Muut työtilat
Huom! Siirtymähankkeen tehtävälistasta on myös taulukkoversio: IPv6-siirtyma.xls
Johdanto
Tällä sivulla esitellään korkealla tasolla toimenpiteet joiden avulla IPv6-siirtymä voidaan toteuttaa hallitusti organisaatiossa joka käyttää IPv4:ää. Tämän dokumentin ehdottamaa työjärjestystä on mahdollista käyttää esimerkiksi IPv6-projektisuunnitelman runkona, tai muuten apuna IPv6-siirtymän suunnittelussa. Dokumentin lähtökohtana on ollut se, että IPv4-protokolla poistetaan lopulta kokonaan käytöstä.
Tässä dokumentissa on pyritty huomiomaan IPv6-siirtymän kannalta oleelliset asiat ja niiden väliset riippuvuudet niin, että IPv6-protokolla voidaan lisätä turvallisesti valmiiseen IPv4-verkkoon. Teknisten asioiden lisäksi myös hallinnolliset asiat on otettu huomioon.
Kaikenlaiset kommentit tästä dokumentista ovat erittäin tervetulleita esimerkiksi AccessFunet-työryhmän postituslistalle.
1. vaihe: IPv6-siirtymään valmistautuminen
- Hallinnolliset asiat
- Organisaation kaikkia osia tulisi informoida IPv6-siirtymästä ja siitä ettei vaihtoehtoja ole.
- Johto voi asettaa IPv6-siirtymää varten projektin.
- Vain IPv4:ää tukevien ohjelmistojen, laitteistojen ja palveluiden hankinta lopetetaan. IPv6 huomioidaan tämän jälkeen kaikissa hankinnoissa ja kilpailutuksissa. Jos IPv6-kykyisiä vaihtoehtoja ei ole saatavilla hankintahetkellä, hankittavan tuotteen tai palvelun myöhempää IPv6-siirtymää varten tarvittavat toimenpiteet selvitetään ja suunnitellaan ennen hankinnan tekemistä.
- Henkilöstölle järjestetään IPv6-koulutusta.
- Ohjelmistokehitys
- IPv6 lisätään organisaation sisällä kehitettävien ohjelmistojen roadmappeihin.
- Osoitteistus ja verkkoinfrastruktuuri
- IPv6-osoitelohko hankitaan paikalliselta osoiterekisteriltä (Funet Hostmaster)
- Tehdään IPv6-osoitteistussuunnitelma.
- IPv6-tuki lisätään verkon perusinfrastruktuuriin: reitittimet, kytkimet, palomuurit
- Vaiheen lopputulokset
- Organisaatio on aloittanut hallitun IPv6-siirtymän.
2. vaihe: Valmistautuminen IPv6:n käyttöönottoon verkossa
- Työasemat
- IPv6 otetaan käyttöön verkkoa ja järjestelmiä ylläpitävien asiantuntijoiden työasemissa.
- Verkon hallinta- ja valvontajärjestelmät
- IPv6 otetaan käyttöön verkonhallintajärjestelmissä (esimerkiksi ylläpitopalvelimet)
- IPv6 otetaan käyttöön verkonvalvontajärjestelmissä (esim. Nagios-valvonta, tilastointi, ym.)
- IPv6-tuki lisätään mahdollisiin Netflow-kollektoreihin ja IDS/IPS-järjestelmiin
- Verkkoinfrastruktuuri
- IPv6 otetaan käyttöön joissain verkon peruspalveluissa: DNS- ja NTP-palvelimet, syslog-palvelimet. Uusia IPv6-palveluita valvotaan vähintään samalla tarkkuudella kuin vastaavia IPv4-palveluita.
- Vaiheen lopputulokset
- Verkkoa ylläpitävät asiantuntijat pystyvät käyttämään IPv6:ta, ja pystyvät hallinnoimaan ja valvomaan IPv6-kykyistä verkkoa, järjestelmiä ja palveluita.
3. vaihe: Valmistautuminen IPv6:n käyttöönottoon palvelimissa
- Hallinnolliset asiat
- Kaikki organisaation sisäiset prosessit huomioivat IPv6:n.
- Tukijärjestelmät
- IPv6-tuki lisätään kaikkiin tukijärjestelmiin: esimerkiksi palvelunhallintajärjestelmät, raportointijärjestelmät, laiterekisterit, järjestelmänhallintatyökalut.
- Verkkoinfrastruktuuri
- IPv6-tuki lisätään kaikkiin verkkoihin, ilman tunnelointia.
- Vaiheen lopputulokset
- Kaikissa verkoissa on IPv6-tuki.
- Kaikki tukijärjestelmät pystyvät käsittelemään tietoa IPv6:ta käyttävistä laitteista ja järjestelmistä.
- Kaikki organisaation sisäiset prosessit ovat valmiita IPv6:n käyttöönottoon.
4. vaihe: IPv6:n käyttöönotto työasemissa
- Työasemat
- IPv6 otetaan käyttöön kaikissa työasemissa ja kannettavissa. Hallituissa verkoissa käytetään mahdollisuuksien mukaan esimerkiksi DHCPv6:ta osoitteiden jakamiseen.
- Työasemat ja kannettavat tietokoneet asetetaan käyttämään DNS:ää ja NTP:tä IPv6:lla.
- Vaiheen lopputulokset
- Kaikki organisaation työasemat ja kannettavat tukevat sekä IPv4:ää että IPv6:ta (dual-stack).
5. vaihe: IPv6:n käyttöönotto palvelimissa ja palveluissa
- Palvelimet ja palvelut
- IPv6-tuki lisätään vähitellen kaikkiin palvelimiin ja palveluihin. IPv6-tuki voidaan lisätä jo käytössä oleviin palvelimiin ja palveluihin, tai IPv6-käyttöönotto voidaan tehdä sitä mukaa kun verkkoon asennetaan uusia palvelimia, tai vanhoja palvelimia korvataan uusilla. Kaikkia IPv6-palveluita valvotaan vähintään samalla tarkkuudella kuin vastaavia IPv4-palveluita, jotta pelkästään IPv6:ta koskevat ongelmat havaitaan nopeasti. Nimipalveluun lisätään palveluiden IPv6-osoitteet AAAA-tietueina samoille DNS-nimille kuin IPv4-palveluille. Erillisiä *.ipv6.organisaatio.fi -nimiä ei käytetä.
- Ohjelmistokehitys
- Kaikki organisaation sisällä kehitetyt ohjelmistot tukevat IPv6:ta.
- Vaiheen lopputulokset
Kaikki organisaation sisällä kehitetyt ohjelmistot tukevat IPv6:ta.
- Kaikki palvelimet ja palvelut tukevat sekä IPv4:ää että IPv6:ta (dual-stack).
6. vaihe: Hankkiutuminen eroon IPv4-riippuvuuksista
- Hallinnolliset asiat / IPv6-siirtymäprojekti
- Järjestelmät, palvelut ja ohjelmistot (alempana komponentit) jotka vaativat IPv4:n (tai eivät toimi sellaisessa ympäristössä jossa on vain IPv6) tunnistetaan ja listataan.
- Jokaista IPv4-riippuvaista komponenttia varten kirjoitetaan suunnitelma, joka kertoo miten IPv6-siirtymä hoidetaan. Jos IPv6-siirtymä ei ole mahdollista, suunnitellaan komponentille käytöstäpoisto.
- Kaikkien IPv4-riippuvaisten komponenttien tilannetta seurataan ja valvotaan systemaattisesti, kunnes kaikki IPv4-riippuvuudet on saatu poistettua.
- Vaiheen lopputulokset
- Kaikki IPv4-riippuvuudet on poistettu. Kaikki järjestelmät, palvelut ja ohjelmistot pystyvät toimimaan ympäristössä jossa ei ole IPv4:ää.
7. vaihe: IPv4:n poistaminen käytöstä työasemissa
- Verkkoinfrastruktuuri
- Verkkoon rakennetaan NAT64- ja DNS64-palvelut työasemia varten.
- Työasemat
- NAT64- ja DNS64-palveluiden käyttöä pilotoidaan aluksi rajatulla käyttäjäkunnalla (esimerkiksi ylläpitävien asiantuntijoiden työasemat)
- Kun IPv4-liikennemäärät ovat tippuneet riittävästi, tai kun katsotaan että IPv4-tuen säilyttäminen työasemissa on liian suuri rasite, IPv4 poistetaan vähitellen kaikista työasemista. Työasemat asetetaan käyttämään NAT64- ja DNS64-palveluita jäljellä olevan IPv4-internetin käyttämistä varten.
- Vaiheen lopputulokset
- Kaikista työasemista on poistettu IPv4, ja työasemat käyttävät vain IPv6:aa.
8. vaihe: IPv4:n poistaminen palvelimista ja palveluista
- Palvelimet ja palvelut
- Sitä mukaa kun palvelimissa tai palveluissa ei tarvitse enää IPv4-tukea (tai kun mahdollisella erikseen rakennettavalla NAT46-palvelulla voidaan tarjota riittävä IPv4-tuki), IPv4 poistetaan käytöstä vähitellen kaikista palvelimista ja palveluista.
- Vaiheen lopputulokset
- Kaikista palvelimista ja palveluista on poistettu IPv4. Palvelimet ja palvelut käyttävät pelkästään IPv6:ta.
9. vaihe: IPv4:n poistaminen käytöstä
- Verkkoinfrastruktuuri
- IPv4 poistetaan käytöstä verkon valvonta- ja hallintajärjestelmistä.
- NAT64-, NAT46 ja DNS64-palvelut poistetaan käytöstä.
- IPv4-asetukset ja osoitteet poistetaan kaikista reitittimistä ja muusta verkon perusinfrastruktuurista.
- IPv4-osoitteet palautetaan paikalliselle osoiterekisterille (Funet Hostmaster)
- Vaiheen lopputulokset
- IPv4:ää ei enää käytetä missään.
- IPv6-siirtymä on valmis.
Muita IPv6-siirtymässä huomioitavia asioita
IPv6 ja prosessit
- On tärkeää että organisaation kaikki prosessit ottavat IPv6:n huomioon. IPv6-siirtymä ei valmistu koskaan, jos osa organisaatiosta rakentaa vain IPv4:ää tukevia palveluita, tai hankkii vain IPv4:ää tukevia laitteita ja ohjelmistoja. IPv4-sidonnaiset ohjelmistot, laitteet ja järjestelmät aiheuttavat ongelmia myöhemmin siirtymän aikana.
Tunneloinnin käyttäminen IPv6-käyttöönottoon
- Tunneloinnin käyttäminen (GRE/IP, IP/IP) ei ole suositeltavaa IPv6-käyttöönotossa. IPv6 tulisi ottaa käyttöön natiivina. Tunnelointia käytettiin varhaisissa IPv6-kokeiluissa kun suurin osa laitteista ei vielä tukenut IPv6:ta. Nykyään IPv6-tuki on laajasti saatavilla, joten tunneloinnin käyttämiselle ei ole samanlaisia syitä. Tunneloinnin käyttäminen hidastaa IPv6-siirtymää ja tekee sen monimutkaisemmaksi.
Palveluiden valvonta, laatu ja suorituskyky
- Jos IPv6-tuki lisätään palveluun tai palvelimeen, uutta IPv6-palvelua on valvottava vähintään yhtä tarkasti kuin vastaavaa IPv4-palvelua. Jos IPv6-palveluita ei valvota kunnolla, IPv6-ongelmat jäävät tunnistamatta ja IPv6-käyttäjät saavat huonompaa palvelua.
- IPv6-palvelun laatu ja suorituskyky on oltava vähintään yhtä hyvä kuin vastaavan IPv4-palvelun.
IPv6-siirtymän vastuut
- Organisaation sisällä IPv6-siirtymän vastuut tulisi olla selkeästi määritelty. Vastuu siirtymästä voidaan antaa esimerkiksi johdon asettamalle IPv6-siirtymäprojektille.
- IPv6-siirtymästä vastaavan tahon on huolehdittava että organisaation kaikki toimijat ovat sitoutuneet IPv6-siirtymän toteuttamiseen.
Sisäinen ja ulkoinen yhteistyö
- Organisaation sisälle voidaan perustaa yhteistyöryhmä avustamaan IPv6-siirtymän ongelmissa ja jakamaan IPv6-tietoa ("IPv6 task force", tms).
- Organisaation kannattaa seurata myös ulkoisia yhteistyöfoorumeita: esimerkiksi AccessFunet, Terena, Viestintäviraston IPv6-työryhmä, IETF:n 6man-, v6ops- ja sunset4-työryhmät.
IPv6-tietoisuuden levittäminen organisaatiossa
- Kaikkien henkilöiden tulee ymmärtää IPv6:een liittyvät asiat vähintään yhtä hyvin kuin vastaavat IPv4-asiat.
- Kaikkien hankintoja ja kilpailutuksia tekevien henkilöiden on oltava tietoisia IPv6-asioista.