Pochi giorni fa Garrett Wollman pubblicato la sua esperienza esasperante esecuzione IPv6 su grandi sottoreti L2 con switch Juniper EX4200 , concludendo che " ... tanto nella progettazione e implementazione di IPv6 è stata pasticciata dai progettisti di protocollo e fornitori ... "(alcuni di noi sarebbero d'accordo con forza) fare IPv6 " ... semplicemente non sicuro per l'esecuzione su una rete di produzione ... "
Il dibattito risultante su Hacker News è molto interessante (e Andrew Yourtchenko sta provando duramente per tenerlo vicino ai fatti) e sicuramente la pena di leggere ... ma è ND / MLD davvero come rotto come alcune persone sostengono che è?
Che cosa? Cosa multicast?
Solo nel caso in cui non hai familiarità con gli intricati dettagli di IPv6: MLD sta per Multicast Listener Discovery, e se si vuole chiedere, "perché devo multicast per ottenere prossimo scoperta", non siete soli. Dopo tutto, ARP in IPv4 funziona abbastanza bene con la trasmissione indirizzo MAC ... o così la gente pensa fino a quando sono di fronte a una realtà di una tempesta in onda su un IPv4 sottorete di grandi dimensioni.
Ho sentito parlare di gente che corre 10K + host nella stessa sottorete. Cerchiamo di essere diplomatico e dire che sono un po 'di stretching i limiti di progettazione di Ethernet e rete IPv4.
Progettisti protocollo IPv6 hanno cercato di risolvere il problema di ogni host sulla sottorete coinvolto in lavorazione ARP, utilizzando una serie di L2 + L3 gruppi multicast. Indirizzo IPv6 viene assegnata in un indirizzo IPv6 multicast (che è ulteriormente memorizzato nella cache in un indirizzo MAC multicast), e le query ND (richieste ARP in IPv4 gergo) sono inviati al multicast IPv6 / MAC indirizzo multicast associato con l'indirizzo IPv6 di destinazione, invece della trasmissione dell'indirizzo MAC. Troverete maggiori informazioni nella RFC 4861 e nei miei webinar IPv6 .
In una rete ben progettato con pile ospitanti correttamente implementate utilizzando schede di rete che sono in grado di filtri multicast basati su hardware, l'idea in realtà riduce il carico inutile finali padroni di casa.
Hai fatto notare i numerosi condizionali nel paragrafo precedente, vero?
Andando un passo avanti, i progettisti del protocollo hanno cercato di ridurre il carico di collegamento su reti commutate L2 - snooping MLD (quasi identica alla IGMP snooping) permette L2 passa per ottimizzare la struttura di distribuzione per gli indirizzi MAC multicast, fornendo le query ND solo per i padroni di casa che li aspetta (senza MLD snooping, le query ND vengono consegnati a tutti gli host e filtrati da NIC).
Se si desidera MLD snooping a lavorare, si deve ovviamente spingere i padroni di casa a riferire ciò che si aspettano di ricevere - un router IPv6 collegato a una sottorete L2 deve generare query periodiche MLD per aiutare gli switch L2 scoprono host terminali multicast abilitato.
Cosa è andato storto?
E 'difficile capire che cosa esattamente è andato storto con la rete CSAIL, perché stiamo probabilmente manca un sacco di dettagli, ma ci sono un paio di conclusioni facili da fare:
Un design con numerose VLAN diffuso in tutto il luogo e collegato ad un unico insieme di L3 switch è un dominio guasto singolo (non ho potuto resistere a scrivere questo in giù);
Non prendetevela con il protocollo, se il fornitore manca di funzionalità di parità sulle caratteristiche basali graziosi, o è in ritardo nella loro attuazione. Diversi commenti sull'articolo originale hanno menzionato utilizzando DHCPv6 per sbarazzarsi di più indirizzi privacy IPv6 per host, ma naturalmente è necessario un relè di lavoro DHCPv6 per questo;
Non prendetevela con il protocollo quando si colpisce bug di implementazione;
Implementazione di IPv6 è come qualsiasi altra grande diffusione delle nuove tecnologie: fare un disegno corretto, eseguire un progetto pilota, e poi gradualmente distribuire la nuova tecnologia (in attesa di alcuni problemi sulla strada). Tutti coloro che hanno frequentato il mio Enterprise IPv6 101 webinar è ben consapevole di questo;)
Non aspettatevi di girare solo su IPv6 se si sta già allungando i limiti delle vostre tecnologie esistenti o dalla vostra attrezzatura (vedi anche questa e-mail se avete bisogno di una buona dose di sarcasmo).
Aspettatevi di fare qualche messa a punto in sede di attuazione disegni che sono al di fuori di utilizzo "normale" (per qualsiasi valore di "normale"). Non ci si aspetterebbe di eseguire 1.000 router in un'area OSPF senza qualche pesante Sintonia-Fu, vero?
Piattaforme anziane con 0,02 dollari CPU potrebbe ottenere sovraccaricato durante l'elaborazione MLD risponde (supponendo ho capito bene i numeri da il post sul blog, EX4200 ha incontrato problemi a circa 300 MLD risponde al secondo);
Protezione di controllo-piano (Copp) - ammesso che funziona per IPv6 sulla vostra piattaforma - è lì per un motivo;
Sovraccarico della CPU (o qualsiasi altro controllo-plane problema tecnico) si tradurrà in STP composizione e inoltro loop (suggerimento: MLAG potrebbe aiutare - almeno non sarà possibile ottenere i loop di inoltro);
Controllare le dimensioni delle tabelle dei vostri interruttori durante il controllo di disponibilità IPv6 (si ha intenzione di fare una verifica prima della distribuzione IPv6, vero?). EX4200 non è uno dei peggiori delinquenti - EX4500 e EX4550 avere solo voci 1K IPv6 ND (tutti e tre gli interruttori hanno anche dimensioni delle tabelle di inoltro IPv6 tristi).
Troverete dimensioni delle tabelle per la maggior parte degli switch data center prodotte dai principali produttori (tra cui serie EX di Juniper) nel mio Data Center Tessuti webinar.
Sul tema delle dimensioni delle tabelle:
Avete bisogno ND ingresso in uno switch L3 per ogni indirizzo attivo (attivo = comunicazione con lo switch L3) su ogni host IPv6 - che sarebbe di almeno 2 indirizzi per host, e potenzialmente molti di più a causa del modo in cui alcuni dispositivi mobili implementano privacy estensioni;
Non dovrebbe essere necessario una voce IPv6 multicast per ogni gruppo multicast ND - dopo tutto, questi gruppi sono link-local, quindi non c'è bisogno di switch L3 per mantenere il loro stato.
Allo stesso modo, gli switch L2 NECESSARIO NON utilizzare le voci IPv6 (ammesso che li hanno) per i filtri multicast IPv6; come sono switch L2, devono utilizzare lo stesso multicast MAC hardware inoltro usano per IPv4 (o qualsiasi altro protocollo).
Su una nota tangenziale, non sto sostenendo che gli indirizzi di privacy e numerosi indirizzi per l'interfaccia sono l'idea migliore mai. Allo stesso modo, io non sono esattamente un fan di SLAAC in reti aziendali strettamente controllati, ma queste opinioni non sono esattamente pertinente nel contesto di questo post del blog.
Soluzioni alternative
Se tutto il resto fallisce, è il momento per una bravata MacGyver (nota: non farlo a casa). Se non si sta utilizzando MLD snooping su switch L2, non c'è bisogno di query MLD frequenti - cambiare MLD intervallo di query a qualsiasi valore massimo possibile.
Inoltre, se non si utilizza IPv6 multicast, non vedo alcuna necessità di eseguire MLD sulla LAN - spegnerlo se è possibile ... o forse mi manca qualcosa di ovvio, in questo caso potete scrivere un commento.
Per ulteriori informazioni su IPv6 multicast, ND e MLD, passare attraverso questa presentazione . Si noti inoltre che non avremmo questo problema se vogliamo usare L3-solo inoltro IPv6 .
Tags: IPv6 , LAN
email
Etichette:
Condividi su Twitter
Condividi su Facebook
Ivan Pepelnjak, CCIE # 1354, è il consigliere tecnologia principale per NIL Data Communications . Egli progetta e implementazione di reti di comunicazione di dati su larga scala, nonché l'insegnamento e la scrittura di libri su tecnologie avanzate dal 1990 Vedere il suo profilo completo , contattare lui o seguireioshints su Twitter.
POSTS RELATED PER CATEGORIE
IPv6
Se qualcuno usa DMVPN-over-IPv6?
Perché IPv6 layer-2 di sicurezza così complessa (e come risolvere il problema)
Vantaggi di SDN (o: SDN è come IPv6)
Risorse IPv6 su ipSpace.net
Risoluzione dei problemi di connettività residenziale IPv6
IPv6-unico centro di distribuzione dei dati
Facebook è vicino ad avere un solo IPv6 Data Center
Cisco IOS supporta RFC 6106 (RDNSS)
Siamo tutti fratelli su Link-Local
LAN
First-Hop Security IPv6 Caratteristiche in Cisco IOS
VRRP, Anycasts, Tessuti e ottimale Forwarding
VLAN sono l'astrazione sbagliato per il networking virtuale
Dove è la mia VLAN provisioning?
Che cosa hai fatto per sbarazzarsi di manuale VLAN provisioning?
IPv6 di Neighbor Discovery sicura (SEND)
VXLAN e OTV: Sono stato fregato
QFabric Lite
Networking virtuale è più di macchine virtuali e VLAN nastro adesivo
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.