IPv6 sans nat mais qu'en est-il d'un changement de FAI?

12

Je n'ai pas travaillé avec IPv6 en dehors du tunneling 4to6 sur mon ordinateur personnel avec des trucs comme GoGoNet. J'ai lu comment cela fonctionne de manière générale. Aucun NAT requis (ou suggéré) et chaque client utilise une adresse IPv6 publique et je comprends l'utilisation continue des pare-feu. D'après ma compréhension, sans l'utilisation de NAT, UAL et sans ARIN pour vous donner votre propre plage globale, cela signifierait que l'adresse ipv6 sur tous les systèmes de votre réseau local proviendrait d'une plage fournie par votre FAI. Que se passerait-il si vous changez votre FAI? Cela signifierait-il que vous deviez changer toute votre plage d'adresses LAN?

Dans un magasin Windows ipv4 typique, je pourrais avoir une situation comme celle-ci:

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

Les serveurs ont des adresses IP attribuées statiquement, les serveurs DNS doivent le faire et les autres le sont aussi, car le pare-feu effectue la redirection de port vers les serveurs via les adresses IP que vous saisissez (par rapport aux noms d'hôte).

Maintenant, si je voulais configurer cela comme un environnement ipv6 uniquement? Est-ce que tout serait toujours le même avec des serveurs assignés statiquement et dhcpv6 aux postes de travail?

Mais alors, si je passe à un autre FAI, cela signifie-t-il que je dois changer l'adresse IP de tous les serveurs? Et si j'ai 100 serveurs? Je suppose que je peux utiliser dhcpv6 sur les serveurs, mais je n'ai pas vu de pare-feu de classe biz qui permettait la redirection de port via le nom d'hôte ou le DNS interne (sonicwall, juniper, cisco, etc.) juste l'ip local (au moins pour ipv4). Et le serveur DNS a toujours besoin d'ips statiques.

Cela ne signifierait-il pas non plus que lors de la transition de la modification des ips ipv6 du lan, mes serveurs pourraient envoyer du trafic lan sur Internet à mon ancien bloc car il ne s'agit plus d'un lan local? Au moins en termes techniques, je comprends qu'il est peu probable que quelqu'un utilise l'ancien bloc aussi rapidement et qu'il puisse être bloqué sur le pare-feu.

J'ai l'impression que ce serait génial pour tout le monde d'obtenir leur propre bloc ipv6 attribué par perm, mais je comprends que cela rendrait la table de routage globale incroyablement grande.

Mise à jour Sur la base des réponses ci-dessous, j'ai mis à jour l'emplacement de l'exemple ci-dessus et ce serait donc l'équivalent ipv6?

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

Chaque système propre au site parlerait via Link-Local, Site à Site parlerait entre eux ULA (encrypté par le VPN) et le monde (y compris les services) parlerait via des adresses IP publiques?

nat ipv6 À moitié fait
la source

Réponses:

10

Il y a certainement des mécanismes en place pour vous aider ici.

Pour le trafic LAN interne, entre les systèmes de votre réseau, il existe des adresses locales uniques. Considérez-les comme des adresses RFC1918; ils ne fonctionneront qu'au sein de votre réseau. Vous pourrez utiliser ces adresses pour toute communication à l'intérieur des frontières de votre réseau; découpez simplement quelques filets fd00::/8et demandez à vos routeurs de commencer à les publier.

Dans un déploiement normal, cela signifie que vos nœuds possèdent tous (au moins) 3 adresses IPv6; une fe80::/64adresse de liaison locale (qui ne peut parler qu'aux autres nœuds de son domaine de diffusion), une fd00::/8adresse locale unique (qui peut parler à tout dans votre réseau local) et une adresse publique.

Maintenant, cela signifie toujours que vous renumérotez tout lorsque vous changez de FAI (ce que vous faites maintenant de toute façon pour les nœuds adressables publiquement en supposant que vous ne possédez pas d'espace IPv4), juste que vous n'avez pas à vous soucier de tous les internes communication, qui peut rester sur la gamme Unique Local.

Cela pourrait couvrir vos préoccupations - mais il y a aussi la proposition NPTv6, pour laquelle il existe actuellement un RFC expérimental . Cela vous permettrait de traduire les préfixes publics en plages privées à la périphérie du réseau, ce qui signifie aucune renumérotation interne lorsque vous changez de FAI et la possibilité d'utiliser de façon transparente plusieurs FAI avec des adresses attribuées disparates (de manière permanente ou pendant une période de transition pour un fournisseur changement).

Shane Madden
la source
1
+1 - Le simple fait est que, pour un petit réseau domestique, vous utiliserez simplement les adresses locales de liaison fe80::/64et les adresses IP attribuées à votre FAI sont assez peu pertinentes. Cependant, pour un centre de données, changer de FAI a toujours été un gros travail, donc il y a peu de changement là aussi.
Mark Henderson
1
Lorsque vous utilisez fd00 :: / 8 (ULA), vous êtes censé générer un bloc d'adresses semi-aléatoire / 48. Vous pouvez utiliser ie sixxs.net/tools/grh/ula pour générer un bloc d'adresses ULA avec un algorithme conforme aux normes. Utilisez les adresses ULA pour la communication interne (serveurs de fichiers, etc.) et les tunnels VPN de site à site, et utilisez les adresses publiques pour accéder à Internet. Ensuite, vous aurez seulement besoin de renuméroter les services vraiment publics lorsque vous changez de FAI (comme les sites Web hébergés localement et les points de terminaison des tunnels VPN, mais pas toutes les politiques de pare-feu vers votre espace d'adressage ULA)
Sander Steffann
ah, ok je ne pensais pas à plusieurs adresses ipv6 par hôte. J'ai mis à jour l'exemple et ajouté ma compréhension de ce qu'est un ensemble équivalent pour ipv6. Faites-moi savoir si ma notation est correcte. Il semble également que les configurations VPN seraient très faciles avec le pare-feu ayant juste besoin de crypter les données dans l'UAL. Va lire sur le truc NPTv6 aussi.
Demi
6

Pour les services internes (serveurs de terminaux, serveurs de messagerie internes, imprimantes, proxys Web, etc.), vous pouvez utiliser les adresses locales du site dans un bloc local unique sous fd00: / 8. Il est conçu pour générer un bloc / 48 à partir duquel vous pouvez tailler des / 64 pour des sites individuels. Vous pouvez avoir des milliers de sites utilisant ce modèle à partir d'un seul / 64. Les serveurs et services utilisant ce schéma d'adressage seraient à l'abri d'un changement de FAI. Vous devrez tunneler ces adresses entre les sites si les sites sont connectés via Internet.

REMARQUE: les blocs locaux uniques rencontrent les mêmes problèmes que les blocs d'adresses privées IPv4. Cependant, si vous randomisez les 40 bits suivants FD, il est très peu probable que vous ayez une collision.

Les machines clientes n'ont pas besoin d'adresses IP cohérentes sur Internet. Il existe des options de confidentialité qui génèrent périodiquement de nouvelles adresses pour effectuer le suivi des clients par rupture d'adresse IP. Si vos routeurs exécutent un service radvd (Router Advertisement Daemon), vos clients peuvent générer leur propre adresse. (Les publicités de routeur identifient la passerelle et peuvent fournir une liste de serveurs DNS.) IPv6 radvdremplace les services DHCP de base. La configuration zéro peut être utilisée pour permettre la découverte de nombreux services que DHCP utiliserait pour annoncer. Les adresses des machines clientes doivent être dans des blocs d'adresses / 64 différents de ceux utilisés par vos serveurs accessibles sur Internet.

La DMZ (zone démilitarisée) est l'endroit où doivent résider vos serveurs et services accessibles sur Internet. Ces adresses changeront probablement lorsque votre FAI changera. Ceux-ci peuvent résider dans un seul / 64, ce qui rendra le changement des adresses plus simple. Comme IPv6 nécessite la prise en charge de plusieurs adresses, vous pouvez connecter votre nouveau FAI et effectuer le basculement de manière ordonnée avant de déconnecter la connexion FAI d'origine.

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

Vous pouvez utiliser toutes les valeurs que vous souhaitez distinguer entre la DMZ et vos zones hôtes. Vous pouvez utiliser 0 pour la DMZ comme je l'ai fait pour le site 2 ci-dessus. Votre FAI peut fournir un bloc plus petit qu'un a / 48. Les RFC suggèrent qu'ils peuvent subdiviser un / 64 et allouer / 56s. Cela limiterait la plage dont vous disposez pour allouer / 64s.

BillThor
la source