这是一个关于 IPv4 子网的规范问题。
有关的:
子网划分是如何工作的,您是如何手动或在头脑中完成的? 有人可以从概念上和几个例子来解释吗?Server Fault 有很多子网划分作业问题,因此我们可以使用答案将它们指向 Server Fault 本身。
这是一个关于 IPv6 和 NAT的规范问题
有关的:
所以我们的 ISP 最近设置了 IPv6,我一直在研究过渡应该包括什么,然后再加入竞争。
我注意到三个非常重要的问题:
我们办公室的 NAT 路由器(旧的 Linksys BEFSR41)不支持 IPv6。也没有任何更新的路由器,AFAICT。我正在阅读的有关 IPv6 的书告诉我,无论如何它都使 NAT 变得“不必要”。
如果我们应该摆脱这个路由器并将所有东西直接插入互联网,我开始恐慌。我绝对不可能把我们的账单数据库(有很多信用卡信息!)放在互联网上供大家查看。即使我提议在其上设置 Windows 的防火墙,只允许 6 个地址对其进行任何访问,我仍然会冒出一身冷汗。我不信任 Windows、Windows 的防火墙或足够大的网络,甚至无法远程适应。
有一些旧的硬件设备(即打印机)完全没有 IPv6 功能。并且可能是一长串可追溯到 1998 年左右的安全问题。而且可能无法以任何方式实际修补它们。并且没有新打印机的资金。
我听说 IPv6 和 IPSEC 应该以某种方式使这一切变得安全,但是如果没有使这些设备对 Internet 不可见的物理隔离网络,我真的不知道如何做到。我同样可以真正看到我创建的任何防御将如何在短时间内被超越。我多年来一直在 Internet 上运行服务器,我非常熟悉保护这些服务器所必需的东西,但是在网络上放置一些私有的东西(例如我们的计费数据库)一直是完全不可能的。
如果我们没有物理上独立的网络,我应该用什么来替换 NAT?
我目前正致力于向我们的网络添加 IPv6 功能,并且我对 2020 年被认为是将我们习惯的一些 IPv4 概念转换为 IPv6 世界的最佳实践有一些疑问。
在我当前的设置中,我们从 ISP 分配了一个 /64,路由器会为客户端通告该前缀以使用 SLAAC 进行配置。这似乎工作正常,据我所知,每个人都可以访问 IPv6 互联网。
但是,我们希望能够按名称查询事物,我不确定为客户提供 AAAA 记录的最佳做法是什么。
我所做的是在运行我们的 DHCPv4 的 dnsmasq 实例上部署有状态的 DHCPv6,并告诉它从某个范围分发 ULA,这自然会为任何要求地址的人提供 AAAA 记录。这似乎也工作正常,但我知道有些人不喜欢有状态的 DHCPv6。这也有助于我整合我们在静态 IP 上的服务器分配,就像我对 DHCPv4 所做的一样,由于各种原因,这些服务器应该可以在固定 IP 地址上访问,我们希望 IPv6 的情况继续如此。
我能想到的执行 AAAA 记录的唯一另一种方法是通过单播从路由器向 dnsmasq 机器发送 RA 前缀,然后使用 dnsmasq 使用该ra-names选项为 slaac 通告 GUA 前缀。尽管据我所知,这并不能解决静态地址分配问题,而且我不确定它实际上有多可靠。有没有比使用有状态 DHCPv6 的 ULA 更好的方法来处理内部 AAAA 记录?
最后,随着事情开始奏效,我们现在正在考虑将我们的公共服务迁移到 IPv6。我的理解是,这将需要服务器使用固定的 GUA 来提供公共 AAAA 记录。我不确定如何使用来自边缘路由器的 SLAAC 来实现这一点,除非有某种动态 dns 等价物。我可以再次使用 DHCPv6 或其他手动分配方法在我们分配的前缀中选择 IP 吗?我对此犹豫不决,因为我认为它可能会与 SLAAC 地址发生冲突,而且我不确定如果发生冲突会发生什么。或者,我可以选择向 ISP 询问 …
所以我有一个 Linux 服务器的 vps 提供商,它在我的网站上的网络仪表板中说明了这一点:
2607:f840:0044:0022:0000:0000:0000:0000/64 被路由到这个服务器 (2607:f840:0:3f:0:0:0:eaa)
2607:f840:0:3f:0:0:0:eaa/64 是分配给 eth0 接口的地址,旁边写着 GLOBAL。
我对 IPv6 只了解一点。每个地址长 128 位,以十六进制形式书写,通过省略前导零或使用 :: 一次来缩短。我不明白的是将 2607:f840:44:22::/64 “路由”到我的 IPv6 分配地址 2607:f840:0:3f:0:0:0:eaa/64 意味着什么。
所以我不能改变2607:f840:0:3f:0:0:0:eaa 但我可以选择从 2607:f840:44:22:0000:0000:0000:0000 到 2607:f840 的任何内容:44:22:FFFF:FFFF:FFFF:FFFF? 那会给我 2^64 个可能的地址,但目的是什么?
希望这个问题不要太含糊或离题,感谢您的洞察力。
目前,在我的 IPv4-only 服务上,用户可以将他们的 IP 地址列入白名单,这允许他们在登录时绕过电子邮件 2 因素身份验证。当他们这样做时,我们只将该单个 IP 地址列入白名单,因为假设每个 ISP 客户都获得他们自己的 IPv4 地址(至少在美国)。
我们想要启用 IPv6 支持,在研究 IPv6 子网划分的工作原理后,我们发现我们需要将整个 IPv6 子网而不是单个地址列入白名单。
搜索有关 serverfault 的其他 IPv6 问题,似乎有关于将哪个子网委派给每个 ISP 最终用户的信息存在冲突。看到这个答案:
/56:256 个基本子网的块。尽管当前的政策允许 ISP 向每个最终用户分发大至 /48 的块,并且仍然认为他们的地址使用是合理的,但一些 ISP 可能(并且已经这样做)选择将 /56 分配给消费级客户作为妥协分配之间
/48:一个由 65536 个基本子网组成的块以及每个 ISP 客户端站点应接收的推荐块大小。
仅基于该答案,对于每个用户收到的 IPv6 块,已经有 3 个相互矛盾的陈述:
那么对于使用 IP 地址进行白名单的服务,哪个 IPv6 块适合列入白名单?我应该让用户决定吗?(用户相当精通技术并且知道子网是什么)