企业 IPv6 迁移 - 代理包结束?点对点开始?+10K 用户

企业 IPv6 迁移 - 代理包结束?点对点开始?+10K 用户

让我们从一个图表开始: IPv4 中的公司

我们可以看到一个“典型”的 IPv4 公司网络:

  • 通过代理访问互联网
  • 通过专用代理访问“其他公司”
  • 直接访问本地资源

所有计算机都有一个 proxy.pac 文件,用于指示使用哪个代理或是否直接连接。计算机只能访问本地 DNS(例如,无法解析 google.com 的名称)。

顺便说一句......该公司不尊重 RFC1918内部使用公共地址!(历史原因)。使用互联网代理明确可以避免出现问题。

如果我们迁移到 IPv6 会怎么样?


步骤 1:IPv6 互联网访问

IPv6 中的互联网访问非常容易。确实,只需在 Internet IPv4 和 IPv6 中连接代理即可。在内部网络中无需执行任何操作: 互联网访问 IPv4 和 IPv6


步骤 2:内部网络中的 IPv6 和 IPv4

为什么不直接实现全IPv6网络呢?因为总有不兼容IPv6的旧服务器..

选项 1:与 IPv4 相同的架构,但带有代理包

这可能是最简单的解决方案。但这是最好的吗?

我认为过渡到 IPv6 是一个不再受此代理包困扰的机会!

选项 2:具有透明代理的新架构,没有 proxypac,递归 DNS

哦是的!

在这个新的架构中,我们拥有:

  • Explicit Internet Proxy变成Transparent Internet Proxy
  • Local DNS成为本地域名的Normal Recursive DNS+authorative
  • 没有 proxypac
  • Explicit Company Proxy变成Transparent Company Proxy
  • 路由
    • 内部路由器将 appx.ext.example.com 的 IP 重新定向为Company Proxy
    • 默认网关是 Transparent Internet proxy

问题

  • 您对于IPv6这个架构有什么看法?
  • 这种架构将暴露我们内部网络的 IP 地址,但它受到防火墙的保护。这真的是一个大问题吗?我们应该继续明确使用代理吗? -您将如何应对这种迁移场景? -您,您在公司里做得怎么样?

谢谢!请随意编辑我的帖子以使其变得更好。

答案1

除非您在每个设备上部署备用的可信根,否则透明代理不适用于 SSL 流量,因此您会失去许多安全和审计优势,并引入新的优势。

我会选择选项 2,但使用显式代理,防火墙将其他所有内容都关闭。如果内部机器不使用您的代理,它们将无法访问互联网。您应该已经拥有通过脚本、Windows 组策略、DHCP 或 DNS/proxy.pac 自动分发代理配置的工具。

通常越简单越好。

答案2

我会用另一个问题来反驳。你为什么真的需要代理?因为 RFC1918 不兼容?当你选择不重建 IPv4 架构以使用 10.xxx 地址时,它完全证明了使用代理的合理性(我的 ISP 过去给我们非 RFC1918 地址,但使用了 NAT,现在我们有 10.xxx 和 NAT)。或者,你使用代理进行缓存/安全/过滤/审计?

如果第一个问题的答案是肯定的,那么我会选择一个非常简单的选项 1:在你的边界上放置一个非常简单的 IPv6 路由器,更新你的 DHCP 以广播 IPv6 前缀,并使你的 IPv6 流量通过你的路由器。因为你已经需要升级中间路由器(位于客户端主机和边界路由器之间的路由器),这不会增加额外的硬件成本。

这样做的好处是可以让 IPv4 保持活跃,并且对于不支持 IPv4 的机器也可用,其行为将与以前相同。

为了回答您的问题:1) 您的架构选择(如图所示)表明不支持 IPv6 到客户端计算机,这实在是浪费 2) “泄露”IP 在 IPv6 中很常见,因为没有 NAT。您只需额外注意防火墙,隐私地址(如另一个答案中所述)可保护客户端计算机免受域外服务器的侵害。

答案3

我会保留 ip4/ipv6,有些设备相当笨重,无论如何都无法升级。如果可以通过 VLAN 进行区分的话。

然后明确使用 http 代理。不要使用透明代理。为什么?您可以轻松检测到有配置错误的应用程序或设备尝试访问互联网。您应该区分“正常”流量和“奇怪”流量。有关强制使用 http 代理的信息应成为员工教育的一部分。

您可以设置一个 http 代理,将特定域名转发到其他父代理(针对您特定客户的网站)。这解决了 pac 文件问题,您只需在客户端应用程序中定义一个 http 代理。

不要在您的 LAN 中启用递归 DNS!DNS 隧道有效!不要在 LAN 外启用 ping(ICMP 隧道),因为不需要客户端!仅为您的 http 代理或真正需要进行 DNS 查询的应用程序启用递归 DNS。

根据分析,只有 20% 的网络管理员知道哪些数据离开了他们的网络 :D

我真的很喜欢通过远程客户端(RDP、citrix……)授予客户端 http[s] 访问权限的想法,但这似乎相当昂贵。

读起来很不错 -http://undeadly.org/cgi?action=article&sid=20091025011137

答案4

需要考虑的另一件事是分阶段的方法,其中仅支持 IPv6 的新主机网络通过 NAT64/DNS64 访问旧 LAN。

看起来您很可能想要运行双栈一段时间。可以使用相同的方法通过将 10.xxx v4 地址代理/NAT 到旧 LAN 来解决不符合 RFC1918 的问题。这是假设您的公共 IP 被劫持。如果您已从 IANA/ARIN/等获得分配...那么这不是问题。

相关内容