Sous-réseau IPv6 a / 64 - qu'est-ce qui se cassera et comment le contourner?

Si le FAI ne vous donne pas plus d'un/64, alors ce FAI est nul. Si c'est un soulagement, je peux vous dire que je dois faire face à des FAI qui craignent encore plus que cela. Ici, il est parfaitement normal de retirer les adresses IPv4 publiques des clients et de les mettre derrière un CGN. Et si vous leur demandez des adresses IPv6, ils vous diront qu'ils n'offrent pas IPv6 car il n'y a pas encore de pénurie d'adresses IPv4, et tant qu'il y aura des serveurs sans prise en charge IPv6, ils n'offriront pas IPv6 car il est impossible pour un client à double pile pour se connecter à un serveur IPv4 uniquement.

Si un fournisseur de services Internet me donnait ce que vous avez, je le prendrais car il aspire moins que ce que j'ai pu obtenir jusqu'à présent.

Pour aller de l'avant, je vous recommande de suivre deux approches en parallèle.

Mettez la pression sur le FAI

Mettez autant de pression que possible sur le FAI. Cela inclut contacter d'autres FAI et éventuellement changer si un autre FAI peut vous offrir une meilleure offre.

Assurez-vous de tester ce qui se passe si votre routeur demande un délégué/48,/52,/56 ou/60 via DHCPv6 sur le WAN. Je testerais les quatre longueurs de préfixe juste au cas où le serveur DHCPv6 pour une raison quelconque ne distribuerait qu'une longueur de préfixe spécifique et ignorerait les demandes pour d'autres longueurs de préfixe.

Tirez le meilleur parti de ce que vous avez

Étant donné que vous devrez probablement vivre avec des hacks pour aller de l'avant, vous devez vous demander qui aspire moins IPv4 avec des hacks ou IPv6 avec des hacks.

Il y a quelques hacks que vous pouvez utiliser pour étirer un seul/64 à beaucoup d'hôtes.

Transformation d'un préfixe de lien en préfixe routé

Si vous avez un seul/64 sur le lien WAN mais aucun préfixe routé vers votre LAN, vous pouvez transformer ce/64 en préfixe routé en quelques étapes. Configurez le WAN sur votre routeur sous la forme d'un/126 plutôt que d'un/64. Installez un démon de publicité voisin (tel que ndppd) sur le routeur pour publier sa propre adresse MAC pour chaque adresse dans le/64, à l'exception des 4 adresses. dans le/126. Avec ces deux étapes, vous aurez un/64 routé que vous pouvez utiliser sur votre LAN à l'exception des 4 adresses utilisées pour le lien WAN.

Une version modifiée de ce hack peut partager le lien/64 sur plusieurs routeurs. Le préfixe de liaison devra alors être un peu plus court que/126 pour permettre une adresse IP à chaque routeur, un/120 serait assez court pour permettre jusqu'à 254 routeurs.

Chaque routeur n'aura évidemment qu'un préfixe qui sera plus long que/64. Je vous recommande de faire le préfixe pour chaque routeur aussi longtemps que possible tout en ayant suffisamment d'adresses IP pour le LAN sur ce routeur. Un A/112 ou/120 pour chaque routeur conviendrait probablement. Chaque routeur répond avec sa propre adresse MAC pour que le voisin découvre quoi que ce soit dans le préfixe de ce routeur.

Dans cette variante, chaque routeur aura des préfixes identiques configurés de leur côté WAN et répondra aux demandes de découverte des voisins pour le préfixe attribué à leur côté LAN. Évidemment, aucun des préfixes LAN ne peut se chevaucher et aucun d'entre eux ne peut chevaucher le préfixe que vous avez configuré du côté WAN.

Donc, si le routeur ISP agissant comme votre passerelle se trouve à l'adresse 2001: db8 :: 1/64, vous pouvez utiliser 2001: db8 ::/120 comme votre WAN et vous pouvez affecter 2001: db8 :: 1: 0/112 au premier routeur, 2001: db8 :: 2: 0/112 au deuxième routeur, etc.

Sur le LAN, vous pouvez étendre un/64 à de nombreux hôtes soit en sous-réseaux, soit en pontant. Vous devrez déterminer laquelle des deux vous convient le mieux.

Sous-réseau

Si vous sous-réseau le/64, vous pouvez aussi aller aux préfixes les plus longs qui ont encore suffisamment d'adresses pour les hôtes dont vous avez besoin. Ne sous-réseau pas dans les préfixes/80, préférez plutôt/116,/120 ou/124 par sous-réseau. Les choses qui ne fonctionnent pas si vous n'utilisez pas/64 ne s'en soucieront probablement pas et en optant pour/116 ou plus, vous réduirez l'impact de certaines attaques DoS de découverte de voisins (si elles sont présentes dans l'un de vos systèmes).

Dans une telle configuration de sous-réseau, vous casserez SLAAC, vous avez donc besoin d'un serveur DHCPv6 pour répondre sur chaque segment et d'adresses IPv6 statiques configurées sur tous les appareils sans prise en charge DHCPv6.

Pontage

Le pontage est l'autre alternative. Cela signifie essentiellement que vous ne sous-réseau pas, mais exécutez l'intégralité de votre réseau local comme un seul segment IPv6 avec un préfixe/64. (Si vous en avez besoin, le/64 peut s'étendre à la fois au LAN et au WAN.)

IPv6 est conçu pour permettre aux ponts de reconnaître à quels réseaux pontés chaque adresse anycast doit être transférée. De cette façon, vous évitez d'avoir à diffuser des paquets sur chaque liaison physique de votre réseau local.

Les ponts peuvent également appliquer des pare-feu et une protection contre l'usurpation d'identité des voisins sur le réseau local.

Avec une intelligence suffisante sur les ponts, il n'y a en principe aucune limite au nombre de commutateurs que vous pouvez ponter sur un seul/64.