有一些经常导致延迟或失败的IPv6部署项目的罪魁祸首,如糟糕的DNS计划,不充分的测试,意外的应用程序行为,以及在外设支持,管理或安全系统中的糟糕IPv6支持。当发现最初的IPv6地址设计不足时,许多部署项目会遭遇临时中断——在一些情况下,地址设计不得不多次重新设计。
更糟糕的是IPv6地址的设计,暂停项目是一个设计,是刚刚好足以让项目继续进行,但已经够糟了,这将鞍昂贵的经营困难,网络在未来几年。
地址设计应该从一开始就对IPv6部署的规划阶段的考虑。本文讨论的一些创造一个IPv6地址设计时应该考虑的因素。
这不是IPv4
大多数网络架构师都太年轻,不记得什么时候IPv4地址空间不是一种有限的资源。我们都对IPv4地址设计中任何浪费的迹象都很敏感,并期望通过仔细分析每个网络段来提供足够的地址来满足需求。可变长度子网掩码(VLSM)是非常重要的,当试图确保每个子网中有足够的主机地址时,要小心地留出足够的子网空间。
放弃那些保守的设计规范是执行IPv6地址设计中最困难的部分之一。举个例子,把IPv6网络的每个子网都变成a /64,包括点对点链接的常见问题。这样做的好处是在您的subnet中实现了一刀切的一致性,消除了VLSM带来的麻烦。但它总是让人发痒:想到拥有一个1.8446744074 x 10的子网19可用地址,只使用其中的两个 - 并且知道你将永远,永远都需要两个以上的人 - 似乎心态令人难以置信的浪费。
它是浪费。但是分配给大多数网络的IPv6地址空间是如此巨大,你可以承受惊人的浪费,以换取一致性、简单性、规模和效率。如果前缀是/32,可以是4。3欧元/64子网——IPv4的所有地址所对应的子网数量。将传统的IPv4地址保护实践应用到IPv6设计中,有点像花200美元找到节省2美元的方法。
寻找什么
虽然你可以抛弃很多你的关心地址浪费,现有的IPv4地址管理进行评估。有两个方面对这一考虑。在一方面,更可以整合IPv6寻址到熟悉的做法,你越让生活您的操作人员。在另一方面,如果你的现有地址的管理实践已经不足,这是做出改变的最佳时机。
我自己的经验是,许多如果不是大多数我的客户都乐于放弃他们所看到的一个不足,效率低下,或者存在几乎没有IPv4地址管理工作流程。
除了地址管理实践外,还必须分析对IP地址进行过滤的任何策略。这些策略包括路由、摘要和安全策略。同样,您的分析应该平衡哪些是熟悉的、有用的,哪些是长期需要改进的。
如果你是众多仍然使用电子表格管理你的IP地址的网络运营商之一,现在是考虑购买IP地址管理软件的好时机。超出一个简单的公式,其将十进制为十六进制的单电池内,Excel有没有六角支持。十六进制数字必须作为文本输入,并添加十六进制数的长序列是繁琐且容易出错。我花了许多漫长的一夜盲目地打字了数千十六进制数到开发IPv6地址设计为我的客户细胞。
一个好的IPAM包不仅使IPv4和IPv6地址的管理更加方便和安全,它也集成了DNS和DHCP管理。
设计为简单起见
即使有了一个很好的IPAM应用程序,工程和运营人员仍然会每天查看并尝试弄清楚那些丑陋的IPv6地址。您的地址越容易解释,您就越能减少常规错误。
首先映射出可供您使用的地址空间的位。你会有一些分配的前缀——通常是29、32、48或56位,取决于你的网络的大小——它们总是相同的。最后64位,接口id,通常应该保持单独除了某些类的地址,如环回。分配的前缀和接口id之间的空间是您必须使用的位。
显然,一个56位的前缀和接口-ID之间的8个比特给你比32比特前缀和接口-ID之间的32位少得多的灵活性。但是,如果你有一个56位前缀你有一个小的网络,无论如何,并且有比简单的子网号等太多的意义不大需要。
在映射可工作空间的位时,按十六进制数字(每位数4位)对其进行分组。然后决定你需要在你的地址中有什么“含义”以便于解释。含义可能包括地理位置(如地区、城市、POP、办公室)、逻辑拓扑(如OSPF区域或简单子网号)、类型指定或客户/用户ID。
然后尝试以匹配您定义的含义,以十六进制数字,而不是各个位。这是关键,以保持你的设计很简单:如果你的人员可以解释的一个或多个十六进制数字的含义,而不必地址译码给位水平,节省了时间和风险降低。
例如,假设您的网络被构造成9个区域,最大的区域有100个办事处,最大的办事处有75个子网。你可以指定一个十六进制数字作为一个区域ID(一个十六进制数是4比特,给你16个区域ID),两个后续数字作为办公室ID(两个十六进制数字是8位的,给你256办公室IDs /地区),和两个数字作为子网ID(256子网IDs /办公室)。这种设计至少需要有/44前缀;a /40可以给你多余的空间。
您的工程师将很快学会只关注对手头任务有意义的十六进制数字——分配的前缀和接口id之间的数字。因此,他们并没有尝试接受32个十六进制数字(128位),而是只关注,例如,a /32后面的8位数字,a /40后面的6位数字,a /48后面的4位数字,或a /56后面的2位数字。
在需要更多设计复杂性的较大网络中,低阶比特的格式可能会根据高阶比特定义的“含义”而有所不同。在上面的示例中,假设除了9个区域外,还有两个数据中心,每个数据中心都有2000个子网。雷竞技电脑网站区域ID E和F可以标识数据中心,在这些ID后面可以有一个四位数的子网ID,雷竞技电脑网站而不是两位数的办公室ID和两位数的子网ID(每个数据中心有65,536个子网)。
但是不要在你的设计中添加太多的“含义”。如果四层就足以告诉你的工程师关于一个地址的所有信息,那就没有必要在你的地址设计中添加十层层次结构。这导致了另一种保持简单的方法:在地址中尽可能多地使用零字符串。2001:DB8:2405:C::27是一个比2001:DB8:2405: 83fc:72A6:3452:19ED:4727更容易读取和记录的地址。如果第一个地址给了您足够的信息来管理您的网络,为什么使用第二个呢?
设计规模
“规模”和“可伸缩性”可能是网络设计词汇中最被滥用的两个词;我确实为把这些完美的好词变成刺耳的流行语做出了贡献。然而,无论我们讨论的是协议、设备、逻辑拓扑还是地址,伸缩性的概念对于好的设计都是至关重要的。你不想要一些不能适应增长的东西。
IPv6的惊人之处在于,你通常可以承受在某些方面的浪费,创建的子网的地址数量比以往任何时候都要多,同时允许子网级别及以上的增长空间。
我提到,/40前缀将给我们的简单(公认的简单)示例设计空间。我还说,您应该尽可能使用零空间来缩短整个地址。零空间应该被指定为“保留”,并在设计中以这样一种方式分布,即多个字段可以在需要时扩展到其中。
该示例的设计要求5个十六进制数字(20位)以提供对区域中,办公室,和子网ID。如果你有一个/ 40前缀,你有6个十六进制数字(24位)与工作。而不是使11th十六进制数字的地区ID,该12th和13th写上办公室的号码,14号th和15th数字子网ID,和16th数字保留,保留区域ID和办公室之间的数字ID。除了让办公室和子网ID落到更整洁的边界,4比特的位置保留数字区域和办公室之间的ID给你应该你需要灵活性:该地区或办公室IDs可以成长为空间如果你低估了未来的经济增长,或者你可以使用空间添加另一层的层次结构应该未来需求决定。
面向未来的设计
对于任何一个网络设计挑战是试图预测未来的需求,当你不很清楚的知道将来会怎样。“预见到意料之外的”似乎是徒劳无益的,而且有时候是。但是,如果你利用好预留空间,分布良好,你站在了能够适应现有的设计中使用的定义,简单地扩大未来的需求,而不是一个更好的机会必须重新设计。
大多数IPv6分配的大工作空间也可以帮助你“未来证明”你的地址设计。通常,您可以在指定的前缀后面预留整个空间,以便在不放弃现有格式的情况下添加不同的格式。
另一个需要考虑的因素是,在未来的某个时候——没人能确定是什么时候,但我认为它会比大多数人预期的更快——IPv4将会过时。加速淘汰IPv4的催化剂是在一个网络中运行两个版本的IP的成本、风险和难度。唯一的前进方向是IPv6,因此在某些时候网络运营商将会故意努力将IPv4从他们的网络中推出。
在这种假设下,除非有充分的理由,否则不要将IPv4地址作为IPv6设计中的一个元素。例如,一些工程师将设备的IPv6环回地址的最后32位指定为设备的IPv4环回地址相同。但这真的有什么好处吗?毕竟,IPv4位是用十六进制编码的,操作人员不容易识别:给定IPv6地址2001:DB8:1305:7C::C0A8:53E5,最后32位是IPv4地址192.168.83.229很明显吗?
将IPv4地址“集成”到IPv6地址的努力是在倒退IPv4,而不是展望没有IPv4的未来。如果IPv4最终从您的网络中移除,那么一个糟糕的设计可能会使您无法适应一个过时的寻址系统。
设计效率
您对路由、摘要和安全策略的初步分析有助于您创建一个地址设计,使必须过滤IPv6包的源或目的地址的任何设备的效率最大化。如果过滤器必须很好地扫描地址以找到触发“命中”的位,那么你的过滤器规则列表可能会变长。考虑到您的IPv6前缀中潜在地址的数量,该列表可能变得难以管理。
因此,尽可能多地,尽量设计你的地址,这样任何一个过滤器“感兴趣位”的地址早出现(或者前缀部分或接口-ID的部分),使他们能够代表为尽可能多的个人地址可能。
那么接口id呢?
网络中的大部分接口-ID将是64位,用点至点接口地址的可能的(有争议的)异常。如果无状态地址自动配置(SLAAC)是在您的网络中的任何地方使用,以保持64个比特SLAAC工作是在这些细分市场的接口,标识尤为重要。但是,如果你或者通过DHCPv6报或静态地址分配,这是一次机会,使用大量保留零位并简化您的地址。您可能,例如,使只有最后12位分配和前面所有的52位设置为零。这让你每个子网4096个地址 - 而这还不够?
12位或16位还为您提供了在接口id分配中包含一些随机化的空间,从而减少了对端口扫描的暴露,这些端口扫描试图从最低的接口id开始并按顺序工作,以查找子网上的工作设备。