Nat

沒有 nat 的 IPv6 但如何改變 isp 呢?

  • January 15, 2012

我沒有在家用電腦上使用 GoGoNet 之類的東西在 4to6 隧道之外使用 IPv6。我已經閱讀了它是如何以一般方式工作的。不需要(或建議)NAT,每個客戶端都使用公共 ipv6 地址,我理解防火牆的持續使用。據我了解,如果不使用 NAT、UAL 並讓 ARIN 為您提供自己的全域範圍,這意味著您區域網路上所有系統上的 ipv6 地址將來自您的 isp 提供的範圍。如果您更改 ISP,會發生什麼情況?這是否意味著您必須更改整個區域網路地址範圍?

在典型的 ipv4 windows 商店中,我可能會遇到這樣的情況:

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

伺服器具有靜態分配的 lan ips,DNS 伺服器必須和其他伺服器也是,因為防火牆通過您輸入的 ip 地址(與主機名)進行埠轉發到伺服器。

現在,如果我想將其設置為僅限 ipv6 的環境?靜態分配的伺服器和工作站的 dhcpv6 是否仍然相同?

但是如果我切換到另一個 isp 是否意味著我需要更改所有伺服器的 IP 地址?如果我有 100 台伺服器怎麼辦?我想我可以在伺服器上使用 dhcpv6,但我還沒有看到允許通過主機名或內部 dns(sonicwall、juniper、cisco 等)僅本地 ip(至少用於 ipv4)進行埠轉發的 biz 級防火牆。無論如何,DNS 伺服器仍然需要靜態 ip。

這是否也意味著在更改 lan ipv6 ips 的過渡期間,我的伺服器可能會通過 Internet 將區域網路流量發送到我的舊塊,因為它不再是本地區域網路?至少從技術角度來說,我理解不太可能有人會這麼快地使用舊塊,並且它可以在防火牆上被阻止。

我聽起來對每個人來說,獲得自己的 perm 分配的 ipv6 塊會很棒,但我知道這會使全域路由表變得無法使用。

更新 根據下面的答案,我更新了上面的範例位置,所以這將是 ipv6 等價物嗎?

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

每個站點自己的系統將通過本地連結進行通信,站點到站點將通過 ULA(由 VPN 加密)相互通信,而世界(包括服務)將通過公共 IP 進行通信?

肯定有一些機制可以幫助你。

對於網路上的系統之間的內部 LAN 流量,有唯一的本地地址。把它們想像成 RFC1918 地址;他們只會在您的網路中工作。您將能夠使用這些地址在您的網路邊界內進行任何通信;只需從中切出一些網路fd00::/8並讓您的路由器開始為它們做廣告。

在正常部署中,這意味著您的節點都擁有(至少)3 個 IPv6 地址;連結本地fe80::/64地址(只能與廣播域中的其他節點通信)、唯一的本地fd00::/8地址(可以與 LAN 中的所有內容通信)和公共地址。

現在,這仍然意味著您在更改 ISP 時要重新編號所有內容(假設您不擁有 IPv4 空間,您現在正在為可公開定址的節點執行此操作),只是您無需擔心所有內部通信,可以保持在唯一本地範圍內。

這可能會涵蓋您的擔憂 - 但也有 NPTv6 提案,目前有一個實驗性的 RFC。這將允許您將公共前綴轉換為網路邊緣的私有範圍,這意味著當您更改 ISP 時不會在內部重新編號,並且能夠無縫地利用具有不同分配地址的多個 ISP(永久或在提供商的過渡期間)改變)。

引用自:https://serverfault.com/questions/349950