Neste momento, temos um rack de servidores. Cada servidor agora tem pelo menos 2 endereços IP, um para a interface pública, outro para o privado. Os servidores que possuem sites SSL têm mais endereços IP. Nós também temos servidores virtuais, que são configurados de forma semelhante.
Rede privada
O intervalo privado atualmente é usado apenas para backups e monitoramento. É uma porta gigabit, o uso da interface não costuma ficar muito alto. Existem outras tecnologias que estamos considerando usar que usariam essa porta:
- iSCSI (as implementações geralmente recomendam dedicar uma interface a ele, que seria outra rede IP),
- VPN para obter acesso ao intervalo privado (algo que eu prefiro evitar)
- servidores de banco de dados dedicados
- LDAP
- configuração centralizada (como fantoche)
- registro centralizado
Não temos endereços privados em nossos registros DNS (somente endereços públicos). Para os nossos servidores utilizarem o endereço IP correto para a interface correta (e não codificar o endereço IP) provavelmente requer a configuração de um servidor DNS privado (Então agora adicionamos 2 entradas diferentes de DNS a 2 sistemas diferentes).
Rede pública
Nosso alcance público tem uma variedade de serviços como web, email e ftp. Existe um firewall de hardware entre a nossa rede e a rede "pública". Temos um método (relativamente seguro) para instruir o firewall a abrir e fechar o acesso administrativo (interfaces web, ssh, etc) ao nosso endereço IP atual. Com ambas as soluções discutidas, os firewalls baseados em host também serão configurados.
A rede pública atualmente é executada em um link dedicado de 20Mbps. Existem alguns servidores legados com portas Ethernet rápidas, mas eles estão programados para desativação. Todas as outras caixas de produção possuem pelo menos 2 portas Gigabit Ethernet. Os servidores com mais tráfego têm 4-6 disponíveis (nenhum está usando mais que as 2 portas Gigabit agora).
IPv6
Eu quero obter um prefixo IPv6 do nosso provedor. Portanto, pelo menos todo "servidor" tem pelo menos uma interface IPv6. Ainda precisaremos manter os endereços IPv4 disponíveis e disponíveis para clientes legados (servidores da Web e e-mail no mínimo).
Temos duas redes IP no momento. Adicionar o endereço IPv6 público tornaria três.
Basta usar o IPv6?
Estou pensando em apenas descartar o intervalo IPv4 privado e usar o intervalo IPv6 como o principal meio de todas as comunicações. Se uma interface começar a atingir sua capacidade, utilize as interfaces recém-livres para criar um tronco.
Tem a vantagem de que, se o tráfego público ou privado precisar exceder 1 Gbps. O tráfego de cada interface já é analisado regularmente para prever o uso futuro da largura de banda. Nos raros casos em que picos inesperados de largura de banda: utilizam QoS para garantir que o tráfego (como nosso acesso SSH limitado) seja priorizado corretamente para que o problema possa ser corrigido (se possível, nossa WAN é o gargalo agora).
Também tem a vantagem de não precisar fazer uma entrada para todos os endereços privados. Podemos ter DNS privado (ou apenas LDAP), mas será muito mais limitado no escopo com menos entradas para duplicar.
Resumo
Estou tentando tornar essa rede o mais "simples" possível. Ao mesmo tempo, quero garantir que seja confiável, atualizável, escalonável e (eventualmente) redundante. Ter uma rede IPv6 e uma rede IPv4 herdada parece ser a melhor solução para mim.
Com relação ao uso de endereços IPv6 designados para as duas redes, compartilhando a largura de banda disponível em um (mais troncalizado, se necessário):
- Existem algumas desvantagens técnicas (limitações, buffers, escalabilidade)?
- Existem outras considerações de segurança (além dos firewalls mencionados acima) a serem consideradas?
- Existem regulamentações ou outros requisitos de segurança (como o PCI-DSS) que não são atendidos?
- Existe algum software típico para configurar uma rede Linux que ainda não tenha suporte a IPv6? (registro, ldap, fantoche)
- Alguma outra coisa que eu não considerei?