我读IPv6 子网划分如何工作?它与 IPv4 子网划分有何不同?但我的问题没有得到解答。
我正在将我们的 IPv4 网络升级到 IPv6。目前,我们的 NAT 网关将我们的一个 IPv4 地址拆分为 2 个私有子网,即我们的主子网和一个隔离的客户子网。我想继续这种在 IPv6 下拥有 2 个独立子网的做法。我读到我不应该使用大于 /64 的前缀,因为它会破坏一些东西,但我的路由器正在拾取的委托前缀(我相信是通过 DHCPv6)是 /64 前缀。因此,我想以某种方式自动分配一个 /56 前缀(欢迎提出建议),但即使我得到这个前缀,它仍然是动态的,所以我的问题是如何根据这种动态分配设置 2 个子网?
我习惯使用 NAT 和静态配置的 IPv4 私有子网。现在,我必须管理 2 个公共子网,并在它们之间设置防火墙,但我不知道如何配置 RouterOS 路由器来表示“将 /56 动态前缀与此 8 位静态子网标识符相结合以创建 /64 子网”。我该怎么做(或者我应该怎么做)?
答案1
Mikrotik 在 RouterOS 中实现该功能的方式是,路由器有一个 DHCP 客户端,该客户端从 ISP 获取 /56 前缀并将其放入地址池中。然后,路由器还有一个 DHCP 服务器,该服务器将该地址池中的 /64 前缀分发给各个接口。
/ipv6 dhcp-client
add add-default-route=yes comment="delgate ISP-assigned prefix" \
interface=ether1-WAN pool-name=wan6-pool prefix-hint=::/56 \
request=prefix use-peer-dns=no
/ipv6 dhcp-server
add address-pool=wan6-pool interface=ether2-LAN name=LAN
add address-pool=wan6-pool interface=ether3-Guest lease-time=3h name=guest
/ipv6 address add from-pool=wan6-pool interface=ether2-LAN
/ipv6 address add from-pool=wan6-pool interface=ether3-Guest
这会将ether2
和ether3
置于 ISP 授权的 /56 前缀的两个不同的 /64 子网上。由于所有 IPv6 地址都是全局可路由的,因此您需要添加额外的防火墙规则以保护它们免受互联网的影响,然后如果您想阻止 2 个子网相互通信,则需要添加更多规则。您将需要使用基于接口的规则而不是基于地址的规则,因为地址是动态的。
请注意,要从我的 ISP 获取 /56 前缀而不是 /64 前缀,我必须使用以下方式配置 DHCP 客户端prefix-hint=::/56 request=prefix