IPv6 nat olmadan ama bir isp değişikliği ne olacak?

12

IPv6 ile GoToNet gibi ev bilgisayarlarımda 4to6 tüneli dışında çalışmadım. Genel olarak nasıl çalıştığını okudum. Hiçbir NAT gerekli (veya önerilen) ve her istemci ortak bir ipv6 adresi kullanır ve güvenlik duvarlarının sürekli kullanımını anlıyorum. Anladığım kadarıyla, NAT, UAL kullanmadan ve ARIN'i kendi global menzilinizi vermeden, bu, lan'inizdeki tüm sistemlerde ipv6 adresinin isp tarafından sağlanan bir aralıktan olacağı anlamına gelir. ISS'nizi değiştirirseniz ne olur? Bu, tüm lan adres aralığınızı değiştirmeniz gerektiği anlamına mı gelir?

Tipik bir ipv4 windows dükkanında böyle bir durum olabilir:

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

Güvenlik duvarı, yazdığınız ip adresleri (ana makine adları) ile sunuculara bağlantı noktası yönlendirmesi yaptığı için, sunuculara statik olarak atanmış lan ips, DNS sunucularının sahip olduğu ve diğerleri de vardır.

Şimdi bunu sadece bir ipv6 ortamı olarak ayarlamak istersem? Statik olarak atanmış sunucular ve iş istasyonlarına dhcpv6 ile her şey aynı mı olur?

Ama sonra ben başka bir isp geçmek bu tüm sunucular için ip adresini değiştirmek gerekir anlamına gelir? 100 sunucum varsa ne olur? Ben sunucularda dhcpv6 kullanabilirsiniz ama hostname veya dahili dns (sonicwall, ardıç, cisco, vb) sadece yerel ip (en az ipv4 için) üzerinden port yönlendirme izin bir biz sınıfı güvenlik duvarı görmedim sanırım. Ve DNS sunucusu yine de statik ips'e ihtiyaç duyar.

Ayrıca bu lan ipv6 ips değiştirme sırasında, sunucularım artık yerel lan olmadığı için internet üzerinden eski bloğuma lan trafiği gönderiyor olabilir anlamına gelmez? En azından teknik terimlerle, birisinin eski bloğu hızlı bir şekilde kullanmasının ve güvenlik duvarında engellenmesinin olası olmadığını anlıyorum.

Herkesin kendi izin verilen ipv6 bloğu alması harika olurdu ama küresel yönlendirme tablosunu alışılmadık derecede büyük hale getireceğini anlıyorum.

Güncelleme Aşağıdaki cevaplara dayanarak, yukarıdaki örnek konumu güncelledim ve bu ipv6 eşdeğeri olur mu?

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

Her sitenin kendi sistemleri Link-Local üzerinden konuşur, Siteden Siteye birbirleriyle ULA (VPN tarafından kısaltılır) ile konuşur ve dünya (hizmetler dahil) Genel IP'ler aracılığıyla konuşur mu?

nat  ipv6 
Halfdone
kaynak

Yanıtlar:

10

Burada size yardımcı olacak bazı mekanizmalar var.

Ağınızdaki sistemler arasında dahili LAN trafiği için Benzersiz Yerel Adresler vardır. Bunları RFC1918 adresleri gibi düşünün; yalnızca ağınız içinde çalışırlar. Bu adresleri ağ sınırlarınızdaki herhangi bir iletişim için kullanabilirsiniz; sadece bazı ağları kesip fd00::/8yönlendiricilerinizin reklamını yapmaya başlamasını sağlayın.

Normal bir dağıtımda bu, düğümlerinizin hepsinin (en az) 3 IPv6 adresine sahip olduğu anlamına gelir; yerel bağlantı fe80::/64adresi (yalnızca yayın etki alanındaki diğer düğümlerle konuşabilir), benzersiz bir yerel fd00::/8adres (LAN'ınızdaki her şeyle konuşabilir) ve genel adres.

Şimdi, bu hala İSS'leri değiştirdiğinizde (IPv4 alanınız olmadığını varsayarak genel olarak adreslenebilir düğümler için zaten yaptığınız) her şeyi yeniden numaralandırdığınız anlamına geliyor, sadece tüm dahili işlemler için endişelenmenize gerek yok Benzersiz Yerel aralıkta kalabilen iletişim.

Bu, endişelerinizi kapsayabilir - ancak şu anda deneysel bir RFC'nin bulunduğu NPTv6 teklifi de vardır . Bu, ortak önekleri ağ kenarındaki özel aralıklara çevirmenize olanak tanır, yani İSS'leri değiştirdiğinizde dahili olarak yeniden numaralandırma yapılmaz ve farklı atanmış adreslere sahip birden fazla İSS'yi kesintisiz olarak (kalıcı olarak veya bir sağlayıcı için geçiş süresi boyunca) kullanma olanağı değişiklik).

Shane Madden
kaynak
1
+1 - Basit gerçek şu ki, küçük bir ev ağı için sadece yerel bağlantı adreslerini kullanacaksınız fe80::/64ve ISS'ye atanan IP adresleriniz oldukça alakasız. Yine de bir veri merkezi için, ISS'leri değiştirmek her zaman büyük bir iş olmuştur, bu yüzden orada da çok az değişiklik vardır.
Mark Henderson
1
Fd00 :: / 8 (ULA) kullanırken, yarı rastgele / 48 adres bloğu oluşturmanız gerekir. Standartlara uygun bir algoritmaya sahip bir ULA adresi bloğu oluşturmak için ie sixxs.net/tools/grh/ula komutunu kullanabilirsiniz . Dahili iletişim (dosya sunucuları vb.) Ve siteden siteye VPN tünelleri için ULA adreslerini kullanın ve internete erişmek için genel adresleri kullanın. O zaman sadece ISS'leri değiştirirken gerçek kamu hizmetlerini yeniden numaralandırmanız gerekir (yerel olarak barındırılan web siteleri ve VPN tünellerinin uç noktaları gibi, ancak tüm güvenlik duvarı politikaları ULA adres alanınıza değil)
Sander Steffann
ah, tamam Ben ev sahibi başına sadece birden fazla ipv6 adresi düşünmüyordu. Örneği güncelledim ve ipv6 için eşdeğer bir setin ne olduğunu anladım. Gösterimi doğru yapıp yapmadığımı bana bildirin. Ayrıca, UAL'deki verileri şifrelemeye ihtiyaç duyan güvenlik duvarı ile VPN kurulumları çok kolay olurdu. Ayrıca NPTv6 şeyler okuyacak.
Halfdone
6

Dahili servisler (terminal sunucuları, dahili posta sunucuları, yazıcılar, web proxy sunucuları, vb.) İçin site yerel adreslerini fd00: / 8 altındaki benzersiz bir yerel blok içinde kullanabilirsiniz. Bu, tek tek siteler için / 64'leri oluşturabileceğiniz bir / 48 bloğu oluşturmak üzere tasarlanmıştır. Tek bir / 64'den bu modeli kullanarak binlerce siteniz olabilir. Bu adresleme şemasını kullanan sunucular ve hizmetler, İSS'deki bir değişiklikten muaf olacaktır. Siteler İnternet üzerinden bağlıysa, bu adresleri siteler arasında tünellemeniz gerekecektir.

NOT: Benzersiz yerel bloklar, IPv4 özel adres bloklarıyla aynı sorunlarla karşılaşır. Ancak, takip eden 40 biti rastgele FDseçerseniz, bir çarpışma yaşamanız pek olası değildir.

İstemci makinelerin İnternet üzerinde tutarlı IP adreslerine ihtiyacı yoktur. İzleme istemcilerini IP adresi kesintiye uğratmak için düzenli olarak yeni adresler oluşturacak gizlilik seçenekleri vardır. Yönlendiricileriniz bir radvd (Yönlendirici Reklamı Daemon) hizmeti çalıştırıyorsa, istemcileriniz kendi adreslerini oluşturabilir. (Yönlendirici reklamları ağ geçidini tanımlar ve DNS sunucularının bir listesini sağlayabilir.) IPv6 ile radvdtemel DHCP hizmetlerinin yerini alır. Sıfır yapılandırma, DHCP'nin duyurmak için kullanılacağı birçok hizmetin bulunmasına izin vermek için kullanılabilir. İstemci makinelerinin adresleri, İnternet erişimli sunucularınızın kullandığı adreslerden farklı / 64 adres bloklarında olmalıdır.

DMZ (askerden Arındırılmış Bölge), İnternet erişimi olan sunucularınızın ve hizmetlerinizin bulunması gereken yerdir. İSS'niz değiştiğinde bu adresler büyük olasılıkla değişecektir. Bunlar tek bir / 64 içinde bulunabilir ve bu da adreslerin değiştirilmesini kolaylaştırır. IPv6 çoklu adres desteği gerektirdiğinden, orijinal ISS bağlantısını kesmeden önce yeni ISS'nizi bağlayabilir ve düzenli bir şekilde geçiş yapabilirsiniz.

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

DMZ ile ana makine bölgeniz / bölgeleri arasında ayrım yapmak istediğiniz değerleri kullanabilirsiniz. Yukarıdaki site 2 için yaptığım gibi DMZ için 0 kullanabilirsiniz. ISS'niz / 48'den daha küçük bir blok sağlayabilir. RFC'ler / 64'ü alt gruplara ayırabileceklerini ve / 56'lar ayırabileceklerini ileri sürmektedir. Bu tahsis edebileceğiniz aralığı / 64'leri kısıtlar.

BillThor
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.