30.06.2011

RFC 4192 — «ползучая» замена адресов на сети. Дата появления: сентябрь 2005г.
(вольное изложение)

Документ начат с цитирования Карла фон Клаузевица, — что на войне, мол, все просто, но самое простое оказывается самым сложным» и так далее, то есть начали издалека.
Вводится понятие «Link prefix» — имеется ввиду часть (подсеть) от нового префикса. Тут есть некоторое разночтение, поскольку обычно в литературе так называют префикс, адреса из которого конфигурируются в пределах одного L2-сегмента.

Далее предлагается проводить замену адресов в 10 этапов:

  1. На всех линках конфигурируются новые адреса (в оригинале напечатано так: Link prefixes assigned to links.  Each link in the network must be assigned a link prefix from the new prefix).
  2. Итерфейсам свитчей и роутеров назначаются IPv6-адреса, как правило — вручную.
  3. Настраивается маршрутизация между устройствами.
  4. Настраиваются анонсы префиксов, сконфигурированных на интерфейсах свитчей и роутеров.
  5. Настраиваются входящие-исходящие фильтры.
  6. Настраиваются ACL, или как часто пишут, списки доступа.
  7. Конфигурируются IPv6-адреса на интерфейсах хостов, можно использовать SLAAC или DHCPv6/
  8. Настраиваются DNS-серверы, то есть AAAA и PTR записи.
  9. Настраиваются DHCP-серверы для «раздачи» IPv6-адресов и других параметров.
  10. Настраиваются конфигурационные файлы оборудования, приложений и прочее, где участвуют IPv6-адреса. Таких мест может оказаться много.

Неясно, о чем идет речь, когда упоминаются интерфейсы свитчей: или это управляющие интерфейсы, где нужно конфигурировать адреса для доступа к оборудованию, или это L3-свитчи.

Замена адресов обычно делается по трем причинам:

  • по политическим (корпоративным),например при слияниях-поглощениях
  • провайдер меняет адреса и вам некуда деваться
  • ваша компания меняет провайдера и вам снова некуда деваться

В любом случае удобнее всего устроить переходный период с «двойной» адресацией, то есть плавно внедрять новую схему и только после того, как все заработает на новых адресах, отказаться от старых.

Рекомендуется начать с получения нового префикса и делегирования новой реверсной зоны. Перед началом реконфигурации следует каждому линку назначить суб-префикс, выделяемый из нового префикса, то есть (по-русски говоря) назначить каждому L2-сегменту свою подсеть. Именно назначить, а не сконфигурировать, то есть речь идет о планировании распределения адресного пространства. Также можно внести новые записи в DNS, чтобы было проще работать с именами. На время перехода, с целью ускорения обновления информации, можно уменьшить значение TTL в DNS. Возможны ситуации, когда DNS-сервер находится не под вашим управлением, в этих случаях рекомендуется использовать DDNS [RFC2136] [RFC3007], то есть динамические обновления, с соответствующими защитными механизмами, или заранее договариваться о процедуре со службой поддержки DNS.

Пути назначения адресов.
Их три: SLAAC, DHCP и вручную. DHCP может вызывать задержку в обновлении параметров, поскольку хост обращается к серверу за продлением адреса через достаточно большой временной интервал. Ускорить этот процесс можно двумя путями:
— уменьшить значение таймера T1, определяющего время, через которое хост обращается к серверу
— можно использовать сообщение сервера DHCP Reconfigure, получив которое хост обязан обратиться к серверу

Конфигурирование отдельных устройств.
Если следовать данному плану, то на этом этапе у свитчей и роутеров уже будут новые адреса, но они еще не будут использоваться для передачи (маршрутизации) трафика. Новый префикс нужно добавить в роутинговые процессы, в фильтры и др. А вот RA на этом этапе следует отключить, чтобы из-за SLAAC не возникли неправильные назначения адресов. Также на этом этапе, когда новые адреса сконфигурированы частично, могут возникнуть «дыры» в безопасности сети. Для массовой переработки списков доступа, конфигурационных файлов и проч. можно использовать программные средства, например sed или скрипты на perl. По завершению этого этапа старый и новый префикс должны функционировать в полном обьеме.

Конфигурирование хостов.
Рекомендуется добавлять IPv6-адреса к IPv4, а не заменять их сраззу. И сражу же корректировать прямые и реверсные записи в DNS.

Далее можно начать освобождать старый префикс.

Ну что тут можно добавить? В голову пришло только одно: «Волга впадает в Каспийское море».


  *** Via IPv4 ***