몇 년 동안 엔터프라이즈의 IPv6는 낯선 곳에서 살았습니다. 보편적으로 "미래"로 인정했지만 무한하게 지연 될 수있는 옵션 프로젝트처럼 대우되었습니다. 한편, 소비자 네트워크, 이동 통신 사업자 및 주요 콘텐츠 플랫폼은 앞서 이동, 조용히 IPv6 인터넷 트래픽의 거대한 부분을위한 기본 경로. 엔터프라이즈는 종종 실용적인 이유에 대해 유지 : 레거시 툴링, 심지어 보안 가시성, 공급 업체 간격 및 NAT, RFC1918 공간 및 창의적인 주소 관리를 통해 IPv4가 여전히 "작업"하는 현실.
이제 뭔가가 바뀌 었습니다. 많은 기업은 단 하나 큰 방 사건에 있는 IPv6에 “migrating. 실제 문제를 해결하고 운영 마찰을 줄이고 클라우드 기반 및 보안 아키텍처로 정렬 할 수있는 특정 장소에 대응합니다. 결과는 조용한 진도의 일종입니다. IPv6는 각 분기보다 정상적이지만 이중 스택 네트워크, IPv6-ready 툴링 및 IPv6-first 생각의 꾸준한 확장이 아닙니다.
왜 IPv6가 갑자기 더 적은 선택
가장 중요한 드라이버는 중력입니다. IPv4 주소 scarcity는 복잡성을 밖으로 밀어 유지: 원격 사이트에 대 한 캐리어 등급 NAT, awkward overlapping RFC1918 범위 병합, 멀티 클라우드에 브리트 NAT 정책, 보안 규칙 및 문제 해결에 일정한 예외. IPv6는 마법으로 모든 네트워크를 단순화하지 않지만 몇 가지 공공 주소에 맞는 너무 많은 엔드포인트를 만들기 위해 노력하는 제약의 전체 클래스를 제거합니다.
두 번째 드라이버는 건축입니다. 현대 기업 네트워크는 데이터 센터를 가진 단 하나 캠퍼스와 더 적은을 보고 분지 가장자리의 메시 같이, 구름 VPCs/VNETs, SaaS Dependencies, 먼 사용자 및 ID 몬 안전 통제. 그 세계, 주소 관리 및 범위성은 routing 문제만큼 정책 문제가됩니다. IPv6는 성숙한 DDI (DNS, DHCP, IPAM) 및 현대 안전 통제로 - 명확성 및 가늠자가 clever NAT 체조 보다는 더 많은 것을 사정하는 세그먼트 디자인에 자연적으로 적합하.
세 번째 드라이버는 "platform readiness"입니다. 생태계는 몇 년 전에도 더 많은 IPv6-capable입니다. 운영 체제, 브라우저, CDN, 클라우드 제공 업체 및 많은 보안 공급 업체는 IPv6 지원을 강화했습니다. 그것은 가장자리 케이스를 제거하지 않습니다, 그러나 그것은 알 수없는 영토로 족답의 두려움을 감소. 많은 IT 팀의 경우, 결정은 "우리는 할 수 있습니까?"에서 "우리는 먼저 가치를 얻을 수 있습니까?"로 이동했습니다.
기업이 IPv6를 먼저 가능하게 하는 곳
엔터프라이즈 활성화는 IPv6가 직접 작동 통증을 줄이고 기술을 새로 고침 사이클로 정렬합니다. 일반적인 패턴은 선택적 채택이다 : 특정 도메인은 듀얼 태스크를 이동, 특정 서비스는 IPv6-reachable이되고 모니터링 / 보안은 좋지-to-have보다 오히려 요구 사항으로 IPv6-aware가된다.
인터넷 방송 서비스 및 CDN 프론트 도어
가장 간단한 "wins"는 종종 가장자리에 나타납니다. 엔터프라이즈는 내부 네트워크를 재설계하지 않고, 공공장소에서 IPv6를 활성화할 수 있습니다. CDN 또는 Edge 플랫폼이 클라이언트 트래픽을 종결 할 때, IPv6는 원래 서비스가 장면 뒤에 IPv4 남아 경우에도 고객에게 제공 할 수 있습니다. 이것은 IPv4 scarcity에 의존도를 감소시키고 IPv6가 선호되는 네트워크에 대한 가용성을 향상시킵니다.
IT 전문가를 위해, 이것은 또한 가동 성숙을 위한 forcing 기능입니다. IPv6를 외부로 노출하면 WAF 정책, 속도 제한, 지오 규칙, 봇 관리 및 로깅은 프로토콜 가족과 동일하게 작동합니다. “Same 정책, 동일한 가시”는 표준이 됩니다. 이 작업을 잘하는 기업은 종종 그들의 가장자리 보안 자세에 대한 검증 운동으로 IPv6 활성화를 치료합니다.
클라우드 네트워킹 및 멀티 클라우드 세그먼트
공공 구름 환경은 중요한 accelerant입니다. 기업이 작업 부하가 듀얼 태스크를 유지 할 때, VPC / VNET 레이아웃, 라우팅 및 보안 그룹을 설계하는 행위는 IPv6을 염두에두고 팀이 공간과 세그먼트에 대해 생각하는 방법을 변경합니다. IPv6 주소는 plentiful, 끊임없이 협상 overlapping 범위를 협상하지 않는 지역 당 환경, 당, 또는, 당 지역 당 청결한 prefixes를 할당하는 것이 더 쉽습니다.
멀티 클라우드 시나리오에서 IPv6는 다른 팀이 독립적으로 개인 IPv4 범위를 선택하고 나중에 연결이 필요한 경우 나타나는 "주소 충돌 세금"을 줄일 수 있습니다. IPv6는 모든 통합 도전을 제거하지 않지만 합병, 인수, 새로운 비즈니스 단위가 예측 가능한 연결을 설정하기 위해 고통스러운 판독 프로젝트를 강제 할 수있는 사례의 수를 줄일 수 있습니다.
캠퍼스 Wi-Fi 및 현대 액세스 네트워크
캠퍼스는 새로운 무선 컨트롤러, Wi-Fi 6/6E/7 업그레이드, NAC 개선 및 세그먼트 SSIDs를 새로 고침하여 IPv6에 대한 빈번한 입장 지점을 제공합니다. 많은 조직은 클라이언트 네트워크에서 IPv6를 활성화하고 백엔드 서비스 이중 스택을 유지하면서. 이 이유는 실제로: 현대 클라이언트 장치는 자주 사용할 때 IPv6를 선호하고, IPv6는 동료 서비스 경로, 원격 측정 및 성능 문제 해결을 complicate NAT 행동을 감소시킬 수 있습니다.
또한 정책과 위생이 중요합니다. IPv6가 액세스 네트워크에 나타나면 IT 팀은 일관된 RA (Router 광고) 행동, rogue RAs에 대한 적절한 보호 및 SLAAC versus DHCPv6에 대한 명확한 stance가 다른 세그먼트에 있습니다. 최고의 결과가 IPv6가 기본 액세스 디자인의 일부로 처리 될 때, 나중에 패치 될 추가되지.
지점 사무실, SD-WAN 및 SASE 가장자리
브랜치 연결은 SD-WAN 오버레이 및 SASE 정책에 점점 의존합니다. 가장자리 장치가 세그먼트, 위협 필터링 및 응용 스티어링에 대한 강제 포인트가됩니다. 이러한 아키텍처에서 IPv6의 활성화는 종종 "edge modernization"의 일부로 도착합니다. 일부 조직은 내부 VLANs IPv4를 유지하면서 지점 WAN 가장자리에 이중 스택을 실행합니다. 다른 사람들은 특정 사용자 세그먼트에 대해 이중 스택 엔드 투 엔드를 이동합니다.
숨겨진 혜택은 운영: 일관된 주소와 몇 가지 NAT 레이어는 로그, 추적 흐름 끝을 통해 이벤트를 숨길 수 있으며 예측 가능한 방법으로 정책을 적용 할 수 있습니다. 가장 큰 차단제는 일반적으로 SD-WAN/SASE 플랫폼에 대한 도구 정렬은 가시성, 정책 및 IPv6에 대한보고의 패성을 제공합니다.
Kubernetes, 컨테이너 플랫폼 및 서비스 메쉬
Cloud-native 플랫폼은 표준화 및 자동화로 네트워크 팀을 밀어줍니다. Kubernetes-heavy 환경에서 대화는 "IP6을 경로를 갖지 마십시오?" 하지만 "우리 CNIs, 진입 컨트롤러, 로드밸런서 및 관찰 가능한 스택은 IPv6로 올바르게 동작합니까?" 컨테이너 플랫폼에 깊이 있는 엔터프라이즈는 클러스터 가장자리에서 IPv6를 활성화하여 시작하며 주변 생태계가 준비될 때 듀얼-stack pods 및 서비스에 확장합니다.
IPv6는 특히 dense 다 강렬한 디자인이 IPv4 계획 두통을 일으키는 원인이 될 수 있습니다. 충분한 접두사 할당 및 깨끗한 주소 경계로, 팀은 예상보다 더 빠르게 확장 할 때 비상 재 IP 작업의 빈도를 줄일 수 있습니다.
IoT, 장치 내장, 대규모 정체성 네트워크
IoT 함대, 센서 배포, 스마트 빌딩 기술, 대형 장치 온보딩 파이프는 규모와 세그먼트 압력을 만듭니다. 이러한 배포의 대부분은 자연 “그린 필드” 레거시 데이터 센터 네트워크에 비해, 이는 IPv6-first 또는 이중 스택 디자인에 대한 좋은 후보를 만든다. 엔터프라이즈는 IPv6가 위험하기 때문에 여기에서 신중하게 유지되지만 운영 제어가 단단해야하기 때문입니다. 장치 재고, 인증서 정체성, 세그먼트 및 원격 측정 수집은 모두 예측할 수 있습니다.
IPv6는 정체성 제어를 대체하지 않지만, 사이트, 바닥, 장치 유형 및 정책 영역에 로그인하는 구성 주소 할당을 깨끗하고 구조화하여 지원할 수 있습니다.
"dual-stack reality"및 작동을 의미하는 것
대부분의 기업에서는, 가까운 목적지는 "IPv6 전용"이 아닙니다. 안전하고 유리한 선택적 IPv6 전용 세그먼트와 같은 장소에 이중 스택입니다. Dual-stack은 종종 전환 단계로 묘사되지만, 실제로 몇 년 동안 지속될 수있는 작동 모드가됩니다. 그것이 의도적으로 설계 한 경우.
Dual-stack은 인터페이스 플래그에 더 많은 것을 의미한다. 그것은 당신의 운영 모형은 2개의 평행한 경로를 가정하고 다른 사람을 선택할 때 놀람을 피합니다. DNS 행동, 로드밸런서 청취자, 방화벽 규칙, 엔드포인트 정책, 그리고 일류 시민으로 IPv6를 대우해야 합니다. 목표는 패성입니다 : 동일한 결과, 동일한 시행, 동일한 가시성.
일반 기업 패턴은 내부 서비스 성숙 동안 가장자리와 접근 층, IPv4 더 깊은 내부에 "IPv6입니다. 또 다른 패턴은 "IPv6는 새로운 환경 및 인수 활성화"이며, IPv6는 읽기없이 통합하는 가장 깨끗한 방법입니다.
보안 팀은 점점 IPv6 활성화를 구동하고 있습니다.
보안 팀이 IPv6를 저항하는 것이 쉽습니다. 역사적으로, 때때로 진실 - 가시성 및 통제 lagged 때문에. 오늘, 많은 보안 조직은 IPv6 readiness를 위해 적극적으로 추진하고 있습니다. 대안은 전체 모니터링, 정책 패리티 또는 사건 응답 신뢰없이 IPv6 opportunistically를 사용하는 엔드 포인트 및 네트워크입니다.
IPv6가 무시될 때, 문제는 미묘한 방식으로 보여줍니다: 완전한 통나무, NDR/IDS 적용에 있는 장님 반점, 혼란 방화벽 정책, 또는 분석가는 다수 주소 가족의 밑에 나타날기 때문에 사건을 correlate에 struggling. 조용한 변화는 기업이 점점 보안 요구 사항으로 "IPv6 Parity"를 치료하는 것입니다.
- 방화벽 정책은 IPv6 객체, 그룹 및 일관된 세그먼트 논리를 지원해야 합니다.
- SIEM 파이프라인은 IPv6 필드를 정상화하고 파싱 및 농축을 통해 보존해야합니다.
- 위협 인텔, 블록리스트 및 평판 시스템은 IPv6 주소와 접두사를 처리해야합니다.
- 취약성 검사 및 자산 발견은 IPv6 전용 엔드포인트를 믿을 수 있어야 합니다.
- Incident 응답 playbooks는 IPv6 흐름 분석 및 로그 검색 패턴을 포함해야합니다.
네트워크 엔지니어링 및 보안 운영을 초기화하는 경향이 있는 기업. 최고의 IPv6 배포는 "network-only" 이니셔티브가 아닙니다. routing, DDI, endpoint Engineering, SOC 툴링 및 거버넌스가 함께 이동합니다.
마지막으로 수축하는 일반적인 차단제
IPv6는 기술적으로 열등했기 때문에 실패하지 않았습니다. 주변 생태계가 일관적으로 준비되지 않았기 때문에 많은 기업에 넣었습니다. 그 생태계가 개선되고 나머지 블록커는 체계적으로 접근할 때 더 관리할 수 있습니다.
Legacy 시스템은 stubborn 문제가 남아 있습니다. 일부 오래된 가전, 임베디드 시스템 및 틈새 관리 도구는 여전히 IPv4-only 동작을 가정합니다. 엔터프라이즈는 점점 더 많은 기능을 처리하고 있습니다. IPv4-only 세그먼트에 이러한 시스템을 통합하여 현대 클라이언트와 클라우드 환경을 전달합니다. 다른 말에서, IPv6 진행은 어디서나 완벽하지 않습니다-그것은 명확한 경계가 필요합니다.
기술 및 운영 신뢰는 다른 차단제입니다. IPv6 자체는 "하드,"하지만 조작 세부 사항이 다릅니다. 접두사, 이웃 발견 행동, RA 가드 고려 사항 및 NAT에서 기본 안전 담요로 정신 이동 계획. 경쟁적인 노력으로 IPv6를 치료하는 기업은 구성 작업이 아니라.
Tooling parity는 마지막 중요한 차단제입니다. 공급업체가 IPv6 지원을 주장할 때, 기업은 일상적인 작업에서 증거를 필요로 합니다. 대쉬보드, 알림, 패킷 캡처, 플로우 로그 및 정책 객체는 모두 청소합니다. encouraging 추세는 이제 더 많은 공급 업체가 IPv6를 충분히 지원한다는 점입니다. 기업은 "IPv6-validated" 도구 세트에 표준화하고 fragile one-off workarounds를 피할 수 있습니다.
디자인 선택 기업은 융합
모든 기업이 다를 수 있지만, 몇 가지 실용적인 패턴은 성공적인 IPv6 프로그램에 반복적으로 보여줍니다. 이 패턴은 주변성을 줄이고 작업을 단순화하고 숨겨진 위험을 창출하는 부분 배포를 방지합니다.
Prefix 계획은 건축과 같은 대우됩니다, arithmetic. 기업은 점점 조직 경계를 미러링하는 방식으로 접두사를 할당합니다. 사이트, 지역, 환경 및 보안 영역. 목적은 일관성과 위임입니다. 사이트 또는 클라우드 환경은 안정적인 접두사 블록을 할당 할 수있을 때 자동화가 쉽고 문제 해결이 덜 혼란스럽습니다.
DNS는 더 많은 중앙이 됩니다. 이중 스택 네트워크에서 DNS 응답은 종종 프로토콜 경로 클라이언트가 가지고 있는지 결정합니다. “mysterious” 연결을 경험하는 기업은 자주 DNS 행동, 분할 호르몬 구성, 또는 inconsistent AAAA 레코드가 루트에 발견. Quiet progress는 일반적으로 조용한 DNS 현대화가 포함되어 있습니다. clearer 소유권, 자동화 된 기록 관리 및 AAAA 레코드 발행을위한 일관된 정책.
DDI 성숙은 차별화입니다. IPv6 접두사, 위임된 블록을 이해하는 IPAM 및 수명주기 관리는 반품에서 "도움의 스프레드 시트"를 방지합니다. DHCPv6 및 SLAAC 결정은 장치 유형, 준수 요구 및 운영 선호도에 따라 세그먼트 당 이루어집니다. 키는 문서화 된 의도 : 팀은 왜 세그먼트가 특정 방법을 사용하고 어떤 보호가 장소에 있는지 알고 있습니다.
조작성: 진짜 make-or-break 요인
엔터프라이즈 IPv6 프로그램 중 하나가 가속하거나 인스톨하는 경우, 관찰성입니다. IT 전문가는 IPv6 주소를 두려워하지 않습니다. 그들은 무언가가 스케일에 깰 때 무슨 일이 일어나는지 볼 수 없습니다.
"quiet progress"기업은 원격 측정을 보장하기 위해 투자합니다. 고정 로그에는 IPv6 필드, 패킷 캡처 워크플로우가 동일한 방식으로 작동하며 CMDB 및 자산 재고 링크 IPv6를 장치로 사용하고 성능 모니터링은 실수로 IPv6 경로를 무시하지 않습니다. 문제 해결은 몇 가지 네트워크 엔지니어를 위해 예약 된 특수 기술이되지 않아야합니다. NOC 및 SOC 팀의 일상이어야합니다.
이것은 또한 일관성이 중요합니다. IPv6 트래픽이 IPv4보다 다른 보안 또는 egress 경로에 따라 팀이 두 개의 별도의 네트워크를 디버깅 할 수 있습니다. 성숙한 기업은 정책을 지키면서 “split-brain 네트워킹”을 방지하고, routing intent를 방지하고, egress 디자인은 둘 다 가족을 맞출 것입니다.
거버넌스: chaos를 창조하지 않고 IPv6 활성화
진행중인 기업은 가드 레일과 플랫폼 프로그램과 같은 IPv6 활성화를 효과적으로 치료합니다. 그들은 IPv6가 지원되는 곳을 정의하고, "done"은 무엇을 의미하고, 예외가 처리되는지. 그들은 또한 소유권을 정의합니다 : 주소 계획을 관리, 누가 레코드를 게시, 누가 보안 불평을 검증, 누가 생산 준비에 표시.
실제 관리 접근은 일반적으로 팀이 느린 납품 없이 따를 수 있는 경량 세트를 포함합니다:
- 사이트 및 클라우드 환경에 대한 표준 접두사 할당 모델.
- AAAA 레코드 및 듀얼 태스크 서비스 게시를위한 문서 DNS 정책.
- 방화벽, 로깅 및 모니터링을위한 보안 패리티 요구 사항.
- IPv6-capable 플랫폼 및 운영 워크플로우에 대한 검증된 공급업체/툴 목록.
- 일반적인 패턴에 대한 참조 아키텍처 (뇌, 캠퍼스, 클라우드, 쿠버네티스).
이것은 무거운 bureaucracy가되지 않습니다. 목표는 지원 컨트롤없이 일부 장소에서 나타나는 사고 IPv6를 방지하는 것입니다. 관찰 가능한, 지원 가능한, 안전한 의도적 IPv6로 대체하십시오.
"quiet progress"는 실제 기업 메트릭스와 같습니다.
많은 배포가 증가하기 때문에 진행 상황을 측정 할 수 있습니다. 야드 스틱은 "퍼센트 migrated"입니다. 기업은 더 많은 실제적인 지시자를 자주 채택합니다:
- 인터넷 연결 서비스의 비율은 IPv6에 도달 할 수 있습니다.
- 1차 액세스 네트워크에서 IPv6를 수신하는 관리 엔드 포인트의 비율.
- 검증된 IPv6 패리티(policy + logs + alerts)로 중요한 보안 제어를 계산합니다.
- 표준 IPv6 접두사 할당 및 라우팅 패턴을 가진 클라우드 환경 수.
- 통합 및 M&A 연결 작업 중에 IPv4 충돌 사고 감소.
이 미터는 실제로 작동하는 방법 일치합니다. 그들은 여전히 의미있는 결과를 운전하면서 IPv4가 밤새 사라지지 않을 것이라고 인정합니다. 몇몇 NAT 유도 두통, 클리너 세그먼트 및 더 나은 장기 확장성.
IT 전문가에게 왜 지금이 중요합니까?
네트워크, 인프라, 보안 운영 또는 클라우드 플랫폼을 관리하는 경우, IPv6는 "기본 역량 스택"의 더 많은 부분입니다. 조직이 전체 IPv6 전용 자세를 목표로하지 않더라도 클라이언트 행동, 공급업체 서비스, 모바일 연결 및 클라우드 통합에서 IPv6를 만날 수 있습니다. 운영 질문은 IPv6가 존재한다는 점이 아닙니다. 환경이 예측하고 안전하게 처리하는지 여부입니다.
기업의 맞은편에 조용한 진행은 산업이 이론적인 IPv6 읽음에서 실용적인 IPv6 활성화로 이동하는 신호입니다. 그 변화는 패러티에서 일찍 투자하는 팀입니다. 일관된 정책, 일관성있는 가시성 및 일관된 운영 플레이북.
가까운 미래: 더 많은 IPv6-by-default 결정
IPv6를 기대하면 선택적 기능보다 훨씬 더 자주적 요구 사항이 나타납니다. 새로운 캠퍼스 새로 고침, 가장자리 보안 플랫폼, 클라우드 착륙 영역, 그리고 큰 장치 온보딩 프로그램은 점점 IPv6가 현재 가정합니다. IPv6를 “기타의 문제”로 치료하는 기업은 블라인드 스팟과 브리틀 예외를 만드는 부분적인 배포로 드리프트합니다.
고요한 접근 방식을 포용하는 기업은 가치, 유효성, 드라마를 피하기 위해 꾸준히 확장합니다. IPv6는 네트워크의 또 다른 정상적인 층, 끝 선을 가진 특별한 프로젝트가 아닙니다. 그리고 현대 IT에서, 정상은 당신이 원하는 것을 정확하게 입니다: 몇몇 놀람, 더 명확한 정책 및 과거의 한계를 싸우지 않고 가늠자 없는 플랫폼.
10593 
IT Pro 
