12 votos

IPv6 sin nat, pero ¿qué acerca de un isp cambio?

No he trabajado con IPv6 fuera de 4to6 el túnel en la pc de mi casa con cosas como GoGoNet. He leído acerca de cómo funciona de una manera general. No NAT necesario (o sugiere) y cada cliente utiliza una dirección pública de ipv6 y entiendo que el uso continuado de los firewalls. Desde mi entender, sin el uso de NAT, la UAL y llegar ARIN para darle propia rango global, que significaría la dirección ipv6 en todos los sistemas en su lan sería a partir de un rango proporcionado por su isp. Qué ocurriría en el caso de que usted cambie su proveedor? ¿Eso significa que usted tiene que cambiar toda la lan rango de direcciones?

En un típico ipv4 windows de la tienda que yo podría tener una situación como tal:

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

Los servidores tienen asignadas lan ip, los servidores DNS que tiene y a los demás también, ya que el firewall de reenvío de puertos para servidores a través de las direcciones ip que usted escriba (vs nombres de host).

Ahora, si yo quería para la instalación de este como un solo ipv6 medio ambiente? Haría todo lo que sigue, ser el mismo que el asignado estáticamente y servidores dhcpv6 para estaciones de trabajo?

Pero entonces, si me cambio a otro proveedor que tengo que cambiar la dirección ip de todos los servidores? Lo que si tengo 100 servidores? Supongo que puedo usar dhcpv6 en los servidores pero no he visto biz clase de firewall que permite el reenvío de puertos a través de nombre de host o dns interno (sonicwall, juniper, cisco, etc) sólo la dirección ip local (al menos para ipv4). Servidor de DNS y todavía necesitan direcciones ip estática eitherway.

También no significa que durante la transición de cambio de lan ipv6 ips, mis servidores podría ser el envío de tráfico de la lan a través de internet a mi antiguo bloque ya que no es más de área local (lan? Al menos en términos técnicos, entiendo que es improbable que alguien utilice el antiguo bloque que rápidamente y que puede ser bloqueado en el firewall.

Me suena como que podría ser ideal para todo el mundo para conseguir sus propios perm ipv6 asignada bloque, pero entiendo que sería la tabla de enrutamiento unusably grande.

Actualización Basado en las respuestas de abajo, he actualizado la ubicación del ejemplo anterior y lo que esta sería la ipv6 equivalente?

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

Cada sitio propios sistemas, quisiera hablar a través de un Enlace Local, de Sitio a Sitio a hablar con cada uno de los otros ULA (cifrados por la red VPN) y el mundo (incluyendo servicios) puede hablar a través de IPs Públicas?

18voto

BillThor Puntos 15761

Para los servicios internos (los servidores de terminal server, servidores de correo interno, impresoras, servidores proxy web, etc.) usted puede utilizar las direcciones locales de sitio dentro de un único bloque local bajo fd00:/8. Esto está diseñado para tener un /48 bloque generado a partir de la cual se puede tallar /64s para sitios individuales. Usted puede tener miles de sitios que utilizan este modelo a partir de un único /64. Servidores y servicios utilizando este esquema de direccionamiento sería inmune a partir de un cambio en el ISP. Usted necesitará túnel estas direcciones entre los sitios si los sitios están conectados a través de Internet.

NOTA: el Único local de bloques con los mismos problemas que el IPv4 direcciones privadas bloques. Sin embargo, si usted aleatorizar el 40 bits siguientes FD, es muy poco probable que usted tendrá una colisión.

Las máquinas cliente no necesita consistente direcciones IP en Internet. Hay opciones de privacidad, lo que generará nuevas direcciones periódicamente para hacer seguimiento de los clientes mediante la dirección de IP de descanso. Si los enrutadores ejecutar un radvd (Demonio de Anuncio de Enrutador) de servicio, luego de que sus clientes puedan generar su propia dirección. (Anuncios de enrutador identificar la puerta de entrada, y puede proporcionar una lista de los servidores DNS.) IPv6 con radvd reemplaza básica de los servicios DHCP. Zero config puede ser utilizado para permitir el descubrimiento de muchos de los servicios de DHCP sería utilizado para anunciar. Las direcciones de los equipos cliente deben estar en diferentes /64 bloques de direcciones de tu accesible en Internet, servidores de uso.

La DMZ (Zona desmilitarizada) es donde el acceso a Internet de servidores y servicios debe residir. Estas direcciones probablemente va a cambiar cuando su ISP cambios. Estos pueden residir dentro de un /64 que va a hacer el cambio de las direcciones más simple. Como IPv6 requiere de múltiples direcciones de apoyo, usted puede conectar su nuevo proveedor de internet y realizar la transición de una forma ordenada antes de desconectar el original de la conexión del ISP.

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

Usted puede puede utilizar cualquier valor que usted desea para discriminar entre la DMZ y su anfitrión zona(s). Usted podría utilizar 0 para la DMZ como la hice para el sitio 2 de arriba. Su ISP puede proporcionar un pequeño bloque de un /48. El Rfc sugieren que pueden subdividir a /64 y asignar / ' 56. Esto podría restringir el rango que tiene disponible para asignar /64s.

10voto

Shane Madden Puntos 81409

Definitivamente hay algunos mecanismos en el lugar para ayudarle a salir aquí.

Para la LAN interna de tráfico, entre los sistemas en la red, hay Direcciones Locales Únicas. Piense en ellos como direcciones RFC1918; sólo funcionan dentro de su red. Usted será capaz de utilizar estas direcciones para cualquier comunicación dentro de sus fronteras de la red; sólo tallar algunas redes de fd00::/8 y tienen sus routers comenzar a hacer publicidad de ellos.

En una normal de implementación, esto significa que los nodos poseen (al menos) 3 direcciones IPv6; un vínculo local- fe80::/64 dirección (que sólo puede hablar con otros nodos en su dominio de difusión), un único local fd00::/8 dirección (que puede hablar de todo en su LAN), y una dirección pública.

Ahora, esto significa que usted está renumeración todo al cambiar de Isp (el que se está haciendo ahora de todos modos abierta al público nodos suponiendo que usted no es dueño de espacio de direcciones IPv4), sólo que usted no necesita preocuparse sobre todo de la comunicación interna, la cual puede permanecer en el Único Local de la gama.

Que puedan cubrir sus preocupaciones pero también existe la NPTv6 propuesta, para lo cual en la actualidad existe un experimentales RFC. Esto le permitirá traducir el público prefijos para los rangos privados en el borde de la red, es decir, sin renumeración internamente al cambiar de Isp, y la capacidad de utilizar múltiples ISPs con diferentes direcciones asignadas a la perfección (ya sea de forma permanente o durante un período de transición para un proveedor de cambiar).

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: