政企或组织网络中启用IPv6的十二个步骤

时间 : 2018-12-17 编辑 : DNS智能解析专家 分享 : 

网络在IPv6部署项目中将面临的必要步骤的快速指南:


1、接受培训

IPv6与IPv4不同,不仅仅是因为地址长度不同。它需要不同的计划,可能需要设备升级。因此,在您开始部署之前,您和您的团队需要快速掌握它。

在线和面对面的理论和实践培训,来自具有部署IPv6经验、行业标准、良好实践和政策的培训师,这是一项小额投资可以节省部署成本。


2、规划如何部署

一旦您的团队对IPv6有了充分的了解,就该开始考虑规划部署了。

每个项目都应首先审核基础架构当前和未来的计划变更,包括客户端设备、操作系统、应用程序、网络服务、服务器、安全设备、当然还有支持网络本身的所有设备(交换机、路由器) 、无线等等。

项目团队还必须审核和研究项目必须支持的组织系统以及潜在的瓶颈。

这将有助于:计划每个步骤需要时长; 由谁执行必要的测试以确认其按预期工作,并且让其没有对网络的其余部分,内部或外部用户产生不利影响; 了解谁可以仅IPv4、仅IPv6或双栈网络连接。

在测试方面,必须从互联网上的各个点进行测试,以确认您的网络不仅可以从其直接环境或地区访问。确保进行这些检查并且设置正确的全局可见性。

通常,该项目将强制重新考虑当前网络设计的许多方面,在所有情况下都没有必要进行更改,这取决于每个网络。但是,部署IPv6可以确保网络及其应用和服务符合未来的发展,例如物联网(IoT)。


3、控制DNS

适当部署IPv6的最重要方面之一是控制权威DNS区域。

向IPv6的过渡基于以下事实:如果操作系统或应用程序必须使用IPv4或IPv6,则可以正确选择。这意味着对整个网络大量使用DNS,这在仅使用IPv4时并不常见。

如果我们无法控制DNS,或依赖第三方进行更改,则部署和测试可能会变得非常复杂,从而可能产生大量且不必要的延迟和困难。


4、考虑使用BGP

许多运行IPv4的当前政府和组织网络不会与其Internet提供商一起部署BGP。相反,它们严格依赖于网络地址转换(NAT)或其他翻译机制,其中的问题已得到充分记录

在IPv6的情况下,不需要NAT,因此使用BGP不仅是一种好的做法,而且如果您希望采用独立于提供商的寻址以避免在更改提供商时重新编号,则必不可少。

想象一下,除了整个网络基础设施、防火墙规则、服务器配置和另外5,000个VoIP电话之外,还有5000名官员,每个人都有自己的计算机。想象一下这个经济成本,和对人力资源的影响以及公民在与另一家ISP谈判达成更好协议时每四年进行一次变更的“断开”时间。即使我们只讨论500或1,000个用户设备,也不要低估其影响。


5、制定解决计划

在许多情况下,现有的IPv4地址计划可以用作IPv6的参考。然而,这个建议是从头开始,因为毫无疑问,这些年来将会发布IPv4“补丁”。

此外,IPv4地址计划很可能基于私有地址,甚至可能在网络的不同部分重复。同样,IPv6是展望未来的机会。

我们可以说IPv6拥有几乎无限的地址空间,但你必须要精选使用,不要在方便的地方浪费地址。在许多情况下,建议使用“bits”来帮助识别网络/ VLAN、服务、地理或其中几个方面。然而,谨慎对待这些建议, 每个网络案例都是非常不同的,因为以一种绝对荒谬和不必要的方式消耗“bits”,通常会导致地址的浪费。


6、获取Internet号码资源(ASN,IPv4和IPv6地址)

如果您想避免重新编号并且能够拥有自己的BGP地址,除了IPv4和IPv6寻址空间之外,还必须从RIR获取ASN。

在IPv4的情况下,如果需要充分合理,则可以获得最多a / 22,即1,024个地址。只有在您的组织首次请求地址时,IPv4地址才会保留在相应的RIR中才能执行此操作。或者,IP代理可以帮助获取更多IPv4地址。

对于IPv6,如果您的组织仅将地址用于其自己的网络而不是第三方,则它可以为网络的每个“站点”提供至少1/48的资格。这允许在每个站点内寻址多达65,536个子网(/ 64)。

如果它是一个更大的网络,可能需要将地址分配给第三方,甚至是政府网络中的其他机构,那么它将有资格获得至少1/32(允许65,536个站点,每个站点都有拥有/ 48)。大型政府网络通常需要较短的前缀,例如/ 25或/ 26。


7、使用IPAM工具

许多组织历来使用文本文档,电子表格甚至笔记本来创建其地址计划。由于IPv6地址空间比IPv4大很多,因此更容易使用特定的IP地址管理工具,简称IP地址管理工具或IPAM - 可以是开源,商业解决方案甚至设备。

这些解决方案通常允许与DNS协调,甚至与DHCPv4和DHCPv6协调。


8、了解地址的分配和审核

部署IPv6时最重要的一个方面是了解地址分配的不同机制之间的差异,例如使用SLAAC自动配置、DHCPv6或两者的组合,甚至在每个接口上使用多个地址。还有必要了解哪些设备或操作系统可以使用哪种设备或操作系统以及在什么情况下使用。

在需要不断“审核”正在访问某些应用程序或服务的设备和用户的网络中,这是政府网络或金融实体中的常规做法,这些方面具有特殊的相关性,并且代表了IPv4非常重要的变化,对应用程序,数据库和网络安全机制产生影响。


9、确保IPv6支持

在审核服务器,客户端设备和操作系统等网络设备时,不要取决于上面标识的“支持IPv6”字样。

“IPv6支持”没有明确的定义; 它完全取决于设备或操作系统的使用环境。也就是说,它必须根据其在网络的每个特定点的位置和功能来遵守哪些RFC。

请咨询您的供应商,以确保您拥有的产品和您计划购买的产品符合要求。


10、测试应用程序和服务

毫无疑问,这是部署IPv6最复杂的方面。我们可以找到使用文字地址的应用程序,使用没有IPv6支持的旧库的应用程序,在数据库中存储32位字段的应用程序,以及无穷无尽的其他问题列表。

当我们使用IPv4(双栈)部署IPv6时,所有这些应用程序都可以继续工作,但是当从网络中删除IPv4时,这些应用程序将无法工作。在网络中维护双栈时,出于安全性或审计目的而依赖IPv4的应用程序在用户使用IPv6访问时将无法正常工作。同样,当外部用户只能访问IPv6时,许多应用程序都会受到影响。


11、采取长期方法选择过渡机制

不应认为部署IPv6完全取决于与IPv4的共存。虽然通常合乎逻辑的步骤是两个协议目前共存,但不久的将来网络将仅限于IPv6。

这意味着整个部署项目必须考虑这两种情况,并解决两种情况下出现的问题,前述对应用程序的特殊影响,因为其中一些源代码不能修改(制造商不再存在,没有访问权限),或更改非常昂贵等等。在某些情况下,采用最初允许共存的转换机制,最后采用“仅IPv6”网络。


12、检查与运营商的合同以及与其他组织的联系

通常,特别是在大型网络中,我们有几个互联网提供商通常不会相互协作。还有其他不同的语音或其他电信服务提供商。

部署IPv6将需要重新协商这些合同,包括数据、语音和其他服务,因此它们不仅具有IPv6支持(最初采用双栈模式,将来可能仅支持IPv6),还需要BGP支持。仅在所有服务的单个公共提供者的情况下,不需要BGP,尽管使用不同提供者的多个路径仍然是方便和良好的做法,并且通过您自己的ASN宣布您自己的寻址空间。


一旦我们考虑了以上这12个步骤,我们才能开始部署。根据网络规模,最复杂的方面可能需要几个月甚至几年,例如所有应用程序的分析和调整。

重要的是要记住,除了本指南中指出的那些方面外,还有许多其他方面。例如,有必要准备一份采购指南,以便将来的收购和合同在每种情况下都能满足有关软件开发人员(内部或外部合作者)的IPv6支持和培训的适当要求。此外,值得制定路线图以最大限度地利用IPv6部署; 假设网络将来会有物联网服务是合乎逻辑的; 所有这些方面以及其他许多方面无疑将为您提供与您当前的IPv4网络截然不同的愿景,因此对于具有IPv6政府和企业网络经验的人员进行培训和咨询的重要性,因为本指南仅是一个起点。