能做到吗?

能做到吗?

作为一个组织,我们刚刚申请了第一个 IPv6 分配。目前,我们是一个完全 IPv4 的组织,在我们的边缘路由器上配置了全局 IPv4 地址分配,并(主要)用于通过边缘防火墙对具有私有 IPv4 地址的内部托管 Web 服务器进行 NAT。

我知道,将我们面向外部的服务提供给 IPv6 互联网的一种方法是在内部网络上实现 IPv6 双栈,并直接为这些服务器分配全局可访问的 IPv6 地址(除了现有的 IPv4 地址)。

但是,即使在阅读了大量有关 IPv6 转换技术以及 IPv6 世界中 NAT 的优缺点的帖子和文章之后,我仍然不完全确定我们是否可以从本质上复制我们现有的设置,但使用 IPv6 地址,即,我们是否可以在边缘路由器上配置全局可路由的 IPv6 接口,并在防火墙上配置关联的 IPv6“外部”接口,并将面向全局的 IPv6 地址简单地 1:1 NAT 为 IPv4 地址?

这显然基于这样的原则:我们与 ISP 之间存在 IPv6 BGP 对等连接协议,并且我们的内部寻址需求可以通过 RFC1918 满足,但我们希望选定的外部服务可通过 IPv6 访问。

答案1

正如第一条评论中所说,我也强烈建议转向双栈,因为从长远来看,它比实施 NAT 解决方案更便宜。(无论如何你都必须这样做,那么为什么不现在就这么做呢?)

但是,对于您的问题,仍然有两种可能的解决方案/解决方法:

  • 带有NAT64支持;
  • 具有本机 IPv6 支持的负载平衡器,通过 IPv4 平衡其后面的服务器。

答案2

通过 IPv6 提供 IPv4 服务的方式非常常见。您需要一个可以进行静态 NAT64 映射的防火墙。我自己使用 Juniper SSG 盒就做到了这一点。

不过,我确实看到了一些碎片化问题。由于 IPv6 报头比 IPv4 报头大,因此转换会使数据包稍微大一些。这可能会导致 IPv6 数据包碎片化,而且我见过忽略所有碎片流量的设备。为了避免用户遇到此类损坏设备的问题,最好稍微降低 IPv4 端的 MTU(1480 或 1400 是常见值),这样即使转换后数据包也小于 1500 字节。

答案3

能做到吗?

是的。

您将需要一个有状态的 NAT64 实现。通常,这些用于为本地 IPv6 客户端提供对公共 IPv4 互联网上资源的访问权限,但没有什么可以阻止您使用它来允许公共互联网上的 IPv6 客户端访问本地 IPv4 资源。防火墙可用于限制可以通过 NAT64 网关访问的主机。

应该这么做吗?

总体而言,我的答案是“不”。

这种方法的关键问题是您将丢失有关流量源 IP 地址的信息。根本无法将 128 位源 IP 塞入 32 位字段。因此很难追踪和举报滥用行为。

还有什么替代方案?

有好几种。我将按照我认为的优先顺序依次介绍它们。

第一个选项是在服务器和网络边缘之间的网络段部署双栈。当您开始在整个网络中部署 IPv6 时,这是一个很好的做法。

第二种选择是部署从网络边缘到相关服务器的隧道。隧道可以将 IPv6 流量通过 IPv4 网络传送到服务器,然后服务器可以在本地进行处理。

第三个选项是反向代理。由于它在应用程序级别工作,因此它可以将外部 IP 地址信息编码到应用程序级别标头中。可能需要对应用程序端进行更改才能利用此信息,但许多应用程序已经支持它,因为出于其他原因,反向代理设置在大型部署中相当常见。

答案4

是的,当然可以。事实上,这是最明智的做法。

不要相信那些说“哦……你最终必须将整个网络改为 IPv6,所以不要拖延”的人

简直是一派胡言。

我曾经在运营商级别经历过这种情况。

IPv4 将继续存在。由于 RFC1918,它对于绝大多数组织来说都运行良好。

如果您的组织拥有少于 1700 万台设备,需要 IP 地址并受您直接合法控制。那么 IPv6 只不过是一个减速带,它肯定不会影响您的服务器/桌面。您可以这样做:
假设您了解经典网络设计。

您的边缘路由器采用 MPLS/IPv6/IPv4
您的核心路由器采用 MPLS/IPv6/IPv4
您的 Distro 路由器采用 MPLS/IPv6/IPv4
您的负载均衡器/防火墙外部接口是 IPv6/IPv4 并插入 Distro 上游。F5 毫不费力地支持这一点,并且 LTM 作为入口防火墙(比 juni/cisco 防火墙快得多),所以我们不必在 Distro 路由器上使用 ACLS 负载均衡器/防火墙的内部接口都是纯 IPv4 并插入您的主干/叶子或第 2 层服务/接入路由器和交换机,如果它们是第 3 层,它们也都保持 IPv4。

因此,您保留 NAT。您可以使用 F5 BIGIP 和防火墙等设备维护硬公共 IP/私有 IP NAT 边界,这些设备可轻松处理 IPv6 到 IPv4 NAT。它们将您的公共发行版层与您的私有服务/访问层连接起来。

现在,你选择保留 NAT 的所有内容(可能已经是了)都保留 IPv4,而所有那些垃圾 IPv6 主机软件都可以被毫无顾忌地删除,因为只有在你的网络公共边缘上运行的高端网络设备才需要担心 IPv6

说真的,要明智一点。在我们的有生之年,IPv6 不会以任何方式取代 IPv4,这意义重大。按照目前的采用速度,在未来 200 年内,IPv6 的规模都无法与 IPv4 BGP 表相提并论。

相关内容