Saya belum pernah bekerja dengan IPv6 di luar tunneling 4to6 di komputer rumah saya dengan hal-hal seperti GoGoNet. Saya sudah membaca tentang cara kerjanya secara umum. Tidak diperlukan NAT (atau yang disarankan) dan setiap klien menggunakan alamat IPv6 publik dan saya memahami penggunaan firewall yang berkelanjutan. Dari pemahaman saya, tanpa menggunakan NAT, UAL dan mendapatkan ARIN untuk memberi Anda jangkauan global sendiri, itu berarti alamat ipv6 pada semua sistem pada komputer Anda akan berasal dari kisaran yang disediakan oleh ISP Anda. Apa yang akan terjadi jika Anda mengganti ISP Anda? Apakah itu berarti Anda harus mengubah seluruh rentang alamat lan Anda?
Di toko windows ipv4 khas saya mungkin memiliki situasi seperti:
Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls
Site1: Lan IP, Public IP:Port
Hardware firewall/router - 192.168.1.1, 11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email) - 192.168.1.11, 11.12.13.2:25+443
Windows RDS (term server) - 192.168.1.12, 11.12.13.3:3389
Workstations (via DHCP) - 192.168.1.100+
Site2:
Hardware firewall/router - 10.0.0.1, 20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver) - 10.0.0.11, 20.30.40.2:80
Workstations (via DHCP) - 10.0.0.100+
Server telah menetapkan lan ips secara statis, server DNS harus dan yang lain juga, karena firewall melakukan port forwarding ke server melalui alamat ip yang Anda ketikkan (vs nama host).
Sekarang jika saya ingin mengatur ini sebagai lingkungan IPv6 saja? Apakah semuanya akan tetap sama dengan server yang ditetapkan secara statis dan dhcpv6 ke workstation?
Tetapi kemudian jika saya beralih ke ISP lain apakah itu berarti saya harus mengubah alamat ip untuk semua server? Bagaimana jika saya memiliki 100 server? Saya kira saya dapat menggunakan dhcpv6 di server tapi saya belum melihat firewall kelas biz yang memungkinkan port forwarding melalui nama host atau dns internal (sonicwall, juniper, cisco, dll) hanya ip lokal (minimal untuk ipv4). Dan server DNS masih membutuhkan ips statis.
Juga bukankah itu berarti bahwa selama transisi mengubah IP IP dan IP6, server saya mungkin mengirim lalu lintas IP melalui internet ke blok lama saya karena tidak lagi IP lokal? Setidaknya dalam hal teknis, saya mengerti itu tidak mungkin seseorang akan menggunakan blok lama itu dengan cepat dan dapat diblokir di firewall.
Saya kedengarannya akan bagus bagi semua orang untuk mendapatkan perm blok IPv6 yang ditugaskan untuk mereka sendiri, tetapi saya mengerti itu akan membuat tabel routing global menjadi luar biasa besar.
Pembaruan Berdasarkan jawaban di bawah ini, saya memperbarui contoh lokasi di atas dan ini setara dengan ipv6?
Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls
Site1: Link-Local, ULA, Public
Hardware firewall/router - fe80::1, fd80::ABCD:1, 2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10, fd80::ABCD:10, 2000:1112:1301::A
Windows Exchange (email) - fe80::11, fd80::ABCD:11, 2000:1112:1301::B
Windows RDS (term server) - fe80::12, fd80::ABCD:12, 2000:1112:1301::C
Workstations (via DHCP) - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+
Site2: Link-Local, ULA, Public
Hardware firewall/router - fe80::1, fd80::ABCD:2, 2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10, fd80::ABCD:20, 2000:2030:4001::A
Windows IIS (webserver) - fe80::11, fd80::ABCD:21, 2000:2030:4001::B
Workstations (via DHCP) - fe80::100+, fd80::ABCD:2xx, 2000:2030:4001::10+
Setiap sistem yang dimiliki masing-masing situs akan berbicara melalui Tautan-Lokal, Situs-ke-Situs akan berbicara satu sama lain ULA (dienkripsi oleh VPN) dan dunia (termasuk layanan) akan berbicara melalui IP Publik?
fe80::/64
dan alamat IP yang ditugaskan ISP Anda tidak relevan. Untuk pusat data, mengubah ISP selalu merupakan pekerjaan besar, jadi ada sedikit perubahan di sana.Untuk layanan internal (server terminal, server surat internal, printer, proksi web, dll.) Anda dapat menggunakan alamat lokal situs dalam blok lokal unik di bawah fd00: / 8. Ini dirancang untuk memiliki blok / 48 yang dihasilkan dari mana Anda dapat mengukir / 64s untuk masing-masing situs. Anda dapat memiliki ribuan situs menggunakan model ini dari satu / 64. Server dan layanan yang menggunakan skema pengalamatan ini akan kebal dari perubahan ISP. Anda harus menyambungkan alamat-alamat ini antar situs jika situs terhubung melalui Internet.
CATATAN: Blok lokal unik mengalami masalah yang sama dengan blok alamat IPv4 pribadi. Namun, jika Anda mengacak 40 bit yang mengikuti
FD
, sangat tidak mungkin Anda akan mengalami tabrakan.Mesin klien tidak perlu alamat IP yang konsisten di Internet. Ada opsi privasi yang akan menghasilkan alamat baru secara berkala untuk membuat penelusuran klien dengan istirahat alamat IP. Jika router Anda menjalankan layanan radvd (Router Advertising Daemon), maka klien Anda dapat membuat alamatnya sendiri. (Iklan router mengidentifikasi gateway, dan dapat memberikan daftar server DNS.) IPv6 dengan
radvd
menggantikan layanan DHCP dasar. Zero config dapat digunakan untuk memungkinkan ditemukannya banyak layanan yang akan diumumkan oleh DHCP. Alamat mesin klien harus berada di blok alamat yang berbeda / 64 daripada yang digunakan server yang dapat diakses Internet Anda.DMZ (De-Militarized Zone) adalah tempat server dan layanan Anda yang dapat diakses Internet berada. Alamat-alamat ini kemungkinan akan berubah ketika ISP Anda berubah. Ini mungkin berada dalam satu / 64 yang akan membuat mengubah alamat lebih mudah. Karena IPv6 memerlukan dukungan beberapa alamat, Anda dapat menghubungkan ISP baru Anda dan melakukan pergantian secara teratur sebelum memutuskan koneksi ISP asli.
Anda dapat menggunakan nilai apa pun yang ingin Anda bedakan antara DMZ dan zona host Anda. Anda dapat menggunakan 0 untuk DMZ seperti yang saya lakukan untuk situs 2 di atas. ISP Anda mungkin menyediakan blok yang lebih kecil dari / 48. RFC menyarankan agar mereka dapat membagi / 64 dan mengalokasikan / 56s. Ini akan membatasi rentang yang Anda miliki untuk dialokasikan / 64s.
sumber