Quelles sont les tailles courantes pour diviser un sous-réseau IPv6 / 29 - / 32?

En tant que LIR, vous obtenez une allocation de réseau de / 29 à / 32 par le RIPE, mais je suis un peu dépassé par la taille de ce sous-réseau, et je ne trouve pas de point de départ pour le diviser en tailles communes.

Ce que nous devons résoudre avec ce sous-réseau:

postes de travail de bureau Nous avons actuellement deux bureaux dans (encore) un pays.

Office IoT stuff caméras, téléphones, téléviseurs, autres trucs

serveurs locaux de bureau Juste un tas d'hôtes VM et de routes / commutateurs

centres de données Actuellement, nous avons des serveurs dans un centre de données. Là, nous hébergeons plusieurs services différents:

• applications SaaS partagées
• serveurs dédiés aux particuliers
• hébergement web partagé
• service interne
• un tas d'itinéraires

Mon problème est que je n'ai aucune idée de la taille des sous-réseaux à affecter:

• hôte individuel
• groupe de services (comme les postes de travail ou tous les hôtes d'un produit spécifique)
• emplacement
• comté

Quelques directives simples qui fonctionnent la plupart du temps:

Diviser votre / 29

• La taille standard de votre allocation de RIPE NCC est de / 32
• A / 32 est une taille de préfixe bien acceptée dans la table de routage globale
• Vous pouvez obtenir un / 29 simplement en le demandant
• Conclusion : Obtenez un / 29 et commencez à utiliser le / 32, enregistrez les autres / 32 pour votre déploiement dans d'autres pays, continents, etc.

Détermination de la taille du préfixe par site

• RIPE vous permet d'attribuer jusqu'à a / 48 par site sans avoir à expliquer quoi que ce soit. Lorsque vous attribuez un préfixe plus court (/ 47, / 46, etc.), vous devrez expliquer pourquoi vous avez besoin de plus d'un / 48.
• A / 32 contient 65 536/48.
• Il n'est donc pas nécessaire de donner à un site quelque chose de plus petit qu'un / 48 (/ 49, / 50, etc.).
• Conclusion : / 48 par site

Détermination de la taille du préfixe LAN

• Les normes disent d'utiliser un / 64.
• Donc, dans votre plan d'adressage, alignez toujours sur / 64s
• La configuration de a / 127 sur des liaisons point à point est courante et peut vous protéger contre les débordements de cache, à utiliser x:y:z::aà une extrémité et x:y:z::bà l'autre pour la lisibilité.
• Réservez un / 64 pour les adresses de bouclage du routeur, les services anycasted, etc. Je choisis généralement le premier / 64 parmi le / 48 pour que les adresses soient agréables et courtes à écrire avec ::notation. Configurer / 128 adresses à partir de ce / 64 sur les interfaces de bouclage, etc.
• Ne pensez même pas à ne pas utiliser un / 64 sur un LAN ou VLAN, les choses vont se casser. Si ce n'est pas aujourd'hui, alors très probablement à l'avenir.
• Ne changez pas encore votre architecture LAN / VLAN, attribuez simplement / 64 à chaque LAN / VLAN existant.

Les bits restants

• Il y a encore des choix à faire:
  • Comment utiliser les bits au niveau du pays entre a / 32 et a / 48?
  • Comment utiliser les bits dans un site entre a / 48 et a / 64?
• Dans les deux endroits, vous pouvez simplement utiliser des nombres aléatoires entre 0000et ffff, mais cela créerait un gâchis difficile à comprendre et à retenir, alors faites quelque chose d'utile avec ces bits!
  • Toujours divisé en multiples de 4 bits (quartets) afin que la structure de votre plan d'adressage corresponde à la notation hexadécimale des adresses IPv6 (chaque caractère dans une adresse IPv6 représente 4 bits)
  • L'utilisation de ces bits dépend de votre organisation. Vous pouvez diviser les blocs de niveau 32 en / 36 et utiliser un / 36 par province. Ou vous utilisez un / 40 pour une structure qui est importante pour votre architecture organisationnelle ou d'infrastructure. Ou les deux.
  • Pareil pour le / 48:
    • Vous souhaitez peut-être attribuer un / 52 à chaque bâtiment du site et un / 56 à chaque étage de chaque bâtiment. Cela fonctionne bien avec l'agrégation de préfixes dans vos protocoles de routage.
    • Ou peut-être souhaitez-vous attribuer un / 52 ou / 56 à chaque zone de sécurité de votre architecture de sécurité. Cela facilite grandement la maintenance des politiques et des règles de pare-feu!
  • Quoi que vous choisissiez de faire: gardez un équilibre. Ne vous contentez pas de commencer à attribuer séquentiellement de 0 à ffff sans réfléchir à la façon d'organiser ces nombres, mais ne le sur-concevez pas non plus. Si vous voulez mettre trop d'informations dans les préfixes (bâtiment + étage + zone de sécurité + fonction du serveur + quelle marque de serveur c'est + etc etc) alors votre plan d'adressage devient impossible à travailler.
• Plug: J'ai écrit un article à ce sujet pour SURFnet il y a quelques années. RIPE NCC l'a traduit en anglais: https://www.ripe.net/support/training/material/IPv6-for-LIRs-Training-Course/Preparing-an-IPv6-Addressing-Plan.pdf

Les bonnes nouvelles sont qu'il ya une taille de réseau standard IPv6: /64. Vous pouvez utiliser d'autres tailles, mais certaines fonctionnalités d'IPv6 peuvent se casser si vous utilisez des tailles de réseau autres que /64.

La recommandation est d'attribuer un /48réseau ou un réseau plus court à un site et de le mettre en sous-réseau dans des /64réseaux pour chaque réseau, même si vous avez très peu d'appareils sur un réseau. Chaque /48réseau peut avoir 65 536 /64réseaux. De plus, les FAI ne publieront aucun préfixe plus longtemps que /48.

Vous devez utiliser les /128réseaux pour des choses comme les adresses de bouclage et les /127réseaux pour les liaisons point à point. Une meilleure pratique consiste à ne pas utiliser toute autre partie du /64réseau à partir de laquelle vous utilisez un /127ou un /128réseau. Il y a beaucoup d'adresses, alors sortez de la mentalité IPv4 « Je dois conserver les adresses ».

Sur n'importe quel site, vous pouvez utiliser la délégation de préfixe IPv6 pour affecter des réseaux aux interfaces.

Il y a en fait des RFC sur des choses comme ça. Par exemple, RFC 6177, Affectation d'adresse IPv6 aux sites finaux et RFC 7421, Analyse de la limite 64 bits dans l'adressage IPv6 .