IPv6 w praktyce: jak włączyć i nie zepsuć sieci

Przez
Wiktoria Sadowski
-
0
17
5/5 - (1 vote)

Nawigacja:

Po co w ogóle ruszać IPv6 i kiedy odpuścić

Realne powody wdrażania IPv6 w istniejącej sieci

IPv6 nie jest już ciekawostką akademicką. W wielu sieciach problemem nie jest „czy”, tylko „kiedy i jak” przejść na dual stack. Pierwszy twardy powód to brak publicznych adresów IPv4. Jeżeli firma musi udostępnić usługi użytkownikom z Internetu (aplikacje webowe, API, VPN, zdalny pulpit, VoIP, IoT), a operator nie dostarcza kolejnych adresów lub wycenia je nieprzyjemnie wysoko, IPv6 otwiera komfortowo duży zakres przestrzeni adresowej bez kombinowania z kolejnymi warstwami NAT.

Drugi motyw to projekty nastawione na długie życie: nowe serwerownie, migracje do chmury, budowa mikroserwisów czy integracje B2B. Jeżeli system ma działać przez 5–10 lat, naturalnym założeniem jest obsługa IPv6, szczególnie dla aplikacji wystawionych do Internetu. Ignorowanie IPv6 kończy się później kosztowną przebudową architektury, gdy pojawi się wymagający partner, użytkownicy mobilni z sieci IPv6-only lub wymogi przetargowe.

Trzecia realna przyczyna to compliance i wymagania regulacyjne. Część instytucji publicznych, sektorów regulowanych czy korporacyjnych standardów bezpieczeństwa zawiera konkretne zapisy o obsłudze IPv6 na usługach publicznych. Nierzadko dopiero audyt bezpieczeństwa lub zgodności wyciąga na wierzch brak IPv6 jako formalny brak spełnienia wymagań.

Jest też aspekt czysto operacyjny: ułatwienie routingu i uproszczenie NAT. Duże sieci złożone z wielu warstw NAT, translacji i sztuczek z adresacją prywatną stają się trudne do debugowania. Udostępnienie części usług po IPv6 (bez NAT) pozwala odchudzić reguły, uprościć ścieżki ruchu i lepiej zarządzać bezpieczeństwem na poziomie hostów i firewalli, a nie wyłącznie na granicy sieci.

Kiedy IPv6 jest przerostem formy nad treścią

Istnieją scenariusze, w których „odhaczenie IPv6” robi więcej zamieszania niż pożytku. Jeśli sieć jest mała, zamknięta i praktycznie bez ekspozycji na Internet – na przykład pojedyncza lokalna sieć biurowa, gdzie wszystkie usługi są SaaS-em w chmurze, a lokalnie działa tylko drukowanie i parę prostych aplikacji – pełne wdrożenie IPv6 na routerach, firewallach i serwerach może być inwestycją bez realnego zysku.

Podobnie jest w przypadku projektów krótkoterminowych, izolowanych środowisk labowych czy infrastruktury, która ma zostać wycofana w ciągu najbliższych miesięcy. Budowanie w takich miejscach dojrzałej adresacji IPv6, rozbudowanych polityk bezpieczeństwa, reguł routingu i monitoringu bywa po prostu marnowaniem czasu, który lepiej przeznaczyć na porządne wdrożenie w systemach docelowych.

Drugim typowym przypadkiem „przerostu formy” są izolowane systemy OT/ICS, gdzie liczy się stabilność protokołów i przewidywalność zachowania urządzeń. Włączanie IPv6 na sterownikach, które nie były testowane z tym protokołem, może wprowadzić niespodziewane efekty uboczne – a zysk operacyjny bywa minimalny.

Popularne mity o IPv6, które robią krzywdę

Najczęściej powtarzany mit: „IPv6 przyspiesza sieć”. Sam fakt użycia IPv6 nie zwiększa przepustowości ani nie obniża opóźnień. Do przyspieszenia może dojść pośrednio – na przykład wtedy, gdy:

  • serwer dostępny jest tylko po IPv6 z bliższego CDN,
  • ścieżka IPv6 jest krótsza lub mniej przeciążona niż IPv4,
  • IPv6 omija wielokrotne translacje NAT.

To jednak kwestia konkretnej trasy, a nie magii protokołu.

Drugi mit: „bez IPv6 Google przestanie działać”. Duzi dostawcy usług sieciowych długo będą obsługiwać oba światy. Google, Microsoft, Facebook i inni używają dual stack; dla użytkownika końcowego brak IPv6 skutkuje co najwyżej innym wyborem ścieżki, a nie brakiem dostępu. Realnym problemem nie jest to, że usługi „przestaną działać”, ale że niektóre funkcje będą działały gorzej dla klientów pozbawionych IPv6 lub pojawią się bariery integracyjne.

Trzeci szkodliwy mit: „IPv6 samo się włączy”. Owszem, wiele systemów operacyjnych ma domyślnie aktywny stos IPv6 i mechanizmy autokonfiguracji SLAAC, ale to nie oznacza sensownej, przemyślanej i bezpiecznej konfiguracji sieciowej. Samoczynnie pojawiające się adresy link-local, niekontrolowane Router Advertisement z przypadkowych routerów czy „przebijanie się” IPv6 poza VPN to prosty sposób na stworzenie sobie niewidocznej, niezarządzanej przestrzeni ruchu.

Jak ocenić gotowość organizacji do wdrożenia IPv6

Najrozsądniejszy pierwszy krok to pragmatyczny audyt gotowości. Obejmuje on kilka obszarów: sprzęt, łącza, zespół i dostawców usług. Sprzętowo trzeba sprawdzić nie tylko routery brzegowe, ale też przełączniki, kontrolery Wi‑Fi, urządzenia bezpieczeństwa (firewalle, WAF, IPS) i systemy VPN. Wiele starszych urządzeń deklaruje wsparcie IPv6, lecz ma poważne ograniczenia wydajności, brak istotnych funkcji (np. firewalling stateful) lub wymaga dodatkowych licencji.

Po stronie łączy istotne jest, czy dostawca Internetu oferuje pełne, natywne IPv6 (najlepiej z sensownym przydziałem typu /48 lub /56), a nie tylko przypadkowe tunele 6rd, 6to4 czy nietypowe mechanizmy przejściowe. Warto też zweryfikować, czy lokalne łącza MPLS/VPN wspierają routowanie IPv6 pomiędzy oddziałami, aby uniknąć dziwnych konstrukcji typu „IPv6 tylko na brzegu, a w środku wyłącznie IPv4”.

Trzeci aspekt to kompetencje zespołu. Jeśli administratorzy, operatorzy NOC i helpdesk nigdy nie pracowali z IPv6, rozsądne jest założenie fazy pilotażowej i prostego wdrożenia w wybranym segmencie, zamiast jednorazowej rewolucji w całej sieci. Szkolenie praktyczne – z naciskiem na debugowanie, logi i bezpieczeństwo – bywa tu ważniejsze niż teoretyczne kursy.

Ostatni element to gotowość dostawców usług i aplikacji: hosting, DNS, dostawcy SaaS, chmury publiczne, systemy monitoringu, narzędzia backupu i bezpieczeństwa. Jeśli kluczowa aplikacja biznesowa nie obsługuje IPv6 lub ma z tym poważne problemy, kierunek wdrożenia trzeba dostosować do realiów – często sens ma start od warstwy sieciowej i usług wspólnych, a później stopniowe przełączanie poszczególnych systemów.

Podstawy IPv6 dla ludzi, którzy już „żyją” w IPv4

Najważniejsze różnice koncepcyjne między IPv4 a IPv6

Dla administratora przyzwyczajonego do świata IPv4 trzy rzeczy w IPv6 zmieniają sposób myślenia: ogrom przestrzeni adresowej, inne podejście do podsieci i brak NAT w klasycznym wydaniu. W IPv4 adresy są zasobem deficytowym – recykling, maski /24, planowanie „żeby się zmieściło”, NAT na brzegu. W IPv6 adresy są niemal niewyczerpane w skali organizacji, a podsieć /64 uznaje się za jednostkę podstawową, nie luksus.

Segment L2 standardowo otrzymuje pełne /64. Dzielnie go na /120, „żeby nie marnować adresów”, jest nie tyle błędem, co łamaniem założeń wielu mechanizmów IPv6 (SLAAC, NDP, bezpieczeństwo warstwy drugiej). Zamiast więc oszczędzać, zwykle lepiej jest przydzielić osobne /64 na kolejne VLAN-y i lokalizacje, a z wyższego prefiksu (/48, /56) budować spójne drzewo numeracji.

Brak klasycznego NAT to druga duża zmiana. Każdy host w sieci korporacyjnej może mieć globalnie routowalny adres IPv6. Ochrona realizowana jest wtedy nie przez ukrywanie się za maszyną translacyjną, lecz przez sensownie zaprojektowane firewalle i polityki filtrowania. To wymusza precyzyjniejsze myślenie o tym, co ma być dostępne z Internetu, co tylko wewnętrznie, a co wyłącznie w konkretnych strefach.

Rodzaje adresów IPv6 istotne w codziennej administracji

Dobrze poukładane wdrożenie IPv6 zaczyna się od jasnego podziału typów adresów. W praktyce przydają się szczególnie cztery grupy:

  • Global Unicast (GUA) – adresy routowalne w Internecie, najczęściej zaczynające się od 2000::. To odpowiednik publicznych IPv4. To nimi posługują się serwery, stacje robocze i urządzenia, jeśli mają komunikować się poza siecią lokalną.
  • Link-local – adresy z zakresu fe80::/10, generowane automatycznie na każdym interfejsie. Używane do komunikacji w ramach pojedynczego segmentu L2 (NDP, RA). Kluczowe przy debugowaniu: jeśli host nie ma innego adresu, zwykle i tak ma fe80::, którym można „zobaczyć” sąsiedztwo.
  • ULA (Unique Local Address) – odpowiednik prywatnych IPv4 (RFC1918), ale z możliwością koegzystencji z Internetem bez kolizji. Zakres fc00::/7. Czasem używane do wewnętrznej adresacji w sieciach, które z różnych powodów nie chcą posługiwać się GUA wewnątrz.
  • Multicast – zaczynają się od ff00::. IPv6 odchodzi od broadcastów i mocniej opiera się na multicast, m.in. w mechanizmach NDP, MLD, RA. Dobre zrozumienie multicastu upraszcza analizę ruchu i konfigurację firewalli.

Do tego dochodzą adresy anycast, które formalnie są GUA, ale przypisane do wielu hostów, oraz adresy solicited-node multicast generowane na podstawie adresu unicast, używane przez NDP. Te ostatnie pojawiają się w sniffach sieciowych i warto je rozpoznawać, aby nie mylić z „dziwnym ruchem”.

Format zapisu adresów IPv6 i typowe pułapki

Adres IPv6 ma 128 bitów i zwykle zapisuje się go w postaci ośmiu grup po cztery cyfry szesnastkowe: 2001:0db8:0000:0000:0000:ff00:0042:8329. Zastosowano jednak kilka reguł skracania, które ułatwiają życie, ale potrafią też wprowadzić zamieszanie w dokumentacji i logach.

Podstawowe skróty:

  • Usuwanie zer wiodących w grupie: 0db8db8, 004242.
  • Jednokrotne zastąpienie najdłuższej sekwencji grup „0000” przez :: – np. 2001:db8::ff00:42:8329.

Pułapka polega na tym, że „::” można użyć tylko raz w adresie, a różne systemy mogą skracać go nieco inaczej (inna sekwencja uznana za „najdłuższą”). W efekcie ten sam adres może w logach wyglądać na pierwszy rzut oka inaczej w zależności od miejsca, gdzie został zapisany. Przy ręcznym wprowadzaniu adresów łatwo także pomylić „::1” (loopback) z „::” (wszystkie jedynki / różne zastosowania).

W konfiguracjach krytycznych (firewalle, ACL na routerach, definiowanie tras statycznych) bezpieczniej jest trzymać się jednolitej konwencji skracania i dokumentować zarówno formę skróconą, jak i pełną. Z kolei skrypty automatyzujące konfigurację powinny używać bibliotek obsługujących adresy IPv6 zamiast „sklejania” ich na piechotę.

ICMPv6 jako krwiobieg IPv6 i dlaczego nie wolno go „zabić”

W IPv4 często stosuje się zasadę „zablokować wszystko ICMP, poza pingiem z zaufanych adresów”. W świecie IPv6 takie podejście kończy się spektakularną awarią, bo ICMPv6 jest kluczowym mechanizmem działania samego protokołu, a nie tylko nośnikiem pingu.

Najważniejsze funkcje ICMPv6:

  • NDP (Neighbor Discovery Protocol) – odpowiednik ARP. Używany do „odkrywania” sąsiadów i rozwiązywania adresów IPv6 do MAC. Bez niego hosty nie dogadają się nawet w ramach jednego VLAN-u.
  • RA (Router Advertisement) – router wysyła informacje o dostępnych prefiksach, bramach i flagach decydujących o trybie konfiguracji (SLAAC/DHCPv6). Zablokowane RA oznaczają hosty bez bramy domyślnej.
  • MLD (Multicast Listener Discovery) – mechanizm dla routerów do zarządzania ruchem multicast w sieci. Ignorowany lub blokowany MLD może powodować zalew multicastu tam, gdzie nie jest potrzebny, albo odwrotnie – brak istotnych pakietów.
  • Typy ICMPv6 związane z błędami (Packet Too Big, Time Exceeded) – kluczowe dla działania Path MTU Discovery. Bez nich duże pakiety mogą „magicznie znikać”, co objawia się działaniem części stron i niespodziewanym timeoutem innych.

Firewalle IPv6 muszą więc być precyzyjnie dostrojone: blokowanie „pingu z Internetu” jest nadal rozsądną praktyką, ale całkowite odcinanie ICMPv6 to szybka droga do sytuacji, w której ruch wygląda na działający (DNS się rozwiązuje, TCP łączy się), a w praktyce część połączeń wisi lub resetuje się z powodu problemów z MTU lub NDP.

Projektowanie planu adresacji IPv6 – żeby nie gonić własnego ogona

Jak podchodzić do przydziału prefiksów w organizacji

Najczęstszy błąd przy projektowaniu adresacji IPv6 polega na próbie „odtworzenia” istniejącego planu IPv4 1:1: te same zakresy, te same wyjątki, ta sama logika „upchajmy wszystko w /24”. IPv6 premiuje inne podejście: adresacja ma służyć człowiekowi i routingowi, nie oszczędzaniu bitów.

Punkt wyjścia to prefiks, który dostajesz od operatora – najczęściej /48 lub /56. Zamiast zaczynać od „ile hostów w VLAN-ie”, sensowniejsze jest pytanie: jakie logiczne domeny chcę rozróżniać w adresacji? Typowe osie podziału:

  • lokalizacja (miasto, kampus, budynek),
  • rodzaj strefy bezpieczeństwa (serwery, użytkownicy, goście, OT/SCADA),
  • technologia (Wi‑Fi, sieć przewodowa, data center, WAN),
  • środowisko (produkcyjne, testowe, lab).

Często lepiej przeznaczyć osobny blok dla każdej lokalizacji (np. /56 na oddział) i w środku trzymać się zasady, że każdy VLAN dostaje pełne /64. Podział „na styk” – np. wycinanie pojedynczych /64 z jednego wspólnego /48 dla wszystkich lokalizacji – wraca rykoszetem przy migracjach, scalaniu sieci i politykach routingu.

Przykładowy szkielet numeracji z /48

Jeżeli operator przydzielił prefiks /48, do zdefiniowania lokalnej struktury zostaje 16 bitów (od /48 do /64). To 65 536 podsieci /64 – z punktu widzenia typowej organizacji praktycznie nieskończoność.

Przykładowy, czytelny schemat podziału:

  • 2001:db8:1000::/48 – cała organizacja,
  • bity 48–52 (4 bity) – kod lokalizacji (do 16 lokalizacji),
  • bity 52–56 (4 bity) – typ strefy (użytkownicy, serwery, goście itd.),
  • bity 56–64 (8 bitów) – numer VLAN-u w danej strefie.

Dla lokalizacji 3, strefy „użytkownicy przewodowi”=1, VLAN ID=10 można uzyskać podsieć:

2001:db8:1000:3:1:0a00::/64

Adresacja od razu mówi, z jakim rodzajem ruchu mamy do czynienia, a człowiek z kartką papieru jest w stanie odczytać miejsce w strukturze bez zaglądania do CMDB. To z kolei ułatwia budowę reguł firewalli, summarization w routingu oraz debugowanie ścieżek.

Dlaczego „jeden blok ULA na wszystko” rzadko jest dobrym pomysłem

Popularna rada: „dajmy wszędzie ULA, a na brzegu NAT66 i będziemy mieli IPv6 jak IPv4”. Kusi, bo wygląda znajomo. W praktyce to często powielenie ograniczeń IPv4 bez korzystania z zalet IPv6.

Scenariusze, w których masowe użycie ULA i NAT66 się sypie:

  • ruch między oddziałami przez Internet VPN – pojawia się przekładanie ULA⇄GUA na brzegu obu lokalizacji, co mnoży wyjątki i komplikacje w ACL-ach,
  • usługi hybrydowe (część w chmurze, część on-prem) – adresy ULA nie istnieją w świecie zewnętrznym, więc każda integracja wymaga dodatkowych mapowań,
  • środowiska z monitoringiem zdalnym, SIEM-em, systemami EDR – logi zawierają adresy „lokalne”, które nie niosą jasnej informacji poza danym site.

Są jednak sytuacje, w których ULA jest sensownym narzędziem. Na przykład w sieciach OT odciętych fizycznie od Internetu, w środowiskach labowych, w których prefiks GUA bywa często zmieniany przez operatora, czy przy architekturach z dynamicznym multihomingiem, gdzie GUA może być różny w zależności od wyjścia do internetu. ULA wtedy tworzy stabilny „kręgosłup”, a GUA jest jedynie „maską zewnętrzną”.

Stabilność prefiksu a projekt adresacji

Plan zakładający szerokie użycie GUA ma sens tylko wtedy, gdy prefiks IPv6 jest względnie stabilny. W sieciach domowych, gdzie router otrzymuje losowe /64 lub /56 przy każdym restarcie, poważna inżynieria numeracji jest sztuką dla sztuki. W takich przypadkach lepiej ograniczyć się do prostego „cokolwiek przyjdzie z DHCPv6-PD, podziel na parę VLAN-ów” i nie budować rozbudowanych zależności.

W sieci korporacyjnej warto zadbać na etapie umowy z operatorem o:

  • gwarancję stałego prefiksu (minimum /56, a docelowo /48),
  • spójność prefiksów przy wielu łączach (np. /44 rozdzielone na kilka lokalizacji),
  • jasną politykę zmiany prefiksu (okres wypowiedzenia, okno migracyjne).

Bez tego każdy większy refaktoring adresacji będzie się kończył nocnymi zmianami w tysiącu miejsc, a zalety IPv6 zamienią się w zbędny ból głowy.

Panel krosowy w data center z uporządkowanymi kablami sieciowymi
Źródło: Pexels | Autor: Brett Sayles

Metody konfiguracji hostów: SLAAC, DHCPv6, statyczne – plusy, minusy, pułapki

SLAAC – automatyka, która potrafi zaskoczyć

SLAAC (Stateless Address Autoconfiguration) to domyślny tryb działania wielu systemów. Host nasłuchuje ogłoszeń routera (RA) i na tej podstawie sam tworzy adres(y) w obrębie ogłoszonego prefiksu. Z punktu widzenia administratora to wygodne: wystarczy włączyć IPv6 na interfejsie routera, ustawić odpowiednie flagi i adresy „biorą się z powietrza”.

Plusy SLAAC:

  • minimalna konfiguracja po stronie infrastruktury,
  • bardzo dobra skalowalność – brak serwera utrzymującego stan dzierżaw,
  • idealne do prostych segmentów (Wi‑Fi dla pracowników, sieć gościnna, małe biura bez lokalnego IT).

Gorsza strona medalu:

  • brak centralnego rejestru „kto ma jaki adres” – trzeba polegać na logach z NDP, systemach NAC lub logach z przełączników,
  • utrudnione powiązanie adresu IPv6 z konkretnym użytkownikiem w SIEM/EDR (szczególnie z prywatnymi rozszerzeniami adresów),
  • potencjalne problemy przy nietypowych wymaganiach DNS (np. inny DNS w tej samej podsieci dla określonej klasy urządzeń).

Do sieci, gdzie liczy się proste „podłącz i działa”, SLAAC jest naturalnym wyborem. W gęstych środowiskach regulowanych (finanse, medycyna, administracja) sam SLAAC może być za mało przewidywalny z punktu widzenia audytu i logowania.

DHCPv6 – kiedy chcesz mieć kontrolę, ale nie za cenę koszmaru operacyjnego

DHCPv6 przywraca część kontroli znanej z IPv4: centralny serwer wie, jaki host dostał który adres, kiedy wygasa dzierżawa, jakie dodatkowe opcje (DNS, domain search, NTP) mu przypisano. Pomaga to w audycie, systemach NAC, logowaniu ruchu i dynamicznym przydzielaniu parametrów hostom.

Najczęstsze pułapki przy DHCPv6:

  • wielu producentów systemów klienckich różnie interpretuje zależność SLAAC↔DHCPv6, szczególnie jeśli w RA ustawione są jednocześnie flagi M i O,
  • część systemów (szczególnie starsze implementacje) nie używa DHCPv6 w sieciach Wi‑Fi lub robi to niekonsekwentnie,
  • „dual stack + DHCPv4 + DHCPv6” potrafi wprowadzić bałagan, jeśli nazewnictwo i polityki nie są spójne.

Popularną praktyką jest użycie DHCPv6 tylko do dystrybucji DNS (flaga O w RA, bez przydziału adresów przez DHCPv6), przy jednoczesnym stosowaniu SLAAC do samych adresów. Daje to centralną kontrolę nad serwerami DNS przy zachowaniu prostoty SLAAC. To rozwiązanie ma sens tam, gdzie nie ma silnych wymogów prawnych co do śledzenia „kto miał jaki adres w godzinie X”.

Jeśli natomiast istotne jest związanie konkretnego komputera (np. laptopa pracownika) z adresem w logach, warto rozważyć pełny DHCPv6 z rezerwacjami lub przynajmniej z długimi dzierżawami. Trzeba tylko zaakceptować koszty operacyjne – utrzymanie DHCPv4 i DHCPv6 jednocześnie to dwa zestawy problemów, nie jeden.

Adresy statyczne – gdzie nadal mają sens

Adresacja statyczna w IPv6 wydaje się anachronizmem, dopóki nie dotknie się pewnych klas urządzeń. Tam, gdzie mówimy o infrastrukturze krytycznej (routery szkieletowe, firewalle brzegowe, kluczowe serwery DNS, niektóre urządzenia OT), ręczne przypisanie adresów bywa po prostu wygodniejsze.

Kryteria, według których statyczne adresy mają sens:

  • adres jest potrzebny w konfiguracjach innych systemów (ACL-e, peer BGP, reguły NAT64, konfiguracja VPN),
  • zmiana adresu wymagałaby dotykania wielu miejsc naraz i rodzi istotne ryzyko,
  • urządzenie ma długą żywotność i jest rzadko zmieniane (np. routery w core, przełączniki szkieletowe).

Dobrym kompromisem jest trzymanie się czytelnego schematu: pierwsze adresy z podsieci /64 rezerwować pod infrastrukturę (np. ::1 dla bramy, ::10–::1f dla innych urządzeń), a resztę pozostawić SLAAC/DHCPv6. Wtedy z samych adresów IPv6 można odczytać, czy mamy do czynienia z hostem „brzegowym”, czy zwykłym klientem.

Privacy Extensions, stable-privacy i identyfikowalność hostów

Na stacjach roboczych i urządzeniach mobilnych IPv6 najczęściej generuje więcej niż jeden adres w danym /64. Oprócz „stabilnego” adresu (np. z sufiksem opartym na MAC lub stable-privacy) system tworzy tymczasowe adresy z włączonymi Privacy Extensions. To odpowiedź na zarzut, że IPv6 ułatwia śledzenie konkretnej maszyny po adresie.

Z perspektywy działu bezpieczeństwa i logowania pojawia się napięcie: prywatność użytkownika vs. identyfikowalność hosta w logach. Na poziomie praktycznym:

  • w segmentach z pracownikami i urządzeniami BYOD tymczasowe adresy mają sens – redukują możliwość długoterminowego śledzenia jednego urządzenia,
  • w sieciach serwerowych, systemach krytycznych, podsieciach z twardym compliance – lepiej wymusić jeden stabilny adres i wyłączyć privacy extensions.

Jeżeli narzędzia monitoringu i SIEM nie są przygotowane na sytuację „jeden host, kilka równoległych adresów IPv6 z różnym czasem życia”, w logach powstaje chaos. Zanim uruchomisz IPv6 globalnie, warto przećwiczyć na pilotażu, jak systemy bezpieczeństwa i helpdesk radzą sobie z takim scenariuszem.

Dual stack bez dramatu: jak spiąć IPv4 z IPv6 w jednej sieci

Filozofia „IPv6 najpierw” vs „IPv4 jako bezpieczeństwo psychiczne”

Najbardziej rozsądne technicznie podejście to dual stack z priorytetem IPv6: wszędzie, gdzie jest to możliwe, ruch odbywa się po IPv6, a IPv4 jest jeszcze obecne, ale marginalizowane. W praktyce wiele organizacji robi odwrotnie – IPv4 nadal jest „główną siecią”, a IPv6 dodaje się po cichu, by „nie zepsuć niczego ważnego”.

Druga strategia uspokaja psychicznie, ale prolonguje kłopoty: debugowanie asymetrycznych problemów, dublowanie polityk bezpieczeństwa, podwójne logowanie, dwa światy DNS. Podejście „IPv6 najpierw” wymaga większej odwagi, ale ułatwia życie po początkowej fazie migracji. Przykładowa droga pośrednia:

  • dual stack w całej sieci szkieletowej i serwerowej,
  • podsuwanie klientom IPv6 jako preferowanej ścieżki do wybranych usług (DNS AAAA),
  • monitorowanie zachowania (ruchu, błędów, MTU) i stopniowe „dokręcanie śruby” IPv6.

DNS i wybór ścieżki: dlaczego „wystawmy AAAA i zobaczymy” bywa ryzykowne

Częsta rada brzmi: „dodaj rekordy AAAA do DNS i obserwuj”. Jest sensowna, o ile infrastruktura pod spodem jest przygotowana. Kiedy nie działa dobrze:

  • jeśli IPv6 jest dostępne tylko dla części użytkowników (np. tylko w jednym oddziale), a DNS jest wspólny – klienci bez IPv6 mogą próbować dziwnych mechanizmów przejściowych,
  • gdy po drodze istnieją problemy z MTU, nieprawidłowo filtrowanym ICMPv6 lub asymetrią tras – wtedy IPv6 „jest”, ale objawia się losowymi timeoutami,
  • kiedy monitoring skupia się tylko na IPv4 – awarie IPv6 pozostają niezauważone, bo „aplikacja przecież odpowiada po IPv4”.

Bezpieczniejsza strategia to etapowe wprowadzanie AAAA:

  1. uruchom IPv6 w backendzie (między serwerami, load balancerami, reverse proxy), ale bez publikowania AAAA dla świata zewnętrznego,
  2. dodaj AAAA dla wybranych testowych FQDN z ograniczonym zasięgiem (np. tylko dla określonych biur/VPN),
  3. stopniowo rozszerzaj zakres, jednocześnie włączając testy syntetyczne monitorujące dostępność po IPv6 z różnych lokalizacji.

Polityki firewalli w dual stack: „kopiuj‑wklej” z IPv4 nie wystarczy

Segmentacja i osobne polityki dla IPv6 zamiast „kopiuj‑wklej z IPv4”

Najbardziej kusząca droga to wzięcie istniejących reguł IPv4, przeklejenie ich w wersji na IPv6 i ogłoszenie sukcesu. Problem w tym, że semantyka i rzeczywistość ruchu są inne. W IPv4 większość ruchu „interesującego” kończy się na kilku bramach, tunelach VPN i NAT‑ach. W IPv6 zdecydowanie więcej hostów ma pełny, routowalny adres i te reguły zaczynają naprawdę coś znaczyć.

Przy projektowaniu firewalli lepiej potraktować IPv6 jako okazję do lekkiego „przemeblowania”, a nie kalkę:

  • zamiast 1:1 kopiować ACL‑e, podziel ruch na klasy: użytkownicy, serwery, zarządzanie, IoT/OT – i dla każdej osobno zaprojektuj politykę IPv6,
  • na styku segmentów stwórz osobne zestawy reguł dla IPv4 i IPv6, ale spójne logicznie: jeśli http z VLAN‑u biurowego do farmy aplikacyjnej jest dozwolony w IPv4, niech będzie symetrycznie w IPv6 (albo odwrotnie – zablokowany w obu),
  • stosuj grupy adresowe i obiekty (prefix‑listy, address‑groups) zamiast pojedynczych wpisów – przy /64 kopiowanie „hostów” mija się z celem.

Popularna rada brzmi: „zacznij od reguły allow any IPv6 wewnątrz sieci, a dopiero potem uszczelniaj”. Sprawdza się w labie, ale w sieci produkcyjnej potrafi otworzyć boczne ścieżki (np. Windows file sharing między VLAN‑ami, które w IPv4 są izolowane). Bezpieczniejsza alternatywa:

  1. przenieś kluczowe reguły blokujące z IPv4 do IPv6 (deny między strefami, blokady ruchu z user‑VLAN do management),
  2. w środku strefy utrzymaj na starcie bardziej liberalną politykę (np. permit między hostami w tym samym VLAN),
  3. stopniowo dokładaj ograniczenia poziome (micro‑segmentation), ale już od początku mając „barierki” między strefami.

Warto jasno rozdzielić to, co robisz na brzegu (internet, DMZ), od tego, co dzieje się wewnątrz. Na brzegu reguły IPv6 nie powinny być bardziej liberalne niż IPv4, nawet jeśli ruchu na starcie jest mało. We wnętrzu można podejść etapowo, ale z monitoringiem i z jasno zdefiniowaną datą, kiedy kończy się „okres przejściowy”.

ICMPv6 – nie wrog, tylko element infrastruktury

W świecie IPv4 przyzwyczajenie „blokujemy ICMP, bo tak jest bezpieczniej” wciąż jest żywe. W IPv6 to prosta droga do problemów trudnych do zdiagnozowania. Pod ICMPv6 ukrywa się nie tylko ping, ale też ND, RA, informacja o zbyt małym MTU, komunikaty o braku drogi – bez tego protokół zwyczajnie nie działa poprawnie.

Praktyczna zasada jest prosta: blokuj selektywnie, nie hurtowo. Ma to kilka konsekwencji:

  • pakiety Packet Too Big muszą przechodzić – inaczej PMTUD przestaje działać, a użytkownicy widzą „magiczne” zawieszki po kilku sekundach ładowania strony,
  • komunikaty typu Destination Unreachable ułatwiają diagnozę tras i błędnych konfiguracji,
  • RA i NS/NA w lokalnym segmencie nie powinny być filtrowane po drodze – jedynym sensownym miejscem na ich kontrolę jest access switch lub sam host (RA Guard, filtry na interfejsach dostępowych).

Jeśli polityka bezpieczeństwa wymusza agresywne filtrowanie, zamiast „drop all ICMPv6 z internetu” lepszym kompromisem jest lista dozwolonych typów/kodów, zsynchronizowana z dokumentem RFC 4890. Równolegle można ograniczyć ewentualne wektory ataku przez:

  • ochronę przed RA spoofingiem (RA Guard, ACL‑e na portach dostępowych, segmentacja Wi‑Fi),
  • limitowanie i logowanie ICMPv6 z zewnątrz (ratelimity, profile „slow path” na routerach brzegowych),
  • kontrolę, kto może wysyłać Redirect – w wielu sieciach sensownie jest je po prostu wyłączyć na routerach.

W praktyce więcej problemów produkcyjnych z IPv6 wynika z nadgorliwego filtrowania ICMPv6 niż z jego braku. Testy syntetyczne (np. proste skrypty curl po IPv6 z kilku punktów w sieci) szybko pokazują, czy ścieżka i MTU uczciwie działają.

Monitoring dual stack: dwa zbiory metryk, nie jedna średnia

Gdy aplikacja jest dostępna po IPv4 i IPv6, łatwo wpaść w pułapkę „średniej dostępności”. Ogólny wskaźnik SLA wygląda dobrze, bo ruch automatycznie spada na IPv4, ale użytkownicy z „upiorem” w IPv6 cierpią. Narzędzia monitoringu, które robią jeden test HTTP bez wymuszenia protokołu, tylko to maskują.

Do sensownego dual stacku potrzeba dwóch kompletów obserwacji:

  • testów syntetycznych, które na sztywno wymuszają IPv4 lub IPv6 (osobne checki w systemie monitoringu, osobne alerty),
  • metryk z load balancerów i reverse proxy z podziałem po protokole – osobne liczniki błędów 4xx/5xx, osobne czasy odpowiedzi,
  • statystyk z DNS (ilość zapytań A vs AAAA, ilość odpowiedzi z błędem dla AAAA).

Popularne podejście „najpierw testujmy tylko IPv4, IPv6 dołożymy później” często kończy się latami „pół‑wdrożenia”, w którym IPv6 działa tylko na papierze. Lepsze jest odwrotne podejście: od razu uruchomić metryki i testy po IPv6, nawet jeśli na początku nic jeszcze nie odpowiada – wtedy widać progres i łatwiej wychwycić regresję przy każdej zmianie.

Logowanie i korelacja zdarzeń: więcej adresów, ten sam użytkownik

W świecie IPv4 adres hosta był zwykle jeden, okazjonalnie wspomagany NAT‑em. W IPv6 typowe jest współistnienie kilku aktywnych adresów globalnych na jednym interfejsie, plus adres link‑local. Z punktu widzenia SIEM i zespołu bezpieczeństwa to zmienia reguły gry.

Kilka praktycznych konsekwencji:

  • jeśli da się powiązać użytkownika z konkretnym urządzeniem (NAC, MDM), kluczowe jest logowanie identyfikatora urządzenia (np. hostname, identyfikator z MDM) razem z adresami IPv6, a nie tylko samego IP,
  • serwery aplikacyjne i reverse proxy powinny logować zarówno adres źródłowy IPv6, jak i identyfikatory sesji użytkownika (cookie, token) – inaczej privacy extensions wycinają użyteczność logów,
  • DHCPv6, jeśli używany, musi mieć zsynchronizowany czas i zrzuty logów na centralny syslog – bez tego korelacja wstecz po kilku miesiącach jest niepraktyczna.

W sieciach o zaostrzonych wymaganiach compliance (np. banki) częstą radą jest „wyłączmy privacy extensions wszędzie, będzie prościej”. Przy urządzeniach pracowniczych to ma sens, ale w sieciach gościnnych i BYOD jest trudne do wyegzekwowania i kontrintuicyjne z punktu widzenia prywatności. Alternatywa:

  • dla sieci korporacyjnych (korpo‑laptopy, serwery) – adresy stabilne, przewidywalne, privacy extensions wyłączone lub mocno ograniczone,
  • dla sieci otwartych (goście, prywatne telefony) – privacy extensions włączone, ale korelacja po innych atrybutach (MAC, identyfikator portu przełącznika, konto Wi‑Fi / captive portal).

Zespół SOC musi też mentalnie przestawić się na to, że „podejrzana aktywność z adresu X” w IPv6 znaczy mniej niż w IPv4. Cela analizy przesuwa się z adresu IP na zestaw: użytkownik + urządzenie + zachowanie.

Integracja IPv6 z infrastrukturą: routery, Wi‑Fi, VPN, chmura

Routery i przełączniki: funkcjonalność „na papierze” vs w realu

Większość nowego sprzętu sieciowego ma na pudelku napis „IPv6 ready”. Mniej oczywiste jest, jak bardzo gotowe jest w praktyce. Różnica między „obsługuje IPv6” a „sensownie działa w produkcji” ujawnia się, gdy dotkniesz funkcji typu VRF, QoS czy zaawansowane ACL‑e.

Przy planowaniu włączenia IPv6 na routerach i przełącznikach warto sprawdzić kilka punktów przed wielkim przełączeniem:

  • czy wszystkie używane protokoły routingu mają implementację dla IPv6 (OSPFv3, BGP, ewentualnie IS‑IS) i czy producent nie ogranicza ich w tańszych licencjach,
  • w jakim stopniu QoS działa dla IPv6 – czy pola Traffic Class/Flow Label są uwzględniane, czy klasyfikacja po adresie IPv6 jest wydajna,
  • jak wygląda wydajność ACL‑i IPv6 przy dużej liczbie wpisów – niektóre platformy znacznie szybciej „kończą TCAM” przy filtrach IPv6 niż przy IPv4,
  • czy dostępne są mechanizmy bezpieczeństwa „pod IPv6” (RA Guard, ND inspection, DHCPv6 snooping) i na jakim oprogramowaniu (często dopiero w nowszych wersjach).

Popularna rada producentów: „najpierw włącz IPv6 w core, potem na brzegu” – ma sens, o ile core naprawdę ogarnia wszystkie wymagane funkcje. Jeśli sprzęt na brzegu (access) ma lepsze wsparcie IPv6 niż stary core, lepszym etapem przejściowym bywa włączenie IPv6 w segmentach użytkowników z lokalnym routingiem, a dopiero później rozciąganie tego w głąb sieci szkieletowej.

Sieć Wi‑Fi z IPv6: wygoda dla użytkownika, więcej pułapek dla admina

To właśnie Wi‑Fi jest zwykle pierwszym miejscem, w którym użytkownicy faktycznie zaczynają korzystać z IPv6. Telefony, laptopy, aplikacje chmurowe – wszystko jest już gotowe, czasem bardziej niż sama infrastruktura WLAN.

Przy projektowaniu IPv6 dla Wi‑Fi przydaje się kilka zasad:

  • oddziel SSID lub przynajmniej osobne VLAN‑y dla sieci korporacyjnej i gościnnej – różne polityki adresacji (SLAAC vs DHCPv6), różne wymagania logowania,
  • kontrola RA na poziomie kontrolera lub przełącznika (RA Guard) – inaczej dowolny host w tej samej komórce radiowej może zostać „fałszywym routerem”,
  • przetestowanie, jak klienci reagują na kombinację SLAAC + DHCPv6 DNS – nie wszystkie systemy mobilne interpretują flagi M/O tak, jakby życzył sobie administrator,
  • planowanie roamingu: jeśli w sieci WLAN stosowane są technologie typu L2 roaming między AP, upewnij się, że warstwa routingu IPv6 nadąża za tym (to szczególnie boli przy sieciach z wieloma /64 i dynamicznym przydziałem prefiksów).

Często powtarzana porada to „najpierw włączmy IPv6 tylko w sieci gościnnej, bo tam nic krytycznego nie ma”. Dobry pomysł, ale tylko jeśli masz sensowny logging i identyfikację użytkowników w tej sieci (np. captive portal). Inaczej analizowanie incydentu z adresu IPv6 w „otwartym” SSID może być jeszcze trudniejsze niż w korporacyjnej sieci z NAC.

VPN z IPv6: czy tunel niesie obie rodziny protokołów

VPN długo był bastionem „tylko IPv4”: tunel dostarczał klientowi wirtualny adres IPv4, a IPv6 i tak „nie istniał”. Dziś wiele klientów i serwerów VPN już obsługuje dual stack, ale domyślne konfiguracje potrafią płatać figle.

Przy integracji IPv6 z istniejącymi tunelami warto zwrócić uwagę na kilka typowych scenariuszy:

  • tunel niesie wyłącznie IPv4, ale klient ma lokalne IPv6 z sieci domowej – aplikacje preferują IPv6 i omijają VPN, co kończy się błędami dostępu do zasobów korporacyjnych lub wyciekiem ruchu poza tunel,
  • tunel niesie IPv4 i IPv6, ale po stronie serwera brakuje tras IPv6 do podsieci wewnętrznych – część aplikacji „widzi” serwery tylko po IPv4, część tylko po IPv6, debugowanie miesza się z DNS‑em,
  • split‑tunneling działa dla IPv4, ale dla IPv6 ruch jest wpychany w całości przez tunel lub odwrotnie – internet po IPv6 przestaje działać, choć IPv4 jest w porządku.

Najprostszy wariant przejściowy to nadal IPv4‑only w VPN, ale z aktywnym blokowaniem lub przekierowaniem ruchu IPv6 na kliencie (np. przydzielanie /128, blokada RA z sieci domowej, reguły firewall na kliencie VPN). To rozwiązanie jest mało „eleganckie”, ale lepsze niż udawanie, że IPv6 nie istnieje, podczas gdy aplikacje i systemy operacyjne już je preferują.

Docelowo sensowniejszy jest pełny dual stack w tunelu, spójny z tym, co użytkownik dostaje w biurze. Warunek: serwer VPN musi mieć przemyślaną adresację IPv6 (prefiksy dla klientów, trasy do sieci wewnętrznych) oraz kompatybilne polityki bezpieczeństwa po obu stronach. Wtedy zachowanie aplikacji po podłączeniu do VPN jest przewidywalne niezależnie od tego, czy użytkownik siedzi w domu, czy w siedzibie firmy.

IPv6 w chmurze: prostsza sieć, więcej decyzji na brzegu

Dostawcy chmurowi byli jednymi z pierwszych, którzy zaczęli masowo oferować IPv6 – ale każdy zrobił to po swojemu. Efekt jest taki, że integracja on‑prem z chmurą w dual stacku rzadko jest „plug and play”.

Kilka praktycznych różnic w stosunku do klasycznego DC:

  • większość chmur oferuje własną, zarządzaną adresację IPv6 wewnątrz VPC/VNet, ale sposób przydziału prefiksów i tras między regionami bywa mocno ograniczony,

    • Najczęściej zadawane pytania (FAQ)

    Czy naprawdę muszę wdrażać IPv6 w istniejącej sieci firmowej?

    Nie zawsze. Jeżeli masz małą, jedną lokalizację, wszystkie kluczowe usługi działają jako SaaS w chmurze, a lokalnie jest tylko drukowanie i kilka prostych aplikacji – pełne, zaawansowane wdrożenie IPv6 może być przerostem formy nad treścią. W takiej sytuacji brak IPv6 nie zablokuje normalnego funkcjonowania firmy.

    IPv6 staje się koniecznością, gdy zaczynasz wystawiać własne usługi do Internetu, kończą się publiczne IPv4 od operatora, planujesz projekty na 5–10 lat naprzód albo działasz w sektorze z wymaganiami regulacyjnymi. Wtedy odwlekanie IPv6 zwykle tylko podnosi przyszłe koszty przebudowy.

    Kiedy wdrożenie IPv6 ma realny sens, a kiedy lepiej je odpuścić?

    Sens ma wtedy, gdy: brakuje adresów IPv4 na publiczne usługi, planujesz nową serwerownię lub migrację do chmury, budujesz mikroserwisy lub integracje B2B, albo działasz w środowisku z wymogami typu „usługi muszą być dostępne po IPv6”. W takich projektach brak IPv6 szybko wychodzi przy pierwszym większym przetargu, audycie bezpieczeństwa albo współpracy z partnerem zagranicznym.

    Można odpuścić przy krótkotrwałych projektach, tymczasowych labach, infrastrukturze „do wycofania za chwilę” oraz izolowanych systemach OT/ICS, gdzie stabilność ważniejsza jest niż nowości protokołowe. W tych miejscach lepiej skupić energię na porządnym wdrożeniu IPv6 tam, gdzie przyniesie wymierne korzyści.

    Czy IPv6 przyspiesza Internet i poprawia wydajność sieci?

    Sam IPv6 nie dodaje „turbo” do sieci. Opóźnienia i przepustowość zależą głównie od jakości łączy, tras routingu, przeciążenia sieci oraz działania aplikacji. Przełączenie z IPv4 na IPv6 nie zmieni nagle parametrów fizycznych łącza.

    Różnica może pojawić się pośrednio. Przykład: serwer aplikacji ma lepszą trasę po IPv6 (mniej routerów po drodze), ruch IPv6 omija kilka warstw NAT, albo dostawca CDN udostępnia bliższy węzeł tylko po IPv6. Wtedy faktycznie obsługa IPv6 może wypaść szybciej, ale to efekt konkretnej ścieżki ruchu, a nie magii nowego protokołu.

    Jak sprawdzić, czy moja organizacja jest gotowa na wdrożenie IPv6?

    Trzeba przejść cztery obszary: sprzęt, łącza, zespół i dostawców usług. Po stronie sprzętu weryfikujesz nie tylko router brzegowy, ale także przełączniki, kontrolery Wi‑Fi, firewalle, WAF, IPS oraz VPN. „Obsługa IPv6” w datasheecie bywa myląca – ograniczenia wydajności, brak stateful firewalla czy konieczność dodatkowych licencji potrafią zabić projekt.

    Następnie sprawdzasz, czy operator zapewnia natywne IPv6 z sensownym przydziałem (np. /48, /56), a sieć MPLS/VPN między oddziałami potrafi przenosić routowanie IPv6. Kolejny krok to kompetencje zespołu – jeśli nikt nie dotykał IPv6, zacznij od pilota w wydzielonym segmencie. Na końcu weryfikujesz gotowość aplikacji, hostingu, DNS, chmury, systemów monitoringu i backupu; często to one narzucają tempo migracji.

    Czy muszę używać NAT w IPv6 i czy publiczne adresy na hostach są bezpieczne?

    Klasyczny NAT, znany z IPv4, w świecie IPv6 zwykle nie jest potrzebny i częściej szkodzi niż pomaga. Każdy host może mieć globalnie routowalny adres IPv6, a ochronę zapewnia się za pomocą dobrze ustawionych firewalli, segmentacji sieci i polityk dostępu – nie przez „chowanie się” za jednym adresem.

    Publiczny adres IPv6 nie oznacza automatycznie, że host jest „na widelcu Internetu”. Dobrze skonfigurowana zapora potrafi zablokować ruch z zewnątrz dokładnie tak samo skutecznie, jak w sieci IPv4 z NAT. Różnica polega na tym, że trzeba świadomie zdefiniować, co ma być otwarte, a co całkowicie odcięte, zamiast liczyć na „magiczny parasol NAT‑u”.

    Jak poprawnie planować adresację IPv6 w sieci firmowej?

    W IPv6 nie oszczędza się na hostach, tylko na przejrzystości. Standardem jest przydzielanie pełnego /64 na segment L2 (np. VLAN). Próby cięcia tego na /120 czy inne „mikropodsieci”, żeby nie „marnować adresów”, łamią założenia mechanizmów takich jak SLAAC czy NDP i potrafią generować dziwne problemy.

    Praktyczne podejście to: z prefiksu /48 lub /56 budujesz logiczne drzewo numeracji (lokalizacje, strefy, VLAN‑y), a każdemu segmentowi przydzielasz osobne /64. Zamiast kombinować z maskami, skupiasz się na tym, żeby z samego adresu było widać, z jakiej części organizacji pochodzi dany host – to później bardzo ułatwia debugowanie, filtrowanie i raportowanie.

    Czy wystarczy „włączyć IPv6” na routerze i zostawić resztę systemowi?

    To jedna z częstszych pułapek. Wiele systemów ma domyślnie aktywne IPv6 i mechanizmy autokonfiguracji, więc po włączeniu IPv6 na routerze „coś zaczyna działać”. Problem w tym, że najczęściej jest to niekontrolowana, słabo zabezpieczona konfiguracja – z przypadkowymi Router Advertisement, nieprzewidywalnymi prefiksami i trasą, która potrafi ominąć VPN.

    Bez świadomego zaplanowania prefiksów, zasad firewalli, segmentacji i monitoringu można sobie stworzyć drugą, „niewidzialną” sieć równoległą do IPv4. Bezpieczniejsza strategia to kontrolowany pilot: wydzielony segment, konkretne reguły na firewallu, jasna adresacja i dopiero potem stopniowe rozszerzanie zasięgu IPv6.

    Co warto zapamiętać

  • IPv6 ma sens głównie tam, gdzie brakuje publicznych adresów IPv4, usługi są wystawiane do Internetu na lata (serwerownie, chmura, mikroserwisy, integracje B2B) albo pojawiają się twarde wymagania regulacyjne lub przetargowe.
  • Małe, zamknięte sieci biurowe, krótkotrwałe projekty czy wygaszane środowiska zwykle więcej zyskają na prostocie i dobrym IPv4 niż na „odhaczonym” IPv6 z rozbudowaną, ale zbędną konfiguracją.
  • IPv6 ułatwia życie w dużych, złożonych sieciach – pozwala ograniczyć NAT, skrócić ścieżki ruchu i przenieść część kontroli bezpieczeństwa bliżej hostów, zamiast dokładać kolejne warstwy translacji.
  • Popularne obietnice, że „IPv6 przyspiesza sieć” albo że „bez IPv6 usługi typu Google przestaną działać”, są co najmniej uproszczeniem – zysk wydajności zależy od konkretnej trasy, a duzi dostawcy jeszcze długo będą utrzymywać dual stack.
  • Automatyczne mechanizmy IPv6 (SLAAC, Router Advertisement) bez świadomej konfiguracji prowadzą do powstawania ukrytej, niezarządzanej sieci, w której ruch omija polityki bezpieczeństwa (np. wychodzi poza VPN).
  • Kluczowy krok przed wdrożeniem to audyt: realne wsparcie IPv6 w sprzęcie (routery, przełączniki, Wi‑Fi, firewalle, VPN), jakość usług operatora (natywne IPv6 zamiast tuneli) oraz możliwość routowania IPv6 w całej sieci, a nie tylko na brzegu.

    • Bibliografia

  • RFC 8200: Internet Protocol, Version 6 (IPv6) Specification. Internet Engineering Task Force (2017) – Specyfikacja IPv6: nagłówki, adresacja, podstawy protokołu
  • RFC 4291: IP Version 6 Addressing Architecture. Internet Engineering Task Force (2006) – Architektura adresowania IPv6, typy adresów, podsieci /64
  • IPv6 Deployment Guide. Cisco Systems (2011) – Praktyczne wytyczne wdrażania IPv6, dual stack, planowanie adresacji
  • IPv6 for Enterprise Networks. O'Reilly Media (2011) – Książka o wdrożeniach IPv6 w sieciach firmowych, scenariusze i dobre praktyki

Przeczytaj również: