在 IPv6 中,您不应将子网划分为小于 /64 (RFC 5375) 的任何内容。除其他外,SLAAC 不适用于较小的子网,显然其他一些功能也会中断。
对于 ISP 只会给您一个 /64 但您在内部需要多个子网的情况,有哪些解决方法?常见的建议似乎是找另一个会分发 /56 或 /48 的 ISP。在世界的某些地方,这可能行得通,但在我们地区(美国),由于缺乏竞争,这是不可行的。我的大多数客户很幸运,如果他们有一个 ISP 为他们的地区服务。这里的很多人还在拨号上网。
我的客户没有资格从 ARIN 获得他们自己的 /48。
kas*_*erd 34
如果 ISP 不会给您超过 /64,那么该 ISP 很糟糕。如果有任何缓解,我可以告诉你,我必须与比这更糟糕的 ISP 打交道。在这里,从客户那里拿走公共 IPv4 地址并将它们放在 CGN 后面是完全正常的。如果你向他们询问 IPv6 地址,他们会告诉你他们不提供 IPv6,因为 IPv4 地址并不短缺,而且只要有不支持 IPv6 的服务器,他们就不会提供 IPv6,因为不可能一个双栈客户端连接到一个只支持 IPv4 的服务器。
如果任何 ISP 会给我你所拥有的东西,我会接受它,因为它比我迄今为止所能得到的要少。
继续前进,我建议您同时采用两种方法。
给ISP施加压力
尽可能向 ISP 施加压力。这包括联系其他 ISP 并可能切换,如果任何其他 ISP 可以为您提供更好的交易。
确保您确实测试了如果您的路由器通过 WAN 上的 DHCPv6 请求委派的 /48、/52、/56 或 /60 会发生什么情况。我会测试所有四个前缀长度,以防万一 DHCPv6 服务器出于某种原因只会分发特定的前缀长度并忽略对其他前缀长度的请求。
充分利用你所拥有的
考虑到你可能不得不忍受一些黑客攻击,你必须问问自己,IPv4 和 IPv6 哪个更糟糕。
您可以使用一些技巧将单个 /64 扩展到许多主机。
将链接前缀转换为路由前缀
如果您在 WAN 链接上有一个 /64,但没有路由到 LAN 的前缀,则可以通过几个步骤将该 /64 转换为路由前缀。将路由器上的 WAN 接口配置为 /126 而不是 /64。在路由器上安装邻居通告守护程序(例如 ndppd),以便为 /64 中的每个地址通告其自己的 MAC 地址,除了 /126 中的 4 个地址。通过这两个步骤,您将拥有一个路由 /64,您可以在 LAN 上使用它,但用于 WAN 链接的 4 个地址除外。
此 hack 的修改版本可以在多个路由器之间共享链接 /64。然后,链接前缀必须比 /126 短一点以容纳每个路由器的 IP 地址,/120 将足够短以允许多达 254 个路由器。
每个路由器显然只会得到一个比 /64 长的前缀。我建议您尽可能为每个路由器设置前缀,同时仍然为该路由器上的 LAN 提供足够的 IP 地址。每个路由器的 /112 或 /120 可能是合适的。每个路由器都使用自己的 MAC 地址进行响应,以便邻居发现该路由器前缀内的任何内容。
在此变体中,每个路由器将在其 WAN 侧配置相同的前缀,并将响应分配给其 LAN 侧的前缀的邻居发现请求。显然,LAN 前缀都不能相互重叠,也不能与您在 WAN 端配置的前缀重叠。
因此,如果充当网关的 ISP 路由器位于地址 2001:db8::1/64 上,那么您可以使用 2001:db8::/120 作为您的 WAN,并且可以将 2001:db8::1:0/112 分配给第一个路由器,2001:db8::2:0/112 到第二个路由器,依此类推。
在 LAN 上,您可以通过子网划分或桥接将 /64 扩展到许多主机。您必须找出两者中的哪一个最适合您。
子网划分
如果您对 /64 进行子网划分,您也可以使用最长的前缀,这些前缀仍然为您需要的主机提供足够的地址。不要将子网划分为 /80 前缀,而应为每个子网使用 /116、/120 或 /124。如果您不使用 /64 会破坏的事情不太可能在意,并且通过使用 /116 或更长的时间,您将减少某些邻居发现 DoS 攻击(如果存在于您的任何系统中)的影响。
在这样的子网划分配置中,您将破坏 SLAAC,因此您需要一个 DHCPv6 服务器来响应每个网段,并在所有不支持 DHCPv6 的设备上配置静态 IPv6 地址。
桥接
桥接是另一种选择。它本质上意味着您不使用子网,而是将整个 LAN 作为带有 /64 前缀的单个 IPv6 段运行。(如果需要,/64 可以跨越 LAN 和 WAN。)
IPv6 旨在允许网桥识别每个任播地址需要转发到哪个桥接网络。这样您就不必在 LAN 上的每条物理链路上广播数据包。
网桥还可以应用防火墙和保护以防止 LAN 上的邻居发现欺骗。
如果桥接器具有足够的智能,原则上可以桥接单个 /64 的交换机数量没有限制。
wom*_*ble 10
是的,向您的 ISP 施压使其不烂是首选。RIR 分配策略假设 ISP 给每个客户一个 /48;ISP 绝对没有理由不这样做。
IPv6 不喜欢较小的子网,但是我知道唯一应该破坏的东西是 SLAAC。您会遇到一些 IPv6 堆栈中的错误和假设问题,它们只是盲目地假设“/64 == 子网”,但这是一个错误,而不是一个功能,您可以击败供应商来修复它。另一方面,它是否在您的 ISP 为您提供 /48 之前得到修复...
| 归档时间: |
|
| 查看次数: |
20498 次 |
| 最近记录: |