目前,我们有一架服务器。目前每台服务器至少有 2 个 IP 地址,一个用于公共接口,另一个用于私有接口。有 SSL 网站的服务器有更多 IP 地址。我们还有配置类似的虚拟服务器。
专用网络
私有范围目前仅用于备份和监控。它是一个千兆端口,接口使用率通常不会很高。我们正在考虑使用其他会使用此端口的技术:
- iSCSI(实施通常建议为其指定一个接口,这将是另一个 IP 网络),
- 使用 VPN 访问私人范围(我宁愿避免这种情况)
- 专用数据库服务器
- LDAP
- 集中配置(如 puppet)
- 集中日志记录
我们的 DNS 记录中没有任何私有地址(只有公共地址)。为了让我们的服务器为正确的接口使用正确的 IP 地址(而不是硬编码 IP 地址),可能需要设置私有 DNS 服务器(因此现在我们向 2 个不同的系统添加了 2 个不同的 DNS 条目)。
公共网络
我们的公共范围提供各种服务,包括 Web、电子邮件和 FTP。我们的网络和“公共”网络之间有一个硬件防火墙。我们有(相对安全的)方法来指示防火墙打开和关闭当前 IP 地址的管理访问(Web 界面、ssh 等)。无论讨论哪种解决方案,都将配置基于主机的防火墙。
公共网络目前运行在专用的 20Mbps 链路上。有几台旧服务器带有快速以太网端口,但它们计划退役。所有其他生产机箱都至少有 2 个千兆以太网端口。流量较大的服务器有 4-6 个可用端口(目前没有一台使用的端口超过 2 个千兆端口)。
IPv6
我想从我们的 ISP 获取 IPv6 前缀。因此,至少每个“服务器”都至少有一个 IPv6 接口。我们仍然需要保持 IPv4 地址正常运行,并可供旧客户端(至少是 Web 服务器和电子邮件)使用。
我们现在有两个 IP 网络。添加公共 IPv6 地址后,IP 网络数量将变成三个。
只使用 IPv6?
我正在考虑放弃私有 IPv4 范围,并使用 IPv6 范围作为所有通信的主要方式。如果某个接口开始达到其容量上限,则利用新释放的接口创建中继。
它的优点是,如果公共或私有流量需要超过 1Gbps。每个接口的流量已经定期分析,以预测未来的带宽使用情况。在带宽意外峰值的罕见情况下:利用 QoS 确保流量(如我们有限的 SSH 访问)得到正确的优先级,以便可以纠正问题(如果可能的话,我们的 WAN 现在是瓶颈)。
它还具有无需为每个私有地址创建条目的优点。我们可能有私有 DNS(或只是 LDAP),但它的范围会受到更大的限制,需要重复的条目也会更少。
概括
我试图让这个网络尽可能“简单”。同时,我想确保它的可靠性、可升级性、可扩展性和(最终)冗余性。对我来说,拥有一个 IPv6 网络和一个传统 IPv4 网络似乎是最好的解决方案。
关于为两个网络使用分配的 IPv6 地址,在一个网络上共享可用带宽(如果需要,可以共享更多中继):
- 是否存在任何技术缺点(限制、缓冲、可扩展性)?
- 还有其他安全注意事项吗(除了上面提到的防火墙之外)?
- 这是否不符合任何法规或其他安全要求(如 PCI-DSS)?
- 是否有用于设置尚不支持 IPv6 的 Linux 网络的典型软件?(日志记录、ldap、puppet)
- 还有一些我没有考虑到的事情吗?
答案1
好吧,我们分部分回复
1)私有地址
ipv6 有不同的“范围”,所以你可以有一个本地范围和一个全局范围,ipv6 足够智能,可以知道谁是什么,并相应地调节流量,所以你可以在 ipv6 上有一个本地不可路由的网络,没有任何问题,实际上它是默认的
2)放弃 ipv4 并仅运行 ipv6
到目前为止,所有 ipv6 实现都是双栈的,因此您可以轻松地运行两者,并且我绝对建议您同时运行两者,这样做没有任何损害,并且 ipv4 不会在很长一段时间内消失,虽然 ipv6 非常酷,但完全放弃 ipv4 并不是我会做的事情。
3)简短问题
a) 相反,没有技术缺陷!很多很酷的东西,自动分配地址、任播、本机 ipsec,非常酷 b) 防火墙应该不错,但有一些特定的防火墙规则需要注意,例如允许本地链路范围流量、允许 ipv6 上的多播和禁用 RH0 数据包的处理,还要记住 icmpv6 是一种全新的协议,ipv6 比 ipv4 上的 icmp 更依赖它,因此过滤它不是一个好主意 c) 据我所知,大多数 linux 服务都支持 ipv6,没有任何问题,双栈万岁!
另外,熟悉所有 ipv6 新规范也是不错的选择,请查看http://en.wikipedia.org/wiki/IPv6对于初学者