NATなしのIPv6ですが、ISPの変更はどうですか?

12

GoGoNetのようなものを使って自宅のPCで4to6トンネリング以外のIPv6を使ったことはありません。一般的な方法でどのように機能するかについて読みました。NATは不要(または推奨)であり、各クライアントはパブリックipv6アドレスを使用し、ファイアウォールの継続的な使用を理解しています。私の理解では、NAT、UALを使用せず、ARINを使用して独自のグローバル範囲を提供することなく、LAN上のすべてのシステムのipv6アドレスは、ISPが提供する範囲からのものになります。ISPを変更した場合はどうなりますか?LANアドレス範囲全体を変更する必要があるということですか?

典型的なipv4ウィンドウショップでは、次のような状況になります。

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

ファイアウォールはユーザーが入力したIPアドレス(vsホスト名)を介してサーバーにポート転送するため、サーバーには静的にlan ipsが割り当てられ、DNSサーバーにも静的に割り当てられます。

これをipv6のみの環境としてセットアップしたい場合はどうすればよいですか?ワークステーションに静的に割り当てられたサーバーとdhcpv6を使用しても、すべてが同じになりますか?

しかし、別のispに切り替えると、すべてのサーバーのIPアドレスを変更する必要がありますか?100台のサーバーがある場合はどうなりますか?サーバーでdhcpv6を使用できると思いますが、ホスト名または内部DNS(sonicwall、juniper、ciscoなど)を介したポート転送を許可するbizクラスのファイアウォールは、ローカルIP(ipv4の少なくとも)だけではありません。いずれにしても、DNSサーバーには静的IPが必要です。

また、lan ipv6 ipsの変更の移行中に、ローカルLANではなくなったために、サーバーがLANをインターネット経由で古いブロックに送信している可能性があるということではありませんか?少なくとも技術用語では、誰かが古いブロックをすぐに使用し、ファイアウォールでブロックできる可能性は低いと理解しています。

ipv6ブロックが割り当てられた独自のpermを取得することは誰にとっても素晴らしいと思われますが、グローバルルーティングテーブルが使用不可能に大きくなることは理解しています。

更新 以下の回答に基づいて、上の例の場所を更新したので、これはipv6に相当しますか?

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

各サイト独自のシステムはリンクローカルを介して通信し、サイト間は互いにULA(VPNによって暗号化)と通信し、世界(サービスを含む)はパブリックIPを介して通信しますか?

nat  ipv6 
半分終わった
ソース

回答:

10

ここに役立ついくつかのメカニズムが確実に用意されています。

ネットワーク上のシステム間の内部LANトラフィックには、一意のローカルアドレスがあります。RFC1918アドレスのように考えてください。ネットワーク内でのみ機能します。これらのアドレスは、ネットワーク境界内での通信に使用できます。いくつかのネットを切り分けfd00::/8て、ルーターにそれらの広告を開始させるだけです。

通常の展開では、これはすべてのノードが(少なくとも)3つのIPv6アドレスを所有していることを意味します。リンクローカルfe80::/64アドレス(ブロードキャストドメイン上の他のノードとのみ通信可能)、一意のローカルfd00::/8アドレス(LAN内のすべてと通信可能)、およびパブリックアドレス。

これは、ISPを変更するときにすべての番号を付け直していることを意味します(IPv4スペースを所有していないと仮定して、パブリックアドレス指定可能なノードに対してこれを行っています)。内部のすべてを心配する必要はありません。ユニークなローカル範囲にとどまることができるコミュニケーション。

それはあなたの懸念をカバーするかもしれません-しかし、NPTv6の提案もあり、そのために現在実験的なRFCがあります。これにより、ネットワークエッジでパブリックプレフィックスをプライベートレンジに変換できるため、ISPを変更しても内部で番号が付け直されず、異なる割り当てられたアドレスを持つ複数のISPをシームレスに(永続的に、またはプロバイダーの移行期間中に)利用できます変化する)。

シェーン・マッデン
ソース
1
+1-シンプルな事実は、小規模なホームネットワークでは、リンクローカルアドレスfe80::/64を使用するだけで、ISPが割り当てたIPアドレスはかなり無関係です。ただし、データセンターにとっては、ISPの変更は常に大きな仕事でした。そこで、変更もほとんどありません。
マークヘンダーソン
1
fd00 :: / 8(ULA)を使用する場合、アドレスのセミランダム/ 48ブロックを生成することになっています。ie sixxs.net/tools/grh/ulaを使用して、標準に準拠したアルゴリズムでULAアドレスのブロックを生成できます。内部通信(ファイルサーバーなど)およびサイト間VPNトンネルにULAアドレスを使用し、パブリックアドレスを使用してインターネットにアクセスします。次に、あなただけのISPを変更する場合、真に公共サービスの番号を変更する必要があります(ローカルでホストされているウェブサイトやVPNトンネルのエンドポイントと同様に、しかし、あなたのULAのアドレス空間にないすべてのファイアウォールポリシー)
サンダーSteffann
ああ、ホストごとに複数のipv6アドレスがあるとは考えていませんでした。例を更新し、ipv6の同等のセットについての理解を追加しました。表記が正しいかどうか教えてください。また、ファイアウォールでUAL内のデータを暗号化するだけで、VPNのセットアップが非常に簡単になりそうです。NPTv6の内容についても読んでください。
Halfdone
6

内部サービス(ターミナルサーバー、内部メールサーバー、プリンター、Webプロキシなど)の場合、fd00:/ 8の下の一意のローカルブロック内のサイトローカルアドレスを使用できます。これは、個々のサイトの/ 64を切り出すことができる/ 48ブロックを生成するように設計されています。単一の/ 64からこのモデルを使用して、数千のサイトを持つことができます。このアドレス指定スキームを使用するサーバーとサービスは、ISPの変更の影響を受けません。サイトがインターネット経由で接続されている場合、サイト間でこれらのアドレスをトンネリングする必要があります。

注:一意のローカルブロックは、IPv4プライベートアドレスブロックと同じ問題に直面します。ただし、次の40ビットをランダム化FDすると、衝突する可能性はほとんどありません。

クライアントマシンは、インターネット上で一貫したIPアドレスを必要としません。定期的に新しいアドレスを生成するプライバシーオプションがあり、IPアドレスによるクライアントのトレースが中断されます。ルーターがradvd(ルーターアドバタイズデーモン)サービスを実行している場合、クライアントは独自のアドレスを生成できます。(ルーターアドバタイズメントはゲートウェイを識別し、DNSサーバーのリストを提供できます。)radvd基本的なDHCPサービスを置き換えるIPv6 。ゼロ構成を使用すると、DHCPを使用してアナウンスする多くのサービスを検出できます。クライアントマシンのアドレスは、インターネットアクセス可能なサーバーが使用するものとは異なる/ 64アドレスブロックである必要があります。

DMZ(非武装地帯)は、インターネットでアクセス可能なサーバーとサービスが存在する場所です。これらのアドレスは、ISPの変更時に変更される可能性があります。これらは、アドレスの変更をより簡単にする単一の/ 64内に存在する場合があります。IPv6では複数のアドレスのサポートが必要なため、元のISP接続を切断する前に、新しいISPに接続し、順番に切り替えを実行できます。

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

DMZとホストゾーンを区別する任意の値を使用できます。上記のサイト2で行ったように、DMZに0を使用できます。ISPは/ 48よりも小さいブロックを提供する場合があります。RFCでは、/ 64をさらに分割して/ 56を割り当てることを提案しています。これにより、/ 64の割り当てに使用できる範囲が制限されます。

ビルソー
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.