IPv6 ที่ไม่มี nat แต่จะเปลี่ยนเป็น isp เกี่ยวกับอะไร

ฉันไม่ได้ทำงานกับ IPv6 นอกอุโมงค์ 4to6 บนพีซีที่บ้านของฉันด้วยสิ่งต่าง ๆ เช่น GoGoNet ฉันได้อ่านเกี่ยวกับวิธีการทำงานโดยทั่วไป ไม่จำเป็นต้องใช้ NAT (หรือแนะนำ) และไคลเอนต์แต่ละคนใช้ที่อยู่ ipv6 สาธารณะและฉันเข้าใจการใช้ไฟร์วอลล์อย่างต่อเนื่อง จากความเข้าใจของฉันโดยไม่ต้องใช้ NAT, UAL และ ARIN เพื่อให้คุณเป็นเจ้าของช่วงสากลนั่นหมายความว่าที่อยู่ ipv6 ในทุกระบบบน LAN ของคุณจะมาจากช่วงที่ isp ของคุณให้ จะเกิดอะไรขึ้นในกรณีที่คุณเปลี่ยน ISP ของคุณ นั่นหมายความว่าคุณต้องเปลี่ยนช่วงที่อยู่ LAN ทั้งหมดของคุณหรือไม่

ในร้านค้าทั่วไปของ ipv4 windows ฉันอาจมีสถานการณ์เช่นนี้:

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

เซิร์ฟเวอร์มีการกำหนด LAN ips แบบสแตติกเซิร์ฟเวอร์ DNS ต้องใช้และอื่น ๆ ก็เป็นเช่นนั้นเนื่องจากไฟร์วอลล์จะส่งต่อพอร์ตไปยังเซิร์ฟเวอร์ผ่านทางที่อยู่ IP ที่คุณพิมพ์ (เทียบกับชื่อโฮสต์)

ตอนนี้ถ้าฉันต้องการตั้งค่านี้เป็นสภาพแวดล้อม ipv6 เท่านั้น? ทุกอย่างจะยังคงเหมือนเดิมกับเซิร์ฟเวอร์ที่ได้รับมอบหมายแบบคงที่และ dhcpv6 ไปยังเวิร์กสเตชันหรือไม่

แต่ถ้าฉันเปลี่ยนไปใช้ isp ตัวอื่นนั่นหมายความว่าฉันต้องเปลี่ยนที่อยู่ ip สำหรับเซิร์ฟเวอร์ทั้งหมดหรือไม่ ถ้าฉันมีเซิร์ฟเวอร์ 100 เครื่องล่ะ ฉันเดาว่าฉันสามารถใช้ dhcpv6 บนเซิร์ฟเวอร์ แต่ฉันไม่เห็นไฟร์วอลล์ biz-class ที่อนุญาตให้ส่งต่อพอร์ตผ่านชื่อโฮสต์หรือ DNS ภายใน (sonicwall, juniper, cisco และอื่น ๆ ) เพียงแค่ ip ท้องถิ่น (atleast สำหรับ ipv4) และเซิร์ฟเวอร์ DNS ยังคงต้องการ IPS แบบคงที่อย่างใดอย่างหนึ่ง

นอกจากนี้ยังไม่ได้หมายความว่าในระหว่างการเปลี่ยนแปลงของการเปลี่ยน LAN ipv6 ips เซิร์ฟเวอร์ของฉันอาจส่งปริมาณการรับส่งข้อมูล LAN ผ่านอินเทอร์เน็ตไปยังบล็อกเก่าของฉันเนื่องจากไม่มี LAN ท้องถิ่นอีกต่อไป อย่างน้อยในแง่เทคนิคฉันเข้าใจว่ามันไม่น่าที่จะมีใครใช้บล็อกเก่าที่เร็วและมันสามารถบล็อกบนไฟร์วอลล์ได้

ฉันดูเหมือนว่ามันจะดีสำหรับทุกคนที่จะได้รับใบอนุญาต ipv6 block ของตัวเอง แต่ฉันเข้าใจว่ามันจะทำให้ตารางเส้นทางทั่วโลกมีขนาดใหญ่เป็นพิเศษ

อัปเดต ตามคำตอบด้านล่างฉันอัปเดตตำแหน่งตัวอย่างด้านบนแล้วนี่จะเท่ากับ ipv6 หรือไม่

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

แต่ละระบบจะมีการพูดคุยผ่าน Link-Local, Site-to-Site จะพูดคุยกับแต่ละ ULA (เข้ารหัสโดย VPN) และโลก (รวมถึงบริการ) จะพูดคุยผ่าน Public IP หรือไม่

มีกลไกบางอย่างที่ช่วยคุณได้ที่นี่

สำหรับการรับส่งข้อมูล LAN ภายในระหว่างระบบในเครือข่ายของคุณจะมีที่อยู่เฉพาะในพื้นที่ คิดถึงพวกเขาเช่นที่อยู่ RFC1918 พวกเขาจะทำงานภายในเครือข่ายของคุณเท่านั้น คุณจะสามารถใช้ที่อยู่เหล่านี้สำหรับการสื่อสารใด ๆ ภายในเครือข่ายของคุณ แค่แกะอวนออกจากfd00::/8และให้เราเตอร์ของคุณเริ่มโฆษณาพวกเขา

ในการปรับใช้ตามปกตินี่จะหมายความว่าโหนดของคุณทั้งหมดมี (อย่างน้อย) 3 IPv6 addresses ที่อยู่ link-local fe80::/64(ซึ่งสามารถพูดคุยกับโหนดอื่น ๆ ในโดเมนออกอากาศ), ที่fd00::/8อยู่ท้องถิ่นที่ไม่ซ้ำกัน(ซึ่งสามารถพูดคุยกับทุกอย่างใน LAN ของคุณ) และที่อยู่สาธารณะ

ตอนนี้ยังหมายความว่าคุณกำลังจัดลำดับใหม่ทุกอย่างเมื่อคุณเปลี่ยน ISP (ซึ่งตอนนี้คุณกำลังทำอยู่แล้วสำหรับโหนดที่แอดเดรสที่เปิดเผยต่อสาธารณะโดยสมมติว่าคุณไม่ได้เป็นเจ้าของพื้นที่ IPv4) เพียงแค่คุณไม่ต้องกังวลเกี่ยวกับภายในทั้งหมด การสื่อสารซึ่งสามารถอยู่ในช่วงเฉพาะของท้องถิ่น

สิ่งนี้อาจครอบคลุมข้อกังวลของคุณ - แต่ยังมีข้อเสนอ NPTv6 ซึ่งขณะนี้มีRFC ทดลองอยู่ สิ่งนี้จะช่วยให้คุณสามารถแปลคำนำหน้าสาธารณะเป็นช่วงส่วนตัวที่ขอบเครือข่ายซึ่งหมายถึงไม่มีการกำหนดหมายเลขภายในใหม่เมื่อคุณเปลี่ยน ISP และความสามารถในการใช้ ISP หลาย ๆ เครื่องด้วยที่อยู่ที่มอบหมายแตกต่างกันอย่างถาวร การเปลี่ยนแปลง)

สำหรับบริการภายใน (เซิร์ฟเวอร์เทอร์มินัลเซิร์ฟเวอร์จดหมายภายในเครื่องพิมพ์พร็อกซีของเว็บ ฯลฯ ) คุณสามารถใช้ที่อยู่ภายในไซต์ภายในบล็อกโลคัลเฉพาะภายใต้ fd00: / 8 สิ่งนี้ได้รับการออกแบบมาให้มีการสร้างบล็อก / 48 ซึ่งคุณสามารถตัดออก / 64s สำหรับแต่ละไซต์ คุณสามารถมีไซต์นับพันที่ใช้โมเดลนี้จาก / 64 เดียว เซิร์ฟเวอร์และบริการที่ใช้รูปแบบการกำหนดแอดเดรสนี้จะได้รับการยกเว้นจากการเปลี่ยนแปลงใน ISP คุณจะต้องเชื่อมต่อที่อยู่เหล่านี้ระหว่างไซต์ต่างๆหากไซต์นั้นเชื่อมต่อผ่านอินเทอร์เน็ต

หมายเหตุ: บล็อกโลคัลที่ไม่ซ้ำกันจะพบปัญหาเดียวกันกับที่บล็อกส่วนตัวของ IPv4 มี อย่างไรก็ตามหากคุณสุ่ม 40 บิตต่อไปนี้FDมันไม่น่าเป็นไปได้สูงที่คุณจะมีการชนกัน

เครื่องไคลเอนต์ไม่จำเป็นต้องมีที่อยู่ IP ที่สอดคล้องกันบนอินเทอร์เน็ต มีตัวเลือกความเป็นส่วนตัวซึ่งจะสร้างที่อยู่ใหม่เป็นระยะเพื่อให้ลูกค้าติดตามโดยแบ่งที่อยู่ IP หากเราเตอร์ของคุณใช้บริการ radvd (Router Advertising Daemon) ลูกค้าของคุณจะสามารถสร้างที่อยู่ของตนเองได้ (โฆษณาเราเตอร์ระบุเกตเวย์และสามารถให้รายชื่อเซิร์ฟเวอร์ DNS) IPv6 ด้วยการradvdแทนที่บริการ DHCP พื้นฐาน สามารถใช้การกำหนดค่าเป็นศูนย์เพื่ออนุญาตให้ค้นหาบริการจำนวนมากที่จะใช้ประกาศ DHCP ที่อยู่ของเครื่องไคลเอนต์ควรอยู่ในบล็อคที่อยู่ต่างกัน / 64 กว่าเซิร์ฟเวอร์ที่ใช้งานอินเทอร์เน็ตของคุณได้

DMZ (De-Militarized Zone) เป็นที่ที่เซิร์ฟเวอร์และบริการอินเทอร์เน็ตของคุณควรอยู่ ที่อยู่เหล่านี้อาจเปลี่ยนแปลงได้เมื่อ ISP ของคุณเปลี่ยนแปลง สิ่งเหล่านี้อาจอาศัยอยู่ภายใน / 64 เดียวซึ่งจะทำให้การเปลี่ยนที่อยู่ง่ายขึ้น เนื่องจาก IPv6 ต้องการการสนับสนุนที่อยู่หลายแห่งคุณสามารถเชื่อมต่อ ISP ใหม่ของคุณและดำเนินการเปลี่ยนแปลงอย่างเป็นระเบียบก่อนที่จะยกเลิกการเชื่อมต่อ ISP เดิม

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

คุณสามารถใช้ค่าใด ๆ ที่คุณต้องการแยกแยะระหว่าง DMZ และโซนโฮสต์ของคุณ คุณสามารถใช้ 0 สำหรับ DMZ ได้เช่นเดียวกับไซต์ 2 ด้านบน ISP ของคุณอาจมีบล็อกขนาดเล็กกว่า / 48 RFCs แนะนำว่าพวกเขาอาจแบ่ง a / 64 และจัดสรร / 56s สิ่งนี้จะ จำกัด ช่วงที่คุณมีให้จัดสรร / 64s