garry1287 Posted April 3, 2018 (edited) Здравствуйте, коллеги. Внедряем ipv6. Являемся провайдером. Есть вопрос по распределению адресов. Рекомендации RIPE - /64 на влан, /56 на клиента (юрика). В данный момент у нас используется vlan-per-user и /30 или ip unnumbered для ipv4. Вижу распределение следующим образом. 1 вариант - выделяем /48 на бизнес центр, /64 на влан до пользователя, из данной /64 выделяем 2 адреса - один на интерфейс на нашей стороне, второй(третий и т.д.) на оборудование клиента и /56 маршрутизируем в сторону клиента. 2 вариант - выделяем /64 на всё клиентское оборудование, которое засовывем в один влан и маршрутизируем каждому /56 3 вариант - выделяем /64 на всё клиентское оборудование, но с помощью ip unnumbered засовываем каждого клиента в отдельный влан и маршрутизируем каждому /56 Посоветуйте, как лучше сделать. Может есть другие варианты. Я склоняюсь к 3 варианту. Правильно ли это? Edited April 3, 2018 by garry1287 уточнение Share this post Link to post Share on other sites More sharing options...
rdc Posted April 3, 2018 Первый вариант самый правильный, красивый и удобный. Второй - колхозы фтопку! Третий - на ipv6 нет смысла возиться с unnumbered. Адресов более чем достаточно для первого варианта. Share this post Link to post Share on other sites More sharing options...
ShyLion Posted April 3, 2018 ИМХО На линки с абонентами нарезать /127 вида 0:X:X:0 себе 0:X:X:1 абоненту при /127 не будет трабл с neighbour cache, X:X можно внутренне привязывать к номерам виланов и т.п. и при этом на все уйдет один /64, раз выделил и забыл абонентам роутить /56 тем что помельче, /48 крупным. Share this post Link to post Share on other sites More sharing options...
garry1287 Posted April 3, 2018 (edited) 48 minutes ago, rdc said: Первый вариант самый правильный, красивый и удобный. Вопрос возникает - нах стролько адресов просто на линк, когда реально достаточно 2-ух. Это у меня в целом по отношению к рекомендациям RIPE. Понятное дело что адресов достаточно, мне сама логика не ясна. Может кто-то просвятить? Edited April 3, 2018 by garry1287 уточнение Share this post Link to post Share on other sites More sharing options...
alibek Posted April 3, 2018 Сегодня линк, завтра подсеть или транспорт. Share this post Link to post Share on other sites More sharing options...
andryas Posted April 3, 2018 1 hour ago, rdc said: Третий - на ipv6 нет смысла возиться с unnumbered. А если дуалстэк? Share this post Link to post Share on other sites More sharing options...
ShyLion Posted April 3, 2018 4 minutes ago, andryas said: А если дуалстэк? ip unnumbered на интерфейсе же настраивается. для ipv6 смысла нет. Вообще в IPv6 на линке может вообще не быть реальных адресов, достаточно link-local. Для трейсинга роутер может использовать лупбек, например. В RA будет link-local адрес, например. Тогда атаки на neighbour-cache тоже исключаются для линка. Share this post Link to post Share on other sites More sharing options...
rdc Posted April 3, 2018 1 час назад, garry1287 сказал: Вопрос возникает - нах стролько адресов просто на линк, когда реально достаточно 2-ух. Чтобы всё работало без настроек. Воткнул комп напрямую - всё поднялось. Нужен второй комп - свич поставил, всё поднялось. Удобно же. Share this post Link to post Share on other sites More sharing options...
ShyLion Posted April 3, 2018 26 minutes ago, rdc said: Чтобы всё работало без настроек. Воткнул комп напрямую - всё поднялось. Нужен второй комп - свич поставил, всё поднялось. Удобно же. Это речь о хомячках наверное? Тут спору нет. А когда надо энтерпрайз подключить и /48 на него зароутить, какой к черту "Воткнул комп напрямую" ? Share this post Link to post Share on other sites More sharing options...
alibek Posted April 3, 2018 А какая принципиальная разница? Мало ли что энтерпрайз захочет на стыке добавить, пробник или сенсор на стыке и со стыковочными адресами очень удобен для мониторинга и траблшутинга. Share this post Link to post Share on other sites More sharing options...
alex19451 Posted April 3, 2018 Проверял различные варианты. Примерно такая же схема как у вас. Юрикам выдаем /60(конечно это не очень хорошо и желательно было бы /56) префикс и все работает (у нас только префикс 48). Физикам по DHCP выдаем на линк /127 и PD /64. По мне из всех вариантов это самый нормальный. Могу в личку написать почту и пообщаться у меня и у себя есть вопросы. Share this post Link to post Share on other sites More sharing options...
rdc Posted April 3, 2018 8 часов назад, ShyLion сказал: Это речь о хомячках наверное? Тут спору нет. А когда надо энтерпрайз подключить и /48 на него зароутить, какой к черту "Воткнул комп напрямую" ? Типичный арендатор в БЦ - мелкий офис турфирмы, пара девочек с десктопами. Share this post Link to post Share on other sites More sharing options...
ShyLion Posted April 4, 2018 9 hours ago, rdc said: Типичный арендатор в БЦ - мелкий офис турфирмы, пара девочек с десктопами. Эти от хомячков технически и не отличаются, обычно :) Share this post Link to post Share on other sites More sharing options...
garry1287 Posted April 4, 2018 17 hours ago, alex19451 said: Могу в личку написать почту и пообщаться у меня и у себя есть вопросы. Пишите, конечно можно пообщаться. 17 hours ago, alex19451 said: Физикам по DHCP выдаем на линк /127 и PD /64 В статье по /128 описывается https://habrahabr.ru/post/192164/ 20 hours ago, ShyLion said: Вообще в IPv6 на линке может вообще не быть реальных адресов, достаточно link-local. Для трейсинга роутер может использовать лупбек, например. В RA будет link-local адрес, например. Тогда атаки на neighbour-cache тоже исключаются для линка. Я понимаю, что так работать будет, особенно с настройкой PD, но важный вопрос лёгкой идентификации пользователя для биллинга и гос.органов. Share this post Link to post Share on other sites More sharing options...
smelnik Posted April 4, 2018 Мы используем dual-stack с cvlan. Абоненту выдаем /128 на стык + /64 PD. Share this post Link to post Share on other sites More sharing options...
