IPv6: Devo ter endereços privados?

6

Neste momento, temos um rack de servidores. Cada servidor agora tem pelo menos 2 endereços IP, um para a interface pública, outro para o privado. Os servidores que possuem sites SSL têm mais endereços IP. Nós também temos servidores virtuais, que são configurados de forma semelhante.

Rede privada

O intervalo privado atualmente é usado apenas para backups e monitoramento. É uma porta gigabit, o uso da interface não costuma ficar muito alto. Existem outras tecnologias que estamos considerando usar que usariam essa porta:

  • iSCSI (as implementações geralmente recomendam dedicar uma interface a ele, que seria outra rede IP),
  • VPN para obter acesso ao intervalo privado (algo que eu prefiro evitar)
  • servidores de banco de dados dedicados
  • LDAP
  • configuração centralizada (como fantoche)
  • registro centralizado

Não temos endereços privados em nossos registros DNS (somente endereços públicos). Para os nossos servidores utilizarem o endereço IP correto para a interface correta (e não codificar o endereço IP) provavelmente requer a configuração de um servidor DNS privado (Então agora adicionamos 2 entradas diferentes de DNS a 2 sistemas diferentes).

Rede pública

Nosso alcance público tem uma variedade de serviços como web, email e ftp. Existe um firewall de hardware entre a nossa rede e a rede "pública". Temos um método (relativamente seguro) para instruir o firewall a abrir e fechar o acesso administrativo (interfaces web, ssh, etc) ao nosso endereço IP atual. Com ambas as soluções discutidas, os firewalls baseados em host também serão configurados.

A rede pública atualmente é executada em um link dedicado de 20Mbps. Existem alguns servidores legados com portas Ethernet rápidas, mas eles estão programados para desativação. Todas as outras caixas de produção possuem pelo menos 2 portas Gigabit Ethernet. Os servidores com mais tráfego têm 4-6 disponíveis (nenhum está usando mais que as 2 portas Gigabit agora).

IPv6

Eu quero obter um prefixo IPv6 do nosso provedor. Portanto, pelo menos todo "servidor" tem pelo menos uma interface IPv6. Ainda precisaremos manter os endereços IPv4 disponíveis e disponíveis para clientes legados (servidores da Web e e-mail no mínimo).

Temos duas redes IP no momento. Adicionar o endereço IPv6 público tornaria três.

Basta usar o IPv6?

Estou pensando em apenas descartar o intervalo IPv4 privado e usar o intervalo IPv6 como o principal meio de todas as comunicações. Se uma interface começar a atingir sua capacidade, utilize as interfaces recém-livres para criar um tronco.

Tem a vantagem de que, se o tráfego público ou privado precisar exceder 1 Gbps. O tráfego de cada interface já é analisado regularmente para prever o uso futuro da largura de banda. Nos raros casos em que picos inesperados de largura de banda: utilizam QoS para garantir que o tráfego (como nosso acesso SSH limitado) seja priorizado corretamente para que o problema possa ser corrigido (se possível, nossa WAN é o gargalo agora).

Também tem a vantagem de não precisar fazer uma entrada para todos os endereços privados. Podemos ter DNS privado (ou apenas LDAP), mas será muito mais limitado no escopo com menos entradas para duplicar.

Resumo

Estou tentando tornar essa rede o mais "simples" possível. Ao mesmo tempo, quero garantir que seja confiável, atualizável, escalonável e (eventualmente) redundante. Ter uma rede IPv6 e uma rede IPv4 herdada parece ser a melhor solução para mim.

Com relação ao uso de endereços IPv6 designados para as duas redes, compartilhando a largura de banda disponível em um (mais troncalizado, se necessário):

  • Existem algumas desvantagens técnicas (limitações, buffers, escalabilidade)?
  • Existem outras considerações de segurança (além dos firewalls mencionados acima) a serem consideradas?
  • Existem regulamentações ou outros requisitos de segurança (como o PCI-DSS) que não são atendidos?
  • Existe algum software típico para configurar uma rede Linux que ainda não tenha suporte a IPv6? (registro, ldap, fantoche)
  • Alguma outra coisa que eu não considerei?
por Reece45 13.01.2011 / 15:20

1 resposta

2

Tudo bem, vamos responder por partes

1) Endereços particulares

O ipv6 tem diferentes "escopos" para que você possa ter um escopo local e um escopo global, o ipv6 é inteligente o suficiente para saber quem é o quê e regular o tráfego de acordo para que você possa ter uma rede local não-roteável no ipv6 sem nenhum problema tudo, na verdade vem por padrão como isso

2) Descarregue o ipv4 e execute apenas o ipv6

Todas as implementações do ipv6 até agora são dual stack para que você possa executá-las confortavelmente, e eu definitivamente recomendo que você execute ambos, não há nenhum dano em fazer isso e o ipv4 não irá embora por muito tempo, embora o ipv6 seja muito legal completamente soltando ipv4 não é algo que eu faria.

3) Perguntas curtas

a) Sem desvantagens técnicas, pelo contrário! Muita coisa legal, atribuição automática de endereços, anycast, ipsec nativo, é bem legal b) Firewalls devem ser bons, mas há algumas regras de firewall específicas que você deve prestar atenção, como permitir o tráfego de escopo de link local, permitir multicast no ipv6 e desativar o processamento de pacotes RH0, também ter em mente que o icmpv6 é um protocolo completamente novo ipv6 é muito mais dependente do que icmp no ipv4 então filtrando não é uma boa idéia c) Até onde eu sei, a maioria dos serviços linux suportam ipv6 sem nenhum problema, dual stack ftw!

Além disso, não é ruim se familiarizar com todas as novas especificações do ipv6, dê uma olhada no link para começar / p>     

por 13.01.2011 / 15:51