除了家用电脑上使用 GoGoNet 等工具的 4to6 隧道外,我从未使用过 IPv6。我读过关于它如何以一般方式工作的资料。不需要(或建议)NAT,每个客户端都使用公共 ipv6 地址,我理解继续使用防火墙。据我了解,如果不使用 NAT、UAL 并让 ARIN 为您提供自己的全局范围,这意味着您的局域网上所有系统的 ipv6 地址都将来自您的 ISP 提供的范围。如果您更换 ISP,会发生什么情况?这是否意味着您必须更改整个局域网地址范围?
在典型的 IPv4 Windows 商店中,我可能会遇到这样的情况:
Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls
Site1: Lan IP, Public IP:Port
Hardware firewall/router - 192.168.1.1, 11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email) - 192.168.1.11, 11.12.13.2:25+443
Windows RDS (term server) - 192.168.1.12, 11.12.13.3:3389
Workstations (via DHCP) - 192.168.1.100+
Site2:
Hardware firewall/router - 10.0.0.1, 20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver) - 10.0.0.11, 20.30.40.2:80
Workstations (via DHCP) - 10.0.0.100+
服务器具有静态分配的 LAN IP,DNS 服务器也必须如此,其他服务器也必须如此,因为防火墙通过您输入的 IP 地址(而不是主机名)将端口转发到服务器。
现在,如果我想将其设置为仅 ipv6 环境?静态分配服务器和 dhcpv6 到工作站,一切是否仍然相同?
但是,如果我切换到另一个 ISP,是否意味着我需要更改所有服务器的 IP 地址?如果我有 100 台服务器怎么办?我想我可以在服务器上使用 dhcpv6,但我还没有看到允许通过主机名或内部 DNS(sonicwall、juniper、cisco 等)进行端口转发的商务级防火墙,只允许本地 IP(至少对于 ipv4)。而且 DNS 服务器无论如何仍然需要静态 IP。
另外,这是否意味着在更改局域网 ipv6 ips 的过渡期间,我的服务器可能会通过互联网将局域网流量发送到我的旧区块,因为它不再是本地局域网?至少从技术角度来说,我明白不太可能有人会那么快使用旧区块,而且它可以在防火墙上被阻止。
听起来每个人都能获得自己永久分配的 IPv6 块会很棒,但我明白这会使全局路由表变得太大而无法使用。
更新 根据以下答案,我更新了上面的示例位置,因此这将是 IPv6 等效的?
Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls
Site1: Link-Local, ULA, Public
Hardware firewall/router - fe80::1, fd80::ABCD:1, 2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10, fd80::ABCD:10, 2000:1112:1301::A
Windows Exchange (email) - fe80::11, fd80::ABCD:11, 2000:1112:1301::B
Windows RDS (term server) - fe80::12, fd80::ABCD:12, 2000:1112:1301::C
Workstations (via DHCP) - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+
Site2: Link-Local, ULA, Public
Hardware firewall/router - fe80::1, fd80::ABCD:2, 2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10, fd80::ABCD:20, 2000:2030:4001::A
Windows IIS (webserver) - fe80::11, fd80::ABCD:21, 2000:2030:4001::B
Workstations (via DHCP) - fe80::100+, fd80::ABCD:2xx, 2000:2030:4001::10+
每个站点自己的系统将通过 Link-Local 进行通信,站点到站点将通过 ULA 相互通信(由 VPN 加密),并且世界(包括服务)将通过公共 IP 进行通信?
答案1
这里肯定有一些机制可以帮助你。
对于网络上系统之间的内部 LAN 流量,存在唯一本地地址。可以将它们视为 RFC1918 地址;它们仅在您的网络内有效。您将能够使用这些地址进行网络边界内的任何通信;只需从中划分一些网络fd00::/8
并让您的路由器开始宣传它们即可。
在正常部署中,这意味着您的所有节点都拥有(至少) 3 个 IPv6 地址;一个链路本地fe80::/64
地址(只能与其广播域上的其他节点通信)、一个唯一本地fd00::/8
地址(可以与您 LAN 中的所有内容通信)和一个公共地址。
现在,这仍然意味着当您更改 ISP 时您要对所有内容进行重新编号(假设您不拥有 IPv4 空间,您现在无论如何都会对可公开寻址的节点执行此操作),只是您不必担心所有的内部通信,这些通信可以保留在唯一的本地范围内。
这可能涵盖了你的担忧 - 但还有 NPTv6 提案,目前有一个实验性RFC。这将允许您将公共前缀转换为网络边缘的私有范围,这意味着当您更改 ISP 时无需在内部重新编号,并且能够无缝地利用具有不同分配地址的多个 ISP(永久或在提供商更改的过渡期间)。
答案2
对于内部服务(终端服务器、内部邮件服务器、打印机、Web 代理等),您可以在 fd00:/8 下的唯一本地块内使用站点本地地址。这旨在生成一个 /48 块,您可以从中为各个站点划分出 /64。您可以从单个 /64 中拥有使用此模型的数千个站点。使用此寻址方案的服务器和服务将不受 ISP 更改的影响。如果站点通过 Internet 连接,则需要在站点之间建立这些地址的隧道。
注意:唯一本地块遇到的问题与 IPv4 私有地址块遇到的问题相同。但是,如果您将后面的 40 位随机化FD
,则发生冲突的可能性极小。
客户端计算机不需要在 Internet 上使用一致的 IP 地址。有一些隐私选项会定期生成新地址,以便通过 IP 地址中断来跟踪客户端。如果您的路由器运行 radvd(路由器广告守护程序)服务,那么您的客户端可以生成自己的地址。(路由器广告可识别网关,并可提供 DNS 服务器列表。)IPv6 将radvd
取代基本的 DHCP 服务。零配置可用于允许发现 DHCP 将用于宣布的许多服务。客户端计算机的地址应位于与您的 Internet 可访问服务器使用的不同的 /64 地址块中。
DMZ(非军事区)是您的 Internet 可访问服务器和服务应驻留的位置。这些地址可能会随着您的 ISP 的变更而改变。这些地址可能位于单个 /64 内,这将使更改地址变得更简单。由于 IPv6 需要多个地址支持,因此您可以连接新的 ISP 并以有序的方式执行切换,然后再断开原始 ISP 连接。
Unique local block: fd33:ab:de::/48
Site 1: fd33:ab:de:1::/64
Site 2: fd33:ab:de:2::/64
Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64 (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64 (via radv)
Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64
您可以使用任何您想要的值来区分 DMZ 和您的主机区域。您可以像我对上面的站点 2 所做的那样将 DMZ 设置为 0。您的 ISP 可能提供比 /48 更小的块。RFC 建议他们可以细分 /64 并分配 /56。这会限制您可用于分配 /64 的范围。