web-dev-qa-db-ja.com

IPv4からIPv6への移行に関するアドバイス

現在、ネットワークにIPv6機能を追加する作業を行っています。2020年に私たちが慣れているIPv4の概念の一部をIPv6の世界に変換するためのベストプラクティスと見なされるものについていくつか質問があります。

現在の設定では、ISPから/ 64が割り当てられており、ルーターはそのプレフィックスをアドバタイズして、クライアントがSLAACを使用して自分自身を構成できるようにします。これは問題なく動作するようで、私が知る限り、誰もがIPv6インターネットにアクセスできます。

ただし、名前でクエリを実行できるようにしたいので、クライアントにAAAAレコードをプロビジョニングするためのベストプラクティスはわかりません。

私が行ったことは、DHCPv4を実行するdnsmasqインスタンスにステートフルDHCPv6を展開し、アドレスを要求する人にAAAAレコードを自然にプロビジョニングするいくつかの範囲からULAを配布するように指示することです。これも問題なく動作するようですが、ステートフルDHCPv6の嫌いな点があることは知っています。これは、DHCPv4の場合と同じように、静的IPにあるサーバーの割り当てを統合するのにも役立ちます。これらのサーバーは、さまざまな理由で固定IPアドレスでアクセスできる必要があり、IPv6の場合もそうであるようにしたいと考えています。

AAAAレコードを実行するために私が考えることができる他の唯一の方法は、ユニキャスト経由でルーターからdnsmasqマシンにRAプレフィックスを送信してから、dnsmasqを使用し、ra-namesオプションを使用してslaacのGUAプレフィックスをアドバタイズすることです。これで静的アドレスの割り当てを解決することはできませんが、私が知る限り、実際の信頼性はわかりません。 ステートフルDHCPv6を備えたULAよりも内部AAAAレコードを処理するより良い方法はありますか?

最後に、問題が解決し始めた今、私たちはパブリックサービスをIPv6に移行することを検討しています。私の理解では、これにはサーバーがパブリックAAAAレコードをプロビジョニングするための固定GUAが必要になるということです。同等のdynamic-dnsの種類がない限り、エッジルータからSLAACを使用してこれを実現する方法はわかりません。 再度DHCPv6または別の手動割り当て方法を使用して、割り当てられたプレフィックスでIPを選択できますか? SLAACアドレスと衝突する可能性があると思ったため、これを行うのをためらっていました。衝突があります。または、ISPに/ 48を要求するオプションがありますこれを実行して、ローカルクライアントが接続を取得するために単一の/ 64を通知し、静的サーバーのために異なる/ 64を通知する必要がありますか?これはやりすぎのように見えました私は、シングル/ 64の入力にすでに近づいていませんが、これはIPv4の考え方で混乱している可能性があります。

domain-name-systemdhcpipv6dhcpv6
20
Max Ehrlich

これは私にはやり過ぎのように見えました。シングル/ 64を埋めるには至っていませんが、これは私のIPv4の考え方が混乱しているかもしれません。

ホストの数をやめる、それはIPv4の考え方です。サブネットは、1つのサイズですべてに対応できます。/64は、これまでに作られたすべてのIPデバイスに十分な余裕をもって対応できます。

しかし、アドレススペースはさらに大きく、単一のサイトが/ 48を簡単に要求できるようになっています。 64 000/64s、4桁の16進数、ご希望のアドレスプランに従って配布します。

/ 48の場合、私はそれを正確に何に使用しますか。

あなたが望むものなら、なんでも!寛大になり、成長を計画してください。すべてのサブネット、すべてのVLAN、wifi SSID、セキュリティゾーン、クラウドとリモートアクセスVPN、各コンテナのホスト、バニティスタティックサービスアドレスの「すべて0」の/ 64などに/ 64を与えます。

断片化を回避するために、可能な場合は集計します。したがって、おそらく/ 60sまたは/ 56sをDHCPサーバー、手動で割り当てられた静的プール、wifiコントローラー、またはコンテナーオーケストレーションシステムなどの内部ネットワークに委任します。上記すべてのテスト環境。

DHCP-PDのように動的である必要はありません。特に、ISPからの静的なプレフィックスがある場合はそうではありません。しかし、IPAMシステムでは、何らかの形で追跡します。

または、競合が見つかった場合の優雅な解決策はありますか?

IPv6ノードは、ステートレス、DHCPv6、手動など、すべてのユニキャストアドレスで 重複アドレス検出 を実行することになっています。標準は、問題の診断を困難にするのではなく、重複で停止することです。/64でランダムに生成されたアドレスは、競合の可能性が非常に低くなります。

ULA

ULAはnoインターネットアドレッシングです。グローバルに到達できないため、標準のデフォルトアドレス選択ポリシーでは、IPv4よりも優先順位が低くなります。 rfc6724を参照してください。そのため、IPv6インターネットに接続するホストでは、グローバルにルーティング可能な(ULAではない)アドレスが必要になります。

ある種のdynamic-dnsと同等。

はい、DNSが必要です。名前はIPより人間にとって簡単です。

はい。通常、IPを知ることは、状態を持つDHCPv6サーバーと、動的DNSクライアントで構成されているSLAACノードの間の選択です。 ルーター通知フラグAおよびM は、クライアントにステートフルまたはステートレスを通知します。

AD DS参加したホストはかなり単純です。DNSに追加されることが予想されます。

または、サーバーインターフェイスをステートレスで構成しますが、ランダムではないEUI-64ベースのアドレスを使用します。次に、MACアドレスに基づいて事前にアドレスを計算し、それをDNSに入れることができます。

そして、すべてのデバイスがDNSにある必要はありません。パーソナルAndroidデバイスがゲストインターネットで許可されている場合、それらはDHCPv6を実行しません。MDMで管理されていない場合、IPはわかりません。

16
John Mahowald

まず、/ 48を取得します。セキュリティと管理性のために、すべてを単一のブロードキャストドメイン(VLAN)に配置しないことをお勧めします。

次に、サーバーの場合、アドレスを静的に構成します。必要に応じて、同じネットワークでSLAAC、DHCPv6、および静的アドレスを使用できます。

ワークステーションのIPv6アドレスをDNSに配置することはあまり一般的ではありませんが、それが役立つユースケースがあります。住所が安定している企業の場合、ULAを使用しないことをお勧めします。

私があなたの状況でやろうとしていることは、SLAACを有効にしたままにして、ユーザーがプライバシーアドレスなどを取得できるようにすることです。固定アドレスを提供し、必要に応じてDNSにそれらを配置する側にDHCPv6サーバーを追加します。また、ルーターアドバタイズでMフラグを設定して、クライアントがDHCPv6サーバーが存在することを認識できるようにします。

また、IPv6はすべてにグローバルアドレスを使用するため、ファイアウォールのような適切なネットワークセキュリティを確保してください。

9
Sander Steffann

または、ISPに/ 48を要求するオプションがあります。これを実行して、ローカルクライアントが接続を取得するために単一の/ 64をアドバタイズし、静的サーバーに対して異なる/ 64をアドバタイズする必要がありますか?

絶対にISPに/ 48を要求してください。/SLAACを含むすべての種類のものを壊さずに/ 64をサブネット化することはできません。

サーバーとローカルクライアントを別のネットワークに配置するという考えも(IPv4でも)非常に優れています。もちろん、ネットワークインフラストラクチャによっては、それができない場合があります(個別の配線またはVLAN機能)が必要です)。しかし、質問しているので、これはあなたのための問題。

ネットワークを分離すると、それらの間にファイアウォールを配置できます。 IPv6ではすべてがパブリックIPアドレスであるため、ファイアウォールを慎重に微調整することはIPv4よりもはるかに重要です。誤ってシステムをインターネットに直接放置するのは、あまりにも簡単です。これはIPv6の主な弱点の1つです。ネットワークを分離した場合、一方のネットワークでこのようなミスをしても、もう一方のネットワークが自動的に公開されることはありません。

また、ネットワークを分離する場合は、内部ネットワークで同じことを行わなくても、サーバー側ネットワークにゼロトラストアプローチを実装できます(これにより、ファイアウォールの必要性が減る可能性があります)。

または、サーバーを移行して、ワークステーションをIPv4のみのネットワークに維持することもできます。これは、ワークロードを削減し、IPv6をサポートしない古いデバイスをサポートし、他にも多くの利点があります(ただし、一部のIPv6支持者はこれに反対します)。

結論:インフラストラクチャがそれをサポートしている限り、ネットワークを確実に分離すると、多くの利点があり、実際の欠点はありません。

2番目の質問については、まともな規模の企業ネットワークに取り組んでいるようです。独自のソリューションを導入するのではなく、IPAMソリューションを実装することを強くお勧めします。

状況に対する一般的な答えは、あなたが提案したとおりです。DNSサーバーの自動更新を備えたステートフルDHCPv6。ほとんどのIPAMソリューションは、基本的にこれら2つのテクノロジーと管理フロントエンドです。

追加のために編集:完全を期すために、おそらくあなたには適していないかもしれませんが、mdns(別名bonjourまたはzeroconf)を名前解決に使用することもできます。

それのサポートはややむらです。 Apple通常はサポートしていますが、Windows 10は部分的にサポートしていますが、レジストリを操作して従来のWindowsアプリケーションで機能させる必要があり、私はそれをまったく機能させることができませんでしたAndroid。

もちろん、mdnsは外部DNSサーバーの更新に関する質問にも対応しません。

4
Kevin Keane