Passa al contenuto principale

4. Linee Guida per la Prevenzione dei Problemi ND Potenziali

Conoscendo i problemi ND potenziali e le soluzioni di mitigazione associate, gli amministratori di rete delle distribuzioni IPv6 esistenti possono valutare se questi problemi sono probabili nelle loro reti e, in tal caso, se distribuire proattivamente le soluzioni di mitigazione. La distribuzione di queste soluzioni può richiedere tempo e risorse aggiuntive. Pertanto, si raccomanda la pianificazione.

Gli amministratori di rete che prevedono di avviare una distribuzione IPv6 possono utilizzare le informazioni problema-soluzione per aiutare a pianificare la loro distribuzione. Inoltre, possono intraprendere azioni proattive per prevenire potenziali problemi ND.

4.1. Apprendere l'Isolamento degli Host dalle Soluzioni Esistenti

Le varie soluzioni ND possono sembrare inizialmente non correlate, ma la loro classificazione in quattro gruppi diversi rivela un'osservazione importante: l'isolamento degli host è una strategia efficace per mitigare i problemi correlati a ND.

  • Gruppo 1: Isolamento L3 e L2

    Questo gruppo include MBBv6 e FBBv6, che isolano gli host sia in L3 che in L2 posizionando ogni host nella propria subnet e link. Questo previene i problemi ND causati dal multicast e dalla fiducia in tutti i nodi poiché ogni host opera in un dominio isolato. Inoltre, il router può instradare i pacchetti agli host in base a prefissi unici, eliminando anche la necessità di Router-NCE-on-Demand. Pertanto, l'isolamento L3 e L2 previene tutti i problemi ND.

  • Gruppo 2: Isolamento L3

    Questo gruppo include soluzioni UPPH come [RFC8273] e [RFC9663], che isolano gli host in subnet separate pur lasciandoli potenzialmente sullo stesso supporto condiviso. Questo approccio mitiga i problemi ND causati dal multicast router-to-host ed elimina la necessità di Router-NCE-on-Demand, come dettagliato nella Sezione 3.3.

  • Gruppo 3: Isolamento L2 Parziale

    Questo gruppo include soluzioni come WiND, SARP, ottimizzazione ND di TRILL e Proxy ND in EVPN. Queste soluzioni utilizzano dispositivi proxy per rappresentare gli host dietro di essi, isolando efficacemente questi host in domini multicast separati. Gli host rimangono nella stessa subnet, ma la separazione in diversi domini multicast riduce la portata dei problemi ND correlati alla risoluzione degli indirizzi basata su multicast.

  • Gruppo 4: Soluzioni Non Isolanti

    L'ultimo gruppo include le soluzioni rimanenti che non implementano l'isolamento degli host. Queste soluzioni non prevengono i problemi ND ma si concentrano invece sull'affrontare problemi ND specifici.

L'analisi mostra che più forte è l'isolamento degli host, più problemi ND possono essere mitigati. Questa correlazione è intuitiva perché l'isolamento degli host riduce la portata del multicast, minimizza il numero di nodi di cui fidarsi e può eliminare la necessità di Router-NCE-on-Demand - le tre cause principali dei problemi ND.

Questa comprensione può essere utilizzata per prevenire i problemi ND.

4.2. Applicabilità dei Vari Metodi di Isolamento

4.2.1. Applicabilità dell'Isolamento L3+L2

Vantaggi:

  • Mitiga efficacemente tutti i problemi ND (Sezione 2.4).

Vincoli:

  1. Isolamento L2: Devono essere prese misure per isolare gli host in L2. Lo sforzo richiesto varia a seconda del metodo scelto e del contesto di distribuzione. Ad esempio, l'approccio P2P [RFC7066] è pesante, mentre l'approccio VLAN privato [RFC5517] è più gestibile.

  2. Allocazione di Prefissi Unici: È necessario un gran numero di prefissi, con un prefisso allocato per ogni host. Questo generalmente non è un limite in IPv6. Ad esempio, i membri dei Regional Internet Registry (RIR) possono ottenere allocazioni di prefisso /29 [RIPE738], che forniscono 32 miliardi di prefissi /64 - sufficienti per tutti gli scenari di distribuzione prevedibili.

  3. Problema di Privacy dall'Identificabilità del Prefisso Unico: L'assegnazione di un prefisso unico a ogni host può teoricamente ridurre la privacy poiché gli host possono essere direttamente identificati dal loro prefisso assegnato. Tuttavia, metodi alternativi di identificazione degli host come i cookie sono comunemente utilizzati.

  4. Supporto del Router per l'Isolamento L3: I router DEVONO supportare soluzioni di isolamento L3 come [RFC8273] o [RFC9663].

  5. Può Essere Necessario un Gran Numero di Interfacce del Router: Quando si utilizza l'approccio P2P, il router deve istanziare un'interfaccia logica separata per ogni host connesso.

  6. Router come Collo di Bottiglia: Tutte le comunicazioni tra gli host vengono instradate attraverso il router, il che può renderlo un collo di bottiglia delle prestazioni in scenari ad alto traffico.

  7. Incompatibilità con i Servizi Multicast Basati su Host: I servizi che dipendono dalla comunicazione multicast tra gli host, come Multicast Domain Name System [RFC6762], saranno interrotti.

4.2.2. Applicabilità dell'Isolamento L3

Vantaggi:

  • Tutti i problemi ND (Sezione 2.4) sono mitigati tranne:

    • Il multicast LLA DAD degrada le prestazioni
    • LLA DAD non è affidabile nelle reti wireless
    • Sicurezza on-link

    Questi problemi rimanenti dipendono dalle caratteristiche del supporto condiviso:

    • Se il supporto condiviso è Ethernet, i problemi correlati al multicast LLA DAD sono trascurabili.
    • Se i nodi sono affidabili, come nelle reti private, le preoccupazioni sulla sicurezza on-link non sono importanti.

  • L'isolamento L2 non è necessario. Di conseguenza, questo approccio è applicabile a una vasta gamma di scenari ed è probabilmente il metodo di isolamento degli host più pratico.

Vincoli (come discusso nella Sezione 4.2.1):

  1. Allocazione di Prefissi Unici
  2. Supporto del Router per l'Isolamento L3
  3. Router come Collo di Bottiglia
  4. Problema di Privacy dall'Identificabilità del Prefisso Unico

4.2.3. Applicabilità dell'Isolamento L2 Parziale

Vantaggio:

  • Traffico Multicast Ridotto: Questo approccio riduce il traffico multicast, in particolare per la risoluzione degli indirizzi, dividendo la subnet in più domini multicast.

Vincolo:

  • Supporto del Router per l'Isolamento L2 Parziale: I router DEVONO implementare soluzioni di isolamento L2 parziale come WiND, SARP, ottimizzazione ND di TRILL o Proxy ND in EVPN per supportare questo metodo.

4.3. Linee Guida per l'Applicazione dei Metodi di Isolamento

Sulla base dell'analisi di applicabilità fornita nella sezione precedente, gli amministratori di rete possono determinare se implementare metodi di isolamento e, in caso affermativo, quale è più appropriato per la loro distribuzione specifica.

Una linea guida semplice è considerare i metodi di isolamento nell'ordine elencato nella sezione precedente, dall'isolamento più forte al più debole:

  • I metodi di isolamento più forti possono prevenire più problemi ND ma possono anche imporre requisiti di ingresso più elevati.

  • I metodi di isolamento più deboli hanno requisiti di ingresso inferiori ma possono lasciare alcuni problemi ND non mitigati.

La scelta tra isolamento L3+L2 e isolamento L3 dipende spesso dal costo di implementazione dell'isolamento L2:

  • Se il costo è accettabile, l'isolamento L3+L2 è preferibile perché elimina tutti i problemi ND elencati nella Sezione 2.4.

  • Altrimenti, l'isolamento L3 affronta la maggior parte di questi problemi mantenendo ragionevole lo sforzo di implementazione.

Scegliere un metodo di isolamento troppo forte o troppo debole non porta a conseguenze gravi:

  • Scegliere un metodo di isolamento eccessivamente forte può richiedere che gli amministratori di rete soddisfino prima requisiti di ingresso più elevati, come misure di isolamento L2, prefissi aggiuntivi o funzionalità aggiuntive del router.

  • Scegliere un metodo di isolamento più debole può richiedere la distribuzione di tecniche di mitigazione ND complementari per affrontare i problemi ND non risolti.

In entrambi i casi, la soluzione risultante può essere funzionale ed efficace.

Ultimo aggiornamento il