Funet
Expand all   Collapse all



Muut työtilat

Funet Tiimi
VideoFunet
Funet CERT
[FunetSec:]

Skip to end of metadata
  • Created by Unknown User (tekivini@csc.fi), last modified by Unknown User (mmemonen@csc.fi) on Sep 03, 2013
Go to start of metadata


Huom! Siirtymähankkeen tehtävälistasta on myös taulukkoversio: IPv6-siirtyma.xls

Tämän sivun sisältö:
 
 

Johdanto

Tällä sivulla esitellään korkealla tasolla toimenpiteet joiden avulla IPv6-siirtymä voidaan toteuttaa hallitusti organisaatiossa joka käyttää IPv4:ää. Tämän dokumentin ehdottamaa työjärjestystä on mahdollista käyttää esimerkiksi IPv6-projektisuunnitelman runkona, tai muuten apuna IPv6-siirtymän suunnittelussa. Dokumentin lähtökohtana on ollut se, että IPv4-protokolla poistetaan lopulta kokonaan käytöstä.

Tässä dokumentissa on pyritty huomiomaan IPv6-siirtymän kannalta oleelliset asiat ja niiden väliset riippuvuudet niin, että IPv6-protokolla voidaan lisätä turvallisesti valmiiseen IPv4-verkkoon. Teknisten asioiden lisäksi myös hallinnolliset asiat on otettu huomioon.

Kaikenlaiset kommentit tästä dokumentista ovat erittäin tervetulleita esimerkiksi AccessFunet-työryhmän postituslistalle.

1. vaihe: IPv6-siirtymään valmistautuminen

  • Hallinnolliset asiat
    • Organisaation kaikkia osia tulisi informoida IPv6-siirtymästä ja siitä ettei vaihtoehtoja ole.
    • Johto voi asettaa IPv6-siirtymää varten projektin.
    • Vain IPv4:ää tukevien ohjelmistojen, laitteistojen ja palveluiden hankinta lopetetaan. IPv6 huomioidaan tämän jälkeen kaikissa hankinnoissa ja kilpailutuksissa. Jos IPv6-kykyisiä vaihtoehtoja ei ole saatavilla hankintahetkellä, hankittavan tuotteen tai palvelun myöhempää IPv6-siirtymää varten tarvittavat toimenpiteet selvitetään ja suunnitellaan ennen hankinnan tekemistä.
    • Henkilöstölle järjestetään IPv6-koulutusta.
  • Ohjelmistokehitys
    • IPv6 lisätään organisaation sisällä kehitettävien ohjelmistojen roadmappeihin.
  • Osoitteistus ja verkkoinfrastruktuuri
    • IPv6-osoitelohko hankitaan paikalliselta osoiterekisteriltä (Funet Hostmaster)
    • Tehdään IPv6-osoitteistussuunnitelma.
    • IPv6-tuki lisätään verkon perusinfrastruktuuriin: reitittimet, kytkimet, palomuurit
  • Vaiheen lopputulokset
    • Organisaatio on aloittanut hallitun IPv6-siirtymän.

2. vaihe: Valmistautuminen IPv6:n käyttöönottoon verkossa

  • Työasemat
    • IPv6 otetaan käyttöön verkkoa ja järjestelmiä ylläpitävien asiantuntijoiden työasemissa.
  • Verkon hallinta- ja valvontajärjestelmät
    • IPv6 otetaan käyttöön verkonhallintajärjestelmissä (esimerkiksi ylläpitopalvelimet)
    • IPv6 otetaan käyttöön verkonvalvontajärjestelmissä (esim. Nagios-valvonta, tilastointi, ym.)
    • IPv6-tuki lisätään mahdollisiin Netflow-kollektoreihin ja IDS/IPS-järjestelmiin
  • Verkkoinfrastruktuuri
    • IPv6 otetaan käyttöön joissain verkon peruspalveluissa: DNS- ja NTP-palvelimet, syslog-palvelimet. Uusia IPv6-palveluita valvotaan vähintään samalla tarkkuudella kuin vastaavia IPv4-palveluita.
  • Vaiheen lopputulokset
    • Verkkoa ylläpitävät asiantuntijat pystyvät käyttämään IPv6:ta, ja pystyvät hallinnoimaan ja valvomaan IPv6-kykyistä verkkoa, järjestelmiä ja palveluita.

3. vaihe: Valmistautuminen IPv6:n käyttöönottoon palvelimissa

  • Hallinnolliset asiat
    • Kaikki organisaation sisäiset prosessit huomioivat IPv6:n.
  • Tukijärjestelmät
    • IPv6-tuki lisätään kaikkiin tukijärjestelmiin: esimerkiksi palvelunhallintajärjestelmät, raportointijärjestelmät, laiterekisterit, järjestelmänhallintatyökalut.
  • Verkkoinfrastruktuuri
    • IPv6-tuki lisätään kaikkiin verkkoihin, ilman tunnelointia.
  • Vaiheen lopputulokset
    • Kaikissa verkoissa on IPv6-tuki.
    • Kaikki tukijärjestelmät pystyvät käsittelemään tietoa IPv6:ta käyttävistä laitteista ja järjestelmistä.
    • Kaikki organisaation sisäiset prosessit ovat valmiita IPv6:n käyttöönottoon.

4. vaihe: IPv6:n käyttöönotto työasemissa

  • Työasemat
    • IPv6 otetaan käyttöön kaikissa työasemissa ja kannettavissa. Hallituissa verkoissa käytetään mahdollisuuksien mukaan esimerkiksi DHCPv6:ta osoitteiden jakamiseen.
    • Työasemat ja kannettavat tietokoneet asetetaan käyttämään DNS:ää ja NTP:tä IPv6:lla.
  • Vaiheen lopputulokset
    • Kaikki organisaation työasemat ja kannettavat tukevat sekä IPv4:ää että IPv6:ta (dual-stack).

5. vaihe: IPv6:n käyttöönotto palvelimissa ja palveluissa

  • Palvelimet ja palvelut
    • IPv6-tuki lisätään vähitellen kaikkiin palvelimiin ja palveluihin. IPv6-tuki voidaan lisätä jo käytössä oleviin palvelimiin ja palveluihin, tai IPv6-käyttöönotto voidaan tehdä sitä mukaa kun verkkoon asennetaan uusia palvelimia, tai vanhoja palvelimia korvataan uusilla. Kaikkia IPv6-palveluita valvotaan vähintään samalla tarkkuudella kuin vastaavia IPv4-palveluita, jotta pelkästään IPv6:ta koskevat ongelmat havaitaan nopeasti. Nimipalveluun lisätään palveluiden IPv6-osoitteet AAAA-tietueina samoille DNS-nimille kuin IPv4-palveluille. Erillisiä *.ipv6.organisaatio.fi -nimiä ei käytetä.
  • Ohjelmistokehitys
    • Kaikki organisaation sisällä kehitetyt ohjelmistot tukevat IPv6:ta.
  • Vaiheen lopputulokset

    • Kaikki organisaation sisällä kehitetyt ohjelmistot tukevat IPv6:ta.

    • Kaikki palvelimet ja palvelut tukevat sekä IPv4:ää että IPv6:ta (dual-stack).

6. vaihe: Hankkiutuminen eroon IPv4-riippuvuuksista

  • Hallinnolliset asiat / IPv6-siirtymäprojekti
    • Järjestelmät, palvelut ja ohjelmistot (alempana komponentit) jotka vaativat IPv4:n (tai eivät toimi sellaisessa ympäristössä jossa on vain IPv6) tunnistetaan ja listataan.
    • Jokaista IPv4-riippuvaista komponenttia varten kirjoitetaan suunnitelma, joka kertoo miten IPv6-siirtymä hoidetaan. Jos IPv6-siirtymä ei ole mahdollista, suunnitellaan komponentille käytöstäpoisto.
    • Kaikkien IPv4-riippuvaisten komponenttien tilannetta seurataan ja valvotaan systemaattisesti, kunnes kaikki IPv4-riippuvuudet on saatu poistettua.
  • Vaiheen lopputulokset
    • Kaikki IPv4-riippuvuudet on poistettu. Kaikki järjestelmät, palvelut ja ohjelmistot pystyvät toimimaan ympäristössä jossa ei ole IPv4:ää.

7. vaihe: IPv4:n poistaminen käytöstä työasemissa

  • Verkkoinfrastruktuuri
  • Työasemat
    • NAT64- ja DNS64-palveluiden käyttöä pilotoidaan aluksi rajatulla käyttäjäkunnalla (esimerkiksi ylläpitävien asiantuntijoiden työasemat)
    • Kun IPv4-liikennemäärät ovat tippuneet riittävästi, tai kun katsotaan että IPv4-tuen säilyttäminen työasemissa on liian suuri rasite, IPv4 poistetaan vähitellen kaikista työasemista. Työasemat asetetaan käyttämään NAT64- ja DNS64-palveluita jäljellä olevan IPv4-internetin käyttämistä varten.
  • Vaiheen lopputulokset
    • Kaikista työasemista on poistettu IPv4, ja työasemat käyttävät vain IPv6:aa.

8. vaihe: IPv4:n poistaminen palvelimista ja palveluista

  • Palvelimet ja palvelut
    • Sitä mukaa kun palvelimissa tai palveluissa ei tarvitse enää IPv4-tukea (tai kun mahdollisella erikseen rakennettavalla NAT46-palvelulla voidaan tarjota riittävä IPv4-tuki), IPv4 poistetaan käytöstä vähitellen kaikista palvelimista ja palveluista.
  • Vaiheen lopputulokset
    • Kaikista palvelimista ja palveluista on poistettu IPv4. Palvelimet ja palvelut käyttävät pelkästään IPv6:ta.

9. vaihe: IPv4:n poistaminen käytöstä

  • Verkkoinfrastruktuuri
    • IPv4 poistetaan käytöstä verkon valvonta- ja hallintajärjestelmistä.
    • NAT64-, NAT46 ja DNS64-palvelut poistetaan käytöstä.
    • IPv4-asetukset ja osoitteet poistetaan kaikista reitittimistä ja muusta verkon perusinfrastruktuurista.
    • IPv4-osoitteet palautetaan paikalliselle osoiterekisterille (Funet Hostmaster)
  • Vaiheen lopputulokset
    • IPv4:ää ei enää käytetä missään.
    • IPv6-siirtymä on valmis.

Muita IPv6-siirtymässä huomioitavia asioita

IPv6 ja prosessit
  • On tärkeää että organisaation kaikki prosessit ottavat IPv6:n huomioon. IPv6-siirtymä ei valmistu koskaan, jos osa organisaatiosta rakentaa vain IPv4:ää tukevia palveluita, tai hankkii vain IPv4:ää tukevia laitteita ja ohjelmistoja. IPv4-sidonnaiset ohjelmistot, laitteet ja järjestelmät aiheuttavat ongelmia myöhemmin siirtymän aikana.
Tunneloinnin käyttäminen IPv6-käyttöönottoon
  • Tunneloinnin käyttäminen (GRE/IP, IP/IP) ei ole suositeltavaa IPv6-käyttöönotossa. IPv6 tulisi ottaa käyttöön natiivina. Tunnelointia käytettiin varhaisissa IPv6-kokeiluissa kun suurin osa laitteista ei vielä tukenut IPv6:ta. Nykyään IPv6-tuki on laajasti saatavilla, joten tunneloinnin käyttämiselle ei ole samanlaisia syitä. Tunneloinnin käyttäminen hidastaa IPv6-siirtymää ja tekee sen monimutkaisemmaksi.
Palveluiden valvonta, laatu ja suorituskyky
  • Jos IPv6-tuki lisätään palveluun tai palvelimeen, uutta IPv6-palvelua on valvottava vähintään yhtä tarkasti kuin vastaavaa IPv4-palvelua. Jos IPv6-palveluita ei valvota kunnolla, IPv6-ongelmat jäävät tunnistamatta ja IPv6-käyttäjät saavat huonompaa palvelua.
  • IPv6-palvelun laatu ja suorituskyky on oltava vähintään yhtä hyvä kuin vastaavan IPv4-palvelun.
IPv6-siirtymän vastuut
  • Organisaation sisällä IPv6-siirtymän vastuut tulisi olla selkeästi määritelty. Vastuu siirtymästä voidaan antaa esimerkiksi johdon asettamalle IPv6-siirtymäprojektille.
  • IPv6-siirtymästä vastaavan tahon on huolehdittava että organisaation kaikki toimijat ovat sitoutuneet IPv6-siirtymän toteuttamiseen.
Sisäinen ja ulkoinen yhteistyö
IPv6-tietoisuuden levittäminen organisaatiossa
  • Kaikkien henkilöiden tulee ymmärtää IPv6:een liittyvät asiat vähintään yhtä hyvin kuin vastaavat IPv4-asiat.
  • Kaikkien hankintoja ja kilpailutuksia tekevien henkilöiden on oltava tietoisia IPv6-asioista.