ping6.net
모범 사례

IPv6 배포: 네트워크 관리자를 위한 체크리스트

프로덕션에서 IPv6를 배포하기 위한 실용적인 체크리스트입니다. 주소 계획에서 모니터링까지 이러한 중요한 단계를 놓치지 마세요.

ping6.net2024년 12월 14일6 min read
IPv6배포모범 사례네트워크 관리자체크리스트

IPv6 배포는 단순히 프로토콜을 활성화하는 것이 아닙니다. 확장 가능한 주소 지정 체계를 계획하고, IPv4 규칙과 일치하는 보안 정책을 구성하며, 모니터링이 사용자보다 먼저 문제를 포착하도록 하는 것입니다.

이 체크리스트는 실제 배포를 기반으로 실제로 수행해야 하는 작업을 다룹니다. 단계를 건너뛰는 것은 자신의 위험 부담입니다.

TL;DR - 빠른 요약

핵심 포인트:

  • 프로덕션 배포 전에 철저한 재고 조사 및 테스트 수행
  • 모든 LAN에 /64 서브넷 사용, 계층적 주소 지정 체계 설계
  • IPv4 방화벽 정책을 IPv6에 미러링, 필수 ICMPv6 허용
  • RA Guard를 배포하여 불법 라우터 광고 방지
  • IPv6 메트릭 및 경고를 위한 모니터링 도구 업데이트

바로가기: 재고 조사 | 주소 계획 | DNS 모범 사례 | 보안 모범 사례 | 배포 체크리스트

시작하기 전에#

재고 조사#

네트워크 연결이 필요한 모든 장치, 애플리케이션 및 서비스를 나열합니다. 모든 것이 IPv6를 지원한다고 가정하지 마세요. 테스트하세요. 레거시 프린터 또는 SCADA 시스템이 예상하지 못한 차단 요인일 수 있습니다.

공급업체 지원을 확인하세요. OS 지원은 이제 거의 보편적이지만 독점 소프트웨어 및 임베디드 시스템은 뒤처질 수 있습니다. 커밋하기 전에 무엇이 작동하고 무엇이 작동하지 않는지 알아보세요.

할당 받기#

ISP 또는 지역 인터넷 등록 기관에서 IPv6 공간을 요청합니다. 대부분의 ISP는 비즈니스 고객에게 최소 /48을 제공하여 65,536개의 /64 서브넷을 제공합니다. 멀티홈 또는 데이터 센터를 운영하는 경우 자체 PI(Provider Independent) 할당을 받으세요.

단일 서브넷 상점이 아닌 경우 /64에 안주하지 마세요. 성장할 공간이 필요합니다.

주소 지정 체계 설계#

무엇이든 할당하기 전에 주소 지정을 계획합니다. /48은 16비트 서브넷 필드를 제공합니다. 현명하게 사용하세요. 위치, 기능 또는 보안 영역별로 서브넷을 그룹화합니다.

예시 체계:

2001:db8::/48          할당
2001:db8:0001::/64     본사 사무실 네트워크
2001:db8:0002::/64     본사 서버 VLAN
2001:db8:0100::/64     지점 1
2001:db8:0200::/64     지점 2
2001:db8:1000::/64     DMZ 웹 서버

향후 사용을 위해 범위를 예약합니다. 간격을 남깁니다. 추가 공간이 있는 것을 후회하지 않을 것입니다.

주소 계획#

전체 /64 서브넷 사용#

최종 사용자 네트워크에 항상 /64를 할당합니다. SLAAC에는 필요하며 LAN에서 /127 또는 /126을 사용하려고 하면 운영 문제가 발생합니다. 주소 공간은 거대합니다. 사용하세요.

point-to-point 링크의 경우 /127이 괜찮으며 권장됩니다(RFC 6164). ping-pong 공격을 방지하고 필요하지 않은 무시할 수 있는 양의 공간을 절약합니다.

모든 것을 문서화#

첫날부터 문서를 시작합니다. 할당, 서브넷 할당 및 그 뒤에 있는 논리를 기록합니다. 미래의 당신 또는 교체자는 이것이 필요할 것입니다.

IPAM 도구를 사용하세요. 스프레드시트는 소규모 네트워크에는 작동하지만 NetBox 또는 phpIPAM과 같은 전용 도구는 더 잘 확장되고 오류를 줄입니다.

DNS 모범 사례#

모든 것에 AAAA 레코드 추가#

IPv6 연결이 있는 모든 서비스에는 AAAA 레코드가 필요합니다. IPv6를 활성화하되 DNS를 건너뛰어 절반만 배포하지 마세요. 클라이언트는 IPv6를 먼저 시도하고 실패하여 연결 지연이 발생합니다.

듀얼 스택 서비스의 경우 A 및 AAAA를 모두 게시합니다. Happy Eyeballs(RFC 6555)가 장애 조치를 처리하도록 합니다.

역방향 DNS 구성#

ip6.arpa에서 PTR 레코드를 설정합니다. 역방향 DNS는 메일 서버만을 위한 것이 아닙니다. 로깅, 보안 도구 및 문제 해결에 사용됩니다. PTR 레코드가 누락되면 지저분해 보이고 스팸 필터를 트리거할 수 있습니다.

역방향 영역을 올바르게 위임합니다. RIR 또는 ISP가 위임을 처리하는 경우 레코드를 제출합니다. 제어하는 경우 업데이트를 자동화합니다.

라우팅 고려 사항#

모든 라우터에서 IPv6 활성화#

전역적으로 IPv6 라우팅을 켭니다. 세그먼트가 아직 IPv6를 사용하지 않더라도 준비가 되어 있으면 나중에 서두른 구성을 방지합니다.

모든 인터페이스에서 링크 로컬 주소를 구성합니다. 라우팅 프로토콜에 필요하며 전역 주소 지정이 필요하지 않습니다.

내부 라우팅 프로토콜 선택#

OSPFv3 및 IS-IS는 모두 IPv6를 지원합니다. IPv4용 OSPFv2를 실행하는 경우 OSPFv3가 자연스러운 선택입니다. IS-IS는 단일 프로토콜 인스턴스에서 두 주소 패밀리를 모두 처리하여 처음부터 시작하는 경우 단순화합니다.

RIPng를 실행하지 마세요. 구식이고 제한적입니다.

외부 연결용 BGP 구성#

멀티홈인 경우 IPv4와 마찬가지로 IPv6용 BGP를 실행합니다. MP-BGP(Multiprotocol BGP)를 사용하여 하나의 세션을 통해 두 주소 패밀리를 모두 전달하거나 별도의 세션을 실행합니다. 둘 다 작동합니다.

모든 업스트림에서 접두사를 알립니다. 누출을 방지하기 위해 라우트 필터를 구성합니다.

보안 모범 사례#

방화벽 규칙을 IPv4 정책에 일치#

IPv6 방화벽 정책은 IPv4를 미러링해야 합니다. IPv4에서 특정 서비스를 제외하고 인바운드 트래픽을 차단하는 경우 IPv6에서도 동일하게 수행합니다. "새롭기" 때문에 IPv6를 열어두지 마세요.

신중하게 감사합니다. 많은 방화벽이 처음 활성화될 때 IPv6에 대해 기본적으로 모두 허용합니다.

필수 ICMPv6 허용#

ICMPv6는 선택 사항이 아닙니다. 허용해야 합니다:

  • 유형 1(Destination Unreachable)
  • 유형 2(Packet Too Big) — 차단하면 PMTUD 중단
  • 유형 3(Time Exceeded)
  • 유형 4(Parameter Problem)
  • 유형 128/129(Echo Request/Reply) — 선택 사항이지만 유용함
  • 유형 133-137(Neighbor Discovery) — 로컬 세그먼트에서만

ICMPv6를 차단하면 중단됩니다. 하지 마세요.

스위치에서 RA Guard 활성화#

불량 Router Advertisement는 쉬운 공격 벡터입니다. 액세스 스위치에서 RA Guard를 활성화하여 신뢰할 수 없는 포트의 RA를 차단합니다. 라우터 포트의 RA만 허용합니다.

대부분의 엔터프라이즈 스위치가 이를 지원합니다. 인시던트 후가 아니라 배포 중에 구성하세요.

모니터링 및 로깅#

IPv6용 모니터링 도구 업데이트#

SNMP, NetFlow, syslog — 모두 IPv6 지원이 필요합니다. IPv6 트래픽을 캡처하도록 수집기를 업데이트합니다. IPv6 전송을 통해 로그를 보내도록 네트워크 장치를 구성합니다.

그래프, 알림 및 대시보드가 IPv6 메트릭을 표시하는지 테스트합니다. 많은 도구가 지원하지만 기본적으로 활성화하지 않습니다.

IPv6 소스 주소 로그#

웹 서버, 애플리케이션 로그 및 보안 도구가 전체 IPv6 주소를 캡처하는지 확인합니다. 잘리거나 누락된 주소는 포렌식을 불구로 만듭니다.

로그 형식을 확인합니다. 일부 애플리케이션은 IPv6 주소를 잘못 로그하거나 전혀 로그하지 않습니다.

IPv6 트래픽을 별도로 추적#

IPv6 트래픽 볼륨 및 백분율을 모니터링합니다. 시간 경과에 따른 채택을 추적합니다. IPv6 트래픽 비율을 아는 것은 용량을 계획하고 문제를 식별하는 데 도움이 됩니다.

급격한 감소에 대한 알림을 설정합니다. 일반적으로 무언가가 깨졌음을 의미합니다.

배포 체크리스트#

배포 진행 상황을 추적하려면 이 체크리스트를 사용하세요:

  • 완전한 네트워크 인벤토리(장치, 앱, 서비스)
  • 모든 중요 시스템에 대한 공급업체 IPv6 지원 확인
  • ISP 또는 RIR에서 IPv6 할당 받기
  • 주소 지정 체계 설계 및 문서화
  • IPv6 기본 사항 및 문제 해결에 대한 팀 교육
  • 주소 관리용 IPAM 도구 설정
  • 코어 라우터 및 스위치에서 IPv6 구성
  • 내부 라우팅용 OSPFv3/IS-IS 활성화
  • 외부 연결용 BGP 구성(해당되는 경우)
  • 엣지에서 bogon 접두사 필터 구현
  • 모든 서비스에 대한 AAAA 레코드 생성
  • 역방향 DNS 구성(ip6.arpa)
  • DNS 리졸버에서 IPv6 전송 활성화
  • IPv6 전용 클라이언트에서 확인 테스트
  • IPv4 정책과 일치하는 방화벽 규칙 배포
  • 필수 ICMPv6 유형 허용
  • 액세스 스위치에서 RA Guard 활성화
  • 불량 RA 모니터링 배포
  • IPv6 지원을 위한 모니터링 도구 업데이트
  • 모든 시스템에서 IPv6 로깅 구성
  • IPv6 트래픽 대시보드 생성
  • IPv6별 알림 설정
  • IPv6 전용 테스트 클라이언트에서 연결 테스트
  • 배포 및 교훈 문서화

체계적으로 배포하세요. 철저히 테스트하세요. 모든 것을 문서화하세요. IPv6는 어렵지 않습니다. 단지 다를 뿐입니다.

관련 기사#

직접 해보세요

서브넷 계산기를 사용하여 IPv6 주소 할당을 계획하세요.