Migration des stratégies IPv4 vers IPv6

Comme tout le monde sait que nous n'avons plus d'adresses IPv4 et bientôt (si ce n'est déjà fait), nous passerons à IPv6. Quelles sont les bonnes stratégies et pratiques pour migrer un réseau IPv4 complet vers IPv6?

Je n'ai pas de stratégie complète, mais voici comment je l'ai fait à $ JOB [-1]:

1. Obtenez un bloc IPv6, soit auprès de votre opérateur actuel, soit un RIR
2. Vous pouvez également vouloir marquer un bloc fc00 :: / 7 (Local unique) pour des sous-réseaux entièrement internes si vous avez un bloc ISP et que vous devrez peut-être à nouveau renuméroter
3. Décidez de votre v6 IGP, IS-IS est toujours une option plus sûre que OSPFv3, mais beaucoup de kits ne feront pas IS-IS
4. Affichez la v6 sur votre kit principal, de la périphérie Internet aux commutateurs principaux DC
5. Affichez le transit v6, si vous devez utiliser un tunnel BGP de he.net, cela peut fonctionner en attendant que les FAI soient bloqués au cours de la dernière décennie (n'oubliez pas d'activer la v6 sur votre maillage iBGP si vous en avez un)
6. Créer des services d'infrastructure v6, principalement DNS, v4 accessible est bien ici
7. Activez la v6 sur un seul réseau de serveur (vous auriez probablement un pare-feu de refus par défaut ici)
8. Testez la connectivité v6 au monde, cela cassera-t-il les choses?
9. Montez v6 sur un deuxième réseau de serveur pour la redondance
10. Ouvrez un serveur DHCPv6 si vous souhaitez l'utiliser
11. Affichez la v6 sur un réseau à accès unique (le personnel informatique est un bon choix ici)
12. Tester. Assurez-vous que rien ne casse
13. Afficher la v6 sur les réseaux de serveurs restants
14. Ajoutez un nom de répertoire v6 pour vos domaines et une entrée DNS v6 pour un MX (un ou tous sauf un sont de bons choix pour ce qui doit être double pile)

Maintenant, lorsque vous lancez de nouveaux services ou les mettez à niveau, vous pouvez tester s'ils fonctionnent sur la v6 et ajouter les enregistrements DNS appropriés (presque tous les services Web "fonctionneront"), vous pourrez éventuellement commencer à rechercher les services restants sur la v4 et les corriger , mais rien ne presse pour ça.

Je pense qu'il est important de séparer deux objectifs différents ici:

• Gérer l'activation IPv6. Les principaux problèmes liés à cet objectif concernent généralement les équipements de votre réseau qui ne prennent pas en charge IPv6, et vous devez utiliser une sorte de solution de tunneling / transport pour contourner ces éléments. 6rd et 6PE sont très populaires.
• De l'autre côté, il existe des stratégies pour faire face à l'épuisement des adresses IPv4. La seule façon de résoudre ce problème consiste à implémenter une sorte de NAT (NAT de qualité transporteur, DSLite, NAT64 ...)

Certaines technologies résolvent le premier problème, certaines résolvent le second et certaines les résolvent toutes les deux.

Tout évolue très rapidement et il faut faire attention aux nouvelles solutions qui surgissent. Par exemple. MAP-E et MAP-T, qui sont actuellement au stade de brouillon (MAP-E est sur le point de devenir RFC), vous permettent de mettre en œuvre IPv6 et de résoudre l'épuisement des adresses IPv4 de manière très intelligente. façon. Vous pouvez obtenir plus d'informations sur http://tools.ietf.org/html/draft-ietf-softwire-map-06

Pour obtenir des informations plus détaillées, je devrais connaître le contexte et les exigences. Je veux dire, les solutions dépendent du type de réseau (un fournisseur de services est très différent d'un fournisseur de contenu ou d'un réseau de petite entreprise) et de l'objectif que vous essayez d'atteindre.

Sincères amitiés,

Diego Nuevo

Migration IPv6 à un niveau élevé?

1. Activez IPv6 sur tout le réseau, jusqu'à ce que les capacités et la connectivité IPv6 soient comparables à IPv4.
2. Attendez que le jour arrive où IPv4 n'est plus pertinent.

Maintenant pour le bas niveau:

Obtenez un préfixe (idéalement à partir d'un RIR) et faites-le annoncer, je recommanderais OSPFv3 pour votre IGP à moins que vous n'exécutiez un grand réseau plat auquel vous pensez qu'IS-IS est mieux adapté. Si vous avez un équipement hérité qui est uniquement IPv4, envisagez de contourner cela en créant des tunnels 6in4 ou GRE sur l'équipement.

Ayez un plan de gestion des adresses, l'espace IPv6 n'est pas précieux, si vous avez un / 32 et que vous pensez que les clients voudront quelque chose de plus grand qu'un / 64, acheminez suffisamment d'espace jusqu'à votre équipement; si un seul routeur ou paire de routeurs dessert 100 clients et que chacun obtient un / 56, votre IGP ne doit pas contenir chacun / 56 - allouez un / 48 pour ce routeur (paire) et vous avez terminé. L'espace IPv6 est si énorme que la fragmentation des sous-réseaux ne devrait jamais être nécessaire si vous le faites correctement.

Assurez-vous que tous les services que vous exécutez sont à double pile, que ce soit DNS, e-mail, peu importe - dans la majorité des cas, c'est aussi simple que de s'assurer que le service est configuré pour écouter sur v6 et que votre DNS a un enregistrement AAAA. Si vous fournissez des services d'hébergement, des serveurs, etc., soyez proactif en informant les gens qu'ils peuvent cumuler leurs offres.

Commencez à vous familiariser avec les technologies qui éviteront les catastrophes lorsque vous n'avez pas d'espace IPv4 et que vous ne pouvez plus en obtenir non plus - gardez le doigt sur le pouls de choses comme NAT64 et 464XLAT afin que le moment venu, vous puissiez déterminer la viabilité d'avoir IPv6 héberge uniquement contre l'utilisation de l'espace RFC6598 et NAT44 (4). Installer un laboratoire, expérimenter.

Alors? Attendez Encourager la réduction progressive d'IPv4.

Bien que les adresses IPv4 ne soient plus distribuées comme des bonbons, cela ne signifie pas qu'il est nécessaire ou pratique de se débarrasser complètement d'IPv4 dans un avenir proche.

Activer ipv6 est une bonne première étape https://networkengineering.stackexchange.com/a/261/20201 fait un bon travail pour couvrir cela. Cela vous permet d'interagir avec des appareils v6 uniquement sur Internet, cela réduit la charge sur vos NAT et donc le nombre d'IP / ports externes nécessaires pour servir ces NAT. Avec de grands services comme Google et Facebook prenant en charge IPv6, il est probable qu'une proportion importante du trafic Internet se déplace (j'ai vu des chiffres aussi élevés que 70%).

La prochaine question que vous devez vous poser est de savoir si votre organisation est suffisamment grande pour risquer de manquer d' IPv4 privé . Pour la grande majorité des organisations, la réponse sera non.

En supposant que la réponse est non, je vois peu de raisons de supprimer IPv4 privé des déploiements existants dans un proche avenir. Se débarrasser de l'IPv4 privé peut simplifier un peu l'administration à long terme, mais à court terme, cela entraînera beaucoup de ruptures supplémentaires pour un gain faible.

Si vous manquez de public v4, l'étape suivante consiste à auditer votre utilisation publique de v4. Recherchez les adresses v4 publiques gaspillées qui pourraient être libérées en modifiant le sous-réseau. Recherchez les systèmes qui pourraient migrer de l'ipv4 public vers l'ipv6 ou l'ipv4 privé. Envisagez des schémas tels que les équilibreurs de charge et DNAT qui peuvent appliquer un petit pool d'adresses publiques V4 à l'endroit précis où elles sont nécessaires et, dans certains cas, partager une adresse publique v4 entre plusieurs services.

Envisagez de déployer une passerelle NAT64 / DNS64 afin que les nouveaux systèmes puissent être créés uniquement en version 6 et avoir toujours accès aux ressources sur Internet IPv4.