W IPv6 nie należy podsieci do niczego mniejszego niż a / 64 (RFC 5375). SLAAC nie działa między innymi z mniejszymi podsieciami i najwyraźniej niektóre inne funkcje również się zepsują.
Jakie są obejścia sytuacji, w których dostawcy usług internetowych dają tylko jeden / 64, ale potrzebujesz wielu podsieci wewnętrznie? Wydaje się, że powszechną radą jest po prostu znalezienie innego dostawcy usług internetowych, który wyda / 56 lub / 48. W niektórych częściach świata może to działać, ale w naszym regionie (USA) nie jest to możliwe ze względu na brak konkurencji. Większość moich klientów ma szczęście, jeśli jeden dostawca usług internetowych obsługuje ich obszar. Wiele osób wciąż korzysta z połączenia dial-up.
Moi klienci nie będą się kwalifikować do własnych / 48 z ARIN.
Odpowiedzi:
Jeśli dostawca nie da ci więcej niż / 64, to ten dostawca jest do bani. Jeśli jest to jakaś ulga, mogę powiedzieć, że mam do czynienia z dostawcami usług internetowych, którzy są do niczego więcej. W tym miejscu całkowicie normalne jest odsyłanie publicznych adresów IPv4 od klientów i umieszczanie ich za CGN. A jeśli poprosisz ich o adresy IPv6, powiedzą ci, że nie oferują IPv6, ponieważ adresów IPv4 jeszcze nie brakuje, i dopóki istnieją serwery bez obsługi IPv6, nie będą oferować IPv6, ponieważ jest to niemożliwe klient z dwoma stosami do łączenia się z serwerem tylko IPv4.
Jeśli jakikolwiek dostawca usług internetowych dałby mi to, co masz, wziąłbym to, ponieważ jest do bani mniej niż to, co udało mi się dotychczas osiągnąć.
Idąc dalej, są dwa podejścia, które zalecam równolegle realizować.
Naciskaj na ISP
Wywieraj jak największą presję na ISP. Obejmuje to kontaktowanie się z innymi dostawcami usług internetowych i ewentualnie zmianę, jeśli inny dostawca usług internetowych może zaoferować lepszą ofertę.
Upewnij się, że wykonałeś test, co się stanie, jeśli router zażąda delegowania / 48, / 52, / 56 lub / 60 przez DHCPv6 w sieci WAN. Testowałbym wszystkie cztery długości prefiksów na wypadek, gdyby serwer DHCPv6 z jakiegoś powodu podał tylko określoną długość prefiksu i ignoruje żądania innych prefiksów.
Wykorzystaj to, co najlepsze
Biorąc pod uwagę, że prawdopodobnie będziesz musiał żyć z niektórymi hackami idącymi naprzód, musisz zadać sobie pytanie, co jest do bani mniej IPv4 z hackami lub IPv6 z hackami.
Istnieje kilka hacków, których możesz użyć, aby rozciągnąć jeden / 64 na wiele hostów.
Przekształcanie prefiksu łącza w routowany prefiks
Jeśli posiadasz pojedynczy / 64 na łączu WAN, ale nie masz przedrostka kierowanego do twojej sieci LAN, możesz zmienić ten / 64 w routowany przedrostek, wykonując kilka kroków. Skonfiguruj interfejs WAN na routerze jako / 126 zamiast a / 64. Zainstaluj sąsiadującego demona reklamowego (takiego jak ndppd) na routerze, aby zareklamować własny adres MAC dla każdego adresu w / 64, z wyjątkiem 4 adresów w / 126. W tych dwóch krokach będziesz mieć trasę / 64, z której możesz korzystać w swojej sieci LAN, z wyjątkiem 4 adresów używanych dla łącza WAN.
Zmodyfikowana wersja tego hacka może udostępniać link / 64 na wielu routerach. Prefiks łącza będzie wtedy musiał być nieco krótszy niż / 126, aby pomieścić adres IP każdego routera, a / 120 będzie wystarczająco krótki, aby pozwolić na maksymalnie 254 routery.
Każdy router oczywiście otrzyma tylko prefiks, który będzie dłuższy niż / 64. Zalecam utworzenie prefiksu dla każdego routera tak długo, jak to możliwe, przy jednoczesnym zachowaniu wystarczającej liczby adresów IP dla sieci LAN na tym routerze. Odpowiednie byłyby A / 112 lub / 120 dla każdego routera. Każdy router odpowiada własnym adresem MAC na wykrycie przez sąsiada czegokolwiek w prefiksie tego routera.
W tym wariancie każdy router będzie miał identyczne prefiksy skonfigurowane po swojej stronie WAN i będzie odpowiadał na żądania odnajdywania sąsiadów dla prefiksu przypisanego do ich strony LAN. Oczywiście żaden z prefiksów LAN nie może się nakładać i żaden z nich nie może nakładać się na prefiks skonfigurowany po stronie WAN.
Jeśli więc router ISP działający jako twoja brama ma adres 2001: db8 :: 1/64, możesz użyć 2001: db8 :: / 120 jako swojej sieci WAN i możesz przypisać 2001: db8 :: 1: 0/112 do pierwszy router, 2001: db8 :: 2: 0/112 do drugiego routera itp.
W sieci LAN możesz rozciągnąć A / 64 na wiele hostów albo przez podsieci lub mostkowanie. Będziesz musiał ustalić, który z dwóch działa najlepiej dla Ciebie.
Subnetting
Jeśli podsieci / 64, równie dobrze można przejść do najdłuższych prefiksów, które wciąż mają wystarczającą liczbę adresów dla potrzebnych hostów. Nie podsieć do prefiksów / 80, a raczej z / 116, / 120 lub / 124 na podsieć. Rzeczy, które się psują, jeśli nie używasz / 64, raczej nie będą obchodzić, a przechodząc z / 116 lub dłużej, zmniejszysz wpływ niektórych ataków DoS wykrywania sąsiadów (jeśli są obecne w którymkolwiek z twoich systemów).
W takiej konfiguracji podsieci złamiesz SLAAC, więc potrzebujesz serwera DHCPv6, aby odpowiadać na każdym segmencie i statycznych adresów IPv6 skonfigurowanych na wszystkich urządzeniach bez obsługi DHCPv6.
Bridging
Bridging to druga alternatywa. Zasadniczo oznacza to, że nie podsieci, ale uruchomić całą sieć LAN jako pojedynczy segment IPv6 z prefiksem / 64. (W razie potrzeby, ten / 64 może obejmować zarówno LAN, jak i WAN.)
Protokół IPv6 został zaprojektowany w taki sposób, aby mosty mogły rozpoznać, do której z mostkowanych sieci należy przekierować każdy adres anycast. W ten sposób unikasz konieczności rozgłaszania pakietów przez każde fizyczne łącze w twojej sieci LAN.
Mosty mogą również stosować zapory ogniowe i ochronę przed fałszowaniem wykrywania sąsiadów w sieci LAN.
Mając wystarczającą inteligencję na mostach, w zasadzie nie ma limitu liczby przełączników, które można zmostkować pojedynczy / 64 w poprzek.
źródło
/64
podsieci i co popełniłem błąd, gdy jej nie używam.Tak, naciskanie na dostawcę usług internetowych, aby nie ssał, jest preferowaną opcją. Zasady alokacji RIR zakładają, że ISP daje każdemu klientowi a / 48; jest absolutnie zerowy powód, dla którego ISP tego nie robi.
IPv6 nie jest fanem mniejszych podsieci, jednak jedyne, co powinno się zepsuć, o czym jestem świadomy, to SLAAC. Będziesz mieć problemy z błędami i założeniami w niektórych stosach IPv6, które po prostu na ślepo zakładają „/ 64 == podsieć”, ale to jest błąd, a nie funkcja, i możesz pobić sprzedawcę, aby to naprawić. Z drugiej strony, czy zostanie to naprawione, zanim Twój dostawca dostarczy Ci / 48 ...
źródło