IPv6展開：ネットワーク管理者のチェックリスト

IPv6の展開は、単にプロトコルを有効にすることではありません。スケールするアドレッシングスキームの計画、IPv4ルールと一致するセキュリティポリシーの設定、ユーザーが気づく前に問題をキャッチする監視の確保が必要です。

このチェックリストは、実際の展開に基づいて、実際に行う必要があることをカバーしています。ステップをスキップするのは自己責任です。

開始する前に#

インベントリを取る#

ネットワーク接続を必要とするすべてのデバイス、アプリケーション、サービスをリストします。すべてがIPv6をサポートしていると仮定しないでください。テストしてください。レガシープリンターやSCADAシステムは、予想しなかったブロッカーかもしれません。

ベンダーサポートを確認してください。OSサポートは現在ほぼ普遍的ですが、独自のソフトウェアや組み込みシステムは遅れている可能性があります。コミットする前に、何が機能し、何が機能しないかを知っておいてください。

割り当てを取得#

ISPまたは地域インターネットレジストリからIPv6スペースをリクエストします。ほとんどのISPは、ビジネス顧客に少なくとも/48を提供し、65,536個の/64サブネットを提供します。マルチホームまたはデータセンターを運営している場合は、独自のプロバイダー独立（PI）割り当てを取得してください。

単一サブネットショップでない限り、/64で妥協しないでください。成長する余地が必要です。

アドレッシングスキームを設計#

何かを割り当てる前にアドレッシングを計画してください。/48は16ビットのサブネットフィールドを提供します。賢く使用してください。場所、機能、またはセキュリティゾーンでサブネットをグループ化します。

スキーム例：

2001:db8::/48          あなたの割り当て
2001:db8:0001::/64     本社オフィスネットワーク
2001:db8:0002::/64     本社サーバーVLAN
2001:db8:0100::/64     ブランチオフィス1
2001:db8:0200::/64     ブランチオフィス2
2001:db8:1000::/64     DMZ Webサーバー

将来の使用のために範囲を予約してください。ギャップを残してください。余分なスペースがあることを後悔することはありません。

チームをトレーニング#

IPv6は見た目が異なります。16進表記、アドレス省略ルール、アドレスの膨大なサイズは、人々をつまずかせます。トレーニングセッションを実行します。展開日の前に、全員が基本を理解していることを確認してください。

ICMPv6をカバーしてください。IPv4のICMPのようにオプションではありません。それをブロックすると、近隣探索とパスMTU検出が壊れます。

アドレス計画#

完全な/64サブネットを使用#

エンドユーザーネットワークには常に/64を割り当てます。SLAACにはそれが必要であり、LAN上で/127または/126を使用しようとすると、運用上の頭痛の種が発生します。アドレス空間は膨大です。使用してください。

ポイントツーポイントリンクの場合、/127は問題なく推奨されます（RFC 6164）。ピンポン攻撃を防ぎ、保存する必要のない無視できる量のスペースを節約します。

すべてを文書化#

1日目から文書化を開始します。割り当て、サブネット割り当て、およびそれらの背後にあるロジックを記録します。将来のあなた、またはあなたの後任はこれが必要になります。

IPAMツールを使用してください。スプレッドシートは小規模ネットワークでは機能しますが、NetBoxやphpIPAMなどの専用ツールはよりスケールし、エラーを減らします。

成長のためのスペースを予約#

論理グループ間に計画なしでサブネットを順次割り当てないでください。余地を残してください。オフィスネットワークが2001:db8:100::/64の場合、次のオフィスを:101::/64に置かないでください。:200::/64を使用し、256サブネットの呼吸室を確保してください。

サーバーアドレスをランダム化#

サーバーを順次番号付けしないでください（::1、::2、::3）。/64内でランダムまたは意味的に意味のあるアドレスを使用します。順次アドレッシングはスキャンを容易にし、ネットワークサイズを公開します。

ランダムアドレスを生成するか、EUI-64を使用しますが、サーバーでプライバシー拡張を無効にします。DNSには安定したアドレスが必要です。

DNSベストプラクティス#

すべてにAAAAレコードを追加#

IPv6接続を持つすべてのサービスにAAAAレコードが必要です。IPv6を有効にしてもDNSをスキップして半分展開しないでください。クライアントは最初にIPv6を試み、失敗し、接続遅延を引き起こします。

デュアルスタックサービスの場合、AとAAAAの両方を公開します。Happy Eyeballs（RFC 6555）にフェイルオーバーを処理させます。

逆引きDNSを設定#

ip6.arpにPTRレコードを設定します。逆引きDNSはメールサーバーだけではありません。ロギング、セキュリティツール、トラブルシューティングに使用されます。PTRレコードがないと、ずさんに見え、スパムフィルターをトリガーする可能性があります。

逆引きゾーンを適切に委任します。RIRまたはISPが委任を処理する場合は、レコードを送信します。制御している場合は、更新を自動化します。

デュアルスタックリゾルバーを確保#

DNSリゾルバーはIPv4とIPv6の両方でクエリに応答する必要があります。ネットワークがまだ完全にデュアルスタックでなくても、IPv6トランスポートを設定します。クライアントは、DNSにIPv6トランスポートを優先することが増えています。

IPv6のみのクライアントからdigまたはnslookupでテストします。機能すると仮定しないでください。

IPv6のみのクライアントでテスト#

IPv6のみでテストVMまたはコンテナをスピンアップします。IPv4アドレスはありません。サービスへのアクセスを試みます。見逃したギャップが見つかります：ハードコーディングされたIPv4アドレス、壊れたAAAAレコード、またはデュアルスタックを正しく処理しないアプリケーション。

ルーティングの考慮事項#

すべてのルーターでIPv6を有効化#

IPv6ルーティングをグローバルに有効にします。セグメントがまだIPv6を使用していなくても、準備ができていることで、後で急いで設定する必要がなくなります。

すべてのインターフェイスでリンクローカルアドレスを設定します。ルーティングプロトコルに必要であり、グローバルアドレッシングは必要ありません。

内部ルーティングプロトコルを選択#

OSPFv3とIS-ISの両方がIPv6をサポートします。IPv4にOSPFv2を実行している場合、OSPFv3は自然な選択です。IS-ISは単一のプロトコルインスタンスで両方のアドレスファミリを処理し、ゼロから始める場合は物事を簡素化します。

RIPngを実行しないでください。廃止されており、制限されています。

外部接続用にBGPを設定#

マルチホームの場合、IPv4と同じようにIPv6用にBGPを実行します。MP-BGP（マルチプロトコルBGP）を使用して、1つのセッションで両方のアドレスファミリを伝送するか、別々のセッションを実行します。どちらも機能します。

すべてのアップストリームからプレフィックスをアナウンスします。リークを防ぐためにルートフィルターを設定します。

ボゴンプレフィックスをフィルター#

エッジで予約およびボゴンプレフィックスをブロックします。ボゴンリストはIPv4よりも小さいですが、依然として必要です。フィルター：

• ::/8（::/128および::1/128を除く）
• 0100::/64（破棄プレフィックス）
• 2001:db8::/32（ドキュメンテーション）
• fc00::/7（ULA—インターネットエッジでブロック）
• fe80::/10（リンクローカル）
• ff00::/8（マルチキャスト、コンテキスト依存）

Team Cymruは更新されたボゴンリストを公開しています。使用してください。

セキュリティベストプラクティス#

ファイアウォールルールをIPv4ポリシーに一致#

IPv6ファイアウォールポリシーはIPv4をミラーリングする必要があります。IPv4で特定のサービスを除いて着信トラフィックをブロックする場合、IPv6でも同じことを行います。「新しい」ためにIPv6を開いたままにしないでください。

慎重に監査してください。多くのファイアウォールは、最初に有効にされたときにIPv6に対してデフォルトで許可-すべてになります。

必須ICMPv6を許可#

ICMPv6はオプションではありません。許可する必要があります：

• タイプ1（宛先到達不能）
• タイプ2（パケットが大きすぎる） — ブロックするとPMTUDが壊れる
• タイプ3（時間超過）
• タイプ4（パラメーター問題）
• タイプ128/129（エコー要求/応答） — オプションですが有用
• タイプ133-137（近隣探索） — ローカルセグメントのみ

ICMPv6をブロックすると、物事が壊れます。しないでください。

スイッチでRAガードを有効化#

不正なルーターアドバタイズメントは簡単な攻撃ベクトルです。アクセススイッチでRAガードを有効にして、信頼されていないポートからのRAをブロックします。ルーターポートからのRAのみを許可します。

ほとんどのエンタープライズスイッチはこれをサポートしています。インシデントの後ではなく、展開中に設定してください。

不正なRAを監視#

RAガードを使用していても、予期しないRAを監視します。NDPmonやRAmondなどのツールは、不正なアドバタイズメントを検出します。それらをログに記録し、調査します。

不正なRAは、トラフィックをリダイレクトし、停止を引き起こし、または中間者攻撃を可能にする可能性があります。

監視とロギング#

監視ツールをIPv6用に更新#

SNMP、NetFlow、syslog—すべてIPv6サポートが必要です。IPv6トラフィックをキャプチャするようにコレクターを更新します。IPv6トランスポートを介してログを送信するようにネットワークデバイスを設定します。

グラフ、アラート、ダッシュボードがIPv6メトリックを表示することをテストします。多くのツールはそれをサポートしていますが、デフォルトで有効にしていません。

IPv6送信元アドレスをログに記録#

Webサーバー、アプリケーションログ、セキュリティツールが完全なIPv6アドレスをキャプチャすることを確認します。切り捨てられたまたは欠落しているアドレスはフォレンジックを無効にします。

ログ形式を確認してください。一部のアプリケーションは、IPv6アドレスを誤ってログに記録するか、まったくログに記録しません。

IPv6トラフィックを別々に追跡#

IPv6トラフィックボリュームと割合を監視します。時間の経過とともに採用を追跡します。IPv6トラフィック比率を知ることは、容量を計画し、問題を特定するのに役立ちます。

急激な低下にアラートを設定します。通常、何かが壊れたことを意味します。

IPv6固有の問題についてアラート#

次のアラートを作成：

• ルーティングプロトコル隣接障害
• 到達不能なIPv6ゲートウェイ
• 高いICMPv6エラー率
• IPv6トラフィックドロップまたはブラックホーリング

ユーザーが問題を報告するのを待たないでください。

展開チェックリスト#

展開の進捗を追跡するためにこのチェックリストを使用：

• ネットワークインベントリの完了（デバイス、アプリ、サービス）
• すべての重要なシステムのベンダーIPv6サポートを確認
• ISPまたはRIRからIPv6割り当てを取得
• アドレッシングスキームを設計および文書化
• チームにIPv6の基本とトラブルシューティングをトレーニング
• アドレス管理用のIPAMツールを設定
• コアルーターとスイッチでIPv6を設定
• 内部ルーティング用にOSPFv3/IS-ISを有効化
• 外部接続用にBGPを設定（該当する場合）
• エッジでボゴンプレフィックスフィルターを実装
• すべてのサービスのAAAAレコードを作成
• 逆引きDNS（ip6.arpa）を設定
• DNSリゾルバーでIPv6トランスポートを有効化
• IPv6のみのクライアントからの解決をテスト
• IPv4ポリシーに一致するファイアウォールルールを展開
• 必須ICMPv6タイプを許可
• アクセススイッチでRAガードを有効化
• 不正なRA監視を展開
• 監視ツールをIPv6サポート用に更新
• すべてのシステムでIPv6ロギングを設定
• IPv6トラフィックダッシュボードを作成
• IPv6固有のアラートを設定
• IPv6のみのテストクライアントから接続をテスト
• 展開と学んだ教訓を文書化

計画的に展開してください。徹底的にテストしてください。すべてを文書化してください。IPv6は難しくありません。異なるだけです。

関連記事#

• IPv6セキュリティ：脅威、軽減策、ベストプラクティス - IPv6展開が安全でベストプラクティスに従っていることを確認します。
• IPv6移行：デュアルスタック、トンネリング、NAT64 - 成功するIPv6移行を計画および実行する方法を学びます。