Jak adresovat dual-stack

IPv6 přináší obrovský adresní prostor ve všech směrech. Dává správcům koncových sítí daleko větší volnost, nenutí je ke kompromisům a sáhodlouhým úvahám, zda hranici podsítě posunout o jeden bit doleva nebo doprava. Jak navrhnout jeho adresování a jak je sladit se stávajícími IPv4 adresami?

Těmito otázkami a příklady jejich řešení se zabývá RFC 5375. Na začátku shrnuje nejvýznamnější rozdíly v adresách obou protokolů z pohledu správce sítě:

  • každé rozhraní má několik IPv6 adres, zatímco v IPv4 bývá jediná,
  • podsíť je prakticky nekonečná, pojme 1018 zařízení,
  • připojená síť má k dispozici spoustu podsítí, standardně přes 65 tisíc.

To vše výrazně usnadňuje návrh adresního plánu, protože se správce může soustředit na logické uspořádání sítě a nemá kouli na noze v podobě technických omezení. Na druhé straně si do vínku přináší stávající infrastrukturu. IPv6 síť nevznikne na zelené louce, bude pravděpodobně sdílet techniku s IPv4 v dual-stack uspořádání. V principu ji lze koncipovat a adresovat zcela odlišně, v praxi to však nebývá výhodné a spíš si tím člověk přidělá starosti. Jak tedy adresní plán navrhnout?

IPv6 prefix lze pro síť získat dvěma způsoby: buď globální, přidělovaný standardním procesem prostřednictvím registrátora (poskytovatele Internetu), nebo si samostatně vygenerovat unikátní lokální (ULA podle RFC 4193). V obou případech by výsledkem měl být prefix standardní délky 48 bitů, pokud nejste hodně mimořádným zákazníkem.

Rozhodování, zda sáhnout po globálních adresách nebo po ULA, je poměrně jednoduché. Pokud máte možnost získat globální prefix, určitě mu dejte přednost. Můžete mít samozřejmě i oba (viz vícero adres), ale nevidím v tom žádný velký přínos. Teoreticky samozřejmě existuje. V literatuře se píše, že ULA mohou být prospěšné při změně poskytovatele (a tudíž globálního prefixu), protože jsou jen vaše, zůstanou beze změny a poskytnou pevný bod během přesunu. Také je možné je používat pro lokální komunikaci, zatímco směrem do Internetu se použijí globální adresy. Paranoici mohou části sítě adresovat jen ULA, aby nebyly zvenčí adresovatelné, tudíž hůře dosažitelné a o něco bezpečnější.

Nicméně myslím, že to nestojí za schizofrenii z dvojích adres. Obecně dávám přednost co nejjednoduššímu adresování, tedy raději jen jeden prefix. Globální je lepší. Pokud nemáte možnost jej získat, vygenerujte si ULA. Také globálních může být víc, pokud potřebujete multihoming a získáte prefixy od několika poskytovatelů. Žádné principiální omezení není, každá další adresa však o něco zvyšuje pravděpodobnost chyby a nekonzistence. Až na opodstatněné výjimky platí, že méně prefixů je více.

Zajímavé téma jsou podsítě. Nouzí trpět nebudete, nemusíte proto šetřit a můžete si dovolit i na dvoubodových linkách (například páteřní spoje mezi dvojicemi směrovačů) používat prefixy standardní délky 64 bitů. Je to samozřejmě nehorázné plýtvání. RFC 5375 se zabývá i minimalistickými podsítěmi pro tyto účely a dochází k závěru, že možnou variantou je použití 126bitového prefixu. Žádný ze současných mechanismů by s dlouhým prefixem neměl mít problém, otázkou ale je, zda se časem takový neobjeví.

Pokud byste z principu nechtěli plýtvat, připadá mi jako vhodnější než 126bitové prefixy použít pro tento účel ULA. Vytvořte si lokální prefix a adresujte jím páteřní spoje v síti. Můžete si pak směle dovolit standardní 64bitové prefixy podsítí, aniž byste plýtvali globálními adresami. A mít páteřní spoje adresované ze zcela jiného prostoru než běžné koncové podsítě může mít svůj půvab.

Pokud se topologie podsítí týká, je velkou výhodou, když může být identická s IPv4. Svého času jsme pro neschopnost jednoho z páteřních prvků museli směrovat IPv6 z některých podsítí jinde než IPv4 a nebylo to nic příjemného – občas jsme při změnách konfigurace pozapomněli a děly se nepěkné věci. Snažte se proto, aby mapka vašich podsítí mezi oběma protokoly byla 1:1. Jedinou výjimkou z tohoto pravidla je, pokud jste někde vytvářeli IPv4 sítě „násilně“ kvůli kapacitním omezením. Tedy například když na jedné lince máte několik paralelních IPv4 podsítí, protože kapacita jedné nestačila a zvětšit ji nebylo možné. Pak je logické, aby z pohledu IPv6 tyto podsítě splynuly do jedné.

Adresy podsítí můžete narýsovat zcela nově (a promítnout do nich například topologické uspořádání podsítí). Mentálnímu zdraví správce však výrazně prospívá, pokud jejich identifikátory odpovídají některým předchůdcům – identifikátorům IPv4 podsítí, případně VLAN. Mnemotechnicky nejjednodušší je, když zápis identifikátoru IPv6 podsítě odpovídá IPv4 – tedy IPv4 podsíť 27 má hodnotu 27 i v zápisu IPv6 adresy (ve skutečnosti je podsítí 39, protože oněch 27 v IPv6 je zapsáno v šestnáctkové soustavě).

MIF16

V případě identifikátorů rozhraní je nejrozumnější ponechat je v implicitní podobě, tedy podle EUI-64. Veškeré mechanismy pro automatickou konfiguraci k nim směřují, případně s doplněním o dočasné adresy zachovávající soukromí. Pouze u páteřních prvků může být zajímavé zachovávat IPv4 identifikátory, stejně jako v případě podsítí. Rozhraní páteřního směrovače s IPv4 adresou 10.0.19.47 může mít IPv6 adresu prefix_sítě:19::47, aby se to lépe pamatovalo. Ovšem pokud máte směrovače v DNS, je to v podstatě jedno.

Při ručním přidělování je záhodno vyhnout se adresám se speciálním významem. Jejich přehled najdete ve zmiňovaném RFC 5375. Možná nejzajímavější částí celého dokumentu je ale příloha A, která představuje dvě modelové sítě a jejich adresní schémata. První reprezentuje koncovou síť větších rozměrů (na konkrétním příkladu University of Southampton), druhá poskytovatele Internetu. Tady se dá najít užitečná inspirace pro vlastní podobná rozhodnutí.

5 názorů Vstoupit do diskuse
poslední názor přidán 2. 6. 2009 10:35

Školení Google Analytics pro pokročilé

  •  
    Jak využít nové funkce Google Analytics
  • Vyhodnocování pomocí Multichannel funnels
  • Neopakujte chyby při vyhodnocování dat.

Informace o školení Google Analytics pro pokročilé »