Hlavní navigace

Jak adresovat dual-stack

 Autor: 29
Pavel Satrapa

IPv6 přináší obrovský adresní prostor ve všech směrech. Dává správcům koncových sítí daleko větší volnost, nenutí je ke kompromisům a sáhodlouhým úvahám, zda hranici podsítě posunout o jeden bit doleva nebo doprava. Jak navrhnout jeho adresování a jak je sladit se stávajícími IPv4 adresami?

Těmito otázkami a příklady jejich řešení se zabývá RFC 5375. Na začátku shrnuje nejvýznamnější rozdíly v adresách obou protokolů z pohledu správce sítě:

  • každé rozhraní má několik IPv6 adres, zatímco v IPv4 bývá jediná,
  • podsíť je prakticky nekonečná, pojme 1018 zařízení,
  • připojená síť má k dispozici spoustu podsítí, standardně přes 65 tisíc.

To vše výrazně usnadňuje návrh adresního plánu, protože se správce může soustředit na logické uspořádání sítě a nemá kouli na noze v podobě technických omezení. Na druhé straně si do vínku přináší stávající infrastrukturu. IPv6 síť nevznikne na zelené louce, bude pravděpodobně sdílet techniku s IPv4 v dual-stack uspořádání. V principu ji lze koncipovat a adresovat zcela odlišně, v praxi to však nebývá výhodné a spíš si tím člověk přidělá starosti. Jak tedy adresní plán navrhnout?

IPv6 prefix lze pro síť získat dvěma způsoby: buď globální, přidělovaný standardním procesem prostřednictvím registrátora (poskytovatele Internetu), nebo si samostatně vygenerovat unikátní lokální (ULA podle RFC 4193). V obou případech by výsledkem měl být prefix standardní délky 48 bitů, pokud nejste hodně mimořádným zákazníkem.

Rozhodování, zda sáhnout po globálních adresách nebo po ULA, je poměrně jednoduché. Pokud máte možnost získat globální prefix, určitě mu dejte přednost. Můžete mít samozřejmě i oba (viz vícero adres), ale nevidím v tom žádný velký přínos. Teoreticky samozřejmě existuje. V literatuře se píše, že ULA mohou být prospěšné při změně poskytovatele (a tudíž globálního prefixu), protože jsou jen vaše, zůstanou beze změny a poskytnou pevný bod během přesunu. Také je možné je používat pro lokální komunikaci, zatímco směrem do Internetu se použijí globální adresy. Paranoici mohou části sítě adresovat jen ULA, aby nebyly zvenčí adresovatelné, tudíž hůře dosažitelné a o něco bezpečnější.

Nicméně myslím, že to nestojí za schizofrenii z dvojích adres. Obecně dávám přednost co nejjednoduššímu adresování, tedy raději jen jeden prefix. Globální je lepší. Pokud nemáte možnost jej získat, vygenerujte si ULA. Také globálních může být víc, pokud potřebujete multihoming a získáte prefixy od několika poskytovatelů. Žádné principiální omezení není, každá další adresa však o něco zvyšuje pravděpodobnost chyby a nekonzistence. Až na opodstatněné výjimky platí, že méně prefixů je více.

Zajímavé téma jsou podsítě. Nouzí trpět nebudete, nemusíte proto šetřit a můžete si dovolit i na dvoubodových linkách (například páteřní spoje mezi dvojicemi směrovačů) používat prefixy standardní délky 64 bitů. Je to samozřejmě nehorázné plýtvání. RFC 5375 se zabývá i minimalistickými podsítěmi pro tyto účely a dochází k závěru, že možnou variantou je použití 126bitového prefixu. Žádný ze současných mechanismů by s dlouhým prefixem neměl mít problém, otázkou ale je, zda se časem takový neobjeví.

Pokud byste z principu nechtěli plýtvat, připadá mi jako vhodnější než 126bitové prefixy použít pro tento účel ULA. Vytvořte si lokální prefix a adresujte jím páteřní spoje v síti. Můžete si pak směle dovolit standardní 64bitové prefixy podsítí, aniž byste plýtvali globálními adresami. A mít páteřní spoje adresované ze zcela jiného prostoru než běžné koncové podsítě může mít svůj půvab.

Pokud se topologie podsítí týká, je velkou výhodou, když může být identická s IPv4. Svého času jsme pro neschopnost jednoho z páteřních prvků museli směrovat IPv6 z některých podsítí jinde než IPv4 a nebylo to nic příjemného – občas jsme při změnách konfigurace pozapomněli a děly se nepěkné věci. Snažte se proto, aby mapka vašich podsítí mezi oběma protokoly byla 1:1. Jedinou výjimkou z tohoto pravidla je, pokud jste někde vytvářeli IPv4 sítě „násilně“ kvůli kapacitním omezením. Tedy například když na jedné lince máte několik paralelních IPv4 podsítí, protože kapacita jedné nestačila a zvětšit ji nebylo možné. Pak je logické, aby z pohledu IPv6 tyto podsítě splynuly do jedné.

Adresy podsítí můžete narýsovat zcela nově (a promítnout do nich například topologické uspořádání podsítí). Mentálnímu zdraví správce však výrazně prospívá, pokud jejich identifikátory odpovídají některým předchůdcům – identifikátorům IPv4 podsítí, případně VLAN. Mnemotechnicky nejjednodušší je, když zápis identifikátoru IPv6 podsítě odpovídá IPv4 – tedy IPv4 podsíť 27 má hodnotu 27 i v zápisu IPv6 adresy (ve skutečnosti je podsítí 39, protože oněch 27 v IPv6 je zapsáno v šestnáctkové soustavě).

V případě identifikátorů rozhraní je nejrozumnější ponechat je v implicitní podobě, tedy podle EUI-64. Veškeré mechanismy pro automatickou konfiguraci k nim směřují, případně s doplněním o dočasné adresy zachovávající soukromí. Pouze u páteřních prvků může být zajímavé zachovávat IPv4 identifikátory, stejně jako v případě podsítí. Rozhraní páteřního směrovače s IPv4 adresou 10.0.19.47 může mít IPv6 adresu prefix_sítě:19::47, aby se to lépe pamatovalo. Ovšem pokud máte směrovače v DNS, je to v podstatě jedno.

Při ručním přidělování je záhodno vyhnout se adresám se speciálním významem. Jejich přehled najdete ve zmiňovaném RFC 5375. Možná nejzajímavější částí celého dokumentu je ale příloha A, která představuje dvě modelové sítě a jejich adresní schémata. První reprezentuje koncovou síť větších rozměrů (na konkrétním příkladu University of Southampton), druhá poskytovatele Internetu. Tady se dá najít užitečná inspirace pro vlastní podobná rozhodnutí.

Našli jste v článku chybu?

2. 6. 2009 10:35

Praktické využití to asi nemá, ale je to předpsané standardem a tudíž /127 je pro spojky nevhodné. Používejte link local. Přijde mi opravdu elegantní mít v routovacím protokolu jen sítě, ze kterých/do kterých opravdu něco teče.

31. 5. 2009 18:20

ja (neregistrovaný)
Pravda pravda, vzdycky vlhnu kdyz vidim jak se verejny ipny prohani po routerech s privatnima ipnama.
DigiZone.cz: Optimedia: hybridní kampaň Nescafé

Optimedia: hybridní kampaň Nescafé

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo