IPv6 部署：网络管理员检查清单

部署 IPv6 不仅仅是启用协议。它涉及规划可扩展的地址方案、配置与你的 IPv4 规则匹配的安全策略，以及确保你的监控在用户之前捕获问题。

此检查清单涵盖了你实际需要做的事情，基于真实部署。跳过步骤后果自负。

TL;DR - 快速摘要

要点：

部署前：清点所有设备，获取 /48 分配，设计地址方案，培训团队
地址规划：使用完整的 /64 子网，记录所有分配，为增长保留空间
DNS：添加 AAAA 记录，配置反向 DNS（ip6.arpa），确保双栈解析器
安全：防火墙规则应匹配 IPv4 策略，允许基本 ICMPv6，启用 RA Guard
监控：更新工具以支持 IPv6，记录完整地址，跟踪 IPv6 流量百分比

跳转至： 开始之前 | 地址规划 | DNS 最佳实践 | 安全最佳实践 | 部署检查清单

开始之前 #

进行清点 #

列出需要网络连接的每个设备、应用程序和服务。不要假设所有东西都支持 IPv6，要测试它。那个传统打印机或 SCADA 系统可能是你没有预料到的阻碍。

检查你的供应商支持。操作系统支持现在几乎是普遍的，但专有软件和嵌入式系统可能落后。在承诺之前知道什么有效，什么无效。

获取你的分配 #

从你的 ISP 或区域互联网注册机构请求 IPv6 空间。大多数 ISP 至少向商业客户提供 /48，为你提供 65,536 个 /64 子网。如果你是多宿主或运行数据中心，请获取你自己的提供商独立（PI）分配。

除非你是单子网商店，否则不要满足于 /64。你需要增长的空间。

设计你的地址方案 #

在分配任何东西之前规划你的地址。/48 为你提供 16 位子网字段，明智地使用它。按位置、功能或安全区域对子网进行分组。

示例方案：

2001:db8::/48          你的分配
2001:db8:0001::/64     总部办公网络
2001:db8:0002::/64     总部服务器 VLAN
2001:db8:0100::/64     分支办公室 1
2001:db8:0200::/64     分支办公室 2
2001:db8:1000::/64     DMZ Web 服务器

为将来使用保留范围。留出间隙。你不会后悔有额外的空间。

培训你的团队 #

IPv6 看起来不同。十六进制表示法、地址缩写规则和地址的庞大规模让人绊倒。举办培训课程。确保每个人在部署日之前都了解基础知识。

涵盖 ICMPv6，它不像 IPv4 中的 ICMP 是可选的。阻止它会破坏邻居发现和路径 MTU 发现。

地址规划 #

使用完整的 /64 子网 #

始终为最终用户网络分配 /64。SLAAC 需要它，尝试在 LAN 上使用 /127 或 /126 会导致操作麻烦。地址空间是巨大的，使用它。

对于点对点链路，/127 很好且推荐（RFC 6164）。它防止乒乓攻击并节省你不需要节省的微不足道的空间。

记录一切 #

从第一天开始记录。记录你的分配、子网分配以及其背后的逻辑。未来的你，或你的替代者，将需要这个。

使用 IPAM 工具。电子表格适用于小型网络，但像 NetBox 或 phpIPAM 这样的专用工具更好地扩展并减少错误。

为增长保留空间 #

不要在没有规划的情况下按顺序分配子网。在逻辑组之间留出空间。如果你的办公网络是 2001:db8:100::/64，不要在下一个办公室放在 :101::/64。使用 :200::/64 并给自己 256 个子网的呼吸空间。

随机化服务器地址 #

不要按顺序编号服务器（::1、::2、::3）。在你的 /64 内使用随机或语义上有意义的地址。顺序地址使扫描更容易并暴露你的网络大小。

生成随机地址或使用 EUI-64，但在服务器上禁用隐私扩展，你希望 DNS 的稳定地址。

DNS 最佳实践 #

为所有东西添加 AAAA 记录 #

每个具有 IPv6 连接的服务都需要 AAAA 记录。不要通过启用 IPv6 但跳过 DNS 来半部署。客户端将首先尝试 IPv6 并失败，导致连接延迟。

对于双栈服务，发布 A 和 AAAA。让 Happy Eyeballs（RFC 6555）处理故障转移。

配置反向 DNS #

在 ip6.arpa 中设置 PTR 记录。反向 DNS 不仅用于邮件服务器，它还用于日志记录、安全工具和故障排除。缺少 PTR 记录看起来很马虎，可能会触发垃圾邮件过滤器。

正确委派你的反向区域。如果你的 RIR 或 ISP 处理委派，请提交记录。如果你控制它，请自动更新。

确保双栈解析器 #

你的 DNS 解析器必须通过 IPv4 和 IPv6 回答查询。即使你的网络还不是完全双栈，也要配置 IPv6 传输。客户端越来越喜欢 IPv6 传输进行 DNS。

从仅 IPv6 客户端使用 dig 或 nslookup 进行测试。不要假设它有效。

使用仅 IPv6 客户端进行测试 #

启动一个仅 IPv6 的测试 VM 或容器，没有 IPv4 地址。尝试访问你的服务。你会发现你错过的差距：硬编码的 IPv4 地址、损坏的 AAAA 记录或不正确处理双栈的应用程序。

路由考虑 #

在所有路由器上启用 IPv6 #

全局启用 IPv6 路由。即使某个网段尚未使用 IPv6，准备好它可以防止以后仓促配置。

在所有接口上配置链路本地地址。它们是路由协议所必需的，不需要全局地址。

选择你的内部路由协议 #

OSPFv3 和 IS-IS 都支持 IPv6。如果你为 IPv4 运行 OSPFv2，OSPFv3 是自然选择。IS-IS 在单个协议实例中处理两个地址族，如果你从头开始，这会简化事情。

不要运行 RIPng。它已过时且受限。

为外部连接配置 BGP #

如果你是多宿主，像 IPv4 一样为 IPv6 运行 BGP。使用 MP-BGP（多协议 BGP）在一个会话上携带两个地址族，或运行单独的会话，两者都有效。

从所有上游通告你的前缀。配置路由过滤器以防止泄漏。

过滤 Bogon 前缀 #

在你的边缘阻止保留和 bogon 前缀。bogon 列表比 IPv4 小，但仍然是必要的。过滤：

::/8（除了 ::/128 和 ::1/128）
0100::/64（丢弃前缀）
2001:db8::/32（文档）
fc00::/7（ULA，在互联网边缘阻止）
fe80::/10（链路本地）
ff00::/8（多播，取决于上下文）

Team Cymru 发布更新的 bogon 列表。使用它们。

安全最佳实践 #

将防火墙规则与 IPv4 策略匹配 #

你的 IPv6 防火墙策略应该镜像 IPv4。如果你在 IPv4 中阻止入站流量，除了特定服务，也为 IPv6 做同样的事情。不要因为它是「新的」就让 IPv6 开放。

仔细审计。许多防火墙在首次启用时默认允许所有 IPv6。

允许基本 ICMPv6 #

ICMPv6 不是可选的。你必须允许：

类型 1（目标不可达）
类型 2（数据包太大）— 如果阻止则破坏 PMTUD
类型 3（超时）
类型 4（参数问题）
类型 128/129（回显请求/回复）— 可选但有用
类型 133-137（邻居发现）— 仅在本地网段上

阻止 ICMPv6 会破坏东西。不要这样做。

在交换机上启用 RA Guard #

恶意路由器通告是一个简单的攻击向量。在接入交换机上启用 RA Guard 以阻止来自不受信任端口的 RA。仅允许来自你的路由器端口的 RA。

大多数企业交换机支持这一点。在部署期间配置它，而不是在事件发生后。

监控恶意 RA #

即使有 RA Guard，也要监控意外的 RA。NDPmon 或 RAmond 等工具检测恶意通告。记录它们并进行调查。

恶意 RA 可以重定向流量、导致中断或启用中间人攻击。

监控和日志记录 #

为 IPv6 更新监控工具 #

SNMP、NetFlow、syslog，都需要 IPv6 支持。更新你的收集器以捕获 IPv6 流量。配置你的网络设备以通过 IPv6 传输发送日志。

测试图表、警报和仪表板显示 IPv6 指标。许多工具支持它，但默认不启用它。

记录 IPv6 源地址 #

确保你的 Web 服务器、应用程序日志和安全工具捕获完整的 IPv6 地址。截断或缺失的地址会削弱取证。

检查日志格式。一些应用程序不正确记录 IPv6 地址或根本不记录。

单独跟踪 IPv6 流量 #

监控 IPv6 流量量和百分比。随着时间的推移跟踪采用。了解你的 IPv6 流量比率有助于规划容量并识别问题。

为突然下降设置警报，这通常意味着某些东西坏了。

对 IPv6 特定问题发出警报 #

创建警报：

路由协议邻接失败
无法访问的 IPv6 网关
高 ICMPv6 错误率
IPv6 流量丢失或黑洞

不要等待用户报告问题。

部署检查清单 #

使用此检查清单跟踪你的部署进度：

有条不紊地部署。彻底测试。记录一切。IPv6 并不困难，它只是不同。