那些遇到过的问题

IPv4 到 IPv6 迁移建议

Max*_*ich 20 domain-name-system dhcp ipv6 dhcpv6

我目前正致力于向我们的网络添加 IPv6 功能,并且我对 2020 年被认为是将我们习惯的一些 IPv4 概念转换为 IPv6 世界的最佳实践有一些疑问。

在我当前的设置中,我们从 ISP 分配了一个 /64,路由器会为客户端通告该前缀以使用 SLAAC 进行配置。这似乎工作正常,据我所知,每个人都可以访问 IPv6 互联网。

但是,我们希望能够按名称查询事物,我不确定为客户提供 AAAA 记录的最佳做法是什么。

我所做的是在运行我们的 DHCPv4 的 dnsmasq 实例上部署有状态的 DHCPv6,并告诉它从某个范围分发 ULA,这自然会为任何要求地址的人提供 AAAA 记录。这似乎也工作正常,但我知道有些人不喜欢有状态的 DHCPv6。这也有助于我整合我们在静态 IP 上的服务器分配,就像我对 DHCPv4 所做的一样,由于各种原因,这些服务器应该可以在固定 IP 地址上访问,我们希望 IPv6 的情况继续如此。

我能想到的执行 AAAA 记录的唯一另一种方法是通过单播从路由器向 dnsmasq 机器发送 RA 前缀,然后使用 dnsmasq 使用该ra-names选项为 slaac 通告 GUA 前缀。尽管据我所知,这并不能解决静态地址分配问题,而且我不确定它实际上有多可靠。有没有比使用有状态 DHCPv6 的 ULA 更好的方法来处理内部 AAAA 记录?

最后,随着事情开始奏效,我们现在正在考虑将我们的公共服务迁移到 IPv6。我的理解是,这将需要服务器使用固定的 GUA 来提供公共 AAAA 记录。我不确定如何使用来自边缘路由器的 SLAAC 来实现这一点,除非有某种动态 dns 等价物。我可以再次使用 DHCPv6 或其他手动分配方法在我们分配的前缀中选择 IP 吗?我对此犹豫不决,因为我认为它可能会与 SLAAC 地址发生冲突,而且我不确定如果发生冲突会发生什么。或者,我可以选择向 ISP 询问 /48,我是否应该这样做并为本地客户端通告单个 /64 以获得连接,而为静态服务器通告不同的 /64? 这对我来说似乎有点矫枉过正,我们已经无法接近填充单个 /64 但这可能是我的 IPv4 心态让我感到困惑。

Joh*_*ald 17

这对我来说似乎有点矫枉过正,我们已经无法接近填充单个 /64 但这可能是我的 IPv4 心态让我感到困惑。

停止计算主机,这是 IPv4 的想法。子网一应俱全,规模庞大。A /64 可以寻址每个 IP 设备,并有足够的空间。

然而,地址空间更大,以至于单个站点可以轻松地请求 /48。64,000 /64s,4位十六进制数字,根据您想要的地址计划发出。

对于 /48,我到底用它做什么。

任何你想要的!慷慨大方,为成长计划。为每个子网、每个 VLAN、wifi SSID、安全区域、云和远程访问 VPN、每个容器主机、虚荣静态服务地址的“全零”/64 等提供 /64。

在可能的情况下进行聚合,以避免碎片化。因此,也许将 /60s 或 /56s 委托给内部网络,例如 DHCP 服务器、手动分配的静态池、wifi 控制器或容器编排系统。以及以上所有的测试环境。

不必是动态的,例如 DHCP-PD,尤其是如果您有来自 ISP 的静态前缀。但是以某种方式在 IPAM 系统中跟踪事物。

或者如果确实发现冲突,有优雅的解决方案吗?

IPv6 节点应该对所有单播地址、无状态、DHCPv6、手动或其他方式进行重复地址检测。标准是停止重复而不是导致难以诊断的问题。/64 中随机生成的地址发生冲突的可能性非常低。

ULA

ULA不是Internet 寻址。由于无法全局访问,标准默认地址选择策略将它们置于甚至低于 IPv4 的优先级。参见 rfc6724。因此,您需要在接入 IPv6 Internet 的主机上使用全局可路由(非 ULA)地址。

某种动态 dns 等价物。

是的,DNS 是必要的。对于人类来说,名称比 IP 更容易。

是的,知道 IP 通常是在具有状态的 DHCPv6 服务器和配置有动态 DNS 客户端的 SLAAC 节点之间进行选择。 路由器广告标志 A 和 M告诉客户端有状态或无状态。

AD DS 加入的主机相当简单,预计它们会将自己添加到 DNS。

或者,使用无状态但非随机的基于 EUI-64 的地址配置服务器接口。然后你可以根据MAC地址预先计算出地址,并将其放入DNS中。

也许并非所有设备都需要在 DNS 中。如果在访客 Internet 上允许个人 Android 设备,则它们不会执行 DHCPv6。如果不是由 MDM 管理,您将不知道他们的 IP。

  • 值得重申的是,在 IPv6 中,您应该考虑子网而不是单个地址。对于习惯了 IPv4 的人来说,这可能是最难的心理转变。 (3认同)

San*_*ann 9

第一:得到那个/48。为了安全性和可管理性,不将所有内容都放在单个广播域 (VLAN) 中是一种很好的做法。

第二:对于服务器,只需静态配置地址。如果需要,您可以在同一网络上使用 SLAAC、DHCPv6 和静态地址。

将工作站的 IPv6 地址放在 DNS 中并不常见,但在某些用例中它很有用。对于地址稳定的企业,我建议不要使用 ULA。

在您的情况下,我会做的是启用 SLAAC,以便用户可以获得隐私地址等。在侧面添加一个 DHCPv6 服务器,该服务器提供固定地址,并在需要时将它们放入 DNS 中。还要在路由器广告中设置 M 标志,以便客户端知道存在 DHCPv6 服务器。

由于 IPv6 对所有内容都使用全局地址,因此请确保您拥有适当的网络安全性,例如防火墙。

  • 对于 DNS,我看到的最常见的事情是有人会在同事的办公桌前说“哦,我的机器上有数据,你可以复制,但我不知道我的 IP,只是 ssh 到 mehrlich-laptop” (2认同)
  • 无论如何,您希望服务器和客户端位于具有单独防火墙策略的单独网络上,现在有足够的地址空间,您终于可以做到了。服务器使用静态分配的地址,客户端使用 SLAAC,并且由于网络是独立的,因此不存在冲突。会有一个解决机制,但无论如何混合网络是糟糕的风格。 (2认同)

归档时间:

查看次数:

2481 次

最近记录:

5 年,5 月 前
IPv6 子网划分是如何工作的,它与 IPv4 子网划分有何不同? 124
更多相关链接
相关归档
DNS - NSLOOKUP 非权威答案是什么意思? 157
潜在攻击者发现 IPv6 地址和 AAAA 名称的可能性有多大? 26
绑定 DNS 速率限制和每秒响应和窗口的值 9
如何将 Web 服务器的 DNS 从一个 IP 地址顺利迁移到另一个 IP 地址? 8
IPv6 - 允许传入的 ICMP 回显请求 6
我的 dns 在我执行“dig @mynameserver 主机名”时有效,但在我执行“dig 主机名”时无效 5
如何在允许 DHCP 的同时阻止进出桥接接口的所有流量? 4
命令 ipconfig /flushdns 有问题 3
如何使用 Amazon Route 53 创建三重故障转移/故障恢复 3
BIND 不再响应 AXFR 请求 2
难疑归档
如何在 NGINX 中添加 Access-Control-Allow-Origin? 205
您使用什么工具来监控您的服务器? 187
检查卷是否安装在 Bash 脚本中的最佳方法是什么? 139
SSH 公钥文件末尾的用户/主机有何意义? 99
如何为 SSH 连接设置默认的 Ansible 用户名/密码? 91
“dd”中的“bs”选项真的能提高速度吗? 77
获取用户所属的 AD 组列表 69
104:从上游(Nginx)读取响应头时对等方重置连接 58
DNS A 与 NS 记录 58
好 sudo 还是 sudo 好? 54