Um dos principais problemas quando um ISP está planejando fornecer IPv6 serviços é decidir como abordar os clientes. De uma forma genérica, poderíamos dizer que a primeira coisa a fazer para qualquer IPv6 A implantação é o plano completo de endereçamento de rede, mesmo antes de obter seu espaço de endereçamento do seu Registro Regional da Internet (RIR), então você acerta desde o início.
No caso de clientes corporativos, geralmente ninguém duvida que eles devam receber um /48 IPv6 GUA (Endereço Unicast Global) em cada ponto de extremidade e, claro, esses prefixos devem ser persistentes (geralmente chamados de estáticos) para cada cliente.
No caso de clientes residenciais, clientes de pequenos escritórios/home offices (SOHO) ou mesmo clientes de pequenas e médias empresas (PMEs), em IPv4, estamos acostumados a um único endereço público não persistente (frequentemente chamado de dinâmico). Além disso, devido a IPv4 Com o esgotamento dos endereços IP, estamos migrando para endereços privados na WAN do cliente por meio da Tradução de Endereços de Rede de Nível de Operadora (CGN).
Então, qual é a coisa certa a fazer no caso de IPv6 Para clientes residenciais e de pequenos escritórios domésticos (SOHO)? Essa é a questão que buscamos abordar neste artigo.
Buscar maneiras rápidas e fáceis de elaborar seu plano de endereçamento pode ser tentador, mas pode acarretar consequências inesperadas, como a necessidade de um novo plano, a renumeração de seus clientes, a adaptação de seus sistemas de provisionamento e, em última análise, tornar tudo muito mais caro do que se você tivesse feito tudo certo desde o início.
Portanto, não subestime o valor de investir um pouco mais de tempo e esforço para aprender mais sobre IPv6 e entender como isso difere de IPv4.
1. O que significa persistente versus não persistente?
In IPv4, pelo menos para clientes residenciais ou de pequenos escritórios domésticos, como normalmente executamos a Tradução de Endereços de Rede (NAT) no CPE, existe a percepção de que usar prefixos não persistentes é a abordagem mais fácil.
No entanto, fazer isso com IPv6 É algo muito diferente e pode ter consequências negativas.
Vamos esclarecer primeiro o que entendemos por persistente e não persistente, pois pode haver confusão com outros termos como "(não)estável", "dinâmico", "estático", etc. Aqui, não nos referimos à tecnologia usada para atribuir endereços ou prefixos, mas sim à tecnologia que "permanecerá" com o mesmo cliente.
Em geral, os clientes residenciais e de pequenos escritórios domésticos (SOHO) são atendidos via DHCP (ou DHCPv6 para usuários com DHCPv6). IPv6Em muitos casos, uma maneira muito simples de usar o DHCP é ter um pool de endereços em cada PoP e permitir que o PoP atribua endereços dinamicamente (ou prefixos em IPv6 por meio de DHCPv6-PD – Delegação de Prefixo).
Esse mecanismo muito simples, se não estiver vinculado a clientes, significa que endereços ou prefixos arbitrários são fornecidos a cada cliente quando o CPE se conecta à rede, por um determinado período de tempo de concessão. Isso é o que chamamos de atribuição não persistente, porque se o cliente desligar o CPE após o período de concessão, ele receberá um endereço diferente (por exemplo, um endereço de 8000 bytes>) IPv4) e/ou prefixo (para IPv6) da próxima vez.
No entanto, se o período de locação for muito longo, talvez semanas ou meses, em vez de apenas alguns minutos ou dias, o cliente manterá o mesmo endereço ou prefixo. Isso caracterizará uma atribuição "permanente".
Se o DHCP/DHCPv6 estiver vinculado a um sistema de provisionamento mais sofisticado, que pode ser tão simples quanto um banco de dados correlacionando clientes específicos a endereços/prefixos específicos, então também teremos atribuições "persistentes". Isso pode ser feito, por exemplo, usando um sistema AAA (Autenticação, Autorização e Contabilização) como o Radius ou o Diameter, que é muito comum em qualquer provedor de internet, por motivos de segurança e para impedir que clientes e não clientes façam uso não autorizado da rede.
2. Prefixos persistentes versus não persistentes
Pela descrição acima, pode parecer que atribuições não persistentes são a escolha mais fácil, mas na verdade, em IPv6 Você realmente precisa gerenciar os endereços por meio de um sistema IPAM (Gerenciamento de Endereços IP). Tentar usar ferramentas simples como costumamos fazer em IPv4Programas como planilhas ou processadores de texto não funcionarão devido ao tamanho do arquivo. IPv6 endereçamento do espaço.
A vantagem é que esses sistemas IPAM geralmente vêm com funcionalidades como DHCP/DHCPv6/DHCPv6-PD e DNS. Portanto, eles podem assumir a atribuição de prefixos aos clientes para cada PoP, de modo que, no final, tudo se torna ainda mais simples do que ter um pool para cada PoP e permitir que endereços arbitrários sejam atribuídos a cada cliente à medida que se conectam. Com isso, você ganha mais controle sobre os parâmetros em toda a sua rede.
Há uma vantagem adicional no uso de prefixos persistentes, tanto para o usuário quanto para o provedor de internet. Ter os mesmos endereços significa que o provedor pode oferecer novos serviços aos clientes sem precisar de sistemas complexos para correlacionar esses serviços a endereços "mutáveis" dentro da rede do cliente. Além disso, os usuários podem criar seus próprios serviços sem restrições.
Assim, por exemplo, o provedor de internet pode oferecer serviços avançados de DNS para dispositivos de usuários, como camera1.username.ispname.com ou main-door.username.ispname.com, etc. Ou pode implementar serviços de VPN dentro da rede. Além disso, prefixos persistentes podem ser um incentivo para que os clientes permaneçam com seu provedor de internet. Todos esses aspectos podem gerar receitas adicionais.
Há uma última consideração: você pretende adotar uma abordagem diferente em termos de persistência para clientes corporativos em comparação com outros tipos de clientes? Você possui redes ou sistemas de provisionamento diferenciados? Não acho que faça muito sentido ter prefixos não persistentes para residências/SOHO/PMEs e prefixos persistentes para clientes corporativos.
Em todo caso, sugiro fortemente que ofereça suporte persistente. IPv6 prefixos.
Se você ainda não está convencido, vamos analisar os problemas causados por prefixos não persistentes, por exemplo, em casos de falhas de rede, quedas de energia ou situações semelhantes.
Vamos supor que um cliente tenha sido provisionado na primeira etapa com o prefixo 2001:db8:1111::/48. Seus dispositivos estão usando, para o nosso exemplo, o primeiro /64 livre (2001:db8:1111::1/64). Tudo funciona bem até que ocorra uma queda de energia. O CPE reinicia quando a energia é restabelecida e, como o provedor de internet está usando um prefixo não persistente, um novo prefixo é atribuído (2001:db8:2222::/48), então agora o CPE está anunciando 2001:db8:2222::1/64.
No entanto, os dispositivos que possuem bateria (laptops, tablets, smartphones) ainda têm o prefixo anterior, portanto, agora possuem dois prefixos diferentes (2001:db8:1111::1/64 e 2001:db8:2222::1/64). Esses dispositivos tentarão continuar usando o prefixo antigo e não funcionarão, pois o provedor de internet não está mais roteando o primeiro prefixo para esse cliente. Imagine: se outra falha de rede ou queda de energia ocorresse agora, os dispositivos poderiam ter três ou até mais prefixos. E o usuário acabaria ligando para o suporte técnico do provedor de internet para solucionar o problema, porque a rede não estaria funcionando.
Além disso, os grandes fornecedores de conteúdo estão medindo “IPv6 quebra”. A situação descrita acima aumentará a taxa de falhas da sua rede, então eles pararão de fornecer registros AAAA para essa rede e seu tráfego voltará para IPv4Se você estiver usando CGN, isso significa uso adicional de CGN, resultando em custos extras, atrasos adicionais e assim por diante.
Além disso, se você usar prefixos persistentes, há outra vantagem, pois significa que cada cliente sempre terá o mesmo prefixo, o que elimina a necessidade de registrar essas conexões para fins de interceptação legal, já que tudo é estático — “cada cliente com o mesmo prefixo” —, reduzindo seus custos e simplificando a solução de problemas em caso de falhas.
É claro que, ao sugerirmos a atribuição de prefixos persistentes, não estamos considerando a "portabilidade". Se um usuário doméstico/de pequeno escritório se mudar de um local para outro, precisará desligar sua rede e transferi-la para a nova residência, solicitar uma nova configuração de conexão à internet etc. Portanto, ele não deve esperar (a menos que seja o mesmo prédio ou bairro) que receba o mesmo prefixo – a menos que você queira oferecer isso como um serviço adicional.
Pode haver um caso especial para clientes com preocupações de privacidade: se considerarem o prefixo (e não o endereço) como dados pessoais, o cliente poderá ter o direito de alterá-lo periodicamente. IPv6 Isso não deve ser um problema significativo, pois os sistemas operacionais usam endereços de privacidade para evitar o rastreamento de usuários e, além disso, as tecnologias modernas de rastreamento dependem de muitos outros parâmetros obtidos do navegador, aplicativos etc.
No entanto, isso pode ser resolvido permitindo que os usuários escolham um prefixo não persistente em sua interface de gerenciamento de conexão com a Internet.
3. Numeração do link WAN
Existem diversas possibilidades para numerar o enlace que interconecta a rede do provedor de internet (ISP) e o equipamento do cliente (CPE) (o enlace WAN). Vamos descrever cada uma delas e entender suas vantagens e desvantagens.
3.1. Um prefixo /64 do IPv6 prefixo atribuído ao cliente
Isso está sendo usado por vários provedores de internet e foi descrito em um Documento IETF (Diretrizes para Numeração) IPv6 Links ponto a ponto e simplificação dos planos de endereçamento). Isso significa que, por exemplo, se você atribuir um /48 ao cliente, o primeiro /64 será usado para o link WAN, e é utilizado em redes celulares. Há muitas vantagens, pois simplifica o roteamento e o gerenciamento, mas funciona apenas se o CPE estiver em conformidade com a RFC6603 (Opção de exclusão de prefixo para delegação de prefixo baseada em DHCPv6). No entanto, como a maioria dos IPv6 Os CPEs devem seguir a RFC7084 (Requisitos Básicos para IPv6 Roteadores de Borda do Cliente (CPEs), que já recomendam o suporte ao RFC6603, espera-se que os CPEs modernos funcionem nessa situação.
3.2. Um prefixo /64 de um servidor dedicado IPv6 pool para prefixos WAN
Esta é provavelmente a opção mais comum e, de fato, a mais próxima do que costuma ser feito. IPv4Significa ter um conjunto totalmente separado de IPv6 prefixos para os links WAN, portanto, neste caso, não há correlação entre o prefixo do cliente e o usado no link WAN. Um pool dedicado tem a vantagem de poder aplicar políticas de segurança explicitamente para esses pools; no entanto, deve-se observar que isso só é válido se todos os clientes tiverem um CPE em suas instalações, pois, caso contrário, prejudicará os usuários que não possuem um CPE.
3.3. Sem número
Em vez de usar um GUA, o link usa IPv6 Endereços link-local. Nesse caso, o CPE pode não funcionar e permanecer sem número, pois pode não conseguir solicitar um prefixo usando DHCPv6-PD. Isso também falhará se, em vez de um CPE, for usado um sistema operacional que não suporte DHCPv6-PD. Pode parecer mais fácil de implementar do que as outras opções descritas aqui, mas, como os endereços link-local não são visíveis em ferramentas como o traceroute, a solução de problemas se torna mais complexa.
3.4. ULA
Numerando o link WAN com IPv6 O uso de ULAs (Endereços Unicast Locais Únicos) é fortemente desencorajado, pois pode causar diversos problemas. Por exemplo, se o CPE precisar enviar ICMPv6 para um host fora da rede do provedor de internet, o pacote terá um endereço de origem ULA e não passará pelo roteador upstream do provedor, interrompendo assim o PMTUD (Descoberta de MTU do Caminho). IPv6 A conexão pode ser afetada se o MTU não for o mesmo em todo o caminho. Novamente, isso pode dificultar a resolução de problemas.
Existe ainda outra questão relacionada ao link WAN, que diz respeito à escolha do comprimento do prefixo do link WAN. Alguns provedores de internet simplesmente utilizam o padrão /64 como padrão. IPv6 Tamanho da sub-rede (já que o link WAN é mais uma sub-rede). A RFC6164 sugere o uso de /127, mas outros provedores de internet usam /126 ou /112, entre outras opções.
No entanto, é importante observar que alguns hardwares têm limitações para prefixos maiores que /64, e alguns podem até mesmo não permitir o uso de prefixos diferentes de /64. Utilizar um prefixo /64 é uma solução à prova de futuro e oferece a vantagem de permitir uma conexão ponto a ponto; a adição de dispositivos como bridges gerenciadas, dispositivos de solução de problemas ou monitoramento; ou até mesmo alta disponibilidade por meio de VRRPv3, etc.
Por último, mas não menos importante, se decidir usar /127, deve considerar alocar o bloco /64 completo, mesmo que utilize apenas um /127, para evitar o ataque de exaustão de descoberta de vizinhos (RFC6583).
Note que a discussão sobre “persistência” nas primeiras seções deste documento é relevante apenas para a IPv6 Os prefixos atribuídos ao cliente para uso dentro de sua rede são diferentes do prefixo usado para o link WAN, que pode ser "não persistente". No entanto, normalmente a maioria dos provedores de internet também o torna persistente, e isso é gerenciado automaticamente pelo sistema de provisionamento.
4. Opções de tamanho do prefixo de atribuição do cliente
Como ponto de partida, precisamos relembrar as três regras de ouro que devem ser consideradas. IPv6:
- O tamanho padrão de sub-rede é /64.
- Os clientes devem poder criar sub-redes em suas redes, o que significa que precisam ter um bloco nx /64 atribuído a eles (portanto, Uma única divisão por 64 (/64) NUNCA é uma escolha válida.).
- Para que os planos de endereçamento continuem utilizáveis e compreensíveis, e para que estejam em conformidade com as delegações de zona reversa do DNS, o tamanho do prefixo atribuído ao cliente deve estar alinhado com um limite de nibble (4 bits).
As políticas do RIREm todas as cinco regiões, é possível atribuir um /48 a cada site final, e fica claro que, globalmente, é uma prática bem compreendida e muito comum atribuir um /48 a cada site final corporativo.
Além disso, um novo Trabalho da IETF, "Exclusivo IPv6 O conceito de "Prefixo por Host" demonstra a necessidade de múltiplos /64 em cada site final, provavelmente muito mais do que presumíamos até então, visto que se torna cada vez mais frequente, mesmo em uso residencial, a presença de dispositivos executando diversas máquinas virtuais. Isso significa que pode ser necessário isolar essas diferentes VMs em sub-redes distintas (e, portanto, em /64 diferentes). Algo semelhante ocorre com novos protocolos como o Homenet, que utiliza um /48 do provedor de internet e, em seguida, atribui /56 aos roteadores downstream.
Por fim, é evidente que, em muitos países, os clientes corporativos (pelo menos as PMEs e os pequenos escritórios domésticos) têm acesso às mesmas conexões, pois a capacidade de banda larga está aumentando rapidamente para todos os tipos de clientes. A única diferenciação possível são os SLAs (Acordos de Nível de Serviço) e, talvez, um número limitado de conexões públicas. IPv4 endereços. Portanto, precisamos considerar que as antigas diferenciações de serviço/marketing/vendas pelo número de endereços não são mais significativas com IPv6.
Considerando o exposto acima, seguem as opções de tamanho de tarefas para os clientes:
4.1. A /48 para todos os clientes
Esta é a minha recomendação, pois permite um plano de endereçamento muito simples e direto, reduzindo assim o risco de erros. Também tem a vantagem de que, se os clientes precisarem usar ULAs ou já tiverem usado mecanismos de transição anteriores, os tamanhos dos prefixos serão compatíveis e não precisarão de planos de endereçamento internos diferentes, já que o mapeamento para cada prefixo será direto.
4.2. Um /48 para empresas e um /56 para residências
É possível considerar a recomendação anterior apenas para clientes corporativos de alto padrão e usar um /56 para os demais, mas, como explicado anteriormente, esse tipo de diferenciação de marketing/serviço não faz muito sentido atualmente. IPv6Em um futuro próximo, isso significará que você será obrigado a refazer seu plano de endereçamento e renumerar seus clientes, o que acarreta um custo. Se você não tiver espaço de endereço suficiente para atribuir um /48 a todos os seus clientes, poderá voltar ao seu plano anterior. RIR e solicite mais, justificando com o plano de endereçamento completo. Como alternativa, você pode reservar um /48 para cada cliente, mas na verdade atribuir apenas um /56, assim, em vez de renumerar no futuro, você apenas aumentará o tamanho do prefixo.
4.3. Prefixos maiores que /56
Essa é definitivamente a pior coisa que você pode fazer, então eu recomendo fortemente que não faça. Não há nenhuma razão válida para atribuir prefixos maiores que /56 a qualquer cliente.
Existe um caso especial, fora do escopo deste documento, para um único /64, a única possível exceção às regras descritas acima, que são as redes celulares. Nessas redes, cada contexto PDP de um smartphone ou dispositivo similar recebe um único /64. No entanto, eles também podem usar DHCPv6-PD para solicitar prefixos mais curtos, como ocorre no caso de modems/roteadores 3G/LTE, que frequentemente são usados para fornecer banda larga em áreas onde nenhuma outra tecnologia oferece cobertura.
5. Conclusões
Fazer escolhas erradas ao projetar seu IPv6 A rede, mais cedo ou mais tarde, terá implicações negativas na sua implementação e exigirá esforços adicionais, como a renumeração, quando a rede já estiver em operação. Portanto, deve-se resistir à tentação de adotar abordagens "fáceis" para uma implementação mais rápida.
Como um conjunto geral de recomendações, você deve considerar o seguinte:
5.1 IPv6 não é o mesmo que IPv4. em IPv6Você atribui um prefixo curto a cada site final, permitindo que eles tenham quantas sub-redes (/64) precisarem. Não se preocupe em esgotar os recursos disponíveis. IPv6 Ao planejar o espaço disponível, pense grande ao definir suas necessidades futuras. Se precisar de mais espaço, você pode voltar ao seu orçamento. RIR E, desde que seu plano de endereçamento justifique a necessidade, você poderá obter mais. IPv6 Endereços.
5.2 É fortemente desencorajado Para atribuir prefixos maiores que /56, suas opções são:
- Minha recomendação, caso você queira um plano de endereçamento simples, é atribuir um bloco /48 a cada cliente. Isso funcionará muito bem para clientes que vêm de outros provedores de internet, para aqueles que possuem seu próprio contrato de licença de usuário único (ULA) ou que utilizam mecanismos de transição. Também será mais fácil quando você tiver uma variedade de clientes usando a mesma infraestrutura, sejam eles residenciais, pequenas e médias empresas (PMEs) ou mesmo grandes corporações.
- Diferencie os tipos de clientes, mesmo que isso aumente a complexidade da sua rede e da rede dos seus clientes. Ofereça um /48 para clientes empresariais e um /56 para clientes residenciais. Como explicado, isso não é à prova de futuro e alguns protocolos novos podem não funcionar, portanto, considere cuidadosamente, pois pode significar que, mais cedo ou mais tarde, você precisará refazer o planejamento e a numeração.
- Uma solução de compromisso seria reservar um bloco /48 para clientes residenciais, mas na verdade atribuir-lhes apenas o primeiro bloco /56.
5.3 Existe um caso específico para telefones celulares, em que é atribuído um único /64 para cada contexto PDP, mas isso está fora do escopo deste documento.
5.4 Para facilitar a resolução de problemas e garantir uma rede preparada para o futuro, considere numerar os links WAN usando GUAs (Endereços Unicast Globais), seja com o primeiro prefixo /64 do conjunto de endereços do cliente ou com um prefixo /64 de um conjunto dedicado. IPv6 prefixos. Se você decidir usar um /127 para cada link ponto a ponto, é recomendável alocar um /64 para cada link e usar apenas um /127 dentre eles.
5.5 Prefixos não persistentes são considerados prejudiciais em IPv6 Como não é possível evitar problemas que podem ser causados por simples interrupções de energia do cliente, atribuir prefixos persistentes é uma abordagem mais segura e simples. Além disso, isso evita a necessidade de registros dispendiosos, aumenta suas chances de oferecer novos negócios a clientes e diminui a taxa de cancelamento de clientes.
Este artigo baseia-se parcialmente no trabalho realizado no RIPE BCOP WG (Melhores Práticas Operacionais Atuais para Operadores: IPv6 Atribuição de prefixo para clientes finais — persistente versus não persistente e qual tamanho escolher. Para o documento completo, consulte BCOP WG MADURO.
Jordi Palet Martínez trabalha com computadores, redes e tecnologia desde os 8 anos de idade. Nos últimos 18 anos, atuou como CEO/CTO na empresa “The IPv6 Empresa”, onde dedicou a maior parte do seu tempo a IPv6 Pesquisa e desenvolvimento, padronização, treinamento e consultoria.
