所以,我的 SiXXS 的 POP 似乎有问题,我正在考虑换成 HE。想法是连接到 HE,更改 radvd 设置,然后……还有很多其他想法:
UFW,特别是在笔记本电脑中,仅允许从某些 RFC1918 地址和我的全局 IPV6 地址访问某些开发服务
我的服务器有固定的 IPv6 地址,可以轻松设置 DNS
某些软件需要在设置中引用某种类型的“本地”地址(例如 squid acls 或 libvirt 网络)
ETC。
所以我的问题是:处理这个问题的最佳方法是什么?假设明天我需要更换隧道代理,或者出于某种原因我需要更改前缀并使用另一个提供商作为备份,我真的需要检查我的所有设置吗?我能想到的唯一解决方案是我不喜欢的 ULA 和 NAT(或 ULA 加全局地址,但我认为不推荐这种设置)
(如果我理解正确的话,一个可能的解决方案是移动 IPv6,但这真的是一个今天的选择吗?有多少提供商使用它?)
总结:我有哪些选择可以简化更改网络 IPv6 前缀的管理任务?
更新
非常感谢您的回答,但我认为我没有解释一些对于这个问题很重要的事情:https://en.wikipedia.org/wiki/IPv6_address#Default_address_selection给出了一个表格,列出了在您有多个地址的情况下的选择偏好。由于 SiXXS 和 HE 都使用 2001:: 前缀,这意味着(如果我正确阅读了表格)将始终选择全局地址,而不是 ULA。因此,如果我将 squid 设置为基于 ULA 限制访问,它将不起作用,因为所有客户端都将使用全局地址来标识自己。还有另一个问题关于相同的问题,但答案是,使用 ULA 和全局地址都是可行的,因为在这种情况下公共前缀是 2000::。
我是对的吗?或者我对地址偏好是错的?
答案1
移动 IP 不适用于这种情况。它适用于当您将设备从其家庭网络转移到另一个网络但仍希望它们使用其原始地址的情况。但家庭网络必须是可访问的。
对于只需要从您自己的网络访问的服务,您可以使用 ULA 进行稳定寻址。您可以将 ULA 与全局地址一起使用,以获得稳定的内部地址和全局连接。您需要为每个网络管理两个前缀,因此可能需要一些额外的工作。
对于全局地址:是的,如果您从一个 ISP 切换到另一个 ISP,那么您需要对所有内容重新编号。
答案2
可以利用ULA ( FD00::/8) 来简化设置。您可以根据需要在其中设置 /64 前缀(如果您担心无法确保路由其他人的 ULA 前缀,SiXXS 会维护一个注册表),并部署(加密)VPN 来连接它们。然后,您的安全关键服务只能接受来自 、FE80::/10和FC00::/7的流量::1/128,并且不会直接暴露在互联网上。这些地址大致相当于只监听环回和 RFC1918 地址(尽管FE80::/10实际上更像 APIPA,169.254.0.0/16)。
如果您要重新编号(您应该这样做)(如果您放弃 SiXXS 分配,您绝对不能继续使用其中的地址,因为这些地址会成为无用地址,并且会存在互操作性问题的风险),您应该将这些服务重新编号为 ULA。这样,下次更换提供商时,您就不必重新编号这些本地地址。在这种情况下,不需要 NAT,因为每个主机都可以有多个地址(例如,一个本地链接地址、ULA 地址和互联网地址,或者每个地址都有几个)。这绝不是不推荐的做法,这正是您应该做的。
IPv6 的理念是,每个主机都拥有大量地址,并可将其用于适当的目的。充分利用这一点。