Migração de estratégias IPv4 para IPv6

10

Como todos sabem, estamos sem endereços IPv4 e em breve (se ainda não o fizermos), seguiremos para o IPv6. Quais são algumas boas estratégias e práticas para migrar uma rede IPv4 completa para o IPv6?

Lucas Kauffman
fonte
2
Tente postar perguntas que sejam respondidas. Obrigado!
quer
Eu acho que é bastante responsável, é uma pergunta genérica sobre o que levar em consideração ao migrar. Embora talvez um pouco largo, não custa obter algumas noções básicas como resposta que podem ajudar como referência quando alguém entra nessa situação.
Lucas Kauffman
Estou com David neste caso ... qualquer resposta terá que ser muito geral. Ainda não votei para fechar, estou esperando algumas horas para ver se alguém tenta responder a isso. Eu realmente boa resposta geral, me convenceria a não votar para fechar.
Craig Constantine
Tudo bem, vou excluí-lo se não houver respostas dentro de 12 horas.
Lucas Kauffman
4
@LucasKauffman, se você reformulasse a pergunta para incluir algumas de suas próprias pesquisas sobre o tópico e a dividisse em itens de marcador específicos nos quais está interessado, seria uma pergunta muito melhor - e responsável.
smithiano

Respostas:

22

Eu não tenho uma estratégia completa, mas aqui está a maneira difícil de fazê-lo em $ JOB [-1]:

  1. Obtenha um bloco IPv6, da sua operadora existente ou de um RIR
  2. Você também pode marcar um bloco fc00 :: / 7 (local exclusivo) para sub-redes totalmente internas, se você tiver um bloco ISP e precisar renumerar
  3. Decida no seu IGP v6, IS-IS ainda é uma opção mais segura do que OSPFv3, mas muito kit não fará IS-IS
  4. Exiba a v6 em seu kit principal, da borda da Internet até os comutadores principais DC
  5. Exiba o trânsito da v6, se você precisar acessar um túnel de BGP do he.net, aguarde os ISPs bloqueados na última década (lembre-se de ativar a v6 na sua malha de iBGP, se você tiver um)
  6. Crie serviços de infraestrutura v6, principalmente DNS, v4 acessível aqui
  7. Ative a v6 em uma única rede de servidor (você provavelmente teria um firewall de negação padrão aqui)
  8. Teste a conectividade v6 com o mundo, isso vai quebrar as coisas?
  9. Aumente a v6 em uma segunda rede de servidor para redundância
  10. Abra um servidor DHCPv6 se você quiser usá-lo
  11. Crie a v6 em uma rede de acesso único (a equipe de TI é uma boa escolha aqui)
  12. Teste. Garanta que nada quebre
  13. Exiba a v6 nas redes de servidores restantes
  14. Adicione um nome v6 para seus domínios e uma entrada DNS v6 para um MX (um ou todos, exceto um, são boas opções para o que colocar em pilha dupla)

Agora, ao abrir novos serviços ou atualizá-los, você pode testar se eles funcionam na v6 e adicionar os registros DNS apropriados (quase todos os serviços da web "funcionarão"); eventualmente, você poderá começar a procurar os serviços restantes na v4 e corrigi-los. , mas não há pressa para isso.

LapTop006
fonte
3
Ótima lista, embora o RA-guard deva ser adicionado a ela. Sinceramente, acho que é fundamental implementar.
pauska
2
Apenas curioso, mas no número 2, que problemas existem com o OSPFv3? Eu não tinha visto nada sobre isso?
23813 Justin Reagan
Atualmente, estou usando o OSPFv3 para meu IGP corporativo v6. Eu não tive nenhum problema. É sem dúvida uma configuração OSPF bastante simples, porém ... então talvez os problemas sejam com áreas de stub, ASBRs ou NSSA. Eu também estaria interessado em saber seus motivos por trás do uso do IS-IS sobre OSPFv3 para v6.
bigmstone
Justin - Simplesmente por ser o mais novo dos dois, o IS-IS tem vários anos de vantagem no uso da produção.
LapTop006
pauska - Concordo com o guarda RA, geralmente não faço o lado de acesso do usuário final das redes.
LapTop006
6

Eu acho que é importante separar dois objetivos diferentes aqui:

  • Lidando com a ativação do IPv6. Os principais problemas com esse objetivo geralmente têm a ver com equipamentos em sua rede que não oferecem suporte ao IPv6 e você precisa usar algum tipo de solução de encapsulamento / transporte para ignorar esses elementos. 6rd e 6PE são muito populares.
  • Por outro lado, existem estratégias para enfrentar o esgotamento de endereços IPv4. A única maneira de resolver esse problema é implementar algum tipo de NAT (NAT de classe de operadora, DSLite, NAT64 ...)

Algumas tecnologias resolvem o primeiro problema, algumas resolvem o segundo e outras resolvem os dois.

Tudo está evoluindo muito rapidamente e você deve estar atento a novas soluções. Por exemplo. Uma solução que está chamando muita atenção ultimamente é o MAP-E e o MAP-T, que atualmente estão em status de rascunho (o MAP-E está quase se tornando RFC) e permite implementar o IPv6 e resolver o esgotamento de endereços IPv4 de uma maneira muito inteligente. caminho. Você pode obter mais informações em http://tools.ietf.org/html/draft-ietf-softwire-map-06

Para obter informações mais detalhadas, eu precisaria conhecer o contexto e os requisitos. Quero dizer, as soluções dependem do tipo de rede (um provedor de serviços é muito diferente de um provedor de conteúdo ou de uma rede de pequenas empresas) e do objetivo que você está tentando alcançar.

Atenciosamente,

Diego Nuevo

Diego Nuevo
fonte
6

Migração de IPv6 em alto nível?

  1. Habilite o IPv6 em toda a rede, até que os recursos e a conectividade do IPv6 estejam no mesmo nível do IPv4.
  2. Aguarde o dia em que o IPv4 não seja mais relevante.

Agora, para o nível baixo:

Obtenha um prefixo (idealmente de um RIR) e o anuncie, eu recomendaria o OSPFv3 para o seu IGP, a menos que você esteja executando uma grande rede plana que você acha que o IS-IS é mais adequado. Se você possui um equipamento herdado que é apenas IPv4, considere contorná-lo executando túneis 6in4 ou GRE em todo o equipamento.

Tenha um plano para gerenciamento de endereços, o espaço IPv6 não é precioso, se você tiver um / 32 e achar que os clientes desejam algo maior que um / 64, direcione espaço suficiente para o seu equipamento; se um único roteador ou par de roteadores atende a 100 clientes e cada um recebe um / 56, seu IGP não deve conter cada / 56 - aloque um / 48 para esse roteador (par) e pronto. O espaço IPv6 é tão grande que a fragmentação de sub-rede nunca deve ser necessária se você estiver fazendo o certo.

Certifique-se de que todos os serviços que você executa sejam de pilha dupla, seja DNS, email, o que for - na maioria dos casos, é tão simples quanto garantir que o serviço esteja configurado para escutar na v6 e seu DNS tenha um registro AAAA. Se você fornecer serviços de hospedagem, servidores etc., seja proativo em informar as pessoas que elas podem empilhar duas ofertas.

Comece a se familiarizar com as tecnologias que impedirão o desastre quando você não tiver espaço IPv4 e também não o conseguirá - mantenha um dedo no pulso de coisas como NAT64 e 464XLAT para que, quando chegar a hora, você possa determinar a viabilidade de ter Somente hosts IPv6 vs. usando espaço RFC6598 e NAT44 (4). Instale um laboratório, experimente.

Então? Aguarde Encorajar o encerramento do IPv4.

Olipro
fonte
Como você mencionou "tem um plano para gerenciamento de endereços", incluo um link para a pergunta "Melhores práticas de layout de espaço de endereço IPv6" em networkengineering.stackexchange.com/questions/119/… .
generalnetworkerror
0

Embora os endereços IPv4 não sejam mais distribuídos como doces, isso não significa que não é prático ou prático livrar-se completamente do IPv4 em um futuro próximo.

A ativação do ipv6 é um bom primeiro passo: https://networkengineering.stackexchange.com/a/261/20201 faz um bom trabalho para cobrir isso. Isso permite que você interaja apenas com os dispositivos v6 na Internet, reduz a carga nos seus NATs e, portanto, reduz o número de IPs / portas externas necessárias para atender esses NATs. Com grandes serviços como o Google e o Facebook com suporte para IPv6, é provável que uma proporção significativa do tráfego da Internet seja transferida (vi números tão altos quanto 70%).

A próxima pergunta que você deve fazer é se sua organização é grande o suficiente para correr o risco de ficar sem o IPv4 privado . Para a grande maioria das organizações, a resposta será não.

Supondo que a resposta seja não, vejo poucas razões para remover o IPv4 privado das implantações existentes em um futuro próximo. Livrar-se do IPv4 privado pode simplificar um pouco a administração a longo prazo, mas, a curto prazo, trará muita quebra extra para pouco ganho.

Se você estiver ficando sem a v4 pública, a próxima etapa seria auditar seu uso da v4 pública. Procure endereços v4 públicos desperdiçados que possam ser liberados alterando a sub-rede. Procure sistemas que possam migrar do ipv4 público para o ipv6 ou do ipv4 privado. Considere esquemas como balanceadores de carga e DNAT, que podem aplicar um pequeno pool de endereços V4 públicos exatamente onde são necessários e, em alguns casos, compartilhar um endereço v4 público entre vários serviços.

Considere a possibilidade de implantar um gateway NAT64 / DNS64 para que novos sistemas possam ser feitos apenas na versão 6 e ainda tenham acesso a recursos na Internet ipv4.

Peter Green
fonte