Выбор адресов. 
Разработка мультисервисной сети

Интерфейс IPv4 обычно имеет один уникастный адрес, который может быть, а может и не быть глобально маршрутизируемым, плюс адрес обратной связи (127.0.0.1). Интерфейс IPv6, напротив, обычно имеет локальный адрес обратной связи, локальный адрес канала, уникальный локальный адрес и глобально маршрутизируемый адрес. Многодомные варианты требуют более одного адреса определенного типа. В таком случае ничто не мешает присвоению и использованию дополнительных адресов. Для каждого пакета существует выбор при использовании адреса отправителя. Часто может иметься выбор и для адреса места назначения. В системах, работающих одновременно с IPv4 и IPv6, процедура выбора адресов еще сложнее, и нужны правила, какие адреса предпочтительнее. Выбор адресов может быть между IPv4 и IPv6, адресами с различными зонами действия (scopes), публичными и частными адресами и т. д. Некоторые правила представляются очевидными, например, выбор адреса, использование которого не запрещено, но программа должна делать правильный выбор в любом варианте. Вообще, пары адресов отправителя и получателя должны иметь согласованные области действия и типы (scopes) (напр., местный IPv6, 6to4, или IPv4-mapped), следует предпочитать меньшие зоны действия, местные адреса и т. д. Если адрес места назначения является мультикастным, при выборе уникастного адреса отправителя используется мультикастная зона. Одним из принципов выбора адресов является использование наибольшего приемлемого префикса, это означает, что в отсутствие других критериев, следует выбирать адреса отправителя и получателя так, чтобы можно было воспользоваться преимуществами агрегации маршрутов. Еще одним новым аспектом является таблица политики выбора адресов, которая позволяет администраторам добавить или изменить правила выбора адресов. IPv4 адреса представлены в таблице, как IPv4-mapped IPv6-адреса, и они относятся к области соответствующей адресам IPv6 локально-канальным или глобальным. В RFC-3484 приведен пример таблицы для такой политики:

Таблица 1.6.1-Политика выбора адресов

При выдаче адреса таблица просматривается и ищется запись с наиболее длинным префиксом, соответствующем адресу. После этого присылается соответствующие значения приоритета и метка. Это обеспечивает согласование меток отправителя и получателя и предпочтение родного IPv6 по отношению к IPv4 или различных туннельных адресов (6to4 или v4-совместимых).Первым шагом при выборе адреса отправителя является формирование списка кандидатов. Вообще, выбор должен согласовываться с интерфейсом и рабочей областью (scope). Следующим шагом является сортировка кандидатов, следуя списку правил, начиная с правила 1:

• 1. Предпочтителен адрес отправителя, который равен адресу места назначения.
• 2. Предпочтительна минимальная область действия, которая по крайней мере столь же велика, как и область места назначения. (Это правило является обязательным.)
• 3. Предпочтителен адрес, который не является нежелательным.
• 4. Предпочтителен домашний адрес, если только приложение не требует обратного.
• 5. Предпочтителен адрес исходящего интерфейса для данного места назначения.
• 6. Предпочтителен адрес, который соответствует метке места назначения в таблице политики.
• 7. Предпочтителен публичный адрес по сравнению с временным адресом, если только приложение не требует обратного.
• 8. Использовать адрес с наиболее длинным префиксом, общим с адресом места назначения.

При выборе адреса места назначения следует пользоваться аналогичным набором правил. Основное отличие заключается в том, что выбор места назначения включает в себя запрос, какой отправитель будет использоваться в каждом из вариантов. Кандидаты перечисляются в списке и сравниваются, начиная с правила 1:

• 1. Избегайте неиспользуемых мест назначения (таких, которые не достижимы или не имеют используемых адресов отправителя).
• 2. Предпочтителен адрес места назначения, с областью, согласующейся с адресом отправителя.
• 3. Предпочтителен адрес места назначения с источником, который не является нежелательным.
• 4. Предпочтителен адрес места назначения с адресом отправителя, который является домашним адресом, по сравнению с адресом обслуживания (например, care-of address в случае мобильных сервисов).

Care-Of Address (CoA). Маршрутизируемый уникастный адрес, используемый MN (Mobile Node — мобильным узлом) в постороннем канале (любой канал кроме домашнего).

• 5. Предпочтителен адрес места назначения с источником, который имеет соответствующую метку (в таблице политики).
• 6. Предпочтителен адрес места назначения с высоким приоритетом (в таблице политики).
• 7. Предпочтителен адрес места назначения, который достижим

при использовании инкапсуляции.

• 8. Предпочтителен адрес места назначения с минимальной областью действия (scope).
• 9. Предпочтителен адрес места назначения с источником, имеющим наиболее длинный подходящий префикс.
• 10. Предпочтителен адрес места назначения, который встречается первым в исходном списке. То есть, порядок сохраняется неизменным.

Когда канал содержит более одного маршрутизатора, или пограничный маршрутизатор соединен с более чем одним сервис-провайдером, может использоваться несколько префиксов. Еще одной причиной усложнения администрирования сети в IPv6 является перенумерация сайтов, то есть изменение префиксов. Таким образом префиксы в IPv6 не являются статичными. Наиболее частой причиной перенумерации сетевых префиксов является смена сервис-провайдера. Перенумерация может оказаться необходимой, когда компании с большими корпоративными сетями производят реорганизацию, или когда провайдер сам вынужден произвести перенумерацию. Перенумерация влияет на большое число компонент: маршрутизаторы, firewall, фильтры, DNS, DHCPv6, конфигурационные таблицы системы, приложения, программы управления сетью. Так как интерфейсы могут получить адреса с новыми префиксами и они не осуществляют перенумерацию, RFC-4192 содержит описание шагов, которые необходимо осуществить для обеспечения нормальной работы сети. Процесс включает в себя выделение для каналов субпрефиксов новых префиксов и обновление адресов со старыми префиксами. Эта процедура включает в себя:

ѕ Ручное присвоение адресов интерфейсам маршрутизаторов.

ѕ Маршрутную информацию и префиксы каналов, анонсируемые маршрутизаторами.

ѕ Адреса маршрутизаторов, firewall и пакетных фильтров управления доступом.

ѕ Адреса, присвоенные интерфейсам посредством адресной автоконфигурации.

ѕ Адреса и другую информацию, предоставляемую DHCPv6.

ѕ DNS-записи (AAAA и PTR-рекорды, а также DNSSEC).

ѕ Все другие случаи использования адресов, командных последовательностей, конфигурационных файлов.

Некоторые части сети могут быть перенумерованы независимо. Процедуры перенумерации рассмотрены в документах RFC-4861 (Neighbor Discovery for IP version 6 (IPv6)), RFC 4862 (IPv6 Stateless Address Autoconfiguration) и RFC-4192 (Procedures for Renumbering an IPv6 Network without a Flag Day). Многие организации предпочитают получить блоки адресов /48. Это позволяет организации поддерживать до 65,000 субсетей. Для того чтобы грамотно выбрать и оперировать адресным пространством полезно ознакомиться с базовыми регламентирующими документами:

ѕ RFC-3056 — Connection of IPv6 Domains via IPv4 Clouds,.

ѕ RFC-3879 — Deprecating Site Local Addresses,.

ѕ RFC-4007 — IPv6 Scoped Address Architecture,.

ѕ RFC-4193 — Unique Local IPv6 Unicast Addresses,.

ѕ RFC-4291 — IP Version 6 Addressing Architecture.

ѕ RFC-5375 — IPv6 Unicast Address Assignment Considerations.

Использование Firewall в условиях IPv6 рассмотрено в RFC 4487 (Mobile IPv6 and Firewalls: Problem Statement). Также RFC-4640 (Problem Statement for bootstrapping Mobile IPv6 (MIPv6)) и RFC-5026 (Mobile IPv6 Bootstrapping in Split Scenario). DHCPv6 (Dynamic Host Configuration Protocol for IPv6) является протоколом клиент-сервер, который обеспечивает интерфейсам IPv6 автоматическое присвоение адресов и другой конфигурационной информации. DHCPv6 описан в RFC 3315. Это достаточно сложный протокол с большим числом типов сообщений, опций, статусных кодов и таймеров. Существует несколько расширений DHCPv6, это RFC-3319 (Dynamic Host Configuration Protocol (DHCPv6) Options for Session Initiation Protocol (SIP) Servers), RFC-3633 (IPv6 Prefix Options for Dynamic Host Configuration Protocol (DHCP) version 6), RFC-3736 (Stateless Dynamic Host Configuration Protocol (DHCP) Service for IPv6). Когда клиент DHCP не нуждается в получении IP-адреса от DHCP-сервера, клиент может получить конфигурационную информацию, такую как доступные DNS-серверы или NTP-серверы, обменявшись парой сообщений с DHCP-сервером. Клиент сначала посылает информационный запрос по мультикастному адресу All_DHCP_Relay_Agents_and_Servers. Сервер отреагирует на этот запрос откликом, содержащим конфигурационную информацию. Все адреса, выданные клиенту DHCP-сервером, имеют оговоренные времена действия. Работа DHCP в двухпротокольном режиме определяется документом RFC-4477 (Dynamic Host Configuration Protocol (DHCP) IPv4 and IPv6 Dual Stack Issues). Альтернативным протоколом автоматизации является SLAAC (Stateless Address AutoConfiguration). Он представляет собой нормальным путем получения динамических адресов IPv6, но он не предоставляет такой информации как адреса DNS и NTP серверов и не осуществляет динамических обнавлений DNS. SCAAC не предлагает также централизованного контроля присвоения адресов, который бывает необходим для некоторых сетевых операторов. DHCPv6 отслеживает присвоение адресов. DHCPv6 не описан в рамках IPv6-стандартов, но по мере расширения использования IPv6, нужда в DHCPv6 возрастает. Предотвращение несанкционированного доступа к сетям IPv6 на первых порах будет затруднено. Это прежде всего связано с типичным размером субсети в IPv6 (264 по сравнению с 256 для типового IPv4). Здесь также трудно запретить использование протокола ICMP, из-за его большей функциональности. Чтобы минимизировать угрозы при внедрении IPv6 рекомендуется предпринять следующее:

ѕ Чтобы ограничить доступ к адресной ситуации, следует использовать различные типы IPv6-адресации (частная адресация, уникальные локальные адреса, разбросанное выделение адресов и т. д.).

ѕ Чтобы усложнить сканирование сети, присваивать идентификаторы субсети и интерфейсов случайным образом.

ѕ Разработать для предприятия политику выборочной фильтрации ICMPv6. Важные для работы сети ICMPv6-сообщения должны быть доступны, остальные следует блокировать.

ѕ Использовать IPsec для аутентификации и конфиденциальности.

ѕ Идентифицировать возможные слабости в защите доступа к сети в среде IPv6.

ѕ Ввести проверки, которые могли быть не нужны при работе с IPv4 из-за низкого уровня угроз (в политике безопасности использовать запреты по умолчанию, а также активировать систему безопасности маршрутизации.

ѕ Уделить повышенное внимание аспектам безопасности для таких механизмов передачи, как протоколы туннелирования.

ѕ Для сетей, использующих исключительно IPv4, блокировать весь трафик IPv6.

В IP версии 6 существует три типа адресов:

unicast: Идентификатор одиночного интерфейса. Пакет, посланный по уникастному адресу, доставляется интерфейсу, указанному в адресе. anycast: Идентификатор набора интерфейсов (принадлежащих разным узлам). Пакет, посланный по эникастному адресу, доставляется одному из интерфейсов, указанному в адресе (ближайший, в соответствии с мерой, определенной протоколом маршрутизации). multicast: Идентификатор набора интерфейсов (обычно принадлежащих разным узлам). Пакет, посланный по мультикастинг-адресу, доставляется всем интерфейсам, заданным этим адресом. В IPv6 не существует широковещательных адресов, их функции переданы мультикастинг-адресам. В IPv6, все нули и все единицы являются допустимыми кодами для любых полей, если не оговорено исключение. IPv6 адреса всех типов ассоциируются с интерфейсами, а не узлами. Так как каждый интерфейс принадлежит только одному узлу, уникастный адрес интерфейса может идентифицировать узел. IPv6 уникастный адрес соотносится только с одним интерфейсом. Одному интерфейсу могут соответствовать много IPv6 адресов различного типа (уникастные, эникастные и мультикстные). Существует два исключения из этого правила:

• 1. Одиночный адрес может приписываться нескольким физическим интерфейсам, если приложение рассматривает эти несколько интерфейсов как единое целое при представлении его на уровне Интернет.
• 2. Маршрутизаторы могут иметь ненумерованные интерфейсы (например, интерфейсу не присваивается никакого IPv6 адреса) для соединений точка-точка, чтобы исключить необходимость вручную конфигурировать и объявлять (advertise) эти адреса. Адреса не нужны для соединений точка-точка маршрутизаторов, если эти интерфейсы не используются в качестве точки отправления или назначения при посылке IPv6 дейтограмм. Маршрутизация здесь осуществляется по схеме близкой к используемой протоколом CIDR в IPv4.

IPv6 соответствует модели IPv4, где субсеть ассоциируется с каналом. Одному каналу могут соответствовать несколько субсетей. Представление записи адресов (текстовое представление адресов). Существует три стандартные формы для представления ipv6 адресов в виде текстовых строк:

1. Основная форма имеет вид x: x:x:x:x:x:x:x, где 'x' шестнадцатеричные 16-битовые числа.

Пример:

fedc:ba98:7654:3210:FEDC:BA98:7654:3210.

Заметьте, что ненужно писать начальные нули в каждом из конкретных полей, но в каждом поле должна быть, по крайней мере, одна цифра (за исключением случая, описанного в пункте 2.).

2. Из-за метода записи некоторых типов IPv6 адресов, они часто содержат длинные последовательности нулевых бит. Для того чтобы сделать запись адресов, содержащих нулевые биты, более удобной, имеется специальный синтаксис для удаления лишних нулей. Использование записи «:» указывает на наличие групп из 16 нулевых бит. Комбинация «:» может появляться только при записи адреса. Последовательность «:» может также использоваться для удаления из записи начальных или завершающих нулей в адресе. Например:

Таблица 1.6.2-Синтаксис адресов IPv6

может быть представлено в виде:

Таблица 1.6.3-сокращенная запись адресов.

3. Альтернативной формой записи, которая более удобна при работе с ipv4 и IPv6, является x: x:x:x:x:x:d.d.d.d, где 'x' шестнадцатеричные 16-битовые коды адреса, а 'd' десятичные 8-битовые, составляющие младшую часть адреса (стандартное IPv4 представление). Например:

Специфический тип IPv6 адресов идентифицируется лидирующими битами адреса. Поле переменной длины, содержащее эти лидирующие биты, называется префиксом формата (Format Prefix — FP). Исходное назначение этих префиксов следующее (табл. 4.4.1.1.1):

Таблица 1.6.4-Таблица префиксов

Не специфицированные адреса, адреса обратной связи и IPv6 адреса со встроенными IPv4 адресами, определены вне «0000 0000» префиксного пространства.

Таблица 1.6.5-Таблица назначения префиксов

Принципиальным отличием IPv6 от IPv4 является то, что одному интерфейсу может быть выделен не один, а несколько адресов. Teredo представляет собой алгоритм, который позволяет узлам, расположенным за NAT, иметь коннективность путем туннелирования пакетов поверх UDP (см. [1] и RFC-4380 -Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs). Данное распределение адресов поддерживает прямое выделение адресов провайдера, адресов локального применения и мультикастинг-адресов. Зарезервировано место для адресов NSAP, IPX и географических адресов. Оставшаяся часть адресного пространства зарезервирована для будущего использования. Эти адреса могут использоваться для расширения имеющихся возможностей (например, дополнительных адресов провайдеров и т. д.) или новых приложений (например, отдельные локаторы и идентификаторы). Пятнадцать процентов адресного пространства уже распределено. Остальные 85% зарезервированы. В IPv6 определены локальные связи (Link-local). Это относится к локальным сетям или сетевым каналам. Каждый интерфейс IPv6 в LAN должен иметь адрес этого типа. Такие адреса начинаются с FE80:/10. Пакеты с адресом места назначения этого вида не могут маршрутизоваться и не могут переадресоваться за пределы локальной области. Уникастные адреса отличаются от мультикастных значением старшего октета: значение FF (11 111 111) идентифицирует мультикастинг-адрес; любые другие значения говорят о том, что адрес уникастный. Эникастные (anycast) адреса берутся из уникастного пространства, и синтаксически неотличимы от них. 1][4][12][13][14][15].