Undvik fallgroparna när du inför IPv6

Jag tjatar ju ofta om vikten av att slå på IPv6 nu i stället för att vänta till allra sista stund då det kommer att vara absolut nödvändigt. Tänkte därför berätta här hur vi själva gjorde när vi förra året slog på IPv6 på våra arbetsplatser. Dessutom har jag den här gången tagit hjälp av IPv6-gurun Torbjörn Eklöv och sammanställt en lista på vanliga fallgropar – så att ni kan undvika dem!

Här på .SEs teknikavdelning jobbar vi med IPv6 som en naturlig del av vardagen: adressplaner, inställningar samt upphandling och utvärdering av tjänster och produkter.  IPv6 finns alltid med och vår erfarenhet är att det egentligen inte tar någon extra tid om man gör det när man ändå håller på.

Visst kan det hända att någon missar att plocka ut och dra igång IPv6 på en ny server eller liknande men i dag är det undantaget – jämfört med för 3-4 år sedan då det snarare var regel. Förra året slog vi, efter en massa ångest och ”ska bara göra något annat först”, på IPv6 på alla våra arbetsplatser.

Vi började försiktigt genom att inte slå på det automatiskt och bara hos tekniker. Sedan gick vi runt och såg till att det gick igång dator för dator. Givetvis hittade vi ett par brandväggsregler som inte var anpassade och gav fördröjningar medan datorerna försökte IPv6 innan de gav upp och fortsatte med IPv4. Men de var få.

Efter det slog vi på automatiken för tekniker och började slå på manuellt för resten av kontoret.

Det vi var mest oroliga för var att införandet skulle störa viktiga funktioner som till exempel vår ekonomiavdelnings arbete med ekonomisystemen och kundtjänsts möjlighet att ta emot och hantera samtal. Men efter ett par veckor med ett fåtal piloter som vi hade konstant kontakt med kände vi att vi ville prova skarpt och slog därför på resten.

Det enda problem vi upplevde var egentligen att vår webbplats har en funktion som gjorde att de som sitter på kontoret har tillgång till lite fler funktioner. Den tillgången administrerades med en lista av ip-adresser och där hade vi givetvis glömt att lägga till motsvarande IPv6-adresser. En enkel grej att åtgärda – efter det satt vi mest och väntade på att kaoset skulle bryta ut. Men inget hände.

Nu, när det gått en tid, så känns det som att vi gjorde rätt. Vi tog det steg för steg. Provade, åtgärdade småsaker, provade hos fler och rättade till en del.

IPv6 behöver din omtanke

Jag har ibland hört bekanta säga att de inte inför IPv6 för det är inte moget. Visst, det finns en och annan produkt som inte är helt hundra fortfarande. Men ärligt talat så börjar det bli undantaget.

Vad som däremot inte är moget är inställningen till hur man genomför och tar hand om ett IPv6-projekt. IPv6 är ett nytt nät i nätet. Inför du IPv6 så är det lite som att installera en ny server. Du kan inte bara installera den och ställa den i ett hörn och glömma den. Det krävs att du håller uppsikt över den, gör uppdateringar löpande – ibland större uppdateringar – och framför allt så måste servern övervakas och eventuella fel åtgärdas.

Utvecklingen av IPv6 i Sverige. De röda ringarna markerar World Ipv6 Day 2011 och World IPv6 Launch 2012. Klicka på bilden för att förstora.

Undvik fallgroparna

Under förra året ökade antalet webb- och e-postservrar relativt mycket i Sverige som ni kan se i grafen ovan – från runt 4 000 till över 11 000. Det har givetvis inte varit helt smärtfritt. Det finns ett mindre antal problem och fallgropar som jag tillsammans med Torbjörn Eklöv på Interlan vill peka på:

  • Installera och glöm. Ett lovvärt initiativ men som är dömt att misslyckas. Installationen görs av konsulter eller entusiastiska egna tekniker men utan långsiktig plan. Oavsett om förbindelse, routrar, brandväggar eller annat går sönder, eller vid någon senare tidpunkt får nya inställningar, som leder till att IPv6 inte längre fungerar hela vägen – så är det inte helt lätt att upptäcka, det krävs att någon håller koll kontinuerligt. För det är inte SÅ många kunder som använder IPv6 och de flesta kommer fram via IPv4 – så småningom, därför är det inte alls säkert de säger till. Du kan inte längre förvänta dig att kunderna är dina övervakare. Egentligen går inte det för IPv4 heller – men det har inte hindrat majoriteten från att göra så. Under 2012 har jag sett detta hända ett antal gånger på webbplatser som jag trodde övervakades bättre.
  • Flytt. När ett företag med IPv6 flyttar eller bygger om sitt nät så händer det att man bestämmer sig för att stänga av IPv6 för att man inte kan få access på det nya kontoret eller att det är enklare att göra ombyggnaden av nätet om man bara har IPv4 att tänka på. Att då glömma att ta bort IPv6-adresserna ur DNS leder ofelbart till problem. Andra har faktiskt gjort tvärt om. Lagt till IPv6 i DNS utan att vara klara internt. Det är lika dumt som att peka ut sin nya webbplats i en annonskampanj men inte vara klar med den.
  • Att göra jobbet sisådär. Det finns också de som inte vet vad de gör, eller drivs av andra motiv, vilket gör att genomförandet blir dåligt. Det kan vara krav ”uppifrån” på att IPv6 ska in där man egentligen inte är intresserad, eller har andra prioriteter. Då kan IPv6 göras på en höft och ibland inte klart fullt ut. Värsta exemplet från förra året är myndigheten som införde IPv6, men om man skulle kunna logga in och använda deras tjänster fick man SLÅ AV IPv6 på sin egen dator. Det värsta var att myndigheten var medveten om detta och till och med la ut en text som uppmanade folk att göra så.
  • Att krångla till det. De flesta typer av utrustning som stödjer IPv6 är gjorda för att använda nät som har prefixet /64 eller mindre. Normalt delas det ut så mycket adresser att ingen ska ha problem att ”slösa” en /64 per segment. Försök därför inte använda mindre prefix om ni inte testat och är tillräckligt kunniga för att förstå vilka konsekvenser det kan få. Keep it simple... Eller som Tobbe säger: det är inget tåg som fungerar på vintern vi ska bygga!
  • Att inte kravställa. De konsult- och outsourcingföretag som i dag sköter IT-drift  är i regel INTE experter på IPv6. Det kan vara väldigt enkelt att ”låt dem sköta allt” men då måste man vara duktig på att kravställa. När du väljer konsulter så ta referenser så att ni inte blir deras IPv6-labbmiljö. Kontrollera till exempel på http://go6.se/check om de själva har aktiverat IPv6.

Eller… Så tar man in en ensam konsult som är erkänt bra på IPv6 och låter denna person delta i planering och vissa delar av genomförandet. Tänk också på att det är ett lite nytt sätt att tänka. Det är förvillande likt IPv4 men det finns flera stora skillnader. Att låta alla gå en grundläggande utbildning INNAN ni startar gör det enklare att komma rätt i projektet och att gå påbyggnadskurser eller ta in någon som kan utbilda och ge er tips om just er miljö en bit in, när saker håller på att falla på plats kan absolut löna sig.

2013 ska den offentliga verksamheten ha infört IPv6. Vis av erfarenhet från Interlan, som bevakar införandet för bland annat kommuner och myndigheter, så ser vi problemfyllda år framför oss.  Se status på IPv6-införandet på http://www.dnssecandipv6.se

Om ni inte vet vad ni gör – gör det inte. Det är bättre att vara utan IPv6 än att aktivera en trasig dito!
Det är inte svårare och mer komplext att arbeta med IPv6 än IPv4 i nätutrustning som routrar, switchar och brandväggar. Tar en sak en dag med IPv4 tar det lika lång tid att göra motsvarande sak med IPv6 – förutom att du säkert lärt dig en del av IPv4-jobbet. Vi är dessutom rädda att konsultmarknaden, som mognat en hel del sedan det glada 90-talet, kommer att få ett bakslag nu när hästhandlarna vädrar luft igen.

Ät er egen hundmat. Nöj er inte med att aktivera IPv6 på era externa tjänster utan aktivera IPv6 även för internt bruk. Annars blir det som med DNSSEC bland myndigheter och kommuner idag – zoner signeras men nästan ingen validerar.

Slutligen: aktivera ALDRIG IPv6 på Windows XP och Windows server 2003. Det kan se ut att fungera men innebär bara problem!

Här hitttar ni några grafer/bilder som visar hur det går med införandet av IPv6 Sverige:

Etiketter: , , , , , , , , Foto: Fly Boy av Jon Lucas (CC BY-NC 2.0)
Fyll gärna i vår enkät.

Om bloggaren

Jörgen Eriksson Projektledare, IPv6 och IP-mätning på IIS Jörgen har jobbat på IIS sedan 2008 med bland annat utvecklingen av IPv6 – Internets nya version av IP-adresser. Han har sysslat med Internet sedan 1990 bland annat på olika ledande positioner på Tele2/Swipnet. Han har också varit med och startat PacketFront.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

Ingen har kommenterat artikeln ännu.