In IPv6 sollten Sie nicht zu einem kleineren Subnetz als a / 64 (RFC 5375) wechseln. Unter anderem funktioniert SLAAC nicht mit kleineren Subnetzen, und anscheinend werden auch einige andere Funktionen nicht funktionieren.
Was sind die Problemumgehungen für Situationen, in denen ISPs Ihnen nur eine / 64 geben, Sie jedoch intern mehrere Subnetze benötigen? Der allgemeine Rat scheint zu sein, einfach einen anderen ISP zu finden, der eine / 56 oder / 48 austeilt. In einigen Teilen der Welt mag das funktionieren, aber in unserer Region (USA) ist dies aufgrund mangelnder Konkurrenz nicht möglich. Die meisten meiner Kunden haben Glück, wenn sie einen einzigen ISP für ihre Region haben. Viele Leute hier sind noch in der Einwahl.
Meine Kunden qualifizieren sich nicht für ihre eigenen / 48 von ARIN.
Antworten:
Wenn der ISP Ihnen nicht mehr als a / 64 gibt, dann ist dieser ISP scheiße. Wenn es eine Erleichterung gibt, kann ich Ihnen sagen, dass ich mit ISPs zu tun haben muss, die noch mehr scheiße sind. Hier ist es ganz normal, Kunden öffentliche IPv4-Adressen wegzunehmen und sie hinter eine CGN zu stellen. Und wenn Sie sie nach IPv6-Adressen fragen, werden sie Ihnen mitteilen, dass sie kein IPv6 anbieten, da es noch keinen Mangel an IPv4-Adressen gibt. Solange es Server ohne IPv6-Unterstützung gibt, werden sie kein IPv6 anbieten, da dies unmöglich ist Ein Dual-Stack-Client zum Herstellen einer Verbindung mit einem IPv4-Server.
Wenn irgendein ISP mir geben würde, was Sie haben, würde ich es nehmen, weil es weniger saugt, als ich bisher bekommen habe.
In Zukunft gibt es zwei Ansätze, die Sie parallel verfolgen sollten.
Üben Sie Druck auf den ISP aus
Üben Sie so viel Druck wie möglich auf den ISP aus. Dazu gehört, andere ISPs zu kontaktieren und möglicherweise zu wechseln, wenn Ihnen ein anderer ISP ein besseres Angebot machen kann.
Stellen Sie sicher, dass Sie testen, was passiert, wenn Ihr Router eine delegierte / 48, / 52, / 56 oder / 60 über DHCPv6 im WAN anfordert. Ich würde alle vier Präfixlängen testen, nur für den Fall, dass der DHCPv6-Server aus irgendeinem Grund nur eine bestimmte Präfixlänge ausgibt und Anfragen nach anderen Präfixlängen ignoriert.
Machen Sie das Beste aus dem, was Sie haben
Angesichts der Tatsache, dass Sie wahrscheinlich in Zukunft mit einigen Hacks leben müssen, müssen Sie sich fragen, welche weniger IPv4 mit Hacks oder IPv6 mit Hacks saugt.
Es gibt ein paar Hacks, mit denen Sie eine einzelne / 64 auf viele Hosts ausdehnen können.
Ein Link-Präfix in ein Routing-Präfix umwandeln
Wenn Sie eine einzelne / 64-Adresse in der WAN-Verbindung haben, aber kein Präfix an Ihr LAN weitergeleitet wurde, können Sie diese / 64-Adresse mit wenigen Schritten in ein weitergeleitetes Präfix umwandeln. Konfigurieren Sie die WAN-Schnittstelle Ihres Routers als / 126 und nicht als / 64. Installieren Sie einen Nachbar-Advertisement-Daemon (z. B. ndppd) auf dem Router, um für jede Adresse in der / 64 eine eigene MAC-Adresse mit Ausnahme der 4 Adressen in der / 126 bekannt zu geben. Mit diesen beiden Schritten erhalten Sie ein routed / 64, das Sie in Ihrem LAN mit Ausnahme der 4 für die WAN-Verbindung verwendeten Adressen verwenden können.
Eine modifizierte Version dieses Hacks kann den Link / 64 über mehrere Router hinweg gemeinsam nutzen. Das Verbindungspräfix muss dann etwas kürzer als / 126 sein, um eine IP-Adresse für jeden Router aufzunehmen. Ein / 120 ist kurz genug, um bis zu 254 Router zuzulassen.
Jeder Router erhält natürlich nur ein Präfix, das länger als / 64 ist. Ich empfehle, dass Sie das Präfix für jeden Router so lange wie möglich festlegen, während auf diesem Router noch genügend IP-Adressen für das LAN vorhanden sind. A / 112 oder / 120 für jeden Router wäre wahrscheinlich geeignet. Jeder Router antwortet mit seiner eigenen MAC-Adresse, damit der Nachbar irgendetwas im Präfix des Routers findet.
In dieser Variante verfügt jeder Router über identische Präfixe, die auf seiner WAN-Seite konfiguriert sind, und antwortet auf Anforderungen zur Nachbarerkennung für das ihrer LAN-Seite zugewiesene Präfix. Offensichtlich darf sich keines der LAN-Präfixe überlappen, und keines von ihnen darf sich mit dem Präfix überlappen, das Sie auf der WAN-Seite konfiguriert haben.
Wenn sich der ISP-Router, der als Gateway fungiert, unter der Adresse 2001: db8 :: 1/64 befindet, können Sie 2001: db8 :: / 120 als WAN verwenden und 2001: db8 :: 1: 0/112 zuweisen der erste router, 2001: db8 :: 2: 0/112 zum zweiten router, etc.
Im LAN können Sie a / 64 auf viele Hosts ausdehnen, indem Sie Subnetze oder Bridges verwenden. Sie müssen herausfinden, welches der beiden Verfahren für Sie am besten geeignet ist.
Subnetting
Wenn Sie das / 64-Subnetz verwenden, können Sie auch zu den längsten Präfixen wechseln, die noch genügend Adressen für die von Ihnen benötigten Hosts haben. Subnetz nicht in / 80-Präfixe, sondern in / 116, / 120 oder / 124 pro Subnetz. Dinge, die nicht funktionieren, wenn Sie / 64 nicht verwenden, sind unwahrscheinlich. Wenn Sie / 116 oder länger verwenden, verringern Sie die Auswirkung bestimmter DoS-Angriffe zur Erkennung von Nachbarn (falls in einem Ihrer Systeme vorhanden).
In einer solchen Subnetzkonfiguration wird SLAAC unterbrochen. Sie benötigen daher einen DHCPv6-Server, um auf jedes Segment zu antworten, und statische IPv6-Adressen, die auf allen Geräten ohne DHCPv6-Unterstützung konfiguriert sind.
Überbrückung
Überbrückung ist die andere Alternative. Dies bedeutet im Wesentlichen, dass Sie kein Subnetz verwenden, sondern Ihr gesamtes LAN als einzelnes IPv6-Segment mit dem Präfix / 64 ausführen. (Falls nötig, kann das / 64 sowohl LAN als auch WAN umfassen.)
Mit IPv6 können Bridges erkennen, an welches der überbrückten Netzwerke die Anycast-Adressen weitergeleitet werden müssen. Auf diese Weise müssen Sie keine Pakete über jede physische Verbindung in Ihrem LAN senden.
Bridges können auch Firewalls und Schutz vor Spoofing durch Nachbarn im LAN anwenden.
Bei ausreichender Intelligenz auf den Bridges gibt es im Prinzip keine Begrenzung für die Anzahl der Switches, über die Sie einen Single / 64 überbrücken können.
quelle
/64
Subnetzes enthält und beschreibt, was ich falsch mache, wenn ich es nicht verwende.Ja, Sie sollten Ihren Internetdienstanbieter unter Druck setzen, nicht zu saugen. Bei den RIR-Zuweisungsrichtlinien wird davon ausgegangen, dass der ISP jedem Kunden eine / 48 gibt. Es gibt absolut keinen Grund für den ISP, dies nicht zu tun.
IPv6 ist kein Fan von kleineren Subnetze, aber das einzige , was ist angeblich zu brechen, dass ich mir bewusst bin, ist SLAAC. Sie werden Probleme mit Fehlern und Annahmen in einigen IPv6-Stacks haben, die einfach blind "/ 64 == Subnetz" annehmen, aber das ist ein Fehler, keine Funktion, und Sie können den Hersteller verprügeln, um ihn zu beheben. Ob es behoben wird, bevor Ihr ISP Ihnen eine / 48 gibt, auf der anderen Seite ...
quelle