نشر IPv6: قائمة تحقق مسؤول الشبكة

نشر IPv6 ليس فقط عن تمكين بروتوكول. إنه عن تخطيط مخطط عنونة يتسع، تكوين سياسات أمان تطابق قواعد IPv4 الخاصة بك، والتأكد من أن مراقبتك تلتقط المشاكل قبل المستخدمين.

تغطي قائمة التحقق هذه ما تحتاج فعله فعلاً، بناءً على نشر حقيقية. تخطَّ الخطوات على مسؤوليتك الخاصة.

قبل أن تبدأ#

قم بعمل جرد#

اسرد كل جهاز وتطبيق وخدمة تحتاج اتصالاً بالشبكة. لا تفترض أن كل شيء يدعم IPv6 - اختبره. قد تكون تلك الطابعة القديمة أو نظام SCADA المعيق الذي لم تتوقعه.

تحقق من دعم البائع الخاص بك. دعم نظام التشغيل شبه عالمي الآن، لكن البرامج والأنظمة المدمجة المملوكة يمكن أن تتأخر. اعرف ما يعمل وما لا يعمل قبل أن تلتزم.

احصل على تخصيصك#

اطلب مساحة IPv6 من مزود خدمة الإنترنت الخاص بك أو السجل الإقليمي للإنترنت. يوفر معظم مزودي الخدمة على الأقل /48 لعملاء الأعمال، مما يمنحك 65,536 شبكة فرعية /64. إذا كنت متعدد الاستضافة أو تدير مركز بيانات، احصل على تخصيص مستقل من المزود (PI) الخاص بك.

لا تقبل /64 ما لم تكن متجراً بشبكة فرعية واحدة. تحتاج مجالاً للنمو.

صمم مخطط العنونة الخاص بك#

خطط لعنونتك قبل تعيين أي شيء. يمنحك /48 حقل شبكة فرعية 16 بت - استخدمه بحكمة. جمّع الشبكات الفرعية حسب الموقع أو الوظيفة أو منطقة الأمان.

مثال مخطط:

2001:db8::/48          تخصيصك
2001:db8:0001::/64     شبكة مكتب المقر
2001:db8:0002::/64     VLAN خوادم المقر
2001:db8:0100::/64     مكتب الفرع 1
2001:db8:0200::/64     مكتب الفرع 2
2001:db8:1000::/64     خوادم ويب DMZ

احجز نطاقات للاستخدام المستقبلي. اترك فجوات. لن تندم على امتلاك مساحة إضافية.

درّب فريقك#

يبدو IPv6 مختلفاً. ترميز سداسي عشري، قواعد اختصار العناوين، والحجم الهائل للعناوين يعثر الناس. قم بتشغيل جلسات تدريب. تأكد من أن الجميع يفهم الأساسيات قبل يوم النشر.

غطّ ICMPv6 - إنه ليس اختيارياً مثل ICMP في IPv4. حظره يكسر اكتشاف الجيران واكتشاف MTU للمسار.

تخطيط العناوين#

استخدم شبكات فرعية /64 كاملة#

خصص دائماً /64 لشبكات المستخدم النهائي. يتطلب SLAAC ذلك، ومحاولة استخدام /127 أو /126 على شبكات LAN تسبب صداعات تشغيلية. مساحة العناوين ضخمة - استخدمها.

للوصلات نقطة إلى نقطة، /127 جيد وموصى به (RFC 6164). يمنع هجمات ping-pong ويوفر كمية مهملة من المساحة لا تحتاج لحفظها.

وثّق كل شيء#

ابدأ التوثيق في اليوم الأول. سجّل تخصيصك وتعيينات الشبكة الفرعية والمنطق وراءها. أنت المستقبلي - أو بديلك - سيحتاج هذا.

استخدم أدوات IPAM. جداول البيانات تعمل للشبكات الصغيرة، لكن الأدوات المخصصة مثل NetBox أو phpIPAM تتسع بشكل أفضل وتقلل الأخطاء.

احجز مساحة للنمو#

لا تخصص الشبكات الفرعية بالتسلسل دون تخطيط. اترك مجالاً بين المجموعات المنطقية. إذا كانت شبكة مكتبك 2001:db8:100::/64، لا تضع المكتب التالي في :101::/64. استخدم :200::/64 وامنح نفسك 256 شبكة فرعية من مساحة التنفس.

عشوئ عناوين الخادم#

لا ترقّم الخوادم بالتسلسل (::1، ::2، ::3). استخدم عناوين عشوائية أو ذات معنى دلالي داخل /64 الخاص بك. العنونة التسلسلية تجعل المسح أسهل وتكشف حجم شبكتك.

ولّد عناوين عشوائية أو استخدم EUI-64، لكن عطّل امتدادات الخصوصية على الخوادم - تريد عناوين مستقرة لـ DNS.

أفضل ممارسات DNS#

أضف سجلات AAAA لكل شيء#

كل خدمة مع اتصال IPv6 تحتاج سجل AAAA. لا تنشر نصف نشر بتمكين IPv6 لكن تخطي DNS. سيحاول العملاء IPv6 أولاً ويفشلون، مسببين تأخيرات اتصال.

للخدمات مزدوجة المكدس، انشر كلاً من A وAAAA. دع Happy Eyeballs (RFC 6555) يتعامل مع التحويل الفاشل.

كوّن DNS العكسي#

أنشئ سجلات PTR في ip6.arpa. DNS العكسي ليس فقط لخوادم البريد - إنه مستخدم للتسجيل وأدوات الأمان واستكشاف الأخطاء. سجلات PTR المفقودة تبدو رديئة ويمكن أن تطلق مرشحات السبام.

فوّض منطقتك العكسية بشكل صحيح. إذا كان RIR أو مزود خدمة الإنترنت الخاص بك يتعامل مع التفويض، قدم السجلات. إذا كنت تسيطر عليه، قم بتشغيل التحديثات تلقائياً.

تأكد من محللات مزدوجة المكدس#

يجب أن تجيب محللات DNS الخاصة بك على الاستعلامات عبر كل من IPv4 وIPv6. كوّن نقل IPv6 حتى إذا لم تكن شبكتك مزدوجة المكدس بالكامل بعد. يفضل العملاء بشكل متزايد نقل IPv6 لـ DNS.

اختبر بـ dig أو nslookup من عملاء IPv6 فقط. لا تفترض أنه يعمل.

اختبر مع عملاء IPv6 فقط#

قم بتشغيل VM أو حاوية اختبار مع IPv6 فقط - لا عنوان IPv4. حاول الوصول لخدماتك. ستجد فجوات فاتتك: عناوين IPv4 مشفرة، سجلات AAAA مكسورة، أو تطبيقات لا تتعامل مع المكدس المزدوج بشكل صحيح.

اعتبارات التوجيه#

مكّن IPv6 على جميع الموجهات#

فعّل توجيه IPv6 عالمياً. حتى إذا لم يستخدم قطاع IPv6 بعد، امتلاكه جاهزاً يمنع التكوين المتسرع لاحقاً.

كوّن عناوين محلية للوصلة على جميع الواجهات. إنها مطلوبة لبروتوكولات التوجيه ولا تحتاج عنونة عالمية.

اختر بروتوكول التوجيه الداخلي الخاص بك#

كل من OSPFv3 وIS-IS يدعمان IPv6. إذا كنت تشغل OSPFv2 لـ IPv4، OSPFv3 هو الاختيار الطبيعي. يتعامل IS-IS مع كلا عائلتي العناوين في مثيل بروتوكول واحد، مما يبسط الأشياء إذا كنت تبدأ من جديد.

لا تشغل RIPng. إنه قديم ومحدود.

كوّن BGP للاتصال الخارجي#

إذا كنت متعدد الاستضافة، قم بتشغيل BGP لـ IPv6 تماماً مثل IPv4. استخدم MP-BGP (BGP متعدد البروتوكول) لحمل كلا عائلتي العناوين عبر جلسة واحدة، أو قم بتشغيل جلسات منفصلة - كلاهما يعمل.

أعلن عن بادئتك من جميع المنبعين. كوّن مرشحات المسار لمنع التسريبات.

قم بتصفية بوادئ Bogon#

احظر البوادئ المحجوزة وbogon عند حافتك. قائمة bogon أصغر من IPv4 لكن لا تزال ضرورية. صفّي:

• ::/8 (باستثناء ::/128 و::1/128)
• 0100::/64 (بادئة الإلغاء)
• 2001:db8::/32 (التوثيق)
• fc00::/7 (ULA - احظر عند حافة الإنترنت)
• fe80::/10 (محلي للوصلة)
• ff00::/8 (مالتيكاست، يعتمد على السياق)

ينشر Team Cymru قوائم bogon محدّثة. استخدمها.

أفضل ممارسات الأمان#

طابق قواعد جدار الحماية لسياسة IPv4#

يجب أن تعكس سياسة جدار حماية IPv6 الخاصة بك IPv4. إذا كنت تحظر حركة المرور الواردة باستثناء خدمات محددة في IPv4، افعل نفس الشيء لـ IPv6. لا تترك IPv6 مفتوحاً لأنه «جديد».

دقق بعناية. العديد من جدران الحماية تضبط افتراضياً على السماح للجميع لـ IPv6 عند التمكين أولاً.

اسمح بـ ICMPv6 الأساسي#

ICMPv6 ليس اختيارياً. يجب عليك السماح بـ:

• النوع 1 (الوجهة غير قابلة للوصول)
• النوع 2 (الحزمة كبيرة جداً) - يكسر PMTUD إذا حُظر
• النوع 3 (الوقت تجاوز)
• النوع 4 (مشكلة في المعامل)
• النوع 128/129 (طلب/رد الصدى) - اختياري لكن مفيد
• النوع 133-137 (اكتشاف الجيران) - على القطاعات المحلية فقط

حظر ICMPv6 يكسر الأشياء. لا تفعله.

مكّن RA Guard على المحولات#

إعلانات الموجه المارقة ناقل هجوم سهل. مكّن RA Guard على محولات الوصول لحظر RAs من المنافذ غير الموثوقة. اسمح فقط بـ RAs من منافذ موجهك.

معظم محولات المؤسسات تدعم هذا. كوّنه أثناء النشر، وليس بعد حادثة.

راقب RAs المارقة#

حتى مع RA Guard، راقب RAs غير متوقعة. تكتشف أدوات مثل NDPmon أو RAmond الإعلانات المارقة. سجّلها وحقق.

يمكن لـ RAs المارقة إعادة توجيه حركة المرور أو التسبب في انقطاعات أو تمكين هجمات رجل في الوسط.

المراقبة والتسجيل#

حدّث أدوات المراقبة لـ IPv6#

SNMP وNetFlow وsyslog - كلها تحتاج دعم IPv6. حدّث جامعيك لالتقاط حركة مرور IPv6. كوّن أجهزة شبكتك لإرسال السجلات عبر نقل IPv6.

اختبر أن الرسوم البيانية والتنبيهات ولوحات المعلومات تعرض مقاييس IPv6. العديد من الأدوات تدعمه لكن لا تمكّنه افتراضياً.

سجّل عناوين مصدر IPv6#

تأكد من أن خوادم الويب الخاصة بك وسجلات التطبيقات وأدوات الأمان تلتقط عناوين IPv6 الكاملة. العناوين المقتطعة أو المفقودة تشل الطب الشرعي.

تحقق من تنسيقات السجل. بعض التطبيقات تسجّل عناوين IPv6 بشكل غير صحيح أو لا على الإطلاق.

تتبع حركة مرور IPv6 بشكل منفصل#

راقب حجم حركة مرور IPv6 والنسبة المئوية. تتبع الاعتماد عبر الوقت. معرفة نسبة حركة مرور IPv6 الخاصة بك تساعد في تخطيط القدرة وتحديد المشاكل.

اضبط تنبيهات للانخفاضات المفاجئة - عادةً ما يعني أن شيئاً ما انكسر.

أنذر على مشاكل خاصة بـ IPv6#

أنشئ تنبيهات لـ:

• فشل مجاورة بروتوكول التوجيه
• بوابات IPv6 غير قابلة للوصول
• معدلات خطأ ICMPv6 عالية
• سقوط أو ثقب أسود لحركة مرور IPv6

لا تنتظر المستخدمين للإبلاغ عن المشاكل.

قائمة تحقق النشر#

استخدم قائمة التحقق هذه لتتبع تقدم نشرك:

• جرد شبكة كامل (أجهزة، تطبيقات، خدمات)
• التحقق من دعم البائع لـ IPv6 لجميع الأنظمة الحرجة
• الحصول على تخصيص IPv6 من مزود الخدمة أو RIR
• تصميم وتوثيق مخطط العنونة
• تدريب الفريق على أساسيات IPv6 واستكشاف الأخطاء
• إعداد أداة IPAM لإدارة العناوين
• تكوين IPv6 على الموجهات والمحولات الأساسية
• تمكين OSPFv3/IS-IS للتوجيه الداخلي
• تكوين BGP للاتصال الخارجي (إذا كان قابلاً للتطبيق)
• تطبيق مرشحات بادئة bogon عند الحافة
• إنشاء سجلات AAAA لجميع الخدمات
• تكوين DNS العكسي (ip6.arpa)
• تمكين نقل IPv6 على محللات DNS
• اختبار الحل من عملاء IPv6 فقط
• نشر قواعد جدار الحماية المطابقة لسياسة IPv4
• السماح بأنواع ICMPv6 الأساسية
• تمكين RA Guard على محولات الوصول
• نشر مراقبة RA المارق
• تحديث أدوات المراقبة لدعم IPv6
• تكوين تسجيل IPv6 على جميع الأنظمة
• إنشاء لوحات معلومات حركة مرور IPv6
• إعداد تنبيهات خاصة بـ IPv6
• اختبار الاتصال من عملاء اختبار IPv6 فقط
• توثيق النشر والدروس المستفادة

انشر بشكل منهجي. اختبر بدقة. وثّق كل شيء. IPv6 ليس صعباً - إنه فقط مختلف.

مقالات ذات صلة#

• أفضل ممارسات أمان IPv6 - تأمين شبكة IPv6 الخاصة بك ضد التهديدات
• استراتيجيات الانتقال إلى IPv6 - خطط ونفذ نشر IPv6 الخاص بك