Sub-rede IPv6 a / 64 - o que vai quebrar e como contornar isso?

Se o ISP não lhe der mais do que um / 64, então o ISP é uma droga. Se for um alívio, posso dizer que tenho que lidar com ISPs que sugam mais do que isso. Por aqui é perfeitamente normal tirar os endereços IPv4 públicos dos clientes e colocá-los atrás de um CGN. E se você pedir endereços IPv6, eles dirão que não estão oferecendo IPv6 porque ainda não há escassez de endereços IPv4 e, enquanto houver servidores sem suporte a IPv6, eles não oferecerão IPv6 porque é impossível um cliente de pilha dupla para se conectar a um servidor somente IPv4.

Se qualquer ISP me desse o que você tem, eu pegaria porque é muito pior do que consegui até agora.

Seguindo em frente, há duas abordagens que recomendo seguir em paralelo.

Coloque pressão no ISP

Coloque tanta pressão no ISP quanto possível. Isso inclui entrar em contato com outros provedores de serviços de Internet e, possivelmente, mudar se qualquer outro provedor de serviços de Internet pode oferecer-lhe um melhor negócio.

Certifique-se de testar o que acontece se o seu roteador solicitar um delegado / 48, / 52, / 56 ou / 60 por meio do DHCPv6 na WAN. Gostaria de testar todos os quatro comprimentos de prefixo apenas no caso de o servidor DHCPv6, por algum motivo, distribuir apenas um comprimento de prefixo específico e ignorar os pedidos de outros comprimentos de prefixo.

Aproveite ao máximo o que você tem

Dado que você provavelmente terá que conviver com alguns hacks, você deve se perguntar o que suga menos IPv4 com hacks ou IPv6 com hacks.

Existem alguns hacks que você pode usar para esticar um único / 64 para vários hosts.

Como converter um prefixo de link em um prefixo roteado

Se você tiver um único / 64 no link WAN, mas nenhum prefixo roteado para sua LAN, você pode transformar esse / 64 em um prefixo roteado com algumas etapas. Configure a interface WAN no seu roteador como / 126 em vez de / 64. Instale um daemon de anúncio vizinho (como o ndppd) no roteador para anunciar seu próprio endereço MAC para cada endereço no / 64, exceto nos 4 endereços no / 126. Com esses dois passos, você terá um roteador / 64 que poderá usar em sua LAN, com exceção dos 4 endereços usados para o link WAN.

Uma versão modificada deste hack pode compartilhar o link / 64 entre vários roteadores. O prefixo do link terá que ser um pouco menor que / 126 para acomodar um endereço IP para cada roteador, um / 120 seria curto o suficiente para permitir até 254 roteadores.

Cada roteador obviamente terá apenas um prefixo que será maior que / 64. Eu recomendo que você faça o prefixo para cada roteador, enquanto você pode ter endereços IP suficientes para a LAN nesse roteador. A / 112 ou / 120 para cada roteador provavelmente seria adequado. Cada roteador responde com seu próprio endereço MAC para a descoberta do vizinho de qualquer coisa dentro do prefixo desse roteador.

Nesta variante, cada roteador terá prefixos idênticos configurados em seu lado da WAN e responderá às solicitações de descoberta do vizinho para o prefixo atribuído ao seu lado da LAN. Obviamente, nenhum dos prefixos da LAN pode se sobrepor e nenhum deles pode sobrepor o prefixo que você configurou no lado da WAN.

Portanto, se o roteador do ISP que atua como gateway estiver no endereço 2001: db8 :: 1/64, você poderá usar 2001: db8 :: / 120 como sua WAN e atribuir 2001: db8 :: 1: 0 / 112 para o primeiro roteador, 2001: db8 :: 2: 0/112 para o segundo roteador, etc.

Na LAN, você pode estender um / 64 para vários hosts por sub-rede ou por ponte. Você terá que descobrir qual das duas obras é melhor para você.

Sub-redes

Se você fizer sub-rede com o / 64, você também pode ir para os prefixos mais longos que ainda têm endereços suficientes para os hosts que você precisa. Não sub-rede em prefixos / 80, prefiro ir com / 116, / 120 ou / 124 por sub-rede. As coisas que quebram se você não usa / 64 são improváveis de se importar e indo com / 116 ou mais você reduzirá o impacto de certos ataques DoS de descoberta vizinhos (se presente em qualquer um dos seus sistemas).

Em uma configuração de sub-rede como essa, você quebrará o SLAAC, portanto, será necessário um servidor DHCPv6 para responder em cada segmento e endereços IPv6 estáticos configurados em todos os dispositivos sem suporte a DHCPv6.

Ponte

Bridging é a outra alternativa. Essencialmente, significa que você não cria subnet, mas executa toda a sua LAN como um único segmento IPv6 com um prefixo / 64. (Se você precisar, esse / 64 pode abranger LAN e WAN).

O IPv6 foi projetado para permitir que as pontes reconheçam em qual das redes em ponte todos os endereços anycast precisam ser encaminhados. Dessa forma, você evita ter que transmitir pacotes através de todos os links físicos em sua LAN.

Bridges também podem aplicar firewalls e proteção contra falsificação de descoberta de vizinho na LAN.

Com inteligência suficiente nas pontes, não há como limitar, em princípio, a quantidade de switches que você pode unir um / 64.

Sim, pressionar o seu ISP para não sugar é a opção preferida. As políticas de alocação de RIRs assumem que o ISP está dando a cada cliente um / 48; não há absolutamente nenhuma razão para o ISP não fazer isso.

O IPv6 não é fã de sub-redes menores, no entanto, a única coisa que ^{é quebrar, que eu saiba, é o SLAAC. Você terá problemas com bugs e suposições em algumas pilhas IPv6, que apenas assumem cegamente "/ 64 == sub-rede", mas isso é um bug, não um recurso, e você pode bater no fornecedor para consertá-lo. Se ele é consertado antes que seu ISP lhe dê um / 48, por outro lado ...}