Миграция со стратегии IPv4 на IPv6

10

Как все знают, у нас нет IPv4-адресов, и скоро (если не будет) мы перейдем к IPv6. Каковы хорошие стратегии и практики для миграции полной сети IPv4 на IPv6?

Лукас Кауфман
источник
2
Пожалуйста, попробуйте опубликовать вопросы, которые отвечают. Спасибо!
Дэвид Хоуд
Я думаю, что это довольно ответственно, это общий вопрос о том, что нужно учитывать при миграции. Хотя, возможно, немного шире, это не помешает получить некоторые основы в качестве ответа, которые могут помочь в качестве ссылки, когда кто-то попадает в эту ситуацию.
Лукас Кауфман
Я с Дэвидом на этот раз ... любой ответ должен быть очень общим. Я еще не проголосовал за закрытие, хотя, я жду несколько часов, чтобы посмотреть, попытается ли кто-нибудь ответить на это. Я действительно хороший, общий ответ, побудил бы меня не голосовать, чтобы закрыть.
Крейг Константин
Хорошо, я просто удалю его, если в течение 12 часов не будет ответов.
Лукас Кауфман
4
@LucasKauffman, если бы вы перефразировали вопрос, включив в него некоторые свои собственные исследования по теме, и разбили его на конкретные пункты, которые вас интересуют, это был бы гораздо лучший - и отвечающий - вопрос.
кузнец

Ответы:

22

У меня нет полной стратегии, но вот грубый способ, которым я сделал это на $ JOB [-1]:

  1. Получите блок IPv6 от вашего существующего оператора или RIR
  2. Вы также можете пометить блок fc00 :: / 7 (уникальный локальный) для полностью внутренних подсетей, если у вас есть блок ISP и вам может понадобиться перенумеровать
  3. Выберите ваш IGP v6, IS-IS по-прежнему безопаснее, чем OSPFv3, но большая часть комплекта не будет делать IS-IS
  4. Поднимите v6 на вашем основном наборе, от интернет-интерфейса до коммутаторов ядра DC
  5. Поднимите транзит v6, если вам нужно, чтобы туннель BGP от he.net мог работать, ожидая зависания интернет-провайдера за последнее десятилетие (не забудьте включить v6 на вашей сетке iBGP, если она у вас есть)
  6. Создание сервисов инфраструктуры v6, в основном DNS, v4 доступно здесь хорошо
  7. Включите v6 в сети с одним сервером (вам, вероятно, здесь нужен брандмауэр для запрета по умолчанию)
  8. Проверьте связь v6 с миром, это сломает вещи?
  9. Включите v6 на второй сети сервера для избыточности
  10. Поднимите сервер DHCPv6, если вы хотите его использовать
  11. Внедрите v6 в единой сети доступа (ИТ-персонал - хороший выбор здесь)
  12. Тестовое задание. Убедитесь, что ничего не ломается
  13. Поднимите v6 на оставшихся серверных сетях
  14. Добавьте v6 namesever для ваших доменов и v6 DNS-запись для MX (один или все, кроме одного, являются хорошим выбором для того, что двойному стеку)

Теперь, когда вы открываете новые сервисы или обновляете их, вы можете проверить, работают ли они на v6, и добавить соответствующие записи DNS (почти все веб-сервисы будут «просто работать»), в конце концов вы можете начать искать сервисы, оставшиеся на v4, и исправить их. Но спешить некуда.

LapTop006
источник
3
Отличный список, хотя RA-Guard должен быть добавлен к нему. Я искренне думаю, что это важно для реализации.
pauska
2
Просто любопытно, но по вопросу № 2, какие проблемы с OSPFv3 я ничего не видел по этому поводу?
Джастин Рейган
В настоящее время я использую OSPFv3 для своей корпоративной IGP v6. У меня не было никаких проблем все это. Возможно, это довольно простая установка OSPF ... так что, возможно, проблемы связаны с областями-заглушками, ASBR или NSSA. Мне также было бы интересно услышать ваши причины использования IS-IS вместо OSPFv3 для v6.
bigmstone
Джастин - просто потому, что это новый из двух, IS-IS имеет несколько лет вперед в производстве.
LapTop006
pauska - Согласитесь с охраной RA, я обычно не делаю доступ к конечным пользователям в сетях.
LapTop006
6

Я думаю, что здесь важно разделить две разные цели:

  • Работа с включением IPv6. Основные проблемы с этой целью обычно связаны с оборудованием в сети, не поддерживающим IPv6, и для обхода этих элементов необходимо использовать какое-либо решение для туннелирования / транспорта. 6-е и 6PE очень популярны.
  • С другой стороны, существуют стратегии противодействия истощению IPv4-адресов. Единственный способ решить эту проблему - реализовать некий NAT (операторский класс NAT, DSLite, NAT64 ...)

Некоторые технологии решают первую проблему, некоторые решают вторую, а некоторые решают обе.

Все развивается очень быстро, и вы должны следить за появлением новых решений. Например. Одним из решений, которое в последнее время уделяется много внимания, являются MAP-E и MAP-T, которые в настоящее время находятся в состоянии черновика (MAP-E близок к переходу на RFC) и позволяют вам реализовать IPv6 и решить проблему исчерпания адресов IPv4 в очень умной форме. путь. Вы можете получить больше информации на http://tools.ietf.org/html/draft-ietf-softwire-map-06

Чтобы получить более подробную информацию, мне нужно знать контекст и требования. Я имею в виду, что решения зависят от типа сети (поставщик услуг сильно отличается от поставщика контента или сети малого бизнеса) и цели, которую вы пытаетесь достичь.

С уважением,

Диего Нуэво

Диего Нуэво
источник
6

Миграция IPv6 на высоком уровне?

  1. Включите IPv6 во всей сети, пока возможности и возможности подключения IPv6 не станут равными IPv4.
  2. Дождитесь наступления того дня, когда IPv4 больше не актуален.

Теперь для низкого уровня:

Получите префикс (в идеале от RIR) и объявите его, я бы порекомендовал OSPFv3 для вашего IGP, если вы не используете большую плоскую сеть, которая, по вашему мнению, лучше подходит для IS-IS. Если у вас есть устаревшее оборудование, поддерживающее только IPv4, рассмотрите возможность обойти это, используя 6in4 или GRE-туннели через оборудование.

Иметь план управления адресами, пространство IPv6 не является ценным, если у вас есть / 32, и вы думаете, что клиенты захотят что-то большее, чем / 64, проложите достаточно места для вашего оборудования; если один маршрутизатор или пара маршрутизаторов обслуживают 100 клиентов и каждый получает / 56, ваш IGP не должен содержать каждый / 56 - выделить / 48 для этого маршрутизатора (пары), и все готово. Пространство IPv6 настолько велико, что фрагментация подсети никогда не понадобится, если вы все делаете правильно.

Убедитесь, что все службы, которые вы запускаете, имеют двойной стек, будь то DNS, электронная почта и т. Д. - в большинстве случаев это так же просто, как убедиться, что служба настроена на прослушивание v6, а ваш DNS имеет запись AAAA. Если вы предоставляете услуги хостинга, серверы и т. Д., Проактивно информируйте людей о том, что они могут создавать свои предложения с двумя стеками.

Начните знакомство с технологиями, которые предотвратят бедствие, когда у вас нет пространства IPv4 и вы больше не можете его использовать - держите руку на пульсе таких вещей, как NAT64 и 464XLAT, чтобы, когда придет время, вы могли определить жизнеспособность Только хосты IPv6 против использования пространства RFC6598 и NAT44 (4). Настройте лабораторию, экспериментируйте.

Затем? Подождите, пока не поощрять завершение IPv4.

Olipro
источник
Поскольку вы упомянули «есть план для управления адресами», я включил ссылку на вопрос «Рекомендации по разметке адресного пространства IPv6» на networkengineering.stackexchange.com/questions/119/… .
generalnetworkerror
0

Хотя адреса IPv4 больше не выдаются, как конфеты, это не значит, что в ближайшем будущем полностью и бесполезно полностью избавляться от IPv4.

Включение ipv6 - хороший первый шаг. Https://networkengineering.stackexchange.com/a/261/20201 хорошо справляется с этой задачей. Это позволяет вам взаимодействовать только с устройствами v6 в Интернете, снижает нагрузку на NAT и, следовательно, уменьшает количество внешних IP-адресов / портов, необходимых для обслуживания этих NAT. С такими крупными сервисами, как Google и Facebook, поддерживающими IPv6, значительная часть интернет-трафика, скорее всего, переместится (я видел цифры до 70%).

Следующий вопрос, который вам нужно задать себе, заключается в том, достаточно ли велика ваша организация, чтобы рискнуть исчерпать частный IPv4. Для подавляющего большинства организаций ответ будет отрицательным.

Предполагая, что ответ «нет», я не вижу особых причин для удаления частного IPv4 из существующих развертываний в ближайшем будущем. Избавление от частного IPv4 может немного упростить администрирование в долгосрочной перспективе, но в краткосрочной перспективе это принесет много дополнительных поломок за небольшую выгоду.

Если у вас заканчивается общедоступная версия 4, следующим шагом будет проверка использования вашей общедоступной версии 4. Ищите потраченные впустую публичные адреса v4, которые могут быть освобождены путем изменения подсетей. Ищите системы, которые могут мигрировать с публичного ipv4 на ipv6 или приватный ipv4. Рассмотрим схемы, такие как балансировщики нагрузки и DNAT, которые могут применять небольшой пул общедоступных адресов V4 именно там, где они необходимы, и в некоторых случаях совместно использовать общедоступный адрес v4 среди нескольких служб.

Рассмотрите возможность развертывания шлюза NAT64 / DNS64, чтобы новые системы могли работать только в версии v6 и при этом иметь доступ к ресурсам в Интернете ipv4.

Питер Грин
источник