Welche Größen sind üblich, um ein / 29 - / 32 IPv6-Subnetz zu teilen?

8

Als LIR erhalten Sie vom RIPE eine Netzwerkzuweisung von / 29 bis / 32, aber ich bin ein bisschen überwältigt von der Größe dieses Subnetzes und finde keinen Ausgangspunkt, um dies in gemeinsame Größen aufzuteilen.

Was wir mit diesem Subnetz ansprechen müssen:

Büroarbeitsplätze Derzeit haben wir zwei Büros in (noch) einem Land.

Office IoT Zeug Kameras, Telefone, Fernseher, andere Sachen

Lokale Office-Server Nur eine Reihe von VM-Hosts und Routen / Switches

Rechenzentren Derzeit haben wir Server in einem Rechenzentrum. Dort hosten wir verschiedene Dienste:

  • gemeinsam genutzte SaaS-Anwendungen
  • dedizierte Server für einzelne Kunden
  • Shared Web Hosting
  • interner Service
  • eine Reihe von Routen

Mein Problem ist, dass ich keine Ahnung habe, welchen großen Subnetzen ich zuweisen soll:

  • individueller Gastgeber
  • Servicegruppe (wie Workstations oder alle Hosts eines bestimmten Produkts)
  • Standort
  • Bezirk
subnet ipv6 ip-address Maximilian Ruta
quelle
Hier gibt es nicht genug Informationen. Wie viele Benutzer? Segmentieren Sie sie nach Funktion / Ort / etc? Gleiches gilt für Server? Wie viele? Segmentieren Sie Anwendungen wie Finanzen von anderen?
Ron Trunk
Wir möchten Anwendungen segmentieren (wie Sie sagten, Finanzierung oder sogar gehostete Exchange- und Sharepoint-bezogene Inhalte). Im Allgemeinen möchten wir auch eine Segmentierung nach Standorten (Rechenzentrum und Büros) durchführen. Es gibt noch nicht viele Benutzer und Server an jedem Ort (<100)
Maximilian Ruta
ipv6forum.com/dl/presentations/IPv6-addressing-plan-howto.pdf ist eine gute Lektüre und enthält viele Hinweise zum Erstellen eines IPv6-Adressierungsplans.
Teun Vink
IPv6-Subnetz - Übersicht und Fallstudie ~ 100.000 Aufrufe auf Cisco.com. Schreiben Sie Ihre Akronyme (LIR, RIPE).
Ronnie Royston

Antworten:

18

Einige einfache Richtlinien, die meistens funktionieren:

Teilen Sie Ihre / 29

  • Die Standardgröße Ihrer Zuordnung von RIPE NCC ist a / 32
  • A / 32 ist eine allgemein akzeptierte Präfixgröße in der globalen Routing-Tabelle
  • Sie können eine / 29 bekommen, indem Sie einfach danach fragen
  • Fazit : Holen Sie sich eine / 29 und beginnen Sie mit der Verwendung der a / 32, speichern Sie die anderen / 32s für den Einsatz in anderen Ländern, Kontinenten usw.

Bestimmen der Präfixgröße pro Site

  • Mit RIPE können Sie bis zu / 48 pro Site zuweisen, ohne etwas erklären zu müssen. Wenn Sie ein kürzeres Präfix (/ 47, / 46 usw.) zuweisen, müssen Sie erklären, warum Sie mehr als ein / 48 benötigen.
  • A / 32 enthält 65.536 / 48s.
  • Sie müssen einer Site also auch nichts kleineres als / 48 (/ 49, / 50 usw.) geben.
  • Schlussfolgerung : / 48 pro Standort

Bestimmen der LAN-Präfixgröße

  • Die Standards sagen, dass eine / 64 verwendet werden soll.
  • Richten Sie in Ihrem Adressierungsplan also immer auf / 64s aus
  • Das Konfigurieren von a / 127 für Punkt-zu-Punkt-Links ist üblich und kann Sie vor Cache-Überläufen schützen, die x:y:z::aan einem Ende und x:y:z::bam anderen Ende zur besseren Lesbarkeit verwendet werden.
  • Reservieren Sie eine / 64 für Router-Loopback-Adressen, Anycast-Dienste usw. Normalerweise wähle ich die erste / 64 aus der / 48, damit die Adressen nett und kurz sind und mit ::Notation geschrieben werden können. Konfigurieren Sie / 128 Adressen von diesem / 64 auf Loopback-Schnittstellen usw.
  • Denken Sie nicht einmal daran, a / 64 nicht in einem LAN oder VLAN zu verwenden, da sonst die Dinge kaputt gehen. Wenn nicht heute, dann sehr wahrscheinlich in der Zukunft.
  • Ändern Sie Ihre LAN / VLAN-Architektur noch nicht, sondern weisen Sie jedem vorhandenen LAN / VLAN / 64s zu.

Die restlichen Bits

  • Es müssen noch Entscheidungen getroffen werden:
    • Wie werden die Bits auf Länderebene zwischen a / 32 und a / 48 verwendet?
    • Wie verwende ich die Bits in einer Site zwischen a / 48 und a / 64?
  • An beiden Stellen könnten Sie nur Zufallszahlen zwischen 0000und verwenden ffff, aber das würde ein Durcheinander erzeugen, das schwer zu verstehen und zu merken ist. Machen Sie also etwas Nützliches mit diesen Bits!
    • Teilen Sie immer ein Vielfaches von 4 Bit (Halbbytes) auf, damit Ihre Adressierungsplanstruktur mit der hexadezimalen Notation von IPv6-Adressen übereinstimmt (jedes Zeichen in einer IPv6-Adresse steht für 4 Bit).
    • Wofür Sie diese Bits verwenden, hängt von Ihrer Organisation ab. Sie können die Länderebene / 32 in / 36 Blöcke unterteilen und eine / 36 pro Provinz verwenden. Oder Sie verwenden a / 40 für eine Struktur, die für Ihre Organisations- oder Infrastrukturarchitektur wichtig ist. Oder beides.
    • Gleiches gilt für die / 48:
      • Vielleicht möchten Sie jedem Gebäude auf dem Gelände eine / 52 geben und jeder Etage in jedem Gebäude eine / 56 geben. Das funktioniert gut mit der Präfixaggregation in Ihren Routing-Protokollen.
      • Oder Sie möchten jeder Sicherheitszone in Ihrer Sicherheitsarchitektur eine / 52 oder / 56 zuweisen. Das erleichtert die Pflege von Firewall-Richtlinien und -Regeln erheblich!
    • Was auch immer Sie tun: Halten Sie das Gleichgewicht. Beginnen Sie nicht einfach, nacheinander von 0 bis ffff zuzuweisen, ohne darüber nachzudenken, wie diese Zahlen zu organisieren sind, sondern überarbeiten Sie sie auch nicht. Wenn Sie zu viele Informationen in die Präfixe einfügen möchten (Gebäude + Etage + Sicherheitszone + Funktion des Servers + Servermarke + usw. usw.), kann mit Ihrem Adressierungsplan nicht mehr gearbeitet werden.
  • Plug: Ich habe vor ein paar Jahren ein Papier für SURFnet geschrieben. RIPE NCC hat es ins Englische übersetzt: https://www.ripe.net/support/training/material/IPv6-for-LIRs-Training-Course/Preparing-an-IPv6-Addressing-Plan.pdf
Sander Steffann
quelle
4

Die gute Nachricht ist, dass es eine Standard-IPv6-Netzwerkgröße gibt : /64. Sie könnten andere Größen verwenden, aber es gibt einige Funktionen von IPv6, die bei Verwendung anderer Netzwerkgrößen als nicht funktionieren können /64.

Es wird empfohlen /48, einem Standort ein oder ein kürzeres Netzwerk zuzuweisen und dieses /64für jedes Netzwerk in Netzwerke zu unterteilen, selbst wenn sich nur sehr wenige Geräte in einem Netzwerk befinden. Jedes /48Netzwerk kann 65.536 /64Netzwerke haben. Außerdem werden ISPs keine Präfixe länger als bekannt geben /48.

Sie sollten /128Netzwerke für Loopback-Adressen und /127Netzwerke für Punkt-zu-Punkt-Verbindungen verwenden. Es wird empfohlen, keinen anderen Teil des /64Netzwerks zu verwenden, von dem aus Sie ein /127oder ein /128Netzwerk verwenden. Es gibt viele Adressen, also verlassen Sie die IPv4- Denkweise " Ich muss Adressen bewahren ".

An jedem Standort können Sie die IPv6-Präfixdelegierung verwenden, um Schnittstellen Netzwerke zuzuweisen.

Es gibt tatsächlich RFCs zu solchen Dingen. Beispiel: RFC 6177, IPv6-Adresszuweisung an Endstandorte und RFC 7421, Analyse der 64-Bit-Grenze bei der IPv6-Adressierung .

Ron Maupin
quelle
Sie meinen also, wir sollten / 48 beispielsweise einem Büro und einzelnen / 64-Netzwerken für Telefone, Workstations usw. zuweisen. Aber was ist zum Beispiel mit dem Rechenzentrum? Haben Sie eine / 48 hier für das Rechenzentrum und dann / 64 für Servicegruppen wie Webserver, Datenbankserver usw.?
Maximilian Ruta
Sie sollten /48für jeden Standort ein Netzwerk verwenden, und jedes VLAN (Netzwerk) an einem Standort sollte ein /64Netzwerk verwenden. Dies sollte mit allem funktionieren, und Sie müssen IPv6-Funktionen, die bei Nichtverwendung /64für ein Netzwerk nicht funktionieren, nicht umgehen oder Zugeständnisse machen . Sie dürfen nur wenige /64Netzwerke von den möglichen 65.536 /64Netzwerken an einem Standort verwenden, genauso wie Sie nur relativ wenige IP-Adressen der möglichen 18.446.744.073.709.551.616 Adressen in einem /64Netzwerk verwenden.
Ron Maupin