Anúncios de rota de configuração automática sem estado IPv6

Navegue suas respostas
2

Em nossa rede, temos um roteador Cisco atuando como o roteador principal, conectando todos os nossos sites ao site principal. Também temos um firewall Linux nos conectando à Internet. 

Site 1 --\
         +-------+   LAN   +----------------+
Site 2 --| Cisco |---------| Linux Firewall | ------ Internet
         +-------+    |    +----------------+
Site 3 --/            |
                    wksta

A LAN entre a Cisco e o Firewall tem (por exemplo, não é real) 2001:DB8::/64 e o restante de 2001:DB8::/48 é distribuído entre os outros sites.

Atualmente, o roteador Cisco está anunciando 2001:DB8::/64 na LAN, e o Linux Firewall não está anunciando nada. Como resultado, a Cisco se anuncia como o gateway padrão, e wksta envia primeiro todo o tráfego da Internet para o roteador Cisco, depois é redirecionado para o Firewall pelo roteador Cisco.

Existe uma maneira melhor de fazer isso? Eu gostaria de poder anunciar para a LAN que 2001:DB8::/48 deve ser direcionado para o roteador Cisco, mas o gateway padrão deve ser o Linux Firewall. Isso é possível com o autoconfig sem estado?

A configuração atual da interface do roteador Cisco: 

interface FastEthernet0/0
 ipv6 address 2001:DB8::1/64
 ipv6 enable
!
    
por NorbyTheGeek 02.12.2014 / 17:27

2 respostas

2

Acho que você não pode fazer isso apenas com anúncios de roteador.

Meu entendimento aqui é que você deseja a seguinte configuração: 

2001:DB8::/48 via cisco
default via linux

O problema é que os anúncios do roteador não permitem especificar rotas estáticas. Eles apenas dizem a todos os hosts que sub-redes estão disponíveis na rede local (o que significa que eles podem ser acessados diretamente, sem o gateway). Seus sites remotos não estão na rede local, portanto não estão diretamente acessíveis, portanto, os anúncios dos roteadores não ajudariam.

Você pode conseguir isso adicionando rotas estáticas em todas as suas máquinas locais, mas isso vai ficar irritante rapidamente.

Eu sugeriria desativar os anúncios do roteador em seu dispositivo Cisco e configurá-los em sua máquina Linux. Então, em sua máquina Linux, adicione uma rota estática para 2001: DB8 :: / 48 através do dispositivo Cisco.

Seu tráfego interno ainda atingirá a máquina Linux primeiro, mas você não pode evitar isso apenas com anúncios de roteador.

Você pode ser capaz de fazer isso usando algum tipo de proxy vizinho IPv6 (isso faria todos os hosts remotos parecerem estar na mesma rede que sua estação de trabalho), mas eu não sugeriria isso a menos que você realmente não tenha outra opção.

    
por 03.12.2014 / 02:32
0

O firewall do Linux deve se anunciar como um gateway padrão com vida útil do roteador > 0. Se o roteador cisco ainda estiver anunciando como gateway padrão, tente definir o parâmetro AdvDefaultPreference em radvd.conf no firewall como Alto. Os clientes no segmento da LAN compartilhada devem selecionar automaticamente o firewall do Linux como o gateway padrão.

    
por 02.12.2014 / 21:17

Tags

apache mod_rewrite variável nomes de host com um redirecionamento? o número de série do hdparm é lixo