IPv6 對動態 /56 前綴進行子網劃分
我閱讀了 IPv6 子網如何工作以及它與 IPv4 子網有何不同?但我的問題沒有在那裡得到回答。
我正在將我們的 IPv4 網路升級到 IPv6。目前,我們的 NAT 網關將我們的一個 IPv4 地址分成 2 個私有子網,即我們的主子網和一個隔離的訪客子網。我想繼續這種在 IPv6 下擁有 2 個獨立子網的做法。我讀到我不應該使用大於 /64 的前綴,因為它會破壞事情,但是我的路由器正在拾取的委派前綴(我相信通過 DHCPv6)是 /64 前綴。所以我想以某種方式自動分配 /56 前綴(歡迎提出建議),但即使在我得到它之後,它仍然是動態的,所以我的問題是如何根據這個動態分配設置 2 個子網?
我習慣使用 NAT 和靜態配置的 IPv4 私有子網。現在我將不得不管理 2 個公共子網,它們之間有防火牆,但我不明白我應該如何配置 RouterOS 路由器來說“將 /56 動態前綴與這個 8 位靜態子網標識符結合起來創建 /64 子網”。我該怎麼做(或者我應該怎麼做)?
Mikrotik 在 RouterOS 中實現它的方式是路由器有一個 DHCP 客戶端,該客戶端從 ISP 獲取 /56 前綴並將其放入地址池中。然後路由器還有一個 DHCP 伺服器,該伺服器將該地址池中的 /64 前綴分發到各個介面。
/ipv6 dhcp-client add add-default-route=yes comment="delgate ISP-assigned prefix" \ interface=ether1-WAN pool-name=wan6-pool prefix-hint=::/56 \ request=prefix use-peer-dns=no /ipv6 dhcp-server add address-pool=wan6-pool interface=ether2-LAN name=LAN add address-pool=wan6-pool interface=ether3-Guest lease-time=3h name=guest /ipv6 address add from-pool=wan6-pool interface=ether2-LAN /ipv6 address add from-pool=wan6-pool interface=ether3-Guest
這將放在ISP 委託的 /56 前綴的兩個不同 /64 子網中
ether2
。ether3
由於所有 IPv6 地址都是全域可路由的,因此您需要添加額外的防火牆規則以保護它們免受 Internet 的影響,如果您想阻止 2 個子網相互通信,還需要添加更多規則。您將希望使用基於介面的規則而不是基於地址的規則,因為地址是動態的。請注意,要從我的 ISP 獲得 /56 前綴而不是 /64 前綴,我必須配置 DHCP 客戶端
prefix-hint=::/56 request=prefix