gigacampus » start page » ipv6_adressering

Anbefaling for IPv6 adressebruk i UH-sektoren

Det nederlandske forskningsnettet, SURFnet, har laget en anbefaling for bruk av IPv6-adresser på campus. Dokumentet er oversatt til engelsk og adoptert av RIPE. Vi synes dette er et godt dokument og har laget en kortversjon for UH-sektoren knyttet til UNINETT. De som er interesserte kan laste ned RIPE-versjonen fra: http://www.ripe.net/lir-services/training/material/IPv6-for-LIRs-Training-Course/IPv6_addr_plan4.pdf.

Adresseinndeling for soner

Det store adresserommet for subnett gjør det mulig å være kreative under etablering av nummerplan. IPv6-adresser skrives normalt med hexadesimale siffer og ved å bruke vlannummeret direkte, siffer for siffer, i subnetadressen blir det enkelt å kjenne igjen adresse og subnett.

UFS122 Anbefalt IKT-sikkerhetsarkitektur i UH-sektoren gir anbefalinger om soneinndelinger for et nett og bør tas hensyn til når man lager en adresseplan for IPv6.

Hvis det er flere tilkoplinger til UNINETT vil man få ett /48-prefix pr. campus/sted (f.eks. får HSH et prefix for Stord og et annet for Haugesund) og man kan bruke samme adresseplan for subnettene på hvert sted. /48-prefikset vil vise hvilken campus adressen tilhører. Målet er å få laget enkle ACLs (_fwbuilder_ kan brukes til å få felles access-lister for IPv4 og IPv6). Forutsetningen i UFS 122 er at servere med samme beskyttelsesbehov skal stå på samme vlan. Hvis man gjenbruker samme vlan på forskjellig campus uten lag-2 forbindelse, må man skille disse på campus som beskrevet over.

I første omgang er det naturlig å bruke dualstack, men for IPv6 trenger man ikke å tenke på størrelsen av subnettet (trenger ikke lenger secondary). Man har de samme subnett/vlan for IPv4 og IPv6.

RIPE dokumentet angir subnettet som LLLL-BBBB-BBBB-BBBB.

2001:700:db8:LLLL-BBBB-BBBB-BBBB::/64

der db8 er campus/sted-delen av adressen.

Husk at det er 4 bit i hvert hexadesimale siffer. Hvis man ikke trenger å bruke alle fire bit (LLLL) til lokale/bygg/område-del, kan det være aktuelt å splitte opp den første 4-bits delen(nibble) i to deler for å skille ut f.eks. studentnett, enkelt fra andre nett. Man kan også bruke andre inndelinger. Man kan da få svært enkle aksesslister for å sperre tilgangen for studenter til spesielle subnett. Hvis vi bruker U for å angi bruksområde/sone kan vi enten bruke ULLL eller UULL. Det er vanlig fra før å bruke lave vlan-nummer for de nett som er sikrest/mest beskyttet. Vi foreslår derfor å bruke U=0 (eller UU=00) for de sikreste nettene og U=F for det mest åpne.

2001:700:db8:UULL-BBBB-BBBB-BBBB::/64

For en enkelt campus kan følgende eksempel brukes:

Bruk Bit Beskrivelse
UU 00 Sikker sone
UU 01 Intern sone
UU 10 Ikke i bruk
UU 11 Åpen sone

2 første bit angir bruksområde/sone.

VLAN nummer IPv6 nett Beskrivelse Første Hex siffer
5 2001:700:db8:0005::/64 Sentrale felles-servere/Sikker soneUULL=0000 ⇒ 0
10 2001:700:db8:4010::/64 Interne servere/Intern Sone UULL=0100 ⇒ 4
30 2001:700:db8:4030::/64 Print-nett/Intern sone UULL=0100 ⇒ 4
40 2001:700:db8:8040::/64 Ansatt-nett UULL=1000 ⇒ 8
250 2001:700:db8:C250::/64 Student-nett/Åpen sone UULL=1100 ⇒ C

Adresserom i aksesslister for IPv6 på Cisco-utstyr kan bare spesifiseres med prefikslengder og ikke vilkårlige bitmasker for matching. Det betyr at man ikke kan bruke bitmasker med ikke-sammenhengende sekvenser av 0'ere og 1'ere.

Hvis man f.eks. bruker 11LL for alle studentnett kan man stenge ute maskiner fra studentnettet med

deny ipv6 2001:700:db8:C000::/50 any ! (UULL = 1100(binært) = C(hex)).

Flere områder på samme campus (lag 3 ruting)

Hvis man i tillegg ønsker å bruke intern-lokasjon (bygning), eller annen struktur informasjon, kan man bruke første siffer i subnettadressen til dette og begrense seg til å ha vlan nummerering fra 1-999. (Her velger vi å ikke ta hensyn til soneinndeling)

Bruk Bit Beskrivelse
UU 00 Sentrale ressurser
UU 01 Interne servere/tjenster
UU 10 Ansatte
UU 11 Studenter
2001:700:db8:UULL-BBBB-BBBB-BBBB::/64

2 bit angir bruk og 2 bit angir lokasjon. Husk at det er 4 bit i hvert hexadesimale siffer. UULL er kun det første hex-sifferet.

VLAN nummer IPv6 nett Beskrivelse Første Hex siffer
5 2001:700:db8:0005::/64 Sentrale felles-servereUULL=0000 ⇒ 0
10 2001:700:db8:5010::/64 Interne servere @lokale1UULL=0101 ⇒ 5
10 2001:700:db8:6010::/64 Interne servere @lokale2UULL=0110 ⇒ 6
30 2001:700:db8:5030::/64 Print-nett @lokale1UULL=0101 ⇒ 5
40 2001:700:db8:A040::/64 Ansatt-nett @lokale2UULL=1010 ⇒ A
250 2001:700:db8:D250::/64 Student-nett @lokale1UULL=1101 ⇒ D
250 2001:700:db8:E250::/64 Student-nett @lokale2UULL=1110 ⇒ E

“db8” brukes som eksempel på den blokken du har fått for din lokasjon. Her har vi antatt at det kun er ett prefix fra UNINETT og at man internt bruker UULL for bruksområde og lokale.

Eksempel for IPv6 vlan config for Cisco: NB: Dette legges inn på den eksisterende config for IPv4 vlan

interface Vlan10
  description lokal vlan, Interne servere @lokale1
  ipv6 address 2001:700:db8:0010::1/64
  ipv6 traffic-filter vlan10-out out

Begrepet Secondary adresser på IPv4 finnes ikke lenger på IPv6, men man kan ha flere IPv6-adresser på samme interface (f.eks. ved renummerering)

Adressering

Det finnes flere måter å dele ut adresser på:

* SLAAC, Automatisk configurering som er tilstandsløs.

 Da får klienten en IPV6 addresse som er satt sammen av et 
 tildelt prefiks som fås fra ruteren (RA) og maskin-delen av adressen som
 genereres av mac adressen (mer spesifikt EUI-64).
 For å at klienten skal få tildelt navnetjener må man bruke en DHCPv6 server som gir DHCPv6 stateless informasjon. 

* DHCPv6 stateful

 Som for IPv4 gir denne både IPv6 adresse og annen informasjon, men man får ikke gateway-adresse. Denne fås fra ruter med router-announcement(RA).
  (Husk relay agent)

* Statiske adresse tildeling.

 Som for IPv4.
 

Ulike metoder bør brukes for ulike type utstyr/tjenester. Tjenermaskiner settes opp med fast/statisk adresse.

Vi anbefaler fortsatt og bruke <prefix>::1 som gateway adresse eller man kan bruke ruterannonsering (RA).

Siden SLAAC også er avhengig av en DHCPv6 server, anbefaler vi å bruke DHCPv6 stateful adressetildeling (se nedenfor). Et unntak kan være for store studentnett.

Host adresser for servere o.l (tjenesteutstyr)

For servere, svitsjer og rutere må det settes statiske adresser. Eksempel på en server adresse er:

2001:700:db8:0010::2/64

For servere bør man benytte RA fra ruteren for default rute, hvis man benytter HSRPv6 må man benytte RA eller sette Link Local adressen til HSRP-ruteren statisk.

Host adresser for klienter

Det anbefales å bruke DHCPv6 for addressetildeling til klienter hvis man har behov informasjon som knytter sammen adressen og klient. Kombinerer man dette med dynamisk registrering i DNS for reverseoppslag har man oppnådd mye. DHCPv6 må uansett brukes til å distribuere annen informasjon som klientene trenger, slik som DNS server, SIP server, NTP server osv. Siden man ikke får gateway adresse i DHCPv6, må man bruke RA fra ruteren til dette.

Eksempel på configurering for dette er:

 ipv6 address 2001:700:db8:0040::1/64

Eksempel på adresseplan med vlan

På denne linken har vi laget et eksempel på en adresseplan med sone og vlan inndeling. Eksempel IPv6 addresseplan Example of IPv6 Address plan, English version

Det er brukt 3 soner: Åpen, Intern og Sikker. Man kan ha flere soner eller annen inndeling ved å bruke andre bit-mønster.

 
 
gigacampus/ipv6_adressering.txt · Last modified: 2013/03/25 11:57 by gunnarb@uninett.no

Viktig melding: openwiki.uninett.no

UNINETT OpenWiki er under utfasing. Wikier som er lite brukt er satt i kun-lese-modus. Ta kontakt med UNINETT for å åpne for skrivetilgang ved behov.

Group memberships: no groups