IPv6 e NAT, roteamento para vários ISPs

6

Atualmente, tenho uma boa configuração usando o espaço de endereço IPv4 privado e uplinks de dois ISPs para a Internet. Graças ao NAT, posso simplesmente derrubar uma das interfaces e o acesso à Internet ainda está lá.

Eu estive pensando em como duplicar essa configuração no IPv6. Pelo que eu li é que "NAT está morto", eu realmente estou feliz por isso, eu não gosto disso (e as vezes odeio isso), mas tem seus usos.

Para colocar alguma perspectiva em: esta é uma pequena empresa, 3 dúzias de computadores na rede, não temos orçamento para links sofisticados com suporte a SLA e BGP. Então eu acho que nossa sub-rede IPv6 do RIPE-NCC não funcionará.

Por outro lado, ter dois links independentes é mais que útil. Existe uma maneira de fazer um NAT 1-para-1 no IPv6 (estou usando a máquina Linux como um roteador)? Como eu faço isso? Isso permitirá que eu continue usando dois ISPs (desde que eles suportem IPv6).

Quando obtenho uma sub-rede do meu provedor, preciso ter um endereço IP voltado para a Internet (para poder rotear pacotes para o meu provedor) e um segundo para a minha LAN. No IPv6, ambos devem ser roteáveis. Isso não significa que eu tenho que obter pelo menos duas sub-redes do meu provedor? Ou os ISPs são obrigados a fornecer uma sub-rede / 48 não apenas duas sub-redes / 64? (E dedique a primeira sub-rede / 64 à comunicação entre roteadores.) O que fazer se eu obtiver apenas uma sub-rede / 64 do ISP?

Para resumir:

Perguntas

  • Posso fazer NAT de 1 para 1 no IPv6 no Linux? Como faço isso?
  • Preciso receber pelo menos duas / 64 sub-redes para configurar confortavelmente o roteamento na LAN por trás do firewall?
  • Existe uma maneira de ter endereços públicos na minha LAN se eu obtiver uma única sub-rede / 64 do meu provedor?
por Hubert Kario 12.08.2011 / 12:32

3 respostas

5

Sem o BGP e o ISP multihoming de 'classe empresarial' não vai funcionar para você. É possível fazer o NAT de 1 para 1 com o IPv6. Eu não sei como configurá-lo no Linux embora. Existe uma outra maneira:

Você receberá um prefixo de ambos os provedores. Provavelmente um / 56 ou um / 48. Não importa realmente neste caso se o link para o ISP obtiver seus próprios endereços ou não. O IPv6 pode funcionar perfeitamente com uplinks não numerados. O que você faz então é conectar um roteador de cada ISP à sua LAN, e ambos devem anunciar um / 64 de seu próprio ISP em sua LAN. Assim, todos os seus sistemas obtêm (pelo menos) dois endereços IPv6 públicos: um de cada ISP. Você pode dar aos anúncios do seu provedor principal uma prioridade mais alta. Quando o link para o ISP desce, o roteador correspondente deve retirar seu anúncio e seus sistemas começarão a usar o outro link.

A única desvantagem é quando um ISP não aceita pacotes com um endereço de origem do outro ISP. Se for esse o caso, os roteadores devem verificar o endereço de origem e encaminhar o tráfego com o endereço de origem errado para o outro roteador.

Se você obtiver apenas um / 64 do seu ISP, poderá usá-lo na sua LAN. Eles deveriam te dar mais do que isso. A / 48 costumava ser o padrão por muitos anos, um / 56 está se tornando mais normal nos dias de hoje, mas você deve definitivamente ter mais que um / 64.

    
por 12.08.2011 / 13:10
1

A solução é a mesma do IPv4 - você precisa ocultar uma rede privada atrás de um NAT com dois links WAN.

Endereços locais exclusivos (ULA) são "Redes privadas para IPv6". A conversão de prefixo de rede (NPt) é "NAT para IPv6". Atribua um endereço local exclusivo IPv6 interno à sua rede. Embora não seja necessário fazê-lo (as chances de colidir ULAs são muito menores do que as sub-redes IPv4 em colisão, caso a rede precise se mesclar com outra rede privada), há pelo menos um benefício teórico para registrar seu ULA. Ative o NPt em cada interface WAN, fornecendo seu ULA interno e o prefixo IPv6 de cada provedor para NPt. Sua própria sub-rede IPv6 do RIPE-NCC não funcionará pelas mesmas razões pelas quais sua própria sub-rede IPv4 não funcionará (sua falta de orçamento para o suporte ao BGP).

NPt trabalhou muito bem para mim. Minha intenção era apenas fornecer independência entre meu esquema interno de endereçamento IPv6 e o do meu ISP, de modo que, se eu alternasse os ISPs, apenas os prefixos do ISP precisassem mudar, não toda a minha configuração de rede. Em teoria, ele sofrerá os mesmos problemas que o IPv4 NAT se um protocolo enviar o endereço não roteável para uma máquina remota que então tenta se conectar de volta.

    
por 31.07.2015 / 00:14
1

Is there a way to do a 1-to-1 NAT in IPv6 (I'm using Linux machine as a router)?

Isso é conhecido como "tradução de prefixo de rede" e sim o Linux o suporta. Você usa os alvos "SNPT" e "DNPT" na tabela "mangle" (a tabela "nat" é usada apenas para NAT com estado).

How do I do it?

Você usa o destino SNPT para alterar o prefixo de origem nos pacotes de saída e o destino DNPT para alterar o prefixo de destino nos pacotes de entrada. Como é sem estado, você deve traduzir explicitamente em ambas as direções.

Você pode usar um endereço ISPs em sua lan e traduzir para o outro ISP ou você pode usar endereços ULA em sua lan e traduzir para ambos ISPs.

Will it allow me to continue using two ISPs (provided that they both support IPv6).

Sim.

Obviamente, como com o NAT V4, você desejará certificar-se de que o roteamento seja razoavelmente estável, já que um switch ISP interromperá as conexões estabelecidas.

I've been thinking how to duplicate this configuration in IPv6. From what I read is that "NAT is dead"

Os puristas do IPv6 não gostam, mas o linux recentemente adicionou uma implementação NAT com estado para o IPv6. Então você pode esconder uma rede inteira atrás de um único IP V6 se você quiser.

Do I need to receive at least two /64 subnets to comfortably set up routing in LAN behind firewall?

Se você está colocando IPs públicos nas máquinas ou usando o NPT, você vai querer que as sub-redes façam isso.

Afirmar o cenário típico para IPV6 em ISPs de consumidores / pequenos negócios é que eles alocam um único endereço para o lado da intenet do roteador CPE. Em seguida, eles usam a delegação de prefixo DHCPv6 para alocar um prefixo para o cliente usar em suas redes. Típico é alocar um / 56 para cada cliente.

Infelizmente, pelo menos um ISP, estou ciente de que você insiste em usar um roteador CPE fornecido pelo provedor de serviços de Internet que não oferece suporte à delegação de prefixo no momento. Então, se você quiser colocar seu próprio firewall atrás do seu roteador, você está meio preso: (

    
por 11.07.2016 / 00:24