IPv6 tanpa nat tetapi bagaimana dengan perubahan ISP?

12

Saya belum pernah bekerja dengan IPv6 di luar tunneling 4to6 di komputer rumah saya dengan hal-hal seperti GoGoNet. Saya sudah membaca tentang cara kerjanya secara umum. Tidak diperlukan NAT (atau yang disarankan) dan setiap klien menggunakan alamat IPv6 publik dan saya memahami penggunaan firewall yang berkelanjutan. Dari pemahaman saya, tanpa menggunakan NAT, UAL dan mendapatkan ARIN untuk memberi Anda jangkauan global sendiri, itu berarti alamat ipv6 pada semua sistem pada komputer Anda akan berasal dari kisaran yang disediakan oleh ISP Anda. Apa yang akan terjadi jika Anda mengganti ISP Anda? Apakah itu berarti Anda harus mengubah seluruh rentang alamat lan Anda?

Di toko windows ipv4 khas saya mungkin memiliki situasi seperti:

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

Server telah menetapkan lan ips secara statis, server DNS harus dan yang lain juga, karena firewall melakukan port forwarding ke server melalui alamat ip yang Anda ketikkan (vs nama host).

Sekarang jika saya ingin mengatur ini sebagai lingkungan IPv6 saja? Apakah semuanya akan tetap sama dengan server yang ditetapkan secara statis dan dhcpv6 ke workstation?

Tetapi kemudian jika saya beralih ke ISP lain apakah itu berarti saya harus mengubah alamat ip untuk semua server? Bagaimana jika saya memiliki 100 server? Saya kira saya dapat menggunakan dhcpv6 di server tapi saya belum melihat firewall kelas biz yang memungkinkan port forwarding melalui nama host atau dns internal (sonicwall, juniper, cisco, dll) hanya ip lokal (minimal untuk ipv4). Dan server DNS masih membutuhkan ips statis.

Juga bukankah itu berarti bahwa selama transisi mengubah IP IP dan IP6, server saya mungkin mengirim lalu lintas IP melalui internet ke blok lama saya karena tidak lagi IP lokal? Setidaknya dalam hal teknis, saya mengerti itu tidak mungkin seseorang akan menggunakan blok lama itu dengan cepat dan dapat diblokir di firewall.

Saya kedengarannya akan bagus bagi semua orang untuk mendapatkan perm blok IPv6 yang ditugaskan untuk mereka sendiri, tetapi saya mengerti itu akan membuat tabel routing global menjadi luar biasa besar.

Pembaruan Berdasarkan jawaban di bawah ini, saya memperbarui contoh lokasi di atas dan ini setara dengan ipv6?

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

Setiap sistem yang dimiliki masing-masing situs akan berbicara melalui Tautan-Lokal, Situs-ke-Situs akan berbicara satu sama lain ULA (dienkripsi oleh VPN) dan dunia (termasuk layanan) akan berbicara melalui IP Publik?

Halfdone
sumber

Jawaban:

10

Pasti ada beberapa mekanisme untuk membantu Anda di sini.

Untuk lalu lintas LAN internal, antara sistem di jaringan Anda, ada Alamat Lokal Unik. Pikirkan mereka seperti alamat RFC1918; mereka hanya akan bekerja dalam jaringan Anda. Anda dapat menggunakan alamat ini untuk komunikasi apa pun di dalam batas jaringan Anda; hanya mengukir beberapa jaring dari fd00::/8dan minta router Anda mulai mengiklankannya.

Dalam penyebaran normal, ini berarti bahwa semua node Anda memiliki (setidaknya) 3 alamat IPv6; fe80::/64alamat tautan-lokal (yang hanya dapat berbicara dengan node lain di domain siarannya), fd00::/8alamat lokal yang unik (yang dapat berbicara dengan semua yang ada di LAN Anda), dan alamat publik.

Sekarang, ini masih berarti Anda memberi nomor baru semuanya ketika Anda mengganti ISP (yang Anda lakukan sekarang juga untuk node yang dapat dialamatkan publik dengan asumsi Anda tidak memiliki ruang IPv4), hanya saja Anda tidak perlu khawatir tentang semua internal komunikasi, yang dapat tetap berada pada jangkauan Unique Local.

Itu mungkin mencakup kekhawatiran Anda - tetapi ada juga proposal NPTv6, yang saat ini ada RFC eksperimental . Ini akan memungkinkan Anda untuk menerjemahkan awalan publik ke rentang pribadi di tepi jaringan, yang berarti tidak ada penomoran ulang secara internal ketika Anda mengganti ISP, dan kemampuan untuk menggunakan beberapa ISP dengan alamat yang berbeda secara mulus (baik secara permanen atau selama periode transisi untuk penyedia) perubahan).

Shane Madden
sumber
1
+1 - Fakta sederhananya adalah, untuk jaringan rumah kecil, Anda hanya akan menggunakan tautan alamat lokal fe80::/64dan alamat IP yang ditugaskan ISP Anda tidak relevan. Untuk pusat data, mengubah ISP selalu merupakan pekerjaan besar, jadi ada sedikit perubahan di sana.
Mark Henderson
1
Saat menggunakan fd00 :: / 8 (ULA) Anda seharusnya membuat blok alamat semi-acak / 48. Anda dapat menggunakan ie sixxs.net/tools/grh/ula untuk menghasilkan blok alamat ULA dengan algoritma standar-konforman. Gunakan alamat ULA untuk komunikasi internal (server file, dll) dan terowongan VPN situs-ke-situs, dan gunakan alamat publik untuk mengakses internet. Maka Anda hanya perlu memberi nomor baru layanan publik saat mengganti ISP (seperti situs web yang dihosting secara lokal dan titik akhir terowongan VPN, tetapi tidak semua kebijakan firewall ke ruang alamat ULA Anda)
Sander Steffann
ah, ok saya tidak memikirkan hanya beberapa alamat ipv6 per host. Saya memperbarui contoh dan menambahkan pemahaman saya tentang apa set setara untuk ipv6. Beri tahu saya jika saya membuat notasi saya benar. Kedengarannya seperti pengaturan VPN akan sangat mudah dengan firewall hanya perlu mengenkripsi data di UAL. Akan membaca tentang hal-hal NPTv6 juga.
Halfdone
6

Untuk layanan internal (server terminal, server surat internal, printer, proksi web, dll.) Anda dapat menggunakan alamat lokal situs dalam blok lokal unik di bawah fd00: / 8. Ini dirancang untuk memiliki blok / 48 yang dihasilkan dari mana Anda dapat mengukir / 64s untuk masing-masing situs. Anda dapat memiliki ribuan situs menggunakan model ini dari satu / 64. Server dan layanan yang menggunakan skema pengalamatan ini akan kebal dari perubahan ISP. Anda harus menyambungkan alamat-alamat ini antar situs jika situs terhubung melalui Internet.

CATATAN: Blok lokal unik mengalami masalah yang sama dengan blok alamat IPv4 pribadi. Namun, jika Anda mengacak 40 bit yang mengikuti FD, sangat tidak mungkin Anda akan mengalami tabrakan.

Mesin klien tidak perlu alamat IP yang konsisten di Internet. Ada opsi privasi yang akan menghasilkan alamat baru secara berkala untuk membuat penelusuran klien dengan istirahat alamat IP. Jika router Anda menjalankan layanan radvd (Router Advertising Daemon), maka klien Anda dapat membuat alamatnya sendiri. (Iklan router mengidentifikasi gateway, dan dapat memberikan daftar server DNS.) IPv6 dengan radvdmenggantikan layanan DHCP dasar. Zero config dapat digunakan untuk memungkinkan ditemukannya banyak layanan yang akan diumumkan oleh DHCP. Alamat mesin klien harus berada di blok alamat yang berbeda / 64 daripada yang digunakan server yang dapat diakses Internet Anda.

DMZ (De-Militarized Zone) adalah tempat server dan layanan Anda yang dapat diakses Internet berada. Alamat-alamat ini kemungkinan akan berubah ketika ISP Anda berubah. Ini mungkin berada dalam satu / 64 yang akan membuat mengubah alamat lebih mudah. Karena IPv6 memerlukan dukungan beberapa alamat, Anda dapat menghubungkan ISP baru Anda dan melakukan pergantian secara teratur sebelum memutuskan koneksi ISP asli.

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

Anda dapat menggunakan nilai apa pun yang ingin Anda bedakan antara DMZ dan zona host Anda. Anda dapat menggunakan 0 untuk DMZ seperti yang saya lakukan untuk situs 2 di atas. ISP Anda mungkin menyediakan blok yang lebih kecil dari / 48. RFC menyarankan agar mereka dapat membagi / 64 dan mengalokasikan / 56s. Ini akan membatasi rentang yang Anda miliki untuk dialokasikan / 64s.

BillThor
sumber