IPv6 без nat, но как насчет изменения ISP?

12

Я не работал с IPv6 за пределами туннелирования 4to6 на моем домашнем компьютере с такими вещами, как GoGoNet. Я читал о том, как это работает в целом. NAT не требуется (или не предлагается), и каждый клиент использует общедоступный IPv6-адрес, и я понимаю дальнейшее использование брандмауэров. Насколько я понимаю, без использования NAT, UAL и получения ARIN для предоставления вам собственного глобального диапазона это будет означать, что адрес ipv6 во всех системах вашей локальной сети будет из диапазона, предоставленного вашим провайдером. Что произойдет, если вы смените провайдера? Значит ли это, что вам нужно изменить весь диапазон адресов локальной сети?

В типичном магазине окон ipv4 у меня может быть такая ситуация:

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

Серверы имеют статически назначенные соединения, DNS-серверы должны это делать, а остальные - также, поскольку брандмауэр выполняет переадресацию портов на серверы по IP-адресам, которые вы вводите (против имен хостов).

Теперь, если я хочу настроить это как среду только для ipv6? Будет ли все то же самое со статически назначенными серверами и dhcpv6 для рабочих станций?

Но тогда, если я переключусь на другой провайдер, это будет означать, что мне нужно изменить IP-адрес для всех серверов? Что если у меня 100 серверов? Я предполагаю, что могу использовать dhcpv6 на серверах, но я не видел брандмауэр biz-класса, который позволял бы переадресацию портов через имя хоста или внутренние днс (sonicwall, juniper, cisco и т. Д.), Только локальный ip (по крайней мере для ipv4). И DNS-серверу все равно нужны статические ips.

Также не означает ли это, что при переходе от смены IP-адресов локальной сети мои серверы могут отправлять сетевой трафик через Интернет на мой старый блок, поскольку он больше не является локальной сетью? С технической точки зрения, я понимаю, что вряд ли кто-то будет использовать старый блок так быстро и что он может быть заблокирован на брандмауэре.

Похоже, было бы здорово, чтобы каждый получил свой собственный назначенный блок перми, ipv6, но я понимаю, что это сделает таблицу глобальной маршрутизации необычайно большой.

Обновление На основе приведенных ниже ответов я обновил приведенный выше пример местоположения, поэтому это будет эквивалент ipv6?

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

Каждая собственная система сайта будет взаимодействовать через Link-Local, Site-to-Site будет взаимодействовать друг с другом ULA (зашифрованный VPN), а мир (включая службы) будет общаться через публичные IP-адреса?

nat ipv6 Полдела сделано
источник

Ответы:

10

Определенно есть некоторые механизмы, которые помогут вам здесь.

Для внутреннего трафика локальной сети между системами в вашей сети есть уникальные локальные адреса. Думайте о них как о адресах RFC1918; они будут работать только в вашей сети. Вы сможете использовать эти адреса для любого общения в пределах вашей сети; просто вырежьте несколько сетей fd00::/8и пусть ваши роутеры начнут их рекламировать.

В обычном развертывании это будет означать, что все ваши узлы имеют (как минимум) 3 адреса IPv6; локальный fe80::/64адрес канала (который может общаться только с другими узлами в его широковещательном домене), уникальный локальный fd00::/8адрес (который может общаться со всем в вашей локальной сети) и публичный адрес.

Теперь это все еще означает, что вы меняете все при изменении провайдеров (что вы делаете сейчас для общедоступных узлов, если у вас нет пространства IPv4), просто вам не нужно беспокоиться обо всех внутренних связь, которая может остаться на уникальном локальном полигоне.

Это может покрыть ваши проблемы - но есть также предложение NPTv6, для которого в настоящее время существует экспериментальный RFC . Это позволит вам преобразовывать общедоступные префиксы в частные диапазоны на границе сети, что означает отсутствие внутреннего перенумерации при смене интернет-провайдеров, а также возможность беспрепятственного использования нескольких интернет-провайдеров с разрозненными назначенными адресами (либо на постоянной основе, либо в течение переходного периода для поставщика). сдача).

Шейн Мэдден
источник
1
+1 - простой факт заключается в том, что для небольшой домашней сети вы просто будете использовать локальные адреса канала, fe80::/64а назначенные вашим интернет-провайдером IP-адреса не имеют значения. Для центра обработки данных смена интернет-провайдеров всегда была большой работой, поэтому изменений там тоже мало.
Марк Хендерсон
1
При использовании fd00 :: / 8 (ULA) вы должны генерировать полуслучайный блок / 48 адресов. Вы можете использовать ie Sixxs.net/tools/grh/ula для генерации блока адресов ULA с помощью алгоритма, соответствующего стандартам. Используйте адреса ULA для внутренней связи (файловые серверы и т. Д.) И VPN-туннели между сайтами, а также общедоступные адреса для доступа в Интернет. Тогда вам нужно будет только изменить нумерацию действительно общедоступных сервисов при смене интернет-провайдеров (например, локально размещенных веб-сайтов и конечных точек VPN-туннелей, но не всех политик брандмауэра на ваше адресное пространство ULA)
Сандер Штеффанн,
ах, хорошо, я не думал о нескольких IPv6-адресах на хост. Я обновил пример и добавил свое понимание того, что такое эквивалентный набор для ipv6. Дайте мне знать, если я правильно понял. Также звучит так, будто настройки VPN были бы очень простыми, если брандмауэру просто нужно шифровать данные в UAL. Также буду читать материал по NPTv6.
Halfdone
6

Для внутренних служб (терминальных серверов, внутренних почтовых серверов, принтеров, веб-прокси и т. Д.) Вы можете использовать локальные адреса сайтов в уникальном локальном блоке под fd00: / 8. Это сделано для создания блока / 48, из которого вы можете вырезать / 64 для отдельных сайтов. Вы можете иметь тысячи сайтов, использующих эту модель из одного / 64. Серверы и службы, использующие эту схему адресации, будут защищены от изменений в ISP. Вам нужно будет туннелировать эти адреса между сайтами, если сайты подключены через Интернет.

ПРИМЕЧАНИЕ. Уникальные локальные блоки сталкиваются с теми же проблемами, что и блоки с частными адресами IPv4. Однако, если вы рандомизируете следующие 40 битов FD, очень маловероятно, что у вас возникнет коллизия.

Клиентским машинам не нужны постоянные IP-адреса в Интернете. Существуют параметры конфиденциальности, которые периодически генерируют новые адреса, чтобы отследить клиентов по разрыву IP-адреса. Если на ваших маршрутизаторах запущена служба radvd (Router Advertising Daemon), ваши клиенты могут сгенерировать свой собственный адрес. (Объявления маршрутизатора идентифицируют шлюз и могут предоставить список DNS-серверов.) IPv6 radvdзаменяет базовые службы DHCP. Нулевая конфигурация может использоваться, чтобы разрешить обнаружение многих служб, которые DHCP будет использовать для объявления. Адреса клиентских компьютеров должны быть в / 64 адресных блоках, чем ваши серверы, доступные через Интернет.

DMZ (демилитаризованная зона) - это место, где должны находиться ваши доступные в Интернете серверы и службы. Эти адреса, скорее всего, изменятся при изменении вашего интернет-провайдера. Они могут находиться в одном / 64, что упростит изменение адресов. Поскольку IPv6 требует поддержки нескольких адресов, вы можете подключить нового ISP и выполнить переключение в обычном порядке, прежде чем отключить исходное подключение ISP.

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

Вы можете использовать любые значения, которые вы хотите различить между DMZ и зоной вашего хоста. Вы можете использовать 0 для DMZ, как я сделал для сайта 2 выше. Ваш интернет-провайдер может предоставить меньший блок, чем / 48. RFC предлагают, что они могут подразделить / 64 и выделить / 56s. Это ограничит диапазон, который вы можете выделить / 64s.

BillThor
источник