Эта страница временная и будет удалена, когда станет не нужна. Утверждённые данные будут размещены на надлежащей странице.

Граница сети

Так как маршрутизация даже IPv4, а тем более IPv6 уже сейчас идёт через шеститонник, без host-based firewall мы не обойдёмся в любом случае. Соответственно, на раме останется функция IPv4 NAT + block incoming connections.

Варианты планирования

Как известно, у нас выделено по влану на класс, и машины через розетки в комнатах подключаются к этим вланам. Нужно выделить этим сетям IPv6-префиксы из закреплённого за классами факультетского диапазона 2a00:f480:8:400::/56.

На этой странице не обсуждается принцип назначения подключенным машинам адресов из префикса их сети.

Ниже следуют несколько принципов, по которым за каждым классом можно закрепить префикс.

По закреплённым внешним IPv4

IPv4-трафик из классов уже сейчас натится в следующие source-адреса:

description,ext_ip4,prefix
"служебный класс",188.44.43.11, 
"МЗ-0",188.44.43.50, 
"МЗ-2",188.44.43.51, 
"класс 704",188.44.43.52, 
"класс 773",188.44.43.53, 
"класс 758",188.44.43.54, 
"класс 735",188.44.43.55, 
"класс 248",188.44.43.56, 
"МЗ-4",188.44.43.57, 
"604",188.44.43.58, 
"класс 642",188.44.43.59, 
"МЗ-3",188.44.43.60, 
"\"класс\" 768 (преподавательский)",188.44.43.61
"МЗ-1",188.44.43.62, 
"класс 515",188.44.43.63, 
"класс 774",188.44.43.64, 
"класс 320",188.44.43.65, 
"класс П-13",188.44.43.66, 
"класс 574",188.44.43.67, 
"класс 577",188.44.43.68, 
"класс 230.1",188.44.43.69, 
"класс 248а",188.44.43.70, 
"класс 371",188.44.43.71, 
"класс 740",188.44.43.72,

При помощи нижепредставленного awk-скрипта к CSV-таблице выше, взятой из NetBox, можно добавить столбец с IPv6-префиксами.

#!/usr/bin/awk -f
BEGIN { FS=","; OFS=","; }
{
split($2,a,/[.]/);
n = strtonum(a[4]);
$3 = sprintf("2a00:f480:8:4%02x::/64", n);
print;
}

Получается:

description,ext_ip4,prefix
"служебный класс",188.44.43.11,2a00:f480:8:40b::/64
"МЗ-0",188.44.43.50,2a00:f480:8:432::/64
"МЗ-2",188.44.43.51,2a00:f480:8:433::/64
"класс 704",188.44.43.52,2a00:f480:8:434::/64
"класс 773",188.44.43.53,2a00:f480:8:435::/64
"класс 758",188.44.43.54,2a00:f480:8:436::/64
"класс 735",188.44.43.55,2a00:f480:8:437::/64
"класс 248",188.44.43.56,2a00:f480:8:438::/64
"МЗ-4",188.44.43.57,2a00:f480:8:439::/64
"604",188.44.43.58,2a00:f480:8:43a::/64
"класс 642",188.44.43.59,2a00:f480:8:43b::/64
"МЗ-3",188.44.43.60,2a00:f480:8:43c::/64
"\"класс\" 768 (преподавательский)",188.44.43.61,2a00:f480:8:43d::/64
"МЗ-1",188.44.43.62,2a00:f480:8:43e::/64
"класс 515",188.44.43.63,2a00:f480:8:43f::/64
"класс 774",188.44.43.64,2a00:f480:8:440::/64
"класс 320",188.44.43.65,2a00:f480:8:441::/64
"класс П-13",188.44.43.66,2a00:f480:8:442::/64
"класс 574",188.44.43.67,2a00:f480:8:443::/64
"класс 577",188.44.43.68,2a00:f480:8:444::/64
"класс 230.1",188.44.43.69,2a00:f480:8:445::/64
"класс 248а",188.44.43.70,2a00:f480:8:446::/64
"класс 371",188.44.43.71,2a00:f480:8:447::/64
"класс 740",188.44.43.72,2a00:f480:8:448::/64

Младший значащий байт префикса, когда это возможно, соответствует младшему байту внешнего IPv4-адреса.

По вланам

Младший значащий байт префикса берётся похожим на (совпадающим с) VLAN ID. Оказывается, что эта схема почти тождественна предыдущей, потому что те адреса почти соответствуют VLAN ID.

По возрастанию, по факту резервирования

Как только какому-то первому классу стало нужно выделить префикс, даём ему 2a00:f480:8:410::/64. Потом 2a00:f480:8:411::/64, 2a00:f480:8:412::/64 и т. д. Соответствие отслеживаем в NetBox и на wiki. Первые 16 можно выделить под МЗ, служебную подсеть, преподавательский класс и что-либо ещё.

В ином порядке

Можно подумать ещё.

Если целесообразно, можно разбить /56 дальше на подгруппы классов или выделить для другой подгруппы классов другой /56. Целесообразность зависит от того, что за подгруппы.

По оборудованию внутри — плохо, потому что оно со временем меняется малоуправляемым образом (апгрейды зависят от внешних условий, в т. ч. случайных).

Предложения приветствуются!