ping6.net
Лучшие Практики

Развёртывание IPv6: чеклист сетевого администратора

Практический чеклист для развёртывания IPv6 в production. От планирования адресов до мониторинга, не пропустите эти критические шаги.

ping6.net14 декабря 2024 г.8 min read
IPv6развёртываниелучшие практикисетевой администраторчеклист

Развёртывание IPv6 — это не просто включение протокола. Это планирование схемы адресации, которая масштабируется, настройка политик безопасности, соответствующих вашим IPv4-правилам, и обеспечение того, что ваш мониторинг ловит проблемы до того, как их заметят пользователи.

Этот чеклист покрывает то, что вам действительно нужно сделать, основываясь на реальных развёртываниях. Пропускайте шаги на свой риск.

TL;DR - Краткое резюме

Ключевые моменты:

  • Планируйте схему адресации перед развёртыванием — реорганизация позже болезненна
  • Запросите минимум /48 для бизнеса (65 536 подсетей /64), не соглашайтесь на /64
  • Настройте правила IPv6-файрвола, соответствующие политикам IPv4 — не полагайтесь на NAT для безопасности
  • Мониторьте IPv6 отдельно — не все инструменты мониторинга IPv4 обрабатывают IPv6 корректно
  • Тестируйте до публикации записей AAAA — сломанная связность IPv6 хуже, чем её отсутствие

Перейти к: Планирование адресов | Безопасность | Мониторинг

Перед началом#

Проведите инвентаризацию#

Перечислите каждое устройство, приложение и сервис, которому нужна сетевая связность. Не предполагайте, что всё поддерживает IPv6 — тестируйте. Тот устаревший принтер или SCADA-система могут быть блокатором, которого вы не ожидали.

Проверьте поддержку вендоров. Поддержка ОС теперь почти универсальна, но проприетарное ПО и встроенные системы могут отставать. Знайте, что работает, а что нет, перед обязательством.

Получите ваше выделение#

Запросите IPv6-пространство у вашего провайдера или регионального интернет-регистратора. Большинство провайдеров предоставляют как минимум /48 бизнес-клиентам, давая вам 65 536 подсетей /64. Если вы multihomed или управляете дата-центром, получите собственное Provider Independent (PI) выделение.

Не соглашайтесь на /64, если вы не магазин с одной подсетью. Вам нужно место для роста.

Разработайте вашу схему адресации#

Планируйте вашу адресацию перед назначением чего-либо. /48 даёт вам 16-битное поле подсети — используйте его мудро. Группируйте подсети по локации, функции или зоне безопасности.

Пример схемы:

2001:db8::/48          Ваше выделение
2001:db8:0001::/64     Офисная сеть HQ
2001:db8:0002::/64     Серверная VLAN HQ
2001:db8:0100::/64     Филиал 1
2001:db8:0200::/64     Филиал 2
2001:db8:1000::/64     DMZ веб-серверов

Резервируйте диапазоны для будущего использования. Оставляйте пробелы. Вы не пожалеете о наличии дополнительного пространства.

Обучите вашу команду#

IPv6 выглядит иначе. Шестнадцатеричная нотация, правила сокращения адресов и огромный размер адресов сбивают людей с толку. Проводите тренинги. Убедитесь, что все понимают основы перед днём развёртывания.

Покройте ICMPv6 — он не опционален, как ICMP в IPv4. Блокировка ломает neighbor discovery и path MTU discovery.

Планирование адресов#

Используйте полные подсети /64#

Всегда выделяйте /64 для сетей конечных пользователей. SLAAC требует этого, и попытка использовать /127 или /126 на LAN вызывает операционные головные боли. Адресное пространство огромно — используйте его.

Для соединений точка-точка /127 нормален и рекомендован (RFC 6164). Это предотвращает ping-pong атаки и экономит пренебрежимое количество пространства, которое вам не нужно экономить.

Документируйте всё#

Начните документацию с первого дня. Записывайте ваше выделение, назначения подсетей и логику за ними. Будущий вы — или ваша замена — будет нуждаться в этом.

Используйте IPAM-инструменты. Таблицы работают для малых сетей, но выделенные инструменты вроде NetBox или phpIPAM масштабируются лучше и снижают ошибки.

Резервируйте пространство для роста#

Не выделяйте подсети последовательно без планирования. Оставляйте место между логическими группами. Если ваша офисная сеть — 2001:db8:100::/64, не ставьте следующий офис на :101::/64. Используйте :200::/64 и дайте себе 256 подсетей дыхательного пространства.

Рандомизируйте серверные адреса#

Не нумеруйте серверы последовательно (::1, ::2, ::3). Используйте случайные или семантически значимые адреса внутри вашего /64. Последовательная адресация облегчает сканирование и раскрывает размер вашей сети.

Генерируйте случайные адреса или используйте EUI-64, но отключите расширения приватности на серверах — вам нужны стабильные адреса для DNS.

Лучшие практики DNS#

Добавьте AAAA-записи для всего#

Каждый сервис с IPv6-связностью нуждается в AAAA-записи. Не делайте половинчатое развёртывание, включая IPv6, но пропуская DNS. Клиенты попробуют IPv6 первым и отказывают, вызывая задержки соединения.

Для dual-stack сервисов публикуйте как A, так и AAAA. Позвольте Happy Eyeballs (RFC 6555) обработать откат.

Настройте обратный DNS#

Настройте PTR-записи в ip6.arpa. Обратный DNS — не только для почтовых серверов — он используется для логирования, инструментов безопасности и отладки. Отсутствующие PTR-записи выглядят небрежно и могут запустить спам-фильтры.

Правильно делегируйте вашу обратную зону. Если ваш RIR или провайдер обрабатывает делегирование, отправьте записи. Если вы контролируете её, автоматизируйте обновления.

Обеспечьте Dual-Stack резолверы#

Ваши DNS-резолверы должны отвечать на запросы как через IPv4, так и через IPv6. Настройте IPv6-транспорт, даже если ваша сеть ещё не полностью dual-stack. Клиенты всё чаще предпочитают IPv6-транспорт для DNS.

Тестируйте с dig или nslookup из IPv6-only клиентов. Не предполагайте, что это работает.

Тестируйте с IPv6-only клиентами#

Запустите тестовую VM или контейнер только с IPv6 — без IPv4-адреса. Попробуйте получить доступ к вашим сервисам. Вы найдёте пробелы, которые пропустили: жёстко закодированные IPv4-адреса, сломанные AAAA-записи или приложения, которые не обрабатывают dual-stack правильно.

Соображения по маршрутизации#

Включите IPv6 на всех маршрутизаторах#

Включите IPv6-маршрутизацию глобально. Даже если сегмент ещё не использует IPv6, наличие его готовым предотвращает поспешную конфигурацию позже.

Настройте link-local адреса на всех интерфейсах. Они требуются для протоколов маршрутизации и не нуждаются в глобальной адресации.

Выберите ваш протокол внутренней маршрутизации#

OSPFv3 и IS-IS оба поддерживают IPv6. Если вы запускаете OSPFv2 для IPv4, OSPFv3 — естественный выбор. IS-IS обрабатывает оба семейства адресов в одном экземпляре протокола, что упрощает вещи, если вы начинаете с нуля.

Не запускайте RIPng. Он устарел и ограничен.

Настройте BGP для внешней связности#

Если вы multihomed, запускайте BGP для IPv6, как для IPv4. Используйте MP-BGP (Multiprotocol BGP) для переноса обоих семейств адресов через одну сессию, или запускайте отдельные сессии — оба работают.

Анонсируйте ваш префикс от всех upstream. Настройте фильтры маршрутов для предотвращения утечек.

Фильтруйте Bogon-префиксы#

Блокируйте зарезервированные и bogon-префиксы на вашей границе. Bogon-список меньше, чем IPv4, но всё ещё необходим. Фильтруйте:

  • ::/8 (кроме ::/128 и ::1/128)
  • 0100::/64 (префикс отбрасывания)
  • 2001:db8::/32 (документация)
  • fc00::/7 (ULA — блокировать на интернет-границе)
  • fe80::/10 (link-local)
  • ff00::/8 (multicast, зависит от контекста)

Team Cymru публикует обновлённые bogon-списки. Используйте их.

Лучшие практики безопасности#

Соответствуйте правилам файрвола политике IPv4#

Ваша IPv6-политика файрвола должна отражать IPv4. Если вы блокируете входящий трафик, кроме специфичных сервисов в IPv4, делайте то же для IPv6. Не оставляйте IPv6 открытым, потому что он «новый».

Аудит тщательно. Многие файрволы по умолчанию permit-all для IPv6 при первом включении.

Разрешите необходимый ICMPv6#

ICMPv6 не опционален. Вы должны разрешить:

  • Type 1 (Destination Unreachable)
  • Type 2 (Packet Too Big) — ломает PMTUD, если заблокирован
  • Type 3 (Time Exceeded)
  • Type 4 (Parameter Problem)
  • Type 128/129 (Echo Request/Reply) — опционально, но полезно
  • Type 133-137 (Neighbor Discovery) — только на локальных сегментах

Блокировка ICMPv6 ломает вещи. Не делайте этого.

Включите RA Guard на коммутаторах#

Мошеннические Router Advertisements — лёгкий вектор атаки. Включите RA Guard на access-коммутаторах для блокировки RA с недоверенных портов. Разрешайте RA только с ваших портов маршрутизатора.

Большинство корпоративных коммутаторов поддерживают это. Настройте это во время развёртывания, а не после инцидента.

Мониторьте мошеннические RA#

Даже с RA Guard мониторьте неожиданные RA. Инструменты вроде NDPmon или RAmond обнаруживают мошеннические анонсы. Логируйте их и расследуйте.

Мошеннические RA могут перенаправлять трафик, вызывать отказы или включать man-in-the-middle атаки.

Мониторинг и логирование#

Обновите инструменты мониторинга для IPv6#

SNMP, NetFlow, syslog — всем нужна поддержка IPv6. Обновите ваши коллекторы для захвата IPv6-трафика. Настройте ваши сетевые устройства для отправки логов через IPv6-транспорт.

Тестируйте, что графики, алерты и дашборды отображают IPv6-метрики. Многие инструменты поддерживают его, но не включают по умолчанию.

Логируйте IPv6 адреса источников#

Убедитесь, что ваши веб-серверы, логи приложений и инструменты безопасности захватывают полные IPv6-адреса. Обрезанные или отсутствующие адреса калечат форензику.

Проверьте форматы логов. Некоторые приложения логируют IPv6-адреса неправильно или не логируют вообще.

Отслеживайте IPv6-трафик отдельно#

Мониторьте объём IPv6-трафика и процент. Отслеживайте внедрение во времени. Знание вашего соотношения IPv6-трафика помогает планировать мощность и определять проблемы.

Установите алерты для резких падений — это обычно означает, что что-то сломалось.

Алертите на специфичные для IPv6 проблемы#

Создайте алерты для:

  • Отказов смежности протокола маршрутизации
  • Недостижимых IPv6-шлюзов
  • Высоких скоростей ошибок ICMPv6
  • Отбрасывания или blackholing IPv6-трафика

Не ждите, пока пользователи сообщат о проблемах.

Чеклист развёртывания#

Используйте этот чеклист для отслеживания прогресса вашего развёртывания:

  • Завершена инвентаризация сети (устройства, приложения, сервисы)
  • Проверена поддержка IPv6 вендоров для всех критических систем
  • Получено выделение IPv6 от провайдера или RIR
  • Разработана и задокументирована схема адресации
  • Обучена команда основам IPv6 и отладке
  • Настроен IPAM-инструмент для управления адресами
  • Настроен IPv6 на основных маршрутизаторах и коммутаторах
  • Включён OSPFv3/IS-IS для внутренней маршрутизации
  • Настроен BGP для внешней связности (если применимо)
  • Реализованы фильтры bogon-префиксов на границе
  • Созданы AAAA-записи для всех сервисов
  • Настроен обратный DNS (ip6.arpa)
  • Включён IPv6-транспорт на DNS-резолверах
  • Протестировано разрешение из IPv6-only клиентов
  • Развёрнуты правила файрвола, соответствующие политике IPv4
  • Разрешены необходимые типы ICMPv6
  • Включён RA Guard на access-коммутаторах
  • Развёрнут мониторинг мошеннических RA
  • Обновлены инструменты мониторинга для поддержки IPv6
  • Настроено логирование IPv6 на всех системах
  • Созданы дашборды IPv6-трафика
  • Настроены специфичные для IPv6 алерты
  • Протестирована связность из IPv6-only тестовых клиентов
  • Задокументированы развёртывание и полученные уроки

Связанные статьи#

Планируйте ваши сети

Используйте калькулятор подсетей для организации вашего адресного пространства IPv6.

Развёртывайте методично. Тестируйте тщательно. Документируйте всё. IPv6 не сложен — он просто другой.