IPv6 plán

[frogale]

Existuje nějaké doporučení jak velký IPv6 rozsah by měl dostat každý koncák?

/60 rozsah pobere 16 rozsahů /64 což mi přijde pro některá nasazení málo..
/58 už vypadá líp (64x)

Ale jaká je běžná praxe?

[ludvik]

Co/kdo je koncák?

[frogale]

Běžná nebo méně běžná rodina (ne firma)

[tom-tom]

Nevim jak kdo, ale já když jsem poprvé slyšel zmínku o ipv6 a o tom obrovském množství adres, myslel jsem si že bude po problému jednou pro vždy.
Tato myšlenka mě opustila v okamžiku, kdy jsem dostal k rozdělení jednu /48 a zjistil, že ono jich zas tolik moc přece jen není

[Standula]

Koncovy klient ma mit zasadne /64.
IPv6 adres je strasne moc . Staci vse spravne promyslet a rozdelit...

[tom-tom]

To ano, jen můj smartfon dostane přiděleno tolik ip adres, že může dát každému tranzistoru v jeho CPU a ještě jich pár "zbyde"

[zajdee]

Koncový klient nemá mít /64. Nikdy. To, že to někteří ISP i TakyISP dělají, je jen známka neznalosti nebo posedlosti prodejem větších bloků (to je případ O2, které dnes přiděluje jen jednu /64 a tudíž je jeho IPv6 dost špatně použitelná pro jakékoli pokročilejší síťování na takové přípojce).

Důvod? V IPv6 existuje automatická konfigurace IP adres, která pro správnou funkčnost vyžaduje používat na rozhraní právě rozsah /64 a žádný jiný.

S jedním přiděleným /64 tedy uživatel může mít doma jen a pouze jednu síť. Čímž se vylučujou všechny věci jako:
- virtualizace s routovanou podsítí (v IPv6 není NAT, takže nejde udělat NAT z virtuálu do fyzické sítě)
- rozvoj nových technologií - domácí senzorové síti (často s nízkou propustností) je lepší přidělit separátní /64 rozsah, aby ji nezahltily multicastové požadavky ze sítě s PC/smartphony
- VPNkování do vlastní sítě, pokud na routeru nechcete zběsile bridgovat VPNkovou síť a domácí LAN
- Guest WLAN, tedy wifi síť pro hosty, oddělená od domácího provozu, musí mít taktéž vlastní /64 blok.

Tedy, za naprosté minimum pro domácnost považuju čtyři /64 bloky pro domácnost, tj. rozsah /62, plus spojovačku (odpadá, pokud používáte PPPoE). Rozumný rozsah pro domácnosti se pak pohybuje od /56 do těch /62.
Za naprosté minimum pro malého firemního zákazníka pak považuju /60, lépe /56 - s tím už si většina firem vystačí. Pokud má víc poboček od jednoho ISP, může pak dostat např. /56 na každou pobočku.

P.S. pokud vám upstream ISP odmítá přidělit víc, než /48, a odůvodňuje to "tím, že koncovým sítím se víc /48 bloků nepřiděluje" (přesněji pokud koncová síť potřebuje víc adres, než /48, musí to posoudit RIPE), tak je vedle jak ta jedle. Vy totiž nejste koncová síť, ale podřízený ISP, a pro podřízené ISP žádná politika neexistuje.

Pro další studium doporučuju alokační politiku RIPE: http://www.ripe.net/ripe/docs/ripe-552 (konkrétně sekce 5.3, která se vztahuje na alokace podřízeným ISP, a 5.4.2, vztahující se na přiřazení adresních bloků koncovým sítím)

[DarkLogic]

P.S. pokud vám upstream ISP odmítá přidělit víc, než /48, a odůvodňuje to "tím, že koncovým sítím se víc /48 bloků nepřiděluje" (přesněji pokud koncová síť potřebuje víc adres, než /48, musí to posoudit RIPE), tak je vedle jak ta jedle. Vy totiž nejste koncová síť, ale podřízený ISP, a pro podřízené ISP žádná politika neexistuje.

Je to tak...my třeba od ČRa máme přidělen blok /44 a RIPE se řešit nemusel.

Btw. ještě k těm přidělovaným velikostem. Jsi si jistý, že je správné přidělovat rozsahy velikosti /62 nebo /58? Mám pocit, že jsem někde četl, že velikosti mají být v násobcích 4. Tedy /44, /48, /52, /56, /60, /64 a nic mezi tím.

[zajdee]

Přidělování po násobcích čtyř má zřejmě jediný důvod: reverzní DNS. Vzhledem k zápisu reverzního DNS se totiž snadno delegují bloky po násobcích čtyř a cokoli mezi tím generuje stejné problémy, jako u reverzního DNS pro IPv4 (šílenosti typu CNAME v reverzních záznamech).

Jinak na to pokud vím žádný další doporučení není.

[Bach]

Ja davam:
koncovy user /62 pro vnitrni sit
wan je /62 site

[Tomáš Nesrsta]

Jednoduchej návod je zde:

Kód: Vybrat vše

http://wiki.ispadmin.eu/download/DOC/navrh.pdf

[hapi]

hehe, to je náš styl.

[ezdiy]

S jedním přiděleným /64 tedy uživatel může mít doma jen a pouze jednu síť. Čímž se vylučujou všechny věci jako:
- virtualizace s routovanou podsítí (v IPv6 není NAT, takže nejde udělat NAT z virtuálu do fyzické sítě)
- rozvoj nových technologií - domácí senzorové síti (často s nízkou propustností) je lepší přidělit separátní /64 rozsah, aby ji nezahltily multicastové požadavky ze sítě s PC/smartphony
- VPNkování do vlastní sítě, pokud na routeru nechcete zběsile bridgovat VPNkovou síť a domácí LAN
- Guest WLAN, tedy wifi síť pro hosty, oddělená od domácího provozu, musí mít taktéž vlastní /64 blok.

Vidim to presne naopak. Domaci sit z pohledu L3 vidi /64 poskytovatele odkud taktez slysi RA pro autoconfig. Zadne jine nevyzadane broadcasty z jeho ISP dratu ale nehrozi, protoze zakosove se vzajemne nevidi v broadcast/multicast domene - vsichni slysi pouze gw (L3 rozhrani) a mohou mluvit pouze na gw. Tomu se rika Private VLAN (H3C tomu rika isolated-user-vlan, na DSLAMu je to secure mode...) na urovni ISP access ci agregacniho switche.

Zcela analogicky pak postupuje zakaznik. Jeho domaci switch co v pripade potreby umi presmerovat provoz na CPU firewall umoznuje naklikat ktera rozhrani se mezi sebou vidi, ktera ne (opet Private VLAN via ports= a new-dst-ports=), na ktere porty vpustit trafik z internetu, na ktere ne.... Bonusem je pak to ze vubec prilis nemusi resit nejake segmenty a rozsahy - proste rekne ktere porty jsou ceho a co kam muze ci nemuze.

Uplne stejne jako na v4.

Nekteri uz se ted certi ze jednotlivi zakaznici se mezi sebou neuvidi - presne k tomuto ucelu slouzi local proxy arp / ipv6 local nd proxy na L3 rozhrani poskytovatele. Uznavam ale ze cely tento kram rozchodit neni uplne trivialni - v praxi se jedna pouze o FTTB metro ethernet ci Wifi/ADSL PPPoE.

V pripade ze koncak je firma kde maji nejaky skutecny router a cloveka co tomu rozumi, neni problem, nasi sdilenou /64 jako spojovacku a staticka routa pro jeho /56 ci dokonce OSPF p2p link.

Souhlasim ze Sub-ISP by mel dostat minimalne /48, jeste lepe /40 ci /44.

[Majklik]

To nikdo nepoužívá techniku, že všechny routery v síti mají jen jednu /128 globalní IP adresu pověšenou v případě RBčka na oblíbeném bridge-routerid, linky jedou jen na link local, včetně linky k zákazníkovi a až za tuto linku se posílá segment globálních adres (ať už dle svýh zásah /64 nebo něco většího)? Jen když zákoš má jeden kompl, tak je k němu spojovák /64 globální?

[ezdiy]

To nikdo nepoužívá techniku, že všechny routery v síti mají jen jednu /128 globalní IP adresu pověšenou v případě RBčka na oblíbeném bridge-routerid, linky jedou jen na link local, včetně linky k zákazníkovi a až za tuto linku se posílá segment globálních adres (ať už dle svýh zásah /64 nebo něco většího)? Jen když zákoš má jeden kompl, tak je k němu spojovák /64 globální?

Ne vsechno umi fungovat v konfiguraci spojovacky pres LL + /128 dummy interface s globalni adresou. Bylo by to sice krasne, bohuzel mnozi vyrobci HW routeru (tj nikoliv mikrotik, linux pc...) proste nonsalantne veci mensi nez /64 ignoruji (samozrejme krome ND/MLD ktere bezi pres specialni lokalni adresy).