我仍在思考 IPv6 的细节。我并没有优先考虑过它,直到我最近的小项目我才对它产生了个人兴趣。然而,我一次又一次读到的一件事是,在为客户端配置网关时使用网关的本地链路 IP。但是……这对我来说似乎有问题……
例如,假设我有一个客户端和网关,它们在局域网的同一子网中均具有全局可路由的 v6 IP。我按照常见建议将客户端配置为使用网关的链路本地 IP 作为 IPv6 流量的网关。
即使客户端网关配置为链路本地 IP,来自局域网客户端的互联网流量是否始终使用其全局单播 IP 作为源 IP?这很重要,因为我将使用 nfqueue 设置 snort,并且需要能够为其配置需要保护的 IP 范围。我宁愿不是让它在链路本地流量上消耗 CPU 周期和内存,这不是一个威胁。但我也不想引入可以绕过 Snort 的安全漏洞。
语境
让我简单介绍一下我的设置。我有一台小型 ITX 计算机,在配置为网络网关的旧 Intel Atom D525 上运行 Arch Linux。它有两个以太网端口,在操作系统中标识为lan和和。和都是双栈的,在 wan 端具有全局可路由的 v6 和 v4 IP。两个 wan IP 堆栈均由我的 ISP(DHCP 和 RA)自动分配 IP。所有 lan 客户端以及网关的 lan 接口都具有全局可路由的 v6 IP 以及私有(rfc1918)v4 IP。我已经实施了一个基于 netfilter 的防火墙,以保护 lan 和 gw 免受 wan 端 IPv6 和 IPv4 的影响。wanlanwan
有趣的是,我正在使用有状态的我的局域网上的 DHCPv6 用于分配全局可路由的 v6 IP。DHCPv6 守护进程 (ISC DHCPd) 位于网关上,并使用我的 ISP 自动分配的 v6 前缀。我仍然使用路由器通告为客户端分配 v6 网关地址,但这是仅有的通过 RA 分配。其他一切都通过 DHCPv6 处理,包括地址池,甚至一些静态 IP 分配。
显然,每个客户端和网关上的每个以太网接口都有链路本地 v6 IP。
答案1
数据包将始终包含端点的源地址和目标地址。网关或下一跳地址的唯一用途是查找要将数据包转发到的二层 MAC 地址。它们不会影响数据包三层中的任何内容。