Nasazení IPv6 – jak postupovat a na co si dát pozor
Větší flexibilita, bezpečnost a širší adresní prostor – to vše poskytuje IPv6, internetový protokol budoucnosti. Nad migrací z IPv4 na IPv6 začněte přemýšlet co nejdřív. Není to totiž záležitost týdnů a dost možná ani měsíců. Nasazení nového protokolu vyžaduje rozsáhlý plán. Jeho detaily budou vždy individuální, přesto jsme shrnuli alespoň pár tipů, na co byste neměli zapomenout.
V srpnovém článku IPv6: v čem je lepší než IPv4 a proč jeho nasazení v Česku zaostává jsme se podívali na základy problematiky IPv4 a shrnuli hlavní rozdíly mezi v4 a v6. IPv6 poskytuje především větší adresní prostor, pružnost rozdělování adres, jejich hierarchické uspořádání, ale i zjednodušení směrování a přečíslování sítí.
Poslední dostupné statistiky CZ.NIC však navzdory výhodám IPv6 ukázaly, že v České republice se zatím tomuto internetovému protokolu nedaří prorazit. Stojí za tím nejen nedostatečné know-how a s ním spojené obavy o bezpečnost, ale i zastaralé technologie, které IPv6 nepodporují a jejichž kompletní výměna by byla příliš nákladná.
Dedikovaný server s IPv6
K dedikovanému serveru dáváme v MasterDC nejen IPv4, ale i statickou IPv6 pro snazší konfiguraci doménových jmen a prevenci proti nevyžádaným ohlášením směrovače (Router advertisement). Nemusíte si proto do budoucna dělat starosti s přesunem na IPv6.
Pokud se nacházíte v podobné situaci, může vás uklidnit, že nejste jediní. Vzhledem k pomalu rostoucí adopci IPv6 máte na jeho nasazení stále dost času. To ovšem neznamená, že byste pomyslný fahrplan měli odkládat. Naopak, přechod na IPv6 nebude okamžitý a pozornost je potřeba věnovat i úplným detailům. Čím více času věnujete přípravě, tím nižší investice budete pravděpodobně muset vynaložit a usnadníte si i migraci.
Jak začít s plánováním přechodu na IPv6
Jako každému zásahu do IT infrastruktury by i přechodu na v6 měla předcházet analýza současného stavu, a to od klientských zařízení, operačních systémů a aplikací, přes servery a bezpečnostní řešení až po síťové prvky a služby.
Při analýze vás bude zajímat hlavně funkčnost všech systémů a detekce veškerých problémů a potenciálních překážek, které by mohly nastat. To přispěje k realistickému časovému odhadu proveditelnosti každé změny či upgradu včetně otestování funkčnosti a vlivu na ostatní prvky infrastruktury i uživatele.
Z analýzy zařízení a prvků rovněž vyplyne počet IPv4 a IPv6 hostů, případně těch, kteří se budou připojovat dvojí konfigurací, tzv. dual stack. Je dost možné, že tato vstupní analýza vás ve výsledku donutí přehodnotit mnoho aspektů současného návrhu sítě, jinde se může ukázat, že potřebných zásahů je jen několik a přechod nakonec nebude tak bolestný. V každém případě je potřeba přechod vnímat jako příležitost jak zajistit, aby síť a její aplikace byly v souladu s budoucím vývojem trhu.
Doplňte si znalosti a zorientujte se v adresování
IPv6 je v mnohém jiný než IPv4 a před jeho nasazením je nezbytné načerpat dostatečné know-how, v ideálním případě nejen teoretické, ale i praktické. K načtení teorie doporučujeme třeba knihu Pavla Satrapy IPv6 od CZ.NIC. Kurzy týkající se IPv6 nabízí např. RIPE NCC Academy.
K dispozici je ale spousta dalších online materiálů od profesionálů, kteří už v IPv6 mají zkušenost, znají best practices i všechna potenciální rizika nasazení. Investice do zaškolení relevantních členů IT týmu může být vyšší, troufáme si však tvrdit, že tento bod rozhodně není radno zanedbat. Vyškolení lidé vám ušetří spoustu starostí i peněz při finálním nasazení a údržbě protokolu, ale především dokážou díky správné konfiguraci eliminovat bezpečnostní rizika.
Při studiu protokolu věnujte zvýšenou pozornost mechanismům přiřazování adres, jako je bezstavová autokonfigurace adres (SLAAC) či stavová konfigurace DHCPv6, případně kombinace obou či použití několika adres v rámci jednoho rozhraní. Zaměřte se, zda zařízení a operační systémy v síti dokážou používat jeden či druhý z těchto mechanismů a za jakých okolností.
Velký význam má způsob přiřazování adres v případech, kdy je potřeba pravidelně kontrolovat přístupy zařízení a uživatelů ke konkrétním aplikacím. Často se tak děje kupříkladu ve finančních institucích. Tady bude nasazení IPv6 vyžadovat větší změny, které mohou mít dopad na databáze nebo bezpečnostní aspekty sítě.
Ověřte podporu IPv6 u zařízení, aplikací i služeb
Nespoléhejte na označení „supports IPv6“. Jasná definice podpory IPv6 v podstatě neexistuje, protože záleží čistě na tom, kde zařízení nebo operační systémy fungují a jaké normy (RFC) musí splňovat.
Obecně se doporučuje spíše spojit s příslušným dodavatelem, povědět mu o svých plánech a nechat si s dalším postupem či implementací nových technologií a aplikací poradit. V rámci toho můžete zjistit, jaké jsou třeba jeho plány a možnosti v oblasti IPv6 a zda se nevyplatí zvážit přechod na jinou technologii.
Platí to nejen pro zařízení a aplikace, ale i pro operátory, poskytovatele internetového připojení a telekomunikačních služeb. Zajímejte se, zda se chystají podporovat „IPv6 only“ spojení, jaké překladové mechanismy používají pro komunikaci mezi IPv4 a IPv6 (např. NAT, tunelovací technologie 6to4 či Teredo) a jestli budou nějakým způsobem upřednostňovat IPv6 provoz před v4.
Zvažte samosprávu DNS záznamů
Zatímco u IPv4 adres by se s nadsázkou dal DNS (Domain Name System) považovat spíše za výhodu, podoba IPv6 adres je natolik komplikovaná, že dělá z doménových jmen nutnost. Při přesunu na IPv6 se totiž pro uživatele nic nemění – stále se bude dotazovat stejného serveru, aniž by zjistil, že jeho IP adresa byla změněna.
Pro úpravy záznamů, testování, dodatečné změny i finální nasazení bude autonomní správa znamenat úsporu času a možná i zbytečných komplikací, které by mohly nastat při spolupráci s třetí stranou.
Před nasazením vše dobře otestujte
Je to nepříjemná a nejkomplikovanější část přechodu, ale je rovněž nejužitečnější. Jen při testování zjistíte, že některé aplikace v nové konfiguraci stále využívají staré knihovny, které IPv6 nepodporují, nebo že ukládají nekompatibilní datové struktury.
Některé aplikace mohou vyžadovat dvojí konfiguraci. V takovém případě ověřte, co se děje, když k aplikaci přistupuje někdo závislý čistě na IPv6 protokolu. U těchto uživatelů nemusí vše fungovat správně. Testy se snažte provádět opravdu pro co nejvíce případů užití a ideálně z několika bodů v internetu, abyste eliminovali co největší množství chyb.
Kromě dual stacku otestuje i funkčnost konfigurace bez protokolu IPv4, abyste byli připraveni i na vzdálenější budoucnost. S řadou technologií už výhledově nebude možné počítat, protože s IPv6 už zkrátka nejsou a nemohou být kompatibilní (třeba proto, že přístup k jejich zdrojovému kódu není dostupný atp.)
S přípravou a analýzou začněte včas
Už teď je jasné, že to bude běh na dlouhou trať. Proto migraci neodkládejte a začněte s plánováním co nejdříve. Pokud budete přesouvat jen několik IPv4 adres, zvládnete celý proces nejspíše sami. U rozsáhlejších sítí je určitě lepší využít profesionální pomoc. Proces mohou usnadnit i různé IPAM (IP address management) nástroje, které slouží jako databáze adres, často ale umožňují i propojení s DNS nebo DHCPv6.
V článku však nepokrýváme všechna úskalí, která mohou nastat. Mnoho aspektů se odvíjí od orientace i velikosti konkrétní firmy či instituce. Našim cílem je zdůraznit, že od IPv4 se jednou skutečně upustí a je dobré vědět o protokolu IPv6 a jeho konfiguraci vše potřebné, připravit na práci s ním své lidi a konzultovat případné úpravy síťové infrastruktury s odborníky s dostatečným předstihem. Pokud potřebujete probrat své možnosti a zásahy do infrastruktury, pošlete nám zprávu pomocí tlačítka níže. Rádi vám pomůžeme.