Sub-rede IPv6 de um prefixo dinâmico / 56

Navegue suas respostas
3

Eu leio Como o trabalho de sub-rede IPv6 e como ele difere da sub-rede IPv4? , mas minha pergunta não foi respondida lá.

Estou atualizando nossa rede IPv4 para o IPv6. Atualmente, nosso gateway NAT divide nosso endereço IPv4 em duas sub-redes privadas, nossa sub-rede principal e uma sub-rede de convidado isolada. Eu quero continuar essa prática de ter duas sub-redes separadas no IPv6. Eu li que eu não deveria usar um prefixo maior que / 64 porque ele quebraria as coisas, mas o prefixo delegado que meu roteador está captando (acredito que via DHCPv6) é um prefixo / 64. Então, de alguma forma eu quero ter um prefixo / 56 automaticamente atribuído (sugestões bem-vindas), mas mesmo depois de conseguir isso, ele ainda será dinâmico, então minha pergunta é como configurar duas sub-redes com base nessa alocação dinâmica? / p>

Estou acostumado a usar NAT e sub-redes privadas IPv4 configuradas estaticamente. Agora terei que gerenciar duas sub-redes públicas com um firewall entre elas, mas não vejo como devo configurar um roteador RouterOS para dizer "combine o prefixo dinâmico / 56 com esse identificador de sub-rede estática de 8 bits para criar sub-rede / 64 ". Como faço isso (ou o que devo fazer em vez disso)?

    
por Old Pro 13.06.2017 / 09:51

1 resposta

1

A forma como o Mikrotik implementou no RouterOS é que o roteador tem um cliente DHCP que recebe um prefixo / 56 do ISP e o coloca em um pool de endereços. Em seguida, o roteador também possui um servidor DHCP que distribui os prefixos / 64 desse conjunto de endereços para interfaces individuais. 

/ipv6 dhcp-client 
add add-default-route=yes comment="delgate ISP-assigned prefix" \
interface=ether1-WAN pool-name=wan6-pool prefix-hint=::/56 \
request=prefix use-peer-dns=no

/ipv6 dhcp-server 
add address-pool=wan6-pool interface=ether2-LAN name=LAN
add address-pool=wan6-pool interface=ether3-Guest lease-time=3h name=guest

/ipv6 address add from-pool=wan6-pool interface=ether2-LAN
/ipv6 address add from-pool=wan6-pool interface=ether3-Guest

Isso coloca ether2 e ether3 em duas / 64 sub-redes diferentes do prefixo / 56 delegadas pelo ISP. Como todos os endereços IPv6 são globalmente roteáveis, você precisa adicionar regras de firewall extras para mantê-las protegidas da Internet e mais algumas se quiser impedir que as duas sub-redes conversem entre si. Você desejará usar regras baseadas em interface, em vez de regras baseadas em endereço, já que os endereços serão dinâmicos.

    
por 28.06.2017 / 01:15

Tags

Remova a entrada de concessão dhcp da libvirt usando virsh Como manter os aplicativos nas próprias imagens do Docker atualizadas?