IPv6地址空间布局最佳做法
Answers:
我们用于发布的布局是:
- 每位客户/ 48
- 每个客户站点/ 56(作为另一个/ 48的子网)
- / 126用于核心中的所有点对点链接,这些是/ 48的所有子网,用于所有核心链接
这些尺寸大多是从成熟的咨询考虑这里。
旧的建议是在所有P2P链接上都使用/ 64,并为每个站点分配/ 48。
在点对点链接上使用大而空的子网可能会导致许多潜在的安全问题(请参阅RFC6164),因此,目前的最佳做法是将/ 127用于P2P链接,将/ 128用于环回。
不必给小客户一个/ 48,尽管如果您愿意的话,您会有很多地址可以使用。
如果要使用SLAAC,面对客户的接口应该为/ 64。如果您不想使用它,则可以使用另一个面罩。
以下是一些不错的链接:
来自ciscolive365.com的BRKRST-2301(创建免费帐户)
http://www.cisco.com/web/strategy/docs/gov/IPv6_WP.pdf
http://tools.ietf.org/html/rfc5375.html
http: //tools.ietf.org/html/rfc6177
有些人接受当前的v4分配,并将第二个和第三个八位位组转换为十六进制,并将其用于v6。这样做的方式有很多,因此您必须选择最合适的方法。
使用IPv6,您不再需要担心为给定数量的主机分配空间。所有子网(P2P链接除外)都应分配为/ 64,这会使您的主机地址数量荒谬。这使您可以专注于其他主题,例如良好的网络布局和设计。(/ 48将为您提供65,536 / 64个网络)
(当然)对此有几种思路。如果您已经对IPv4设计非常满意,那么做一个可以反映事物的IPv6覆盖可能是一个不错的选择,并且可以简化所有人的过渡。
- 2001:0DB8:1:1 :: / 64-> 10.1.1.0 / 24
- 2001:0DB8:1:2 :: / 64-> 10.1.2.0 / 24
- ...
- 2001:0DB8:1:254 :: / 64-> 10.1.254.0 / 24
尝试一些IPv6计算器,以帮助您掌握所有这一切。这是一个示例: GestioIP在线IPv4 / v6计算器
这对我来说是最难的事情-不用担心为主机分配空间!规划网络-专注于第3层边界的位置,提供的服务,设备的物理位置等。要拥有纯IPv6网络可能还需要数年,但是您将开始为良好的网络设计奠定基础现在。
SURFnet编写了一份不错的IPv6网络计划手册,该手册可能会有用
当您看到可用的巨大地址空间时,这有点令人生畏,但实际上,这并不难处理。
假设您分配了/ 48。这样一来,您就可以使用65K / 64s的设备,每个都可以容纳很多地址。同样,在65K中的舍入错误使您在其他用途上的其他/ <64松弛了一些。
就我个人而言,我从每个VLAN的/ 48取消了/ 64子网。我为每个VLAN将路由器地址设置为:: 1。我将:: xxxx用于DNS(其中xxxx是重复的数字),而对于其他一些服务则类似。更容易记住。
每个框都有一个SLAAC分配的地址,并且鼓励所有主机也设置一个临时地址。这样,我们可以找到一个使用SLAAC地址的系统,但是该系统在Internet上保留了一些隐私-否则,但我们通常使用Web代理-啊,但是它也有一个临时地址!尽管如此,IPv4的普遍性还是有待解决的。
如果您有多个站点,则将/ 48分解为较小的位,但大于/ 64-足以覆盖所有可能的情况。这将使您可以汇总路由表。
坦白说,假设您有一个/ 48(我家有一个/ 48,所以我毫不怀疑),那么您应该有足够的空间来应付大多数情况和计划。
现在,如果您的设置更大-例如说跨国和多站点,那么我建议您调查PI,然后按国家/站点/ VLAN或国家/位置/站点/建筑物/ VLAN或其他任何方式对其进行分解。除了最大的设置,您仍然可以在/ 48中获得大量地址。
某些网络设备体系结构假定您的大多数前缀都是/ 64。在Ivan Pepelnjak的博客中查看此列以获取更多信息。
在路由聚合方面,最大的担忧可能是确定瓶颈所在。基本参数可能会是:每个子网必须是/ 64(由IPv6决定),并且您要使用/ 60,/ 56或/ 48。
正如其他人所说,/ 48为您提供了64k个子网,但是,如果您只是随机分配它们,仍然很容易陷入困境。假设您有1000个商店位置,并从一开始就给每个位置一个/ 64。然后,您发现第43家商店需要第二个子网-这意味着要么对该网络进行重新编号,要么为商店提供两个无法聚合的单独的子网。
顺便说一句,在IPv4世界中,如果使用10.xxx网络并将其子网划分为/ 24s,则还将获得64k子网。您在该场景中使用的一些实践可能会很好地转换。
我工作的一家公司在内部约有150个分支机构(每个位置有100-500台计算机)使用10.xxx。第二个字节是分支号,并且它们的子网使用/ 22而不是/ 24。因此,每个分支机构最多可以有64个子网,非常适合它们。
IPv6地址空间布局最佳做法
我对IPv4地址空间分配感到满意。我的意思是:给定要计划的服务或要组织的网络,我对如何计划IP地址空间使用情况有很好的了解。(或者至少,我认为是。:)
是否有关于IPv6地址空间布局的最佳实践指南或案例研究?
简短的答案:从/ 56开始,尝试预测未来几年将使用的内容,并相应地上下调整。请求单个地址的人仍应分配一些地址以供将来扩展,避免分配碎片很重要,这比轻微的过度分配更为重要。
更长的答案:
互联网工程任务组(IETF)-最新最佳实践:
RFC 6177和BCP 157- “向终端站点分配IPv6地址”阐明了/ 48的“一刀切”的建议对于各种终端站点都不够细致,因此不再建议将其作为单个默认值。
1.简介 -地址分配策略中有许多考虑因素。例如,为了提供公共路由基础结构的长期运行状况和可伸缩性,解决聚合问题非常重要[ ROUTE-SCALING ]。同样,释放过多的地址空间可能导致地址空间过早耗尽。本文着重于(较狭窄的)问题,即最终站点的合适IPv6地址分配大小是多少。也就是说,当最终站点从ISP请求IPv6地址空间时,合适的分配大小是多少。
...
本文着重于(较狭窄的)问题,即最终站点的合适IPv6地址分配大小是多少。也就是说,当最终站点从ISP请求IPv6地址空间时,合适的分配大小是多少。
...
本文档未对确切的作业规模提出正式建议。分配最终站点的地址空间的确切选择对于操作社区来说是一个问题。在这种情况下,IETF的作用仅限于提供有关IPv6体系结构和操作注意事项的指南。本文档提供了对这些讨论的投入。
...
2.关于/ 48向终端站点的分配 -回顾/ 48建议[RFC3177]背后的一些原始动机,主要关注三个方面。首要动机是确保终端站点可以轻松获得足够的地址空间,而不必“跳进圈”。例如,如果有人觉得他们需要更多的空间,那么仅仅在某种程度上提出要求就足够了。
相比之下,在IPv4中,典型的家庭用户会获得一个公共IP地址(尽管即使这样也不能始终保证),但是要获得一个以上的地址通常是困难的,甚至是不可能的-除非一个人愿意支付一定的费用。 (显着)增加了通常被认为是“较高等级”服务的费用。(应注意,通常无法通过RIR收取的实际每地址费用来证明增加ISP费用以获得少量附加地址的费用是合理的,但是附加地址通常仅作为不同类型或“更高级别的服务”,需要收取额外费用。这里的意思是,额外费用不是由于RIR费用结构,而是由于ISP做出的业务选择。)
IPv6的一个重要目标是将默认和最小的终端站点分配从“单个地址”更改为“多个网络”,并确保终端站点可以轻松获得地址空间。
...
政策的更改(例如上述更改)将对地址消耗预测和IPv6的预期寿命产生重大影响。例如,将默认分配从/ 48更改为/ 56(对于大多数终端站点,例如,本地站点)将节省多达8位,从而将“预计的总地址消耗”减少了(至8位或两个数量级。(确切的节省金额取决于家庭用户与大型站点数量的相对数量。)
...
3.其他RFC 3177注意事项 -...考虑到IPv6中大量的地址空间,有足够的空间来授予终端站点足够的空间,以与多年期合理的增长预期相一致。因此,仍然非常需要为终端站点提供足够的空间(在初始分配和后续分配中)以持续几年。幸运的是,可以通过多种方式实现这一目标,并且不需要所有终端站点都接受相同的默认大小分配。”
RFC 7608和BCP 198- “转发的IPv6前缀长度建议”
摘要 -IPv6前缀长度与IPv4中一样,是根据无类域间路由(CIDR)体系结构在IPv6路由和转发过程中传达和使用的参数。尽管使用无状态地址自动配置(SLAAC)进行地址分配的子网通常使用/ 64前缀,但是IPv6前缀的长度可以是从零到128的任何数字。因此,路由和转发的硬件和软件实现不应在前缀长度上强加任何规则,而应在任何有效长度的前缀上实现最长匹配优先。
RFC 7934和BCP 204- “主机地址可用性建议”建议网络在连接时为通用终端主机提供多个全局IPv6地址,并描述这样做的好处和选择。
简介 -“与IPv4不同,IPv6网络不会因为地址稀缺而被迫为每个主机仅提供一个地址。...此外,提供多个地址具有许多好处,包括应用程序功能和简单性,隐私性以及适应未来应用程序的灵活性。另一个重要的好处是无需使用网络地址转换(NAT)即可提供Internet访问的能力,而每个主机仅提供一个IPv6地址就可以抵消这些好处。
2.常见的IPv6部署模型 -的IPv6被设计成支持多个地址,其中包括多个全局地址,每个接口(参见第2.1节[RFC4291]和的[RFC6434]第5.9.4节)。如今,许多通用IPv6主机都为每个接口配置了三个或更多地址:链接本地地址,稳定地址(例如,使用64位扩展唯一标识符(EUI-64)或不透明接口标识符[ RFC7217 ]) ,一个或多个隐私地址[ RFC4941 ],可能还有一个或多个使用IPv6动态主机配置协议(DHCPv6)[ RFC3315 ] 获得的临时或非临时地址。
在大多数通用IPv6网络中,主机可以从链接前缀配置其他IPv6地址,而无需对网络进行明确请求。除了使用无状态地址自动配置(SLAAC)[ RFC4862 ]的以太网和Wi-Fi网络之外,此类网络还包括所有3GPP网络([RFC6459],第5.2节)。
RFC 4862- “ IPv6无状态地址自动配置”说明:
3.设计目标
设计无状态自动配置时要牢记以下目标:o不需要在将单个计算机连接到网络之前对其进行手动配置。地址自动配置假定每个接口都可以为该接口提供唯一的标识符(即“接口标识符”)。...
由连接到单个链接的一组计算机组成的小型站点不应要求存在DHCPv6服务器或路由器作为通信的先决条件。即插即用通信是通过使用本地链接地址来实现的。链接本地地址具有一个众所周知的前缀,用于标识一组节点连接到的(单个)共享链接。主机通过将接口标识符附加到本地链接前缀来形成本地链接地址。
具有多个网络和路由器的大型站点不应要求使用DHCPv6服务器进行地址配置。为了生成全局地址,主机必须确定标识它们所连接的子网的前缀。路由器会生成定期的路由器广告,其中包括列出链接上活动前缀集的选项。
地址配置应有助于对站点的机器进行适当的重新编号。例如,当站点切换到新的网络服务提供商时,可能希望为其所有节点重新编号。通过向接口租赁地址并将多个地址分配给同一接口来实现重新编号。租用期提供了站点逐步淘汰旧前缀的机制。将多个地址分配给一个接口提供了一个过渡期,在此期间,新地址和被淘汰的地址同时工作。
安全注意事项:
OPSEC - “ IPv6的网络操作的安全注意事项-草案,IETF-OPSEC-v6-12 ”:
- 通用安全注意事项
2.1。寻址架构
IPv6地址分配和整体体系结构是保护IPv6的重要组成部分。最初的设计,即使打算是临时的,其持续时间也比预期的要长得多。尽管最初认为IPv6使重新编号变得容易,但实际上,如果没有良好的IP地址管理(IPAM)系统,则重新编号可能非常困难。
一旦分配了地址分配,就应该考虑总体地址分配计划。在地址空间丰富的情况下,可以围绕服务以及地理位置来构造地址分配,然后可以将其作为更结构化的安全策略的基础,以允许或拒绝地理区域之间的服务。
一个常见的问题是公司是否应该使用PI与PA空间RFC7381 ],但是从安全角度来看,两者之间几乎没有区别。但是,要记住的一个方面是谁拥有地址空间的管理所有权,谁/如果由于恶意犯罪活动而需要对空间的可路由性实施限制时,谁负责技术。使用PA空间会使组织面临整个网络的重新编号,包括安全策略(基于ACL),审计系统,……简而言之,这是一项复杂的任务,如果对大型网络进行自动化操作可能会导致一定的安全风险;因此,对于大型网络,应首选PI空间。
其他参考资料:
ARIN- “ 政策草案ARIN-2015-1建议草案:修改IPv6初始最终用户分配标准 ”。
ARIN- “ 政策草案ARIN-2011-3:为ISP提供更好的IPv6分配 ”。
IANA - 主页 - 协议注册管理机构 - IANA管理保留域。
IETF-“ 有关IPv6主机密度指标的注意事项-draft-huston-hd-metric-00.txt ”。
所有IETF BCP。(档案)。
维基百科的最佳现行做法(目前尚未更新)。
AP NIC-“ IPv6最佳现行做法 ”。
Cloudmark的白皮书:“ 用于IPv6网络中近期SMTP部署的BCP ”。
NSRC.org-“ 入口和出口过滤实验室-校园网络设计与运营研讨会 ”。
RIPE-“ IPv6地址分配和分配策略 ”(在许多其他事项中)说:“ IPv6地址空间的最小分配大小是/ 32。(对于LIR)”,“要符合IPv6地址空间的初始分配条件, LIR必须有一个计划,在两年内对其他组织和/或最终站点分配进行子分配。”,“满足初始分配标准的LIR有资格获得/ 32到/ 29的初始分配,而无需提供任何其他信息。”,...
RIPE-“ 了解IP地址和CIDR图表 ”(另请参见下文)提供了以下有用的图表:
Internet的原始体系结构主要由直接相互连接的大型网络组成,看起来与今天使用的分层设计不太相似。很容易给军队一个地址,而给斯坦福大学一个地址。在该模型中,路由器只需要为每个网络记住一个IP地址,并且可以通过每个路由到达数百万台主机。
这是1982年2月与今天的Internet相比整个Internet的一张旧地图,StackExchange.com是右侧图像中心的小点,单击放大。
RFC 3484- “ Internet协议版本6(IPv6)的默认地址选择”已被RFC 6724(2012年9月)淘汰,更新中的新功能是:
“第2.1.4,2.2.2和2.2.3的RFC 5220描述与独特的本地地址(Ulas公寓)[RFC4193]地址选择的问题。在默认情况下,全局IPv6目的地优于ULA目的地,因为任意ULA是不一定可以到达。”。
- / 48的“一刀切”建议对于广泛的终端站点而言不够细致,因此不再建议将其作为单个默认值。
请参阅:RIPE-“ 了解IP地址和CIDR图表 ”:
“连接到Internet的每个设备都需要有一个标识符。Internet协议(IP)地址是用于标识连接到Internet的特定硬件的数字地址。
当前使用的两种最常见的IP版本是Internet协议版本4(IPv4)和Internet协议版本6(IPv6)。IPv4和IPv6地址都来自有限的数字池。
对于IPv4,此池的大小为32位(2 ^ 32),包含4,294,967,296个IPv4地址。
IPv6地址空间的大小为128位(2 ^ 128),包含340,282,366,920,938,463,463,374,607,431,768,211,456个IPv6地址。
地址分配模型
当前,IANA将地址块分配给区域注册表。注册表又将地址块分配给服务提供商。服务提供商有责任将地址分发给各自的客户。
当前的策略因地区而异,并且在最保守的情况下,要求最终用户必须通过用户的服务提供商来获取IPv6地址空间,而不是直接访问用于IPv6地址空间的区域注册表。
该图以图形方式表示了此初始策略的制定方式。该分配模型通常称为提供者分配(PA)或提供者相关(PD)分配。图中显示的前缀长度是建议值。注册管理机构和服务提供商可以使用为其区域和客户建立的流程和程序来分配块。RFC 6177中对此进行了说明。
RFC 6177- “到最终站点的IPv6地址分配”。
作为该策略的示例,IANA已将2600:0000 :: / 12分配给ARIN以进行分配。这与模型的顶层对齐。ARIN随后将2600 :: / 29块分配给Sprint,将2600:300 :: / 24分配给AT&T Mobility,将2600:7000 :: / 24分配给Hurricane Electric,等等。
这些块分配不遵循RFC 3177中定义的原始模型。服务提供商随后根据其客户需求将块分配给其客户。Internet服务提供商(ISP)可以灵活地为其客户分配各种各样的地址。
例如,大型企业ISP客户可能需要/ 40分配,而住宅客户只需要/ 60分配。
区域注册管理机构制定的此政策有一个例外,该政策允许最终客户直接访问注册管理机构并请求IPv6地址空间。此异常称为独立于提供程序(PI)的寻址。
RFC 5375- “ IPv6单播地址分配注意事项”概述了一些在制定寻址计划时也要考虑的问题。
您首先应该决定是要提供者独立的地址块还是接受提供者分配的地址?
如果客户拥有PI地址,则在满足原始分配条件的前提下,分配将保持有效。
建议具有PA地址的客户从另一个LIR获得新的地址空间分配,并返回由其原始LIR分配的PA地址空间。在这
还有更多信息,请查阅上面的IANA和IETF链接,这是掌握最佳实践的最佳方法。
v4和v6之间的主要区别
- 无需进行微观管理。地址空间相对丰富。
- 期望所有子网均为/ 64s
- 强烈建议不要使用NAT。对于没有问题的大型企业,他们只是获得PI空间,甚至注册为LIR并通过BGP公布其空间。但是,对于小型企业而言,这留下了一个艰难的选择,他们是否申请了PI空间并购买了更昂贵的互联网连接以使他们能够使用它?他们是否同时运行私有地址和ISP分配的公共地址,并希望没有ISP分配的地址最终出现在长期配置文件中?他们是否会忽略IETF并运行NAT?
- 十六进制表示法使半字节边界在寻址级别方面更具说服力。
除了与v4并没有太大区别之外,还要确定您需要哪些子网,确定它们属于哪些逻辑组以及希望在每个级别上扩展的空间,然后开始制定计划。