现在,我们有一个服务器机架。 现在每个服务器至less有2个IP地址,一个用于公共接口,另一个用于私人。 拥有SSL网站的服务器拥有更多的IP地址。 我们也有类似configuration的虚拟服务器。
专用networking
专用范围当前仅用于备份和监控。 它是一个千兆端口,接口使用率通常不会很高。 还有其他技术我们正在考虑使用,将使用此端口:
我们的DNSlogging中没有私人地址(只有公开地址)。 对于我们的服务器使用正确的IP地址为正确的接口(而不是硬编码的IP地址)可能需要build立一个私人的DNS服务器(所以现在我们添加2个不同的DNS条目到2个不同的系统)。
公共networking
我们的公共范围有各种各样的服务,包括networking,电子邮件和FTP。 我们的networking和“公共”networking之间有一个硬件防火墙。 我们有一个(比较安全的)方法来指示防火墙打开和closures我们当前IP地址的pipe理访问(web界面,ssh等)。 在讨论的任一解决scheme中,基于主机的防火墙也将被configuration。
公共networking当前运行在专用的20Mbps链路上。 有几个具有快速以太网端口的传统服务器,但他们计划退役。 所有其他生产箱至less有2个千兆以太网端口。 stream量较大的服务器有4-6个可用(目前没有超过2个千兆端口)。
IPv6的
我想从我们的ISP得到一个IPv6前缀。 所以至less每个“服务器”至less有一个IPv6接口。 我们仍然需要保留IPv4收件人,并可用于旧版客户端(至less是networking服务器和电子邮件)。
我们现在有两个IPnetworking。 添加公共IPv6地址将使它三。
只使用IPv6?
我正在考虑倾销私有IPv4范围,并将IPv6范围作为所有通信的主要手段。 如果一个接口开始达到其容量,则利用新的空闲接口创build一个中继。
它的优点是,如果公共或私人stream量需要超过1Gbps。 每个接口的stream量已经被定期分析以预测未来的带宽使用情况。 在极less数情况下,带宽意外峰值:利用QoS来确保stream量(如我们有限的SSH访问)正确地优先化,这样可以纠正问题(如果可能的话,我们的WAN现在是瓶颈)。
它还具有不需要为每个私人地址input条目的优点。 我们可能有私人的DNS(或者仅仅是LDAP),但是它的范围要小得多,而且要复制的条目要less一些。
概要
我试图使这个networking尽可能“简单”。 同时,我想确保它的可靠性,可升级性,可扩展性和(最终)冗余性。 拥有一个IPv6networking和传统的IPv4networking似乎是我的最佳解决scheme。
关于为两个networking使用分配的IPv6地址,在一个networking上共享可用带宽(如果需要,还可以使用更多的中继):
好吧,让我们按部分答复
1)私人地址
ipv6有不同的“范围”,所以你可以有一个本地范围和全球范围,ipv6足够聪明,知道谁是什么,并相应地调节stream量,所以你可以在ipv6上有一个本地的非路由networking,没有任何问题它默认是这样的
2)转储ipv4并只运行ipv6
到目前为止所有ipv6的实现是双栈,所以你可以舒适地运行两个,我肯定会推荐你运行两个,这样做没有损害,ipv4不会离开很长一段时间,虽然ipv6是非常酷完全丢弃ipv4不是我会做的。
3)简短的问题
a)没有技术劣势,恰恰相反! 很多很酷的东西,自动分配地址,任播,本地ipsec,这是相当酷b)防火墙应该是好的,但有一些特定的防火墙规则,你应该注意,如允许本地链接作用域的stream量,允许在IPv6组播,禁用RH0数据包的处理,还要记住icmpv6是一个全新的协议,ipv6比ipv4更依赖于icmp,所以过滤它不是一个好主意c)据我所知大部分linux服务支持ipv6没有任何问题,双栈ftw!
熟悉所有的ipv6新规格也不错,看看http://en.wikipedia.org/wiki/IPv6