Bewährte Methoden für das Layout von IPv6-Adressräumen


91

Ich bin mit IPv4-Adressraumzuweisungen vertraut. Womit ich meine: Angesichts der zu planenden Dienste oder einer zu vernetzenden Organisation habe ich gute Kenntnisse darüber, wie die Nutzung des IP-Adressraums geplant werden kann. (oder zumindest glaube ich das. :)

Gibt es Best Practices-Anleitungen oder Fallstudien für das Layout des IPv6-Adressraums?


Antworten:


73

Das Layout, das wir für unseren Rollout verwenden, lautet:

  • / 48 pro Kunde
  • / 56 pro Kundenstandort (als Subnetz des anderen / 48)
  • / 126 für alle Punkt-zu-Punkt-Verbindungen im Kern, das sind alle Subnetze von a / 48, die für alle Kernverbindungen verwendet werden

Diese Größen werden meist aus den RIPE Beratungs genommen hier .


4
Das geht aber nur auf eine Baustelle runter. Wie wäre es mit internen LANs, Stockwerken, Gebäuden, Diensten, Sprach-LANs, Konventionen zum Codieren des VLANs in die Netzwerkadresse usw.?
Nr.

1
Ich würde dann ein / 64 für jedes VLAN / Stockwerk / Gebäude verwenden (oder wie auch immer Ihre Zuordnung funktioniert).
David Rothera

Hat ARIN (das RIR-Angebot für mich) Empfehlungen / Ratschläge?
Craig Constantine

Ich nehme an, Sie haben ein Mittel zur Überwachung des Missbrauchs von Spammern, die gerne ihre zugewiesenen IPs durchbrennen.
Frogstarr78

3
mature.net/lir-services/training/material/… hat eine ziemlich gute Lektüre (danke an Marco Hogewoning, der mich darauf hingewiesen hat).
Andrew Y

26

Die alte Empfehlung war, / 64 überall zu verwenden, sogar auf P2P-Links, und / 48 pro Site zuzuweisen.

Die Verwendung großer, leerer Subnetze auf Punkt-zu-Punkt-Verbindungen kann zu einer Reihe potenzieller Sicherheitsprobleme führen (siehe RFC6164 ). Daher empfiehlt es sich , / 127 für P2P-Verbindungen und / 128 für Loopbacks zu verwenden.

Es ist nicht notwendig, einem kleinen Kunden eine / 48 zu geben, obwohl Sie viele Adressen haben würden, um herumzugehen, wenn Sie sich dafür entscheiden.

Kunden zugewandte Schnittstellen sollten / 64 sein, wenn Sie SLAAC verwenden möchten. Wenn Sie es nicht verwenden möchten, können Sie eine andere Maske verwenden.

Hier sind einige gute Links:

BRKRST-2301 von ciscolive365.com (kostenloses Konto erstellen) http://www.cisco.com/web/strategy/docs/gov/IPv6_WP.pdf
http://tools.ietf.org/html/rfc5375.html
http: //tools.ietf.org/html/rfc6177

Einige Leute nehmen ihre aktuellen v4-Zuweisungen und konvertieren das zweite und dritte Oktett in hexadezimal und verwenden dies für v6. Es gibt viele verschiedene Möglichkeiten, um dies zu tun. Sie müssen also entscheiden, was sich am besten anfühlt.


5
Ich reiche ein, dass jedes IPv6-Adressierungsschema, das auf einem vorhandenen IPv4-Adressierungsschema basiert, einer zusätzlichen Prüfung unterzogen werden sollte. Dies ist eine Gelegenheit, sich von früheren Fesseln zu befreien, und keine lästige Pflicht, sie originalgetreu wiederzugeben.
Neirbowj

2
Ich verstehe, dass das kleinste Subnetz, das zu erstellen ist (P2P-Links beiseite), a / 64 ist. Wenn ich ein Privatkunde bin und mehrere Subnetze in meinem LAN haben möchte, ohne NAT6 zu verwenden, möchte ich mehr als ein / 64. Als jemand, der daran interessiert ist, IPv6 bei mir zu Hause zu haben, und als jemand, der weiß, wie viele Billiarden von / 64s es gibt, möchte ich mindestens eine / 60.
Luke hat keinen Namen

22

Mit IPv6 müssen Sie sich nicht mehr um die Zuweisung von Speicherplatz für eine bestimmte Anzahl von Hosts kümmern. Alle Subnetze (außer P2P-Links) sollten als / 64 zugewiesen werden, was eine lächerliche Anzahl von Hostadressen ergibt. So können Sie sich auf andere Themen wie gutes Netzwerklayout und -design konzentrieren. (A / 48 würde 65.536 / 64 Netzwerke ergeben)

Hierzu gibt es (natürlich) mehrere Denkschulen. Wenn Sie mit Ihrem IPv4-Design bereits ziemlich zufrieden sind, ist ein IPv6-Overlay, das die Dinge spiegelt, wahrscheinlich eine gute Option und erleichtert den Übergang für alle.

  • 2001: 0DB8: 1: 1 :: / 64 -> 10.1.1.0 / 24
  • 2001: 0DB8: 1: 2 :: / 64 -> 10.1.2.0 / 24
  • ...
  • 2001: 0DB8: 1: 254 :: / 64 -> 10.1.254.0 / 24

Probieren Sie einige der IPv6-Rechner aus, damit Sie sich ein Bild von all dem machen können. Hier ein Beispiel: GestioIP Online IPv4 / v6-Rechner

Das war für mich das Schwierigste - mach dir keine Sorgen, ob ich den Hosts Speicherplatz zur Verfügung stellen kann! Planen Sie Ihr Netzwerk - konzentrieren Sie sich auf Standorte von Layer-3-Grenzen, angebotene Dienste, den physischen Standort von Geräten usw. Es wird wahrscheinlich Jahre dauern, bis Sie ein reines IPv6-Netzwerk haben, aber Sie werden damit beginnen, die Grundlagen für ein gutes Netzwerkdesign zu legen jetzt.


19

Ein bisschen Präzision bei früheren Antworten, basierend auf der RIPE IPv6-Schulung vor einem Jahr. Grundsätzlich wird empfohlen, sich eher auf die Aggregation als auf die Beibehaltung des Adressraums zu konzentrieren .

Das heißt: Machen Sie sich keine Sorgen, eine große Anzahl von IPs für einen Point of Presence zu reservieren, selbst wenn Sie hier (vorerst) nur eine kleine Anzahl von Subnetzen haben. Sie sollten jedoch jedes in einem POP "lebende" Subnetz unter demselben größeren Präfix zusammenfassen.

Ihr Hauptanliegen ist es, dass die Größe der DFZ-Routing-Tabelle explodieren kann, wenn jeder kleine Präfixe mit einer feinen Granularität ankündigt, da wir jetzt über eine sehr große Menge an IP verfügen.

Hier ist das in der Präsentation verwendete Schulungsmaterial . Insbesondere die erste PDF-Datei "Trainingsübung" enthält ein Beispiel für einen Adressierungsplan.


12

In Verwendung das folgende Layout selbst (Rechenzentrum pov)

Colocation-Kunden: einer / 48.

Dedizierte Server: standardmäßig ein / 64 pro Server.

P2P-Links (BGP-Linknetze usw.): / 126

Bezüglich des IPv4 -> IPv6-Übergangs zu einer Dual-Stack-Umgebung für gehostete Vlans ordne ich das IPv4-Subnetz einem IPv6-Subnetz zu, das groß genug ist, um für jede einzelne IPv4-Adresse ein / 64 zu enthalten.

Zum Beispiel:

Vlan mit einem / 24 ipv4 (256 ip's), ich stimme das mit einem / 56 Ipv6 (256 unique / 64 subnets) überein

Vlan mit einem / 23 ipv4 (512 ip's), ich vergleiche das mit einem / 55 ipv6 (512 unique / 64 subnets)


11

SURFnet hat ein nettes Handbuch für den IPv6-Netzwerkplan geschrieben , das nützlich sein könnte


Dieser Link ist jetzt tot; Es ist auch eine ziemlich flache Antwort. Vielleicht könnten Sie einige Highlights aus der Originalquelle hinzufügen?
Ryan Foley

Ich habe den Link durch einen bei RIPE gehosteten ersetzt (der die Übersetzung gesponsert hat). Es ist ziemlich schwierig, eine anständige Zusammenfassung des Dokuments zu geben, da es viele verschiedene Szenarien behandelt, aber es entspricht hauptsächlich dem, was andere hier erwähnt haben. Es ist ein nützliches Dokument, um Ihnen bei der Auswahl von Adressen zu helfen.
Teun Vink

In der Frage wird nach den Best Practices im Allgemeinen gefragt, ohne dass eine konkrete Anfrage vorliegt. Diese Antwort erfüllt genau diese Frage. Upvoted.
StockB

Wie kann ich diese Antwort auf Android anzeigen? Welche App funktioniert mit der Datei?
Ferrybig

4

Es ist ein bisschen einschüchternd, wenn man den riesigen verfügbaren Adressraum sieht, aber in der Praxis ist es nicht schwer damit umzugehen.

Nehmen wir an, Sie erhalten eine / 48. Das gibt Ihnen 65K / 64s zum Spielen, von denen jeder eine Menge Adressen speichern kann. Auch der Rundungsfehler in 65K gibt Ihnen eine Handvoll anderer / <64 für andere Zwecke.

Persönlich rufe ich / 64 Subnetze aus dem / 48 pro VLAN ab. Ich habe die Router-Adresse für jedes VLAN auf :: 1 gesetzt. Ich verwende :: xxxx für DNS (wobei xxxx eine wiederholte Ziffer ist) und ähnliches für einige andere Dienste. Es ist einfacher sich zu erinnern.

Jeder Box wird eine SLAAC-Adresse zugewiesen, und alle Hosts werden aufgefordert, auch eine temporäre Adresse festzulegen. Auf diese Weise können wir ein System mit der SLAAC-Adresse finden, aber das System behält ein wenig Privatsphäre im Internet - oder es würde aber im Allgemeinen einen Web-Proxy verwenden - ahh, aber das hat auch eine temporäre Adresse! Trotzdem macht die Allgegenwart von IPv4 all dies zunichte.

Wenn Sie mehrere Sites haben, teilen Sie die / 48 in kleinere, aber größere Bits als / 64 auf - genug, um alle Eventualitäten abzudecken. Auf diese Weise können Sie Routingtabellen etwas aggregieren.

Angenommen, Sie haben eine / 48 (ich habe eine für mein Zuhause, also zweifle ich nicht daran), dann sollten Sie genügend Platz haben, um die meisten Eventualitäten und Pläne abzudecken.

Wenn Ihre Konfiguration größer ist - beispielsweise multinational und standortübergreifend -, sollten Sie PI untersuchen und anschließend nach Land / Standort / VLAN oder Land / Ort / Standort / Gebäude / VLAN oder was auch immer aufschlüsseln. Sie erhalten immer noch viele Adressen in einer / 48 für alle außer dem größten Setup.



2

Die größte Sorge besteht wahrscheinlich darin, zu ermitteln, wo Ihre Engpässe im Hinblick auf die Routenaggregation liegen werden. Die grundlegenden Parameter werden wahrscheinlich sein: Jedes Subnetz muss ein / 64 (diktiert von IPv6) sein und Sie können mit einem / 60, / 56 oder / 48 spielen.

Wie andere gesagt haben, gibt ein / 48 Ihnen 64k-Subnetze, aber es ist immer noch einfach, sich in eine Ecke zu malen, wenn Sie sie nur nach dem Zufallsprinzip zuweisen. Nehmen wir an, Sie haben 1000 Filialen und vergeben von Anfang an nacheinander jeweils eine / 64. Dann stellen Sie fest, dass der 43. Store ein zweites Subnetz benötigt - das bedeutet, dass entweder dieses Netzwerk neu nummeriert wird oder dem Store zwei separate Subnetze zugewiesen werden, die nicht aggregiert werden können.

In der IPv4-Welt erhalten Sie übrigens auch 64k-Subnetze, wenn Sie das 10.xxx-Netzwerk verwenden und es an / 24s weiterleiten. Einige der Praktiken, die Sie in diesem Szenario anwenden, lassen sich möglicherweise gut übersetzen.

Ein Unternehmen, für das ich arbeite, verwendet 10.xxx intern für ungefähr 150 Zweigstellen (mit etwa 100-500 Computern an jedem Standort). Das zweite Byte ist die Zweigstellennummer und sie verwenden / 22 anstelle von / 24 für ihre Subnetze. So kann jede Zweigstelle bis zu 64 Subnetze haben, was für sie gut funktioniert.


Ja, die beste Vorgehensweise ist, dass jede Site eine / 56 oder kürzere Maskenlänge erhält. Es wird auch empfohlen, die Knabbereien beim Zuweisen von Dingen nicht zu teilen (jede zugewiesene Maskenlänge sollte durch 4 teilbar sein). Carrier machen keine Werbung für ein Präfix, das länger als / 48 ist. Wenn die einzelnen Websites separat beworben werden sollen, benötigen sie jeweils ein / 48.
Ron Maupin

Diese bewährten Methoden (wie die meisten bewährten Methoden) sind im Allgemeinen eine gute Idee, passen jedoch möglicherweise nicht immer. Wenn Sie beispielsweise Starbucks oder McDonalds sind, haben Sie möglicherweise nicht genug / 56s für alle Ihre Geschäfte. Das ist eigentlich der Grund, warum Organisationen wie die Militärs verschiedener Länder und sogar ein Kettenbuchladen ein / 29 oder noch kürzere Präfixe wollten.
Kevin Keane

1
Meine Firma hat eine viel kürzere Maskenlänge. Sie können leicht eine viel kürzere Maskenlänge erhalten, so dass Sie jeder Site ein / 56 (oder kürzer) zuweisen können. Ich sage nur, dass Sie eine / 48 oder kürzere Maskenlänge benötigen, wenn Sie ein Präfix im Internet bewerben möchten. Holen Sie sich eine / 32 oder / 24, es ist nicht schwer, wenn Sie die Notwendigkeit haben.
Ron Maupin

1

Bewährte Methoden für das Layout von IPv6-Adressräumen

Ich bin mit IPv4-Adressraumzuweisungen vertraut. Womit ich meine: Angesichts der zu planenden Dienste oder einer zu vernetzenden Organisation habe ich gute Kenntnisse darüber, wie die Nutzung des IP-Adressraums geplant werden kann. (oder zumindest glaube ich das. :)

Gibt es Best Practices-Anleitungen oder Fallstudien für das Layout des IPv6- Adressraums?

Super kurze Antwort: Versuchen Sie ab / 56 zu projizieren, was in den nächsten Jahren verwendet wird, und passen Sie es entsprechend an. Personen, die eine einzelne Adresse anfordern, sollten noch einige Adressen für zukünftige Erweiterungen zugewiesen bekommen. Daher ist es wichtig, eine Fragmentierung der Zuweisung zu vermeiden, mehr als eine geringfügige Überzuweisung.


Eine längere Antwort:

Internet Engineering Task Force (IETF) - Bewährte Methoden :

  • RFC 6177 und BCP 157 - "Zuweisung von IPv6-Adressen an Endstandorte" stellt klar, dass eine Standardempfehlung von / 48 für die breite Palette von Endstandorten nicht nuanciert genug ist und nicht mehr als einzelner Standard empfohlen wird.

    1. Einführung - Es gibt eine Reihe von Überlegungen, die in die Adresszuweisungsrichtlinien einfließen. Um beispielsweise den langfristigen Zustand und die Skalierbarkeit der öffentlichen Routing-Infrastruktur zu gewährleisten, ist es wichtig, dass Adressen gut aggregiert werden [ ROUTE-SCALING ]. Ebenso kann das Ausgeben einer übermäßigen Menge an Adressraum zu einer vorzeitigen Erschöpfung des Adressraums führen. Dieses Dokument befasst sich mit der (engeren) Frage, welche IPv6-Adresszuweisungsgröße für Endstandorte angemessen ist. Wenn Endstandorte IPv6-Adressraum von ISPs anfordern, ist dies eine geeignete Zuweisungsgröße.

    ...

    Dieses Dokument befasst sich mit der (engeren) Frage, welche IPv6-Adresszuweisungsgröße für Endstandorte angemessen ist. Wenn Endstandorte IPv6-Adressraum von ISPs anfordern, ist dies eine geeignete Zuweisungsgröße.

    ...

    Dieses Dokument enthält keine formelle Empfehlung für die genaue Größe der Zuweisung. Die genaue Auswahl des Adressraums für die Zuweisung von Endwebsites ist ein Problem für die Operational Community. Die Rolle der IETF in diesem Fall beschränkt sich auf die Bereitstellung von Leitlinien zu Überlegungen zur IPv6-Architektur und zum Betrieb. Dieses Dokument liefert Beiträge zu diesen Diskussionen.

    ...

    2. Zuweisung von / 48 an Endstandorte - Im Rückblick auf einige der ursprünglichen Gründe für die Empfehlung von / 48 [RFC3177] gab es drei Hauptprobleme. Die erste Motivation bestand darin, dafür zu sorgen, dass Endstandorte problemlos genügend Adressraum erhalten, ohne dafür "durch die Rahmen springen" zu müssen. Wenn zum Beispiel jemand das Gefühl hat, mehr Platz zu benötigen, wäre schon das Nachfragen in gewisser Weise eine ausreichende Begründung.

    Zum Vergleich: In IPv4 erhalten typische Heimanwender eine einzige öffentliche IP-Adresse (auch wenn dies nicht immer gewährleistet ist), aber es ist oft schwierig oder sogar unmöglich, mehr als eine Adresse zu erhalten - es sei denn, man ist bereit, eine zu bezahlen (deutlich) erhöhte Gebühr für eine häufig als "höherwertig" eingestufte Dienstleistung. (Es ist zu beachten, dass erhöhte ISP-Gebühren für die Erlangung einer geringen Anzahl zusätzlicher Adressen in der Regel nicht durch die von RIRs erhobenen tatsächlichen Kosten pro Adresse gerechtfertigt werden können, zusätzliche Adressen jedoch häufig nur Endbenutzern als Teil eines anderen Typs zur Verfügung stehen oder " höhere Dienstgüte, für die eine zusätzliche Gebühr erhoben wird. Der Punkt hierbei ist, dass die zusätzlichen Kosten nicht auf die RIR-Gebührenstrukturen zurückzuführen sind, sondern auf die geschäftlichen Entscheidungen, die ISPs treffen.)

    Ein wichtiges Ziel von IPv6 ist es, die standardmäßige und minimale Zuweisung von Endstandorten von "einer einzelnen Adresse" zu "mehreren Netzwerken" erheblich zu ändern und sicherzustellen, dass Endstandorte problemlos Adressraum erhalten können.

    ...

    Eine Änderung der Richtlinien (wie oben beschrieben) hätte erhebliche Auswirkungen auf die Adressverbrauchsprognosen und die erwartete Langlebigkeit von IPv6. Das Ändern der Standardzuweisung von / 48 auf / 56 (für die überwiegende Mehrheit der Endstandorte, z. B. Heimstandorte) würde beispielsweise zu einer Einsparung von bis zu 8 Bit führen und den "Gesamtverbrauch projizierter Adressen" um (bis zu) verringern bis) 8 Bits oder zwei Größenordnungen. (Die genaue Höhe der Einsparungen hängt von der relativen Anzahl der Heimanwender im Vergleich zur Anzahl der größeren Websites ab.)

    ...

    3. Weitere Überlegungen zu RFC 3177 - ... Angesichts des großen Adressraums in IPv6 ist genügend Platz vorhanden, um den Endstandorten über einen Zeitraum von mehreren Jahren hinweg ausreichend Platz für angemessene Wachstumsprognosen zu gewähren. Daher ist es nach wie vor äußerst wünschenswert, den Endstandorten genügend Platz (sowohl für die ersten als auch für die nachfolgenden Aufgaben) für mehrere Jahre zur Verfügung zu stellen. Glücklicherweise kann dieses Ziel auf verschiedene Weise erreicht werden und erfordert nicht, dass alle Endstandorte die gleiche Standardgrößenzuweisung erhalten. "

  • RFC 7608 und BCP 198 - "IPv6-Präfixlängenempfehlung für die Weiterleitung"

    Zusammenfassung - IPv6-Präfixlänge ist wie in IPv4 ein Parameter, der in IPv6-Routing- und Weiterleitungsprozessen gemäß der CIDR-Architektur (Classless Inter-Domain Routing) übermittelt und verwendet wird. Die Länge eines IPv6-Präfixes kann eine beliebige Zahl von Null bis 128 sein, obwohl Subnetze, die die zustandslose automatische Adresskonfiguration (SLAAC) für die Adresszuweisung verwenden, üblicherweise ein / 64-Präfix verwenden. Hardware- und Softwareimplementierungen von Routing und Weiterleitung sollten daher keine Regeln für die Präfixlänge auferlegen, sondern Präfixe mit der längsten Übereinstimmung zuerst für alle gültigen Längen implementieren.

  • RFC 7934 und BCP 204 - "Empfehlungen zur Verfügbarkeit von Hostadressen" empfehlen, dass Netzwerke Allzweck-Endhosts beim Anschließen mehrere globale IPv6-Adressen bereitstellen. Außerdem werden die Vorteile und Optionen hierfür beschrieben.

    Einführung - "Im Gegensatz zu IPv4 sind IPv6-Netzwerke nicht durch Bedenken hinsichtlich der Adressknappheit gezwungen, nur eine Adresse pro Host bereitzustellen. ... Darüber hinaus bietet die Bereitstellung mehrerer Adressen viele Vorteile, einschließlich Anwendungsfunktionalität und -einfachheit, Datenschutz und Flexibilität für zukünftige Anwendungen. Ein weiterer wesentlicher Vorteil ist die Möglichkeit, einen Internetzugang ohne die Verwendung von Network Address Translation (NAT) bereitzustellen. Durch die Bereitstellung von nur einer IPv6-Adresse pro Host werden diese Vorteile zunichte gemacht.

    2. Allgemeines IPv6-Bereitstellungsmodell - IPv6 unterstützt mehrere Adressen, einschließlich mehrerer globaler Adressen, pro Schnittstelle (siehe Abschnitt 2.1 von [RFC4291] und Abschnitt 5.9.4 von [RFC6434] ). Heutzutage werden viele universelle IPv6-Hosts mit drei oder mehr Adressen pro Schnittstelle konfiguriert: einer verbindungslokalen Adresse, einer stabilen Adresse (z. B. unter Verwendung von 64-Bit-Extended Unique Identifiers (EUI-64) oder opaken Schnittstellenkennungen [ RFC7217 ]). , eine oder mehrere Datenschutzadressen [ RFC4941 ] und möglicherweise eine oder mehrere temporäre oder nicht temporäre Adressen, die mit dem Dynamic Host Configuration Protocol für IPv6 (DHCPv6) [ RFC3315 ] abgerufen wurden .

    In den meisten Allzweck-IPv6-Netzwerken können Hosts zusätzliche IPv6-Adressen aus den Verbindungspräfixen konfigurieren, ohne explizite Anforderungen an das Netzwerk zu stellen. Zu diesen Netzwerken gehören alle 3GPP-Netzwerke ( [RFC6459], Abschnitt 5.2 ) sowie Ethernet- und Wi-Fi-Netzwerke mit SLAAC (Stateless Address Autoconfiguration) [ RFC4862 ]. "

  • RFC 4862 - "IPv6 Stateless Address Autoconfiguration" erklärt:

    3. Designziele

     

    • Die zustandslose Autokonfiguration wurde unter Berücksichtigung der folgenden Ziele entwickelt: o Die manuelle Konfiguration einzelner Maschinen vor dem Verbinden mit dem Netzwerk sollte nicht erforderlich sein. ... Die automatische Adresskonfiguration setzt voraus, dass jede Schnittstelle eine eindeutige Kennung für diese Schnittstelle bereitstellen kann (dh eine "Schnittstellenkennung"). ...

    • Kleine Standorte, die aus einer Reihe von Computern bestehen, die an einen einzelnen Link angeschlossen sind, sollten nicht die Anwesenheit eines DHCPv6-Servers oder -Routers als Voraussetzung für die Kommunikation erfordern. Plug-and-Play-Kommunikation wird durch die Verwendung von Link-Local-Adressen erreicht. Linklokale Adressen haben ein bekanntes Präfix, das den (einzelnen) gemeinsam genutzten Link angibt, mit dem eine Gruppe von Knoten verbunden ist. Ein Host bildet eine verbindungslokale Adresse, indem er eine Schnittstellenkennung an das verbindungslokale Präfix anfügt.

    • Für einen großen Standort mit mehreren Netzwerken und Routern sollte zur Adresskonfiguration kein DHCPv6-Server erforderlich sein. Um globale Adressen zu generieren, müssen Hosts die Präfixe ermitteln, die die Subnetze identifizieren, an die sie angeschlossen sind. Router generieren regelmäßige Routerankündigungen mit Optionen, in denen die aktiven Präfixe eines Links aufgeführt sind.

    • Die Adresskonfiguration sollte die ordnungsgemäße Umnummerierung der Computer eines Standorts erleichtern. Beispielsweise möchte ein Standort möglicherweise alle seine Knoten neu nummerieren, wenn er zu einem neuen Netzwerkdienstanbieter wechselt. Die Umnummerierung wird durch das Leasing von Adressen an Schnittstellen und die Zuweisung mehrerer Adressen an dieselbe Schnittstelle erreicht. Die Nutzungsdauer von Mietverträgen ist der Mechanismus, mit dem ein Standort alte Präfixe auslöst. Die Zuweisung mehrerer Adressen zu einer Schnittstelle sieht eine Übergangszeit vor, in der sowohl eine neue Adresse als auch die auslaufende Adresse gleichzeitig funktionieren.

Sicherheitsüberlegungen :

  • OPSEC - " Überlegungen zur Betriebssicherheit für IPv6-Netzwerke - Entwurf-ietf-opsec-v6-12 ":

    1. Allgemeine Sicherheitsüberlegungen

     

             2.1. Architektur ansprechen

                    Die Zuweisung von IPv6-Adressen und die Gesamtarchitektur sind ein wichtiger Bestandteil der Absicherung von IPv6. Erste Entwürfe, auch wenn sie nur vorübergehend sein sollen, halten in der Regel viel länger als erwartet. Obwohl ursprünglich angenommen wurde, dass IPv6 die Umnummerierung vereinfacht, kann es in der Praxis äußerst schwierig sein, eine Umnummerierung ohne ein gutes IPAM-System (IP Addresses Management) durchzuführen.

                    Sobald eine Adresszuweisung zugewiesen wurde, sollte über einen allgemeinen Adresszuweisungsplan nachgedacht werden. Mit der Fülle des verfügbaren Adressraums kann eine Adresszuweisung um Dienste zusammen mit geografischen Standorten strukturiert werden, was dann eine Grundlage für strukturiertere Sicherheitsrichtlinien sein kann, um Dienste zwischen geografischen Regionen zuzulassen oder zu verweigern.

                    Eine häufig gestellte Frage ist, ob Unternehmen PI vs. PA Space RFC7381 verwenden sollten. Aus Sicherheitsgründen gibt es jedoch nur geringe Unterschiede. Ein Aspekt, den Sie jedoch berücksichtigen sollten, ist, wer über Administratorrechte für den Adressraum verfügt und wer technisch verantwortlich ist, wenn / wenn aufgrund böswilliger krimineller Aktivitäten Einschränkungen für die Routingfähigkeit des Space erzwungen werden müssen. Durch die Verwendung des PA-Bereichs wird die Organisation einer Neunummerierung des gesamten Netzwerks ausgesetzt, einschließlich Sicherheitsrichtlinien (basierend auf ACL), Prüfsystem, ... kurz gesagt, einer komplexen Aufgabe, die zu einem gewissen Sicherheitsrisiko führen kann, wenn sie für ein großes Netzwerk und ohne Automatisierung ausgeführt wird. Daher sollte für große Netzwerke der PI-Raum bevorzugt werden.

Andere Referenzen :

ARIN - " Empfohlener Richtlinienentwurf ARIN-2015-1: Änderung der Kriterien für anfängliche IPv6-Endbenutzerzuweisungen ".

ARIN - " Entwurf einer Richtlinie ARIN-2011-3: Bessere IPv6-Zuweisungen für ISPs ".

Alle ARIN-Richtlinien .

IANA - Hauptseite - Protokollregister - IANA-verwaltete reservierte Domänen .

IETF - " Überlegungen zur IPv6-Host-Dichtemessung - draft-huston-hd-metric-00.txt ".

Alle IETF-BCPs . ( Archiv ).

Wikipedia's Best Current Practices (Derzeit nicht auf dem neuesten Stand).

AP NIC - " Best Current Practices für IPv6 ".

Cloudmarks Whitepaper: " BCP für kurzfristige SMTP-Bereitstellungen in IPv6-Netzwerken ".

NSRC.org - " Ingress & Egress Filtering Lab - Campus Netzwerkdesign & Operations Workshop ".

RIPE - " Zuweisungs- und Zuweisungsrichtlinie für IPv6-Adressen" lautet (unter anderem): "Die Mindestzuweisungsgröße für IPv6-Adressräume beträgt / 32 (für LIRs)" LIR muss einen Plan für die Durchführung von Unterzuweisungen an andere Organisationen und / oder End-Site-Zuweisungen innerhalb von zwei Jahren haben. "," LIRs, die die anfänglichen Zuweisungskriterien erfüllen, können eine anfängliche Zuweisung von / 32 bis / 29 erhalten, ohne dass dies erforderlich ist zusätzliche Angaben machen. ", ...

RIPE - " Grundlegendes zu IP-Adressierung und CIDR- Diagrammen" (siehe auch unten) bietet die folgenden hilfreichen Diagramme:

IPv4 und IPv6


Die ursprüngliche Architektur des Internets bestand größtenteils aus großen Netzwerken, die direkt miteinander verbunden waren, und sah dem heute verwendeten hierarchischen Design nicht sehr ähnlich. Es war einfach, dem Militär einen riesigen Adressblock und der Stanford University einen anderen zu geben. In diesem Modell mussten sich Router nur eine IP-Adresse für jedes Netzwerk merken und konnten über jede dieser Routen Millionen von Hosts erreichen.

  • IPv6-Geräte haben standardmäßig alle eine eindeutige Adresse. IPv4-Geräte verwenden ein klassisches Netzwerk und haben keine eindeutige Adresse, da die Adressen zwischen dem 31. Januar 2011 und dem 24. September 2015 erschöpft waren .

Hier ist eine alte Karte des gesamten Internets im Februar 1982 im Vergleich zum heutigen Internet, StackExchange.com ist der winzige Punkt in der Mitte des rechten Bildes, zum Vergrößern anklicken.

Das Internet 1984 im Vergleich zu heute

RFC 3484 - "Standardadressauswahl für Internetprotokoll Version 6 (IPv6)" wurde von RFC 6724 (September 2012) veraltet. Neu im Update ist:

In den Abschnitten 2.1.4 , 2.2.2 und 2.2.3 von RFC 5220 werden Adressauswahlprobleme im Zusammenhang mit eindeutigen lokalen Adressen (Unique Local Addresses, ULAs) [RFC4193] beschrieben. Standardmäßig werden globale IPv6-Ziele gegenüber ULA-Zielen bevorzugt, da es sich um ein beliebiges ULA handelt nicht unbedingt erreichbar. "

  • Eine One-Size-Fits-All-Empfehlung von / 48 ist nicht nuanciert genug für die breite Palette von Endstandorten und wird nicht mehr als einzelne Standardempfehlung empfohlen.

Siehe: RIPE - " Grundlegendes zur IP-Adressierung und zu CIDR-Diagrammen ":

"Jedes mit dem Internet verbundene Gerät muss eine Kennung haben. Internet Protocol (IP) -Adressen sind die numerischen Adressen, mit denen eine bestimmte mit dem Internet verbundene Hardware identifiziert wird.

Die beiden am häufigsten verwendeten IP-Versionen sind Internet Protocol Version 4 (IPv4) und Internet Protocol Version 6 (IPv6). Sowohl IPv4- als auch IPv6-Adressen stammen aus endlichen Zahlenpools.

  • Für IPv4 ist dieser Pool 32 Bit (2 ^ 32) groß und enthält 4.294.967.296 IPv4-Adressen.

  • Der IPv6-Adressraum ist 128 Bit (2 ^ 128) groß und enthält 340.282.366.920.938.463.463.374.607.431.768.211.456 IPv6-Adressen.

Adresszuweisungsmodell

Derzeit weist die IANA den regionalen Registern Adressblöcke zu. Die Registries weisen wiederum Diensteanbietern Adressblöcke zu. Es liegt in der Verantwortung des Dienstleisters, seinen jeweiligen Kunden Adressen zuzuweisen.

Die aktuelle Richtlinie variiert je nach Region. Im konservativsten Fall muss ein Endbenutzer den Dienstanbieter des Benutzers kontaktieren, um den IPv6-Adressraum abzurufen, anstatt sich direkt an die regionale Registrierung für den IPv6-Adressraum zu wenden.

Provider-abhängige Richtlinie

Die Abbildung zeigt grafisch, wie diese ursprüngliche Richtlinie in Kraft gesetzt wird. Dieses Zuweisungsmodell wird üblicherweise als von einem Anbieter zugewiesene (PA) oder von einem Anbieter abhängige (PD) Zuweisung bezeichnet. Die in der Abbildung gezeigten Präfixlängen sind Empfehlungen. Die Registries und Service Provider können Blöcke mit den Prozessen und Prozeduren zuweisen, die sie für ihre Regionen und Kunden eingerichtet haben. Dies wird in RFC 6177 erläutert.

RFC 6177 - "IPv6-Adresszuweisung an Endstandorte".

Als Beispiel für die Richtlinie hat IANA ARIN 2600: 0000 :: / 12 zur Zuweisung zugewiesen. Dies wird an der obersten Ebene des Modells ausgerichtet. Anschließend hat ARIN Sprint den Block 2600 :: / 29, AT & T Mobility den Block 2600: 300 :: / 24, Hurricane Electric den Block 2600: 7000 :: / 24 usw. zugewiesen.

Diese Blockzuweisungen folgen nicht dem in RFC 3177 definierten ursprünglichen Modell. Die Dienstanbieter weisen ihren Kunden anschließend Blöcke zu, die auf den Anforderungen ihrer Kunden basieren. Der Internet Service Provider (ISP) hat die Flexibilität, seinen Kunden eine Vielzahl von Adressen zuzuweisen.

Beispielsweise benötigt ein ISP-Kunde eines großen Unternehmens möglicherweise eine Zuweisung von / 40, während ein Privatkunde nur eine Zuweisung von / 60 benötigt.

Es gibt eine Ausnahme von dieser Richtlinie, die von den regionalen Registern erlassen wird und es Endkunden ermöglicht, sich direkt an Registries zu wenden und IPv6-Adressräume anzufordern. Diese Ausnahme wird als anbieterunabhängige (PI) Adressierung bezeichnet.

RFC 5375 - "Überlegungen zur Zuweisung von IPv6-Unicast-Adressen" beschreibt einige Probleme, die beim Erstellen eines Adressierungsplans ebenfalls berücksichtigt werden müssen.

Sie sollten sich zunächst entscheiden, ob Sie anbieterunabhängige Adressblöcke wünschen oder ob die vom Anbieter zugewiesene Adressierung akzeptabel ist.

Wenn der Kunde über PI-Adressen verfügt, bleibt die Zuordnung gültig, sofern die Kriterien für die ursprüngliche Zuordnung erfüllt sind.

Kunden mit PA-Adressen wird empfohlen, eine neue Adressraumzuweisung von einer anderen LIR zu erhalten und den PA-Adressraum zurückzugeben, der von ihrer ursprünglichen LIR zugewiesen wurde. In diesem

Weitere Informationen finden Sie unter den obigen Links zu IANA und IETF.


0

Die beste Methode zur Aufteilung von ipv6 ist die Aufteilung in / 64-Subnetze. weil die / 64-Adresse leicht manuell IPV4 zugeordnet werden kann


1
Wie macht es die Aufteilung in / 64 einfacher als beispielsweise die Aufteilung in / 48? Können Sie näher erläutern, wie Sie dieses Mapping durchführen würden?
Teun Vink

1
Und warum sollten wir uns für "IPV4 leicht zuzuordnen" interessieren?
Michael Hampton

0

Die Hauptunterschiede zwischen v4 und v6

  1. Mikromanagement sollte nicht erforderlich sein. Der Adressraum ist relativ groß.
  2. Die Erwartung ist, dass alle Subnetze / 64s sein werden
  3. Von NAT wird dringend abgeraten. Für große Unternehmen, die kein Problem sind, erhalten sie einfach PI-Speicherplatz oder registrieren sich sogar als LIR und bewerben ihren Speicherplatz über BGP. Für kleine Unternehmen bleibt jedoch eine schwierige Wahl. Beantragen sie PI-Räume und kaufen teurere Internetverbindungen, mit denen sie diese nutzen können? Führen sie private Adressen und vom ISP zugewiesene öffentliche Adressen parallel aus und hoffen, dass keine vom ISP zugewiesenen Adressen in langfristigen Konfigurationsdateien landen? Ignorieren sie die IETF und führen NAT trotzdem aus?
  4. Durch die hexadezimale Schreibweise sind die Nibble-Grenzen für die Adressierung von Ebenen konviniant.

Darüber hinaus sollte es sich nicht wesentlich von v4 unterscheiden. Überlegen Sie, in welche Subnetze Sie sich einordnen müssen, in welche logischen Gruppierungen sie fallen und wie viel Raum für zukünftige Erweiterungen Sie auf jeder Ebene haben möchten, und erstellen Sie einen Plan.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.