Đề xuất IPv8

1.1. Ngôn ngữ yêu cầu

Các từ khóa "PHẢI", "PHẢI KHÔNG", "BẮT BUỘC", "SHALL", "SHALL KHÔNG", "NÊN", "KHÔNG NÊN", "ĐỀ XUẤT", "KHÔNG ĐƯỢC KHUYẾN NGHỊ", "CÓ THỂ" và "TÙY CHỌN" trong tài liệu này được hiểu là được mô tả trong BCP 14 [RFC2119] [RFC8174] khi và chỉ khi, chúng xuất hiện ở tất cả chữ hoa, như được hiển thị ở đây.¶

1.2. Sự cố quản lý mạng

Quản lý mạng hiện đại có đặc điểm là phân mảnh. DHCP, DNS, NTP, ghi nhật ký, giám sát và xác thực là sản phẩm riêng biệt, được cấp phép riêng, được cấu hình riêng, và được duy trì riêng biệt không có nhận thức chung của mạng trạng thái. Một thiết bị kết nối với mạng có thể yêu cầu hướng dẫn sử dụng cấu hình của hàng tá dịch vụ độc lập trước khi nó được hoạt động. Bảo mật không nhất quán -- một số dịch vụ được xác thực, những người khác thì không. Thất bại đòi hỏi sự tương quan dữ liệu trên các hệ thống chưa bao giờ được thiết kế để hoạt động cùng nhau.¶

Sự phân mảnh này tăng theo mọi thiết bị được thêm vào. nhỏ mạng không thể chịu được sự phức tạp trong hoạt động. lớn mạng không thể chấp nhận được sự không nhất quán. Internet toàn cầu không có cơ chế mạch lạc để xác nhận các tuyến đường được quảng cáo được các nhà quảng cáo của họ nắm giữ một cách hợp pháp hoặc các gói đó quá cảnh đến các điểm đến bên ngoài đã được xác nhận dựa trên mọi đăng ký tuyến đường đang hoạt động.¶

IPv6 [RFC8200] đã giải quyết tình trạng cạn kiệt địa chỉ nhưng không giải quyết được sự phân mảnh quản lý. Sau 25 năm nỗ lực triển khai IPv6 mang một phần nhỏ lưu lượng truy cập internet toàn cầu. các chi phí vận hành của mô hình chuyển đổi ngăn xếp kép, kết hợp với sự thiếu cải tiến quản lý, đã được chứng minh về mặt thương mại không thể chấp nhận được.¶

IPv8 giải quyết đồng thời cả hai vấn đề.¶

1.3. Triết lý quản lý IPv8

Khái niệm hoạt động trung tâm trong IPv8 là Máy chủ vùng -- một nền tảng hoạt động/hoạt động được ghép nối chạy mọi dịch vụ phân đoạn mạng yêu cầu: gán địa chỉ (DHCP8), tên độ phân giải (DNS8), đồng bộ hóa thời gian (NTP8), đo từ xa bộ sưu tập (NetLog8), bộ nhớ đệm xác thực (OAuth8), tuyến đường xác thực (trình phân giải WHOIS8), kiểm soát truy cập thực thi (ACL8) và bản dịch IPv4/IPv8 (XLATE8).¶

Một thiết bị kết nối với mạng IPv8 sẽ gửi một DHCP8 Khám phá và nhận một phản hồi chứa mọi dịch vụ điểm cuối nó yêu cầu. Không có cấu hình thủ công tiếp theo nào được cần thiết cho bất kỳ dịch vụ nào. Thiết bị đã hoạt động hoàn toàn -- được xác thực, ghi nhật ký, đồng bộ hóa thời gian, thực thi chính sách vùng -- trước lần tương tác đầu tiên của người dùng.¶

Mọi thành phần có thể quản lý trong mạng IPv8 đều được cấp phép thông qua Mã thông báo OAuth2 JWT [RFC7519]. Mã thông báo được xác thực cục bộ bởi bộ nhớ đệm OAuth8 trên Máy chủ Vùng mà không cần thực hiện các chuyến đi khứ hồi tới nhà cung cấp danh tính bên ngoài. Một thiết bị ở một vị trí từ xa với nhà cung cấp danh tính đám mây tạm thời không thể truy cập được tiếp tục xác thực bình thường -- bộ đệm OAuth8 giữ tất cả các khóa công khai và xác thực chữ ký cục bộ trong sub- thời gian mili giây. Mã thông báo JWT có thể được phân phối bởi OAuth2 cục bộ quyền (bộ định tuyến gia đình hoạt động ở chế độ chính quyền địa phương) hoặc bởi nhà cung cấp OAuth2 doanh nghiệp được lưu vào bộ nhớ đệm. Xác thực là phổ quát, nhất quán và không yêu cầu thông tin xác thực cho mỗi dịch vụ quản lý.¶

Các bản cập nhật chương trình cơ sở và phần mềm cho các thành phần ngăn xếp L1-L4 là được quản lý thông qua giao thức Update8 [UPDATE8]. Update8 định nghĩa định dạng nguồn cấp dữ liệu nhà cung cấp tiêu chuẩn, proxy được xác thực của Máy chủ Vùng, bộ nhớ đệm cục bộ tùy chọn, lập lịch dựa trên mức độ quan trọng của thiết bị, và ngăn chặn khôi phục được thực thi trong phần cứng NIC. Thiết bị chỉ nhận thông tin cập nhật từ các nguồn có tên DNS được xác thực bởi Máy chủ khu vực. Kết nối với nguồn cập nhật được xác định bởi IP địa chỉ bị chặn theo mặc định.¶

Phạm vi 127.0.0.0/8 r.r.r.r được đặt trước vĩnh viễn làm phạm vi Không gian tiền tố vùng nội bộ IPv8. Tổ chức phân công nội bộ tiền tố vùng (127.1.0.0, 127.2.0.0, v.v.) cho các vùng mạng và các vùng. Địa chỉ vùng nội bộ không bao giờ được định tuyến bên ngoài. Không thể xảy ra xung đột địa chỉ giữa các vùng. Một tổ chức có thể xây dựng một mạng lưới địa lý tùy ý và quy mô tổ chức -- với hàng chục khu vực khu vực, mỗi khu vực chứa hàng nghìn thiết bị -- sử dụng định tuyến quen thuộc các giao thức mà không có bất kỳ sự phối hợp địa chỉ bên ngoài nào.¶

1.4. An ninh Đông-Tây và Bắc-Nam

IPv8 giải quyết hai vấn đề bảo mật lưu lượng riêng biệt:¶

Bảo mật Đông-Tây -- lưu lượng giữa các thiết bị trong một mạng -- được thực thi bằng cách ly vùng ACL8. Thiết bị chỉ liên lạc với cổng dịch vụ được chỉ định của họ. các cổng dịch vụ chỉ giao tiếp với đám mây được chỉ định dịch vụ. Chuyển động ngang giữa các thiết bị hoặc vùng là bị cản trở về mặt kiến trúc do không có bất kỳ sự cho phép nào tuyến đường đến bất kỳ điểm đến nào khác. Ba cơ quan thực thi độc lập các lớp cung cấp khả năng phòng thủ chuyên sâu: NIC firmware ACL8, Zone Cổng máy chủ ACL8 và cổng chuyển mạch VLAN phần cứng OAuth2 thực thi.¶

An ninh Bắc-Nam -- lưu lượng truy cập từ các thiết bị nội bộ đến internet -- được thực thi tại đầu ra của Máy chủ Vùng bởi hai bước xác nhận bắt buộc. Đầu tiên, mọi kết nối ra phải có tra cứu DNS8 tương ứng -- không có nghĩa là tra cứu DNS không có mục nhập bảng trạng thái XLATE8 có nghĩa là kết nối bị chặn. Thứ hai, ASN đích được xác thực theo WHOIS8 sổ đăng ký -- nếu tiền tố đích không được đăng ký dưới dạng tuyến hoạt động bởi chủ sở hữu ASN đã đăng ký hợp pháp gói tin bị rớt. Hai bước này cùng nhau loại bỏ Kênh chỉ huy và kiểm soát phần mềm độc hại chính: kết nối với địa chỉ IP được mã hóa cứng không có độ phân giải DNS.¶

Ở cấp độ định tuyến toàn cầu, quảng cáo tuyến đường BGP8 là được xác thực dựa trên WHOIS8 trước khi cài đặt trong định tuyến cái bàn. Một tuyến đường không thể xác thực sẽ không được cài đặt. Việc bảo trì danh sách bộ lọc bogon thủ công được loại bỏ. Tiền tố Việc chiếm quyền điều khiển là khó khăn về mặt kiến trúc -- kẻ tấn công phải xâm phạm cả mục đăng ký RIR và tạo ra một mục đăng ký hợp lệ đã ký bản ghi WHOIS8.¶

1.5. Cạn kiệt địa chỉ

IANA đã hoàn tất việc phân bổ không gian địa chỉ unicast IPv4 vào tháng 2 năm 2011. CGNAT đã kéo dài tuổi thọ của IPv4 nhưng lại giới thiệu độ trễ, phá vỡ các giao thức ngang hàng và làm phức tạp khắc phục sự cố. Vấn đề cạn kiệt địa chỉ là kiến trúc và không thể giải quyết được trong IPv4 32-bit không gian địa chỉ.¶

IPv8 giải quyết tình trạng cạn kiệt địa chỉ do kết quả của nó giải quyết kiến trúc, không phải là mục tiêu thiết kế chính. các Không gian địa chỉ IPv8 64 bit cung cấp 2^64 địa chỉ duy nhất. Mỗi chủ sở hữu ASN nhận được 2^32 địa chỉ máy chủ -- 4.294.967.296 địa chỉ -- đủ cho mọi tổ chức ở mọi quy mô không hết địa chỉ, CGNAT hoặc đánh số lại.¶

IPv4 là tập hợp con chính xác của IPv8. Một địa chỉ IPv8 có r.r.r.r = 0.0.0.0 là địa chỉ IPv4, được xử lý theo tiêu chuẩn Quy tắc IPv4. Không có thiết bị, ứng dụng hoặc mạng hiện có yêu cầu sửa đổi để tham gia vào mạng IPv8. Bộ phần mềm này tương thích ngược 100%. Không có ngày cờ và không bắt buộc phải di chuyển ở bất kỳ lớp nào.¶

Bảng định tuyến BGP8 toàn cầu được giới hạn về mặt cấu trúc tại một mục nhập trên mỗi ASN. Quy tắc tiền tố có thể tiêm tối thiểu /16 ngăn chặn sự phân tổ. Hầu hết các nhà cung cấp dịch vụ đều quảng cáo một bản tóm tắt /8 tuyến đường cho mỗi ASN khu vực. Bảng định tuyến BGP4 đã vượt quá 900.000 tiền tố không có giới hạn về kiến trúc. Định tuyến BGP8 bảng được giới hạn bởi tỷ lệ phân bổ ASN -- xấp xỉ 175.000 mục ngày hôm nay.¶

1.6. Cải tiến giao thức định tuyến

IPv8 mở rộng OSPF8 [RFC2328], BGP8 [RFC4271] (cả iBGP8 và eBGP8) và IS-IS8 với chất lượng đường dẫn thống nhất số liệu -- Hệ số chi phí (CF).¶

CF là số liệu tích lũy 32 bit bắt nguồn từ bảy các thành phần được đo từ TCP đo từ xa phiên: chuyến đi khứ hồi thời gian, mất gói, trạng thái cửa sổ tắc nghẽn, độ ổn định của phiên, năng lực liên kết, chính sách kinh tế và khoảng cách địa lý như một sàn vật lý. CF tích lũy trên mỗi bước nhảy BGP8 từ nguồn đến đích. Mỗi bộ định tuyến sẽ chọn một cách độc lập đường dẫn có CF tích lũy thấp nhất mà không cần phối hợp.¶

CF kết hợp chất lượng đường dẫn tổng hợp động của EIGRP, mô hình chi phí tích lũy của OSPF và tải tỷ lệ cân bằng trên nhiều đường dẫn -- trong một phiên bản mở duy nhất thuật toán hoạt động từ đầu đến cuối qua ranh giới AS. OSPF và EIGRP dừng ở ranh giới AS. CF thì không.¶

Thành phần địa lý của CF đặt ra sàn vật lý -- không có đường dẫn có thể xuất hiện tốt hơn tốc độ ánh sáng khoảng cách vòng tròn cho phép. Một con đường đo nhanh hơn giấy phép vật lý được gắn cờ ngay lập tức là CF bất thường.¶

CF là thuật toán có phiên bản mở. CFv1 là bắt buộc đường cơ sở. Các phiên bản trong tương lai có thể thêm chi phí carbon, jitter, thời gian trong ngày và tín hiệu độ trễ của lớp ứng dụng thông qua Quá trình IETF.¶

1.7. Khả năng tương thích ngược và chuyển đổi

IPv4 là tập hợp con thích hợp của IPv8:¶

Địa chỉ IPv8 có r.r.r.r = 0.0.0.0 = địa chỉ IPv4
Được xử lý theo quy tắc IPv4 tiêu chuẩn
Không cần sửa đổi thiết bị IPv4
Không cần sửa đổi ứng dụng IPv4
Không sửa đổi mạng nội bộ IPv4 bắt buộc

IPv8 không yêu cầu hoạt động xếp chồng kép. Không có lá cờ ngày. Đường hầm 8to4 cho phép các đảo IPv8 được phân tách bằng IPv4- chỉ có mạng chuyển tuyến mới có thể liên lạc ngay lập tức. CF tự nhiên khuyến khích các ASN chuyển tiếp IPv4 nâng cấp bằng cách đo lường mức độ cao hơn độ trễ trên đường dẫn 8to4 -- tín hiệu kinh tế tự động không có bất kỳ nhiệm vụ nào.¶

Các giai đoạn chuyển tiếp độc lập. ISP cấp 1, đám mây nhà cung cấp, doanh nghiệp và ISP tiêu dùng có thể áp dụng IPv8 trong bất kỳ thứ tự nào và ở bất kỳ tốc độ nào. 8to4 đảm bảo khả năng tương tác xuyên suốt.¶

2.1. Phân mảnh quản lý

Quản lý mạng IPv4 không có mô hình tích hợp mạch lạc. Các giao thức vận hành mạng -- DHCP, DNS, NTP, syslog, SNMP, xác thực - được chỉ định độc lập hơn bốn thập kỷ, không chia sẻ mô hình nhận dạng chung, không có chung cơ chế xác thực và không có định dạng đo từ xa phổ biến.¶

Cái hậu quả là đang hoạt động: mạng yêu cầu chuyên gia kiến thức về từng giao thức một cách độc lập. An ninh là không nhất quán -- một số dịch vụ yêu cầu xác thực, một số dịch vụ khác yêu cầu xác thực chấp nhận các yêu cầu không được xác thực từ bất kỳ nguồn nào. Thất bại yêu cầu các nhật ký tương quan giữa các hệ thống với các định dạng dấu thời gian, mô hình mức độ nghiêm trọng khác nhau và các đại diện nhận dạng. Quy mô quản lý với hoạt động gánh nặng, không phải với kích thước mạng.¶

IPv8 giải quyết vấn đề này bằng cách xác định một bộ quản lý mạch lạc trong đó mọi dịch vụ đều chia sẻ một mô hình nhận dạng chung (OAuth2 JWT), một cơ chế phân phối chung (DHCP8), một phương pháp đo từ xa chung định dạng (NetLog8) và bộ đệm xác thực chung (OAuth8).¶

2.2. Cạn kiệt địa chỉ

IANA đã hoàn tất việc phân bổ không gian địa chỉ unicast IPv4 vào tháng 2 năm 2011. Các cơ quan đăng ký Internet khu vực đã cạn kiệt phân bổ giai đoạn 2011-2020 CGNAT kéo dài tuổi thọ IPv4 phải trả giá bằng độ trễ, sự gián đoạn giao thức ngang hàng và mức độ phức tạp của việc khắc phục sự cố.¶

IPv6 [RFC8200] được phát triển để giải quyết tình trạng cạn kiệt. Sau 25 nhiều năm nỗ lực tiêu chuẩn hóa và triển khai IPv6 mang lại thiểu số trong lưu lượng truy cập internet toàn cầu. Ngăn xếp kép mô hình chuyển đổi -- yêu cầu mọi thiết bị, ứng dụng và mạng hỗ trợ đồng thời cả hai giao thức -- đã được chứng minh không thể chấp nhận được về mặt thương mại. Sự vắng mặt của chức năng cưỡng bức có nghĩa là các tổ chức có thể tiếp tục sử dụng CGNAT vô thời hạn.¶

IPv8 giải quyết tình trạng cạn kiệt địa chỉ mà không cần thao tác xếp chồng kép. IPv4 là một tập hợp con thích hợp của IPv8. Quá trình chuyển đổi không yêu cầu ngày treo cờ và không tạo ra sự gián đoạn hoạt động.¶

2.3. Mở rộng bảng định tuyến

Bảng định tuyến toàn cầu BGP4 đã vượt quá 900.000 tiền tố trong 2024 và phát triển không giới hạn về mặt kiến trúc. Tiền tố phân tách -- quảng cáo các tiền tố cụ thể hơn để ảnh hưởng đến kỹ thuật giao thông -- là động lực chính của tăng trưởng. Không có cơ chế giao thức nào ngăn chặn điều đó.¶

BGP4 không có mối quan hệ ràng buộc nào giữa nội dung ASN quảng cáo và những gì nó được phép quảng cáo. Tiền tố có thể xảy ra việc chiếm quyền điều khiển, rò rỉ tuyến đường và tiêm bogon vì không có cơ quan đăng ký sở hữu tuyến đường biên giới đó bộ định tuyến thực thi như một điều kiện chấp nhận tuyến đường.¶

IPv8 giải quyết cả hai vấn đề. Số lượng tiêm tối thiểu /16 quy tắc tiền tố ngăn chặn sự phân tổ ở ranh giới giữa các AS. Xác thực tuyến đường bắt buộc WHOIS8 tạo ra một ràng buộc mối quan hệ giữa quảng cáo BGP8 và đăng ký quyền sở hữu tuyến đường. Bảng định tuyến BGP8 toàn cầu là được giới hạn về mặt cấu trúc ở một mục nhập cho mỗi ASN.¶

2.4. Yêu cầu đối với Người kế nhiệm khả thi

• R1. Quản lý tích hợp -- nhận dạng chung, xác thực, đo từ xa và cung cấp dịch vụ trên tất cả các dịch vụ mạng.¶
• R2. Hoạt động ngăn xếp đơn -- không yêu cầu ngăn xếp kép.¶
• R3. Khả năng tương thích ngược hoàn toàn - các ứng dụng IPv4 hiện có không thay đổi. IPv4 là tập hợp con chính xác của IPv8.¶
• R4. Khả năng tương thích ngược hoàn toàn -- Mạng nội bộ RFC 1918 không thay đổi.¶
• R5. Khả năng tương thích ngược hoàn toàn -- Việc triển khai CGNAT không thay đổi.¶
• R6. Không gian địa chỉ được mở rộng đáng kể.¶
• R7. Có thể triển khai dưới dạng bản cập nhật phần mềm mà không cần phần cứng thay thế.¶
• R8. Địa chỉ có thể đọc được của con người phù hợp với nhà khai thác IPv4 sự quen thuộc.¶
• R9. An ninh giao thông Đông Tây và Bắc Nam được thực thi bởi giao thức, không phải bằng cấu hình thủ công.¶
• R10. Bảng định tuyến toàn cầu được giới hạn về mặt cấu trúc.¶

IPv8 đáp ứng tất cả mười yêu cầu.¶

3.1. Cấu trúc

Địa chỉ IPv8 là giá trị 64 bit:¶

• r.r.r.r -- Tiền tố định tuyến ASN 32-bit¶
• n.n.n.n -- Địa chỉ máy chủ 32 bit (ngữ nghĩa giống hệt với IPv4)¶

3.2. Không gian địa chỉ

2^64 = 18,446,744,073,709,551,616 địa chỉ duy nhất.
2^32 tiền tố ASN x 2^32 địa chỉ máy chủ trên mỗi ASN.

3.3. Bản trình bày IPv4 trong IPv8

Các gói có r.r.r.r = 0.0.0.0 PHẢI được định tuyến bằng tiêu chuẩn Quy tắc IPv4 được áp dụng cho trường n.n.n.n. IPv4 là phù hợp tập hợp con của IPv8. Không sửa đổi các thiết bị, ứng dụng IPv4, hoặc mạng là bắt buộc.¶

3.4. Mã hóa ASN bằng r.r.r.r

ASN 32 bit được mã hóa trực tiếp thành r.r.r.r dưới dạng 32 bit số nguyên không dấu theo thứ tự byte mạng:¶

ASN 64496 (Ví dụ-A) = 0.0.251.240
ASN 64497 (Ví dụ-B) = 0.0.251.241
ASN 64498 (Ví dụ-C) = 0.0.251.242

3.5. Tiền tố vùng nội bộ (127.0.0.0/8)

Phạm vi 127.0.0.0/8 của trường r.r.r.r là vĩnh viễn dành riêng cho tiền tố vùng IPv8 nội bộ. Khu nội bộ tiền tố xác định các vùng mạng trong phạm vi của một tổ chức không gian địa chỉ riêng.¶

Trong đó x.x.x xác định vùng nội bộ. Ví dụ:¶

127.1.0.0.n.n.n.n Nội vùng 1 (ví dụ: Châu Mỹ)
127.2.0.0.n.n.n.n Nội khu 2 (ví dụ: Châu Âu)
127.3.0.0.n.n.n.n Nội vùng 3 (ví dụ: Châu Á Thái Bình Dương)

Quy tắc tiền tố vùng nội bộ:¶

• PHẢI KHÔNG được định tuyến ra bên ngoài phạm vi của tổ chức AS ranh giới.¶
• PHẢI KHÔNG xuất hiện trên giao diện WAN hoặc liên kết internet công cộng.¶
• PHẢI KHÔNG được sử dụng trong quảng cáo eBGP8.¶
• CÓ THỂ được sử dụng tự do trong nội bộ tổ chức cơ sở hạ tầng định tuyến qua OSPF8, IS-IS8 và IBGP8.¶
• Cung cấp 2^56 địa chỉ nội bộ hiệu quả trên tất cả tiền tố vùng. Không thể xảy ra xung đột địa chỉ nội bộ giữa các khu vực.¶
• Cho phép các tổ chức xây dựng được phân bổ theo địa lý, mạng riêng được định tuyến theo vùng với quy mô tùy ý mà không cần phối hợp địa chỉ bên ngoài.¶

Các số ASN mã hóa thành phạm vi 127.0.0.0/8 trong Trường r.r.r.r (ASN 2130706432 đến ASN 2147483647) là dành riêng cho việc sử dụng vùng nội bộ và KHÔNG ĐƯỢC phân bổ bởi IANA để định tuyến internet công cộng.¶

3.6. Tiền tố tương tác giữa các công ty (127.127.0.0)

Tiền tố 127.127.0.0 được dành riêng làm tiền tố liên lạc tiêu chuẩn khả năng tương tác của công ty DMZ. Khi hai tổ chức cần kết nối với nhau mà không để lộ địa chỉ vùng nội bộ của họ, cả hai đều triển khai công cụ XLATE8 đối mặt với 127.127.0.0 chung không gian địa chỉ. Thông số kỹ thuật đầy đủ trong [ZONESERVER] Mục 16.9.¶

3.7. Mô hình tương tác hai XLATE8

Công ty A Công ty B
--------- ---------
127.1.0.0.x XLATE8-A 127.127.0.0 XLATE8-B 127.2.0.0.x

Thuộc tính:¶

• Công ty A không bao giờ nhìn thấy Công ty B Địa chỉ 127.2.0.0.¶
• Công ty B không bao giờ nhìn thấy địa chỉ 127.1.0.0 của Công ty A.¶
• Mỗi công ty kiểm soát chính xác những gì họ thể hiện.¶
• Không thể trùng lặp địa chỉ. Không có độ phức tạp NAT.¶
• Thời gian thiết lập: số phút cho mỗi dịch vụ được sử dụng.¶

3.9. Tiền tố ngang hàng RINE (100.0.0.0/8)

Phạm vi 100.0.0.0/8 của trường r.r.r.r là vĩnh viễn dành riêng cho Sàn giao dịch liên mạng khu vực (RINE) nhìn vải. Địa chỉ RINE được sử dụng riêng cho Địa chỉ liên kết ngang hàng AS-to-AS tại IXP và riêng tư các tiện ích kết nối. Thông số kỹ thuật đầy đủ trong [RINE].¶

Địa chỉ RINE:¶

• PHẢI KHÔNG được quảng cáo trong bảng định tuyến BGP8 toàn cầu.¶
• PHẢI KHÔNG được chỉ định cho thiết bị cuối.¶
• PHẢI được lọc ở tất cả eBGP8 bộ định tuyến biên giới.¶

3.10. Quy ước liên kết nội bộ (222.0.0.0/8)

Dải n.n.n.n 222.0.0.0/8 là nội địa IPv8 nổi tiếng quy ước địa chỉ liên kết Mọi AS CÓ THỂ sử dụng <own-asn>.222.x.x.x để đánh địa chỉ liên kết nội bộ giữa bộ định tuyến với bộ định tuyến trong AS của chúng.¶

Quy ước này tương tự như RFC 1918 [RFC1918] cho IPv4 -- được công nhận toàn cầu, được lọc toàn cầu, không bao giờ được định tuyến bên ngoài, không bao giờ là điểm cuối.¶

3.11. Mô hình sử dụng địa chỉ

Hầu hết các thiết bị trên hầu hết các mạng đều sử dụng 127.x.x.x nội bộ địa chỉ. Địa chỉ ASN công cộng chỉ được sử dụng cho mục đích rõ ràng các dịch vụ dành cho công chúng.¶

4.1. Anycast

Anycast không phải là lớp địa chỉ riêng biệt trong IPv8. Anycast là thuộc tính định tuyến được triển khai thông qua eBGP8. Yếu tố chi phí (CF) số liệu được xác định trong [ROUTING-PROTOCOLS] định tuyến từng gói tới phiên bản BGP8 gần nhất bằng chi phí được đo tự động.¶

8.1. Giao thức định tuyến bắt buộc

8.2. Giao thức định tuyến không được dùng nữa

8.3. eBGP8 - Giao thức cổng bên ngoài bắt buộc

eBGP8 là giao thức cổng bên ngoài bắt buộc. Tất cả L3 thiết bị PHẢI triển khai eBGP8. eBGP8 lạc hậu 100% tương thích với BGP4 [RFC4271]. Thông số kỹ thuật đầy đủ trong [ROUTING-PROTOCOLS].¶

Tiền tố có thể chèn tối thiểu ở ranh giới giữa các AS là /16. Các tiền tố cụ thể hơn /16 KHÔNG PHẢI được quảng cáo trên toàn bộ Ranh giới AS.¶

8.4. IBGP8 - Định tuyến giữa các vùng

IBGP8 phân phối các tuyến bên ngoài được WHOIS8 xác thực trên khắp một hệ thống tự trị có nhận thức đầy đủ về chỉ số CF.¶

CF_total = CF_external + CF_intrazone

8,7. Bảng định tuyến hai tầng

Khi r.r.r.r = 0.0.0.0, tra cứu Cấp 1 bị bỏ qua.¶

8,8. VRF - Định tuyến và chuyển tiếp ảo

VRF là bắt buộc đối với tất cả các thiết bị IPv8 L3. VRF quản lý (VLAN 4090) và OOB VRF (VLAN 4091) PHẢI được triển khai trên tất cả các thiết bị tương thích IPv8. Cách ly VRF là một bảng định tuyến thuộc tính không thể bị bỏ qua do cấu hình sai phần mềm.¶

10.1. Đa tuyến nội bộ ASN

0.0.0.0.224.0.0.0/4 Tất cả phát đa hướng nội ASN
0.0.0.0.239.0.0.0/8 trong phạm vi quản trị nội bộ ASN

Các gói có r.r.r.r = 0.0.0.0 và n.n.n.n trong multicast phạm vi KHÔNG PHẢI được chuyển tiếp ra ngoài AS cục bộ ranh giới.¶

10.2. Đa tuyến xuyên ASN

ff.ff.00.00.n.n.n.n Phát đa hướng chung trên nhiều ASN
ff.ff.00.01.n.n.n.n lưu lượng giao thức OSPF8
ff.ff.00.02.n.n.n.n Khám phá ngang hàng BGP8
ff.ff.00.03.n.n.n.n EIGRP (dành riêng, không dùng nữa)
ff.ff.00.04.n.n.n.n RIP (dành riêng, không được dùng nữa)
ff.ff.00.05.n.n.n.n IS-IS8 (dành riêng, máy lẻ của nhà cung cấp)

10.3. Bài tập của nhóm Multicast trên nhiều ASN

ff.ff.00.00.224.0.0.1 Tất cả bộ định tuyến IPv8
ff.ff.00.00.224.0.0.2 Tất cả các máy chủ vùng IPv8
ff.ff.00.00.224.0.0.5 OSPF8 tất cả các bộ định tuyến
ff.ff.00.00.224.0.0.6 Bộ định tuyến được chỉ định OSPF8
ff.ff.00.00.224.0.0.10 Khám phá ngang hàng IBGP8
ff.ff.00.00.239.0.0.0/8 Về mặt hành chính có phạm vi

13.1. Thao tác xếp chồng đơn

IPv8 không yêu cầu hoạt động xếp chồng kép. IPv4 là phù hợp tập hợp con của IPv8 có r.r.r.r = 0.0.0.0. Không có ngày cờ và không bắt buộc phải di chuyển.¶

13.2. Khả năng tương thích với mạng IPv4

Các mạng chưa triển khai IPv8 vẫn tiếp tục hoạt động không thay đổi. Bộ định tuyến biên giới IPv8 loại bỏ tiền tố r.r.r.r cho Đích đến chỉ có IPv4.¶

13.3. 8to4 - IPv8 trên các mạng chỉ có IPv4

ASN IPv8 được phân tách bằng ASN chuyển tuyến chỉ IPv4 giao tiếp thông qua đường hầm 8to4. Đường hầm HTTPS được ưu tiên đóng gói -- nó cung cấp mã hóa tự động và vượt qua hầu hết các tường lửa mà không cần cấu hình đặc biệt. Thuộc tính 8TO4-ENDPOINT BGP8 mang đường hầm IPv4 điểm cuối tự động. Cấu hình đường hầm thủ công bằng không được yêu cầu. Thông số kỹ thuật đầy đủ trong [ROUTING-PROTOCOLS] Mục 11.¶

13.4. Trình tự chuyển tiếp

Giai đoạn 1: Bộ định tuyến ISP cấp 1/2 triển khai IPv8 thông qua bản cập nhật phần mềm.
Giai đoạn 2: Nhà cung cấp đám mây triển khai IPv8 nội bộ.
Giai đoạn 3: Mạng doanh nghiệp tùy chọn áp dụng tiền tố ASN.
Giai đoạn 4: ISP tiêu dùng triển khai IPv8.

Đường hầm 8to4 cho phép mỗi giai đoạn tương tác với nhau với các giai đoạn chưa hoàn thành. Không có sự phụ thuộc giữa giai đoạn.¶

17.1. Cấp 1 - Thiết bị cuối

Thiết bị cuối PHẢI triển khai: Bảng định tuyến hợp nhất Route8, tuyến tĩnh, VRF (mặt phẳng quản lý), hai cổng mặc định (chẵn/lẻ), máy khách DHCP8, ARP8, ICMPv8, TCP/443 liên tục kết nối với Máy chủ Vùng, máy khách NetLog8, phía máy khách ACL8 thực thi, quản lý VRF (VLAN 4090), OOB VRF (VLAN 4091), bật ARP8 miễn phí khởi động.¶

Thiết bị cuối CÓ THỂ triển khai: OSPF8, IS-IS8, eBGP8, IBGP8.¶

Thiết bị cuối KHÔNG yêu cầu bất kỳ giao thức định tuyến nào để tiếp cận Cổng mặc định của họ.¶

17.2. Cấp 2 - Thiết bị mạng L2

Các thiết bị L2 PHẢI triển khai: trung kế 802.1Q, tự động VLAN tạo lưu lượng truy cập được gắn thẻ, quản lý VRF (VLAN 4090), OOB VRF (VLAN 4091), chuyển đổi cổng liên kết OAuth2, LLDP, Máy khách NetLog8, ARP8 (chỉ mặt phẳng quản lý), ICMPv8 (chỉ mặt phẳng quản lý), PVRST, Máy chủ vùng làm gốc PVRST khả năng, liên kết MAC dính, MAC máy chủ vùng thông báo.¶

17.3. Cấp 3 - Thiết bị mạng L3

Thiết bị L3 PHẢI triển khai: Tất cả các yêu cầu Cấp 1, eBGP8, IBGP8, OSPF8, IS-IS8 (có sẵn), tuyến tĩnh, VRF (đầy đủ), XLATE8 (bắt buộc trên các thiết bị biên), trình phân giải WHOIS8, ACL8 thực thi cổng, dịch vụ Máy chủ Vùng (nếu Vùng Máy chủ vai trò), khả năng root PVRST, chuyển đổi liên kết cổng OAuth2 hỗ trợ.¶

17.4. Cây bao trùm - PVRST Bắt buộc

PVRST là bắt buộc đối với tất cả các thiết bị IPv8 L2 và L3. MST là không được khuyến khích. Máy chủ vùng theo mặc định là gốc PVRST:¶

• Máy chủ vùng chính (.254): Gốc PVRST cho cả Vlan, mức độ ưu tiên 4096.¶
• Máy chủ vùng phụ (.253): Gốc PVRST cho các Vlan lẻ, mức độ ưu tiên 4096.¶

17,5. Giới hạn tốc độ NIC

Phần mềm cơ sở NIC được chứng nhận IPv8 thực thi các giới hạn tốc độ không thể bị phần mềm ghi đè:¶

Phát sóng: tối đa 10 lần mỗi giây
Người dùng chưa được xác thực: 10 mỗi giây, tối đa 30 mỗi phút
Người dùng xác thực: 100 mỗi giây, tối đa 300 mỗi giây phút

Máy chủ vùng DHCP8 là cơ quan duy nhất giới hạn tốc độ độ cao. Thông số chứng nhận NIC đầy đủ trong [UPDATE8].¶

18.1. Giả mạo tiền tố ASN

Bộ định tuyến viền IPv8 PHẢI triển khai lọc xâm nhập xác thực rằng nguồn r.r.r.r của các gói đã nhận khớp với ASN của BGP8 ngang hàng. Phù hợp với BCP 38 [RFC2827].¶

18.2. Bảo vệ tiền tố vùng nội bộ

Tiền tố vùng nội bộ 127.x.x.x KHÔNG PHẢI xuất hiện trên WAN giao diện. Bộ định tuyến biên PHẢI loại bỏ các gói có 127.x.x.x r.r.r.r nguồn hoặc đích trên các giao diện bên ngoài. NetLog8 SEC-ALERT PHẢI được tạo cho mỗi lần vi phạm.¶

18.3. Bảo vệ tiền tố RINE

Tiền tố 100.x.x.x RINE KHÔNG PHẢI xuất hiện trong eBGP8 quảng cáo hoặc trên các giao diện không ngang hàng. NetLog8 SEC-ALERT PHẢI được tạo cho mỗi lần vi phạm.¶

18.4. Bảo vệ quy ước liên kết nội bộ

Bộ định tuyến biên PHẢI lọc các quảng cáo BGP8 đã nhận chứa địa chỉ n.n.n.n trong phạm vi 222.0.0.0/8. Bẫy NetLog8 E3 PHẢI được tạo cho mỗi lần vi phạm.¶

18,7. /16 Thực thi tiền tố tối thiểu

Các tiền tố cụ thể hơn /16 PHẢI KHÔNG được chấp nhận từ các đồng nghiệp BGP8 bên ngoài. Những quảng cáo như vậy PHẢI bị từ chối và được đăng nhập qua NetLog8 với tên SEC-ALERT.¶

19.1. Số phiên bản IP

IANA được yêu cầu chỉ định số phiên bản 8 trong IP Số phiên bản đăng ký cho Giao thức Internet Phiên bản 8.¶

19.2. Đặt trước tiền tố khu vực nội bộ

IANA được yêu cầu đặt trước phạm vi r.r.r.r 127.0.0.0 thông qua 127.255.255.255 làm tiền tố vùng nội bộ IPv8 không gian. Số ASN 2130706432 đến 2147483647 KHÔNG PHẢI được phân bổ để định tuyến internet công cộng.¶

19.3. Đặt trước tiền tố RINE

IANA được yêu cầu đặt trước phạm vi r.r.r.r 100.0.0.0 thông qua 100.255.255.255 dưới dạng kết cấu ngang hàng IPv8 RINE phạm vi. Số ASN 1677721600 đến 1694498815 KHÔNG PHẢI được phân bổ để định tuyến internet công cộng.¶

19.7. Loại bản ghi DNS A8

IANA được yêu cầu chỉ định số loại bản ghi tài nguyên DNS đối với loại bản ghi A8 được xác định trong Phần 7.¶

19,9. Đặt trước ASN riêng

IANA được yêu cầu đặt trước ASN 65534 cho liên lạc riêng tư công ty BGP8 ngang hàng và ASN 65533 cho tài liệu và mục đích thử nghiệm nhất quán với [RFC6996].¶