Text nazvaný Requirements For IPv6 in ICT Equipment je zatím ve fázi pracovního návrhu, ale už v současné podobě je rozumně použitelný a užitečný. Vychází z předpokladu, že mají-li mít nakupované síťové aktivní prvky či servery dostatečnou perspektivu, musí už dnes podporovat IPv6. Ovšem „podpora IPv6“ je vágní pojem a její deklarace výrobce nic nestojí, zatímco realita může být tristní. Nikdo vám nedá, co my slibujeme.
Cílem textu je stanovit zcela konkrétně, co je podporou IPv6 myšleno a jaké konkrétní specifikace musí zařízení splňovat, pokud je dodavatel chce prohlásit za IPv6 kompatibilní. Nabízí k tomu tři alternativní způsoby:
-
Varianta 1 – Udělej si sám: Lze explicitně určit sadu RFC, jež zařízení musí podporovat. Budeme se jí podrobněji věnovat v následujícím textu. Určitou nevýhodou tohoto přístupu je, že při kontrole splnění jednotlivých kritérií jste odkázáni na prohlášení výrobce a ta bývají občas velmi kreativní. (IPsec je podporován, pouze nejsou podporovány žádné kryptografické algoritmy.) Testovat vlastními silami kompatibilitu zařízení pravděpodobně nebude reálné, pokud se nejedná o opravdu velkou zakázku.
-
Varianta 2 – Certifikace IPv6 Ready: Jestliže existuje běžící a respektovaný certifikační program IPv6 Ready (informovali jsme o něm v jednom z předchozích článků), lze o něj zadávací dokumentaci opřít. Dokument doporučuje požadovat certifikát IPv6 Ready fáze 1 jako povinnou podmínku, jejíž nesplnění zařízení diskvalifikuje z výběru. Za certifikát fáze 2 doporučuje přidělit bonusové body.
Nespornou výhodou této varianty je, že staví na objektivnějším vyjádření, než je sebehodnocení výrobce. Skutečnost, že nechal své zařízení certifikovat, také naznačuje, že to s IPv6 myslí vážně. Na druhé straně ale snadno může požadavek na certifikát IPv6 Ready vést k dramatickému omezení kandidátů. A všechny zkušenosti ukazují na nepřímou úměru mezi cenou dodávky a počtem uchazečů.
Vedlejším problémem této cesty je, nechává stranou výkon. Zatímco ve variantě 1 autoři doporučuji požadovat, aby výkon IPv6 nezaostával za IPv4 o více než X %, zde není o výkonnostních parametrech zmínka. Přitom IPv6 Ready certifikace se touto stránkou zařízení nezabývá, zkoumá jen dodržení specifikací. Je určitě vhodné proto doplnit do požadavků adekvátní výkonnost.
-
Varianta 3 – Kombinace: Třetí alternativou je zkombinovat obě předchozí, tedy požadovat jako základ certifikaci IPv6 Ready, ale připustit i zařízení, která ji nemají, pokud dodržují explicitně uvedené standardy.
Pokud jde o první variantu, dokument zavádí čtyři kategorie s odlišnými požadavky a pro každou z nich uvádí seznam vlastností (a odkazů na RFC), které by zařízení mělo splňovat. Seznam je rozdělen vždy na složky povinné (nesplnění by mělo znamenat, že zařízení není akceptovatelné) a volitelné (za splnění body navíc). Zmiňované čtyři kategorie jsou:
-
Koncová zařízení jako servery, počítače, tiskárny a podobně. U nich hrají požadavky na IPv6 kompatibilitu asi nejméně významnou roli, protože často závisí na software. S novou verzí operačního systému se mohou výrazně změnit. Navíc pro volbu systému bývají rozhodující jiné požadavky (provozované aplikace, zkušenosti uživatelů,…).
-
L2 přepínače se v síťové architektuře nacházejí o vrstvu níže, takže se po nich chtějí zejména schopnosti monitorovat a filtrovat některé typy paketů, jako například MLDv2 či DHCPv2. Dokument je určuje odděleně pro domácí a firemní prvky.
-
Směrovače nebo L3 přepínače mají pochopitelně seznam požadavků nejdelší, což odpovídá jejich roli v síťové infrastruktuře.
-
Bezpečnostní prvky, jako jsou firewally či různé systémy na detekci a prevenci útoků, mají také dost objemný výčet nároků, protože by měly zvládat hrozby přicházející oběma protokoly.
Nemá smysl zde opisovat příslušné seznamy, snadno je dohledáte v odkazovaném textu. Za pozornost stojí pasáž věnovaná výkonu. Autoři doporučují vložit do podmínek zhruba následující text:
Veškerý ICT hardware musí podporovat oba protokoly, IPv4 i IPv6 a musí pro ně poskytovat podobný výkon. Mezi oběma protokoly nesmí být výkonnostní rozdíl větší než X % v propustnosti datových toků na vstupu, výstupu a při průchodu zařízením, v přenosu a zpracování paketů.
Přípustná výkonnostní odchylka závisí na úloze daného zařízení. Pro páteřní nasazení doporučují 15 %, pro podnikovou sféru 30 % a pro domácnosti 40 %. Bez tohoto omezení by se snadno mohlo stát, že uspěje zařízení, které sice podporuje všechny možné IPv6 standardy, ovšem zpracování protokolu řeší softwarově v hlavním procesoru rychlostí nesrovnatelnou s hardwarově implementovaným IPv4. Podobné vyjádření by mezi požadavky rozhodně mělo figurovat, bez ohledu na to, kterou z variant pro stanovení požadavků zvolíte.
Takže až si budete vybírat síťové hračky pod stromeček, určitě doporučuji je prolustrovat podle tohoto doporučení. Přeji šťastnou ruku při jejich výběru.
