiem 2015 a 2020.
Co by Pan doradził w przypadku rozbudowy sieci o kolejne lokalizacje? Czy poleca Pan użycie IPv6 oraz sprzętu Cisco?
Podobnie jak wcześniej, mogę jedynie powiedzieć, że zwróciłbym uwagę czy wybrany sprzęt wspiera IPv6. Jednak obecnie i tak konieczne jest użycie IPv4. Odnośnie sprzętu radziłbym wybrać urządzenia, z którymi większość ludzi jest zaznajomiona. Warto również zwrócić uwagę na jakość i zakres wsparcia technicznego danego producenta.
Pańskim zdaniem co będzie "routingowym" tematem numer jeden w 2008 roku?
IPv6, ujęcie praktyczne, doświadczenia i najlepsze praktyki.
2015 r. czy 2020 r. to dość odległa przyszłość. Czy osoby pogłębiające już teraz wiedzę o IPv6 tracą czas? Czy nie jest na to zbyt wcześnie?
Wszystko zależy od tego, czy pracuje się dla przedsiębiorstwa, czy dla dostawcy usług. W drugim przypadku, przygotowania należało zacząć dwa lata temu lub wcześniej. W pierwszym natomiast najprawdopodobniej mamy jeszcze około pięciu lat, zanim będziemy musieli się zająć praktycznie tym tematem. Oczywiście, wiedzę można zdobywać już teraz. Na pewno opłaci się to w przyszłości.
Gdzie podziało się IPv5? Dlaczego przeskakujemy z IPv4 na IPv6?
Powód jest prosty. IPv5 to protokół istniejący w przeszłości, który nie zyskał szerszego zastosowania. Tak więc kolejną dostępną cyfrą była "6".
{{dalej}}
OSPF, przełączanie, routing
Jakie rodzaje ograniczeń OSPF napotyka w przypadku sieci o topologii zbliżonej do gwiazdy?
Przeszkodą na pewno jest liczba dołączonych routerów. Zakładając jednak, że centralny router jest wystarczająco wydajny, to ograniczenie ujawnić się może kiedy zamiast dziesiątek będziemy mieli setki dołączonych routerów. W przemyślanym projekcie do tego nie dojdzie. Dodatkowo jeśli mamy typową topologię gwiazdy to możemy użyć wielu tras statycznych i w ten sposób odciążyć część elementów.
Załóżmy, że sieć złożona jest z wielu lokalizacji, które są połączone dzięki VPN. Co Pan sądzi o użyciu statycznych tras i OSPF w takim przypadku? Czy zdalne oddziały można wydzielić jako obszary OSPF, zaś biuro główne uczynić obszarem zerowym?
Ciężko odpowiedzieć na to pytanie nie znając więcej szczegółów. Osobiście jestem zwolennikiem dużych obszarów OSPF. Zbyt wiele razy widziałem nadmiernie skomplikowane sieci. Z drugiej strony powinno się korzystać z obszarów. Zdefiniowanie regionalnego biura jako obszaru na pewno ma sens.
Dlaczego w sieci szkieletowej używane są routery a nie przełączniki?
Świetne pytanie, które wraca od lat. Kiedyś jedna z osób odpowiedzialnych za bardzo dużą sieć powiedziała mi, że gdyby mogli zbudować sieć w oparciu o tanie, proste, szybkie przełączniki to tak by zrobili. Nie jest to jednak możliwe, gdyż nadal jest wymagana pewna inteligencja urządzeń, która pozwala na zapewnienie bezpieczeństwa, czy odpowiedniej klasy usługi. Być może dlatego MPLS staje się coraz popularniejszy. Umożliwia on obciążenie elementów końcowych częścią funkcji, które dotychczas wykonywały elementy sieci szkieletowej. Zbliża nas to do wspomnianego wcześniej modelu, gdzie sieć szkieletowa zajmuje się w głównej mierze jak najszybszym przesyłaniem danych.
Wspomniał Pan, że jest zwolennikiem dużych obszarów. Może Pan to wyjaśnić? Jak ilość obszarów zależy od liczby routerów i tras w sieci?
Zasadniczo, liczba routerów w obszarze nie jest zbyt istotna, można mieć ich setki. Kluczową kwestią jest liczba łączy, ich stabilność oraz ilość ustanowionych sąsiedztw.
W dużym przedsiębiorstwie do dynamicznego routingu zaleciłby Pan wykorzystanie protokołów warstwy trzeciej takich jak OSPF/ECMP czy protokołów warstwy drugiej?
Moim zdaniem routing wykorzystujący warstwę trzecią jest dużo lepszy. Według mnie to jedyny praktyczny środek pozwalający na dynamiczną redundancję w sieci.
{{dalej}}
Bezpieczeństwo i transmisja głosu
Transmisja głosu wymaga niewielkich opóźnień. Dostawcy usług często twierdzą, że QoS tak naprawdę zależy jedynie od przepływności sieci. Inni uważają, że QoS w znacznym stopniu może być regulowany przez kolejkowanie i odpowiednią inżynierię ruchu. Jakie jest Pańskie zadanie na ten temat?
Całkowicie się zgadzam, że kolejkowanie nie jest rozwiązaniem długoterminowym. To jedynie próba przeciwdziałania przeciążeniom łączy. Na pewno nie zastąpi pożądanej przepustowości. Jednakże, zanim zaczniemy inwestować w lepsze łącza, powinniśmy wykorzystać istniejące najefektywniej jak to możliwe dzięki inżynierii ruchu.
Powszechne użycie VoIP w przedsiębiorstwie wymaga sieci o odpowiedniej jakości i dostępności. Na co należy zwrócić uwagę projektując niezawodną sieć korporacyjną?
Przede wszystkim należy się zastanowić jak sieć będzie zarządzana. Bardzo ważny jest system umożliwiający dynamiczne tworzenie tras lub przekierowań ruchu. Monitorowanie kolejkowania, kontrola obciążenia łączy w czasie rzeczywistym są także bardzo istotne.
Czy może Pan w kilku zdaniach opisać FlowSpec?
FlowSpec pozwala w krótkim czasie przeciwdziałać ruchowi DDoS dzięki szybkiej zmianie zasad BGP. Jest to rozwiązanie coraz szerzej stosowane przez dostawców usług i duże przedsiębiorstwa używające BGP.
Twierdzi Pan, że atakujący mogą wykorzystać słabość protokołu EBGP. W jaki sposób można temu zapobiec?
Jeff Doyle: Przede wszystkim należy stosować dostępne zabezpieczenia. Konieczne jest uwierzytelnienie z unikalnym hasłem dla każdego z zewnętrznych sąsiadów. Istnieją również rozwiązania pozwalające na bardzo dobre zabezpieczenie BGP, m.in. poprzez zestawianie sesji w szyfrowanym tunelu.
{{dalej}}
Książki, rozwiązywanie problemów i inne porady
Istnieje wiele organizacji, które używają bardzo dużej liczby routerów, przełączników i innego sprzętu. Wszystko to jest zarządzane i utrzymywane przez różne grupy ludzi. Poziom skomplikowania sieci może sięgnąć takiego stopnia, że nikt już nie będzie pamiętał gdzie jeden VPN się zaczyna a drugi kończy. Nikt nie będzie w stanie określić dlaczego połączenie przebiega tą a nie inną drogą. Co w takiej sytuacji zrobić? Czy istnieje produkt pozwalający zarządzać taką infrastrukturą?
Istnieje wiele produktów, które mógłbym polecić. Nie zrobię tego jednak, ponieważ nie chciałbym zostać posądzony o stronniczość. Kiedy rośnie złożoność sieci, narzędzia do jej diagnostyki i zarządzania są niezbędne. Jeśli sieć jest skomplikowana tak bardzo, jak sugeruje to pytanie, wówczas najprawdopodobniej jeden produkt nie sprosta sytuacji i konieczne będzie zastosowanie wielu rozwiązań.
Skoro unika Pan wskazania konkretnego producenta, to proszę określić przynajmniej na jakie cechy produktu, standardy należy zwrócić uwagę?
Ważne jest graficzne przedstawienie struktury sieci oraz wszystko, związane z wizualizacją łączy, obciążenia i przepływu danych. Istotne jest także, aby monitoring nie zakłócał pracy urządzeń sieciowych (np. zbyt częste odpytania mogą przeciążać CPU). Netflow jest dobrym przykładem. Pozwala on na monitorowanie pracy produktu, lecz złe użycie może mieć negatywne skutki.
Protokołów routingu jest wiele, który Pańskim zdaniem warto poznać dogłębnie?
Zdecydowanie OSFP. RIP to przeżytek, zaś sam skrót jest teraz rozwijany jako "Rest In Peace" ["Odpoczywaj w Pokoju"]. EIGRP to drugi interesujący protokół. W środowisku dostawców usług na pewno warte poznania są BGP i MPLS.
Czy planuje Pan wydanie trzeciej części ksiązki "Routing TCP/IP"?
To pytanie na czasie. Rok temu zaproponowałem Cisco Press wydanie Volume III. Część ta miała być poświęcona MPLS. Niestety, Cisco Press nie podjęło ze mną współpracy argumentując, iż rynek jest zalany publikacjami o tej tematyce. Nadal myślę o wydaniu tego tomu. Chciałbym, aby to czytelnicy zadecydowali, co powinno się w nim znaleźć.
Które książki może Pan polecić osobom zainteresowanym IPv6?
Szczerze polecam publikację Merike Kaeo, Designing Network Security, wydanie drugie. Równie dobra jest książka Marca Blancheta, "Migrating to IPv6: A Practical Guide to Implementing IPv6 in Mobile and Fixed Networks".
***
Opracował: Marcin Suszkiewicz
NetWorld
