Ilgus metus IPv6 įmonėje gyveno keistoje vietoje: visuotinai pripažinta, kad tai "ateitis", bet traktuojama kaip neprivalomas projektas, kuris gali būti atidėtas neribotam laikui. O vartotojų tinklai, judriojo ryšio vežėjai ir pagrindinės turinio platformos judėjo pirmyn, todėl IPv6 tyliai tapo numatytuoju keliu, kuriuo galima naudotis didelėse interneto srauto dalyse. Dažnai įmonės atsilieka dėl praktinių priežasčių: senojo įrankio, nevienodo saugumo matomumo, pardavėjo spragų, realybės, kad IPv4 vis "veikė" per NAT, RFC1918 erdvę, ir kūrybinio adresų valdymo.
Dabar kažkas pasikeitė - be dramatiškų antraščių. Nemažai įmonių "nepereina prie IPv6" viename didelio sprogimo renginyje. Jas leidžia tam tikrose vietose, kur ji išsprendžia realias problemas, sumažina operacinę trintį, arba derina su neaiškiomis vietinėmis ir saugumo architektūromis. rezultatas yra tylus pažanga natūra: IPv6 tampa normalus daugiau segmentuose kiekvieną ketvirtį, ne kaip trikdantis mažinimas, bet kaip nuolatinis plėtros dual- kamino tinklų, IPv6-paruoštas įrankiai, ir IPv6-pirmasis mąstymas.
Kodėl IPv6 staiga jaučiasi mažiau neprivalomas
Svarbiausia yra ne ideologija - tai gravitacija. IPv4 adresų trūkumas skatina kompleksiškumą išorėje: nuotolinių svetainių "Drier- grade NAT", sunkiai sutampančių RFC1918 diapazonų susijungimų metu, trapios daugialypės terpės NAT politikos, nuolatinių saugumo taisyklių ir problemų šalinimo išimčių. IPv6 stebuklingai nepalengvina kiekvieno tinklo, bet pašalina ištisą apribojimų klasę, kuri kyla dėl bandymo per daug tikslų pritaikyti per mažai viešų adresų.
Antrasis vairuotojas - architektūra. Modernūs įmonių tinklai ne tokie panašūs į vieną miestelį, kuriame yra duomenų centras, o kur kas panašesni į šakinių kraštų tinklą, debesų VPC / VNETS, SaaS priklausomybes, nutolusius vartotojus, ir į identišką saugumo kontrolę. Tame pasaulyje valdymo ir pasiekiamumo problemos tampa politinėmis, o ne maršruto problemomis. IPv6 - suporuotas su brandžiu DDI (DNS, DHCP, IPAM) ir modernia saugumo kontrole - natūraliai telpa į segmentuotus projektus, kuriuose aiškumas ir mastas yra labiau nei protinga NAT gimnastika.
Trečias vairuotojas - "platformos parengtis". Ekosistema yra daugiau IPv6-pajėgi, nei buvo prieš keletą metų: operacinės sistemos, naršyklės, CDNs, debesų paslaugų teikėjai, ir daugelis saugumo tiekėjų sutvirtino IPv6 palaikymą. Nelieskite kraštų atvejų, bet tai sumažina baimę patekti į nežinomą teritoriją. Daugeliui IT komandų sprendimas perkeltas nuo "ar galime?" į "kur pirmiausia galime gauti vertę?"
Ten, kur įmonės pirmiausia teikia IPv6 paslaugas
Tose vietovėse, kuriose IPv6 tiesiogiai mažina operacinį skausmą arba derinasi su technologijų atnaujinimo ciklais, įmonių galimybės yra linkusios kauptis. Bendrinis modelis yra selektyvus įvaikinimas: tam tikros sritys yra dvejopos, tam tikros paslaugos tampa IPv6 pasiekiamos, ir stebėjimas (saugumas) IPv6 yra labiau žinomas kaip reikalavimas, nei "graikiškas".
Internetu atgręžtos paslaugos ir CDN priekinės durys
Paprasčiausias "pergalės" dažnai pasirodo krašto. įmonės IPv6 gali būti naudojamas visuomenei svarbiose savybėse - interneto taikomosiose programose, API, klientų portale - neperprojektuojant vidaus tinklų. CDN arba kraštų platformai nutraukus klientų srautą, IPv6 klientams gali būti siūlomas, net jei kilmės paslaugos išlieka IPv4 už scenų. Tuose tinkluose, kuriuose pirmenybė teikiama IPv4, tai yra nedidelės rizikos būdas sumažinti priklausomybę nuo IPv4 trūkumo ir pagerinti jų pasiekiamumą.
IT specialistams, tai taip pat verčia funkcija veiklos brandos. Vos tik išoriškai atskleisite IPv6, Jūs turite užtikrinti WAF politiką, greičio ribas, geotaisykles, boto valdymą ir medienos ruošos darbą vienodai abiejose protokolo šeimose. "Ta pati politika, toks pat matomumas" tampa standartu. Gerai tai darančios įmonės IPv6 galimybę dažnai laiko savo krašto saugumo padėties patvirtinimu.
Debesis tinklai ir kelių debesų segmentacija
Lengvesnės yra viešosios debesijos aplinkos. Net kai įmonės išlaiko darbo apkrovas dual- step, kuriant VPC / VNET maketai, maršrutizavimas, ir saugumo grupės su IPv6 galvoje veiksmų keičia, kaip komandos galvoja apie spręsti erdvę ir segmentaciją. IPv6 adresatai yra gausūs, todėl lengviau paskirstyti švarius priešdėlius pagal aplinką, regioną, nuomininką arba taikymo sritį - nuolat nesiderant dėl sutampančių intervalų.
Kelis debesijos scenarijus taikant IPv6, galima sumažinti "adresų susidūrimo mokestį", kuris atsiranda, kai skirtingos komandos savarankiškai pasirenka privačius IPv4 intervalus, ir vėliau prireikia ryšio. IPv6 nepašalins visų integracijos problemų, bet gali sumažinti atvejų, kai dėl susijungimo, įsigijimo arba naujo verslo padalinio vyksta skausmingas valymo projektas, skirtas tik nuspėjamam ryšiui sukurti, skaičių.
Kampas Wi- Fi ir modernūs prieigos tinklai
Kampas atnaujinti ciklai - nauji belaidžiai valdikliai, Wi- Fi 6 / 6E / 7 atnaujinimai, NAC patobulinimai ir segmentuoti SSIDs - yra dažnas IPv6 prieigos taškas. NAME OF TRANSLATORS priežastys yra praktinės: modernūs klientų įrenginiai dažnai pirmenybę teikia IPv6, kai yra, ir IPv6 gali sumažinti nepatogų NAT elgesį, kuris komplikuoja peer-to-service kelius, telemetriją, ir veikimo sutrikimų paiešką.
Čia taip pat svarbus politikos ir higienos klausimas. Atsiradus IPv6 prieigos tinkluose, IT komandoms reikia nuoseklaus RA (Maršrutizatoriaus reklamos) elgesio, tinkamos apsaugos nuo nesąžiningų RA ir aiškios pozicijos SLAAC prieš DHCPv6 įvairiuose segmentuose. Geriausi rezultatai pasiekiami, kai IPv6 yra laikomas pagrindinės prieigos kūrimo dalimi, bet ne papildoma priemone, kuri vėliau bus taikoma.
Filialai, SD-WAN, ir SASE kraštai
Šakos ryšys vis labiau priklauso nuo SD-WAN perdangos ir SASE politikos, kai krašto įrenginys tampa vykdymo taškas segmentavimo, grėsmės filtravimo, ir taikymo vairavimo. Tose architektūrose IPv6 galimybė dažnai atsiranda kaip "briaunų modernizavimo" dalis. Vienos organizacijos veikia dual- kamino šakoje WAN krašto, išlaikant vidaus VLAN IPv4, kitos eiti Dual- kamino pabaigoje-iki-pabaigos konkrečių vartotojų segmentuose.
Neigiama nauda: nuoseklus adresavimas ir mažiau NAT sluoksnių gali padėti lengviau susieti įvykius tarp rąstų, atsekti srautus iki galo ir taikyti politiką nuspėjamu būdu. Didžiausias blokatorius paprastai yra įrankinis lygiavimas - SD-WAN / SASE platforma užtikrina vienodą matomumą, politiką ir IPv6 ataskaitų teikimą.
Kubernetai, konteinerių platformos ir tarnybinės akys
Cloud- gimtoji platformos stumti tinklų komandas link standartizavimo ir automatizavimo. Kubernet- sunkioje aplinkoje pokalbis yra ne tik "ar mes maršrutai IPv6?", bet "ar mūsų CNI, priėmimo valdikliai, apkrovų balansai, ir stebimumo kaminai veikia teisingai su IPv6?" įmonės, kurios yra giliai į konteinerių platformas, dažnai pradeda, sudarydamos IPv6 prie klasterio krašto, po to plečiasi į dvikampius postus ir paslaugas, kai supanti ekosistema yra pasirengusi.
IPv6 ypač patrauklus ten, kur tankus daugelio nuomininkų dizainas sukelia IPv4 planavimo galvos skausmą. grupės, turinčios pakankamai priešdėlio paskirstymo ir švaraus adresavimo ribų, gali sumažinti avarinių re- IP darbo dažnį, kuris atsiranda, kai aplinka plečiasi greičiau, nei tikėtasi.
DI, įlipimo įrenginys ir plataus masto tapatybės tinklai
DI parkai, jutiklių diegimas, pažangios statybos technologijos, dideli įrenginiai įlaipinimo vamzdynuose sukuria adresų skalę ir segmentacijos spaudimą. Nemažai šių instaliacijų yra natūraliai "greenfield", palyginti su senais duomenų centrų tinklais, dėl kurių jie yra geri kandidatai į IPv6 - pirmasis arba dvisluoksnis dizainą. Čia įmonės yra atsargios ne dėl IPv6 rizikos, bet dėl to, kad veiklos kontrolė turi būti griežta: prietaisų inventorizacija, sertifikatų tapatumas, segmentacija ir telemetrija kolekcija turi išlikti nuspėjami.
IPv6 nepakeičia tapatybe pagrįsto valdymo, bet gali jį palaikyti suteikdamas jums švarius, struktūrizuotus adresų paskyrimus, kurie logiškai atspindi svetaines, grindis, įrenginių tipus ir politikos sritis - neverčiant visko sutampančių privačių IPv4 blokų.
"Dual- kamino realybė" ir ką tai reiškia veiklos
Daugumoje įmonių vien tik IPv6 tikslas - ne visur. Tose vietose, kurios svarbios, tai dual- kamino, su selektyviais IPv6 tik segmentais, kur tai saugu ir naudinga. Dual- stekas dažnai apibūdinamas kaip pereinamasis etapas, bet praktiškai jis tampa veikimo režimu, kuris gali trukti metus. Viskas gerai, jei tai specialiai sukurta.
Dual- kamino padaryti gerai reiškia, kad daugiau nei įjungti sąsajos vėliava. Jūsų operacinis modelis užtikrina du lygiagrečius kelius ir padeda išvengti netikėtumų, kai klientai pasirenka vieną iš kitų. DNS elgesys, apkrovų balansavimo klausytojai, ugniasienės taisyklės, galutinių rezultatų politika, ir stebėti visus reikia gydyti IPv6 kaip pirmos klasės pilietis. Tikslas - paritetas: vienodi rezultatai, vienodas vykdymo užtikrinimas, vienodas matomumas.
Bendrinis įmonės modelis yra "IPv6 prie krašto ir prieigos sluoksnio, IPv4 giliau viduje", o vidaus paslaugos brandi. kitas modelis - "IPv6 įgalintas naujai aplinkai ir įsigijimams", kai IPv6 tampa švariausiu būdu integruotis be perrašymo.
Saugumo komandos vis dažniau skatina IPv6.
Lengva manyti, kad apsaugos komandos priešinasi IPv6. Istoriškai, tai buvo kartais tiesa - nes matomumas ir kontrolė žlunga. Šiandien daugelis saugumo organizacijų aktyviai siekia parengti IPv6, nes alternatyva - šešėlis IPv6: tikslai ir tinklai, kuriuose IPv6 naudojamas proportunistiškai, be visiško stebėjimo, politikos pariteto arba reagavimo į incidentą pasitikėjimo.
IPv6 ignoruojant, problemos atsiranda subtiliais būdais: nepilni rąstai, aklieji taškai NDR / IDS aprėpties, paini ugniasienės politika, arba analitikai, kurie stengiasi susieti įvykius, nes turtas yra kelių adresų šeimoms. Tylus pokytis - įmonės vis dažniau laiko IPv6 paritetą saugumo reikalavimu.
- Ugniasienės politika turi remti IPv6 objektus, grupes ir nuoseklią segmentavimo logiką.
- SIEM vamzdynai turi normalizuoti IPv6 laukus ir juos išsaugoti apdorojant ir praturtinant.
- Grėsmės duomenys, blokavimo sąrašai, ir reputacijos sistemos turi tvarkyti IPv6 adresus ir priešdėlius.
- Pažeidžiamumo skenavimas ir turto paieška turi patikimai nustatyti tik IPv6 sukeliamus padarinius.
- Incidentų atsako į žaidimus knygose turi būti IPv6 srauto analizė ir žurnalų paieškos modeliai.
Sparčiausiai judančios įmonės linkusios anksti suderinti tinklų inžinerijos ir saugumo operacijas. Geriausi IPv6 diegimo būdai - ne tik tinklo iniciatyvos, bet ir kompleksinės funkcinės parengties programos, kuriose maršrutizavimas, DDI, galutinių įrenginių inžinerija, SOC priemonės ir valdymas juda kartu.
Dažni blokatoriai, kurie pagaliau mažėja
IPv6 nepavyko, nes buvo techniškai prastesnis. Ten įstrigo daug įmonių, nes aplinkinė ekosistema nebuvo nuolat pasirengusi. Toji ekosistema pagerėjo, ir likusieji blokatoriai yra labiau valdomi, kai požiūris sistemiškai.
palikimo sistemos tebėra užsispyrusi problema. Keli senesni prietaisai, įmontuotos sistemos, ir nišos valdymo įrankiai vis dar prisiima tik IPv4 elgesį. Tuos klausimus vis dažniau sprendžia įmonės, izoliuodamos IPv4 tik segmentuose esančias sistemas, kartu kurdamos šiuolaikišką klientų ir debesų aplinką. kitaip tariant, IPv6 pažangai nereikia tobulumo visur - reikia aiškių ribų.
Kiti trukdžiai - įgūdžiai ir pasitikėjimas veikla. Pats IPv6 nėra "sunkus", bet veiklos detalės skiriasi: priešdėliais pagrįstų planų, kaimynų atradimų elgesio, RA apsaugos aspektų ir protinio perėjimo nuo NAT kaip numatytosios saugos antklodės. IPv6 sėkmingai veikia ne tik kaip konfigūracijos užduotis, bet ir kaip gebėjimų stiprinimo priemonė.
Vairavimo paritetas yra paskutinis pagrindinis blokatorius. Net ir tada, kai pardavėjai tvirtina, kad IPv6 palaiko, įmonės turi įrodyti kasdienes operacijas: prietaisų skydus, įspėjimus, paketų užfiksavimą, srauto žurnalus, ir politikos objektus, kurie visi veikia tyliai. Propaguojanti tendencija yra tai, kad dabar daugiau pardavėjų palaiko IPv6 pakankamai giliai, kad įmonės gali standartizuoti "IPv6-patvirtintas" priemones ir išvengti trapių vieno-off darbastalių.
Dizaino pasirinkimas įmonės artėja
Nors visos įmonės skiriasi, keli praktiniai modeliai ne kartą pasirodo sėkmingose IPv6 programose. Šie modeliai mažina dviprasmiškumą, palengvina operacijas ir užkerta kelią daliniam dislokavimui, dėl kurio kyla paslėpta rizika.
Prefix planavimas yra traktuojamas kaip architektūra, ne aritmetinis. įmonės vis dažniau paskirsto priešdėlius taip, kad atspindėtų organizacines ribas: teritorijas, regionus, aplinką ir saugumo zonas. Tikslas - nuoseklumas ir įgaliojimas. Kuomet svetainė arba debesų aplinka gali būti priskirtas stabilus priešdėlis blokas, automatizavimas tampa lengviau, ir problemų šalinimas tampa mažiau chaotiškas.
DNS tampa dar labiau centrinis. Dual- kamino tinkluose DNS atsakymai dažnai nustato, kuris protokolas kelias klientų imtis. Įmonės, kurios patiria "paslaptingas" ryšio problemas, dažnai sužino, kad DNS elgesys, split- horizontas konfigūracijos, arba nenuoseklūs AAAA įrašai yra šaknis. Tyli pažanga paprastai apima ramią DNS modernizacija: aiškesnė nuosavybė, automatizuotas įrašų valdymas, ir nuosekli politika leidybai AAAA įrašus.
DDI terminas yra diferenciatorius. IPAM, kuris supranta IPv6 priešdėlius, deleguotus blokus ir gyvavimo ciklo valdymą, neleidžia grįžti prie "Doom skaičiuoklės". DHCPv6 ir SLAAC sprendimai priimami kiekvienam segmentui, atsižvelgiant į įrenginio tipą, atitikties poreikius ir veiklos prioritetus. Raktas yra dokumentuotas tikslas: komandos žino, kodėl segmentas naudoja tam tikrą metodą ir ką apsauga yra.
veiklos stebimumas: realus makiažas-ar-pertrauka veiksnys
Ten, kur įmonės IPv6 programos arba spartina, arba veikia, jos yra stebimos. IT specialistai nebijo IPv6 adresų - jie baiminasi, kad negalės pamatyti, kas vyksta, kai kas nors nutrūksta mastu.
Tylos pažangos įmonės investuoja, be kita ko, užtikrindamos, kad telemetrija būtų visiškai patikima: srauto žurnalai apima IPv6 laukus, paketų fiksavimo darbų srautai veikia taip pat, CMDB ir turto inventoriaus jungtis IPv6 su įrenginiais, ir veiklos stebėsena neatsitiktinai nepaiso IPv6 kelių. Kliūčių šalinimas neturėtų tapti ypatingu įgūdžiu, skirtu keliems tinklo inžinieriams; tai turėtų būti įprasta NOC ir SOC komandoms.
Čia taip pat svarbus nuoseklumas. @ info: whatsthis Matomumo įmonės sąmoningai vengia "split- protų tinklų", užtikrindamos, kad politika, maršruto tikslas, ir išėjimas dizainas būtų suderinti tarp abiejų šeimų, kai tik įmanoma.
Valdymas: IPv6 palaikymas nesukuriant chaoso
Nuolat progresuojančios įmonės IPv6 galimybes vertina kaip platformos programą su sparnais. Jais apibrėžiama, kur palaikomas IPv6, ką reiškia "padaryta" ir kaip traktuojamos išimtys. Jais taip pat apibrėžiama nuosavybė: kas tvarko adresų planus, kas skelbia įrašus, kas patvirtina saugumo lygybę, ir kas pasirašo apie pasirengimą gamybai.
Praktinis valdymo metodas paprastai apima švelnius standartus, kurių komandos gali laikytis nelėtindamos pristatymo:
- Standartinis priešdėlio paskirstymo modelis vietoms ir debesų aplinkai.
- dokumentuota DNS politika AAAA įrašų ir dual- kamino paslaugų publikavimas.
- saugumo lygiateisiškumo reikalavimai ugniagesių, medienos ruošos ir stebėsenos srityse.
- IPv6 tinkamų platformų ir operacinių darbų patvirtintų tiekėjų (įrankių) sąrašas.
- Brėžinys (šaka, miestelis, debesis, Kubernetes).
Čia neturi būti sunki biurokratija. Norima išvengti atsitiktinio IPv6, kai jis pasirodo kai kuriose vietose be pagalbinių valdiklių, ir pakeisti jį sąmoningu IPv6, kuris yra stebimas, palaikomas ir saugus.
Ką "tyli pažanga" atrodo nekilnojamojo įmonės metrikos
Nes daugelis dislokavimo yra palaipsniui, pažanga gali būti sunku įvertinti, jei jūsų vienintelis kriterijus yra "procentais migravo". Dažnai įmonės taiko praktiškesnius rodiklius:
- Internete teikiamų paslaugų, kurias galima pasiekti per IPv6, procentas.
- Valdomų vertinamųjų baigčių, gaunančių IPv6 pirminės prieigos tinkluose, procentinė dalis.
- Kritinių saugumo kontrolės priemonių skaičius su patikrintais IPv6 paritetais (politika + žurnalai + perspėjimai).
- Debesų aplinkos su standartizuotais IPv6 priešdėlio paskirstymo ir maršruto parinkimo modeliais skaičius.
- IPv4 susidūrimo atvejų mažinimas integruojant ir M & A sujungimo darbas.
Šie rodikliai sutampa su tuo, kaip įmonės iš tikrųjų veikia. Jie pripažįsta, kad IPv4 neišnyks per naktį, bet vis dar vairuoja prasmingus rezultatus: mažiau NAT- sukeltas galvos skausmas, švaresnis segmentacija, ir geresnis ilgalaikis mastelis.
Kodėl tai svarbu IT specialistams dabar
Tinklų, infrastruktūros, saugumo operacijų arba debesijos platformų valdymas IPv6 vis labiau priklauso jūsų "numatytajai kompetencijai". Net jei Jūsų organizacija nesiekia visiško IPv6 tik laikysenos, susidursite su IPv6 klientų elgesiu, pardavėjo paslaugomis, mobiliuoju ryšiu, ir debesų integravimu. Darbinis klausimas yra ne tai, ar IPv6 egzistuoja - tai, ar jūsų aplinka tvarko jį prognozuotai ir saugiai.
Tyli įmonių pažanga - tai ženklas, kad pramonė pereina nuo teorinio pasirengimo IPv6 prie praktinio IPv6 pritaikymo. Kampanijos, kurios anksti investuoja į lygybę: nuosekli politika, nuoseklus matomumas ir nuoseklios operacinės žaidimų knygos.
Artimiausia ateitis: daugiau IPv6 pagal nutylėjimą sprendimų
Norite, kad IPv6 dažniau pasirodytų kaip numanomas reikalavimas, bet ne kaip neprivalomas požymis. Atsiveria naujos stovyklavietės, kraštų apsaugos platformos, debesų nusileidimo zonos, o dideli įrenginiai vis dažniau naudojasi IPv6. Tose įmonėse, kurios IPv6 laiko "kažkieno problema", kyla pavojus, kad jos bus diegiamos iš dalies, todėl atsiranda aklųjų dėmių ir trapios išimtys.
Tylų požiūrį taikančios įmonės - leidžia jai kurti vertę, tvirtina paritetą, nuolat plečiasi - linkusios vengti dramos. IPv6 tampa dar vienu įprastu tinklo sluoksniu, ne ypatingu projektu su finišo linija. O šiuolaikinėse IT normalios yra būtent tai, ko jūs norite: mažiau netikėtumų, aiškesnė politika ir platforma, kuri skleidžia mastą, nuolat nekovodama su praeities ribomis.
10751 
IT Pro 
