案例分析:专业服务公司可确保使用 OptiView XG 网络分析平板电脑为客户安全、成功地进行 IPv6 部署

产品概览:

客户:

Nephos6


行业:

专业服务


地点:

北卡罗莱那州罗利


Nephos6 Infograph

单击查看


挑战:

快速建立能展示多个关键 IPv6 技术的网络,以支持客户培训和交易程序。


结果:

OptiView XG 网络分析平板电脑通过为问题诊断提供快速且准确的设备发现、隧道协议识别和易用工具,来减少部署时间。


产品:

OptiView® XG Network Analysis Tablet


概述

全球正加快采用 IPv6。在 IT 基础设施方面长期未能获得足够的 IPv6 支持的集成商正在要求进行功能奇偶校验,以支持下一代的网络部署。除了路由器、操作系统和其他“标准” IT 基础设施外,网络工程师和技术人员还需要能够支持 IPv6 的监控和分析工具。已成为许多组织主要工具的 NETSCOUT OptiView XG 网络分析平板电脑具备这方面的功能。OptiView XG 平板电脑具备 IPv6 网络发现、隧道协议识别、路由器公告分析和 IPv6 服务检测功能,是非常有用的工具,可支持 IPv6 部署、诊断集成问题并帮助识别非预期的 IPv6 部署。

回顾

2011 年 2 月,互联网号码分配局 (IANA) 为区域互联网注册机构 (RIR) 分配了最后五个/8 (传统上称为 “A 类”)IPv4 地址块。此事件预示了基于 IPv4 的互联网时代开始走向结束,全球开始进入下一个互联网协议 (IPv6) 时代。1995 年实现标准化后,IPv6 加强了互联网协议并且解决了 IP 资源枯竭的问题,但由于多种经济和技术的原因,并没有出现巨大的市场需求。虽然一些技术阵营认为网络地址转换 (NAT) 已经足够使用,但是由于互联网的扩展性要求和 NATted 的环境日益复杂,采用 IPv6 现已迫在眉睫。

尽管对 IPv6 缺乏广泛的兴趣,还是有很多包括各国政府、大型 IT 产品公司、主要服务提供商和 IPv6 的早期试用者在内的机构率先试用 IPv6。互联网工程任务组 (IETF) 开发了支持 IPv4 和 IPv6 的共存机制,降低了迁移的财务负担。IT 供应商们的很多主流产品均支持 IPv6。由于早期试用者的共同努力,产生了 IPv6 安全和高效部署的方法论和最佳实践。

Nephos6, Inc. 是一家位于北卡罗莱那州罗利的 IPv6 和云计算专业服务公司。该公司由一群具有丰富 IPv6(及云计算) 部署经验的行业专家所创建。该公司采用五阶段法来管理企业和服务提供商的 IPv6 集成。前四个阶段包括对当前环境形成共识、调整业务和技术驱动因素、评估 IT 基础设施和支持系统的 IPv6 支持功能,以及制定部署架构和计划。第五阶段为实施过程,以一种可控制的渐进方式开展 IPv6 的部署。

所有 IPv6 使用计划的最终目标环境是,在企业内的所有设备上都启用双栈(IPv4 和 IPv6 在同一台设备上同时运行)。但是,实现双栈安装的途径在不同企业间各有差异。尽管实现最终状态的途径不同,所有最佳部署都包括以下方法:

  1. 验证和测试设计—首先在隔离的实验室内评估配置和架构,然后再在生产环境中进行系统的部署。
  2. 管理和诊断部署中出现的问题—所有事情的第一次都不会尽善尽美。部署过程中不可避免的会出现设备故障、人为错误或墨菲定律的干预,这些问题都需要进行系统的故障诊断以便纠正。
  3. 监控未授权/恶意 IPv6 设备—最先进的 IT 设备和操作系统都支持 IPv6,并且在某些情况下,默认为启用。非预期的部署是一个安全问题,需要进行监控和管理。

实施过程中的关键因素是支持所有这些关键活动的高效工具。Nephos6 虽然使用数据包捕获软件和网络分析工具,但仍想看看市场是否提供一种全面的便携式可远程访问的工具。 Nephos6 首席运营官 Yurie Rich 回忆说,“ 非常有趣。 我在 2000 年开始使用 IPv6 时就与 NETSCOUT 打过交道,后来在 2007 年或 2008 年该公司的 OptiView 团队争取通过 JITC [联合互操作性测试命令] IPv6 认证时又一起合作过。我认为,他们注定要与我们的 CEO Ciprian (Chip) Popoviciu 联系,看看我们是否有兴趣对 XG 进行评估。”

在对 OptiView XG 的功能进行书面审核后, Nephos6 的 IP 服务副总裁 John Spence 进行了一系列试验来测试 OptiView XG 的功能。John 回忆道:“Chip、Yurie 和我花了一些时间思考我们所参与的部署的共同之处。每个部署都各不相同,但一般都在实验室内进行测试,采用一个或多个转换技术在生产环境中进行控制部署(或原型或试点,或者所有这些),然后进行测试并解决问题。不断改进该过程,直到组织最终获得可良好运行并且启用双栈的最佳目标架构。”

OptiView XG 具备强大的发现功能,能够捕获 IPv6 隧道流量并识别正在使用的转换机制类型。它还可以识别某个节点提供的多种 IPv6 服务类型,以及路由器公告的分析。这些功能都可以提供有用的工具箱,以支持 Nephos6 的常见需求。


利用网络和设备发现功能

图 1 为典型的企业环境简图。该图包含三个不同的校园环境、一个数据中心和互联网集中化访问。John 创建了一个反映该架构、并识别连接 OptiView XG 的接触点的实验室环境。大多数 IPv6 部署都从实验中进行的原型开始。第一步是利用其发现功能。

图 1: 企业架构示例

实验室开始仅使用 IPv4 ,然后再在一些设备中启用 IPv6。 OptiView XG 可进行子网中的设备发现,并通过一些配置参数,发现子网外的设备。在 IPv6 部署中,大多数企业(和服务提供商)可能想要一个托管的地址空间—这意味着必须使用 DHCPv6。发现过程提供的信息将验证节点是否使用正确获取的 IPv6 地址配置信息。该发现过程还将已发现的节点分类为路由器、服务器、交换机或结束节点。图 2 为某子网实验室的 OptiView XG 发现用户界面的简单屏幕截图。

图 2: OptiView XG 网络和设备发现界面

突出显示的设备为该特殊 LAN 网段的服务器。 IPv6 地址空间种类繁多。除了多种地址类型(单播、多播、任意播(如 IPv4))外,还有不同的地址范围(如,本地链路- 此处可识别为 fe80::82c:6ff:fe55:1c2b )。更有趣的是,IPv6 地址可通过若干过程获取。

在此,对上行路由器进行配置以使用地址自动配置功能,并将路由器公告发送到节点,该节点部分根据 RA 中包含的信息正确配置其 IPv6 地址。这种情况倾向于通过扩展的唯一标识符 (EUI-64) 过程进行地址配置。这可通过检查最后 64 个比特进行验证,这些比特的十六进制字符 FF FE 在 MAC 地址的中间。加上前缀 2001:db8:ff:70::/64,接口的 IPv6 地址为 2001:db8:ff:70:82c:6ff:fe55:1c 2b

Nephos6 团队很快意识到 OptiView 的发现功能具有几大优点:

  1. 验证链接设备 IPv6 配置—所有 IPv6 一体化过程的其中一个共同要求是必须进行测试和验证部署。通过 OptiView XG 提供的信息清晰获得用于验证 IPv6 连通性、 IPv6 地址信息、以及(通过进一步分析)特定节点在开放端口和服务产品方面的作用所需的可靠信息。
  2. 识别恶意或非预期 IPv6 部署—只要发现过程始终运行,并且链路上出现 IPv6 设备, OptiView XG 就会找到它们并进行报告。
  3. 远程访问意味着要有远程处理专业技术—IPv6 技能组合的积累需要一些时间。在 IPv6 一体化过程中承担很多繁重任务的现场工作人员接受 IPv6 培训的机会却最少的情况并不少见。 OptiView XG 的远程访问功能意味着经验丰富的 IPv6 工程师可以与现场工程师合作进行测试和验证,并继续进行 IPv6 的知识传授。
IPv6 一体化

一旦进行基本配置,并且环境按照预测运行,下一步就是将部署扩展到网络的其他区域。如图 3 所示,在实验室的示例中, IPv6 被部署在 “校园” 的另一区域,并通过一个手动配置的隧道 (通常被称为 6in4 隧道)将两个岛连接。在隧道的每个端点,分别对路由器进行双栈—同时支持 IPv4 和 IPv6。在每个路由器上对 IPv6-in-IPv4 隧道进行手动配置。

图 3: 手动配置的 (6in4) 隧道

John Spence 指出,“ 手动隧道的创建相对简单(但随着部署的增加,扩展性并不好),这既有利又有弊。这是通过组织现有的基础设施连接 IPv6 岛较简易的方法。这种方法面临的挑战是所部署的网络组件(路由器、 IDS、防火墙)太多,隧道数据包与任何其他 IPv4 流量看起来非常相似。双方可以毫不费力地在他们的计算机之间创建 IPv6 隧道。一般而言,问题不大,但在托管环境中(特别是从安全角度来看),必须对 IPv6 部署过程进行管控。


OptiView XG 是一种非常有效的 IPv6 隧道识别工具。图 4 为 IPv6 隧道协议用户界面(可在流量分析选项卡下找到)屏幕截图。在该具体示例中,John 可以将 OptiView XG 发现接口装在 IPv6 隧道流量通过的 SPAN (监控) 端口上。OptiView XG 可监控该端口的流量,自动识别 6in4 的隧道类型。截图还可以识别隧道端点,这在

图 4: IPv6 隧道协议屏幕截图“检测并删除恶意部署”中非常重要

。“我可以通过该屏幕上提供的信息,将该流量确定为自己的预期部署之一。如果我不能识别这些端点,可以轻松通过 DDI (DHCP、 DNS、 IP 地址管理)基础设施对其进行跟踪,并与 IT 部门合作对这些部署进行控制” John 解释说。

OptiView XG 的 IPv6 发现功能不只限于 6in4 隧道。它还支持识别如今行业中使用最广泛的隧道(见下表)。这尤其重要,因为大多数现代操作系统都默认启用 IPv6 ,并且堆栈通过已建立的转换机制积极获取 IPv6 连接。例如,Windows® 7 默认启用 IPv6,并且在仅支持 IPv4 环境中试图通过 6to4、ISATAP 和 Teredo 转换机制建立 IPv6 功能。

IPv6 隧道协议
手动隧道 说明
6in4 利用协议 41 标记将 IPv6 数据图封装在 IPv4 数据包中。利用预共享端点信息手动配置隧道端点。
自动隧道技术 说明
ISATAP 站点内自动隧道寻址协议 (ISATAP) 主要用于使孤立的双栈节点能够将 IPv4 网络当作非广播多路访问 (NBMA) 数据链路层。需要 ISATAP 服务器/路由器和最少的客户端配置。
6to4 6to4 利用网关和继电器系统使孤立的 IPv6 网络(或主机)能够创建 一个/48 IPv6 网络前缀,并与其他 6to4 用户和互联网上只使用 IPv6 的客户端进行通信。
Teredo 利用服务器和继电器系统为孤立的双栈主机提供 IPv6 连接的复杂机制。具有 NAT 遍历能力。
隧道设置协议 (TSP) 通常通过隧道代理在客户端和隧道服务器之间建立隧道。也具有 NAT 遍历能力。

OptiView XG 的优点不仅在于能够识别隧道 IPv6 流量,还在于其对隧道类型和涉及端点的分类方式。这在分析过程中可节省大量时间,因为 IT 人员可以专注于执行缓解风险的操作,而不是匆匆浏览数据包捕获以试图搜集 OptiView XG 能够立即提供的同一类详细信息。

IPv6 部署中的故障排除

大多数 IT 项目花费的时间都超出预期,并且几乎不可能顺顺利利完成,这早已不是什么秘密。IPv6 实施过程中有许多移动部件,因此不可避免地要执行故障排除工作。快速排除故障的关键是获取正确的信息,这也是 OptiView 所擅长的领域。除了标准发现过程中生成的信息外,OptiView XG 还支持 IPv6 应用程序发现功能。

图 5: TCP/IPv6 端口扫描

图 5 显示了某个特定设备(此处为示例部署中的服务器)上的 IPv6 端口扫描过程的结果。John 完成扫描过程后,发现虽然在该实验室现场中的设备应该是 DHCPv6 服务器,却无法识别任何 DHCPv6 服务 。

图 6: OptiView XG IPv6 地址配置

再次查看“发现”窗格中的信息后,John 发现 OptiView XG 本身并没有使用 DHCPv6 库中的地址,而是利用在 Windows® 7 中激活的默认隐私扩展功能自动配置 IPv6 地址(并非预期配置)。图 6 突出显示了意料之外的地址。


图 7: DHCPv6 故障排除解决方案

这一发现提醒 John 应该进一步检查 OptiView XG 操作系统的基础配置设置和服务器本身。故障排除结果显示 DHCPv6 服务器配置错误。问题确定后,又重新运行了发现过程。图 7 显示了该发现过程的结果 - XG 上正确配置的 IPv6 地址。

结论

OptiView XG IPv6 功能的发现结果具有积极意义。对发现的结果进行了审查后,Nephos6 团队得出以下结论:

  • OptiView XG 是优秀的 IPv6 分析工具,使得网络工程师和技术人员能够收集大量有关 IPv6 功能和网络设备活动的数据,而无需逐一访问每个设备,既省时又省力。
  • 发现过程、IPv6 隧道协议和路由器公告(已测试,但本文并未介绍)可帮助 IPv6 实施者监测网络的 IPv6 恶意部署情况—是否出现恶意的、非故意的或好奇的 IT 工程师单独对 IPv6 进行研究。
  • OptiView XG 的所有主要特性不仅可以帮助测试 v6 部署,还是收集和共享信息以加快故障排除速度的很好资源。
  • 众多的 2 层连接类型(如 Ethernet、10GbE、Wi-Fi)意味着 OptiView XG 对目前正进行 IPv6 部署的各类市场来说非常有用,其中包括服务提供商、大型企业、政府部门和学术界。
  • 与市场上其他设备相比,OptiView XG 的 IPv6 特性和功能非常先进,这意味着该设备可以支持目前正在实施的 IPv6 部署。这对 Nephos6 客户而言非常有用,很多客户一直在不断体验其现有 IT 供应商提供的“在我们的产品路线图中”的声明。
 
 
Powered By OneLink