| SUSE Linux Enterprise Desktop dokumentáció 30. fejezet - A hálózatkezelés alapjai / 30.2. IPv6 – az Internet következő generációja | ||||
|---|---|---|---|---|
 | 30. fejezet - A hálózatkezelés alapjai | 30.3. Névfeloldás |  | |
| SUSE Linux Enterprise Desktop dokumentáció 30. fejezet - A hálózatkezelés alapjai / 30.2. IPv6 – az Internet következő generációja | ||||
|---|---|---|---|---|
| 30. fejezet - A hálózatkezelés alapjai | 30.3. Névfeloldás | | |
A WWW (World Wide Web) megjelenése miatt az Interneten keresztül, TCP/IP segítségével kommunikáló gépek száma robbanásszerűen megnőtt az elmúlt tizenöt évben. Mióta Tim Berners-Lee a CERN-nél (http://public.web.cern.ch) 1990-ben kitalálta a WWW-t, az Internetre kapcsolódó gépek száma néhány ezerről megközelítőleg százmillióra nőtt.
Amint már említettük, egy IPv4 cím mindössze 32 bitet tartalmaz. Hálózatszervezési okokból az IP-címek egy része nem is használható – így azután sok IP-cím elvész. Egy alhálózaton belül rendelkezésre álló címek száma úgy számítható ki, ha a kettőt az alhálózat bitjeinek száma szerinti hatványra emeljük, majd az így kapott számból kivonunk kettőt. Az alhálózatban tehát 2, 6 vagy 14 cím használható. Ahhoz tehát, hogy például 128 gépet az Internetre kapcsoljuk, egy 256 IP-címmel rendelkező alhálózatra van szükség. A címek közül csak 254 használható, mivel az alhálózat struktúrájának kialakításához két IP-címre szükség van: a broadcast és a hálózati alapcímre.
A potenciális címhiány leküzdése érdekében a ma elterjedt IPv4 protokoll alatt olyan eljárásokat szokás használni, mint a DHCP vagy a NAT (network address translation, hálózati címfordítás). Mivel a privát és nyilvános címek szigorúan el vannak különítve, ezek a módszerek valóban alkalmasak a hiány enyhítésére. Az eljárás hátránya a bonyolultabb beállítás és a nagyobb rendszerkarbantartási munka. Egy IPv4 kliensgép beállításához egy sor címadatra van szükség: a gép IP-címére, hálózati maszkjára, az átjáró címére és esetleg a névkiszolgáló címére. Ezeket az adatokat ismerni kell, nem lehet őket egyszerűen leszármaztatni valahonnan máshonnan.
Az IPv6 mind a címek hiányának, mind a bonyolult beállításnak a problémáját megszünteti. A következő szakaszokban részletesebben bemutatjuk az IPv6 továbbfejlesztéseit és előnyeit, illetve beszélünk a régi protokollról az újra átállásról.
Az új protokoll legfontosabb és leginkább szembetűnő előnye a felhasználható címtér rendkívüli bővülése. Egy IPv6-cím a hagyományos 32 bit helyett 128 bites értékekből áll. Ez azt jelenti, hogy akár több trillió IP-cím használható.
Az IPv6 címek azonban nem csak hosszukban különböznek elődeiktől. Belső szerkeztük is más, így a címek információt tartalmazhatnak azokról a rendszerekről és hálózatokról is, amelyekhez tartoznak. További részletek erről: 30.2.2. szakasz - Címtípusok és címzési rendszer.
Az új protokoll további előnyei:
Az IPv6 hálózatban valóban működik az „azonnali használat” (plug and play), vagyis egy újonnan telepített rendszer bármiféle kézi beállítás nélkül is beilleszkedik a (helyi) hálózatba. Az új gép egy automatikus beállítási mechanizmus segítségével, a szomszéd útválasztóktól egy neighbor discovery (ND) nevű protokoll segítségével megkapott adatokból deríti ki saját címét. Ez a beállítás a rendszergazda közreműködése nélkül történik, és központi IP-címkiosztó kiszolgáló beállítására sincs szükség – újabb előny az IPv4-gyel szemben, ahol az automatikus címkiosztáshoz DCHP címkiszolgálót kell beüzemelni.
Az IPv6 lehetővé teszi, hogy egy hálózati csatolóhoz egyidőben több címet rendeljünk. Így a felhasználók könnyen elérhetnek különböző hálózatokat is, hasonlóan a mobiltelefon-szolgáltatók által kínált barangolási (roaming) szolgáltatáshoz: ha mobiltelefonunkkal kimegyünk külföldre, akkor a megfelelő területre érve a telefon automatikusan kiválaszt egy ottani szolgáltatót. Ez azt jelenti, hogy bárhol is legyünk, mindig ugyanazon a telefonszámon vagyunk elérhetők és úgy tudunk onnan telefonálni, mintha otthon lennénk.
Az IPv4 alatt a hálózati biztonság egy kiegészítő funkció. Az IPv6-nak az IPSec alapú titkosítás már szerves része, így két rendszer kommunikálhat egy biztonságos ún. alagúton (tunnel) keresztül anélkül, hogy az Internetről bárki le tudná hallgatni.
A teljes Internet átállítása lehetetlen egyik pillanatról a másikra IPv4-ről IPv6-ra. Épp ezért nagyon fontos, hogy a két rendszer egyszerre működhessen ne csak az Interneten, hanem akár egyetlen gépen belül is. Ezt a kompatibilis címek (az IPv4 címek egyszerűen átalakíthatók IPv6-címekké), és különféle alagutak alkalmazása biztosítja. Lásd:30.2.3. szakasz - IPv4 és IPv6 együtt. Ezek kívül a rendszer használhatnak egy dual stack IP (kettős protokollcsomag) nevű technikát is, amely egyidőben támogatja mindkét protokollt, vagyis két teljesen különálló hálózati alrendszert használnak és a két protokollverzió semmilyen hatással nincs egymásra.
IPv4 alatt egyes szolgáltatások (például az SMB) a helyi hálózat minden gépének elküldi a csomagjait nyilvános (broadcast) üzenetekben. Az IPv6 jóval finomabb felosztást tesz lehetővé: a kiszolgálók az egyes gépeket többesszórás (multicasting, szokták differenciált sugárzás néven is emlegetni) segítségével is elérhetik – vagyis csak egy adott csoportba tartozó gépeket címeznek meg, szemben az összes gépnek szóló nyilvános (broadcast) vagy az egyetlen gépnek szóló unicast üzenetekkel. Az, hogy mely gépek kerülnek egy csoportként megcímzésre, a tényleges alkalmazástól függ. Vannak azonban előre meghatározott multicast-csoportok is, például az összes névkiszolgáló (all name servers multicast group, vagy az összes útválasztó (all routers multicast group).
Amint már említettük, a jelenlegi IP protokoll fogyatékossága két fontos területen szembetűnő: egyrészt lassan elfogynak a rendelkezésre álló IP-címek, másrészt egyre bonyolultabb és kényelmetlenebb feladat a hálózati beállítások és az útválasztótáblák karbantartása. Az IPv6 az első problémát a címtér 128 bitre bővítésével oldja meg. A második probléma megoldását a hierarchikus címszerkezet, az új, intelligens címkiosztási eljárások és az ún. multihoming jelenti (egy csatolóhoz több cím is rendelhető a különböző hálózatok eléréséhez).
IPv6 esetén az alábbi háromféle címtípust különböztetjük meg:
Az ilyen típusú címek pontosan egy hálózati csatolóhoz tartoznak. Az ilyen című csomagok kizárólag egy címzetthez érkeznek meg. Ennek megfelelően a unicast címek arra szolgálnak, hogy a csomagok a helyi hálózat vagy az Internet egyes gépeihez eljussanak.
Az ilyen típusú címek hálózati csatolók egy adott csoportjára vonatkoznak. Az ilyen című csomagok a csoport összes tagjához kézbesítésre kerülnek. A multicast-címeket elsősorban bizonyos hálózati szolgáltatások használják arra, hogy adott gépcsoportokat könnyen és egyszerűen el tudjanak érni.
Az ilyen típusú címek csatolók egy adott csoportjára vonatkoznak. Az ilyen című csomagok a csoportnak a használt útválasztási protokoll elvei szerint a küldő félhez legközelebbi tagjához érkeznek. Az anycast címeket arra használjuk, hogy egyszerűbb legyen megtalálni az adott hálózati területen egy bizonyos szolgáltatást nyújtó kiszolgálókat. Az ugyanolyan típusú kiszolgálók mind ugyanazzal az anycast-címmel rendelkeznek. Amikor egy gép kér egy bizonyos szolgáltatást, az a kiszolgáló fog rá válaszolni, amelyik az útválasztási protokoll szerint a legközelebb található a küldő géphez. Ha ez a kiszolgáló bármi oknál fogva kiesne, akkor a protokoll automatikusan a következő legközelebbi kiszolgálót választja, majd a harmadikat stb.
Egy IPv6-cím nyolc darab négyszámjegyű mezőből áll, amelyek mindegyike 16 bitet ábrázol, hexadecimális jelöléssel. A mezőket kettőspont (:) választja el. A mezők elején álló nulla bájtokat ki lehet hagyni, a mezőn belül, vagy annak végén azonban ez tilos. Amennyiben egymás után több mint négy nulla bájt szerepel, akkor ezek dupla kettősponttal rövidíthetők. Egy címen belül azonban csak egyszer alkalmazható a :: jelölés. Az összevonás lehetőségeit a 30.3. példa - Példák ugyanazon IPv6-cím írásmódjára táblázat mutatja, ahol mindhárom sor ugyanazt a címet jelenti.
30.3. példa - Példák ugyanazon IPv6-cím írásmódjára
fe80 : 0000 : 0000 : 0000 : 0000 : 10 : 1000 : 1a4 fe80 : 0 : 0 : 0 : 0 : 10 : 1000 : 1a4 fe80 : : 10 : 1000 : 1a4
Az IPv6-címek minden egyes részének külön szerepe van. Az első bájtok képezik az előtagot (prefix) és határozzák meg a cím típusát. A középső rész a cím hálózati része, de előfordulhat, hogy ez nincs használva. Az utolsó rész azonosítja az egyes gépet. A hálózati maszkot IPv6 alatt a prefix hossza határozza meg, amelyet az IP-cím végén jelzünk egy törtvonallal elválasztva. 30.4. példa - Az előtag hosszát megadó IPv6-cím ábra például azt mutatja, hogy az első 64 bit a hálózati szegmenst, az utolsó 64 bit pedig a gépazonosítót határozza meg. Más szavakkal a 64 azt jelenti, hogy a hálózati maszkot balról 64 darab 1-es bittel kell kitölteni. Az IPv4-nél megszokott módon, a hálózati maszk és az IP-cím ÉS kapcsolata határozza meg, hogy egy gép ugyanahhoz, vagy egy másik alhálózathoz tartozik-e
Az IPv6 különböző jelentésű előtagokat ismer. Ezek egy részét a 30.4. táblázat - Különféle IPv6-előtagok mutatja.
30.4. táblázat - Különféle IPv6-előtagok
|
Előtag (hexa) |
Definíció |
|---|---|
|
|
IPv4-címek és IPv6-on keresztüli IPv4 (IPv4 over IPv6), kompatibilis címek. Ezek feladata a kompatibilitás fenntartása az IPv4-gyel. Használatukhoz az szükséges, hogy az útválasztó át tudja alakítani az IPv6-címeket IPv4-címekké. Számos speciális cím (például a loopback eszköz) is ezzel az előtaggal rendelkezik. |
|
Az első számjegy |
Aggregálható általános unicast-címek (aggregatable global unicast addresses). Ahogy az IPv4 esetében, egy csatoló itt is hozzárendelhető egy adott alhálózathoz. Jelenleg a következő címterek vannak lefoglalva: |
|
|
Link-local (adatkapcsolati szinten helyi) címek. Az ilyen előtaggal rendelkező címeken nem kerül alkalmazásra útválasztás, vagyis csak ugyanazon alhálózaton belül érhetők el. |
|
|
Site-local (telephelyi szinten helyi) címek. Ezek a címek ugyan áthaladhatnak az útválasztón, de csak azon szervezet hálózatán belül, amelyhez tartoznak Az IPv6-ban ezek a címek felelnek meg az eddigi magánhálózati címtérnek (mint pl. a |
|
|
Ezek a multicast-címek. |
Az unicast-címek három fő részből állnak:
A cím első része (amely többek között a fent említett előtagok egyikét is tartalmazza) felelős a csomag forgalomirányításáért a nyilvános Interneten. Tartalmaz például információt az Internet-hozzáférést biztosító szolgáltatóról vagy szervezetről is.
A második rész forgalomirányítási adatokat tartalmaz arról, hogy melyik alhálózatba kell a csomagokat továbbítani.
A harmadik rész azonosítja a csatolót, amelyre továbbítani kell a csomagot. Ez lehetővé teszi, hogy a MAC-cím az IPv6-cím része legyen. Mivel a MAC-cím az egész világon egyedi (a hardvergyártók rögzítik az eszközben), lényegesen leegyszerűsödik a beállítási folyamat. Az első 64 címbit egy úgynevezett EUI-64 tokent képez, amelynek a legutolsó 48 bitje a MAC-cím, a maradék 24 bit pedig speciális információt tartalmaz a token típusáról. Ez lehetővé teszi, hogy olyan eszközökhöz is lehessen EUI-64 tokent hozzárendelni, melyek nem rendelkeznek MAC-címmel (pl. PPP- és ISDN-kapcsolatok).
A unicast-címek alapvető felépítéséből adódóan az IPv6 ötfajta unicast-címet különböztet meg:
:: (nem megadott)
Ezt a címet akkor használja forráscímként egy gép, amikor a csatoló első alkalommal aktiválódik – és amikor a cím egyéb módon még nem határozható meg
::1 (loopback)
A loopback (hurok, sajátgép) eszköz címe.
Az IPv6-cím az IPv4-címből és egy 96 db nulla bitet tartalmazó előtagból áll. Ez a fajta kompatibilitási cím elsősorban alagutak kialakítására (tunneling) használatos (lásd: 30.2.3. szakasz - IPv4 és IPv6 együtt). Az IPv6- és IPv4-gépek így olyan gépekkel is tudnak kommunikálni, amelyek egy tiszta IPv4-hálózatban találhatók.
Ez a fajta cím egy tiszta IPv4-címet ad meg IPv6-jelöléssel.
Helyi használatra kétféle címtípus áll rendelkezésre:
Ez a fajta cím csak az adott helyi alhálózaton belül használható. Az ilyen típusú forrás- vagy célcímmel rendelkező csomagok nem kerülnek továbbításra az Internet vagy más alhálózatok felé. Ezek a címek egy speciális előtagot tartalmaznak (fe80::/10), valamint a hálózati kártya azonosítóját. A középső rész csupa nulla bájt. Az ilyen típusú címek az ugyanazon alhálózat más gépeivel folytatott kommunikációra szolgálnak az automatikus beállítás során.
Az ilyen címtípusú csomagok átirányíthatók más alhálózatokra, de a szélesebb értelemben vett Internetre nem – az adott szervezet hálózatán belül kell maradniuk. Ezek a címek jellemzően intraneteken és az IPv4-ben meghatározott magánhálózati címek helyett használhatók. A speciális előtag (fec0::/10), és a csatolóazonosító mellett egy 16 bites mezőt tartalmaznak, amely az alhálózatot azonosítja. A többi mező értéke nulla.
Az IPv6 egy teljesen új funkciója, hogy egy hálózati csatoló rendszerint több IP-címet is kaphat. Ennek az az előnye, hogy így több hálózathoz is hozzá lehet férni egyszerre, ugyanazzal a csatolóval. E hálózatok egyike a MAC-cím és egy ismert előtag segítségével teljesen automatikusan beállítható, így az IPv6 rendszer indítását követően a helyi hálózat összes gépe azonnal elérhető (a link-local cím segítségével). Mivel a MAC-cím az IP-cím része, ezért biztos, hogy minden cím egyedi lesz. A címben egyedül a site topology telephely-topológia) és a public topology (nyilvános topológia) paraméterek változhatnak attól függően, hogy a gép éppen melyik hálózaton belül működik.
Ahhoz, hogy egy gép több hálózat között mozoghasson, legalább két címre van szüksége. Ezek egyike, az otthoni cím (home address) a csatolóazonosító mellett az otthoni hálózat azonosítóját is tartalmazza (valamint a megfelelő előtagot). Az otthoni cím statikus, ezért általában nem kerül módosításra. Az újdonság az, hogy a mozgó, mobil gépnek szánt minden egyes csomag elküldhető rá, függetlenül attól, hogy a gép valóban az otthoni hálózatban működik, vagy teljesen máshol. Ezt az IPv6-ban bevezetett két vadonatúj funkció teszi lehetővé: az állapot nélküli automatikus konfiguráció (stateless autoconfiguration) és a szomszédok felderítése (neighbor discovery). A mobil eszközök az otthoni címen kívül további címekkel is rendelkezhetnek, amelyek abból a hálózatból származnak, amelyben éppen találhatók. Ezeket care-of (postai küldeményeken használt rövidítés, vki címén) címeknek hívjuk. Az otthoni hálózatban egy olyan szolgáltatásnak kell futnia, mely automatikusan a megfelelő hálózatba továbbítja a távol lévő gép otthoni címére küldött csomagokat. IPv6-környezetben ezt a funkciót az ún. home agent (otthoni ügynök) látja el, amely minden, a mobil gép otthoni címére küldött csomagot egy alagúton keresztül a gép aktuális care-of címére továbbít. A care-of címre küldött csomagok persze mindenféle kitérő nélkül közvetlenül a mobil eszközre kerülnek továbbításra.
Az Internetre csatlakozó összes gép átállítása IPv4-ről IPv6-ra csak fokozatosan történhet. Egy ideig a két protokoll párhuzamosan fog létezni. Egy rendszeren belül az együttes működés kettős protokollcsomag (dual stack) megvalósításával garantálható. Továbbra is fennállnak azonban azok a problémák, hogy hogyan tudnak IPv6-gépek IPv4-gépekkel kommunikálni, illetve hogyan továbbíthatók IPv6-csomagok a jelenlegi, túlnyomórészt IPv4 alapú hálózatokban. A legjobb megoldást az alagutak (tunneling) és a kompatibilitási címek használata jelenti (lásd: 30.2.2. szakasz - Címtípusok és címzési rendszer).
A világméretű IPv4-hálózatban egyelőre elszigetelt IPv6-hálózatok alagutakon keresztül cserélhetik ki adataikat: az IPv6-adatok IPv4-csomagokba kerülnek beágyazásra, hogy az IPv4-hálózaton keresztül továbbíthatók legyenek. Két IPv4-gép ilyen kapcsolatát alagútnak (tunnel) nevezzük. Ehhez a csomagoknak tartalmaznia kell az IPv6-célcímet (vagy annak megfelelő előtagját) és az alagút fogadó végén található célgép IPv4-címét. Egy alapszintű alagút <emphasis>manuálisan</emphasis> is beállítható, ha a gépek rendszergazdái megegyeznek. Ezt statikus alagútnak (static tunneling) is hívják.
A statikus alagutak beállítása és karbantartása azonban gyakran túlságosan munkaigényes a mindennapos kommunikációban használathoz. Éppen ezért az IPv6 három különböző módszet is kínál dinamikus alagutak (dynamic tunneling) kialakításához:
Az IPv6-csomagok automatikusan IPv4-csomagokká kerülnek átalakításra, és olyan IPv4-hálózaton keresztül kerülnek továbbításra, amelyik képes multicast-üzenetek továbbítására. Az IPv6 úgy érzékeli, hogy a teljes hálózat (az Internet) egyetlenegy óriási helyi hálózat (LAN). Ezzel az eljárással automatikusan ki lehet deríteni az IPv4 alagút végpontját. Ez az eljárás azonban rosszul méretezhető, valamint az IPv4 multicast használata messze nem terjedt el széles körben az Interneten. Ez tehát elsősorban kisebb vállalati vagy szervezeti hálózatokban jelent megoldást, ahol rendelkezésre áll multicast. A módszer leírása az RFC 2529-ben található meg.
Ennél az eljárásnál az IPv6-címekből automatikusan IPv4-címek kerülnek előállításra, így az elszigetelt IPv6-hálózatok egy IPv4-hálózaton kereszül tudnak egymással kommunikálni. A gyakorlatban azonban az elszigetelt IPv6-gépek és az Internet közötti kommunikáció nem problémamentes. A módszert az RFC 3056 írja le.
E módszer használatához speciális kiszolgálókra van szükség, amelyek dedikált alagutakat biztosítanak az IPv6-gépek számára. Ezt a módszert az RFC 3053 írja le.
Az IPv6 beállításához általában semmit nem kell tenni az egyes munkaállomásokon. Az IPv6 alapértelmezésben engedélyezett. A telepítés során ez azonban letiltható a következő részben leírt hálózati konfigurációs lépésekben: 3.11.3. szakasz - Hálózati beállítások. Az IPv6 telepített rendszeren történő letiltásához vagy engedélyezéséhez használja a YaST menüpontját. Ne módosítsa az eljárást és kattintson a gombra. Majd válasszon ki egy kártyát és kattintson a + menüpontra a lapon. Az IPv6 manuális engedélyezéséhez adja ki a modprobe ipv6 parancsot root felhasználóként.
Az IPv6 automatikus konfigurációs funkciójának köszönhetően a hálózati kártya kap egy címet a link-local hálózatból. Általában a munkaállomásokon nincs szükség az útválasztási táblák felügyeletére. A munkaállomás lekérdezheti a hálózati útválasztókat az útválasztó-meghirdetési protokoll (router advertisement protocol) segítségével, hogy megtudja, milyen előtagot és átjárókat kell használnia. IPv6-útválasztó az radvd programmal állítható be. Ez a program értesíti a munkaállomásokat, hogy milyen előtagot használjanak az IPv6-címekhez, illetve mely útválasztókat használják. Ennek alternatívájaként a zebra nevű program használható a címek és az útválasztás automatikus beállításához.
Azzal kapcsolatban, hogyan állíthatók be az egyes alagutak az /etc/sysconfig/network fájlok segítségével, olvassa el az ifup(8) parancs man oldalait.
A fenti áttekintés temészetesen nem térhetett ki az IPv6 minden részletére. Az új protokoll mélyebb megismeréséhez az alábbi online dokumentációt és könyveket ajánljuk:
Jó kezdőpont mindenhez, ami az IPv6-tal kapcsolatos.
Minden információt tartalmaz, amire a saját IPv6-hálózat kialakításához szükség lehet.
Az IPv6-ra felkészített eszközök listája.
Linux-IPv6-HOWTO és számos további, a témakörrel kapcsolatos hivatkozás.
Az IPv6 alapvető RFC-je.
A témakör összes fontos részletét leíró könyv. Silvia Hagen: IPv6 Essentials (ISBN 0-596-00125-8).
