除了使用 GoGoNet 之类的家用电脑上的 4to6 隧道之外,我还没有使用过 IPv6。我已经阅读了它的一般工作方式。不需要(或建议)NAT,每个客户端都使用公共 ipv6 地址,我理解防火墙的继续使用。根据我的理解,如果不使用 NAT、UAL 和让 ARIN 为您提供自己的全局范围,这意味着您局域网上所有系统上的 ipv6 地址将来自您的 isp 提供的范围。如果您更改 ISP,会发生什么?这是否意味着您必须更改整个局域网地址范围?
在典型的 ipv4 窗口商店中,我可能会遇到这样的情况:
Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls
Site1: Lan IP, Public IP:Port
Hardware firewall/router - 192.168.1.1, 11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email) - 192.168.1.11, 11.12.13.2:25+443
Windows RDS (term server) - 192.168.1.12, 11.12.13.3:3389
Workstations (via DHCP) - 192.168.1.100+
Site2:
Hardware firewall/router - 10.0.0.1, 20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver) - 10.0.0.11, 20.30.40.2:80
Workstations (via DHCP) - 10.0.0.100+
服务器已静态分配 lan ips,DNS 服务器必须和其他服务器也是如此,因为防火墙通过您输入的 ip 地址(与主机名)将端口转发到服务器。
现在,如果我想将其设置为仅限 ipv6 的环境?对于静态分配的服务器和 dhcpv6 到工作站,一切是否仍然相同?
但是如果我切换到另一个 isp 是否意味着我需要更改所有服务器的 IP 地址?如果我有 100 台服务器怎么办?我想我可以在服务器上使用 dhcpv6,但我还没有看到允许通过主机名或内部 dns(sonicwall、juniper、cisco 等)进行端口转发的 biz 级防火墙,只是本地 ip(至少对于 ipv4)。无论如何,DNS 服务器仍然需要静态 ips。
这是否也意味着在更改 lan ipv6 ips 的过渡期间,我的服务器可能会通过 Internet 将 lan 流量发送到我的旧块,因为它不再是本地 lan?至少在技术方面,我知道不太可能有人会这么快地使用旧块并且可以在防火墙上阻止它。
我听起来每个人都可以为自己分配 perm 分配的 ipv6 块会很棒,但我知道这会使全局路由表变得无法使用。
更新 根据下面的答案,我更新了上面的示例位置,所以这将是 ipv6 等价物?
Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls
Site1: Link-Local, ULA, Public
Hardware firewall/router - fe80::1, fd80::ABCD:1, 2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10, fd80::ABCD:10, 2000:1112:1301::A
Windows Exchange (email) - fe80::11, fd80::ABCD:11, 2000:1112:1301::B
Windows RDS (term server) - fe80::12, fd80::ABCD:12, 2000:1112:1301::C
Workstations (via DHCP) - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+
Site2: Link-Local, ULA, Public
Hardware firewall/router - fe80::1, fd80::ABCD:2, 2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10, fd80::ABCD:20, 2000:2030:4001::A
Windows IIS (webserver) - fe80::11, fd80::ABCD:21, 2000:2030:4001::B
Workstations (via DHCP) - fe80::100+, fd80::ABCD:2xx, 2000:2030:4001::10+
每个站点自己的系统将通过本地链接进行通信,站点到站点将与其他 ULA(由 VPN 加密)进行通信,而世界(包括服务)将通过公共 IP 进行通信?
Sha*_*den 10
这里肯定有一些机制可以帮助你。
对于内部 LAN 流量,网络上的系统之间存在唯一本地地址。把它们想象成 RFC1918 地址;它们只能在您的网络中工作。您将能够使用这些地址进行网络边界内的任何通信;只需从中切出一些网络fd00::/8,让您的路由器开始为它们做广告。
在正常部署中,这意味着您的节点都拥有(至少)3 个 IPv6 地址;链路本地fe80::/64地址(只能与其广播域上的其他节点通信)、唯一的本地fd00::/8地址(可以与 LAN 中的所有内容通信)和公共地址。
现在,这仍然意味着您在更改 ISP 时要重新编号所有内容(假设您不拥有 IPv4 空间,您现在正在为公共可寻址节点执行此操作),只是您无需担心所有内部通信,可以保持在唯一本地范围内。
这可能涵盖您的担忧 - 但还有 NPTv6 提案,目前有一个实验性的 RFC。这将允许您将公共前缀转换为网络边缘的私有范围,这意味着当您更改 ISP 时无需在内部重新编号,并且能够无缝地利用具有不同分配地址的多个 ISP(永久或在提供商的过渡期间)改变)。
对于内部服务(终端服务器、内部邮件服务器、打印机、Web 代理等),您可以在 fd00:/8 下的唯一本地块中使用站点本地地址。这旨在生成一个 /48 块,您可以从中为单个站点创建 /64。您可以从单个 /64 中拥有使用此模型的数千个站点。使用此寻址方案的服务器和服务将不受 ISP 更改的影响。如果站点通过 Internet 连接,您将需要在站点之间建立这些地址的隧道。
注意:唯一本地块遇到与 IPv4 私有地址块相同的问题。但是,如果您将 后面的 40 位随机化FD,则发生冲突的可能性很小。
客户端计算机不需要 Internet 上一致的 IP 地址。有一些隐私选项会定期生成新地址,以便通过 IP 地址中断来跟踪客户端。如果您的路由器运行 radvd(路由器广告守护程序)服务,则您的客户端可以生成自己的地址。(路由器广告标识网关,并可以提供 DNS 服务器列表。) IPv6radvd取代了基本的 DHCP 服务。零配置可用于允许发现 DHCP 将用于宣布的许多服务。客户端计算机的地址应该位于与 Internet 可访问服务器使用的不同的 /64 地址块中。
DMZ(非军事区)是您的 Internet 可访问服务器和服务应驻留的地方。当您的 ISP 更改时,这些地址可能会更改。这些可能驻留在单个 /64 中,这将使更改地址更简单。由于 IPv6 需要多地址支持,您可以在断开原始 ISP 连接之前连接新的 ISP 并按顺序执行转换。
Unique local block: fd33:ab:de::/48
Site 1: fd33:ab:de:1::/64
Site 2: fd33:ab:de:2::/64
Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64 (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64 (via radv)
Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64
您可以使用任何要区分 DMZ 和主机区域的值。您可以像我在上面的站点 2 中所做的那样将 0 用于 DMZ。您的 ISP 可能提供比 /48 更小的块。RFC 建议他们可以细分 /64 并分配 /56。这将限制您可用于分配 /64 的范围。