IPv6 planowanie i segmentacja — adresacja, bezpieczeństwo i automatyzacja
IPv6 planowanie to hierarchiczny plan prefiksów, zasady segmentacji i wybór mechanizmów konfiguracji (SLAAC/DHCPv6). Łączymy to z IPAM, DNS ip6.arpa, kontrolą publikacji i automatyzacją IaC, aby wdrożenie było przewidywalne i audytowalne.
Dlaczego IPv6 — korzyści i ryzyka
Przestrzeń adresowa
/48 lub /56 na lokalizację upraszcza plan rozwoju, izolację i delegacje prefiksów /64 na segmenty.
Hierarchia i agregacja
Agregacja prefiksów ogranicza liczbę tras, poprawia konwergencję i upraszcza polityki routingu.
Bez NAT, lepsza telemetria
IPv6 eliminuje wiele problemów NAT, ułatwia obserwowalność i polityki na podstawie prefiksów.
IPv6 planowanie — adresacja i prefiksy
Struktura planu
- ✓/48 dla jednostki biznesowej lub lokalizacji; delegacje /56 i /64 dla segmentów.
- ✓Konwencje nazw i etykiet w IPAM (tagowanie VRF/VLAN/region).
Dokumentowanie
- ✓Szablon planu (prefiks, właściciel, przeznaczenie, rozszerzalność).
- ✓Mapa zależności z DNS i politykami sieci.
Reverse DNS
- ✓Strefy
ip6.arpa, delegacje i automatyczne aktualizacje z IPAM. - ✓TTL i zasady publikacji rekordów PTR.
IPv6 segmentacja — VLAN, VRF i polityki
VLAN/VRF
Separacja domen rozgłoszeniowych i routing między-VRF. Prefiksy /64 na segment, kontrola tras i ACL.
ACL/Firewalle
Polityki oparte o prefiksy i grupy adresowe. Unikaj „allow any” — definiuj minimalne zestawy portów.
Campus & DC
EVPN/VXLAN i segmentacja aplikacyjna. Mapowanie segmentów na RBAC w systemach dostępowych.
SLAAC, DHCPv6 i DNS ip6.arpa
SLAAC
Autokonfiguracja z Router Advertisement (RA). Prosta w sieciach końcowych; control-plane przez RA Guard.
DHCPv6
Dla środowisk z centralnym zarządzaniem adresami i opcjami. Lepsza ewidencja i integracja z IPAM.
Hybryda
SLAAC dla hostów + DHCPv6 dla opcji (DNS, NTP). Synchronizacja do DNS i stref odwrotnych.
Bezpieczeństwo IPv6: RA/NDP Guard, ULA vs GUA
RA Guard / ND Inspection
Ochrona przed rogue RA i spoofingiem. Filtry L2 oraz logowanie anomalii NDP.
ULA i GUA
ULA do wewnątrz, GUA dla usług zewnętrznych. Jasne zasady translacji i publikacji DNS.
Telemetria
Flow logs, NetFlow/IPFIX dla IPv6, alerty na nadużycia i nieużywane prefiksy.
Dual-stack, NAT64/DNS64 i ścieżka migracji
Dual-stack
Uruchom IPv6 równolegle do IPv4. Etapowa habilitacja segmentów i usług, metryki adopcji.
NAT64/DNS64
Dostęp z IPv6-only do zasobów IPv4. Kontrola DNS64 i lista wyjątków (no-synthesis).
Testy i KPI
Ścieżki testowe, budżet błędów, rollback. KPI: dostępność, latencja, odsetek ruchu po IPv6.
Automatyzacja IPv6 w IPAM: IaC i GitOps
Plany prefiksów, delegacje i DNS utrzymujemy deklaratywnie. Zmiany są recenzowane, wersjonowane i testowane w pipeline’ach.
IPAM API
Provisioning /64 na segment, synchronizacja PTR i inwentarz VRF/VLAN. Webhooki po publikacji.
Terraform/Ansible
Provider IPAM, moduły VLAN/VRF, walidacje konfliktów prefiksów i testy integracyjne.
GitOps
Pull request → review → publikacja. Historia zmian, audyt i szybki rollback.
Standardy i dokumentacja: RFC 8200 (IPv6), RFC 4291 (Addressing), RFC 4862 (SLAAC), RFC 8415 (DHCPv6), NIST — wytyczne IPv6.
FAQ — planowanie IPv6 i segmentacja
Jaki prefiks przyjąć na lokalizację: /48 czy /56?
SLAAC czy DHCPv6 — co wybrać?
Jak zabezpieczyć warstwę L2 w IPv6?
Czy potrzebny jest dual-stack?
Jak automatyzować delegacje /64?
Pillar & clusters — powiązane treści
Inteligentne zarządzanie adresacją IP (filar IPAM)
Architektura IPAM, migracje i governance zmian adresacji.
DDI (DNS/DHCP/IPAM)
Anycast DNS, DHCP failover, automatyzacja i audyt.
IPAM automatyzacja API
IaC/GitOps, webhooki i testy integracyjne zmian.
Chcesz przygotować plan adresacji i segmentacji IPv6?
Bezpłatna konsultacja 20 min — zmapujemy prefiksy, segmenty i ścieżkę migracji (dual-stack/NAT64).