/ 64のIPv6サブネット化-何が壊れ、どのように回避するか?
IPv6では、/ 64(RFC 5375)よりも小さいものにサブネット化することは想定されていません。とりわけ、SLAACはより小さなサブネットでは機能せず、明らかに他のいくつかの機能も機能しなくなります。
ISPが単一の/ 64しか提供しないが、内部で複数のサブネットが必要な状況の回避策は何ですか?一般的なアドバイスは、/ 56または/ 48を配布する別のISPを見つけることです。世界の一部の地域ではうまくいくかもしれませんが、私たちの地域(米国)では、競争が不足しているため、それは現実的ではありません。私のクライアントのほとんどは、単一のISPが地域にサービスを提供している場合、幸運です。ここの多くの人々はまだダイヤルアップしています。
私のクライアントは、ARINの独自の/ 48を利用できません。
ISPが/ 64以上を提供しない場合は、そのISPはうんざりします。それがなんらかの救済であるならば、私はそれよりももっとひどいISPに対処しなければならないことをあなたに言うことができます。このあたりでは、パブリックIPv4アドレスを顧客から遠ざけ、CGNの背後に置くことはまったく正常です。また、IPv6アドレスを要求すると、IPv4アドレスはまだ不足していないため、IPv6を提供していないことがわかり、IPv6をサポートしていないサーバーがある限り、IPv6を提供できないため、 IPv4専用サーバーに接続するためのデュアルスタッククライアント。
もしあなたが持っているものをISPがくれたら、それは私が今までに得たものよりも少ないのでそれを採用します。
今後、2つのアプローチを並行して進めることをお勧めします。
ISPに圧力をかける
できる限りISPに圧力をかけます。これには、他のISPに連絡することや、他のISPがより良い取引を提供できる場合は切り替えることも含まれます。
ルーターがWAN上のDHCPv6を介して委任された/ 48、/ 52、/ 56、または/ 60を要求した場合に何が起こるかを必ずテストしてください。 DHCPv6サーバーが何らかの理由で特定のプレフィックス長のみを渡して他のプレフィックス長の要求を無視する場合に備えて、4つのプレフィックス長すべてをテストします。
あなたが持っているものを最大限に活用する
おそらくハックを進めていく必要があるので、ハックでIPv4を減らすか、ハックでIPv6を減らすかを自問する必要があります。
単一の/ 64を多数のホストに拡張するために使用できるいくつかのハックがあります。
リンクプレフィックスをルーティングされたプレフィックスに変換する
WANリンクに単一の/ 64があるが、LANにルーティングされるプレフィックスがない場合は、その/ 64をいくつかの手順でルーティングされたプレフィックスに変えることができます。WANインターフェイス。ルーターにネイバーアドバタイズメントデーモン(ndppdなど)をインストールして、4つのアドレス以外の/ 64内のすべてのアドレスに独自のMACアドレスをアドバタイズします。/126にあります。これらの2つの手順で、WANリンクに使用される4つのアドレスを除いて、LANで使用できる/ 64がルーティングされます。
このハックの修正バージョンは、複数のルーター間でリンク/ 64を共有できます。リンクプレフィックスは、各ルーターへのIPアドレスに対応するために/ 126よりも少し短くする必要があります。/120は、最大254台のルーターに対応できるように十分に短くなります。
各ルーターは、/ 64よりも長いプレフィックスのみを取得します。各ルーターのLANに十分なIPアドレスを確保しながら、ルーターごとにプレフィックスを作成することをお勧めします。各ルーターに/ 112または/ 120が適している可能性があります。各ルーターは独自のMACアドレスで応答し、そのルーターのプレフィックス内のあらゆるものを近隣者が発見します。
このバリアントでは、各ルーターのWAN=側で構成された同一のプレフィックスがあり、LAN側に割り当てられたプレフィックスに対するネイバー探索要求に応答します。明らかに、LANプレフィックスは互いに重複してはなりません。また、WAN側で設定したプレフィックスと重複することはできません。
したがって、ゲートウェイとして機能するISPルーターがアドレス2001:db8 :: 1/64にある場合、2001:db8 ::/120をWANとして使用でき、2001を割り当てることができます。最初のルーターへのdb8 :: 1:0/112、2番目のルーターへの2001:db8 :: 2:0/112など。
LANでは、サブネット化またはブリッジングにより、/ 64を多数のホストに拡張できます。 2つのうちどちらが最適かを判断する必要があります。
サブネット化
/ 64をサブネット化する場合は、必要なホストに十分なアドレスが残っている最長のプレフィックスに移動することもできます。/80プレフィックスにサブネット化しないでください。サブネットごとに/ 116、/ 120、または/ 124を使用してください。/64を使用しないと壊れることはありません。/116以上を使用すると、特定のネイバー探索DoS攻撃(システムに存在する場合)の影響を軽減できます。
このようなサブネット構成ではSLAACが無効になるため、DHCPv6サーバーは、各セグメントで応答するDHCPv6サーバーと、DHCPv6をサポートしないすべてのデバイスで構成された静的IPv6アドレスが必要です。
ブリッジング
ブリッジは他の選択肢です。これは基本的に、サブネットを作成せずに、LAN全体を/ 64プレフィックス付きの単一のIPv6セグメントとして実行することを意味します。 (必要に応じて、/ 64はLANとWANの両方にまたがることができます。)
IPv6は、ブリッジが各エニーキャストアドレスを転送する必要があるブリッジネットワークを認識できるように設計されています。これにより、LAN上のすべての物理リンクにパケットをブロードキャストする必要がなくなります。
ブリッジはファイアウォールを適用し、LAN上の近隣探索スプーフィングから保護することもできます。
ブリッジに十分なインテリジェンスがあれば、原則として、単一の/ 64をブリッジできるスイッチの数に制限はありません。
はい、ISPにプレッシャーをかけないように圧力をかけることをお勧めします。 RIR割り当てポリシーは、ISPが各顧客に/ 48を与えることを前提としています。 ISPがこれを行わない理由はまったくありません。
IPv6は小規模なサブネットのファンではありませんが、私が知っている想定が破壊するのはSLAACだけです。 「/ 64 ==サブネット」と盲目的に想定している一部のIPv6スタックでは、バグと想定に問題がありますが、それはバグであり、機能ではなく、ベンダーを倒して修正することができます。一方、ISPが/ 48を提供する前に修正されるかどうか...