IPv6 bez nat, ale co ze zmianą ISP?

12

Nie pracowałem z IPv6 poza tunelowaniem 4to6 na moim domowym komputerze z takimi rzeczami jak GoGoNet. Przeczytałem o tym, jak to działa w sposób ogólny. NAT nie jest wymagany (ani sugerowany), a każdy klient używa publicznego adresu ipv6 i rozumiem ciągłe korzystanie z zapór ogniowych. Z mojego zrozumienia, bez użycia NAT, UAL i uzyskania ARIN w celu uzyskania własnego globalnego zasięgu, oznaczałoby to, że adres ipv6 na wszystkich systemach w twojej sieci LAN będzie pochodził z zakresu podanego przez twoją isp. Co stałoby się w przypadku zmiany usługodawcy internetowego? Czy to oznacza, że ​​musisz zmienić cały zakres adresów LAN?

W typowym sklepie z Windowsem ipv4 mogę mieć taką sytuację:

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

Serwery mają statycznie przypisane sieci LAN, serwery DNS muszą to zrobić, a pozostałe również, ponieważ zapora sieciowa przekierowuje porty na serwery za pośrednictwem wpisanych adresów IP (w przeciwieństwie do nazw hostów).

Teraz, jeśli chciałbym skonfigurować to jako środowisko tylko dla ipv6? Czy wszystko nadal byłoby takie samo z statycznie przypisanymi serwerami i dhcpv6 do stacji roboczych?

Ale jeśli przestawię się na inny ISP, czy oznacza to, że muszę zmienić adres IP dla wszystkich serwerów? Co jeśli mam 100 serwerów? Chyba mogę użyć dhcpv6 na serwerach, ale nie widziałem zapory ogniowej klasy biz, która zezwalała na przekierowywanie portów przez nazwę hosta lub wewnętrzne dns (sonicwall, jałowiec, cisco itp.), Tylko lokalny ip (przynajmniej dla ipv4). Poza tym serwer DNS nadal potrzebuje statycznego IP.

Czy nie oznacza to również, że podczas przejścia na zmianę IP LAN IPV6 IP moje serwery mogą wysyłać ruch LAN przez Internet do mojego starego bloku, ponieważ nie jest to już lokalny LAN? Z technicznego punktu widzenia rozumiem, że jest mało prawdopodobne, aby ktoś tak szybko użył starego bloku i że można go zablokować na zaporze.

Wygląda na to, że byłoby wspaniale, gdyby każdy otrzymał własny blok IPv6, ale rozumiem, że spowodowałoby to, że globalna tabela routingu stałaby się wyjątkowo duża.

Aktualizacja W oparciu o poniższe odpowiedzi zaktualizowałem przykładową lokalizację powyżej, więc byłby to odpowiednik ipv6?

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

Każdy własny system strony rozmawiałby przez Link-Local, Site-to-Site rozmawiałby ze sobą ULA (zaszyfrowany przez VPN), a świat (w tym usługi) mówiłby za pośrednictwem publicznych adresów IP?

nat ipv6 W połowie zrobione
źródło

Odpowiedzi:

10

Zdecydowanie istnieją pewne mechanizmy, które mogą ci w tym pomóc.

W przypadku wewnętrznego ruchu LAN między systemami w sieci dostępne są unikalne adresy lokalne. Pomyśl o nich jak o adresach RFC1918; będą działać tylko w twojej sieci. Będziesz mógł używać tych adresów do dowolnej komunikacji w granicach sieci; po prostu odetnij niektóre sieci fd00::/8i poproś routerów, aby je reklamowali.

W normalnym wdrożeniu będzie to oznaczać, że wszystkie twoje węzły posiadają (co najmniej) 3 adresy IPv6; fe80::/64adres lokalny dla łącza (który może komunikować się tylko z innymi węzłami w swojej domenie rozgłoszeniowej), unikalny fd00::/8adres lokalny (który może rozmawiać z wszystkim w sieci LAN) oraz adres publiczny.

Teraz oznacza to, że zmieniasz numerację wszystkiego po zmianie dostawców usług internetowych (co robisz teraz dla publicznie adresowalnych węzłów, zakładając, że nie posiadasz przestrzeni IPv4), po prostu nie musisz się martwić o wszystkie wewnętrzne komunikacja, która może pozostać w zasięgu Unique Local.

To może zaspokoić twoje obawy - ale jest też propozycja NPTv6, dla której obecnie jest eksperymentalny RFC . Umożliwiłoby to przetłumaczenie publicznych prefiksów na zakresy prywatne na brzegu sieci, co oznacza brak wewnętrznej numeracji wewnętrznej po zmianie dostawców usług internetowych, a także możliwość korzystania z wielu dostawców usług internetowych o różnych adresach bezproblemowo (na stałe lub w okresie przejściowym dla dostawcy zmiana).

Shane Madden
źródło
1
+1 - prosty fakt jest taki, że w małej sieci domowej wystarczy użyć linku adresy lokalne, fe80::/64a adresy IP przydzielone przez dostawcę usług internetowych są dość nieistotne. Jednak w przypadku centrum danych zmiana dostawców usług internetowych zawsze była dużym zadaniem, więc również tam niewiele się zmieniło.
Mark Henderson
1
Korzystając z fd00 :: / 8 (ULA), należy wygenerować pół losowy / 48 blok adresów. Możesz użyć np. Sixxs.net/tools/grh/ula do wygenerowania bloku adresów ULA za pomocą algorytmu zgodnego ze standardami. Użyj adresów ULA do komunikacji wewnętrznej (serwery plików itp.) I tuneli VPN typu site-to-site oraz adresów publicznych w celu uzyskania dostępu do Internetu. Następnie musisz zmienić numerację prawdziwie publicznych usług przy zmianie dostawców usług internetowych (takich jak lokalnie hostowane strony internetowe i punkty końcowe tuneli VPN, ale nie wszystkie zasady zapory ogniowej do przestrzeni adresowej ULA)
Sander Steffann
ah, ok. Nie myślałem o wielu adresach IPv6 na host. Zaktualizowałem przykład i dodałem swoje zrozumienie, co to jest równoważny zestaw dla ipv6. Daj mi znać, jeśli dobrze rozumiem. Wygląda również na to, że konfiguracja VPN byłaby bardzo łatwa, ponieważ zapora sieciowa musiałaby tylko szyfrować dane w UAL. Przeczytam także o NPTv6.
Halfdone
6

W przypadku usług wewnętrznych (serwery terminali, wewnętrzne serwery pocztowe, drukarki, serwery proxy itp.) Możesz używać lokalnych adresów witryny w unikalnym bloku lokalnym pod fd00: / 8. Ma to na celu wygenerowanie bloku / 48, z którego można wydzielić / 64s dla poszczególnych stron. Możesz mieć tysiące stron korzystających z tego modelu z jednego komputera / 64. Serwery i usługi korzystające z tego schematu adresowania byłyby odporne na zmianę ISP. Będziesz musiał tunelować te adresy między witrynami, jeśli są one połączone przez Internet.

UWAGA: Unikalne bloki lokalne mają takie same problemy, jakie mają bloki adresów prywatnych IPv4. Jeśli jednak losujesz kolejne 40 bitów FD, jest bardzo mało prawdopodobne, że dojdzie do kolizji.

Komputery klienckie nie potrzebują spójnych adresów IP w Internecie. Istnieją opcje prywatności, które będą okresowo generować nowe adresy, aby śledzić klientów według adresu IP. Jeśli routery obsługują usługę radvd (Router Advertising Daemon), klienci mogą wygenerować własny adres. (Reklamy routera identyfikują bramę i mogą zawierać listę serwerów DNS). IPv6 radvdzastępuje podstawowe usługi DHCP. Można użyć zerowej konfiguracji, aby umożliwić wykrycie wielu usług, które DHCP będzie używał do ogłaszania. Adresy komputerów klienckich powinny znajdować się w różnych / 64 blokach adresów niż używane przez serwery dostępne w Internecie.

DMZ (strefa niemilitaryzowana) to miejsce, w którym powinny znajdować się twoje serwery i usługi dostępne w Internecie. Te adresy prawdopodobnie zmienią się, gdy zmieni się twój dostawca usług internetowych. Mogą znajdować się w jednym / 64, co ułatwi zmianę adresów. Ponieważ protokół IPv6 wymaga obsługi wielu adresów, możesz podłączyć nowego usługodawcę internetowego i dokonać zmiany w uporządkowany sposób przed rozłączeniem oryginalnego połączenia z usługodawcą internetowym.

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

Możesz użyć dowolnych wartości, które chcesz rozróżnić między strefą DMZ a strefą hosta. Możesz użyć 0 dla DMZ, tak jak ja dla witryny 2 powyżej. Twój dostawca usług internetowych może zapewnić mniejszy blok niż a / 48. RFC sugerują, że mogą podzielić A / 64 i przydzielić / 56. Ograniczyłoby to zakres, który masz do przydzielenia / 64s.

BillThor
źródło