Aastaid elas ettevõttes IPv6 kummalises kohas: üldiselt tunnistati seda tulevikuks, kuid see oli vabatahtlik projekt, mida oleks võinud lõputult edasi lükata. Vahepeal liikusid edasi tarbijavõrgud, mobiilsideoperaatorid ja peamised infosisuplatvormid, muutes IPv6 vaikselt internetiliikluse tohutute osade vaikerajaks. Sageli jäid ettevõtted praktilistel põhjustel maha: ajaloolised vahendid, ebaühtlane turvanähtavus, müüjate lüngad ning reaalsus, et IPv4 töötas veel NATi, RFC1918 ruumi ja loomingulise aadressihalduse kaudu.
Nüüd on midagi muutunud ilma dramaatiliste pealkirjadeta. Paljud ettevõtted emigreeruvad ühe suure suure ürituse raames IPv69-sse. Need võimaldavad seda konkreetsetes kohtades, kus see lahendab tõelisi probleeme, vähendab tegevuslikke hõõrdumisi või ühtib pilv-native ja julgeolekuarhitektuuridega. Tulemuseks on omamoodi vaikne areng: IPv6 muutub normaalseks igas kvartalis rohkem segmentides, mitte häiriva kärpimisena, vaid kaherealiste võrkude pideva laienemisena, IPv6-valmis tööriistadena ja IPv6-esimese mõtlemisena.
Miks tunneb IPv6 äkki end vähem vabatahtlikuna
Kõige tähtsam liikumapanev jõud ei ole ideoloogia gravitatsioon. IPv4 teemanappus surub jätkuvalt väljapoole keerukust: kaugkäitiste kandevõimeline NAT, ebamugav kattuv RFC1918 vahemik ühinemise ajal, rabe NAT-poliitika multipilvedes ning pidevad erandid turvaeeskirjades ja tõrkeotsingutes. IPv6 ei tee maagiliselt lihtsustada iga võrgu, kuid see eemaldab terve klassi piiranguid, mis tulenevad püüdes muuta liiga palju tulemusnäitajaid sobivad liiga vähe avalik aadresse.
Teine juht on arhitektuur. Nüüdisaegsed ettevõtlusvõrgustikud näevad välja vähem ühe ülikoolilinnaku moodi, millel on andmekeskus ja rohkem nagu harude servad, pilvede VPCd/VNETid, SaaS sõltkonnad, kaugkasutajad ja identiteedil põhinevad turvakontrollid. Selles maailmas muutub juhtimine ja juurdepääsetavus poliitilisteks probleemideks sama palju kui marsruutimisprobleemideks. IPv66+ paaris küpsete DDI (DNS, DHCP, IPAM) ja kaasaegsete turvakontrollidega, sobib loomulikult segmenteeritud disainidesse, kus selgus ja skaala on rohkem kui nutikas NAT võimlemine.
Kolmas juht on valmis. Ökosüsteem on IPv6-peatav, kui see oli isegi paar aastat tagasi: operatsioonisüsteemid, brauserid, CDN-id, pilvede pakkujad, ja paljud turvateenuste müüjad on kõvastunud oma IPv6 toetust. Aga see vähendab hirmu astuda tundmatule territooriumile. Paljude IT-meeskondade jaoks on otsus nihkunud ~can meilt? ~ Kust me saame väärtust esimesena?
Kui ettevõtted võimaldavad IPv6 esimest korda
Ettevõtluse võimaldamine kipub koonduma alade ümber, kus IPv6 vähendab otseselt operatsioonilist valu või ühtib tehnoloogia värskendamise tsüklitega. Ühtne mudel on valikuline vastuvõtmine: konkreetsed valdkonnad muutuvad kahesuunaliseks, teatavad teenused muutuvad IPv6-saadavaks ning järelevalve/julgeolek muutub pigem IPv6-teadlikuks kui kenaks.
Interneti- ja CDN-uksed
Kõige lihtsamad võitjad ilmuvad sageli servale. Ettevõtted saavad võimaldada IPv6 avalikes kohtades, veebirakendustes, API-des, kliendiportaalides, ilma sisevõrke ümber kujundamata. Kui CDN või serv platvorm lõpetab kliendiliikluse, saab IPv6 pakkuda klientidele isegi siis, kui päritoluteenused jäävad IPv4 stseenide taha. See on madala riskiga viis vähendada sõltuvust IPv4 nappusest ja parandada juurdepääsetavust võrkude puhul, kus eelistatakse IPv6.
IT-spetsialistid, see on ka sunniv funktsioon tegevuse küpsus. Hetk, mil paljastada IPv6 väliselt, peate tagama WAF poliitika, määr piirangud, georeeglid, robot juhtimine, ja raie töö võrdselt mõlema protokolli peredele. Sama poliitika, sama nähtavus on ka standard. Ettevõtjad, kes seda hästi teevad, kohtlevad IPv6 võimaldamist sageli kui kontrollharjutusi oma turvaseisundi kinnitamiseks.
Pilvandmetöötlus ja mitmekihiline lõhestamine
Avalik pilvkeskkond on väga kiire. Isegi kui ettevõtted hoiavad töökoormust kaherealine, tegevus projekteerimise VPC / VNET paigutused, marsruutimine, ja turvalisuse rühmad IPv6 silmas pidades muutub, kuidas meeskonnad mõtlevad tegeleda ruumi ja killustatuse. IPv6 aadress on külluslik, mis lihtsustab puhaste eesliitede eraldamist keskkonna, piirkonna, üürniku või kasutusvaldkonna kohta ilma pidevaid läbirääkimisi tegemata.
Mitut värvi sisaldavate stsenaariumide korral võib IPv6 vähendada kokkupõrgete maksu, mis ilmneb siis, kui erinevad meeskonnad valivad iseseisvalt era IPv4 vahemikud ja vajavad hiljem ühenduvust. IPv6 võitis kõik integratsiooniprobleemid, kuid see võib vähendada juhtude arvu, kus ühinemine, omandamine või uus äriüksus sunnib valulikku ümberpööramisprojekti lihtsalt prognoositava ühenduvuse loomiseks.
Campus WiFi ja kaasaegsed juurdepääsuvõrgud
Külastuse värskendustsüklid on IPv6 sagedane sisendpunkt. Paljud organisatsioonid võimaldavad IPv6 kliendivõrkudes, säilitades backend teenused dual-stack. Põhjused on praktilised: kaasaegne kliendi seadmed sageli eelistavad IPv6 kui saadaval, ja IPv6 võib vähendada ebamugav NAT käitumist, mis raskendada peer-to-service teed, telemeetria, ja jõudluse vigu.
Siin on ka poliitika ja hügieeni küsimus. Kui IPv6 ilmub juurdepääsuvõrkudesse, vajavad IT-meeskonnad järjepidevat RA (Router reklaami) käitumist, asjakohast kaitset rogue RAde vastu ja selget seisukohta SLAACi ja DHCPv6 suhtes erinevates segmentides. Parimad tulemused on siis, kui IPv6 käsitletakse osana baasjuurdepääsu disainist, mitte lisandina, mis hiljem paigatakse.
Harubüroo SD-WAN ja SARE servad
Harualade ühenduvus sõltub üha enam SD-WAN-ist ja SARE-poliitikast, kus servseade muutub segmenteerumise, ohu filtreerimise ja rakenduse juhtimise jõustamispunktiks. Neis arhitektuurides saabub IPv6 võimaldamine sageli ~edge moderniseerimise osana. Mõned organisatsioonid jooksevad kaherealine stack filiaali WAN servas hoides samas sisemine VLANs IPv4; teised minna kaherealine lõpp-to-end konkreetsete kasutaja segmendid.
Peidetud kasu on toimiv: järjekindel tegelemine ja vähem NAT kihid võivad teha lihtsamaks korrelatsiooni sündmuste logid, jälgi voolu lõpp-to-end, ja rakendada poliitikat prognoositaval viisil. Suurim blokaator on tavaliselt vahend ühtlustamiseks, tagades SD-WAN/SASE platvormi, mis pakub nähtavust, poliitikat ja IPv6 aruandlust.
Kuubernetid, konteineriplatvormid ja teenindussilmad
Pilv-naaberlikud platvormid suruvad võrgumeeskonnad standardimise ja automaatika poole. Kubernetes-rasketes keskkondades on vestlus ainult ~Kas me suuname IPv6? aga ~Kas meie CNI-d, sissetulevad kontrollerid, koormuse tasakaalustajad ja tähelepanelikkuse korstnad käituvad IPv6ga õigesti? Ettevõtted, kes on sügaval konteinerplatvormid sageli alustada võimaldades IPv6 klastri servas, siis laieneda dual-kaunad ja teenuseid, kui ümbritseva ökosüsteemi on valmis.
IPv6 võib olla eriti ahvatlev, kui tihedad mitmesugust disaini põhjustada IPv4 planeerimine peavalu. Piisav eesliidete jaotus ja puhaste adhesioonipiiridega meeskonnad võivad vähendada hädaolukorra taasIP töö sagedust, mis tekib siis, kui keskkond laieneb oodatust kiiremini.
IoT, pardal olev seade ja suuremahulised identiteedivõrgud
IoT-laevastikud, sensorite paigaldused, nutikas ehitustehnoloogia ja suured seadmed pardal loovad aadressiskaala ja segmenteerimisrõhu. Paljud neist rakendustest on loomulikult rohelised väljad võrreldes varasemate andmekeskuste võrgustikega, mis teeb neist head kandidaadid IPv6-esimesele või kaherealisele disainile. Ettevõtted on siin ettevaatlikud, mitte sellepärast, et IPv6 on riskantne, vaid sellepärast, et operatiivjuhtimine peab olema range: seadme inventuur, sertifikaadi identiteet, segmenteerimine ja telemeetria kogumine peavad kõik jääma prognoositavaks.
IPv6 ei asenda identiteedil põhinevat kontrolli, kuid see saab seda toetada, andes teile puhtad, struktureeritud aadressieraldised, mis loogiliselt kaardistatakse saitide, põrandate, seadmetüüpide ja poliitikavaldkondadega.
Tegelikkus ja mida see tähendab?
Enamikus ettevõtetes ei ole lähimaks sihtkohaks mitte ainult IPv6-punkt. Seal, kus see on ohutu ja kasulik, on see kahepalgeline. Dual-stack'i kirjeldatakse sageli üleminekufaasina, kuid praktikas saab sellest töörežiim, mis võib kesta aastaid. See oli tahtlik.
Korralik töö tähendab enamat kui liidese lipu sisselülitamine. See tähendab, et teie tegevusmudel eeldab kahte paralleelset rada ja väldib üllatusi, kui kliendid valivad ühe teise asemel. DNS käitumine, koormuse tasakaalustaja kuulajad, tulemüüri reeglid, tulemusnäitaja poliitika, ja jälgimine kõik tuleb käsitleda IPv6 esimese klassi kodanik. Eesmärgiks on võrdsus: samad tulemused, sama jõustamine, sama nähtavus.
Ühtne ettevõttemuster on ~IPv6 serval ja ligipääsukihil, IPv4 sügavamal sees, samas kui siseteenused on küpsemad. Teine muster on see, et IPv6 võimaldati uute keskkondade ja omandamiste jaoks, kus IPv6st saab puhtaim viis integreeruda ilma ümberpööramata.
Turvameeskonnad sõidavad üha enam IPv6ga.
See on lihtne eeldada turvameeskonnad vastu IPv6. Ajalooliselt oli see mõnikord tõsi, sest nähtavus ja kontroll jäid hiljaks. Tänapäeval püüavad paljud turvaorganisatsioonid aktiivselt IPv6 valmisolekut, sest alternatiiviks on vari IPv6: tulemusnäitajad ja võrgustikud, mis kasutavad IPv6 oportunistlikult ilma täieliku jälgimise, poliitika pariteedi või vahejuhtumitele reageerimise usalduseta.
Kui IPv6 ignoreeritakse, ilmnevad probleemid peenel viisil: puudulikud logid, pimedad kohad NDR/IDS levialas, segadusse ajavad tulemüüripoliitikad või analüütikud, kes üritavad sündmuste korreleeruda, sest vara ilmub mitme aadressiga perekondade alla. Vaikne nihe on see, et ettevõtted kohtlevad turvanõudena üha enam ~IPv6 pariteedit.
- Tulemüüri poliitika peab toetama IPv6 objekte, rühmi ja järjepidevat killustatuse loogikat.
- SIEM torujuhtmed peavad normaliseerida IPv6 valdkondades ja säilitada neid läbi parsimine ja rikastamine.
- Ohuinfo, blocklistid ja maine süsteemid peavad käsitlema IPv6 aadresse ja eesliiteid.
- Haavatavuse skaneerimine ja vara avastus peavad usaldusväärselt tuvastama ainult IPv6- tulemusnäitajad.
- Juhtum vastuse playbooks peab sisaldama IPv6 voolu analüüs ja logi otsing mustrid.
Ettevõtted, kes liiguvad kiiremini, kalduvad võrgu inseneri- ja turvatoiminguid varakult ühtlustama. Parimad IPv6 kasutuselevõtud ei ole mitte ainult võrgualgatused, vaid ka ristfunktsionaalsed valmisolekuprogrammid, kus marsruudid, DDI, lõpp-punktide inseneritöö, SOCi töövahendid ja juhtimine liiguvad koos.
Tavalised blokaatorid, mis lõpuks kahanevad
IPv6 ebaõnnestus, sest see oli tehniliselt halvem. Paljudes ettevõtetes oli see seiskunud, sest ümbritsev ökosüsteem oli pidevalt valmis. Ökosüsteem on paranenud ja ülejäänud blokaatorid on süstemaatilise lähenemise korral paremini hallatavad.
Pärandlussüsteemid on endiselt kangekaelne probleem. Mõned vanemad seadmed, manussüsteemid ja nišihaldusvahendid eeldavad ikka veel IPv4-ainult käitumist. Ettevõtted tegelevad sellega üha enam, eraldades need süsteemid IPv4 ainult segmentides, liikudes samas edasi kaasaegsete klientide ja pilvede keskkondades. Teiste sõnadega, IPv6 progress ei vaja täiuslikkust kõikjal.
Teine takistus on oskused ja tegevuskindlus. IPv6 ise ei ole ~hard, ~ kuid tegevus üksikasjad erinevad: käsitledes plaane, mis põhinevad eesliited, naabrite avastamise käitumist, RA valvur kaalutlused, ja vaimne üleminek NAT kui vaikimisi turvalisuse tekk. Edukad ettevõtted peavad IPv6-t kompetentsi suurendamise jõupingutuseks, mitte ainult konfiguratsiooniülesandeks.
Pariteet on viimane peamine blokaator. Isegi siis, kui müüjad väidavad IPv6 toetust, ettevõtted vajavad tõendeid igapäevased operatsioonid: armatuurlauad, teated, pakett tabab, voolu logid, ja poliitika objektid kõik töötavad puhtalt. Julgustav suundumus on see, et üha enam müüjaid toetab nüüd IPv6-t piisavalt sügavalt, et ettevõtted saaksid standardida ~IPv6-kehtivate vahendite kogumit ja vältida hapraid ühekordseid ringe.
Design valikud ettevõtted lähenevad
Kuigi iga ettevõte on erinev, on IPv6 edukates programmides mitu praktilist mustrit. Need mudelid vähendavad mitmetimõistetavust, lihtsustavad toiminguid ja takistavad varjatud riski tekitavaid osalisi kasutuselevõttu.
Prefixi planeerimist käsitletakse arhitektuurina, mitte aritmeetikana. Ettevõtted eraldavad üha enam eesliiteid viisil, mis peegeldab organisatsioonilisi piire: kohti, piirkondi, keskkonda ja turvatsoone. Eesmärgiks on järjepidevus ja delegatiivsus. Kui saidile või pilvekeskkonnale saab määrata stabiilse prefiksploki, muutub automatiseerimine lihtsamaks ja tõrkeotsing muutub vähem kaootiliseks.
DNS muutub veelgi kesksemaks. Dual-stack võrgud, DNS vastused sageli määrata, milline protokolli tee kliendid võtta. Ettevõtted, kes kogevad salapärast ühenduvust probleeme sageli avastada, et DNS käitumist, split-horizon konfiguratsioonid, või vastuolulised AAA kirjed on juured. Vaikne progress tavaliselt sisaldab vaikne DNS moderniseerimine: selgem omandiõigus, automatiseeritud rekord juhtimine ja järjepidev poliitika avaldamist AAA arvestust.
DDI tähtaeg on eristaja. IPAM, kes mõistab IPv6 eesliiteid, delegeeritud plokke ja elutsükli juhtimist, takistab Dumm'i levitamislehte naasmast. DHCPv6 ja SLAAC otsused tehakse iga segmendi kohta, mis põhineb seadme tüübil, nõuetele vastavuse vajadustel ja kasutuseelistustel. Võtmeks on dokumenteeritud kavatsus: meeskonnad teavad, miks segment kasutab konkreetset meetodit ja millised kaitsed on olemas.
Operatiivjälgitavus: tegelik make-or-break tegur
Kui on üks valdkond, kus ettevõtte IPv6 programmid kas kiirendada või venitada, see on tähelepanelik. IT-spetsialistid ei karda IPv6 aadresse, vaid kardavad, et nad ei suuda näha, mis juhtub, kui midagi murdub.
Telemeetriasse investeerivad ettevõtted investeerivad muu hulgas sellesse, et telemeetria oleks igavalt usaldusväärne: voologide hulka kuuluvad IPv6 väljad, pakettide jäädvustamine töövood töötavad samamoodi, CMDB ja varade inventar ühendavad IPv6 seadmetega ning jõudluse jälgimine ignoreerib kogemata IPv6 radu. Probleemid ei tohiks muutuda erioskuste reserveeritud mõned võrgu insenerid; see peaks olema rutiinne NOC ja SOC meeskonnad.
Siin on oluline ka järjepidevus. Kui IPv6 liiklus kulgeb erineval viisil kui IPv4, võivad meeskonnad lõpetada kahe eraldi võrgu silumise. Valminud ettevõtted väldivad tahtlikult ajude lõhestamist, tagades võimaluse korral poliitika, suunamiseesmärgi ja väljaviimise.
Juhtimine: IPv6 võimaldamine ilma kaost tekitamata
Ettevõtted, mis edenevad pidevalt käsitleda IPv6 võimaldamine nagu platvormi programmi valvurid. Neis määratletakse, kus IPv6 toetatakse, mida tähendab "done" ja kuidas käsitletakse erandeid. Neis määratletakse ka omandiline kuuluvus: kes haldab aadressiplaane, kes avaldab dokumente, kes kinnitab turvalisuse pariteedi ja kes allkirjastab tootmisvalmiduse.
Praktilise juhtimise lähenemisviis hõlmab tavaliselt kerget standardite kogumit, mida meeskonnad saavad järgida, ilma et see aeglustaks:
- Standardne prefiksijaotusmudel mälestiste ja pilvekeskkondade jaoks.
- Dokumenteeritud DNS poliitika AAA kirjed ja dual-stack teenuse avaldamist.
- Turvapariteedi nõuded tulemüürile, metsaraiele ja seirele.
- Kinnitatud müüja/töövahendite loetelu IPv6-kapitavate platvormide ja töövoogude kohta.
- Arhitektuurid ühistele mudelitele (haru, ülikoolilinnak, pilv, Kubernetes).
See ei pea olema raske bürokraatia. Eesmärgiks on vältida juhuslikke IPv66 (kui see esineb mõnes kohas ilma toetava kontrollita) ja asendada see tahtliku IPv6-ga, mis on jälgitav, toetatav ja turvaline.
Milline näeb välja tõeline ettevõtte areng?
Sest paljud kasutuselevõtud on järk-järgult, edu võib olla raske mõõta, kui teie ainus mõõdupuu on ~ protsent migreerunud. Ettevõtjatel on sageli rohkem praktilisi näitajaid:
- IPv6 kaudu Interneti teel pakutavate teenuste osakaal.
- Hallatud tulemusnäitajate protsent, mida IPv6 saab esmase juurdepääsu võrkudes.
- Kontrollitud IPv6 pariteediga kriitiliste turvakontrollide arv (poliitika + logid + hoiatusteated).
- Standardse IPv6 prefiksi ja marsruutimismustriga pilvekeskkondade arv.
- IPv4 kokkupõrkejuhtumite vähendamine integratsiooni ning M&A ühenduvuse käigus.
Need näitajad sobivad ettevõtete tegeliku toimimisega. Nad tunnistavad, et IPv4 võitis ööbides, samas kui see tõi kaasa olulisi tulemusi: vähem NATi põhjustatud peavalusid, puhtam killustatus ja parem pikaajaline skaleeritavus.
Miks see IT spetsialistidele praegu oluline on?
Kui hallata võrke, infrastruktuuri, turvaoperatsioone või pilvplatvorme, siis IPv6 on üha enam osa teie vaikimisi pädevusest. Isegi kui teie organisatsioon ei ole eesmärk täielik IPv6-ainult poos, kohtate IPv6 kliendi käitumist, müüja teenuseid, mobiilside ja pilve integratsiooni. Operatiivne küsimus ei ole selles, kas IPv6 on olemas, on see, kas teie keskkond tegeleb sellega ettenägelikult ja ohutult.
Vaiksed edusammud ettevõtete vahel on signaal, et tööstus liigub teoreetiliselt IPv6 valmisolekult praktilisele IPv6 võimaldamisele. See vahetus premeerib võistkondi, kes investeerivad juba varakult pariteedisse: järjekindel poliitika, järjepidev nähtavus ja järjepidevad operatsioonilised mänguraamatud.
Lähitulevik: rohkem IPv6-maksejõuetuse otsuseid
IPv6 kuvatakse sagedamini kaudse nõudena, mitte vabatahtlikuna. Uus ülikoolilinnak värskendab, serva turvaplatvormid, pilvede maandumistsoonid ja suur seade pardal programmid üha eeldada IPv6 on kohal. Ettevõtted, kes käsitavad IPv6-t kui kellegi teise probleemi, riskivad triivimisega osalisele kasutuselevõtule, mis loob pimedaid kohti ja rabedaid erandeid.
Ettevõtted, kes võtavad omaks vaikse lähenemisviisi, võimaldavad seda seal, kus see loob väärtust, kinnitab pariteedi, laiendab pidevalt, et vältida draamat. IPv6 muutub veel üheks normaalseks võrgukihiks, mitte spetsiaalseks finišijoonega projektiks. Nüüdisaegses IT-s on normaalne just see, mida sa tahad: vähem üllatusi, selgemaid poliitikaid ja platvormi, mis mahub ilma pidevalt võitlemata mineviku piiride vastu.
10556 
IT Pro 
