<div dir="ltr"><div dir="ltr">On Wed, Oct 2, 2019 at 3:46 PM John Levine <<a href="mailto:johnl@iecc.com">johnl@iecc.com</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">In article <CAHdm834jbwky2sPpH6HmJoYu=<a href="mailto:Rcjz0Hb1bCq2zy1hsdYOSN9sQ@mail.gmail.com" target="_blank">Rcjz0Hb1bCq2zy1hsdYOSN9sQ@mail.gmail.com</a>> you write:<br>
>For a small organization with limited staff and small margins, I'm curious<br>
>where the actual burden in supporting IPv6 lies. In my experience, it's not<br>
>any more costly than deploying IPv4 is ...<br>
<br>
Right, but that means it doubles your deployment costs since IPv4<br>
isn't going away any time soon.  First you have to get IPv6 into your<br></blockquote><div><br></div><div>I'd strongly disagree that it anywhere near doubles costs. Ultimately you're buying hardware X and it's going to cost whatever it costs. So what more do you really need to do to support IPv6? Well, let's say you're using OSPF. This means you'll also need to use OSPFv3, but that's not hard because your OSPFv3 configs are going to basically mirror your OSPF configs. You'll need to run IPv6 over iBGP, perhaps, and over eBGP to your peers and transits, but that's just another set of addresses bound to interfaces, sessions that mirror the IPv4 ones, and policy rules/filters. If you're doing super heavy TE, then the filter configs might take some effort, but if we're talking about smaller shops, doing heavy TE is unlikely. At that point, you just add a v6 address to your layer3 interfaces and you're good to go for the network side. </div><div><br></div><div>Most of the time you spend configuring things won't be v4 or v6 specific, and the v4 specific configurations can be copy/pasted with a quick string swap to support v6 in a lot of cases. </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
network, directly or through a tunnel (thanks, HE.)  Then you have to<br>
assign IPv6 addresses to every device that has a name, put that in<br>
your DNS and configure the devices, either by whatever means the<br>
device has (typically a web control panel) or maybe by a DHCP entry,<br></blockquote><div><br></div><div>But once you have the basics down - your layer3 gateways, routing protocols, etc - this process of getting the hosts on board can take as long as you'd like. The only deadlines are ones you impose. </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
if the device can be persuaded to use DHCP rather than SLAAC.  In<br>
many cases, notably web servers, you need yet more configuration to<br>
connect each v6 address with whatever service the v6 adddress is<br>
supposed to provide.<br></blockquote><div><br></div><div>I've done this plenty of times and never found it to be particularly difficult or time-consuming. If you have a lot of systems, hopefully you have some sort of automation or configuration management which will allow you to test and deploy to production in at least a less-manual fashion. If you don't have a lot of systems, then you can just iterate through them and take 10-15 minutes each to get a v6 address bound and firewall rules updated. </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Then you have to set up firewall rules to match your v4 firewall rules.<br></blockquote><div><br></div><div>Which usually means copy/pasting and a quick string swap. </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Then you spin it all up, and you have to check that every device<br>
actually does respond on its IPv6 address, and that it acts reasonably<br>
to mixed v4 and v6 requests (so-called happy eyeballs.)<br></blockquote><div><br></div><div>Or just throw it in the monitoring system you already have, but again, this can all be part of a process that happens over as long a course of time as you need it to. </div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
None of this is impossible, I've done it all, but I've also often<br>
asked myself what exactly is the benefit of doing all this.  On my<br>
home network the v4 stuff is behind a NAT so v6 allows me access<br>
to devices from the outside (carefully managed with the firewall)<br>
but on my hosted servers which have v4 addresses for everything, meh.<br></blockquote><div><br></div><div>I think ultimately the perception of the work required to deploy IPv6 is a much greater hurdle to IPv6 adoption than the actual work required to deploy IPv6. </div></div><div><br></div></div>