Text nazvaný Requirements For IPv6 in ICT Equipment je zatím ve fázi pracovního návrhu, ale už v současné podobě je rozumně použitelný a užitečný. Vychází z předpokladu, že mají-li mít nakupované síťové aktivní prvky či servery dostatečnou perspektivu, musí už dnes podporovat IPv6. Ovšem „podpora IPv6“ je vágní pojem a její deklarace výrobce nic nestojí, zatímco realita může být tristní. Nikdo vám nedá, co my slibujeme.
Cílem textu je stanovit zcela konkrétně, co je podporou IPv6 myšleno a jaké konkrétní specifikace musí zařízení splňovat, pokud je dodavatel chce prohlásit za IPv6 kompatibilní. Nabízí k tomu tři alternativní způsoby:
-
Varianta 1 – Udělej si sám: Lze explicitně určit sadu RFC, jež zařízení musí podporovat. Budeme se jí podrobněji věnovat v následujícím textu. Určitou nevýhodou tohoto přístupu je, že při kontrole splnění jednotlivých kritérií jste odkázáni na prohlášení výrobce a ta bývají občas velmi kreativní. (IPsec je podporován, pouze nejsou podporovány žádné kryptografické algoritmy.) Testovat vlastními silami kompatibilitu zařízení pravděpodobně nebude reálné, pokud se nejedná o opravdu velkou zakázku.
-
Varianta 2 – Certifikace IPv6 Ready: Jestliže existuje běžící a respektovaný certifikační program IPv6 Ready (informovali jsme o něm v jednom z předchozích článků), lze o něj zadávací dokumentaci opřít. Dokument doporučuje požadovat certifikát IPv6 Ready fáze 1 jako povinnou podmínku, jejíž nesplnění zařízení diskvalifikuje z výběru. Za certifikát fáze 2 doporučuje přidělit bonusové body.
Nespornou výhodou této varianty je, že staví na objektivnějším vyjádření, než je sebehodnocení výrobce. Skutečnost, že nechal své zařízení certifikovat, také naznačuje, že to s IPv6 myslí vážně. Na druhé straně ale snadno může požadavek na certifikát IPv6 Ready vést k dramatickému omezení kandidátů. A všechny zkušenosti ukazují na nepřímou úměru mezi cenou dodávky a počtem uchazečů.
Vedlejším problémem této cesty je, nechává stranou výkon. Zatímco ve variantě 1 autoři doporučuji požadovat, aby výkon IPv6 nezaostával za IPv4 o více než X %, zde není o výkonnostních parametrech zmínka. Přitom IPv6 Ready certifikace se touto stránkou zařízení nezabývá, zkoumá jen dodržení specifikací. Je určitě vhodné proto doplnit do požadavků adekvátní výkonnost.
-
Varianta 3 – Kombinace: Třetí alternativou je zkombinovat obě předchozí, tedy požadovat jako základ certifikaci IPv6 Ready, ale připustit i zařízení, která ji nemají, pokud dodržují explicitně uvedené standardy.
Pokud jde o první variantu, dokument zavádí čtyři kategorie s odlišnými požadavky a pro každou z nich uvádí seznam vlastností (a odkazů na RFC), které by zařízení mělo splňovat. Seznam je rozdělen vždy na složky povinné (nesplnění by mělo znamenat, že zařízení není akceptovatelné) a volitelné (za splnění body navíc). Zmiňované čtyři kategorie jsou:
-
Koncová zařízení jako servery, počítače, tiskárny a podobně. U nich hrají požadavky na IPv6 kompatibilitu asi nejméně významnou roli, protože často závisí na software. S novou verzí operačního systému se mohou výrazně změnit. Navíc pro volbu systému bývají rozhodující jiné požadavky (provozované aplikace, zkušenosti uživatelů,…).
-
L2 přepínače se v síťové architektuře nacházejí o vrstvu níže, takže se po nich chtějí zejména schopnosti monitorovat a filtrovat některé typy paketů, jako například MLDv2 či DHCPv2. Dokument je určuje odděleně pro domácí a firemní prvky.
-
Směrovače nebo L3 přepínače mají pochopitelně seznam požadavků nejdelší, což odpovídá jejich roli v síťové infrastruktuře.
-
Bezpečnostní prvky, jako jsou firewally či různé systémy na detekci a prevenci útoků, mají také dost objemný výčet nároků, protože by měly zvládat hrozby přicházející oběma protokoly.
Nemá smysl zde opisovat příslušné seznamy, snadno je dohledáte v odkazovaném textu. Za pozornost stojí pasáž věnovaná výkonu. Autoři doporučují vložit do podmínek zhruba následující text:
Veškerý ICT hardware musí podporovat oba protokoly, IPv4 i IPv6 a musí pro ně poskytovat podobný výkon. Mezi oběma protokoly nesmí být výkonnostní rozdíl větší než X % v propustnosti datových toků na vstupu, výstupu a při průchodu zařízením, v přenosu a zpracování paketů.
Přípustná výkonnostní odchylka závisí na úloze daného zařízení. Pro páteřní nasazení doporučují 15 %, pro podnikovou sféru 30 % a pro domácnosti 40 %. Bez tohoto omezení by se snadno mohlo stát, že uspěje zařízení, které sice podporuje všechny možné IPv6 standardy, ovšem zpracování protokolu řeší softwarově v hlavním procesoru rychlostí nesrovnatelnou s hardwarově implementovaným IPv4. Podobné vyjádření by mezi požadavky rozhodně mělo figurovat, bez ohledu na to, kterou z variant pro stanovení požadavků zvolíte.
Takže až si budete vybírat síťové hračky pod stromeček, určitě doporučuji je prolustrovat podle tohoto doporučení. Přeji šťastnou ruku při jejich výběru.
Je váš příslušný hardware podle vás IPv6 ready?
