Quali sono le dimensioni comuni per dividere una sottorete IPv6 / 29 - / 32?

9

Come LIR, stai ricevendo un'allocazione di rete da / 29 a / 32 da parte del RIPE, ma sono un po 'sopraffatto dalle dimensioni di questa sottorete e non trovo un punto di partenza per dividerlo in dimensioni comuni.

Cosa dobbiamo affrontare con questa sottorete:

postazioni di lavoro in ufficio Attualmente abbiamo due uffici in (ancora) un paese.

roba per ufficio IoT telecamere, telefoni, tv, altre cose

server dell'ufficio locale Solo un mucchio di host e route / switch di macchine virtuali

data center Attualmente abbiamo server in un data center. Lì stiamo ospitando diversi servizi:

  • applicazioni SaaS condivise
  • server dedicati per singoli clienti
  • web hosting condiviso
  • servizio interno
  • un mucchio di percorsi

Il mio problema è che non ho idea di quanto grandi sottoreti dovrei assegnare a:

  • host individuale
  • gruppo di servizi (come, workstation o tutti gli host di prodotti specifici)
  • Posizione
  • contea
subnet  ipv6  ip-address 
Maximilian Ruta
fonte
Non ci sono abbastanza informazioni qui. Quanti utenti? Li segmentate per funzione / posizione / ecc? Lo stesso vale per i server? Quanti? Segmentate applicazioni come la finanza da altri?
Ron Trunk,
Vorremmo segmentare le applicazioni (come hai detto tu finanziando o anche ospitato roba relativa a scambi e sharepoint). In generale vorremmo anche fare una segmentazione per posizione (data center e uffici). Non ci sono ancora molti utenti e server in ogni posizione (<100)
Maximilian Ruta,
ipv6forum.com/dl/presentations/IPv6-addressing-plan-howto.pdf è una buona lettura, ha molti suggerimenti su come creare un piano di indirizzamento IPv6.
Teun Vink
Sottorete IPv6 - Panoramica e case study ~ 100.000 visualizzazioni su Cisco.com. Valuta di sillabare i tuoi acronimi (LIR, RIPE).
Ronnie Royston il

Risposte:

19

Alcune semplici linee guida che funzionano il più delle volte:

Dividendo il tuo / 29

  • La dimensione standard della tua allocazione da RIPE NCC è a / 32
  • A / 32 è una dimensione del prefisso ben accettata nella tabella di routing globale
  • È possibile ottenere un / 29 solo chiedendolo
  • Conclusione : prendi a / 29 e inizia a usare a / 32, salva gli altri / 32 per quando dispieghi in altri paesi, continenti ecc.

Determinazione della dimensione del prefisso per sito

  • RIPE ti consente di assegnare fino a un / 48 per sito senza dover spiegare nulla. Quando assegni un prefisso più corto (/ 47, / 46 ecc.) Dovrai spiegare perché hai bisogno di più di un / 48.
  • A / 32 contiene 65.536 / 48s.
  • Quindi non c'è bisogno di dare a un sito qualcosa di più piccolo di un / 48 (/ 49, / 50 ecc.).
  • Conclusione : / 48 per sito

Determinazione della dimensione del prefisso LAN

  • Gli standard dicono di usare un / 64.
  • Quindi nel tuo piano di indirizzamento allinea sempre su / 64s
  • La configurazione di un / 127 su collegamenti punto-punto è comune e può proteggerti dagli overflow della cache, utilizzare x:y:z::ada un lato e x:y:z::bdall'altro per leggibilità.
  • Riservare un / 64 per gli indirizzi di loopback del router, i servizi anycasted ecc. Di solito scelgo il primo / 64 dal / 48 per questo, quindi gli indirizzi sono belli e brevi da scrivere con ::notazione. Configurare / 128 indirizzi da questo / 64 su interfacce loopback ecc.
  • Non pensare nemmeno di non utilizzare un / 64 su una LAN o VLAN, le cose si romperanno. Se non oggi, molto probabilmente in futuro.
  • Non modificare ancora l'architettura LAN / VLAN, basta assegnare / 64s a ciascuna LAN / VLAN esistente.

I bit rimanenti

  • Ci sono ancora scelte da fare:
    • Come usare i bit a livello di paese tra a / 32 e a / 48?
    • Come usare i bit in un sito tra a / 48 e a / 64?
  • In entrambi i posti potresti semplicemente usare numeri casuali tra 0000e ffff, ma ciò creerebbe un pasticcio che è difficile da capire e ricordare, quindi fai qualcosa di utile con quei bit!
    • Dividi sempre a multipli di 4 bit (nibble) in modo che la struttura del tuo piano di indirizzamento corrisponda alla notazione esadecimale degli indirizzi IPv6 (ogni carattere in un indirizzo IPv6 rappresenta 4 bit)
    • Per cosa utilizzare questi bit dipende dalla tua organizzazione. È possibile dividere i blocchi / 32 a livello di paese in / 36 blocchi e utilizzare un / 36 per provincia. Oppure usi un / 40 per alcune strutture che sono importanti per la tua architettura organizzativa o infrastrutturale. O entrambi.
    • Lo stesso per / 48:
      • Forse vuoi dare un / 52 a ogni edificio sul sito e dare un / 56 a ogni piano in ogni edificio. Funziona bene con l'aggregazione dei prefissi nei protocolli di routing.
      • O forse vuoi assegnare un / 52 o / 56 a ciascuna zona di sicurezza nella tua architettura di sicurezza. Ciò rende molto più semplice il mantenimento delle politiche e delle regole del firewall!
    • Qualunque cosa tu scelga di fare: mantieni un equilibrio. Non solo iniziare a assegnare da 0 a ffff in sequenza senza pensare a come organizzare quei numeri, ma non progettare troppo. Se vuoi inserire troppe informazioni nei prefissi (edificio + piano + zona di sicurezza + funzione del server + che marca di server è + ecc ecc.) Allora il tuo piano di indirizzamento diventa impossibile da lavorare.
  • Plug: Ho scritto un articolo su questo per SURFnet un paio di anni fa. RIPE NCC lo ha tradotto in inglese: https://www.ripe.net/support/training/material/IPv6-for-LIRs-Training-Course/Preparing-an-IPv6-Addressing-Plan.pdf
Sander Steffann
fonte
4

La notizia buona è che c'è un formato standard di rete IPv6: /64. È possibile utilizzare altre dimensioni, ma alcune funzionalità di IPv6 possono essere interrotte se si utilizzano dimensioni di rete diverse da /64.

La raccomandazione è di assegnare una rete /48, o più corta, a un sito e sottorete in /64reti per ciascuna rete, anche se si dispone di pochissimi dispositivi su una rete. Ogni /48rete può avere 65.536 /64reti. Inoltre, gli ISP non pubblicizzeranno alcun prefisso più lungo di /48.

Dovresti usare le /128reti per cose come gli indirizzi di loopback e le /127reti per i collegamenti punto-punto. Una best practice è quella di non utilizzare qualsiasi altra parte della /64rete da cui si utilizza una /127o una /128rete. Ci sono molti indirizzi, quindi esci dalla mentalità IPv4 " Devo conservare gli indirizzi ".

In qualsiasi sito, è possibile utilizzare la delega del prefisso IPv6 per assegnare le reti alle interfacce.

In realtà ci sono RFC su cose come questa. Ad esempio, RFC 6177, Assegnazione indirizzo IPv6 ai siti finali e RFC 7421, Analisi del limite a 64 bit nell'indirizzamento IPv6 .

Ron Maupin
fonte
Quindi vuoi dire che dovremmo assegnare / 48 a un ufficio per esempio e singole / 64 reti per telefoni, postazioni di lavoro ecc. Ma quale è ad esempio il data center? Avere uno / 48 qui per il data center e quindi / 64 per gruppi di servizi come server web, server di database ecc.?
Maximilian Ruta,
È necessario utilizzare una /48rete per ciascun sito e ogni VLAN (rete) in un sito dovrebbe utilizzare una /64rete. Questo dovrebbe funzionare con tutto e non sarà necessario aggirare o fare concessioni per le funzionalità IPv6 che si interrompono quando non vengono utilizzate /64per una rete. Puoi utilizzare solo poche /64reti tra le possibili 65.536 /64reti in un sito, così come utilizzerai solo relativamente pochi indirizzi IP dei possibili 18.446.744.073.709.551.616 indirizzi su una /64rete.
Ron Maupin
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.