IPv4アドレス空間の割り当てに慣れています。つまり、計画するサービスまたはネットワークする組織を考えると、IPアドレス空間の使用を計画する方法を十分に理解しています。(または、少なくとも、私はそう思う。:)
IPv6アドレススペースレイアウトのベストプラクティスガイダンスまたはケーススタディはありますか?
IPv4アドレス空間の割り当てに慣れています。つまり、計画するサービスまたはネットワークする組織を考えると、IPアドレス空間の使用を計画する方法を十分に理解しています。(または、少なくとも、私はそう思う。:)
IPv6アドレススペースレイアウトのベストプラクティスガイダンスまたはケーススタディはありますか?
回答:
ロールアウトに使用しているレイアウトは次のとおりです。
従来の推奨事項は、P2Pリンクでもどこでも/ 64を使用し、サイトごとに/ 48を割り当てることでした。
ポイントツーポイントリンクで大きな空のサブネットを使用すると、多くの潜在的なセキュリティ問題が発生する可能性があるため(RFC6164を参照)、P2Pリンクに/ 127を使用し、ループバックに/ 128を使用することがベストプラクティスになりました。
小規模の顧客に/ 48を与える必要はありませんが、そうすることを選択した場合は、移動するための十分なアドレスがあります。
SLAACを使用する場合、顧客に面しているインターフェイスは/ 64である必要があります。使用しない場合は、別のマスクを使用できます。
ここにいくつかの良いリンクがあります:
ciscolive365.comからのBRKRST-2301(無料アカウントの作成)
http://www.cisco.com/web/strategy/docs/gov/IPv6_WP.pdf
http://tools.ietf.org/html/rfc5375.html
http: //tools.ietf.org/html/rfc6177
一部の人々は現在のv4割り当てを取得し、2番目と3番目のオクテットを16進数に変換してv6に使用します。あなたはそれを行うためのさまざまな方法がたくさんあるので、あなたは最高に感じるものを選択する必要があります。
IPv6を使用すると、指定された数のホストにスペースを割り当てることを心配する必要がなくなります。すべてのサブネット(P2Pリンクを除く)に/ 64を割り当てる必要があります。これにより、途方もない数のホストアドレスが得られます。これにより、優れたネットワークレイアウトや設計など、他のトピックに集中できます。(/ 48は65,536 / 64ネットワークを提供します)
これには(もちろん)いくつかの考え方があります。IPv4の設計にすでに満足している場合、物事をミラーリングするIPv6オーバーレイを行うことは、おそらく良い選択肢であり、すべての人の移行を容易にします。
いくつかのIPv6計算機をいじって、これらすべてを理解してください。次に例を示します 。GestioIPOnline IPv4 / v6 Calculator
これは私が乗り越えるのが最も難しいことでした-ホストにスペースを割り当てることを心配しないでください!ネットワークを計画します-レイヤー3境界の位置、提供されるサービス、デバイスの物理的な位置などに焦点を当てます。純粋なIPv6ネットワークができるようになるのはおそらく数年後ですが、優れたネットワーク設計の基礎を築き始めます。今。
私が1年前に行ったRIPE IPv6トレーニングセッションに基づいて、以前の応答に少し正確です。基本的に彼らの推薦はアドレス空間保存よりむしろ集合に焦点を合わせることです。
つまり、ここに少量のサブネットしかない場合でも、Point of Presenceに大量のIPを予約する心配はありません(現時点では)。ただし、POP内の「生きている」すべてのサブネットを同じ大きなプレフィックスの下に集約する必要があります。
非常に大量のIPを自由に使用できるようになった今、彼らの主な懸念は、全員が細かいプレフィックスで小さなプレフィックスをアナウンスすると、DFZルーティングテーブルのサイズが爆発する可能性があることです。
ここでトレーニング資料、プレゼンテーションで使用するには。特に、最初の「トレーニング演習」PDFでは、アドレス指定計画の例を示しています。
自分で次のレイアウトを使用する場合(datacenter pov)
コロケーションのお客様:1/48。
専用サーバー:デフォルトでサーバーごとに1つの/ 64。
P2Pリンク(bgpリンクネットなど):/ 126
ホストVLANのデュアルスタック環境へのIPv4-> IPv6移行については、ipv4サブネットを、すべての単一IPv4アドレスに/ 64を含めるのに十分な大きさのipv6サブネットに一致させます。
例えば:
1つの/ 24 ipv4(256 ip's)を含むVLAN、/ 56 Ipv6(256個の一意の/ 64サブネット)と一致する
1つの/ 23 ipv4(512個のip)を含むVLAN、/ 55 ipv6(512個の一意の/ 64サブネット)と一致します
SURFnetは役に立つかもしれない素敵なIPv6ネットワーク計画マニュアルを書いた
使用可能な巨大なアドレス空間を見ると少し怖いですが、実際には対処するのは難しくありません。
/ 48が割り当てられているとします。これにより、65K / 64で遊ぶことができ、それぞれがかなり多くのアドレスを保持できます。また、65Kでの丸め誤差により、他の用途のために他の/ <64のスラックがほんの一握り得られます。
個人的には、VLANごとに/ 48から/ 64サブネットを呼び出します。各VLANに対してルーターアドレスを:: 1に設定します。DNSには:: xxxx(xxxxは繰り返し数字)を使用しますが、他のいくつかのサービスでも同様です。覚えやすいです。
各ボックスはSLAACに割り当てられたアドレスを取得し、すべてのホストは一時アドレスも設定することが推奨されます。このようにして、SLAACアドレスを使用してシステムを見つけることができますが、システムはインターネット上で少しプライバシーを保持します-または、通常はWebプロキシを使用します-ああ、それは一時アドレスもあります!それでも、IPv4が広く普及しているため、このすべてが無駄になっています。
複数のサイトがある場合は、/ 48を/ 64よりも大きい小さいビットに分割します-すべての不測の事態をカバーするのに十分です。これにより、ルーティングテーブルをある程度集約できます。
率直に言って、あなたが/ 48を持っていると仮定すると(私は私の家のために1つ持っているので、私はそれを疑わない)、あなたはほとんどの不測の事態と計画をカバーするのに十分なスペースを持たなければならない。
さて、もしあなたのセットアップがもっと大きいなら-多国籍とマルチサイトを言うなら、私はあなたがPIを調査し、それを国/サイト/ VLANまたは国/地域/サイト/建物/ VLANなどで分割することをお勧めします。最大のセットアップを除いて、/ 48で十分なアドレスを取得できます。
一部のネットワークデバイスアーキテクチャでは、ほとんどのプレフィックスが/ 64であると想定しています。詳細については、Ivan Pepelnjakのブログのこのコラムを参照してください。
最大の懸念は、ルート集約に関して、ボトルネックがどこにあるかを特定することです。基本的なパラメータは次のようになります。各サブネットは/ 64(IPv6で指定)である必要があり、/ 60、/ 56、または/ 48を使用する必要があります。
他の人が言ったように、/ 48は64kのサブネットを提供しますが、それらをランダムに割り当てるだけで、簡単にコーナーにペイントできます。1000の店舗の場所があり、各店舗に最初から/ 64を順番に付けるとします。次に、43番目のストアには2番目のサブネットが必要であることがわかります。つまり、そのネットワークに番号を付け直すか、ストアに2つの別個のサブネットを集約できません。
ちなみに、IPv4の世界では、10.xxxネットワークを使用して/ 24sにサブネット化すると、64kのサブネットも取得されます。そのシナリオで使用するプラクティスの一部は、うまく翻訳できます。
私が働いているある会社では、約150のブランチオフィスで10.xxxを社内で使用しています(各場所に100〜500台のコンピューターがあります)。2番目のバイトはブランチ番号であり、サブネットには/ 24ではなく/ 22を使用します。したがって、各ブランチオフィスには最大64個のサブネットを含めることができ、それらはうまく機能します。
IPv6アドレス空間レイアウトのベストプラクティス
IPv4アドレススペースの割り当てに慣れています。つまり、計画するサービス、またはネットワークを組織化することを考えると、IPアドレス空間の使用を計画する方法を十分に理解しています。(または、少なくとも、私はそう思う。:)
任意のあるベストプラクティスガイダンス、またはケーススタディのために、IPv6のアドレス空間レイアウトは?
非常に短い答え:/ 56から始めて、今後数年間で使用されるものを予測し、それに応じて調整します。単一のアドレスを要求する人々は、将来の拡張のためにまだいくつか割り当てられている必要があります。割り当ての断片化を避けることは、わずかな過剰割り当てよりも重要です。
より長い答え:
インターネットエンジニアリングタスクフォース(IETF)-現在のベストプラクティス:
RFC 6177およびBCP 157-「エンドサイトへのIPv6アドレスの割り当て」では、/ 48の万能な推奨は、幅広いエンドサイトに十分なニュアンスがなく、単一のデフォルトとしては推奨されないことを明確にしています。
1.はじめに -アドレス割り当てポリシーを考慮する多くの考慮事項があります。たとえば、パブリックルーティングインフラストラクチャの長期的な健全性とスケーラビリティを提供するには、アドレスを適切に集約することが重要です[ ROUTE-SCALING ]。同様に、過剰な量のアドレス空間を提供すると、アドレス空間が早期に枯渇する可能性があります。このドキュメントは、エンドサイトに適切なIPv6アドレス割り当てサイズとは何かという(より狭い)問題に焦点を当てています。つまり、エンドサイトがISPからIPv6アドレス空間を要求する場合、適切な割り当てサイズは何ですか。
...
このドキュメントは、エンドサイトに適切なIPv6アドレス割り当てサイズとは何かという(より狭い)問題に焦点を当てています。つまり、エンドサイトがISPからIPv6アドレス空間を要求する場合、適切な割り当てサイズは何ですか。
...
このドキュメントは、正確な割り当てサイズがどうあるべきかについての正式な勧告を行いません。エンドサイトに割り当てるアドレススペースの正確な選択は、運用コミュニティにとっての問題です。この場合のIETFの役割は、IPv6のアーキテクチャおよび運用上の考慮事項に関するガイダンスの提供に限定されます。このドキュメントは、それらの議論へのインプットを提供します。
...
2.エンドサイトへの/ 48割り当てについて -/ 48勧告[RFC3177]の背後にある元の動機の一部を振り返ると、3つの主な懸念がありました。最初の動機は、エンドサイトが「フープをジャンプ」することなく、十分なアドレススペースを簡単に取得できるようにすることでした。たとえば、誰かがより多くのスペースが必要だと感じた場合、尋ねる行為だけで何らかのレベルで十分な正当化になります。
比較ポイントとして、IPv4では、一般的なホームユーザーに単一のパブリックIPアドレスが与えられます(これは常に保証されているわけではありませんが)が、複数のアドレスを取得することは、多くの場合、困難であるか不可能です(支払いを希望しない限り) (大幅に)サービスの「より高いグレード」と見なされることが多いものに対する料金の増加。(少数の追加アドレスを取得するためのISP料金の増加は、通常、RIRによって課される実際のアドレスごとのコストでは正当化できませんが、多くの場合、追加アドレスは異なるタイプまたは「追加料金が課されるサービスのより高いグレード」。ここでのポイントは、追加費用がRIR料金体系によるものではなく、ISPが行うビジネス選択によるものであるということです。
IPv6の重要な目標は、デフォルトおよび最小のエンドサイト割り当てを「単一アドレス」から「複数ネットワーク」に大幅に変更し、エンドサイトがアドレススペースを簡単に取得できるようにすることです。
...
ポリシーの変更(上記など)は、アドレス消費の予測とIPv6の予想される寿命に大きな影響を与えます。たとえば、デフォルトの割り当てを/ 48から/ 56に変更すると(大部分のエンドサイト、たとえばホームサイト)、最大8ビットの節約になり、「予想される総アドレス消費」が(最大to)8ビットまたは2桁。(正確な節約額は、より大きなサイトの数と比較したホームユーザーの相対的な数に依存します。)
...
3. RFC 3177のその他の考慮事項-... IPv6のアドレス空間が大きいため、エンドサイトに複数年の時間枠での合理的な成長予測と一致する十分なスペースを与える十分なスペースがあります。したがって、エンドサイトに(最初の割り当てと後続の割り当ての両方で)数年続く十分なスペースを提供することが非常に望ましいままです。幸いなことに、この目標はさまざまな方法で達成でき、すべてのエンドサイトが同じデフォルトサイズの割り当てを受ける必要はありません。」
RFC 7608およびBCP 198-「転送のためのIPv6プレフィックス長の推奨事項」
要約-IPv4の場合と同様に、IPv6プレフィックス長は、Classless Inter-domain Routing(CIDR)アーキテクチャに従ってIPv6ルーティングおよび転送プロセスで伝達および使用されるパラメーターです。IPv6プレフィックスの長さは0〜128の任意の数値にできますが、アドレス割り当てにステートレスアドレス自動構成(SLAAC)を使用するサブネットは、通常/ 64プレフィックスを使用します。したがって、ルーティングと転送のハードウェアおよびソフトウェアの実装では、プレフィックス長に規則を課すべきではありませんが、有効な長さのプレフィックスには最長一致優先を実装する必要があります。
RFC 7934およびBCP 204-「ホストアドレス可用性の推奨事項」では、ネットワークが汎用エンドホストに複数のグローバルIPv6アドレスをアタッチするときに提供することを推奨しており、その利点とオプションについて説明しています。
はじめに -「IPv4ネットワークとは異なり、IPv6ネットワークはホストごとに1つのアドレスのみを提供するというアドレス不足の懸念から強制されません。さらに、複数のアドレスを提供すると、アプリケーションの機能とシンプルさ、プライバシー、将来のアプリケーションに対応する柔軟性など、多くの利点があります。もう1つの重要な利点は、ネットワークアドレス変換(NAT)を使用せずにインターネットアクセスを提供できることです。
2.一般的なIPv6の配置モデル - IPv6がインターフェイスごとに、複数のグローバルアドレスを含む複数のアドレスをサポートするように設計されている(参照のセクション2.1 [RFC4291]及び[RFC6434]のセクション5.9.4に)。現在、多くの汎用IPv6ホストは、インターフェイスごとに3つ以上のアドレスで構成されています。リンクローカルアドレス、安定したアドレス(たとえば、64ビット拡張一意識別子(EUI-64)または不透明インターフェイス識別子[ RFC7217 ]を使用) 、1つ以上のプライバシーアドレス[ RFC4941 ]、およびIPv6の動的ホスト構成プロトコル(DHCPv6)[ RFC3315 ] を使用して取得した1つ以上の一時的または非一時的なアドレス。
ほとんどの汎用IPv6ネットワークでは、ホストは、ネットワークへの明示的な要求なしに、リンクプレフィックスから追加のIPv6アドレスを構成できます。このようなネットワークには、ステートレスアドレス自動設定(SLAAC)[ RFC4862 ] を使用するイーサネットおよびWi-Fiネットワークに加えて、すべての3GPPネットワーク([RFC6459]、セクション5.2)が含まれます。
RFC 4862-「IPv6ステートレスアドレス自動構成」では次のように説明しています。
3.設計目標
ステートレス自動構成は、次の目標を念頭に置いて設計されています。oネットワークに接続する前に個々のマシンを手動で構成する必要はありません。...アドレスの自動構成では、各インターフェイスがそのインターフェイスに一意の識別子(「インターフェイス識別子」)を提供できると想定しています。...
単一のリンクに接続された一連のマシンで構成される小規模サイトでは、通信の前提条件としてDHCPv6サーバーまたはルーターの存在を必要としないでください。プラグアンドプレイ通信は、リンクローカルアドレスを使用して実現されます。リンクローカルアドレスには、一連のノードが接続する(単一の)共有リンクを識別する既知のプレフィックスがあります。ホストは、インターフェイス識別子をリンクローカルプレフィックスに追加することにより、リンクローカルアドレスを形成します。
複数のネットワークとルーターを備えた大規模なサイトでは、アドレス構成にDHCPv6サーバーが存在する必要はありません。グローバルアドレスを生成するには、ホストは接続先のサブネットを識別するプレフィックスを決定する必要があります。ルーターは、リンク上のアクティブなプレフィックスのセットをリストするオプションを含む定期的なルーターアドバタイズメントを生成します。
アドレスの構成により、サイトのマシンの適切な番号の付け直しが容易になります。たとえば、サイトは、新しいネットワークサービスプロバイダーに切り替えるときに、すべてのノードの番号を付け直したい場合があります。インターフェイスへのアドレスのリースと、同じインターフェイスへの複数のアドレスの割り当てにより、番号の付け直しが行われます。リースライフタイムは、サイトが古いプレフィックスを段階的に廃止するメカニズムを提供します。インターフェイスへの複数のアドレスの割り当てにより、新しいアドレスと段階的に廃止されるアドレスの両方が同時に機能する移行期間が提供されます。
セキュリティに関する考慮事項:
OPSEC - " のIPv6ネットワークの運用セキュリティの考慮事項-ドラフト-IETF-OPSEC-v6-12 ":
- 一般的なセキュリティの考慮事項
2.1。アドレス指定アーキテクチャ
IPv6アドレスの割り当てと全体的なアーキテクチャは、IPv6を保護する重要な部分です。初期設計は、一時的なものであっても、予想よりはるかに長く続く傾向があります。当初、IPv6は番号の付け直しを簡単にすると考えられていましたが、実際には、適切なIPアドレス管理(IPAM)システムがなければ番号を付け直すことは非常に困難です。
アドレスの割り当てが割り当てられたら、全体的なアドレス割り当て計画についていくつかの考慮事項があります。豊富なアドレス空間が利用可能な場合、地理的位置とともにサービスを中心にアドレス割り当てを構成できます。これは、地理的地域間のサービスを許可または拒否するためのより構造化されたセキュリティポリシーの基礎となります。
一般的な質問は、企業がPIスペースとPAスペースを使用する必要があるかどうかですRFC7381 ]が、セキュリティの観点からはほとんど違いはありません。ただし、覚えておくべき1つの側面は、悪意のある犯罪行為によりアドレス空間のルーティング可能性に制限を実施する必要がある場合に、誰がアドレス空間の管理所有権を持ち、技術的に責任があるかです。PAスペースを使用すると、組織はセキュリティポリシー(ACLに基づく)、監査システムなどの完全なネットワークの番号を付け直すことになります。要するに、大規模なネットワークで自動化を行わないとセキュリティリスクにつながる複雑なタスクです。したがって、大規模なネットワークでは、PIスペースを優先する必要があります。
その他の参照:
ARIN-「推奨されるドラフトポリシーARIN-2015-1:IPv6の初期エンドユーザー割り当ての基準の変更」。
ARIN-「ドラフトポリシーARIN-2011-3:ISPのIPv6割り当ての改善」。
IANA - メインページ - 議定書レジストリ - IANAが管理する予約済みのドメイン。
IETF-「IPv6ホスト密度メトリックに関する考慮事項-draft-huston-hd-metric-00.txt」。
ウィキペディアの現在のベストプラクティス(現在は最新ではありません)。
AP NIC-「IPv6ベストカレントプラクティス」。
Cloudmarkのホワイトペーパー:「IPv6ネットワークでの短期SMTP展開のためのBCP」。
NSRC.org-「入力および出力フィルタリングラボ-キャンパスネットワーク設計および運用ワークショップ」。
RIPE-「IPv6アドレスの割り当てと割り当てのポリシー」は、(他の多くのことの中でも)次のように述べています。「IPv6アドレススペースの最小割り当てサイズは/ 32です(LIRの場合)」 LIRは、2年以内に他の組織へのサブ割り当ておよび/またはエンドサイトの割り当てを行う計画を持っている必要があります。」、「初期割り当て基準を満たすLIRは、/ 32から/ 29までの初期割り当てを受け取る資格があります。追加情報を提供してください。」、...
RIPE-「IPアドレスとCIDRチャートについて」(以下も参照)は、これらの有用なチャートを提供します。
インターネットの元のアーキテクチャは、大部分が互いに直接接続する大規模なネットワークで構成されており、今日使用されている階層設計とはあまり似ていませんでした。1つの巨大なアドレスブロックを軍隊に、もう1つのアドレスブロックをスタンフォード大学に提供するのは簡単でした。そのモデルでは、ルーターはネットワークごとに1つのIPアドレスのみを記憶する必要があり、それらの各ルートを介して何百万ものホストに到達できました。
ここでの古地図で、インターネット全体では1982年2月今日のインターネットに比べて、StackExchange.comは小さなドットである右画像の中心にある、道にズームインします。
RFC 3484-「インターネットプロトコルバージョン6(IPv6)のデフォルトアドレス選択」はRFC 6724(2012年9月)で廃止されました。このアップデートの新機能は次のとおりです。
「セクション2.1.4、2.2.2および2.2.3のRFC 5220は、ユニークローカルアドレス(ULAs)に関連するアドレス選択問題を記述[RFC4193]。任意ULAであるため、デフォルトでは、グローバルIPv6宛先が、ULA先よりも好まれます必ずしも到達可能ではありません。」。
参照:RIPE-「IPアドレスとCIDRチャートについて」:
「インターネットに接続するすべてのデバイスには識別子が必要です。インターネットプロトコル(IP)アドレスは、インターネットに接続されている特定のハードウェアを識別するために使用される数値アドレスです。
現在使用されているIPの最も一般的な2つのバージョンは、インターネットプロトコルバージョン4(IPv4)とインターネットプロトコルバージョン6(IPv6)です。IPv4とIPv6の両方のアドレスは、有限のプールから取得されます。
IPv4の場合、このプールのサイズは32ビット(2 ^ 32)で、4,294,967,296個のIPv4アドレスが含まれます。
IPv6アドレス空間のサイズは128ビット(2 ^ 128)で、340,282,366,920,938,463,463,374,607,431,768,211,456 IPv6アドレスが含まれます。
アドレス割り当てモデル
現在、IANAはアドレスブロックを地域レジストリに割り当てています。レジストリは、アドレスブロックをサービスプロバイダーに割り当てます。アドレスをそれぞれの顧客に配布することは、サービスプロバイダーの責任です。
現在のポリシーは地域によって異なりますが、最も保守的な場合、エンドユーザーはIPv6アドレススペースの地域レジストリに直接近づくのではなく、ユーザーのサービスプロバイダーを経由してIPv6アドレススペースを取得する必要があります。
この図は、この初期ポリシーがどのように実施されるかを図で表しています。この割り当てモデルは、一般にプロバイダー割り当て(PA)またはプロバイダー依存(PD)割り当てと呼ばれます。図に示されているプレフィックスの長さは推奨事項です。レジストリとサービスプロバイダーは、地域と顧客向けに確立したプロセスと手順を使用してブロックを割り当てることができます。これはRFC 6177で説明されています。
RFC 6177-「エンドサイトへのIPv6アドレスの割り当て」。
ポリシーの例として、IANAは2600:0000 :: / 12を割り当てのためにARINに割り当てました。これは、モデルの最上層に揃えられます。ARINはその後、2600 :: / 29ブロックをSprintに、2600:300 :: / 24をAT&T Mobilityに、2600:7000 :: / 24をハリケーンエレクトリックなどに割り当てました。
これらのブロックの割り当ては、RFC 3177で定義された元のモデルに従いません。その後、サービスプロバイダーは、顧客のニーズに基づいて顧客にブロックを割り当てます。インターネットサービスプロバイダー(ISP)には、幅広いアドレスを顧客に割り当てる柔軟性があります。
たとえば、大企業のISPの顧客には/ 40の割り当てが必要な場合がありますが、住宅の顧客には/ 60の割り当てのみが必要です。
地域のレジストリによって制定されたこのポリシーには例外があり、エンドカスタマーがレジストリに直接アクセスしてIPv6アドレススペースを要求できるようにします。この例外は、プロバイダー独立(PI)アドレス指定として知られています。
RFC 5375-「IPv6ユニキャストアドレスの割り当てに関する考慮事項」では、アドレス指定計画を作成するときに考慮する必要があるいくつかの問題について概説しています。
最初に、プロバイダーに依存しないアドレスブロックが必要か、またはプロバイダーにアドレス指定が割り当てられるかを決定する必要がありますか?
顧客がPIアドレスを持っている場合、元の割り当ての基準が満たされていれば、割り当ては有効のままになります。
PAアドレスを持つお客様は、別のLIRから新しいアドレススペースの割り当てを取得し、元のLIRによって割り当てられたPAアドレススペースを返すことをお勧めします。これで
さらに、上記のIANAおよびIETFリンクを参照することが、ベストプラクティスを維持するための最良の方法です。
v4とv6の主な違い
v4と大差ないはずであることに加えて、必要なサブネットを把握し、どの論理グループに分類されるか、各レベルで必要な将来の拡張の余地を把握し、計画を立て始めます。