IPv6 sin nat, pero ¿qué pasa con un cambio de isp?

12

No he trabajado con IPv6 fuera del túnel 4to6 en mi PC con cosas como GoGoNet. He leído sobre cómo funciona de manera general. No se requiere NAT (o se sugiere) y cada cliente utiliza una dirección IPv6 pública y entiendo el uso continuo de firewalls. Según tengo entendido, sin el uso de NAT, UAL y conseguir que ARIN le brinde su propio rango global, eso significaría que la dirección IPv6 en todos los sistemas en su LAN sería del rango proporcionado por su ISP. ¿Qué pasaría en caso de que cambie su ISP? ¿Eso significaría que tiene que cambiar todo el rango de direcciones de LAN?

En una tienda típica de windows ipv4, podría tener una situación como esta:

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

Los servidores tienen lan ips asignados estáticamente, los servidores DNS tienen que hacerlo y los demás también lo son, ya que el firewall realiza el reenvío de puertos a los servidores a través de las direcciones IP que ingresa (en comparación con los nombres de host).

¿Ahora si quisiera configurar esto como un entorno solo ipv6? ¿Seguiría todo igual con los servidores asignados estáticamente y dhcpv6 a las estaciones de trabajo?

Pero luego, si cambio a otro ISP, ¿eso significaría que necesito cambiar la dirección IP de todos los servidores? ¿Qué pasa si tengo 100 servidores? Supongo que puedo usar dhcpv6 en los servidores, pero no he visto un firewall de clase biz que permitiera el reenvío de puertos a través de nombre de host o dns interno (sonicwall, juniper, cisco, etc.) solo ip local (al menos para ipv4). Y el servidor DNS todavía necesita ips estáticos de todos modos.

Además, ¿eso no significaría que durante la transición de cambiar los ips de ipv6 de lan, mis servidores podrían estar enviando tráfico de lan a través de Internet a mi bloque anterior ya que ya no es lan local? Al menos en términos técnicos, entiendo que es poco probable que alguien use el bloque antiguo tan rápido y que pueda bloquearse en el firewall.

Parece que sería genial para todos obtener su propio bloque ipv6 asignado a perm, pero entiendo que haría que la tabla de enrutamiento global fuera inusualmente grande.

Actualización Con base en las respuestas a continuación, actualicé la ubicación de ejemplo anterior y, por lo tanto, este sería el equivalente a ipv6

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

Los sistemas propios de cada sitio hablarían a través de Link-Local, Site-to-Site hablarían entre sí ULA (cifrado por la VPN) y el mundo (incluidos los servicios) hablarían a través de IP públicas.

Medio hecho
fuente

Respuestas:

10

Definitivamente, existen algunos mecanismos para ayudarlo aquí.

Para el tráfico LAN interno, entre sistemas en su red, hay direcciones locales únicas. Piense en ellos como direcciones RFC1918; solo funcionarán dentro de su red. Podrá utilizar estas direcciones para cualquier comunicación dentro de los límites de su red; simplemente corte algunas redes fd00::/8y haga que sus enrutadores comiencen a publicitarlas.

En una implementación normal, esto significará que todos sus nodos poseen (al menos) 3 direcciones IPv6; una fe80::/64dirección local de enlace (que solo puede comunicarse con otros nodos en su dominio de difusión), una fd00::/8dirección local única (que puede comunicarse con todo en su LAN) y una dirección pública.

Ahora, esto todavía significa que está renumerando todo cuando cambia de ISP (lo que está haciendo ahora de todos modos para nodos direccionables públicamente, suponiendo que no posee espacio IPv4), solo que no necesita preocuparse por todo el interno comunicación, que puede permanecer en el rango Local único.

Eso podría cubrir sus inquietudes, pero también existe la propuesta NPTv6, para la cual actualmente hay un RFC experimental . Esto le permitirá traducir los prefijos públicos a los rangos privados en el borde de la red, lo que significa que no tendrá que renumerarse internamente cuando cambie de ISP, y la capacidad de utilizar múltiples ISP con direcciones asignadas dispares sin problemas (permanentemente o durante un período de transición para un proveedor cambio).

Shane Madden
fuente
1
+1: el hecho simple es que, para una red doméstica pequeña, solo usará las direcciones locales de enlace fe80::/64y las direcciones IP asignadas por su ISP son bastante irrelevantes. Sin embargo, para un centro de datos, cambiar de ISP siempre ha sido un gran trabajo, por lo que también hay pocos cambios allí.
Mark Henderson
1
Cuando se usa fd00 :: / 8 (ULA), se supone que debe generar un bloque de direcciones semi-aleatorio / 48. Puede utilizar, por ejemplo, sixxs.net/tools/grh/ula para generar un bloque de direcciones ULA con un algoritmo conforme a los estándares. Use las direcciones ULA para la comunicación interna (servidores de archivos, etc.) y los túneles VPN de sitio a sitio, y use las direcciones públicas para acceder a Internet. Luego, solo tendrá que renumerar los servicios verdaderamente públicos al cambiar de ISP (como sitios web alojados localmente y los puntos finales de los túneles VPN, pero no todas las políticas de firewall en su espacio de direcciones ULA)
Sander Steffann
ah, ok, no pensé en múltiples direcciones ipv6 por host. Actualicé el ejemplo y agregué mi comprensión de qué conjunto equivalente para ipv6. Avísame si estoy entendiendo bien mi notación. También parece que las configuraciones de VPN serían muy fáciles con el firewall que solo necesita encriptar datos en la UAL. Leerá sobre el material NPTv6 también.
Halfdone
6

Para los servicios internos (servidores de terminal, servidores de correo internos, impresoras, servidores proxy web, etc.) puede usar las direcciones locales del sitio dentro de un bloque local único en fd00: / 8. Esto está diseñado para tener un bloque / 48 generado a partir del cual puede crear / 64s para sitios individuales. Puede tener miles de sitios utilizando este modelo desde un solo / 64. Los servidores y servicios que utilizan este esquema de direccionamiento serían inmunes a un cambio en el ISP. Deberá hacer un túnel de estas direcciones entre los sitios si los sitios están conectados a través de Internet.

NOTA: Los bloques locales únicos se encuentran con los mismos problemas que tienen los bloques de direcciones privadas IPv4. Sin embargo, si aleatoriza los siguientes 40 bits FD, es muy poco probable que tenga una colisión.

Las máquinas cliente no necesitan direcciones IP consistentes en Internet. Existen opciones de privacidad que generarán nuevas direcciones periódicamente para hacer un seguimiento de los clientes por interrupción de la dirección IP. Si sus enrutadores ejecutan un servicio radvd (Daemon de anuncio de enrutador), entonces sus clientes pueden generar su propia dirección. (Los anuncios de enrutador identifican la puerta de enlace y pueden proporcionar una lista de servidores DNS). IPv6 radvdreemplaza los servicios básicos de DHCP. La configuración cero se puede usar para permitir el descubrimiento de muchos servicios que DHCP se usaría para anunciar. Las direcciones de las máquinas cliente deben estar en bloques de direcciones diferentes / 64 que los que usan sus servidores accesibles a Internet.

La DMZ (Zona desmilitarizada) es donde deberían residir sus servidores y servicios accesibles a Internet. Estas direcciones probablemente cambiarán cuando cambie su ISP. Estos pueden residir dentro de un único / 64, lo que facilitará el cambio de las direcciones. Como IPv6 requiere soporte de múltiples direcciones, puede conectar su nuevo ISP y realizar el cambio de manera ordenada antes de desconectar la conexión del ISP original.

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

Puede usar cualquier valor que desee discriminar entre la DMZ y sus zonas de host. Puede usar 0 para DMZ como lo hice para el sitio 2 anterior. Su ISP puede proporcionar un bloque más pequeño que un / 48. Los RFC sugieren que pueden subdividir a / 64 y asignar / 56s. Esto restringiría el rango que tiene disponible para asignar / 64s.

BillThor
fuente