是否有关于IPv6地址空间布局的最佳实践指南或案例研究?
#1 楼
我们用于部署的布局是:/每个客户48个/每个客户站点/ 56个(作为另一个/ 48的子网)
对于核心中的所有点对点链接,/ 126是/ 48,用于所有核心链接的所有子网。
这些大小主要来自此处的RIPE咨询。
评论
虽然那只能归结到一个站点。内部LAN,楼层,建筑物,服务,语音LAN,将VLAN编码为网络地址的惯例等如何?
–不
13年5月8日在13:07
然后,对于每个VLAN /楼层/建筑物,我都使用/ 64(或者您的分配有效)。
–大卫·罗瑟拉(David Rothera)
13年5月8日在13:45
ARIN(对我来说是RIR的建议)是否有任何建议/建议?
–克雷格·康斯坦丁(Craig Constantine)
13年5月8日在14:23
我认为您已经有了一些监控垃圾邮件发送者滥用行为的手段,这些垃圾邮件发送者喜欢通过分配的IP进行刻录?
–frogstarr78
13年5月8日在16:38
mature.net/lir-services/training/material/…读得不错(感谢Marco Hogewoning向我指出了这一点)。
–安德鲁Y
13年5月23日在14:58
#2 楼
过去的建议是即使在P2P链接上也要在所有位置都使用/ 64,并为每个站点分配一个/ 48。 ,(请参阅RFC6164),因此,最佳做法是现在使用/ 127进行P2P链接,使用/ 128进行环回。如果要使用SLAAC,面对客户的接口应该为/ 64。如果您不打算使用它,则可以使用另一个遮罩。帐户)
http://www.cisco.com/web/strategy/docs/gov/IPv6_WP.pdfhttp://tools.ietf.org/html/rfc5375.htmlhttp://tools.ietf.org/ html / rfc6177
有些人接受当前的v4分配并将第二个和第三个八位字节转换为十六进制,并将其用于v6。这样做的方式很多,因此您必须选择最合适的方式。
评论
我认为,任何基于现有IPv4寻址方案的IPv6寻址方案都应受到严格审查。这是摆脱过去的束缚的机会,而不是为了忠实地再现它们的琐事。
–neirbowj
13年5月23日在14:08
我的理解是,建议创建的最小子网(不包括P2P链接)是/ 64。如果我是家庭客户,并且想要在我的LAN上有多个子网而不使用NAT6,则我希望的不是/ 64。作为对在家里拥有IPv6感兴趣的人,以及作为一个知道/ 64的数量达到四千万次的人,我至少希望/ 60。
–路加没有名字
13年5月23日在23:44
#3 楼
使用IPv6,您不再需要担心为给定数量的主机分配空间。所有子网(P2P链接除外)都应分配为/ 64,这样会使您的主机地址数目可笑。这使您可以专注于其他主题,例如良好的网络布局和设计。 (/ 48将为您提供65,536 / 64网络)(当然)对此有好几种流派。如果您已经对IPv4设计非常满意,那么做一个可以反映事物的IPv6覆盖可能是一个不错的选择,并且可以简化所有人的过渡。
2001:0DB8:1:1 :: / 64-> 10.1.1.0 / 24
2001:0DB8:1:2 :: / 64-> 10.1.2.0 / 24
...
2001:0DB8: 1:254 :: / 64-> 10.1.254.0 / 24
尝试使用一些IPv6计算器来帮助您解决所有这些问题。这是一个示例:GestioIP在线IPv4 / v6计算器
这对我来说是最难的事情-不用担心为主机分配空间!规划网络-专注于第3层边界的位置,提供的服务,设备的物理位置等。要拥有纯IPv6网络可能还需要数年,但您将开始为良好的网络设计奠定基础现在。
#4 楼
根据我一年前进行的RIPE IPv6培训课程,对早期响应的准确性有些微。基本上,他们的建议是着重于聚合,而不是保留地址空间。即是的:即使您只有很少的子网,也不必担心为存在点保留大量IP。这里(现在)。但是,您应该将每个“生存”的子网聚合在一个更大的前缀下。
他们主要关心的是,既然我们拥有大量IP,那么如果每个人都宣布带有细粒度的前缀,DFZ路由表的大小可能会爆炸。
这里是演示文稿中使用的培训材料。特别是第一个“培训练习” PDF给出了一些编址计划的示例。
#5 楼
自己在使用以下布局(数据中心pov)托管客户:一台/ 48。
专用服务器:默认情况下每台服务器一台/ 64。
P2P链接(bgp链接网等):/ 126
对于IPv4->将IPv6过渡到托管VLAN的双堆栈环境,我将ipv4子网与ipv6子网匹配足够大,每个IPV4地址都包含一个/ 64。
例如:
包含一个/ 24 IPV4(256 IP)的VLAN,我用/进行匹配56个ipv6(256个唯一的/ 64子网)
包含一个/ 23 ipv4(512个ip)的VLAN,我将其与一个/ 55 ipv6(512个唯一的/ 64子网)匹配。
#6 楼
SURFnet编写了一份不错的IPv6网络计划手册,该手册可能很有用评论
现在该链接已失效;这也是一个很浅的答案。也许您可以包括原始资料中的一些亮点?
– Ryan Foley
14年2月14日在21:51
我用RIPE(赞助翻译)托管的链接替换了该链接。由于该文档解决了许多不同的情况,因此很难给出一份不错的文档摘要,但是它基本上与此处提到的其他内容相对应。这是一个很好的文档,可帮助您做出有关如何选择地址的决定。
– Teun Vink♦
14年2月14日在22:01
该问题询问总体上是否存在最佳实践,而没有任何具体询问。这个答案简洁地满足了这个问题。已投票。
– StockB
16年4月25日在18:01
如何在Android上查看此答案?哪个应用程序可以处理该文件?
– Ferrybig
18年6月1日在15:29
#7 楼
当您看到可用的巨大地址空间时,这有点令人生畏,但实际上,这并不难处理。假设您分配了/ 48。这样一来,您就可以使用65K / 64s的设备,每个设备都可以容纳很多地址。同样,在65K中的舍入错误使您在其他用途上的其他/ <64松弛了。
就我个人而言,我从/ 48每个VLAN取消了/ 64子网。我为每个VLAN将路由器地址设置为:: 1。我将:: xxxx用于DNS(其中xxxx是重复的数字),而对于其他一些服务则类似。更容易记住。
每个框都为SLAAC分配了一个地址,建议所有主机也都设置一个临时地址。这样,我们可以找到一个使用SLAAC地址的系统,但是该系统在Internet上保留了一些隐私-否则,但我们通常使用Web代理-啊,但这也有一个临时地址!尽管如此,IPv4的普遍存在使所有这些问题成为现实。
如果您有多个站点,则将/ 48分成较小的位,但大于/ 64的位-足以覆盖所有可能的情况。
坦率地说,假设您确实有一个/ 48(我家有一个/ 48,所以我毫不怀疑),那么您应该有足够的空间来存放路由表。涵盖大多数情况和方案。
现在,如果您的设置更大,例如跨国公司和多站点,那么我建议您调查PI,然后按国家/站点/ VLAN或国家/地区将其分解/ site / building / VLAN或其他任何内容。除了最大的设置,您仍然可以在/ 48中获得大量地址。
#8 楼
某些网络设备体系结构假定您的大多数前缀都是/ 64。在Ivan Pepelnjak的博客中查看此列以获取更多信息。#9 楼
在路由聚合方面,最大的担忧可能是确定瓶颈所在。基本参数可能是:每个子网必须是/ 64(由IPv6决定),并且您要使用/ 60,/ 56或/ 48。说,/ 48可以为您提供64k子网,但是如果您只是随机分配它们,仍然很容易将自己描绘成一个角落。假设您有1000个商店位置,并从一开始就给每个位置一个/ 64。然后您发现第43个存储区需要第二个子网-也就是说,要么对该网络重新编号,要么给存储区两个无法聚合的单独子网。
在IPv4世界中,如果使用10.xxx网络并将其子网划分为/ 24s,则还将获得64k子网。在这种情况下使用的一些实践可能会很好地翻译。
我工作的一家公司内部使用10.x.x.x表示大约有150个分支机构(每个位置有100-500台计算机)。第二个字节是分支号,它们的子网使用/ 22而不是/ 24。因此,每个分支机构最多可以有64个子网,对它们来说很好用。
评论
是的,最佳做法是每个站点的掩码长度都为/ 56或更短。另外,建议在分配对象时不要将半字节分开(分配的每个掩码长度应被4整除)。运营商的广告前缀不会超过/ 48,因此,如果要单独发布各个站点,则每个运营商都需要/ 48。
–罗恩·莫潘♦
2015年11月8日在5:34
最佳实践(与大多数最佳实践一样)通常是一个好主意,但可能并不总是合适的。例如,如果您是星巴克或麦当劳,则可能没有足够的/ 56来存储所有商店。这实际上就是为什么各个国家的军事机构甚至连锁书店等组织都希望使用/ 29或更短的前缀的原因。
–凯文·基恩(Kevin Keane)
2015年11月8日下午6:21
我公司的口罩长度短得多。您可以轻松地缩短掩码长度,以便为每个站点分配一个/ 56(或更短的长度)。我的意思是,如果要在Internet上发布前缀,则需要/ 48或更短的掩码长度。获得/ 32或/ 24,如果您需要的话,这并不难。
–罗恩·莫潘♦
2015年11月8日在6:29
#10 楼
IPv6地址空间布局最佳实践
我对IPv4地址空间分配感到满意。我的意思是:给定要计划的服务或要组织的网络,我对如何计划IP地址空间使用情况有很好的了解。 (或者至少我想是这样的。:)
是否有关于IPv6地址空间布局的最佳实践指南或案例研究?
超级简短的答案:从/ 56开始,尝试预测未来几年将使用的内容,并相应地上下调整。请求单个地址的人仍应分配一些地址以供将来扩展,避免分配碎片很重要,这比轻微的过度分配更为重要。
更长的答案:
互联网工程任务组(IETF)-最新最佳实践:
RFC 6177和BCP 157-“将IPv6地址分配给最终站点”阐明了一种/ 48的-fits-all推荐对于广泛的终端站点没有足够的细微差别,因此不再推荐作为单个默认值。
1.简介-有许多因素会影响地址分配策略。例如,为了提供公共路由基础结构的长期运行状况和可伸缩性,重要的是要很好地解决聚合问题[ROUTE-SCALING]。同样,释放过多的地址空间可能导致地址空间过早耗尽。本文着重于(较狭窄的)问题,即最终站点的合适IPv6地址分配大小是多少。也就是说,当最终站点从ISP请求IPv6地址空间时,合适的分配大小是什么。
...
本文关注于(更狭窄的)问题终端站点的合适IPv6地址分配大小是多少?也就是说,当最终站点从ISP请求IPv6地址空间时,合适的分配大小是什么。
...
本文档未对确切的作业规模提出正式建议。分配最终站点的地址空间的确切选择对于操作社区来说是一个问题。在这种情况下,IETF的作用仅限于提供有关IPv6体系结构和操作注意事项的指南。本文档提供了有关这些讨论的投入。
...
2.关于/ 48分配给最终站点-回顾/ 48建议背后的一些原始动机。 [RFC3177],有三个主要问题。首要动机是确保终端站点可以轻松获得足够的地址空间,而不必“跳进圈”。例如,如果有人觉得他们需要更多空间,那么从某种程度上来说,提出问题的理由就足够了。
作为比较点,在IPv4中,典型的家庭用户被分配了一个公共IP地址。 (尽管即使这样也不总是可以保证的),但是获得一个以上的地址通常是困难的,甚至是不可能的-除非人们愿意为(通常)被认为是“较高等级”的费用支付(显着)增加的费用。服务。 (应注意,通常无法通过RIR收取的实际每地址费用来证明增加ISP费用以获得少量附加地址的费用是合理的,但是附加地址通常仅作为不同类型或“更高等级的服务”,要收取额外费用。这里的意思是,额外费用不是由于RIR费用结构,而是由于ISP做出的业务选择。)
一个重要的目标在IPv6中,它将大大改变默认的和最小的终端站点分配,从“单个地址”更改为“多个网络”,并确保终端站点可以轻松获得地址空间。
...
政策的更改(例如上述更改)将对地址消耗预测和IPv6的预期寿命产生重大影响。例如,将默认分配从/ 48更改为/ 56(对于大多数终端站点,例如,本地站点)将节省多达8位,从而将“预计的总地址消耗”减少了(至8位或两个数量级。 (确切的节省量取决于家庭用户与大型站点的数量之比。)
...
3.其他RFC 3177注意事项-。 ..鉴于IPv6中有大量地址空间,因此有足够的空间来授予终端站点足够的空间,以与多年期合理的增长预期相一致。因此,仍然非常需要为终端站点提供足够的空间(在初始分配和后续分配中)以持续几年。幸运的是,可以通过多种方式实现此目标,并且不需要所有终端站点都具有相同的默认大小分配。”。
RFC 7608和BCP 198 -“用于转发的IPv6前缀长度建议”
摘要-IPv6前缀长度(如IPv4中一样)是根据无类互操作在IPv6路由和转发过程中传达和使用的参数。域路由(CIDR)体系结构,尽管使用无状态地址自动配置(SLAAC)进行地址分配的子网通常使用/ 64前缀,但是IPv6前缀的长度可以是从零到128的任何数字。因此,没有对前缀长度施加任何规则,但对任何有效长度的前缀实施了“最长匹配优先”。
RFC 7934和BCP 204-“主机地址可用性建议”建议网络在连接时向通用终端主机提供多个全局IPv6地址,并描述这样做的好处和选择。
简介-“与IPv4不同,IPv6网络不会因为地址稀缺而被迫为每个主机仅提供一个地址。...此外,提供多个地址具有许多好处,包括应用程序功能灵活性,灵活性,灵活性和灵活性以适应未来的应用程序。另一个显着的好处是无需使用网络地址转换(NAT)即可提供Internet访问的能力。每个主机仅提供一个IPv6地址就可以抵消这些好处。 /> 2.通用IPv6部署模型-IPv6旨在支持每个接口多个地址,包括多个全局地址(请参阅[RFC4291]的2.1节和[RFC6434]的5.9.4节)。主机为每个接口配置三个或更多地址:链接本地地址,稳定地址(例如,使用64位扩展的唯一标识符(EUI-64)或不透明的接口标识符[RFC7217]),一个或多个隐私地址[ RFC4941 ],以及使用IPv6动态主机配置协议(DHCPv6)[RFC3315]获得的一个或多个临时或非临时地址。
在大多数通用IPv6网络中,主机可以从链接前缀配置其他IPv6地址,而无需对网络进行明确请求。除了使用无状态地址自动配置(SLAAC)[RFC4862]的以太网和Wi-Fi网络之外,此类网络还包括所有3GPP网络([RFC6459],第5.2节)。“。
< br RFC 4862-“ IPv6无状态地址自动配置”说明:
3.设计目标
设计无状态自动配置时要牢记以下目标:o不需要在将单个计算机连接到网络之前对其进行手动配置。地址自动配置假定每个接口可以为该接口提供唯一的标识符(即“接口标识符”)。 ...
由连接到单个链接的一组计算机组成的小型站点不应要求将DHCPv6服务器或路由器作为通信的先决条件。即插即用通信是通过使用本地链接地址来实现的。链接本地地址具有一个众所周知的前缀,用于标识一组节点连接到的(单个)共享链接。主机通过将接口标识符附加到本地链接前缀来形成本地链接地址。
具有多个网络和路由器的大型站点不应要求使用DHCPv6服务器进行地址配置。为了生成全局地址,主机必须确定标识它们所连接的子网的前缀。路由器生成定期的路由器广告,其中包括列出链接上活动前缀集的选项。
地址配置应有助于对站点的计算机进行适当的重新编号。例如,站点切换到新的网络服务提供商时,可能希望为其所有节点重新编号。通过向接口租赁地址并将多个地址分配给同一接口来实现重新编号。租用期限可以提供一种机制,使站点逐步淘汰旧的前缀。将多个地址分配给一个接口提供了一个过渡期,在此期间,一个新地址和一个被逐步淘汰的地址同时工作。
安全注意事项:
OPSEC-“ IPv6网络的操作安全注意事项-草案-ietf-opsec-v6-12“:
通用安全注意事项
2.1。寻址体系结构
IPv6地址分配和总体体系结构是保护IPv6的重要组成部分。最初的设计,即使打算是临时的,其持续时间也比预期的要长得多。尽管最初认为IPv6使重新编号变得容易,但在实践中,如果没有良好的IP地址管理(IPAM)系统进行重新编号可能会非常困难。对整体地址分配计划有所考虑。有了足够的地址空间,就可以围绕服务以及地理位置来构造地址分配,然后可以将其作为更结构化的安全策略的基础,以允许或拒绝地理区域之间的服务。
常见的问题是公司是否应该使用PI与PA空间RFC7381],但是从安全性的角度来看并没有什么区别。但是,要记住的一个方面是谁拥有地址空间的管理所有权,以及谁/当由于恶意犯罪活动而需要对空间的可路由性实施限制时,谁负责技术。使用PA空间会使组织面临整个网络的重新编号,包括安全策略(基于ACL),审计系统,……简而言之,这是一项复杂的任务,如果对大型网络进行自动化操作可能会导致一定的安全风险;因此,对于大型网络,应该首选PI空间。
其他参考文献:
ARIN-“建议的政策草案ARIN-2015-1 :修改IPv6初始最终用户分配标准”。
ARIN-“起草政策ARIN-2011-3:为ISP提供更好的IPv6分配”。
所有ARIN政策。
IANA-主页-协议注册表-IANA管理的保留域。
IETF-“对IPv6主机密度指标的考虑-draft-huston-hd-metric-00.txt”。
所有IETF BCP。 (存档)。
Wikipedia的最新最佳实践(当前尚未更新)。
APNIC-“ IPv6最佳当前实践”。白皮书:“用于IPv6网络中近期SMTP部署的BCP”。
NSRC.org-“入口和出口过滤实验室-校园网络设计和运营研讨会”。
RIPE -“ IPv6地址分配和分配策略”(除其他事项外)说:“ IPv6地址空间的最小分配大小是/ 32。(对于LIR)”,“要符合IPv6地址空间的初始分配的条件,LIR必须有一个计划,在两年内对其他组织和/或最终站点分配进行子分配。”,“满足初始分配标准的LIR有资格获得/ 32到/ 29的初始分配,而无需提供任何其他信息。”,...
RIPE-“了解IP地址和CIDR图表”(另请参见下文)提供了以下有用的图表:
互联网的原始体系结构主要由直接相互连接的大型网络组成,与今天使用的分层设计不太相似。很容易给军队一个地址,而给斯坦福大学一个地址。在该模型中,路由器只需要为每个网络记住一个IP地址,并且可以通过这些路由中的每条路由到达数百万台主机。
IPv6设备均具有唯一的地址默认情况下,IPv4设备使用一个有类的网络,并且由于2011年1月31日至2015年9月24日之间的地址用尽而没有唯一的地址。
这是整个设备的旧地图1982年2月的Internet与今天的Internet相比,StackExchange.com是右图中心的小点,单击放大。
RFC 3484-RFC 6724(2012年9月)废弃了“ Internet协议版本6(IPv6)的默认地址选择”,更新中的新功能是:
“ RFC 5220的2.1.4、2.2.2和2.2.3节描述了与唯一本地地址(ULA)[RFC4193]相关的地址选择问题。默认情况下,全局IPv6目的地优先于ULA目的地,因为任意ULA不一定可以达到。”。
/ 48的“一刀切”的建议不足以适用于广泛的终端站点,不再建议将其作为单个默认值。
请参阅:RIPE-“了解IP地址和CIDR图表”:
”每个连接到Internet的设备都需要有一个标识符Internet协议(IP)地址是用于标识连接到Internet的特定硬件的数字地址。
当今使用的两个最常见的IP版本是Internet协议版本。 4(IPv4)和Internet协议版本6(IPv6)。 IPv4和IPv6地址都来自有限的数字池。对于IPv4,该池的大小为32位(2 ^ 32),包含4,294,967,296个IPv4地址。
IPv6地址空间的大小为128位(2 ^ 128),包含340,282,366,920,938,463,463,374,607,431,768,211,456个IPv6地址。
地址分配模型
当前,IANA分配地址块。到区域注册表。注册表又将地址块分配给服务提供商。服务提供商有责任将地址分发给各自的客户。
当前的政策因地区而异,在最保守的情况下,最终用户必须通过用户的服务提供商获得IPv6地址空间,而不是直接向区域注册机构寻求IPv6地址空间。 br />
该图以图形方式表示了此初始策略的制定方式。该分配模型通常称为提供者分配(PA)或提供者相关(PD)分配。图中显示的前缀长度是建议值。注册管理机构和服务提供商可以使用为其区域和客户建立的过程和程序来分配块。在RFC 6177中对此进行了说明。
RFC 6177-“向最终站点分配IPv6地址”。
作为该策略的示例,IANA分配了2600:0000 :: / 12分配给ARIN。这与模型的顶层对齐。 ARIN随后将2600 :: / 29块分配给Sprint,将2600:300 :: / 24分配给AT&T Mobility,将
2600:7000 :: / 24分配给Hurricane Electric,等等。
这些块分配不遵循RFC 3177中定义的原始模型。服务提供商随后根据其客户需求将块分配给其客户。 Internet服务提供商(ISP)可以灵活地为其客户分配广泛的地址。例如,大型企业ISP客户可能需要分配/ 40,而住宅客户只需要分配/ 40。 / 60分配。
区域注册管理机构制定的此策略有一个例外,它允许最终客户直接访问注册管理机构并请求IPv6地址空间。此异常称为独立于提供程序(PI)的寻址。
RFC 5375-“ IPv6单播地址分配注意事项”概述了一些在制定寻址计划时也需要考虑的问题。
您应该首先确定是要提供商独立地址块还是接受提供商指定的地址?
如果客户拥有PI地址,则分配将保持有效,并提供以下条件:满足原始任务。
建议具有PA地址的客户从另一个LIR获得新的地址空间分配,并返回由其原始LIR分配的PA地址空间。在此
还有更多内容,查阅上面的IANA和IETF链接是掌握最佳实践的最佳方法。
#11 楼
划分ipv6的最佳方法是划分为/ 64子网。因为/ 64地址可以轻松地手动映射到IPV4
评论
例如,如何将其划分为/ 64使其比/ 48划分更容易。您能否详细说明如何进行此映射?
– Teun Vink♦
17年1月19日在12:56
为什么我们要关心“轻松映射到IPV4”?
–迈克尔·汉普顿
17年1月19日在18:25
#12 楼
v4和v6之间的主要区别不需要微管理。地址空间相对充足。
强烈建议不要使用所有子网/ 64s。
强烈建议不要使用NAT。对于没有问题的大型企业,他们只是获得PI空间,甚至注册为LIR并通过BGP公布其空间。但是,对于小型企业而言,这是一个艰难的选择,他们是否申请了PI空间并购买了更昂贵的互联网连接以允许他们使用它?他们是否同时运行私有地址和ISP分配的公共地址,并希望没有ISP分配的地址最终出现在长期配置文件中?他们是否会忽略IETF并仍然运行NAT?
十六进制表示法使半字节边界对于寻址级别很容易。需要弄清楚它们属于哪些逻辑分组,以及您希望在每个级别进行扩展的空间有多大,并开始制定计划。
评论
IPv6子网划分-概述和案例研究Cisco.com