企业 IPv6 迁移 - proxypac 结束?点对点的开始?+10K 用户
Yoh*_*ann 5 proxy ipv6 migration transparent-proxy ipv4
让我们从一个图表开始:
我们可以看到一个“典型”的 IPv4 公司网络:
- 通过代理访问互联网
- 通过专用代理访问“其他公司”
- 直接访问本地资源
所有计算机都有一个 proxy.pac 文件,用于指示使用哪个代理或是否直接连接。计算机只能访问本地 DNS(例如,没有 google.com 的名称解析。)
顺便说一句......公司内部不尊重RFC1918,使用公共地址!(历史原因)。明确地使用互联网代理使得没有问题成为可能。
如果我们迁移到 IPv6 会怎样?
第 1 步:IPv6 互联网接入
IPv6 中的 Internet 访问很容易。实际上,只需连接 Internet IPv4 和 IPv6 中的代理即可。内部网络无事可做:
第 2 步:内部网络中的 IPv6 和 IPv4
为什么不直接使用完整的 IPv6 网络?因为总是有不兼容 IPv6 的旧服务器..
选项 1:与 IPv4 相同的架构,带有代理 pac
这可能是最简单的解决方案。但这是最好的吗?
我认为过渡到 IPv6 是一个不用理会这个代理协议的机会!
选项 2:具有透明代理、没有 proxypac、递归 DNS 的新架构
哦是的!
在这个新架构中,我们有:
Explicit Internet Proxy变成了Transparent Internet ProxyLocal DNS成为本地域的Normal Recursive DNS+authorative- 没有proxypac
Explicit Company Proxy变成了Transparent Company Proxy- 路由
- 内部路由器将 appx.ext.example.com 的 IP 重定向到
Company Proxy. - 默认网关是
Transparent Internet proxy.
- 内部路由器将 appx.ext.example.com 的 IP 重定向到
问题
- 您如何看待这种架构 IPv6?
- 这种架构将揭示我们内部网络的 IP 地址,但它受到防火墙的保护。这是一个真正的大问题吗?我们应该保持明确使用代理吗?- 您将如何应对这种迁移场景?- 你呢,你在公司怎么样?
谢谢!随意编辑我的帖子以使其更好。
除非您为每个设备部署替代的受信任根,否则透明代理不适用于 SSL 流量,因此您会失去许多安全和审核优势,并引入新的优势。
我会选择选项 2,但使用显式代理,将其他所有内容都通过防火墙关闭。如果内部计算机不使用您的代理,它们将无法访问互联网。您应该已经拥有通过脚本、Windows 组策略、DHCP 或 DNS/proxy.pac 自动分发代理配置的工具。
越简单通常越好。
| 归档时间: |
|
| 查看次数: |
1077 次 |
| 最近记录: |