Aufrufe
vor 2 Jahren

Netzwoche 11/2017

28 DOSSIER IPv6 In

28 DOSSIER IPv6 In Kooperation mit Boll Engineering ·· DS-Lite ist eine Tunneling-Variante, die zunehmendes Interesse geniesst. Geräte, die nur IPv4-fähig sind, können mit DS-Lite in einem reinen IPv6-Netzwerk via «Softwires» ins Internet gelangen. Vergleichbare Möglichkeiten bieten die Verfahren LW4o6 und 6rd. ·· Mit Carrier-Grade NAT (CGN) können Serviceprovider der IPv4- Adressknappheit ein Schnippchen schlagen: Die Kunden erhalten keine öffentliche IPv4-Adresse, sondern eine private, die ihnen vom CGN-Mechanismus zugeteilt wird. So lässt sich eine einzige öffentliche Adresse beim Provider auf bis zu 100 und mehr Kunden aufteilen – der IPv4-Adressvorrat hält länger. Wichtig ist dabei, dass die Kunden trotzdem eindeutig identifizierbar bleiben, wie es das Gesetz verlangt. ·· Application-Layer-Gateways gewährleisten, dass Protokolle wie FTP, H.323 oder DNS funktionsfähig bleiben. Manche herkömmlichen NAT-Implementationen stellen dies nicht sicher. INFO Server Load Balancer (SLB) und ADCs (Lösungen für das Application Delivery und Application Networking) kommen dann zum Tragen, wenn es gilt, Anwendungen schneller, besser und sicherer bereitzustellen. Dazu unterstützen innovative Systeme erweiterte Securityund Networking-Funktionen wie etwa: • Web Application Firewall (WAF) • DNS Application Firewall (Schutz von DNS-Infrastrukturen) • DDoS-Abwehr (Schutz vor mehrschichtigen Distributed-Denial-of- Service-Attacken) • Application Access Management (integrierte Authentifizierungsfunktionen stellen sicher, dass die Backend-Server keinen unerwünschten oder nicht authentifizierten Datenverkehr erhalten) • Reduktion des Datenverkehrs (z. B. Komprimierung des HTTP- Protokolls und Traffic Caching) • SSL-Offloading (Terminierung verschlüsselter Client-Verbindungen) • SSL-Bridging (Überprüfung verschlüsselter Daten auf fehlerhaften Code) • Software-defined Networking (SDN) Integrierte Lösung bringt Vorteile Die besten Voraussetzungen für eine problemlose Transition zu IPv6 bietet eine integrierte Plattform, die alle gängigen Übersetzungs- und Tunneling-Verfahren beherrscht und zudem ermöglicht, verschiedene Methoden parallel einzusetzen. Auf dieser Basis lässt sich der Übergang in die IPv6-Ära schrittweise im gewünschten Tempo abwickeln, ohne dass einzelne Clients oder Server dabei auf der Strecke bleiben. Verfahren wie CGN sind rechenintensiv und stellen hohe Anforderungen an die Performance der zugrundeliegenden Systeme. Es empfiehlt sich, dafür dedizierte Hardware einzusetzen, am besten eine speziell für die IPv4/IPv6-Transition konzipierte Appliance. Der Kosten- und Integrationsvorteil kommt noch stärker zum Tragen, wenn die Plattform zusätzliche Funktionen wie hardwaregestütztes SSL-Offloading (Terminierung verschlüsselter Client-Verbindungen) und SSL-Bridging (Überprüfung verschlüsselter Daten auf fehlerhaften Code) sowie Sicherheitsfunktionen wie Abwehr von DDoS-Attacken und DNS- und Web-Application-Firewall anbietet. Dies gilt namentlich dann, wenn sich diese Funktionen zusammen mit genereller Application- Delivery-Controller-Funktionalität gleichzeitig in verschiedenen Partitionen auf der gleichen Hardware betreiben lassen. Dann entfällt die Investition in mehrere unterschiedliche Produkte, die dann doch nicht reibungslos zusammenarbeiten und insgesamt deutlich mehr kosten. Ein weiterer Vorteil einer integrierten Lösung ist ihr einheitliches Management. Leistung ist gefragt Grundbedingung für eine so umfassend integrierte Lösung ist eine hoch leistungsfähige Hardwareplattform, die den parallelen Betrieb aller Funktionen auch wirklich zulässt. Nicht alle Hersteller erfüllen diese Voraussetzung – die Leistungsdichte pro Rackeinheit fällt je nach Produkt markant unterschiedlich aus. Für moderne, dynamische Netzwerkinfrastrukturen nach dem Modell Software-defined Networking beziehungsweise Network Function Virtualization kommt auch eine virtuelle Appliance infrage – ideal ist es, wenn der Anbieter beide Varianten zur Wahl stellt. Mit Carrier-Grade NAT (CGN) können Serviceprovider der IPv4-Adressknappheit ein Schnippchen schlagen: Die Kunden erhalten keine öffentliche IPv4-Adresse, sondern eine private, die ihnen vom CGN-Mechanismus zugeteilt wird. 11 / 2017 www.netzwoche.ch © netzmedien ag

In Kooperation mit Boll Engineering IPv6 DOSSIER29 Gnadenfrist für knappe IPv4-Adressen Freie IPv4-Adressen werden rar. Was können Firmen unternehmen, bevor es zu spät wird? Christoph Tobler, Leiter IT der Leucom-Gruppe, schildert im Interview, wie der Ostschweizer Internetprovider das Problem mit Carrier-Grade Network Address Translation (CGN) gelöst hat. Interview: George Sarpong Vor welcher Herausforderung standen Sie? Christoph Tobler: Wir stehen vor dem gleichen Problem, das eigentlich alle Internetprovider haben: Die IPv4-Adressen werden knapp. Unser Vorrat geht langsam, aber sicher zu Ende. Auf dem Markt Adressen zu kaufen oder gar eine Firma zu übernehmen, die noch freie Adressen besitzt, wäre uns ziemlich teuer zu stehen gekommen. Wir mussten also eine andere Lösung finden. Christoph Tobler, Leiter IT der Leucom-Gruppe. Welche Alternativen haben Sie ins Auge gefasst? Naheliegend wäre natürlich eine Migration auf IPv6. Damit hätte man auf einen Schlag eine astronomische Zahl von Adressen zur Verfügung. Die Umstellung wäre aber relativ schwierig – und wir könnten noch nicht alles umsetzen, was wir brauchen. Wir haben also lange überlegt und uns für Carrier-Grade NAT entschieden. Wie funktioniert das? Bei Carrier-Grade NAT teilt der Provider dem Kunden keine öffentliche, sondern eine private IPv4-Adresse zu. Der CGN-Gateway übersetzt dann für den Zugriff aufs Internet die private in eine öffentliche Adresse – wobei sich mehrere Kunden eine der rar gewordenen öffentlichen Adressen teilen. Somit reicht der Vorrat an IPv4-Adressen länger. Wie weit sind Sie mit der Einführung? Unsere CGN-Lösung ist nun seit bald einem halben Jahr in Betrieb und läuft absolut stabil. Als Erstes haben wir die Kunden mit den preisgünstigsten Abos, die wir Ende 2016 neu lancierten, auf CGN umgestellt. Dann folgten die mittelpreisigen Abos – wir gingen dabei vorsichtig vor und haben in Tranchen von 100, später 500 Kunden umgestellt. So konnten wir Feedbacks sammeln und wenn nötig Anpassungen vornehmen. Bis heute haben wir rund 3000 Kunden migriert – und zwar in der sportlichen Zeit von zwei Monaten! « Wir haben rund 3000 Kunden migriert – und zwar in der sportlichen Zeit von zwei Monaten! » Christoph Tobler, Leiter IT, Leucom Sind die Kunden zufrieden? Es ist eines unserer grössten Anliegen, dass die Kunden von CGN möglichst gar nichts davon merken sollen. Ein Kunde sollte bei sich nichts umstellen müssen, nur weil wir mit CGN arbeiten. Das hat in der Praxis bestens geklappt: Reklamationen gab es nur bei einem Prozent der migrierten Kunden. Meist waren dann Geräte wie Webcams oder NAS-Server vom Internet aus nicht mehr zugänglich. Für solche Fälle offerieren wir die Möglichkeit, doch eine öffentliche IP- Adresse zuzuschalten. Zur gewählten Lösung: Wie sind Sie darauf gekommen? Einer unserer Partner betreibt CGN seit einem Jahr erfolgreich auf Basis seiner Cisco-Infrastruktur. Ich habe aber weiter recherchiert und bin auf A10 Networks gestossen. Das Produkt Thunder CGN hat mich überzeugt: Es ist explizit auf CGN ausgelegt und ist darüber hinaus zukunftssicher, denn es bietet auch Funktionen für den Übergang zu IPv6. Und ganz besonders hat mich der Support des Herstellers und des Distributors Boll Engineering überzeugt. Wir hatten von Anfang an ausser dem Verkäufer auch einen Techniker zur Verfügung. Es gab offene Gespräche, und die Chemie hat gestimmt. Wie ist Ihre CGN-Infrastruktur konfiguriert? Heute betreiben wir zwei Thunder-CGN-Geräte, zwischen denen wir im Fehlerfall umschalten können. Das zweite Gerät übernimmt dann automatisch das Routing für die ausgefallene Einheit. Beide stehen aktuell in Zürich, wo die Backbone-Anbindung erfolgt. In Zukunft ist je nach Bedarf noch ein drittes Gerät in Frauenfeld geplant. Was die Leistung angeht, müssten wir noch lange nicht ausbauen: Die CPU- Last liegt aktuell bei 5 Prozent. Da ist also noch viel Luft für zusätzliche Kunden. ÜBER LEUCOM Gegründet als Radio-/TV-Geschäft vor über 50 Jahren ist Leucom heute eine breit abgestützte Multimedia-Firmengruppe mit mehr als 80 Mit arbeitenden (Hauptsitz in Frauenfeld, Filialen in Schlieren und St. Gallen). Leucom baut und betreibt als Triple- Player (TV, Telefonie und Internet) eigene Kabelnetze und treibt den Ausbau zu Glasfaser zügig voran. Rund 25 000 Haushalte vom Aargau bis ins Appenzellerland beziehen TV-Dienste und rund 18 000 ihren Internetanschluss von Leucom. www.netzwoche.ch © netzmedien ag 11 / 2017

Archiv