Gerenciamento de prefixo IPv6

Navegue suas respostas
4

Então, o POP do meu SiXXS parece estar em apuros e eu estava pensando em mudar para HE. A idéia é conectar a HE, alterar a configuração do radvd e ... muitos outros pensam:

  • UFW, especialmente em laptops, que permitem acesso apenas a alguns serviços de desenvolvimento de alguns endereços RFC1918 e aos meus endereços IPV6 globais

  • Meus servidores fixaram endereços IPv6 para configurar facilmente o DNS

  • Alguns softwares precisam de algum tipo de referência para os endereços "locais" na configuração (como o squid acls ou libvirt networks)

  • etc.

Então, minha pergunta é: qual é a melhor maneira de lidar com isso ?, suponhamos que amanhã eu precise mudar meu corretor de túneis, ou por alguma razão eu precise mudar meu prefixo e usar outro provedor como um backup, Eu realmente preciso rever toda a minha configuração? A única solução que posso pensar é ULAs e NAT que eu não gosto (ou ULAs mais endereços globais, mas eu acho que essa configuração não é recomendada)

(Uma possível solução se eu entendi corretamente seria o IPv6 móvel, mas isso é realmente uma opção hoje em dia? Quantos provedores trabalham com ele?)

Resumindo: que opções eu tenho para simplificar a tarefa administrativa de alterar o prefixo IPv6 de uma rede?

UPDATE

Muito obrigado pelas suas respostas, mas acho que deixei algumas coisas inexplicáveis que são importantes para essa pergunta: link fornece uma tabela da preferência de seleção, caso você tenha mais de um endereço. Como SiXXS e HE usam 2001 :: prefixos, isso significa que (se eu ler a tabela corretamente) os endereços globais sempre serão selecionados e nunca os ULAs. Portanto, se eu configurar o squid para limitar o acesso com base nos ULAs, isso não funcionará porque todos os clientes se identificarão com o endereço global. Há outra pergunta sobre o mesmo problema, mas a resposta , usando ULAs e endereços globais funciona porque o prefixo público é 2000 :: neste caso.

Estou certo? ou estou errado sobre a preferência de endereço?

    
por eudemo 10.02.2013 / 20:35

2 respostas

1

IP móvel não é para situações como esta. É para quando você leva dispositivos de sua rede doméstica para outra rede, mas ainda quer que eles usem seu endereço original. A rede doméstica deve estar acessível.

Para serviços que só precisam ser acessados em suas próprias redes, você pode usar o ULA para um endereçamento estável. Você pode usar o ULA lado a lado com endereços glibal para ter endereços internos estáveis e conectividade global. Você precisará gerenciar dois prefixos por rede para que possa ser um pouco mais de trabalho.

E para endereços globais: sim, se você mudar de um ISP para outro, precisará renumerar tudo.

    
por 10.02.2013 / 21:20
0

O ULA ( FD00::/8 ) poderia ter sido aproveitado na configuração para simplificar as coisas. Você pode configurar / 64 prefixos dentro dele como quiser (o SiXXS mantém um registro, caso você esteja preocupado em garantir sua capacidade de rotear os prefixos ULA de outras pessoas) e implantar VPNs (criptografadas) para conectá-los. Em seguida, seus serviços de segurança crítica podem aceitar tráfego apenas de FE80::/10 , FC00::/7 e ::1/128 e não serão expostos diretamente à Internet. Esses endereços seriam o equivalente aproximado de ouvir apenas os endereços de loopback e RFC1918 (embora FE80::/10 seja realmente mais parecido com APIPA, 169.254.0.0/16 ).

Se você vai renumerar, o que você deve (você absolutamente não deve continuar usando endereços da sua atribuição SiXXS se você abandoná-los, pois eles seriam bogons e você se arriscaria a problemas de interoperabilidade), você deve renumerar esses serviços em ULA. Então, você não precisará renumerar essas coisas locais da próxima vez que mudar de fornecedor. Não há necessidade de NAT neste caso, porque cada host pode ter muitos endereços (por exemplo, um link-local, ULA e endereço de internet, ou alguns de cada). Longe de não ser recomendado, é exatamente o que você deve fazer.

A idéia do IPv6 é que cada host tem muitos endereços e pode usá-los para o propósito apropriado. Aproveite isso.

    
por 10.02.2013 / 20:46

Tags

O console de gerenciamento do RabbitMQ não está funcionando Como fazer backup e restaurar configurações em muitos roteadores e switches Cisco do Linux? [fechadas]