我在一家提供单个 IPv6 /64 块的托管服务提供商处。
目标是将提供的 /64 IPv6 地址路由到运行 RouterOS 6.24 的 Mikrotik 后面的主机。
一些微克罗蒂克我发现,用户总是获得一个 /48 或至少一个 /64 和另一个小块来连接网关或博主主要.io描述了可能性,但是不建议使用链接地址连接上行路由器。
我无法访问此功能,因此我尝试用其他方法进行操作。
我尝试过的是将网关端口上的路由器 IPv6 地址作为 /126 块 aaaa.bbbb.cccc.dddd::2/126,以便与 aaaa.bbbb.cccc.dddd::1/126 处的上行链路路由器进行通信。
然后我在防火墙后面的主端口上创建了另一个路由器 IPv6 地址,掩码为 aaaa.bbbb.cccc.dddd:8000:1/65。我还配置了邻居发现,以便客户端可以自动配置。
从路由器终端,我可以 ping 通互联网,也可以 ping 通防火墙后面的主机。从主机,我可以 ping 通防火墙两侧的路由器地址,但当需要连接到上行链路时,却无法 ping 通。
从另一个网络,我可以 ping 防火墙前面的外部路由器地址,但无法访问 aaaa.bbbb.cccc.dddd:8000:1/65,该地址在防火墙后面的主端口处有一个静态路由条目。测试期间,我的防火墙中没有规则。
我的理论是错误的,还是这个模型在 Microtik 上使用有问题?
答案1
您需要找一个更好的托管提供商。他们应该为您提供比 /64 更大的路由基础设施分配。
话虽如此,在正确实施的设备中,没有需要使用完整的 /64 子网,因此原则上您所描述的应该是可行的,只要您的提供商设置正确、所有设备合理(某些较旧的设备对“每个子网都是 /64”做出了一些不必要的假设),并且您的配置完全正确。
不过,在您的情况下,我会向您的托管服务提供商发出有关推荐的 IPv6 部署实践的警告,并从他们那里获得适当的阻止。