我目前正在将公司内部的 VPN 从 OpenVPN 迁移到 WireGuard。在此期间,我想将其从 IPv4 迁移到 IPv6。基础设施目前由一台服务器和大约 1200 个客户端组成,这些客户端位于多个 ISP 的 DSL 连接后面(取决于客户)。预计数量将会增加,网络将在某个时候进行集群化。我读过有关 ULA 和 SLAAC 的文章,但我不知道如何选择一个不太可能与各个 ISP 的现有 IPv6 网络或我们客户的网络发生冲突的 IPv6 网络。对于这样的 VPN 场景,选择 IPv6 网络的推荐方法是什么?
答案1
从您的 ISP 或 RIR 获取 IPv6 分配。
定义一个地址计划,以覆盖您所需的 /64 数量,尽可能远。您应该要求的最小地址是 /48,这是分配给一个“站点”的典型大小。如果您计划扩展,请规划跨多个站点的所有需求、外部服务、VPN、LAN 和测试网络。
您的前缀是随心所欲的,因为您的 ISP 会将其路由给您。如果您想为 VPN 使用一些 /64,请将它们路由到 VPN 服务器。
唯一本地地址不适用于互联网访问。虽然 ULA 可用于仅限 LAN 的资源和实验室,但您确实需要一个全局可路由的前缀。
生成一个 ULA /48,其中包含“fd”和 40 个随机位。这很可能与您可能遇到的任何其他网络不同。一种简单的方法:安装子网计算 (它有一个 Debian 包)和
subnetcalc fd00:: 48 -uniquelocal
答案2
如果你想测试 IPv6,那么我会建议你从https://Tunnelbroker.net/。这是迄今为止获得 IPv6 实际体验的最简单的方法。
您可以获得最多 4 x /48 子网,同时仍然免费,尽管单个 /48 子网对于大多数人来说就足够了 - 例如我。
他们甚至为多个路由器和服务器提供了有关如何将 IPv6 地址从您的网络转发到 IPv6 互联网的指南。
如何划分网络子网取决于您,但一般规则是,由于 SLAAC 和 EUI-64 的工作方式,最小子网是 /64。
这意味着 /48 可能被分成 65536 个子网。
对于拆分子网和查找地址范围,我倾向于使用http://www.gestioip.net/cgi-bin/subnet_calculator.cgi。
我的做法是将子网分成 256 /56 个子网,因为我通过 VPN 向多个物理位置提供 IPv6。这样我就可以支持 256 个不同的位置,这对我来说已经足够了。
在我的每个位置,我可以将 /56 分成另外 256 × /64 子网,这些子网可以分配给不同的 VLAN。
如果 256 个子网对于一个位置来说不够,那么您始终可以从可用地址池中将另一个 /56 子网路由到同一位置。