Skip to main content

4. Guidelines for Prevention of Potential ND Issues (防止潜在ND问题的指导方针)

通过了解潜在的ND问题和相关的缓解解决方案,现有IPv6部署的网络管理员可以评估这些问题是否可能在其网络中发生,如果是,是否主动部署缓解解决方案。部署这些解决方案可能需要时间和额外资源。因此,建议进行规划。

计划开始IPv6部署的网络管理员可以使用问题-解决方案信息来帮助规划其部署。此外,他们可以采取主动行动来防止潜在的ND问题。

4.1. Learning Host Isolation from the Existing Solutions (从现有解决方案学习主机隔离)

虽然各种ND解决方案最初可能看起来不相关,但将它们分为四个不同的组突出了一个重要的观察:主机隔离是缓解ND相关问题的有效策略。

  • 组1: L3和L2隔离 (Group 1: L3 and L2 Isolation)

    该组包括MBBv6和FBBv6,它们通过将每个主机放在其子网和链路内来在L3和L2隔离主机。这防止了由组播和信任所有节点引起的ND问题,因为每个主机在其隔离域内运行。此外,由于路由器可以基于其唯一前缀将数据包路由到主机,因此也消除了对按需路由器NCE的需求。因此,L3和L2隔离防止了所有ND问题。

  • 组2: L3隔离 (Group 2: L3 Isolation)

    该组包括UPPH解决方案,如[RFC8273]和[RFC9663],它们将主机隔离到单独的子网中,同时可能将它们留在同一共享介质上。这种方法缓解了由路由器到主机组播引起的ND问题,并消除了对按需路由器NCE的需求,如第3.3节所详述。

  • 组3: 部分L2隔离 (Group 3: Partial L2 Isolation)

    该组包括WiND、SARP、TRILL的ND优化和EVPN中的代理ND等解决方案。这些解决方案使用代理设备来表示其后面的主机,有效地将这些主机隔离到不同的组播域中。虽然主机仍然位于同一子网中,但它们分离到不同的组播域减少了与基于组播的地址解析相关的ND问题的范围。

  • 组4: 非隔离解决方案 (Group 4: Non-Isolating Solutions)

    最后一组包括不实现主机隔离的剩余解决方案。这些解决方案不防止ND问题,而是专注于解决特定的ND问题。

分析表明,主机的隔离越强,可以缓解的ND问题就越多。这种相关性是直观的,因为隔离主机减少了组播范围,最小化了必须信任的节点数量,并且可能消除了对按需路由器NCE的需求,这是ND问题的三个主要原因。

这种理解可用于防止ND问题。

4.2. Applicability of Various Isolation Methods (各种隔离方法的适用性)

4.2.1. Applicability of L3+L2 Isolation (L3+L2隔离的适用性)

好处 (Benefits):

  • 所有ND问题(第2.4节)都可以有效缓解。

约束 (Constraints):

  1. L2隔离 (L2 Isolation):

    必须采取行动在L2隔离主机。所需的努力因所选方法和部署环境而异。例如,P2P方法[RFC7066]是重量级的,而私有VLAN方法[RFC5517]更易于管理。

  2. 唯一前缀分配 (Unique Prefix Allocation):

    将需要大量前缀,每个主机分配一个前缀。这对于IPv6来说通常不是限制。例如,区域互联网注册机构 (Regional Internet Registry, RIR) 的成员可以获得/29前缀分配[RIPE738],它提供320亿个/64前缀——足以应对任何可预见的部署场景。实际实现,如MBBv6为数十亿移动UE分配/64前缀[RFC6459],以及FBBv6为数亿路由RG分配/56前缀[TR177],证明了这种方法的可行性。

  3. 唯一前缀可识别性的隐私问题 (Privacy Issue from Unique Prefix Identifiability):

    为每个主机分配唯一前缀可能理论上降低隐私,因为主机可以通过其分配的前缀直接识别。但是,通常使用cookie等替代主机识别方法。因此,唯一前缀可识别性可能不会有太大区别。因此,对隐私的实际影响可能是有限的。

  4. 路由器对L3隔离的支持 (Router Support for L3 Isolation):

    路由器必须 (MUST) 支持L3隔离解决方案,例如[RFC8273]或[RFC9663]。

  5. 可能需要大量路由器接口 (A Large Number of Router Interfaces May Be Needed):

    如果使用P2P方法,路由器必须为每个连接的主机实例化单独的逻辑接口。在这种情况下,路由器将需要大量接口。

  6. 路由器作为瓶颈 (Router as a Bottleneck):

    由于主机之间的所有通信都通过路由器路由,因此在高流量场景中路由器可能成为性能瓶颈。

  7. 与基于主机的组播服务不兼容 (Incompatibility with Host-Based Multicast Services):

    依赖主机之间组播通信的服务,如组播域名系统 (Multicast Domain Name System) [RFC6762],将被中断。

4.2.2. Applicability of L3 Isolation (L3隔离的适用性)

好处 (Benefits):

  • 所有ND问题(第2.4节)都得到缓解,但以下除外:

    • LLA DAD组播降低性能,
    • LLA DAD在无线网络中不可靠,以及
    • 链路内安全。

    这些剩余问题取决于共享介质的特性:

    • 如果共享介质是以太网,与LLA DAD组播相关的问题可以忽略不计。
    • 如果节点可以信任,例如在专用网络中,链路内安全问题并不重要。

  • 不需要L2隔离。因此,这种方法可以应用于广泛的场景,使其可能成为最实用的主机隔离方法。

约束 (Constraints) (如第4.2.1节所讨论):

  1. 唯一前缀分配
  2. 路由器对L3隔离的支持
  3. 路由器作为瓶颈
  4. 唯一前缀可识别性的隐私问题

4.2.3. Applicability of Partial L2 Isolation (部分L2隔离的适用性)

好处 (Benefit):

  • 减少组播流量 (Reduced Multicast Traffic): 这种方法通过将子网划分为多个组播域来减少组播流量,特别是对于地址解析。

约束 (Constraint):

  • 路由器对部分L2隔离的支持 (Router Support for Partial L2 Isolation): 路由器必须 (MUST) 实现部分L2隔离解决方案,如WiND、SARP、TRILL的ND优化和EVPN中的代理ND,以支持此方法。

4.3. Guidelines for Applying Isolation Methods (应用隔离方法的指导方针)

基于前面各节提供的适用性分析,网络管理员可以确定是否实现隔离方法,如果是,哪种方法最适合其特定部署。

一个简单的指南是按照前面各节中列出的顺序考虑隔离方法,从最强隔离到最弱隔离:

  • 更强的隔离方法可以防止更多ND问题,但也可能施加更高的准入要求。

  • 更弱的隔离方法具有更少的准入要求,但可能留下一些ND问题未得到缓解。

L3+L2隔离和L3隔离之间的选择通常取决于实现L2隔离的成本:

  • 如果成本可接受,L3+L2隔离是更好的选择,因为它消除了第2.4节中列出的每个ND问题。

  • 否则,L3隔离解决了大多数这些问题,同时保持实现工作合理。

选择过强或过弱的隔离方法不会导致严重后果:

  • 选择过强的隔离方法可能最初要求网络管理员满足更高的准入要求,例如L2隔离措施、额外前缀或额外路由器功能。

  • 选择更弱的隔离方法可能需要部署补充ND缓解技术来解决任何未解决的ND问题。

在任何一种情况下,最终解决方案都可以是功能性和有效的。

Last updated on