NAT가없는 IPv6이지만 ISP 변경은 어떻습니까?

12

GoGoNet과 같은 것들이있는 가정용 PC에서 4to6 터널 외부의 IPv6을 사용하지 않았습니다. 일반적인 방식으로 작동하는 방식에 대해 읽었습니다. NAT가 필요하지 않거나 제안되지 않았으며 각 클라이언트는 공용 ipv6 주소를 사용하며 방화벽의 지속적인 사용을 이해합니다. 내 이해에서 NAT, UAL을 사용하지 않고 ARIN이 자체 전역 범위를 제공하도록하면 LAN에있는 모든 시스템의 ipv6 주소가 isp에서 제공 한 범위에 있음을 의미합니다. ISP를 변경하면 어떻게됩니까? 전체 LAN 주소 범위를 변경해야합니까?

전형적인 ipv4 windows shop에서 다음과 같은 상황이있을 수 있습니다.

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

방화벽은 사용자가 입력 한 IP 주소 (호스트 이름)를 통해 서버로 포트 포워딩하기 때문에 LAN IP를 정적으로 할당하고 DNS 서버에 다른 IP 서버를 할당합니다.

이제 이것을 ipv6 전용 환경으로 설정하고 싶습니까? 정적으로 할당 된 서버 및 dhcpv6을 사용하여 워크 스테이션에 모든 것이 여전히 동일합니까?

그러나 다른 ISP로 전환하면 모든 서버의 IP 주소를 변경해야합니까? 서버가 100 개인 경우 어떻게합니까? 서버에서 dhcpv6을 사용할 수 있다고 생각하지만 호스트 이름 또는 내부 DNS (SonicWall, Juniper, Cisco 등)를 통한 포트 전달을 허용하는 biz 클래스 방화벽을 보지 못했습니다. 그리고 DNS 서버는 여전히 정적 IP가 필요합니다.

또한 lan ipv6 ip 변경을 전환하는 동안 서버가 더 이상 로컬 lan이 아니기 때문에 인터넷을 통해 lan 트래픽을 이전 블록으로 전송하고 있음을 의미하지 않습니까? 기술적 인 용어로, 누군가가 이전 블록을 빠르게 사용하지 않을 가능성이 높고 방화벽에서 차단 될 수 있음을 이해합니다.

모든 사람들이 자신의 perm에 ipv6 블록을 할당하는 것이 좋을 것 같지만 전역 라우팅 테이블을 사용할 수 없게 만들 것이라고 생각합니다.

업데이트 아래 답변을 기반으로 위의 예제 위치를 업데이트 했으므로 ipv6에 해당합니까?

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

각 사이트 자체 시스템은 Link-Local을 통해 통신하고 Site-to-Site는 서로 ULA (VPN으로 잠정)와 통신하고 세계 (서비스 포함)는 공용 IP를 통해 통신합니까?

nat ipv6

— 하프 돈
소스

10

여기 당신을 도울 수있는 메커니즘이 분명히 있습니다.

내부 LAN 트래픽의 경우 네트워크의 시스템간에 고유 한 로컬 주소가 있습니다. 그것들을 RFC1918 주소처럼 생각하십시오. 그들은 당신의 네트워크 내에서만 작동합니다. 네트워크 경계 내에서 통신 할 때이 주소를 사용할 수 있습니다. 네트를 깎아서 fd00::/8라우터가 광고를 시작하도록하십시오.

정상적인 배포에서는 노드가 모두 적어도 3 개의 IPv6 주소를 소유하고 있음을 의미합니다. 링크 로컬 fe80::/64주소 (브로드 캐스트 도메인의 다른 노드와 만 통신 할 수 있음), 고유 한 로컬 fd00::/8주소 (LAN의 모든 항목과 통신 할 수 있음) 및 공용 주소

이제 이것은 여전히 ISP를 변경할 때 (IPv4 공간이 없다고 가정하여 공개적으로 주소 지정 가능한 노드에 대해 수행하고 있음) 모든 번호를 다시 매기는 것을 의미합니다. 단지 내부의 모든 것에 대해 걱정할 필요가 없습니다. 통신은 고유 로컬 범위에 머무를 수 있습니다.

그것은 당신의 관심사를 포함 할 수도 있지만 현재 실험적인 RFC 가있는 NPTv6 제안도 있습니다 . 이렇게하면 공용 접두사를 네트워크 에지에서 개인 범위로 변환 할 수 있습니다. 즉, ISP를 변경할 때 내부적으로 번호를 다시 매길 필요가 없으며, 서로 다른 주소를 가진 여러 ISP를 완벽하게 (공급 업체의 영구 또는 전환 기간 동안) 완벽하게 사용할 수 있습니다. 변화).

— 셰인 매든
소스

1

+1-간단한 사실은 소규모 홈 네트워크의 경우 로컬 주소 링크 만 사용하고 fe80::/64ISP 할당 IP 주소는 관련이 없습니다. 그러나 데이터 센터의 경우 ISP 변경은 항상 큰 일이므로 변경 사항이 거의 없습니다.

— Mark Henderson

1

fd00 :: / 8 (ULA)를 사용하는 경우 반 임의 / 48 주소 블록을 생성해야합니다. 예를 들어 sixxs.net/tools/grh/ula 를 사용 하여 표준 준수 알고리즘으로 ULA 주소 블록을 생성 할 수 있습니다 . 내부 통신 (파일 서버 등) 및 사이트 간 VPN 터널에는 ULA 주소를 사용하고 인터넷에 액세스하려면 공용 주소를 사용하십시오. 그런 다음 ISP를 변경할 때 (공개 호스팅 된 웹 사이트 및 VPN 터널의 엔드 포인트와 같은 ULA 주소 공간에 대한 모든 방화벽 정책은 아님) 공용 서비스의 번호 만 다시 지정하면됩니다.

— Sander Steffann

아, 좋아, 호스트 당 여러 개의 ipv6 주소를 생각하지 않았습니다. 예제를 업데이트하고 ipv6에 대한 동등한 세트에 대한 이해를 추가했습니다. 표기법이 올바른지 알려주세요. 방화벽이 UAL의 데이터를 암호화하기 만하면 VPN 설정이 매우 쉽습니다. NPTv6 관련 자료도 읽어보십시오.

— Halfdone

6

내부 서비스 (터미널 서버, 내부 메일 서버, 프린터, 웹 프록시 등)의 경우 fd00 : / 8의 고유 로컬 블록 내에서 사이트 로컬 주소를 사용할 수 있습니다. 개별 사이트에 대해 / 64를 조각 할 수있는 / 48 블록이 생성되도록 설계되었습니다. 단일 / 64에서이 모델을 사용하여 수천 개의 사이트를 보유 할 수 있습니다. 이 주소 지정 체계를 사용하는 서버와 서비스는 ISP의 변화에 영향을받지 않습니다. 사이트가 인터넷을 통해 연결된 경우 사이트간에 이러한 주소를 터널링해야합니다.

참고 : 고유 로컬 블록은 IPv4 개인 주소 블록과 동일한 문제가 발생합니다. 그러나 다음 40 비트를 랜덤 화하면 FD충돌 가능성이 거의 없습니다.

클라이언트 컴퓨터는 인터넷에서 일관된 IP 주소가 필요하지 않습니다. IP 주소를 기준으로 클라이언트를 추적하기 위해 정기적으로 새 주소를 생성하는 개인 정보 옵션이 있습니다. 라우터가 radvd (라우터 알림 데몬) 서비스를 실행하면 클라이언트가 자신의 주소를 생성 할 수 있습니다. (라우터 알림은 게이트웨이를 식별하고 DNS 서버 목록을 제공 할 수 있습니다.) IPv6이 radvd기본 DHCP 서비스 를 대체합니다. 제로 구성을 사용하면 DHCP를 사용하여 많은 서비스를 발견 할 수 있습니다. 클라이언트 컴퓨터의 주소는 인터넷 액세스 서버에서 사용하는 것과 다른 / 64 주소 블록에 있어야합니다.

DMZ (De-Militarized Zone)는 인터넷 액세스 서버와 서비스가 상주하는 곳입니다. ISP가 변경되면이 주소가 변경 될 수 있습니다. 이것들은 단일 / 64 내에 상주하여 주소를 간단하게 변경할 수 있습니다. IPv6에는 여러 주소 지원이 필요하므로 원래 ISP 연결을 끊기 전에 새 ISP를 연결하고 순서대로 전환을 수행 할 수 있습니다.

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

DMZ와 호스트 영역을 구별하려는 값을 사용할 수 있습니다. 위 사이트 2에서와 같이 DMZ에 0을 사용할 수 있습니다. ISP가 / 48보다 작은 블록을 제공 할 수 있습니다. RFC는 / 64를 세분화하고 / 56을 할당 할 수 있다고 제안합니다. / 64를 할당 할 수있는 범위가 제한됩니다.

— BillThor
소스