[IPv6-wien] IPv6 subnetting

Stefan Schultheis (home) (spam-protected)
Sun Sep 30 10:53:33 CEST 2012 

Hallo v6-Liste,

> Beim Betrachten der dritten Ziffer unserer V4 Adressen
> (112-119 und 156-159) fällt auf, dass diese eine
> AND Maskierung mit 0x3F vertragen würden, ohne zu
> überlappen. Damit würde man 2 Bit gewinnen. Das bedeutet
> also 2a02:60:3:1Cxx:: - 2a02:60:3:1Fxx::
> und 2a02:60:3:30xx:: - 2a02:60:3:37xx:: /64. Man
> könnte jede unserer V4 Adressen viermal im „3“er Segment
> abbilden. Bezweifle aber selbst, ob das irgendeinen
> sinnvollen Gewinn macht…
Würde das auch skalieren wenn wir einen dritten IPv4-Bereich bekommen? Das
ist eine Frage an die Glaskugel, aber die Wahrscheinlichkeit eines
Konflikts ist größer als bei der gewöhnlichen Methode (die ja weltweit
angewandt wird und nicht eine Erfindung von Funkfeuer ist!).
Der Gewinn von 2 Bit erscheint mir zu wenig um den Standard zu verlassen
und die Komplexität zu erhöhen.

> Denken wir versuchsweise in eine ganz andere Richtung:
> Ein Präfix pro Node Standort. Daraus würden Router
> und Interfaces IDs rausmaskiert. Welche
> Vor- und Nachteile hätte der Ansatz?
Ich glaube die wesentlichen Vorteile dieses Ansatzes wären die Effizienz in
der Nutzung der IPv6-Resourcen und die Unabhängigkeit von IPv4! Die Idee
hat seinen Reiz!

Gedankenspiel konkretisiert, wie könnte ein Design dann aussehen:
 - man könnte je Standort einen einzelnen /64-Prefix vergeben. Diesen würde
ich dann nicht mehr von einer IPv4-Adresse mappen sondern von einer anderen
eindeutigen ID, da würde sich die NodeID im Redeemer anbieten. Mein
Standort ist hohl28, der hat NodeID 1969 (= 0x7b1). Alternativ kann man's
fortlaufend vergeben (vgl. Clemens' Bedenken bzgl. Datenschutz).
 - das wäre dann zB: 2a02:60:7:7b1::/64 (sorry, habe ...:7:/48 augeborgt
damit's klar ist, dass es ein neues Design ist)
 - dann könnte man die Interface ID im LuCI automatisch über EUI-64 anhand
der "eindeutigen" MAC-Adresse ableiten:
   2a02:60:7:7b1:20c:29ff:fead:2a39/128 für mein Interface mit der MAC
Adresse 00:0c:29:ad:2a:39
 - falls jemand eine "schöne" (= "human readable") Adresse vergeben möchte
(zB für Server, bei denen sich die Netzwerkkarte über die Zeiten ändern
wird, und es daher nicht sinnvoll ist, die IPv6 aus der MAC-Adresse zu
generieren), kann man immer noch frei durchzählen: 2a02:60:7:7b1::1/128,
2a02:60:7:7b1::2/128, 2a02:60:7:7b1::3/128, ...

Nachteil dieser Variante:
Entweder der User pflegt revDNS selbst, oder wir brauchen ein komplexeres
Interface im Redeemer, wo der User seine benutzten IP6s eintragt, damit wir
einen Namen im DNS hinterlegen können.

Weiterer Gedanke:
Die MAC-Adresse ist nach außen erkennbar und man legt somit Details zum
verwendeten Equipment offen. Jedem ist klar, dass das System in meinem
Beispiel oben ein VMWare Gast ist (MAC beginnt mit 00:0c:29...). Das könnte
man noch scramblen, wodurch die MAC-Adresse nicht mehr erkennbar wäre und
man höchstwahrscheinlich immer noch eindeutig wäre.

Vorteil:
diese Methode ist unabhängig von IPv4. Nachdem ich davon ausgehe, dass
Funkfeuer in 10 Jahren dann wirklich keine IPv4-Adressen mehr zur Verfügung
hat, braucht man eh eher so eine Methode als etwas, das IPv4 voraussetzt...

Was tun wir mit Sites, die (Sub-)netze benötigen, Annahme:
-) die NodeID ist 16 Bit, ermöglicht 65535 Nodes.
-) das Zielnetz ist ein /56, das je Standort möglich sein soll (= 256 Netze
je Site), also 8 Bit.

Da müssen wir jetzt eigentlich ein /40 für Subnetze im Adressplan vorsehen.
Dadurch könnte sich das og. Design wieder ad absurdum führen weil wir 256
/48 für die Netze belegen würden. Das Design mit der NodeID lässt sich hier
also nicht umsetzen.

Ich würde also diese Netze frei bzgl. fortlaufend vergeben und zwar aus
einem /48. Damit sind mal 256 Standorte möglich, die wiederum 256 Subnetze
nutzen könnten. Danach müssten wir das nächste /48 anreißen.

Fazit:
Mir gefällt das eigentlich sehr gut so.
- Vorteil: Unabhängigkeit von IPv4, Skalierbarkeit und Effizienz.
- Nachteil: die Dokumentation wird leiden... Und das wird über RevDNS
sichtbar werden. Aber: dieses Problem werden wir vmtl. sowieso haben,
sobald wir uns von IPv4 abkoppeln. Dem könnten wir uns jetzt auch gleich
"stellen". ;)

Ganz sicher bin ich auch noch nicht, ob man die NodeID verarbeiten soll
oder einfach die Adresse fortlaufend vergeben sollte: First Come, First
Serve. Sowohl für /64 als auch für /56.

Was meint ihr?

LgS

Am 30. September 2012 01:51 schrieb Clemens Hopfer <(spam-protected)>:

> Hi,
>
> IPV6 ist durch den großen Adresspool extrem gut geeignet um Hierarchien
> abzubilden und damit in normalen Netzwerken mit verschiedenen
> Netzwerkebenen sehr sauber die physische oder logische Netzstruktur
> abzubilden, was eine sehr übersichtliche Topologie schafft.
>
> Soetwas haben wir in unserem Netz allerdings nicht, damit fällt für uns das
> typisch übliche Subnetting weg.
>
> Natürlich kann man sich später überlegen ob man z.B. die NodeID oder
> deviceID
> in die Adresse kodieren will.
> Datenschutztechnisch sehe ich das etwas anders: Je weniger man aus einer
> einzelnen IP herauslesen kann, umso besser finde ich.
>
> Auch wenn ein renumbering nicht gerade lustig ist, ists wohl nur halb so
> schlimm, weil wir sie aktuell sowieso automatisch generieren. Eine neue
> Adresskonfiguration ist nur ein update eines Pakets bzw. ein
> Firmwareupdate im
> schlimmsten Fall.
> Da es vorerst nur ein Test ist und wir das v4 Routing der Geräte nicht
> angreifen sind sogar Fehlkonfigurationen ziemlich unproblematisch.
>
> Lg,
> Clemens
>
> Am Samstag, 29. September 2012, 10:20:16 schrieb Gottfried Motowidlo:
> > Hi allerseits!
> >
> > Wir haben hier und jetzt die einzigartige Chance, mit einem Funkfeuer V6
> > Adressierungskonzept auf einer ziemlich grünen Wiese, nahe bei null zu
> > beginnen. Soweit ich weiß, sind in unserem riesigen /32 Adressraum
> > schätzungsweise zwei Dutzend Hosts wirklich online, die in unseren
> > Überlegungen zu beachten sind.
> >
> > Ohne jemandem etwas ein- oder ausreden zu wollen plädiere ich für die
> > Freiheit im Kopf! Wir sollten die Gelegenheit nützen, über verschiedene
> > Verwaltung- und Vergabevarianten nachzudenken, deren Vor- und Nachteile
> > abzuwägen, um eine für uns optimale V6 Architektur zu finden. In diesem
> Sinn
> > bin ich ganz und gar nicht gegen unser V4 Mapping Modell. Es muss aber
> > möglich sein, auch dieses zu hinterfragen und es nicht als einzig
> > mögliches, in Stein gemeißeltes Dogma anzusehen.
> >
> > Unter dem Stichwort "ipV6 addressing" kennt Google Berge von Literatur zu
> > den weiteren Schlagworten "scheme", "architecture", "plan", "assignment".
> > Ich werde jetzt ein bisserl nachlesen gehen...
> >
> >
> > Grüße Gottfried
> >
> >
> > -----Ursprüngliche Nachricht-----
> > Von: (spam-protected) [mailto:(spam-protected)]
> Im
> > Auftrag von Clemens Hopfer
> > Gesendet: Samstag, 29. September 2012 02:37
> > An: (spam-protected)
> > Betreff: Re: [IPv6-wien] IPv6 subnetting
> >
> > Am Samstag, 29. September 2012, 01:50:47 schrieb Gottfried Motowidlo:
> > > Denken wir versuchsweise in eine ganz andere Richtung: Ein Präfix pro
> > > Node Standort. Daraus würden Router und Interfaces IDs rausmaskiert.
> > > Welche Vor- und Nachteile hätte der Ansatz?
> >
> > Das ist Langfristig sicher das Ziel, aber die Grundidee die Adressen
> direkt
> > zu mappen ist, dass wir keiner weitere Vergabe von IP-Adressen brauchen.
> >
> > Die Grundidee so einen großen Adressraum bei IPV6 zu haben ist die
> > Konfiguration massiv einfacher zu machen und nicht um jedes einzelne
> > vergeudete Subnet kämpfen zu müssen.
> >
> > Wenn es noch einen Parameter zum Eintragen in Frontend und Geräten gibt,
> > wird das niemand machen.
> > Ein Paket dazu zu installieren, dass sich die Konfiguration selber macht
> ist
> > schnell getan, idealerweise später dann auch default mäßig dabei und
> > aktiviert.
> >
> > Am Donnerstag, 27. September 2012, 08:11:51 schrieb Stefan Schultheis:
> > > Ich fühle mich durch den OLSR dabei bestärkt:
> > >  - ich habe gesehen, dass obwohl ich ein /64 auf meinen Interfaces
> > >
> > > konfiguriere, der OLSR immer nur /128 übernimmt. Wenn man /64 wirklich
> > > routen will, muss man ein Hna6 einrichten.
> >
> > Das kommt daher, dass der OLSRd bei der main-IP und MIDs nur Adressen
> kennt,
> > keine Subnetze.
> >
> > Am Donnerstag, 27. September 2012, 08:11:51 schrieb Stefan Schultheis:
> > > Heißt: IPv6 /64 für jeden IPv4 /32 automatisch mitvergeben, für Netze
> > > gibt's eine zusätzliche Registrierungsmöglichkeit, die wird aber auch
> > > weiterhin mit einem zusätzlichen Konfigurationsschritt auf den Routern
> > > verbunden sein.
> >
> > Jep, wollte nur die Frage in den Raum stellen, ob es Sinn macht von
> Anfang
> > an größere Subnetze zu vergeben, die manuelle Vergabe wirds langfristig
> > sowieso geben.
> >
> > Aber wenn mans genau nimmt ist ein /64 eh irrwitzig, um jede Adresse
> davon
> > abbilden zu wollen würde bräuchte man einen Adresstable von
> > 16*2^64/(10^18)=295 Exabyte.
> >
> > Lg,
> > Clemens
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.funkfeuer.at/pipermail/ipv6-wien/attachments/20120930/90e121d9/attachment.html>

More information about the IPv6-wien mailing list