IPv6 без nat, но как насчет изменения ISP?
Я не работал с IPv6 за пределами туннелирования 4to6 на моем домашнем ПК с такими вещами, как GoGoNet. Я читал о том, как это работает в целом. NAT не требуется (или не предлагается), и каждый клиент использует общедоступный IPv6-адрес, и я понимаю дальнейшее использование брандмауэров. Насколько я понимаю, без использования NAT, UAL и получения ARIN для предоставления вам собственного глобального диапазона это будет означать, что адрес ipv6 во всех системах вашей локальной сети будет из диапазона, предоставленного вашим провайдером. Что произойдет, если вы смените провайдера? Значит ли это, что вам нужно изменить весь диапазон адресов локальной сети?
В типичном магазине окон ipv4 у меня может быть такая ситуация:
Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls
Site1: Lan IP, Public IP:Port
Hardware firewall/router - 192.168.1.1, 11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email) - 192.168.1.11, 11.12.13.2:25+443
Windows RDS (term server) - 192.168.1.12, 11.12.13.3:3389
Workstations (via DHCP) - 192.168.1.100+
Site2:
Hardware firewall/router - 10.0.0.1, 20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver) - 10.0.0.11, 20.30.40.2:80
Workstations (via DHCP) - 10.0.0.100+
Серверы имеют статически назначенные соединения, DNS-серверы должны это делать, а остальные - также, поскольку брандмауэр выполняет переадресацию портов на серверы по IP-адресам, которые вы вводите (против имен хостов).
Теперь, если я хочу настроить это как среду только для ipv6? Будет ли все то же самое со статически назначенными серверами и dhcpv6 для рабочих станций?
Но тогда, если я переключусь на другой провайдер, это будет означать, что мне нужно изменить IP-адрес для всех серверов? Что если у меня 100 серверов? Я предполагаю, что могу использовать dhcpv6 на серверах, но я не видел брандмауэр biz-класса, который позволял бы переадресацию портов через имя хоста или внутренние днс (sonicwall, juniper, cisco и т. Д.), Только локальный ip (по крайней мере для ipv4). И DNS-серверу все равно нужны статические ips.
Кроме того, не означает ли это, что при переходе от смены IP-адресов локальной сети мои серверы могут отправлять сетевой трафик через Интернет на мой старый блок, поскольку он больше не является локальной сетью? С технической точки зрения, я понимаю, что вряд ли кто-то будет использовать старый блок так быстро и что он может быть заблокирован на брандмауэре.
Похоже, было бы здорово, чтобы каждый получил свой собственный блок ipv6, назначенный perm, но я понимаю, что это сделает таблицу глобальной маршрутизации необычайно большой.
Обновление На основе приведенных ниже ответов я обновил приведенный выше пример местоположения, поэтому это будет эквивалент ipv6?
Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls
Site1: Link-Local, ULA, Public
Hardware firewall/router - fe80::1, fd80::ABCD:1, 2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10, fd80::ABCD:10, 2000:1112:1301::A
Windows Exchange (email) - fe80::11, fd80::ABCD:11, 2000:1112:1301::B
Windows RDS (term server) - fe80::12, fd80::ABCD:12, 2000:1112:1301::C
Workstations (via DHCP) - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+
Site2: Link-Local, ULA, Public
Hardware firewall/router - fe80::1, fd80::ABCD:2, 2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10, fd80::ABCD:20, 2000:2030:4001::A
Windows IIS (webserver) - fe80::11, fd80::ABCD:21, 2000:2030:4001::B
Workstations (via DHCP) - fe80::100+, fd80::ABCD:2xx, 2000:2030:4001::10+
Каждая собственная система сайта будет взаимодействовать через Link-Local, Site-to-Site будет взаимодействовать друг с другом ULA (зашифрованный VPN), а мир (включая службы) будет общаться через публичные IP-адреса?
2 ответа
Определенно есть некоторые механизмы, которые помогут вам здесь.
Для внутреннего трафика локальной сети между системами в вашей сети есть уникальные локальные адреса. Думайте о них как о адресах RFC1918; они будут работать только в вашей сети. Вы сможете использовать эти адреса для любого общения в пределах вашей сети; просто вырезать несколько сетей из fd00::/8 и пусть ваши роутеры начнут их рекламировать.
В обычном развертывании это будет означать, что все ваши узлы имеют (как минимум) 3 адреса IPv6; ссылка локальная fe80::/64 адрес (который может общаться только с другими узлами в его широковещательном домене), уникальный локальный fd00::/8 адрес (который может говорить со всем в вашей локальной сети), и публичный адрес.
Теперь это по-прежнему означает, что вы меняете все при изменении провайдеров (что вы делаете сейчас для общедоступных узлов, если у вас нет пространства IPv4), просто вам не нужно беспокоиться обо всех внутренних связь, которая может остаться на уникальном локальном полигоне.
Это может покрыть ваши опасения - но есть также предложение NPTv6, для которого в настоящее время существует экспериментальный RFC. Это позволит вам преобразовывать общедоступные префиксы в частные диапазоны на границе сети, что означает отсутствие внутреннего перенумерации при смене интернет-провайдеров, а также возможность беспрепятственного использования нескольких интернет-провайдеров с разрозненными назначенными адресами (либо на постоянной основе, либо в течение переходного периода для поставщика). менять).
Для внутренних служб (терминальных серверов, внутренних почтовых серверов, принтеров, веб-прокси и т. Д.) Вы можете использовать локальные адреса сайтов в уникальном локальном блоке под fd00:/8. Он предназначен для создания блока /48, из которого вы можете вырезать /64 для отдельных сайтов. Вы можете иметь тысячи сайтов, использующих эту модель из одного /64. Серверы и службы, использующие эту схему адресации, будут защищены от изменений в ISP. Вам нужно будет туннелировать эти адреса между сайтами, если сайты подключены через Интернет.
ПРИМЕЧАНИЕ. Уникальные локальные блоки сталкиваются с теми же проблемами, что и блоки с частными адресами IPv4. Однако, если вы рандомизируете 40 битов FD, очень маловероятно, что у вас будет столкновение.
Клиентским машинам не нужны постоянные IP-адреса в Интернете. Существуют параметры конфиденциальности, которые периодически генерируют новые адреса, чтобы отследить клиентов по разрыву IP-адреса. Если на ваших маршрутизаторах запущена служба radvd (Router Advertising Daemon), ваши клиенты могут сгенерировать свой собственный адрес. (Объявления маршрутизатора идентифицируют шлюз и могут предоставить список DNS-серверов.) IPv6 с radvd заменяет основные службы DHCP. Нулевая конфигурация может использоваться, чтобы разрешить обнаружение многих сервисов, которые DHCP будет использовать для объявления. Адреса клиентских компьютеров должны быть в /64 адресных блоках, чем ваши серверы, доступные через Интернет.
DMZ (демилитаризованная зона) - это место, где должны находиться ваши доступные в Интернете серверы и службы. Эти адреса, скорее всего, изменятся при изменении вашего интернет-провайдера. Они могут находиться в одной /64, что упростит изменение адресов. Поскольку IPv6 требует поддержки нескольких адресов, вы можете подключить нового поставщика услуг Интернета и выполнить переключение в обычном порядке, прежде чем отключить исходное подключение поставщика услуг Интернета.
Unique local block: fd33:ab:de::/48
Site 1: fd33:ab:de:1::/64
Site 2: fd33:ab:de:2::/64
Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64 (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64 (via radv)
Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64
Вы можете использовать любые значения, которые вы хотите различить между DMZ и вашей зоной (ами) хоста. Вы можете использовать 0 для DMZ, как я сделал для сайта 2 выше. Ваш интернет-провайдер может предоставить меньший блок, чем /48. RFC предлагают, что они могут подразделить /64 и выделить /56s. Это ограничит диапазон, который вы можете выделить /64s.