Прямо сейчас у нас есть стойка с серверами. У каждого сервера сейчас есть как минимум 2 IP-адреса, один для публичного интерфейса, другой для частного. У серверов, на которых есть SSL-сайты, больше IP-адресов. У нас также есть виртуальные серверы, которые настроены аналогично.
Частная сеть
Частный диапазон в настоящее время используется только для резервного копирования и мониторинга. Это гигабитный порт, использование интерфейса обычно не очень велико. Мы планируем использовать другие технологии, которые будут использовать этот порт:
У нас нет частных адресов в наших записях DNS (только публичные адреса). Чтобы наши серверы использовали правильный IP-адрес для правильного интерфейса (а не жестко запрограммировать IP-адрес), вероятно, потребуется настройка частного DNS-сервера (теперь мы добавляем 2 разных записи DNS в 2 разные системы).
Публичная сеть
Наш общедоступный диапазон включает множество услуг, включая Интернет, электронную почту и ftp. Между нашей сетью и «публичной» сетью установлен аппаратный брандмауэр. У нас есть (относительно безопасный) метод для указания брандмауэру открывать и закрывать административный доступ (веб-интерфейсы, ssh и т. Д.) Для нашего текущего IP-адреса. При обсуждении любого решения также будут настроены межсетевые экраны на основе хоста.
В настоящее время общедоступная сеть работает по выделенному каналу со скоростью 20 Мбит / с. Есть несколько устаревших серверов с портами Fast Ethernet, но они планируются к выводу из эксплуатации. Все остальные производственные блоки имеют как минимум 2 порта Gigabit Ethernet. На серверах с большим трафиком доступно 4–6 портов (сейчас ни один из них не использует более 2 гигабитных портов).
IPv6
Я хочу получить префикс IPv6 от нашего интернет-провайдера. Итак, по крайней мере, каждый «сервер» имеет хотя бы один интерфейс IPv6. Нам по-прежнему необходимо поддерживать адресатов IPv4 в рабочем состоянии и поддерживать их доступность для устаревших клиентов (по крайней мере, веб-серверов и электронной почты).
У нас сейчас две IP-сети. Если добавить общедоступный IPv6-адрес, получится три.
Просто использовать IPv6?
Я думаю о том, чтобы просто сбросить частный диапазон IPv4 и использовать диапазон IPv6 в качестве основного средства всех коммуникаций. Если интерфейс начинает достигать своей емкости, используйте освободившиеся интерфейсы для создания магистрали.
Его преимущество состоит в том, что если общий или частный трафик должен превышать 1 Гбит / с. Трафик для каждого интерфейса уже анализируется на регулярной основе для прогнозирования использования полосы пропускания в будущем. В редких случаях, когда неожиданные пики пропускной способности: используйте QoS, чтобы обеспечить правильный приоритет трафика (например, наш ограниченный доступ по SSH), чтобы проблему можно было исправить (если возможно, наша глобальная сеть является узким местом прямо сейчас).
Он также имеет то преимущество, что вам не нужно делать запись для каждого частного адреса. У нас может быть частный DNS (или просто LDAP), но он будет гораздо более ограниченным по объему с меньшим количеством записей, которые нужно дублировать.
Резюме
Я стараюсь сделать эту сеть максимально "простой". В то же время я хочу убедиться, что он надежный, обновляемый, масштабируемый и (в конечном итоге) избыточный. Одна сеть IPv6 и устаревшая сеть IPv4 кажутся мне лучшим решением.
Что касается использования назначенных IPv6-адресов для обеих сетей, совместного использования доступной полосы пропускания в одной (при необходимости, транкинговой):
Хорошо, давайте ответим по частям
1) Частные адреса
ipv6 имеет разные «области действия», так что вы можете иметь локальную и глобальную область действия, ipv6 достаточно умен, чтобы знать, кто есть что, и соответствующим образом регулировать трафик, так что вы можете иметь локальную немаршрутизируемую сеть на ipv6 вообще без каких-либо проблем, на самом деле это идет по умолчанию как это
2) Дамп ipv4 и запуск только ipv6
Все реализации ipv6 до сих пор представляют собой двойной стек, поэтому вы можете с комфортом запускать оба, и я определенно рекомендую вам запускать оба, это не повредит, и ipv4 не исчезнет в течение длительного времени, хотя ipv6 очень круто, полностью отбрасывая ipv4 я бы не стал делать это.
3) Короткие вопросы
а) Никаких технических недостатков, наоборот! Множество крутых вещей, автоматическое назначение адресов, anycast, собственный ipsec, это довольно круто б) Брандмауэры должны быть хорошими, но есть некоторые особые правила брандмауэра, на которые вы должны обратить внимание, например, разрешение трафика области локальных ссылок, разрешение многоадресной передачи по ipv6 и отключите обработку пакетов RH0, также имейте в виду, что icmpv6 - это совершенно новый протокол, и ipv6 намного больше зависит от него, чем icmp на ipv4, поэтому фильтрация - не лучшая идея c) Насколько я знаю, большинство сервисов Linux поддерживает ipv6 без проблем, двойной стек ftw!
Также неплохо ознакомиться со всеми новыми спецификациями ipv6, взгляните на http://en.wikipedia.org/wiki/IPv6 для начинающих