现在,我们有一个服务器机架。现在每台服务器至少有 2 个 IP 地址,一个用于公共接口,另一个用于私有接口。有 SSL 网站的服务器有更多的 IP 地址。我们也有虚拟服务器,配置类似。
专用网络
私有范围目前仅用于备份和监控。它是一个千兆端口,接口使用率通常不会很高。我们正在考虑使用其他技术来使用此端口:
我们的 DNS 记录中没有任何私有地址(只有公共地址)。为了让我们的服务器为正确的接口使用正确的 IP 地址(而不是对 IP 地址进行硬编码),可能需要设置一个私有 DNS 服务器(所以现在我们将 2 个不同的 dns 条目添加到 2 个不同的系统)。
公共网络
我们的公共范围提供各种服务,包括网络、电子邮件和 ftp。在我们的网络和“公共”网络之间有一个硬件防火墙。我们有(相对安全的)方法来指示防火墙为我们当前的 IP 地址打开和关闭管理访问(Web 界面、ssh 等)。通过讨论任一解决方案,还将配置基于主机的防火墙。
公共网络目前运行在专用的 20Mbps 链路上。有几个具有快速以太网端口的旧服务器,但它们已计划退役。所有其他生产盒都至少有 2 个千兆以太网端口。流量较大的服务器有 4-6 个可用(现在没有一个使用超过 2 个千兆端口)。
IPv6
我想从我们的 ISP 获取 IPv6 前缀。所以至少每个“服务器”至少有一个 IPv6 接口。我们仍然需要保持 IPv4 地址正常运行并可供旧客户端(至少是 Web 服务器和电子邮件)使用。
我们现在有两个 IP 网络。添加公共 IPv6 地址将使其变为三个。
只使用IPv6?
我正在考虑转储私有 IPv4 范围并使用 IPv6 范围作为所有通信的主要方式。如果接口开始达到其容量,则利用新空闲的接口创建中继。
它的优点是如果公共或私人流量需要超过1Gbps。已经定期分析每个接口的流量,以预测未来的带宽使用情况。在带宽意外达到峰值的极少数情况下:利用 QoS 确保流量(如我们有限的 SSH 访问)被正确划分优先级,以便可以纠正问题(如果可能,我们的 WAN 现在是瓶颈)。
它还具有不需要为每个私有地址创建条目的优点。我们可能有私有 DNS(或只是 LDAP),但它的范围会受到更多限制,需要复制的条目更少。
概括
我试图使这个网络尽可能“简单”。同时,我想确保其可靠、可升级、可扩展和(最终)冗余。拥有一个 IPv6 网络和一个传统的 IPv4 网络对我来说似乎是最好的解决方案。
关于为两个网络使用分配的 IPv6 地址,在一个网络上共享可用带宽(如果需要更多中继):
好吧,我们分部分回复吧
1)私有地址
ipv6有不同的“范围”,所以你可以有一个本地范围和一个全局范围,ipv6足够聪明,知道谁是谁并相应地调节流量,所以你可以在ipv6上拥有一个本地不可路由的网络,实际上没有任何问题默认情况下是这样的
2)转储ipv4并仅运行ipv6
到目前为止,所有 ipv6 实现都是双堆栈的,因此您可以轻松地运行两者,而且我绝对建议您同时运行两者,这样做不会造成任何损害,而且 ipv4 不会消失很长一段时间,尽管 ipv6 非常酷,完全放弃了 ipv4这不是我会做的事情。
3)简短的问题
a) 没有技术缺点,相反!很多很酷的东西,自动分配地址,任播,本机 ipsec,这非常酷 b) 防火墙应该很好,但是有一些特定的防火墙规则需要注意,例如允许本地链路范围流量,允许 ipv6 上的多播以及禁用 RH0 数据包的处理,还要记住 icmpv6 是一个全新的协议,并且 ipv6 比 ipv4 上的 icmp 更依赖它,因此过滤它不是一个好主意 c) 据我所知大多数 Linux 服务都支持ipv6没有任何问题,双栈ftw!
另外,熟悉所有 ipv6 新规范也不错,初学者请查看http://en.wikipedia.org/wiki/IPv6
| 归档时间: |
|
| 查看次数: |
1315 次 |
| 最近记录: |