L'un des principaux problèmes lorsqu'un FAI envisage de livrer IPv6 services est de décider comment s'adresser aux clients. De manière générique, on pourrait dire que la première chose à faire pour tout IPv6 Le déploiement est le plan d'adressage réseau complet, avant même d'obtenir votre espace d'adressage auprès de votre registre Internet régional (RIR), vous avez donc raison dès le début.
Dans le cas des entreprises clientes, généralement personne ne doute qu'ils devraient recevoir un / 48 IPv6 GUA (Global Unicast Address) sur chaque site final, et bien sûr, ces préfixes doivent être persistants (souvent appelés statiques) pour chaque client.
Dans le cas des clients résidentiels, des clients petits bureaux / bureaux à domicile (SOHO) ou même des clients PME, en IPv4, nous sommes habitués à une seule adresse publique non persistante (souvent appelée dynamique). De plus, en raison de IPv4 épuisement des adresses, nous nous dirigeons vers des adresses privées dans le WAN du client au moyen de la traduction d'adresses de réseau de qualité opérateur (CGN),
Alors, quelle est la bonne chose à faire en cas de IPv6 pour les clients résidentiels et SOHO? C'est la question que nous essayons d'aborder dans cet article.
La recherche de moyens rapides et faciles de réaliser votre plan d'adressage peut être tentante, mais peut entraîner des conséquences inattendues pouvant nécessiter un nouveau plan, renuméroter vos clients, adapter vos systèmes de provisionnement, et finalement rendre tout beaucoup plus cher que si vous l'aviez fait depuis le début.
Alors, ne sous-estimez pas la valeur d'investir du temps et des efforts supplémentaires pour en savoir plus sur IPv6 et comprendre en quoi il est différent de IPv4.
1. Que signifie persistant ou non persistant?
In IPv4, du moins pour les clients résidentiels ou SOHO, étant donné que nous exécutons généralement la traduction d'adresses réseau (NAT) dans le CPE, il existe une perception selon laquelle l'utilisation de préfixes non persistants est l'approche la plus simple.
Cependant, faire cela avec IPv6 est une chose très différente et pourrait avoir des conséquences négatives.
Clarifions d'abord ce que nous entendons par persistant et non persistant, car cela pourrait prêter à confusion avec d'autres termes tels que «(non) stable», «dynamique», «statique», etc. Ici, nous ne faisons pas référence à la technologie utilisée pour attribuer réellement les adresses ou les préfixes, mais plutôt une technologie qui «restera» chez le même client.
En général, les clients résidentiels et SOHO sont provisionnés à l'aide de DHCP (ou DHCPv6 pour IPv6). Dans de nombreux cas, un moyen très simple d'utiliser DHCP est d'avoir un pool d'adresses à chaque PoP et de permettre au PoP d'attribuer des adresses dynamiquement (ou des préfixes dans IPv6 au moyen de DHCPv6-PD - Délégation de préfixe).
Ce mécanisme très simple, s'il n'est pas lié aux clients, signifie que des adresses ou des préfixes arbitraires sont fournis à chaque client lorsque le CPE se connecte au réseau, pour une durée de bail donnée. C'est ce que nous appelons une affectation non persistante, car si le client éteint le CPE, après la durée du bail, il obtiendra une adresse différente (pour IPv4) et / ou préfixe (pour IPv6) la prochaine fois.
Cependant, si nous rallongeons la durée du bail, peut-être des semaines ou des mois, au lieu de quelques minutes ou jours seulement, le client obtiendra la même adresse ou le même préfixe. Ce sera une affectation «persistante».
Si le DHCP / DHCPv6 est lié à un système d'approvisionnement plus sophistiqué, qui peut en fait être aussi simple qu'une base de données corrélant des clients spécifiques à des adresses / préfixes spécifiques, alors nous avons également des attributions «persistantes». Cela peut être fait, par exemple, en utilisant un système AAA (Authentication, Authorization and Accounting) tel que Radius ou Diameter, qui est très couramment disponible chez n'importe quel FAI, pour des raisons de sécurité et pour interdire aux clients et aux non-clients de ne pas -utilisation autorisée du réseau.
2. Préfixes persistants et non persistants
D'après la description ci-dessus, il peut sembler que les affectations non persistantes sont le choix le plus facile, mais en fait, en IPv6 il faut vraiment gérer les adresses au moyen d'un système IPAM (IP Address Management). Essayer d'utiliser des outils simples comme nous le faisons souvent dans IPv4, comme une feuille de calcul ou un traitement de texte, ne fonctionnera pas en raison de la taille IPv6 espace d'adressage.
L'avantage est que ces systèmes IPAM sont souvent dotés de fonctionnalités telles que DHCP / DHCPv6 / DHCPv6-PD et DNS. Par conséquent, ils peuvent prendre en charge l'attribution du préfixe aux clients pour chaque PoP afin que, à la fin, cela devienne encore plus simple que d'avoir un pool pour chaque PoP et de permettre l'attribution d'adresses arbitraires à chaque client lors de leur connexion. Avec cela, vous gagnez plus de contrôle sur les paramètres de votre réseau.
L'utilisation de préfixes persistants présente un avantage supplémentaire, tant du côté de l'utilisateur que du côté du FAI. Le fait d'avoir les mêmes adresses signifie que le FAI peut offrir de nouveaux services aux clients, et ils n'ont pas besoin de systèmes complexes pour corréler ces services aux adresses «changeantes» à l'intérieur du réseau client. De plus, les utilisateurs peuvent créer leurs propres services sans aucune contrainte.
Ainsi, par exemple, le FAI peut offrir un service DNS avancé pour les appareils des utilisateurs, tels que camera1.username.ispname.com, ou main-door.username.ispname.com, etc. Ou ils peuvent déployer des services VPN à l'intérieur du réseau. En plus de cela, les préfixes persistants peuvent inciter les clients à rester avec leur FAI. Tous ces aspects peuvent apporter des revenus supplémentaires.
Il y a une dernière considération: allez-vous faire quelque chose de différent, en termes de persistance, pour les entreprises par rapport aux autres types de clients? Avez-vous des réseaux ou des systèmes d'approvisionnement différenciés? Je ne pense pas que cela ait beaucoup de sens, d'avoir des préfixes non persistants pour les résidences / SOHO / PME et des préfixes persistants pour les entreprises.
Dans tous les cas, je suggère fortement d'offrir des IPv6 Préfixes.
Si vous n'êtes pas encore convaincu, examinons les problèmes causés par les préfixes non persistants, par exemple en ce qui concerne les pannes de réseau, les pannes de courant ou des situations similaires.
Supposons un client provisionné dans la première étape avec le préfixe 2001: db8: 1111 :: / 48. Leurs appareils utilisent, pour notre exemple, le premier free / 64 (2001: db8: 1111 :: 1/64). Tout va bien jusqu'à ce qu'il y ait une panne de courant. Le CPE redémarre lorsque l'alimentation est rétablie, et comme le FAI utilise un préfixe non persistant, un nouveau préfixe est attribué (2001: db8: 2222 :: / 48), donc maintenant le CPE annonce 2001: db8: 2222 :: 1/64.
Cependant, les appareils dotés d'une batterie (ordinateurs portables, tablettes, smartphones) ont toujours le préfixe précédent, ils ont donc maintenant deux préfixes différents (2001: db8: 1111 :: 1/64 et 2001: db8: 2222 :: 1/64) . Ces appareils essaieront de continuer à utiliser l'ancien, et ils ne fonctionneront pas, car le FAI n'achemine plus le premier préfixe vers ce client. Pensez simplement: si une autre panne de réseau ou une panne de courant devait se produire maintenant. Les appareils pourraient alors avoir trois préfixes, voire plus. Et l'utilisateur finira par appeler le service d'assistance du FAI pour le dépannage, car le réseau ne fonctionne pas.
En plus de cela, les grands fournisseurs de contenu mesurent "IPv6 rupture ». La situation décrite ci-dessus augmentera le taux de défaillance de votre réseau, ils cesseront donc de servir les enregistrements AAAA sur ce réseau et votre trafic reviendra à IPv4. Si vous utilisez CGN, cela signifie une utilisation supplémentaire de CGN, ce qui entraîne des coûts supplémentaires, des retards supplémentaires, etc.
De plus, si vous utilisez des préfixes persistants, il y a un autre avantage, car cela signifie que chaque client a toujours le même préfixe, ce qui signifie que vous n'avez pas besoin de consigner ces connexions pour une interception légale, car tout est statique - "chaque même préfixe personnalisé" , réduisant vos coûts et même simplifiant le dépannage en cas de panne.
Bien sûr, lorsque nous suggérons d'attribuer des préfixes persistants, nous ne considérons pas la «portabilité». Si un utilisateur domestique / SOHO déménage d'un emplacement à un autre, il devra éteindre son réseau et le déplacer vers la nouvelle maison, demander une nouvelle configuration de connectivité Internet, etc. Donc, il ne doit pas s'attendre (à moins que ce ne soit le même bâtiment ou quartier), qu'ils recevront le même préfixe - à moins que vous ne souhaitiez offrir cela comme un service supplémentaire.
Il peut y avoir un cas particulier pour les clients ayant des problèmes de confidentialité: s'ils considèrent le préfixe (et non l'adresse) comme des données personnelles, le client peut avoir le droit de le faire changer de temps en temps. Dans IPv6 cela ne devrait pas être un problème important, car les systèmes d'exploitation utilisent des adresses de confidentialité pour éviter de suivre les utilisateurs, et de plus, les technologies modernes de suivi reposent sur de nombreux autres paramètres obtenus à partir du navigateur, des applications, etc.
Cependant, cela peut être résolu en permettant aux utilisateurs de choisir un préfixe non persistant dans leur interface de gestion de connexion Internet.
3. Numérotation du lien WAN
Il existe plusieurs possibilités de numérotation de la liaison qui relie le réseau ISP et le CPE client (la liaison WAN). Décrivons chacun d'eux et comprenons les avantages et les inconvénients.
3.1. Préfixe A / 64 du IPv6 préfixe attribué au client
Ceci est utilisé par un certain nombre de FAI et a été décrit dans un Document IETF (Directives pour la numérotation IPv6 Liens point à point et simplification des plans d'adressage). Cela signifie que, par exemple, si vous attribuez un / 48 au client, le premier / 64 sera utilisé pour la liaison WAN, et est utilisé dans les réseaux cellulaires. Il existe de nombreux avantages, car il simplifie le routage et la gestion, mais ne fonctionne que si le CPE suit RFC6603 (option d'exclusion de préfixe pour la délégation de préfixe basée sur DHCPv6). Cependant, parce que la plupart des IPv6 Les CPE doivent suivre la RFC7084 (Exigences de base pour IPv6 Customer Edge Routers), qui recommande déjà de prendre en charge RFC6603, on s'attend à ce que les CPE modernes fonctionnent dans cette situation.
3.2. Préfixe A / 64 d'un IPv6 pool pour les préfixes WAN
C'est probablement le choix le plus courant et en fait plus proche de ce qui est souvent fait pour IPv4. Cela signifie avoir une piscine totalement séparée de IPv6 préfixes pour les liaisons WAN, donc dans ce cas, il n'y a pas de corrélation entre le préfixe client et celui utilisé sur la liaison WAN. Un pool dédié a l'avantage de pouvoir appliquer des politiques de sécurité explicitement pour ces pools; cependant, il convient de noter que cela n'est vrai que si tous les clients ont un CPE à leur extrémité, car sinon, cela nuira aux utilisateurs sans CPE.
3.3. Sans nombre
Au lieu d'utiliser une GUA, le lien utilise IPv6 adresses lien-local. Dans ce cas, le CPE peut ne pas fonctionner et rester non numéroté car il peut être incapable de demander un préfixe à l'aide de DHCPv6-PD. Cela échouera également si au lieu d'un CPE, un système d'exploitation est utilisé, qui ne prend pas en charge DHCPv6-PD. Cela peut sembler plus facile à implémenter que les autres choix décrits ici, mais comme les adresses lien-local ne sont pas visibles dans des outils tels que traceroute, cela rend le dépannage plus complexe.
3.4. ULA
Numérotation du lien WAN avec IPv6 Les ULA (adresses unicast locales uniques) sont fortement déconseillées, car elles peuvent causer un certain nombre de problèmes. Par exemple, si le CPE doit envoyer ICMPv6 à un hôte en dehors du réseau ISP, le paquet aura une adresse source ULA, et ne traversera pas le routeur en amont du FAI, cassant ainsi PMTUD (Path MTU Discovery), et le IPv6 connexion si le MTU n'est pas le même sur tout le chemin. Encore une fois, cela peut rendre le dépannage plus difficile.
Il existe un autre problème lié à la liaison WAN, qui fait référence au choix de la longueur du préfixe de la liaison WAN. Certains FAI utilisent simplement la valeur par défaut / 64, par défaut IPv6 la taille du sous-réseau (car la liaison WAN est un sous-réseau supplémentaire). La RFC6164 suggère d'utiliser / 127, mais d'autres FAI utilisent / 126 ou / 112, entre autres choix.
Cependant, il faut noter que certains matériels ont des limitations pour les préfixes plus longs que / 64, et certains peuvent même ne pas autoriser l'utilisation d'autre chose que / 64. L'utilisation d'un / 64 est pérenne et a l'avantage de permettre une liaison point à point; d'avoir des dispositifs supplémentaires tels que des ponts gérés, des dispositifs de dépannage ou de surveillance; voire haute disponibilité grâce à VRRPv3, etc.
Dernier point, mais non le moindre, si vous décidez d'utiliser / 127, vous devriez envisager d'allouer le / 64 complet, même si vous en utilisez un / 127, afin d'éviter l'attaque d'épuisement de la découverte de voisin (RFC6583).
Notez que la discussion sur la «persistance» dans les premières sections de ce document ne concerne que le IPv6 les préfixes attribués au client pour une utilisation à l'intérieur de son réseau, et non le préfixe utilisé pour le lien WAN, qui peut être «non persistant». Cependant, généralement, la plupart des FAI le rendront également persistant et sera automatiquement géré par le système d'approvisionnement.
4. Choix de la taille du préfixe d'affectation du client
Pour commencer, nous devons nous rappeler les trois règles d'or à prendre en compte avec IPv6:
- La taille standard du sous-réseau est / 64.
- Les clients doivent être en mesure de sous-réseau leurs réseaux, ce qui signifie qu'ils doivent être attribués nx / 64 (donc un single / 64 n'est JAMAIS un choix valide).
- Pour que les plans d'adressage restent utilisables et compréhensibles et pour s'aligner sur les délégations de zone inversée DNS, la taille du préfixe attribué au client doit être alignée sur une limite de quartet (4 bits).
Les politiques de la RIRs, dans les cinq régions, permettent d'attribuer un / 48 à chaque site d'extrémité, et il est clair que globalement, c'est une pratique bien comprise et très courante d'attribuer un / 48 à chaque site d'extrémité d'entreprise.
De plus, un nouveau Travail de l'IETF, "Unique IPv6 Prefix Per Host », montre le besoin de plusieurs / 64 dans chaque site final et probablement beaucoup plus que ce que nous avons supposé jusqu'à présent, car il devient de plus en plus fréquent, même dans le cas d'une utilisation résidentielle, d'avoir des appareils qui fonctionnent plusieurs machines virtuelles. Cela signifie qu'il peut être nécessaire d'isoler ces différentes machines virtuelles dans différents sous-réseaux (par conséquent, différents / 64s). Cela se produit de la même manière avec les nouveaux protocoles tels que Homenet, qui utilise un / 48 du FAI, puis sous-attribue / 56 aux routeurs en aval.
Enfin, il est clair que dans de nombreux pays, les entreprises clientes (au moins PME et SOHO) bénéficient des mêmes liens, car les capacités haut débit augmentent rapidement pour tous les types de clients. La seule différenciation possible sont les SLA et peuvent être un certain nombre de IPv4 adresses. Nous devons donc considérer que les anciennes différenciations service / marketing / ventes par le nombre d'adresses, ne sont plus significatives avec IPv6.
Compte tenu de ce qui précède, voici les choix de tailles d'affectation aux clients:
4.1. A / 48 pour tous les clients
C'est ma recommandation car elle permet un plan d'adressage très simple et direct et réduit ainsi le risque de faire des erreurs. Cela présente également l'avantage que si les clients ont besoin d'utiliser des ULA, ou s'ils ont utilisé des mécanismes de transition précédemment, les tailles de préfixe correspondent et ils n'ont pas besoin d'avoir des plans d'adressage internes différents, car ils mappent directement dans chaque préfixe différent.
4.2. A / 48 pour entreprise et a / 56 pour résidentiel
Il est possible de considérer la recommandation précédente uniquement pour les entreprises haut de gamme, puis d'utiliser un / 56 pour le reste, mais comme expliqué précédemment, ce type de différenciation marketing / service n'a plus beaucoup de sens dans IPv6. Dans un futur proche, cela signifiera que vous serez obligé de refaire votre plan d'adressage et de renuméroter vos clients, ce qui a un coût. Si vous ne disposez pas de suffisamment d'espace d'adressage pour attribuer un / 48 à tous vos clients, vous pouvez revenir à votre RIR et demandez plus, en le justifiant avec le plan d'adressage complet. Au lieu de cela, vous pouvez réserver un / 48 à chaque client mais ne leur attribuer qu'un / 56, donc au lieu de renuméroter à l'avenir, vous augmenterez simplement la taille du préfixe.
4.3. Préfixes plus longs que / 56
C'est certainement la pire chose que vous puissiez faire, donc je vous déconseille vivement. Il n'y a aucune raison valable d'attribuer des préfixes plus longs que a / 56 à un client.
Il existe un cas particulier, en dehors du cadre de ce document, pour un seul / 64, la seule exception possible aux règles décrites ci-dessus, à savoir les réseaux cellulaires. Dans ces réseaux, chaque contexte PDP d'un smartphone ou d'un appareil similaire se voit attribuer un seul / 64. Néanmoins, ils peuvent également utiliser DHCPv6-PD pour demander des préfixes plus courts, comme cela se produit dans le cas des modems / routeurs 3G / LTE, qui sont souvent utilisés pour fournir du haut débit dans des zones où aucune autre technologie n'offre une couverture.
5. Conclusions
Faire de mauvais choix lors de la conception de votre IPv6 Le réseau aura tôt ou tard des implications négatives sur votre déploiement et nécessitera des efforts supplémentaires tels que la renumérotation lorsque le réseau est déjà en fonctionnement. Il faut donc résister à la tentation d’adopter des approches «faciles» pour un déploiement plus rapide.
En tant qu'ensemble générique de recommandations, vous devez tenir compte des éléments suivants:
5.1 IPv6 n'est pas la même chose que IPv4. En IPv6, vous attribuez un court préfixe à chaque site final, afin qu'ils puissent avoir autant de sous-réseaux (/ 64s) qu'ils en ont besoin. Vous ne devriez pas vous soucier d'épuiser IPv6 traitant de l'espace, et vous devriez voir grand lors de la planification des besoins futurs. Si vous avez besoin de plus d'espace, vous pouvez revenir à votre RIR et, à condition que votre plan d'adressage justifie le besoin, vous pouvez obtenir plus IPv6 Adresses.
5.2 C'est fortement découragé pour attribuer des préfixes plus longs que a / 56, vos choix sont donc:
- Ma recommandation et si vous souhaitez un plan d'adressage simple, attribuez un / 48 à chaque client. Cela fonctionnera très bien pour les clients provenant d'autres FAI, ceux qui ont leur propre ULA ou qui ont utilisé des mécanismes de transition. Cela sera également plus facile lorsque vous avez un mix de clients utilisant la même infrastructure, qu'il s'agisse de clients résidentiels, de PME ou même de grandes entreprises.
- Différenciez les types de clients, même si cela augmentera la complexité de votre réseau et de ceux de vos clients. Offrez un / 48 aux clients professionnels et un / 56 aux particuliers. Comme expliqué, ce n'est pas une preuve pour l'avenir et certains nouveaux protocoles ne fonctionneront pas, alors considérez-le attentivement car cela peut signifier que tôt ou tard vous devrez refaire le plan et renuméroter.
- Un compromis pourrait être de réserver un / 48 pour les clients résidentiels, mais en fait de leur attribuer simplement le premier / 56.
5.3 Il existe un cas spécifique pour les téléphones cellulaires, auquel un seul / 64 est attribué pour chaque contexte PDP, mais cela sort du cadre de ce document.
5.4 Afin de faciliter le dépannage et de disposer d'un réseau à l'épreuve du temps, vous devez envisager de numéroter les liens WAN à l'aide de GUA (Global Unicast Addresses), en utilisant soit le premier préfixe / 64 du pool de clients, soit un / 64 d'un pool dédié de IPv6 préfixes. Si vous décidez d'utiliser un / 127 pour chaque lien point à point, il est conseillé d'allouer un / 64 pour chaque lien et d'en utiliser seulement un / 127.
5.5 Les préfixes non persistants sont considérés comme dangereux dans IPv6 comme vous ne pouvez pas éviter les problèmes qui peuvent être causés par de simples pannes de courant client, l'attribution de préfixes persistants est une approche plus sûre et plus simple. En outre, cela évite la nécessité d'une exploitation forestière coûteuse, augmente vos chances d'offrir de nouvelles affaires aux clients et diminue votre taux de désabonnement.
Cet article est en partie basé sur les travaux du RIPE BCOP WG (Best Current Operational Practice for operators: IPv6 attribution de préfixe pour les clients finaux - persistante ou non persistante, et quelle taille choisir). Pour le document complet, consultez GT BCOP MUR.
Jordi Palet Martínez travaille avec l'informatique, les réseaux et la technologie depuis l'âge de 8 ans. Au cours des 18 dernières années, il a été PDG / CTO chez «The IPv6 Company ”, où il a consacré l'essentiel de son temps à IPv6 R&D, normalisation, formation et conseil.