Conseil de migration IPv4 à IPv6
Je travaille actuellement sur l'ajout de capacités IPv6 à notre réseau et j'ai quelques questions sur ce qui est considéré comme une meilleure pratique en 2020 pour convertir certains des concepts IPv4 que nous sommes habitués dans le monde IPv6.
Dans la configuration actuelle que j'ai, nous sommes alloués A/64 de l'ISP, et le routeur annonce ce préfixe pour les clients à se configurer avec SLAAC. Cela semble fonctionner bien et aussi loin que je connais que tout le monde a une accès Internet IPv6.
Cependant, nous aimons pouvoir interroger les choses par nom, et je ne suis pas sûr de la meilleure pratique consistant à prévoir des records AAAA pour les clients.
Ce que j'ai fait est de déployer l'état sottiful DHCPV6 sur l'instance DNSMASQ qui exécute notre DHCPV4 et de lui dire de distribuer des ULAS de certaines gamme qui disposent naturellement des records AAAA pour quiconque demande une adresse. Cela semble également fonctionner bien, mais je sais qu'il y a un peu d'aversion de DHCPV6 sotculeux. Cela aide également à consolider l'affectation des serveurs que nous avons sur les IP statiques exactement comme je le fais pour DHCPv4, ces serveurs pour diverses raisons devraient être accessibles à une adresse IP fixe et que nous voudrions continuer à être le cas pour IPv6.
Le seul autre moyen possible de faire les enregistrements AAAA consiste à envoyer la machine DNSMASQ dans le préfixe du routeur via Unicast, puis utilisez le DNSMASQ pour annoncer le préfixe de la GUA pour SLAAC en utilisant le ra-names option. Cela ne résoudrait pas les affectations d'adresse statique cependant aussi loin que possible et je ne sais pas à quel point cela est fiable. Y a-t-il un meilleur moyen de gérer des enregistrements AAAA internes que ULAS avec DHCPV6 sotculeux?
Enfin, lorsque les choses commencent à travailler, nous envisageons maintenant de migrer nos services publics vers IPv6. Je crois comprendre que cela nécessiterait une GUA fixe pour que les serveurs disposent de disposer des registres AAAA publiques. Je ne sais pas comment y parvenir avec Slaac depuis le routeur de bord, à moins d'une sorte d'équivalent dynamique-DNS. Puis-je utiliser à nouveau DHCPV6 ou une autre méthode d'affectation manuelle pour choisir IPS dans notre préfixe attribué? J'étais hésitant à faire cela parce que je pensais qu'il pourrait entrer en collision avec une adresse SLAAC et je ne sais pas ce qui se passe si Il y a une collision. Alternativement, j'ai la possibilité de demander à l'ISP pour A/48, Devrais-je le faire et annoncer un seul/64 pour les clients locaux pour obtenir la connectivité et différent/64 pour les serveurs statiques? Cela semblait trop excéder Moi, nous ne serons pas déjà proches de remplir le célibataire/64, mais cela pourrait être mon état d'esprit IPv4 me déroutant.
Cela semblait avoir été excitée pour moi, nous ne serons pas déjà proches de remplir le célibataire/64, mais cela pourrait être mon état d'esprit IPv4 me déroutant.
Arrêtez de compter les hôtes, c'est la pensée IPv4. Les sous-réseaux arrivent en une seule taille correspondent à tous, énormes. A/64 peut aborder chaque périphérique IP jamais effectué avec une grande salle à réserver.
Pourtant, l'espace d'adressage est encore plus important de sorte qu'un seul site puisse facilement demander un/48. 64 mille/64s, 4 chiffres hexagonaux, pour donner en fonction de votre plan d'adresse souhaité.
Pour le/48 qu'est-ce que je fais exactement avec ça?.
Tout ce que vous voulez! Être généreux et planifier la croissance. Donnez/64s à chaque sous-réseau, chaque VLAN, SSID WIFI, Zone de sécurité, Cloud et Access à distance VPNS, chaque hôte de conteneur, le "Tout zéros"/64 pour les adresses de service statique de la vanité, etc.
Agrégat dans la mesure du possible, pour éviter la fragmentation. Donc peut-être délégué/60 ou 56 à des réseaux internes tels que votre serveur DHCP, une piscine statique attribuée au manuel, un contrôleur WiFi ou un système d'orchestration de conteneurs. Et des environnements de test pour tout ce qui précède.
Ne doit pas nécessairement être dynamique tel que DHCP-PD, surtout pas si vous avez un préfixe statique de votre fournisseur de services Internet. Mais suivez les choses en quelque sorte, dans un système IPAM.
Ou il y a une résolution gracieuse si elle trouve un conflit?
Les nœuds IPv6 sont censés faire Détection d'adresses en double sur toutes les adresses d'unicast, apatrides, DHCPV6, manuelles ou autres. La norme est de s'arrêter sur des doublons plutôt que de causer des problèmes difficiles à diagnostiquer des problèmes. Les adresses générées au hasard dans A/64 ont une très faible chance de conflits.
Ula
ULA est Non Adresse Internet. N'EST PAS PAS DU GLANDALE DU GLANDALE, la stratégie de sélection des adresses par défaut standard les met à moindre priorité que même IPv4. Voir rfc6724. En tant que tel, vous voudrez des adresses globalement routables (non-ULA) sur les hôtes qui se trouvent sur Internet IPv6.
une sorte d'équivalent dynamique-DNS.
Oui, DNS est nécessaire. Les noms sont plus faciles pour les humains que les IP.
Oui, sachant que la propriété intellectuelle est généralement un choix entre le serveur DHCPV6 ayant l'état et un nœud SLAAC étant configuré avec un client DNS dynamique. Drapeaux de publicité de routeur A et M Dites au client sotculeux ou apatride.
Ad DS== Les hôtes joints sont assez simples, on s'attend à ce qu'ils s'ajoutent à DNS.
Ou peut-être, configurez des interfaces serveur avec des adresses basées sur EUI-64 non aléatoires. Ensuite, vous pouvez calculer l'adresse à l'avance à l'avance en fonction de l'adresse MAC, et mettez cela dans DNS.
Et peut-être que tous les appareils ne doivent pas être dans DNS. Si personnel Android Les appareils sont autorisés sur Internet invité, ils ne font pas DHCPV6. Si non géré par un MDM, vous ne connaîtrez pas leur IPS.
Premièrement: obtenir ça/48. Pour la sécurité et la facilité de gestion ne mettant pas tout dans un seul domaine de diffusion (VLAN), c'est une bonne pratique.
Deuxièmement: Pour les serveurs, configurez simplement les adresses de manière statique. Vous pouvez utiliser SLAAC, DHCPV6 et des adresses statiques sur le même réseau si vous le souhaitez.
Il n'est pas très courant de mettre des adresses IPv6 des postes de travail dans DNS, mais il y a des cas d'utilisation où il peut être utile. Pour une entreprise avec des adresses stables, je recommanderais contre l'utilisation de ULA.
Ce que je ferais dans votre situation consiste à laisser SLAAC activé afin d'obtenir des adresses de confidentialité, etc. Ajouter un serveur DHCPV6 sur le côté qui donne des adresses fixes et les met dans DNS si vous en avez besoin. Définissez également le drapeau M dans les annonces de routeur afin que les clients sachent qu'il existe un serveur DHCPV6 présent.
Et comme IPv6 utilise des adresses globales pour tout, assurez-vous d'avoir une sécurité réseau appropriée comme un pare-feu.
Sinon, j'ai la possibilité de demander à l'ISP pour A/48, dois-je le faire et annoncer un seul/64 pour les clients locaux pour obtenir la connectivité et la différence/64 pour les serveurs statiques?
Demandez absolument votre FAI pour A/48. Vous ne pouvez pas le sous-réseau A/64 sans casser toutes sortes de choses (y compris SLAAC).
Votre idée de mettre des serveurs et des clients locaux sur un réseau différent est également une très bonne idée (même dans IPv4). Bien sûr, parfois, l'infrastructure de réseau ne vous permet pas de le faire (vous avez besoin d'un câblage séparé, ou VLAN Capacité), mais que vous posez la question, je suppose que ce n'est pas un question pour vous.
Séparer votre réseau vous permet de mettre un pare-feu entre eux. Depuis dans IPv6, tout est une adresse IP publique, il est beaucoup plus essentiel que dans IPv4 que vous ajustez soigneusement votre pare-feu; Il est beaucoup trop facile de laisser accidentellement des systèmes directement sur Internet; C'est l'une des principales faiblesses de IPv6. Si vous séparez votre réseau, une telle erreur d'un réseau n'expose pas automatiquement l'autre.
De plus, si vous séparez des réseaux, s'il est logique que vous puissiez mettre en œuvre une approche de confiance zéro sur le réseau côté serveur (ce qui peut réduire le besoin d'un pare-feu), sans avoir à faire la même chose sur le réseau interne.
Ou vous pouvez migrer vos serveurs et conserver les postes de travail sur un réseau IPv4 uniquement; Cela réduit votre charge de travail, prend en charge les appareils plus anciens qui ne prennent pas en charge IPv6 et disposent d'un certain nombre d'autres avantages (bien que certains défenseurs IPv6 se disputent contre cela).
Bottom Line: Tant que votre infrastructure le supporte, séparer définitivement votre réseau, il y a beaucoup de hauts et pas de temps réel.
Quant à votre deuxième question: cela ressemble à vous travailler sur un réseau d'entreprise de taille décent. Je vous recommande vivement de mettre en œuvre une solution IPAM, au lieu d'essayer de rouler le vôtre.
La réponse générale pour votre situation est tout comme vous le suggérez: DHCPV6 standard avec mise à jour automatique d'un serveur DNS. La plupart des solutions IPAM sont fondamentalement ces deux technologies, ainsi qu'un front de gestion.
Edité pour ajouter: juste pour la complétude, bien que ce ne soit probablement pas un bon ajustement pour vous, vous pouvez également utiliser des MDN (Aka Bonjour ou Zeroconf) pour la résolution de noms.
Soutien pour cela est un peu élevé. Apple==== Supporte généralement, Windows 10 prend en charge partiellement, mais vous devez manipuler le registre pour le faire fonctionner pour les applications Windows traditionnelles, et je n'ai pas pu le faire fonctionner du tout sur Android.
Bien sûr, les MDN ne répondraient pas non plus à votre question concernant la mise à jour du serveur DNS externe.