it-swarm.com.de

IPv6-Subnetz a / 64 - Was wird kaputt gehen und wie kann man das umgehen?

In IPv6 sollten Sie kein Subnetz zu etwas kleinerem als a/64 (RFC 5375) erstellen. Unter anderem funktioniert SLAAC nicht mit kleineren Subnetzen, und anscheinend werden auch einige andere Funktionen nicht funktionieren.

Was sind die Problemumgehungen für Situationen, in denen ISPs Ihnen nur ein einziges/64 geben, Sie aber intern mehrere Subnetze benötigen? Der allgemeine Rat scheint zu sein, nur einen anderen ISP zu finden, der eine/56 oder/48 verteilt. In einigen Teilen der Welt mag das funktionieren, aber in unserer Region (USA) ist dies aufgrund mangelnden Wettbewerbs nicht möglich. Die meisten meiner Kunden haben Glück, wenn sie einen einzigen ISP haben, der ihre Region bedient. Viele Leute hier sind noch in der Einwahl.

Meine Kunden qualifizieren sich nicht für ihre eigenen/48 von ARIN.

28
Kevin Keane

Wenn der ISP Ihnen nicht mehr als ein/64 gibt, dann ist dieser ISP scheiße. Wenn es eine Erleichterung ist, kann ich Ihnen sagen, dass ich mich mit ISPs befassen muss, die noch mehr saugen. Hier ist es völlig normal, Kunden öffentliche IPv4-Adressen zu entziehen und sie hinter ein CGN zu stellen. Wenn Sie sie nach IPv6-Adressen fragen, werden sie Ihnen mitteilen, dass sie kein IPv6 anbieten, da es noch keinen Mangel an IPv4-Adressen gibt. Solange es Server ohne IPv6-Unterstützung gibt, bieten sie kein IPv6 an, da dies nicht möglich ist Ein Dual-Stack-Client zur Verbindung mit einem Nur-IPv4-Server.

Wenn ein ISP mir geben würde, was Sie haben, würde ich es nehmen, weil es weniger nervt als das, was ich bisher erreichen konnte.

In Zukunft gibt es zwei Ansätze, die Sie parallel verfolgen sollten.

Druck auf den ISP ausüben

Üben Sie so viel Druck wie möglich auf den ISP aus. Dazu gehört die Kontaktaufnahme mit anderen ISPs und möglicherweise der Wechsel, wenn ein anderer ISP Ihnen ein besseres Angebot machen kann.

Stellen Sie sicher, dass Sie testen, was passiert, wenn Ihr Router ein delegiertes/48,/52,/56 oder/60 über DHCPv6 im WAN anfordert. Ich würde alle vier Präfixlängen testen, nur für den Fall, dass der DHCPv6-Server aus irgendeinem Grund nur eine bestimmte Präfixlänge ausgibt und Anfragen nach anderen Präfixlängen ignoriert.

Machen Sie das Beste aus dem, was Sie haben

Angesichts der Tatsache, dass Sie wahrscheinlich mit einigen Hacks leben müssen, müssen Sie sich fragen, welche weniger IPv4 mit Hacks oder IPv6 mit Hacks saugen.

Es gibt einige Hacks, mit denen Sie eine Single/64 auf viele Hosts ausdehnen können.

Verwandeln eines Linkpräfix in ein geroutetes Präfix

Wenn Sie ein einzelnes/64 auf dem Link WAN, aber kein an Ihr LAN weitergeleitetes Präfix) haben, können Sie dieses/64 mit wenigen Schritten in ein geroutetes Präfix umwandeln. Konfigurieren Sie das WAN Schnittstelle auf Ihrem Router als/126 statt als/64. Installieren Sie einen Nachbar-Ankündigungsdämon (z. B. ndppd) auf dem Router, um seine eigene MAC-Adresse für jede Adresse in/64 mit Ausnahme der 4 Adressen anzukündigen in der/126. Mit diesen beiden Schritten haben Sie eine geroutete/64, die Sie in Ihrem LAN verwenden können, mit Ausnahme der 4 Adressen, die für den Link WAN] verwendet werden.

Eine modifizierte Version dieses Hacks kann den Link/64 für mehrere Router freigeben. Das Verbindungspräfix muss dann etwas kürzer als/126 sein, um eine IP-Adresse für jeden Router zu ermöglichen. A/120 wäre kurz genug, um bis zu 254 Router zuzulassen.

Jeder Router erhält natürlich nur ein Präfix, das länger als/64 ist. Ich empfehle, das Präfix für jeden Router so lange wie möglich festzulegen, während noch genügend IP-Adressen für das LAN auf diesem Router vorhanden sind. A/112 oder/120 für jeden Router wären wahrscheinlich geeignet. Jeder Router antwortet mit seiner eigenen MAC-Adresse, damit der Nachbar etwas innerhalb des Präfixes dieses Routers erkennt.

In dieser Variante hat jeder Router identische Präfixe auf seiner WAN Seite) konfiguriert und antwortet auf Nachbarerkennungsanforderungen für das seiner LAN-Seite zugewiesene Präfix. Offensichtlich darf sich keines der LAN-Präfixe überlappen und keines von ihnen darf das Präfix überlappen, das Sie auf der Seite WAN] konfiguriert haben.

Wenn sich der ISP-Router, der als Gateway fungiert, unter der Adresse 2001: db8 :: 1/64 befindet, können Sie 2001: db8 ::/120 als WAN] verwenden und 2001 zuweisen: db8 :: 1: 0/112 an den ersten Router, 2001: db8 :: 2: 0/112 an den zweiten Router usw.

Im LAN können Sie a/64 entweder durch Subnetze oder durch Bridging auf viele Hosts ausdehnen. Sie müssen herausfinden, welche der beiden für Sie am besten geeignet ist.

Subnetz

Wenn Sie das/64-Subnetz verwenden, können Sie auch zu den längsten Präfixen wechseln, die noch genügend Adressen für die benötigten Hosts haben. Subnetze nicht in/80-Präfixe, sondern in/116,/120 oder/124 pro Subnetz. Dinge, die kaputt gehen, wenn Sie/64 nicht verwenden, sind unwahrscheinlich. Wenn Sie/116 oder länger verwenden, verringern Sie die Auswirkungen bestimmter DoS-Angriffe zur Erkennung von Nachbarn (falls in einem Ihrer Systeme vorhanden).

In einer solchen Subnetzkonfiguration wird SLAAC unterbrochen, sodass Sie einen DHCPv6-Server benötigen, um auf jedes Segment zu reagieren, und statische IPv6-Adressen, die auf allen Geräten ohne DHCPv6-Unterstützung konfiguriert sind.

Überbrückung

Überbrückung ist die andere Alternative. Dies bedeutet im Wesentlichen, dass Sie kein Subnetz verwenden, sondern Ihr gesamtes LAN als einzelnes IPv6-Segment mit einem/64-Präfix ausführen. (Falls erforderlich, kann/64 sowohl LAN als auch WAN umfassen.)

Mit IPv6 können Bridges erkennen, an welches der überbrückten Netzwerke jede Anycast-Adresse weitergeleitet werden muss. Auf diese Weise müssen Sie keine Pakete über jede physische Verbindung in Ihrem LAN senden.

Bridges können auch Firewalls und Schutz gegen Spoofing bei der Erkennung von Nachbarn im LAN anwenden.

Bei ausreichender Intelligenz auf den Bridges gibt es im Prinzip keine Begrenzung für die Anzahl der Switches, über die Sie einen einzelnen/64 überbrücken können.

28
kasperd

Ja, es ist die bevorzugte Option, Ihren ISP unter Druck zu setzen, nicht zu saugen. Bei den RIR-Zuweisungsrichtlinien wird davon ausgegangen, dass der ISP jedem Kunden eine/48 gibt. Es gibt absolut keinen Grund für den ISP, dies nicht zu tun.

IPv6 ist kein Fan kleinerer Subnetze, aber das einzige, was angeblich zu brechen ist, das mir bekannt ist, ist SLAAC. Sie werden Probleme mit Fehlern und Annahmen in einigen IPv6-Stacks haben, die nur blindlings "/ 64 == Subnetz" annehmen, aber das ist ein Fehler, keine Funktion, und Sie können den Anbieter verprügeln, um ihn zu beheben. Ob es behoben wird, bevor Ihr ISP Ihnen eine/48 gibt, auf der anderen Seite ...

10
womble