IPv6 senza nat ma che dire di una modifica isp?

12

Non ho lavorato con IPv6 al di fuori del tunneling 4to6 sul mio PC di casa con cose come GoGoNet. Ho letto di come funziona in modo generale. Nessun NAT richiesto (o suggerito) e ogni client utilizza un indirizzo IPv6 pubblico e capisco l'uso continuato dei firewall. Da quanto ho capito, senza l'uso di NAT, UAL e la possibilità che ARIN ti fornisse il proprio raggio globale, ciò significherebbe che l'indirizzo ipv6 su tutti i sistemi sulla tua lan verrebbe da un intervallo fornito dal tuo isp. Cosa succederebbe se cambiassi il tuo ISP? Ciò significherebbe che devi cambiare l'intero intervallo di indirizzi lan?

In un tipico negozio di windows ipv4 potrei avere una situazione del genere:

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

I server sono stati assegnati in modo statico a LAN ips, i server DNS devono farlo e anche gli altri, dal momento che il firewall esegue il port forwarding ai server tramite indirizzi IP digitati (vs nomi host).

Ora, se volessi configurare questo come un ambiente solo ipv6? Sarebbe sempre lo stesso con i server assegnati staticamente e dhcpv6 alle workstation?

Ma allora se passo a un altro isp ciò significherebbe che devo cambiare l'indirizzo IP per tutti i server? Cosa succede se ho 100 server? Immagino di poter usare dhcpv6 sui server ma non ho visto un firewall di classe biz che permettesse il port forwarding tramite hostname o dns interno (sonicwall, juniper, cisco, ecc.) Solo ip locale (almeno per ipv4). E il server DNS ha ancora bisogno di ips statici comunque.

Inoltre ciò non significherebbe che durante la transizione del cambio di IP LAN IPV6, i miei server potrebbero inviare il traffico LAN su Internet al mio vecchio blocco dal momento che non è più LAN locale? Almeno in termini tecnici, capisco che è improbabile che qualcuno utilizzi il vecchio blocco così rapidamente e che possa essere bloccato sul firewall.

Sembra che sarebbe fantastico per tutti ottenere il proprio blocco ipv6 assegnato a perm, ma capisco che renderebbe la tabella di routing globale insolitamente grande.

Aggiornamento In base alle risposte di seguito, ho aggiornato la posizione di esempio sopra e quindi questo sarebbe l'equivalente ipv6?

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

Ogni sistema del sito parlerebbe tramite Link-Local, Site-to-Site parlerebbe tra loro ULA (codificato dalla VPN) e il mondo (compresi i servizi) parlerebbe tramite IP pubblici?

nat  ipv6 
Fatto a metà
fonte

Risposte:

10

Ci sono sicuramente alcuni meccanismi in atto per aiutarti qui.

Per il traffico LAN interno, tra i sistemi sulla tua rete, ci sono Indirizzi locali unici. Pensali come indirizzi RFC1918; funzioneranno solo all'interno della tua rete. Sarai in grado di utilizzare questi indirizzi per qualsiasi comunicazione all'interno dei confini della tua rete; basta ritagliare alcune reti fd00::/8e fare in modo che i router inizino a pubblicizzarle.

In una distribuzione normale, ciò significa che tutti i tuoi nodi possiedono (almeno) 3 indirizzi IPv6; un fe80::/64indirizzo locale di collegamento (che può comunicare solo con altri nodi nel suo dominio di trasmissione), un fd00::/8indirizzo locale univoco (che può comunicare con qualsiasi cosa nella LAN) e un indirizzo pubblico.

Ora, questo significa ancora che stai rinumerando tutto quando cambi ISP (cosa che stai facendo ora comunque per nodi indirizzabili pubblicamente supponendo che non possiedi lo spazio IPv4), solo che non devi preoccuparti di tutto l'interno comunicazione, che può rimanere nella gamma Unique Local.

Ciò potrebbe coprire le tue preoccupazioni, ma c'è anche la proposta NPTv6, per la quale esiste attualmente un RFC sperimentale . Ciò consentirebbe di tradurre i prefissi pubblici negli intervalli privati ​​ai margini della rete, il che significa che non è possibile rinumerare internamente quando si cambiano gli ISP e la possibilità di utilizzare più ISP con indirizzi assegnati diversi senza soluzione di continuità (in modo permanente o durante un periodo di transizione per un provider modificare).

Shane Madden
fonte
1
+1 - Il semplice fatto è che, per una piccola rete domestica, userete semplicemente gli indirizzi locali di collegamento fe80::/64e gli indirizzi IP assegnati all'ISP sono abbastanza irrilevanti. Tuttavia, per un datacenter, cambiare ISP è sempre stato un grosso lavoro, quindi anche lì c'è poco cambiamento.
Mark Henderson
1
Quando si utilizza fd00 :: / 8 (ULA), si dovrebbe generare un blocco di indirizzi semi-casuale / 48. È possibile utilizzare ie sixxs.net/tools/grh/ula per generare un blocco di indirizzi ULA con un algoritmo conforme agli standard. Utilizzare gli indirizzi ULA per la comunicazione interna (file server ecc.) E tunnel VPN da sito a sito e utilizzare gli indirizzi pubblici per accedere a Internet. Quindi dovrai rinumerare i servizi realmente pubblici solo quando cambi ISP (come siti Web ospitati localmente e gli endpoint dei tunnel VPN, ma non tutte le politiche del firewall nello spazio degli indirizzi ULA)
Sander Steffann,
ah, ok non pensavo solo a più indirizzi ipv6 per host. Ho aggiornato l'esempio e ho aggiunto la mia comprensione di quale set equivalente per ipv6. Fammi sapere se sto ottenendo la mia notazione giusta. Sembra anche che le impostazioni VPN sarebbero molto facili con il firewall che ha solo bisogno di crittografare i dati nell'UAL. Leggerà anche su cose NPTv6.
Halfdone,
6

Per i servizi interni (terminal server, server di posta interni, stampanti, proxy Web, ecc.) È possibile utilizzare gli indirizzi locali del sito all'interno di un blocco locale univoco in fd00: / 8. Questo è progettato per avere un blocco / 48 generato da cui è possibile ritagliare / 64s per singoli siti. Puoi avere migliaia di siti usando questo modello da un singolo / 64. I server e i servizi che utilizzano questo schema di indirizzamento sarebbero immuni da un cambiamento dell'ISP. Sarà necessario eseguire il tunneling di questi indirizzi tra i siti se i siti sono connessi via Internet.

NOTA: i blocchi locali univoci incontrano gli stessi problemi dei blocchi di indirizzi privati ​​IPv4. Tuttavia, se randomizzi i seguenti 40 bit FD, è altamente improbabile che tu abbia una collisione.

I computer client non richiedono indirizzi IP coerenti su Internet. Esistono opzioni di privacy che genereranno periodicamente nuovi indirizzi per rendere la traccia dei client interrotta dall'indirizzo IP. Se i router eseguono un servizio radvd (Router Advertisement Daemon), i client possono generare il proprio indirizzo. (Gli annunci router identificano il gateway e possono fornire un elenco di server DNS.) IPv6 radvdsostituisce i servizi DHCP di base. La configurazione zero può essere utilizzata per consentire il rilevamento di molti servizi che DHCP verrà utilizzato per annunciare. Gli indirizzi dei computer client devono trovarsi in blocchi di indirizzi diversi / 64 rispetto a quelli utilizzati dai server accessibili su Internet.

La DMZ (De-Militarized Zone) è la sede dei server e dei servizi accessibili da Internet. Questi indirizzi probabilmente cambieranno quando cambi il tuo ISP. Questi possono risiedere in un singolo / 64 che renderà più semplice la modifica degli indirizzi. Poiché IPv6 richiede il supporto di più indirizzi, è possibile connettere il nuovo ISP ed eseguire la commutazione in modo ordinato prima di disconnettere la connessione ISP originale.

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

È possibile utilizzare qualsiasi valore che si desidera discriminare tra la DMZ e le zone host. Puoi usare 0 per la DMZ come ho fatto per il sito 2 sopra. L'ISP può fornire un blocco più piccolo di un / 48. Le RFC suggeriscono di poter suddividere a / 64 e allocare / 56s. Ciò limiterebbe l'intervallo disponibile per allocare / 64s.

BillThor
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.