IPv6 a / 64 alt ağı - ne kırılacak ve nasıl çalışılacağı?

IPv6'da, a / 64'ten (RFC 5375) daha küçük bir şeye alt ağ eklemeniz gerekmez. Diğer şeylerin yanı sıra, SLAAC daha küçük alt ağlarla çalışmaz ve görünüşe göre diğer bazı özellikler de bozulur.

ISS'lerin yalnızca size / 64'ü verecekleri durumlar için geçici çözümler nelerdir, ancak dahili olarak birden çok alt ağa ihtiyacınız var? Ortak öneri sadece / 56 veya / 48'i verecek başka bir ISS bulmak gibi görünüyor. Dünyanın bazı bölgelerinde, bu işe yarayabilir, ancak bölgemizde (ABD), rekabet yetersizliğinden dolayı bu mümkün değildir. Müşterilerimin çoğu, kendi alanlarına hizmet eden tek bir ISS'ye sahip oldukları için şanslılar. Buradaki birçok insan hala çevirmeli ağda.

Müşterilerim ARIN’den kendi 48’ine hak kazanmayacak

ISS size 64 / 64'den fazla vermezse, bu ISS berbattır. Herhangi bir rahatlama olursa, bundan daha fazla emen ISS'lerle uğraşmam gerektiğini söyleyebilirim. Buralarda halka açık IPv4 adreslerini müşterilerden uzaklaştırmak ve bir CGN'nin arkasına koymak tamamen normaldir. Ve eğer sizden IPv6 adreslerini sorarsanız, size IPv6 sunmadıklarını söyleyeceklerdir, çünkü henüz IPv4 adresleri sıkıntısı yoktur ve IPv6 desteği olmayan sunucular olduğu sürece IPv6 sunmazlar çünkü Yalnızca IPv4 sunucusuna bağlanmak için çift yığın istemcisi.

Herhangi bir ISS bana sahip olduklarınızı verirse, onu alırdım çünkü şu ana kadar elde edebildiklerimden daha azını çekiyor.

İlerlerken, paralel olarak takip etmenizi önerdiğim iki yaklaşım var.

ISS'ye baskı uygulayın

ISS'ye mümkün olduğunca çok baskı uygulayın. Bu, diğer ISS'lerle temasa geçmeyi ve muhtemelen herhangi bir ISS'nin size daha iyi bir anlaşma sunabileceği durumlarda değiştirmeyi içerir.

Yönelticiniz, WAN'da DHCPv6 aracılığıyla yetki verilmiş / 48, / 52, / 56 veya / 60 numaralı bir temsilci isterse, ne olduğunu test ettiğinizden emin olun. DHCPv6 sunucusunun bir nedenden ötürü yalnızca belirli bir önek uzunluğunu vermesi ve diğer önek uzunlukları için istekleri dikkate almaması durumunda, dört ön ekin tümünü test ederdim.

Sahip olduklarınızdan en iyi şekilde yararlanın

Muhtemelen ilerleyen bazı hacklerle yaşamak zorunda kalacağınız göz önüne alındığında, kendinize daha az IPv4'ü hack'le veya IPv6'yı hack'le ne kadar berbat edeceğini sormalısınız.

Bir tane / 64'ü birçok ana bilgisayara genişletmek için kullanabileceğiniz birkaç bilgisayar korsesi var.

Bir bağlantı önekini yönlendirilmiş bir ön eke çevirme

WAN bağlantısında tek / 64'ünüz varsa, ancak LAN'ınıza yönlendirilmiş bir önek yoksa, bu / 64'ü birkaç adımla yönlendirilmiş bir önek haline getirebilirsiniz. Yönlendiricinizdeki WAN arayüzünü a / 64 yerine a / 126 olarak yapılandırın. / 126’daki 4 adres dışında / 64 adresindeki her adres için kendi MAC adresini tanıtmak için yönlendiriciye bir komşu reklam arka plan programı (ndppd gibi) kurun. Bu iki adımda, WAN bağlantısı için kullanılan 4 adres dışında, LAN'ınızda kullanabileceğiniz bir yönlendirilmiş / 64'ünüz olacaktır.

Bu hack'in değiştirilmiş bir versiyonu linki / 64'i birden fazla yönlendirici üzerinden paylaşabilir. Bağlantı öneki daha sonra her yönlendiriciye bir IP adresi yerleştirmek için / 126'dan biraz daha kısa olacak, a / 120 254 yönlendiriciye izin verecek kadar kısa olacaktır.

Her bir yönlendirici açıkça yalnızca / 64'ten daha uzun bir önek alacaktır. Her yönlendiricinin önekini, o yönlendiricideki LAN için hala yeterli IP adresine sahipken mümkün olduğu sürece yapmanızı öneririm. Her yönlendirici için A / 112 veya / 120 muhtemelen uygun olacaktır. Her yönlendirici, o yönlendiricinin öneki içindeki herhangi bir şeyi komşu bulmak için kendi MAC adresine yanıt verir.

Bu varyantta, her yönlendiricinin WAN tarafında yapılandırılmış özdeş önekleri olacak ve LAN taraflarına atanmış ön ek için komşu keşif isteklerine yanıt verecek. Açıkçası, LAN öneklerinden hiçbiri birbiriyle örtüşemez ve hiçbiri WAN tarafında yapılandırdığınız önekle üst üste gelemez.

Böylece, ağ geçidiniz olarak işlev gören ISS yönlendiricisi, adres 2001: db8 :: 1/64 adresindeyse, WAN'nız olarak 2001: db8 :: / 120 kullanabilirsiniz ve 2001: db8 :: 1: 0/112 ilk yönlendirici, 2001: db8 :: 2: 0/112 ikinci yönlendiriciye vs.

LAN üzerinde a / 64'ü bir çok ana bilgisayara alt ağ yaparak ya da köprüleyerek uzatabilirsiniz. Hangi ikisinin hangisinin sizin için en uygun olduğunu hesaplamanız gerekir.

subnetting

/ 64 alt ağını kullanıyorsanız, ihtiyaç duyduğunuz ana bilgisayarlar için hala yeterli adrese sahip olan en uzun öneklere de gidebilirsiniz. / 80 önekine alt ağ eklemeyin, bunun yerine alt ağ başına / 116, / 120 veya / 124 ile gidin. / 64 kullanmazsanız kırılacak şeyler umursamayacak ve / 116 veya daha uzun sürecekse, bazı komşu keşif DoS saldırılarının (eğer sisteminizde varsa) etkisini azaltabilirsiniz.

Böyle bir alt ağ konfigürasyonunda SLAAC'ı kıracaksınız, böylece her segmentte yanıt vermek için bir DHCPv6 sunucusuna ve DHCPv6 desteği olmayan tüm cihazlarda yapılandırılmış statik IPv6 adreslerine ihtiyacınız olacak.

Köprü

Köprüleme diğer alternatiftir. Bu, aslında alt ağı değil, tüm LAN'ınızı a / 64 öneki ile tek bir IPv6 segmenti olarak çalıştırdığınız anlamına gelir. (Gerekirse, bu / 64 hem LAN'a hem de WAN'a yayılabilir.)

IPv6, köprülerin her bir yayın adresinin yönlendirilmesi gereken köprülü ağlardan hangilerini tanımasını sağlamak için tasarlanmıştır. Bu şekilde, ağınızdaki her fiziksel bağlantıya paket yayınlamak zorunda kalmazsınız.

Köprüler ayrıca LAN üzerinde komşu keşfi sahteciliğine karşı güvenlik duvarları ve koruma uygulayabilir.

Köprüler üzerinde yeterli zekaya sahipken, prensipte, bir tek / 64 arasında kaç anahtar köprüleyebileceğiniz konusunda bir sınır yoktur.

Evet, ISS'nize emmemeye basmak tercih edilen seçenektir. RIR tahsis politikaları, İSS'nin her müşteriye bir / 48 verdiğini varsaymaktadır; ISS'nin bunu yapmaması için kesinlikle sıfır bir neden var.

IPv6 daha küçük alt ağların hayranı değil, ancak bilmem gereken kırılması gereken tek şey SLAAC. Bazı IPv6 yığınlarında, sadece "/ 64 == subnet" körü körüne farz eden varsayımlarda hatalar ve varsayımlarla ilgili sorunlar yaşayacaksınız, ancak bu bir özellik değil, bir hata ve satıcıyı yenmek için yenilebilir. İnternet servis sağlayıcınız size a / 48 vermeden önce tamir edilip edilmeyeceğini, diğer taraftan ...