IPv6 서브 네트 / 64-무엇을 깨고 어떻게 해결합니까?


27

IPv6에서는 / 64 (RFC 5375)보다 작은 서브넷을 서브넷으로 사용해서는 안됩니다. 무엇보다도 SLAAC는 더 작은 서브넷에서 작동하지 않으며 다른 일부 기능도 작동하지 않습니다.

ISP가 단일 / 64 만 제공하지만 내부에 여러 서브넷이 필요한 상황에 대한 해결 방법은 무엇입니까? 일반적인 조언은 / 56 또는 / 48를 나눠 줄 다른 ISP를 찾는 것 같습니다. 세계의 일부 지역에서는 효과가있을 수 있지만 미국 (미국)에서는 경쟁이 없기 때문에 불가능합니다. 내 지역에 서비스를 제공하는 단일 ISP가 있다면 대부분의 고객은 운이 좋습니다. 여기 많은 사람들이 여전히 전화 접속 중입니다.

내 고객은 ARIN의 자체 / 48 자격이 없습니다.


9
나는 것 의 IPv6를 배포하지 그 시나리오에서. ISP에 계속 압력을 가하여 적절한 연결을 제공하십시오. 필요한 경우 실수를 눈에 잘 띄고 공개하십시오. 먼저 확인이 있는지 확인해야 물론 RFC 6177.에서 인용 장과 절 입니다 자신의 실수와 장비가 더 큰 서브넷을 요청하고 있음.
Michael Hampton

5
그것은 나쁜 조언이기도합니다. 모든 장점을 감안할 때 대부분의 사람들은 가능한 첫 기회에 IPv6를 배포해야합니다. 불행하게도 많은 ISP가 IPv6 서비스를 완전하게 아침 식사로 만들어 사용하기에 현명하지 못했습니다.
Michael Hampton

2
우리는 하루 종일 인터넷 서비스 제공 업체가 개로 아침 식사를 만드는지 또는 ISP 가 그렇게 하지 않을 것이라는 가정에서 IPv6 설계자가 비현실적인지 여부를 하루 종일 주장 할 수 있습니다. 물론, 먼지가 완전히 사라질 때까지 클라이언트에게 IPv6을 멀리하지 말라고 지시하지는 않습니다. 앞으로 5 년이 지난 지금도 더 작은 서브넷을 지원하는 SLAAC 2.0과 NAT (많은 라우터가 이미 구현하고 있음) 및 역경에 직면하여 IPv6을 작동시키는 데 필요한 모든 것이있을 것입니다. 그래도 지금 당장 해결책을 찾고있었습니다.
Kevin Keane

4
NAT와 같은 IPv4 혼란은 IPv6에서 제대로 작동한다고 생각하지 마십시오. NAT는 해킹이 아닌 기능을했다 ...
샌더 Steffann

3
@KevinKeane NAT는 항상 해킹이었고 항상있을 것입니다. 사람들이 NAT를 사용하여 해결하려고 시도한 모든 문제에는 NAT와 관련이없는 실제 솔루션이 있지만 IPv6과 관련이있을 수 있습니다. 사용자가 말하는 대부분의 파손은 NAT 또는 불완전한 IPv6 배포로 인한 것일 수 있습니다.
kasperd

답변:


28

ISP가 / 64 이상을 제공하지 않으면 해당 ISP가 짜증납니다. 그것이 안도감이라면 나는 그것보다 더 많은 ISP를 다루어야한다고 말할 수 있습니다. 여기에서는 공개 IPv4 주소를 고객으로부터 빼앗아 CGN 뒤에 두는 것이 일반적입니다. IPv6 주소를 요청하면 아직 IPv4 주소가 부족하기 때문에 IPv6을 제공하지 않는다고 말할 수 있으며 IPv6 지원이없는 서버가있는 경우 IPv6을 제공하지 않습니다. IPv4 전용 서버에 연결하기위한 이중 스택 클라이언트

어떤 ISP가 당신이 가진 것을 나에게 주면, 내가 지금까지 얻을 수 있었던 것보다 덜 빨리 기 때문에 그것을 취할 것입니다.

앞으로 나란히 두 가지 접근 방식을 권장합니다.

ISP에 압력을가하십시오

가능한 한 ISP에 압력을가하십시오. 여기에는 다른 ISP에 연락하고 다른 ISP가 더 나은 거래를 제공 할 수있는 경우 전환하는 것도 포함됩니다.

라우터가 WAN의 DHCPv6을 통해 위임 된 / 48, / 52, / 56 또는 / 60을 요청하면 어떻게되는지 테스트해야합니다. 어떤 이유로 DHCPv6 서버가 특정 접두사 길이 만 전달하고 다른 접두사 길이에 대한 요청을 무시하는 경우를 대비하여 네 가지 접두사 길이를 모두 테스트합니다.

당신이 가진 것을 최대한 활용하십시오

앞으로 나올 해킹으로 살아야 할 것을 고려할 때, 해킹으로 IPv4를 덜 빠뜨리거나 해킹으로 IPv6을 덜 빠뜨리는 것을 스스로에게 물어봐야합니다.

단일 / 64를 많은 호스트로 확장하는 데 사용할 수있는 몇 가지 해킹이 있습니다.

링크 접두사를 라우팅 접두사로 바꾸기

WAN 링크에 단일 / 64가 있지만 LAN으로 라우팅되는 접두사가없는 경우 몇 단계 만 거치면 해당 / 64를 라우팅 된 접두어로 변환 할 수 있습니다. 라우터의 WAN 인터페이스를 / 64가 아닌 / 126으로 구성하십시오. / 126의 4 개 주소를 제외하고 / 64의 모든 주소에 대해 고유 한 MAC 주소를 알리려면 인접 광고 데몬 (예 : ndppd)을 라우터에 설치하십시오. 이 두 단계를 수행하면 WAN 링크에 사용되는 4 개의 주소를 제외하고 LAN에서 사용할 수있는 라우팅 된 / 64가 있습니다.

이 핵의 수정 된 버전은 여러 라우터에서 / 64 링크를 공유 할 수 있습니다. 그런 다음 링크 접두사는 각 라우터의 IP 주소를 수용하기 위해 / 126보다 약간 짧아야하며, / 120은 최대 254 개의 라우터를 허용 할만큼 짧습니다.

각 라우터는 분명히 / 64보다 긴 접두사 만 얻습니다. 라우터의 LAN에 충분한 IP 주소를 유지하면서 가능한 한 각 라우터의 접두사를 만드는 것이 좋습니다. 각 라우터마다 / 112 또는 / 120이 적합 할 것입니다. 각 라우터는 해당 라우터의 접두사 내에서 이웃을 발견하기 위해 고유 한 MAC 주소로 응답합니다.

이 변형에서 각 라우터는 WAN 측에 동일한 접두사가 구성되고 LAN 측에 할당 된 접두사에 대한 인접 장치 검색 요청에 응답합니다. 분명히 LAN 접두사는 서로 겹치지 않으며 WAN 측에서 구성한 접두사와 겹치지 않을 것입니다.

따라서 게이트웨이 역할을하는 ISP 라우터의 주소가 2001 : db8 :: 1/64 인 경우 2001 : db8 :: / 120을 WAN으로 사용하고 2001 : db8 :: 1 : 0/112를 첫 번째 라우터 2001 : db8 :: 2 : 0/112 두 번째 라우터 등

LAN에서는 서브넷이나 브리징을 통해 / 64를 많은 호스트로 확장 할 수 있습니다. 두 가지 중 어떤 것이 가장 적합한 지 알아 내야합니다.

서브네팅

/ 64를 서브넷으로 사용하면 필요한 호스트에 충분한 주소를 가진 가장 긴 접두사로 이동할 수도 있습니다. / 80 접두사로 서브넷을 지정하지 말고 서브넷 당 / 116, / 120 또는 / 124를 사용하십시오. / 64를 사용하지 않으면 깨질 수있는 것들은 신경 쓰지 않을 것이며 / 116 이상을 사용하면 특정 이웃 발견 DoS 공격 (시스템에 존재하는 경우)의 영향을 줄일 수 있습니다.

이러한 서브넷 구성에서는 SLAAC가 중단되므로 각 세그먼트에서 응답 할 DHCPv6 서버와 DHCPv6 지원없이 모든 장치에 구성된 정적 IPv6 주소가 필요합니다.

브리징

브리징이 다른 대안입니다. 이는 기본적으로 서브넷이 아니라 전체 LAN을 / 64 접두사가있는 단일 IPv6 세그먼트로 실행한다는 의미입니다. (필요한 경우, / 64는 LAN과 WAN 모두에 걸쳐있을 수 있습니다.)

IPv6은 브리지에서 각 애니 캐스트 주소로 전달해야하는 브리지 된 네트워크를 인식 할 수 있도록 설계되었습니다. 이렇게하면 LAN의 모든 물리적 링크를 통해 패킷을 브로드 캐스트하지 않아도됩니다.

브리지는 또한 LAN에서 이웃 검색 스푸핑에 대한 방화벽 및 보호를 적용 할 수 있습니다.

브리지에 충분한 인텔리전스가 있으면 원칙적으로 단일 / 64를 브리지 할 수있는 스위치 수에 제한이 없습니다.


고맙습니다! 그것이 바로 내가 찾던 대답의 유형이었습니다! 특히 / 64를 라우팅 된 접두어로 바꾸려는 아이디어가 마음에 듭니다. 좀 더 자세히 설명해 주시겠습니까? 첫째, 왜 당신이 / 127이 아닌 / 126을 제안하는지 이해하지 못합니까? 어느 IP 주소가 사용됩니까? 둘째, 클라이언트 중 하나에서 실제로 세 개의 내부 라우터가 있습니다. IPv4에서는 ISP가 제공하는 / 29에 세 가지 다른 공용 IP가 있습니다. 당신의 계획이 여전히이 라우터들과 작동합니까?
Kevin Keane

또한 라우터에 이웃 광고 데몬을 설치하는 방법을 잘 모르겠습니다. 하나의 라우터는 Fortigate이고 다른 하나는 Belkin이며, 세 번째는 Linksys라고 생각합니다.
Kevin Keane

@KevinKeane / 126을 제안하는 이유는 접두사 내에 적어도 세 개의 주소가 필요할 수 있기 때문입니다. ISP 측에서 라우터의 접두어는 2001 : db8 :: 1/64로 구성 될 수 있습니다. 이는 2001 : db8 ::이 특별하고 2001 : db8 :: 1이 ISP 라우터에서 사용됨을 의미합니다. 자신의 라우터는 일반적으로 2001 : db8 :: 2로 구성됩니다. 즉, 세 개의 주소를 사용했고 / 127이면 충분하지 않습니다. 링크의 양쪽 끝에 구성된 접두사 길이가 다른 핵을 사용하지 않은 경우 / 127이 작동했을 수 있습니다.
kasperd

설명해 주셔서 감사합니다! 따라서 세 개의 다른 내부 네트워크를 제공하는 라우터가 세 개인 경우 / 125를 사용해야하고 각 라우터는 인접 서브넷을 통해 해당 서브넷의 IP에 대해서만 자체 MAC을 광고합니까?
Kevin Keane

1
IPv6 주소 지정의 64 비트 경계 분석에 대한 정보 제공 RFC, RFC 7421, 분석 에는 /64서브넷에 대한 전체 토론이 있으며 서브넷을 사용하지 않을 때 잘못된 점이 있습니다.
Ron Maupin

10

그렇습니다. ISP가 빨지 않도록 누르는 것이 선호되는 옵션입니다. RIR 할당 정책은 ISP가 각 고객에게 / 48을 제공한다고 가정합니다. ISP가 그렇게하지 않는 이유는 전혀 없습니다.

IPv6를한다 그러나 유일한 작은 서브넷의 팬이 아닌 가정 제가 알고 있음, 휴식, SLAAC입니다. 맹목적으로 "/ 64 == 서브넷"이라고 가정하는 일부 IPv6 스택의 버그 및 가정에 문제가있을 수 있지만 이는 기능이 아니라 버그이므로 공급 업체를 통해 문제를 해결할 수 있습니다. 반면에 ISP가 / 48를 제공하기 전에 고정되는지 여부는 ...


네이버 디스커버리 프로토콜의 일부도 깨질 것이라고 생각합니다. RFC 5375에는 다른 것들의 전체 목록이 있지만 실제적인 의미는 모르겠습니다. / 64를 얻는 것만으로도 단순히 돈 문제 일 수 있습니다. ISP는 가정 사용자에게 / 64 만 제공하고 / 48은 비즈니스 계정에만 제공 할 수 있습니다. 홈 오피스 나 WiFi를 다른 집과 분리하거나 가상 머신에 별도의 서브넷을 사용하고 싶습니까? 난폭 한 것에 대해 죄송합니다-나는 여기서 통제 할 수없는 것들을 바꾸려고하지 않고 문제를 처리하려고합니다.
Kevin Keane

2
ISP가 이에 대한 총체적인 소켓이되기를 원한다면 각 거주 가입자에게 / 128을 전달합니다. ISP에서 RFC 5375를 흔들고 IPv5.5 대신 IPv6를 제공하라고 말할 수 있습니다.
womble

사실, 내가 아는 적어도 하나의 ISP (Verizon Wireless)가 그렇게합니다. IPv6에서 NAT가 여전히 필요하다고 주장하는 이유 중 하나입니다. 그러나 그것은 물론 내 질문과는 별개입니다.
Kevin Keane

1
RFC 3177의 / 48 권장 사항은 더 이상 유효하지 않습니다. 대부분의 RIR은 이제 RFC 6177에 설명 된대로 최종 사이트에 대해 / 56을 권장합니다. tools.ietf.org/html/rfc6177
skrause

@skrause 어쨌든 차이를 만드는 것은 아닙니다. 그들이 다 떨어지지 않을 정도로 / 48s가 충분합니다. HD 비율이 80 % 인 경우에도 IANA가 2000 :: / 3를 모두 소비하기 전에 2 ^ 36의 할당 된 / 48 초가 소요됩니다. 최종 사이트가 주요 데이터 센터가 아닌 경우 / 56에는 최종 사이트에 충분한 서브넷이 있습니다.
kasperd
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.