Quais são os tamanhos comuns para dividir uma sub-rede IPv6 / 29 - / 32?

8

Como LIR, você está recebendo uma alocação de rede de / 29 a / 32 pelo RIPE, mas estou um pouco impressionado com o tamanho dessa sub-rede e não encontro um ponto de partida para dividir isso em tamanhos comuns.

O que precisamos resolver com esta sub-rede:

estações de trabalho de escritório Atualmente, temos dois escritórios (ainda) em um país.

material de IoT para escritório câmeras, telefones, TVs, outras coisas

servidores de escritório local Apenas vários hosts e rotas / switches de VM

data centers Atualmente, temos servidores em um datacenter. Lá, estamos hospedando vários serviços diferentes:

  • aplicativos SaaS compartilhados
  • servidores dedicados para clientes individuais
  • hospedagem compartilhada
  • serviço interno
  • um monte de rotas

Meu problema é que eu não tenho idéia de quão grandes sub-redes devo atribuir a:

  • host individual
  • grupo de serviços (como estações de trabalho ou todos os hosts de produtos específicos)
  • localização
  • município
Maximilian Ruta
fonte
Não há informações suficientes aqui. Quantos usuários? Você os segmenta por função / localização / etc? Mesmo para servidores? Quantos? Você segmenta aplicativos como finanças de outras pessoas?
Ron Trunk
Gostaríamos de segmentar aplicativos (como você disse sobre financiamento ou até mesmo coisas relacionadas a trocas e pontos de compartilhamento hospedados). Em geral, também gostaríamos de segmentar por locais (data center e escritórios). Não há muitos usuários e servidor ainda em cada local (<100)
Maximilian Ruta
ipv6forum.com/dl/presentations/IPv6-addressing-plan-howto.pdf é uma boa leitura, tem muitas dicas sobre como criar um plano de endereçamento IPv6.
Teun Vink
Sub-rede IPv6 - visão geral e estudo de caso ~ 100.000 visualizações no Cisco.com. Considere escrever seus acrônimos (LIR, RIPE).
perfil completo de Ronnie Royston

Respostas:

18

Algumas diretrizes simples que funcionam na maioria das vezes:

Dividindo sua / 29

  • O tamanho padrão da sua alocação do RIPE NCC é de / 32
  • A / 32 é um tamanho de prefixo bem aceito na tabela de roteamento global
  • Você pode obter um / 29 apenas pedindo
  • Conclusão : Obtenha um / 29 e comece a usar o / 32, salve os outros / 32s para quando implantar em outros países, continentes etc.

Determinando o tamanho do prefixo por site

  • O RIPE permite atribuir até um / 48 por site sem precisar explicar nada. Ao atribuir um prefixo mais curto (/ 47, / 46 etc), você terá que explicar por que precisa de mais do que um / 48.
  • A / 32 contém 65.536 / 48s.
  • Portanto, não é necessário fornecer ao site nada menor que um / 48 (/ 49, / 50 etc).
  • Conclusão : / 48 por site

Determinando o tamanho do prefixo da LAN

  • Os padrões dizem usar um / 64.
  • Portanto, em seu plano de endereçamento, sempre alinhe os / 64s
  • A configuração de um / 127 em links ponto a ponto é comum e pode protegê-lo contra estouros de cache, usar x:y:z::aem uma extremidade e x:y:z::bna outra extremidade para facilitar a leitura.
  • Reserve um / 64 para endereços de loopback do roteador, serviços anycasted etc. Geralmente, escolho o primeiro / 64 do / 48 para isso, para que os endereços sejam agradáveis ​​e curtos de serem escritos com ::notação. Configure / 128 endereços deste / 64 em interfaces de loopback etc.
  • Nem pense em não usar um / 64 em uma LAN ou VLAN, as coisas vão quebrar. Se não hoje, então provavelmente no futuro.
  • Não altere sua arquitetura de LAN / VLAN ainda, apenas atribua / 64s a cada LAN / VLAN existente.

Os bits restantes

  • Ainda há escolhas a serem feitas:
    • Como usar os bits no nível do país entre a / 32 e a / 48?
    • Como usar os bits em um site entre a / 48 e a / 64?
  • Nos dois lugares, você pode simplesmente usar números aleatórios entre 0000e ffff, mas isso criaria uma confusão difícil de entender e lembrar; faça algo útil com esses bits!
    • Sempre divida em múltiplos de 4 bits (mordidelas) para que a estrutura do seu plano de endereçamento corresponda à notação hexadecimal de endereços IPv6 (cada caractere em um endereço IPv6 representa 4 bits)
    • O uso desses bits depende da sua organização. Você pode dividir o nível do país / 32 em / 36 blocos e usar a / 36 por província. Ou você usa um / 40 para alguma estrutura importante para sua arquitetura organizacional ou de infraestrutura. Ou ambos.
    • O mesmo para o / 48:
      • Talvez você queira atribuir um / 52 a cada prédio no local e / 56 a cada andar de cada prédio. Isso funciona bem com a agregação de prefixo nos seus protocolos de roteamento.
      • Ou talvez você queira atribuir um / 52 ou / 56 a cada zona de segurança em sua arquitetura de segurança. Isso facilita muito a manutenção de políticas e regras de firewall!
    • Tudo o que você escolhe fazer: mantenha um equilíbrio. Não comece a atribuir de 0 a ffff sequencialmente, sem pensar em como organizar esses números, mas também não exagere. Se você deseja colocar muita informação nos prefixos (construção + andar + zona de segurança + função do servidor + qual a marca do servidor + etc etc), seu plano de endereçamento se torna impossível de trabalhar.
  • Plug: Eu escrevi um artigo sobre isso para a SURFnet há alguns anos. O RIPE NCC traduziu para o inglês: https://www.ripe.net/support/training/material/IPv6-for-LIRs-Training-Course/Preparing-an-IPv6-Addressing-Plan.pdf
Sander Steffann
fonte
4

A boa notícia é que há um tamanho padrão de rede IPv6: /64. Você pode usar outros tamanhos, mas existem alguns recursos do IPv6 que podem ser interrompidos se você usar tamanhos de rede diferentes /64.

A recomendação é atribuir uma /48rede, ou mais curta, a um site e sub-rede em /64redes para cada rede, mesmo se você tiver muito poucos dispositivos em uma rede. Cada /48rede pode ter 65.536 /64redes. Além disso, os ISPs não anunciarão nenhum prefixo maior que /48.

Você deve usar /128redes para coisas como endereços de loopback e /127redes para links ponto a ponto. Uma prática recomendada é não usar nenhuma outra parte da /64rede da qual você usa uma /127ou /128rede. Como existem muitos endereços, saia da mentalidade de " Eu devo conservar endereços " do IPv4 .

Em qualquer site, você pode usar a delegação de prefixo IPv6 para atribuir redes a interfaces.

Na verdade, existem RFCs sobre coisas assim. Por exemplo, RFC 6177, atribuição de endereços IPv6 para sites finais e RFC 7421, análise do limite de 64 bits no endereçamento IPv6 .

Ron Maupin
fonte
Então você quer dizer que devemos atribuir / 48 a um escritório, por exemplo, e redes individuais / 64 para telefones, estações de trabalho etc. Mas o que, por exemplo, é o data center? Ter um / 48 aqui para o data center e / 64 para grupos de serviços como servidores da web, servidores de banco de dados etc.?
Maximilian Ruta
Você deve usar uma /48rede para cada site e cada VLAN (rede) em um site deve usar uma /64rede. Isso deve funcionar com tudo, e você não precisará contornar ou fazer concessões para os recursos IPv6 que são interrompidos quando não estão sendo usados /64em uma rede. Você pode usar apenas algumas /64redes dentre as 65.536 /64redes possíveis em um site, assim como usará apenas relativamente poucos endereços IP dos 18.446.744.073.709.551.616 endereços possíveis em uma /64rede.
Ron Maupin