RIPE NCC v zari 2012 oznamilo, ze posledni blok IPv4 adres v Evrope byl pridelen. World IPv6 Launch v cervnu 2012 znamenal trvalé zapnuti IPv6 u velkych provideru. Pro firemni IT neni otazka jestli prejit na IPv6, ale jak rychle.
Proc se IPv6 tyka kazde firmy¶
IPv4 ma priblizne 4,3 miliardy adres. S poctem pripojenych zarizeni — servery, pocitace, telefony, tablety, tiskárny, senzory — to uz nestaci. NAT sice prodlouzil zivotnost IPv4, ale prinasi vlastni problemy: slozitost konfigurace, potize s peer-to-peer komunikaci, komplikace pri VPN a videokonferencich.
IPv6 nabizi 340 undecilionů adres — prakticky neomezeny prostor. Kazde zarizeni muze mit globalni adresu. To zjednodusuje smerování, odstrañuje potrebu NAT a umoznuje end-to-end konektivitu.
Pro ceske firmy je dulezite, ze CZ.NIC a cesti ISP aktivne podporuji IPv6. Seznam.cz, Google.cz a dalsi klicove sluzby uz jsou dostupne pres IPv6. Ignorovat tento trend znamena riskovat problemy s dostupnosti v budoucnu.
Dual-stack jako doporucena strategie¶
Nedoporucujeme prepinat na ciste IPv6 — vetsina internich aplikaci a sluzeb zatim nativne nepodporuje IPv6. Misto toho doporucujeme dual-stack pristup: kazde zarizeni a server ma jak IPv4, tak IPv6 adresu.
Dual-stack vyzaduje:
- Routery a switche s IPv6 podporou — vetsina enterprise zarizeni od Cisco, Juniper a HP z poslednich 3-4 let IPv6 zvlada. Starsi zarizeni mohou potrebovat firmware upgrade.
- DHCP a DNS — Windows Server 2008 R2 a novejsi podporuji DHCPv6. DNS musi byt schopne obsluhovat AAAA zaznamy. BIND 9 a Windows DNS to zvladaji.
- Firewall pravidla pro IPv6 — toto je kriticky bod. Mnoho firem ma propracovana pravidla pro IPv4, ale IPv6 provoz prochazi bez kontroly.
- Monitoring — nastroje jako Nagios, Zabbix a PRTG musi monitorovat oba protokoly.
Adresni plan pro firemni sit¶
S IPv6 dostanete od poskytovatele typicky /48 prefix, coz je 65 536 podsiti, kazda s 2^64 adresami. Doporucujeme strukturovany adresni plan:
2001:db8:abcd:0001::/64 — Management VLAN
2001:db8:abcd:0010::/64 — Servery produkce
2001:db8:abcd:0020::/64 — Servery vyvoj/test
2001:db8:abcd:0100::/64 — Uzivatelske stanice
2001:db8:abcd:0200::/64 — Wi-Fi / BYOD
2001:db8:abcd:0300::/64 — Guest sit
2001:db8:abcd:0f00::/64 — DMZ
Pouzivejte logicke cislovani podsiti, ktere odpovidaji vasi stavajici VLAN strukture. Usnadni to spravu i troubleshooting.
Bezpecnostni aspekty IPv6¶
IPv6 prinasi specificka bezpecnostni rizika, na ktera jsme u klientu narazili:
Nerizeny IPv6 provoz. Windows Vista a novejsi maji IPv6 zapnute ve vychozim nastaveni. Pokud vase sit nema IPv6 infrastrukturu, systemy si vytvori link-local adresy a mohou komunikovat mimo dosah vaseho firewallu. Bud IPv6 aktivne spravujte, nebo ho na stanicich vypnete.
Rogue Router Advertisement. V IPv6 se zarizeni mohou automaticky konfigurovat pomoci Router Advertisement zprav. Utocnik muze poslat falesny RA a presmerovat provoz. Resenim je RA Guard na switchich.
Vetsi hlavicka paketu. IPv6 hlavicka je 40 bytu oproti 20 bytum u IPv4. Nektere starsí firewally a IDS/IPS systemy neumi IPv6 pakety spravne analyzovat — testujte pred nasazenim.
Tunelovani. Mechanismy jako 6to4, Teredo a ISATAP mohou obejit firewallova pravidla. Doporucujeme tyto protokoly na firemni siti blokovat a pouzivat pouze nativni dual-stack.
Aplikace a middleware¶
Vetsina modernich aplikacnich serveru uz IPv6 podporuje. Apache Tomcat 7, JBoss AS 7, WebLogic 12c — vsechny fungují na dual-stack bez problemu. Pozor ale na:
- Hardcoded IP adresy — aplikace, ktere maji v konfiguraci nebo kodu IPv4 adresy misto DNS jmen, nebudou pres IPv6 fungovat
- Socket programming — starsi Java kod pouzivajici java.net.Socket s explicit IPv4 adresami musi byt upraven
- Logy a audit — IPv6 adresy jsou delsi. Overte, ze vase log parsery a SIEM zvladaji IPv6 format
- Databaze — Oracle 11g, PostgreSQL 9.x a MySQL 5.6 podporuji IPv6 pripojeni
Testovaci prostredi¶
Pred nasazenim do produkce doporucujeme vytvorit testovaci IPv6 segment. Postup:
- Vyclenete jeden VLAN pro IPv6 testovani
- Nakonfigurujte router s RA pro automatickou konfiguraci
- Pripojte testovaci servery s dual-stack
- Otestujte klicove aplikace — email, web, databaze, VPN
- Overte firewall pravidla — jsou IPv6 pakety filtrovany spravne?
- Zkontrolujte monitoring — vidite IPv6 provoz v grafech?
Cely test zabere 2-3 tydny. Vysledkem je jasny obraz o pripravenosti vasi infrastruktury.
Casovy plan prechodu¶
Doporucujeme fazovy pristup:
- Faze 1 (1-2 mesice): Audit infrastruktury. Ktere zarizeni podporuji IPv6? Ktere aplikace maji hardcoded IPv4?
- Faze 2 (2-3 mesice): Testovaci prostredi. Dual-stack na vybranych segmentech.
- Faze 3 (3-6 mesicu): Produkční nasazeni. Dual-stack na vsech segmentech, IPv6 na externich sluzbach.
- Faze 4 (prubezne): Optimalizace. Postupne odstranovani IPv4 zavislosti.
Shrnuti¶
IPv6 neni budoucnost — je to pritomnost. World IPv6 Launch v cervnu 2012 to potvrdil. Ceske firmy maji vyhodu v kvalitni infrastrukture a aktivni podpoře ze strany CZ.NIC. Dual-stack je bezpecna cesta, ktera umoznuje postupny prechod bez rizika vypadku. Zacnete auditem a testovacim prostredim — prvni kroky jsou jednodussi, nez se zda.