IPv6-Subnetz a / 64 - Was wird kaputt gehen und wie kann man das umgehen?

27

In IPv6 sollten Sie nicht zu einem kleineren Subnetz als a / 64 (RFC 5375) wechseln. Unter anderem funktioniert SLAAC nicht mit kleineren Subnetzen, und anscheinend werden auch einige andere Funktionen nicht funktionieren.

Was sind die Problemumgehungen für Situationen, in denen ISPs Ihnen nur eine / 64 geben, Sie jedoch intern mehrere Subnetze benötigen? Der allgemeine Rat scheint zu sein, einfach einen anderen ISP zu finden, der eine / 56 oder / 48 austeilt. In einigen Teilen der Welt mag das funktionieren, aber in unserer Region (USA) ist dies aufgrund mangelnder Konkurrenz nicht möglich. Die meisten meiner Kunden haben Glück, wenn sie einen einzigen ISP für ihre Region haben. Viele Leute hier sind noch in der Einwahl.

Meine Kunden qualifizieren sich nicht für ihre eigenen / 48 von ARIN.

Kevin Keane
quelle
9
In diesem Szenario würde ich nicht versuchen, IPv6 bereitzustellen. Setzen Sie den Internetdienstanbieter unter Druck, um eine ordnungsgemäße Konnektivität sicherzustellen. Machen Sie ihre Fehler sichtbar und öffentlich, wenn nötig. Zitat Kapitel und Vers aus RFC 6177. Natürlich sollten Sie zuerst sicherstellen, dass es sich um einen Fehler handelt und dass Ihre Geräte ein größeres Subnetz anfordern.
Michael Hampton
5
Das ist auch ein schlechter Rat. Angesichts all seiner Vorteile sollten die meisten Benutzer IPv6 bei der ersten verfügbaren Gelegenheit bereitstellen. Leider haben viele ISPs ihren IPv6-Dienst für ein komplettes Hundefrühstück reserviert, was die Verwendung unklug macht.
Michael Hampton
2
Wir könnten uns den ganzen Tag lang streiten, ob es die ISPs sind, die daraus ein Hundefrühstück machen (was sie sicherlich getan haben!), Oder ob die IPv6-Designer unrealistisch davon ausgegangen sind, dass ISPs das nicht tun würden . Natürlich fordere ich meine Kunden nicht auf, sich für immer von IPv6 fernzuhalten, nur bis sich der Staub gelegt hat. Ich bin mir sicher, dass es in fünf Jahren oder noch früher einen SLAAC 2.0 geben wird, der kleinere Subnetze unterstützt, zusammen mit NAT (viele Router implementieren es ohnehin schon) und allem anderen, was erforderlich ist, damit IPv6 trotz widriger Umstände funktioniert. Ich war jedoch eher auf der Suche nach aktuellen Lösungen.
Kevin Keane
4
Verlassen Sie sich nicht auf IPv4-Chaos wie NAT, um mit IPv6 richtig zu funktionieren. NAT war ein Hack, kein Feature ...
Sander Steffann
3
@ KevinKeane NAT war schon immer ein Hack und wird es immer sein. Jedes Problem, das Menschen mit NAT zu lösen versucht haben, hat eine echte Lösung, die kein NAT beinhaltet - wahrscheinlich aber IPv6. Der weitaus größte Teil des Schadens, von dem Sie sprechen, kann auf NAT oder unvollständige IPv6-Bereitstellungen zurückgeführt werden.
Kasperd

Antworten:

28

Wenn der ISP Ihnen nicht mehr als a / 64 gibt, dann ist dieser ISP scheiße. Wenn es eine Erleichterung gibt, kann ich Ihnen sagen, dass ich mit ISPs zu tun haben muss, die noch mehr scheiße sind. Hier ist es ganz normal, Kunden öffentliche IPv4-Adressen wegzunehmen und sie hinter eine CGN zu stellen. Und wenn Sie sie nach IPv6-Adressen fragen, werden sie Ihnen mitteilen, dass sie kein IPv6 anbieten, da es noch keinen Mangel an IPv4-Adressen gibt. Solange es Server ohne IPv6-Unterstützung gibt, werden sie kein IPv6 anbieten, da dies unmöglich ist Ein Dual-Stack-Client zum Herstellen einer Verbindung mit einem IPv4-Server.

Wenn irgendein ISP mir geben würde, was Sie haben, würde ich es nehmen, weil es weniger saugt, als ich bisher bekommen habe.

In Zukunft gibt es zwei Ansätze, die Sie parallel verfolgen sollten.

Üben Sie Druck auf den ISP aus

Üben Sie so viel Druck wie möglich auf den ISP aus. Dazu gehört, andere ISPs zu kontaktieren und möglicherweise zu wechseln, wenn Ihnen ein anderer ISP ein besseres Angebot machen kann.

Stellen Sie sicher, dass Sie testen, was passiert, wenn Ihr Router eine delegierte / 48, / 52, / 56 oder / 60 über DHCPv6 im WAN anfordert. Ich würde alle vier Präfixlängen testen, nur für den Fall, dass der DHCPv6-Server aus irgendeinem Grund nur eine bestimmte Präfixlänge ausgibt und Anfragen nach anderen Präfixlängen ignoriert.

Machen Sie das Beste aus dem, was Sie haben

Angesichts der Tatsache, dass Sie wahrscheinlich in Zukunft mit einigen Hacks leben müssen, müssen Sie sich fragen, welche weniger IPv4 mit Hacks oder IPv6 mit Hacks saugt.

Es gibt ein paar Hacks, mit denen Sie eine einzelne / 64 auf viele Hosts ausdehnen können.

Ein Link-Präfix in ein Routing-Präfix umwandeln

Wenn Sie eine einzelne / 64-Adresse in der WAN-Verbindung haben, aber kein Präfix an Ihr LAN weitergeleitet wurde, können Sie diese / 64-Adresse mit wenigen Schritten in ein weitergeleitetes Präfix umwandeln. Konfigurieren Sie die WAN-Schnittstelle Ihres Routers als / 126 und nicht als / 64. Installieren Sie einen Nachbar-Advertisement-Daemon (z. B. ndppd) auf dem Router, um für jede Adresse in der / 64 eine eigene MAC-Adresse mit Ausnahme der 4 Adressen in der / 126 bekannt zu geben. Mit diesen beiden Schritten erhalten Sie ein routed / 64, das Sie in Ihrem LAN mit Ausnahme der 4 für die WAN-Verbindung verwendeten Adressen verwenden können.

Eine modifizierte Version dieses Hacks kann den Link / 64 über mehrere Router hinweg gemeinsam nutzen. Das Verbindungspräfix muss dann etwas kürzer als / 126 sein, um eine IP-Adresse für jeden Router aufzunehmen. Ein / 120 ist kurz genug, um bis zu 254 Router zuzulassen.

Jeder Router erhält natürlich nur ein Präfix, das länger als / 64 ist. Ich empfehle, dass Sie das Präfix für jeden Router so lange wie möglich festlegen, während auf diesem Router noch genügend IP-Adressen für das LAN vorhanden sind. A / 112 oder / 120 für jeden Router wäre wahrscheinlich geeignet. Jeder Router antwortet mit seiner eigenen MAC-Adresse, damit der Nachbar irgendetwas im Präfix des Routers findet.

In dieser Variante verfügt jeder Router über identische Präfixe, die auf seiner WAN-Seite konfiguriert sind, und antwortet auf Anforderungen zur Nachbarerkennung für das ihrer LAN-Seite zugewiesene Präfix. Offensichtlich darf sich keines der LAN-Präfixe überlappen, und keines von ihnen darf sich mit dem Präfix überlappen, das Sie auf der WAN-Seite konfiguriert haben.

Wenn sich der ISP-Router, der als Gateway fungiert, unter der Adresse 2001: db8 :: 1/64 befindet, können Sie 2001: db8 :: / 120 als WAN verwenden und 2001: db8 :: 1: 0/112 zuweisen der erste router, 2001: db8 :: 2: 0/112 zum zweiten router, etc.

Im LAN können Sie a / 64 auf viele Hosts ausdehnen, indem Sie Subnetze oder Bridges verwenden. Sie müssen herausfinden, welches der beiden Verfahren für Sie am besten geeignet ist.

Subnetting

Wenn Sie das / 64-Subnetz verwenden, können Sie auch zu den längsten Präfixen wechseln, die noch genügend Adressen für die von Ihnen benötigten Hosts haben. Subnetz nicht in / 80-Präfixe, sondern in / 116, / 120 oder / 124 pro Subnetz. Dinge, die nicht funktionieren, wenn Sie / 64 nicht verwenden, sind unwahrscheinlich. Wenn Sie / 116 oder länger verwenden, verringern Sie die Auswirkung bestimmter DoS-Angriffe zur Erkennung von Nachbarn (falls in einem Ihrer Systeme vorhanden).

In einer solchen Subnetzkonfiguration wird SLAAC unterbrochen. Sie benötigen daher einen DHCPv6-Server, um auf jedes Segment zu antworten, und statische IPv6-Adressen, die auf allen Geräten ohne DHCPv6-Unterstützung konfiguriert sind.

Überbrückung

Überbrückung ist die andere Alternative. Dies bedeutet im Wesentlichen, dass Sie kein Subnetz verwenden, sondern Ihr gesamtes LAN als einzelnes IPv6-Segment mit dem Präfix / 64 ausführen. (Falls nötig, kann das / 64 sowohl LAN als auch WAN umfassen.)

Mit IPv6 können Bridges erkennen, an welches der überbrückten Netzwerke die Anycast-Adressen weitergeleitet werden müssen. Auf diese Weise müssen Sie keine Pakete über jede physische Verbindung in Ihrem LAN senden.

Bridges können auch Firewalls und Schutz vor Spoofing durch Nachbarn im LAN anwenden.

Bei ausreichender Intelligenz auf den Bridges gibt es im Prinzip keine Begrenzung für die Anzahl der Switches, über die Sie einen Single / 64 überbrücken können.

Kasperd
quelle
Vielen Dank! Das war genau die Art von Antwort, nach der ich gesucht habe! Mir gefällt besonders Ihre Idee, aus dem / 64 ein geroutetes Präfix zu machen. Können Sie das bitte etwas näher erläutern? Erstens verstehe ich nicht, warum Sie eine / 126 anstelle einer / 127 vorschlagen? Welche IP-Adressen werden wo verwendet? Zweitens habe ich bei einem meiner Kunden tatsächlich drei separate interne Router. In IPv4 haben sie drei verschiedene öffentliche IPs in / 29, die vom ISP bereitgestellt werden. Würde Ihr Schema mit diesen Routern noch funktionieren?
Kevin Keane
Außerdem bin ich mir nicht sicher, wie ich einen Neighbor Advertising Daemon auf einem der Router installieren soll. Ein Router ist Fortigate, einer ist Belkin und ich denke, der dritte ist Linksys.
Kevin Keane
@ KevinKeane Der Grund, warum ich eine / 126 vorschlage, ist, dass Sie häufig mindestens drei Adressen innerhalb des Präfixes benötigen. Auf der ISP-Seite hat der Router möglicherweise das Präfix 2001: db8 :: 1/64, was bedeutet, dass 2001: db8 :: speziell ist und 2001: db8 :: 1 vom ISP-Router verwendet wird. Ihr eigener Router wird normalerweise mit 2001 konfiguriert: db8 :: 2, was bedeutet, dass Sie dann drei Adressen verwendet haben und eine / 127 nicht ausreicht. A / 127 hätte funktionieren können, wenn Sie keinen Hack mit einer anderen Präfixlänge verwendet hätten, die an den beiden Enden des Links konfiguriert ist.
Kasperd
Danke, dass du das erklärt hast! Wenn ich also drei Router habe, die drei verschiedene interne Netzwerke bedienen, sollte ich a / 125 verwenden und jeder Router würde über Nachbarwerbung seinen eigenen MAC nur für diese IPs im entsprechenden Subnetz bewerben?
Kevin Keane
1
Es gibt einen Informations-RFC, RFC 7421, Analyse der 64-Bit-Grenze bei der IPv6-Adressierung , der eine vollständige Beschreibung des /64Subnetzes enthält und beschreibt, was ich falsch mache, wenn ich es nicht verwende.
Ron Maupin
10

Ja, Sie sollten Ihren Internetdienstanbieter unter Druck setzen, nicht zu saugen. Bei den RIR-Zuweisungsrichtlinien wird davon ausgegangen, dass der ISP jedem Kunden eine / 48 gibt. Es gibt absolut keinen Grund für den ISP, dies nicht zu tun.

IPv6 ist kein Fan von kleineren Subnetze, aber das einzige , was ist angeblich zu brechen, dass ich mir bewusst bin, ist SLAAC. Sie werden Probleme mit Fehlern und Annahmen in einigen IPv6-Stacks haben, die einfach blind "/ 64 == Subnetz" annehmen, aber das ist ein Fehler, keine Funktion, und Sie können den Hersteller verprügeln, um ihn zu beheben. Ob es behoben wird, bevor Ihr ISP Ihnen eine / 48 gibt, auf der anderen Seite ...

womble
quelle
Ich denke, dass einige Teile des Nachbarerkennungsprotokolls ebenfalls kaputt gehen sollen. Der RFC 5375 hat eine ganze Liste von anderen Dingen, aber ich kenne die praktischen Auswirkungen nicht wirklich. Nur ein / 64 zu bekommen, kann manchmal einfach eine Frage des Geldes sein. Ihr ISP gibt Heimanwendern möglicherweise nur eine / 64 und / 48 nur an Geschäftskonten. Nur weil Sie Ihr Heimbüro oder Ihr WiFi vom Rest des Heims trennen möchten oder weil Sie ein separates Subnetz für virtuelle Maschinen verwenden möchten? Entschuldigen Sie die Beschimpfung - ich versuche hier, ein Problem zu lösen und nicht Dinge zu ändern, die ich nicht kontrollieren kann.
Kevin Keane
2
Wollte Ihr ISP ein totaler Knauf sein, verteilte er jedem Privatteilnehmer eine / 128. Ich vermute, Sie können dem ISP RFC 5375 zuwinken und ihnen sagen, sie sollen Ihnen IPv6 anstatt IPv5.5 geben ...
womble
Tatsächlich macht das mindestens ein mir bekannter ISP (Verizon Wireless). Dies ist einer der Gründe, warum NAT in IPv6 immer noch benötigt wird. Aber das ist natürlich nicht meine Frage.
Kevin Keane
1
Die / 48-Empfehlung von RFC 3177 ist nicht mehr gültig. Die meisten RIRs empfehlen jetzt / 56 für Endwebsites,
skrause
@skrause Nicht, dass es sowieso einen Unterschied macht. Es gibt genug / 48er, die nicht ausgehen werden. Selbst bei einem HD-Verhältnis von 80% würde es 2 ^ 36 zugeteilte / 48 Sekunden dauern, bis IANA das gesamte Jahr 2000 :: / 3 verbraucht hätte. Und wenn Ihr Endstandort kein großes Rechenzentrum ist, verfügt a / 56 über genügend Subnetze für Ihren Endstandort.
Kasperd