企业IPv6迁移 – proxypac结束？ 点对点的开始？ + 10K用户

良好的透明代理不能用于SSLstream量，除非您为每个设备部署可选的受信任的根，因此您将失去很多安全和审计优势，并引入新的代理。

我会select2，但使用一个明确的代理，防火墙一切closures。 如果内部机器不使用您的代理，他们不能访问互联网。 您应该已经有适当的工具来通过脚本，Windows组策略，DHCP或DNS / proxy.pac自动分发代理configuration。

简单通常更好。

我会用另一个问题来回扣。 为什么你真的需要代理？ 由于RFC1918不兼容？ 当你select不重build你的IPv4架构来使用10.xxx地址（我的ISP给我们非RFC1918地址但是使用了一个NAT，现在我们有10.xxx和NAT当然），这完全certificate了代理的使用。 。 或者，你使用代理caching/安全/过滤/审计？

如果第一个问题的答案是真的，那么我会去做一个非常简单的select1：在你的边界上放一个非常简单的IPv6路由器，更新你的DHCP广播一个IPv6前缀，并让你的IPv6stream量通过你的路由器。 由于您已经需要升级中间路由器（位于客户端主机和边界路由器之间的路由器），因此不会增加额外的硬件成本。

这具有使IPv4保持活动状态的优点，并且可用于不支持它的机器，其性能将与以前相同。

为了回答你的问题：1）你的架构select（在图中）显示不支持IPv6到客户端的机器，这是一个真正的浪费2）“揭示”IP在IPv6中很常见，因为没有NAT。 您只需要特别注意防火墙，而隐私地址（如其他答案中所述）则保护客户端机器不受域外服务器的保护。

我会保持ip4 / ipv6，有些设备是相当愚蠢的，无法进行升级。 如果你可以通过vlans分开。

然后明确使用http代理。 不要使用透明代理。 为什么？ 您可以轻松检测出configuration错误的应用程序或设备尝试上网。 您应该区分“正常”stream量和“奇怪”stream量。 关于强制使用http代理的信息应该是员工教育的一部分。

您可以设置一个http代理，将特定域名转发给其他父代理（针对您的特定客户的网站）。 这解决了pac文件的麻烦，你只在客户端的应用程序中定义一个http代理。

不要在您的局域网中启用recursionDNS！ DNS隧道工作！ 不要在LAN（ICMP隧道）之外启用ping，不需要客户端！ 只为您的http代理或真正需要进行dns查询的应用程序启用recursiondns。

根据分析，只有20％的networkingpipe理员知道什么是离开他们的networking：D

我真的很想给客户通过远程客户端（RDP，citrix …）访问http，但是这看起来相当昂贵。

这是很好的阅读 – http://undeadly.org/cgi?action=article&sid=20091025011137

另一个要考虑的问题是分阶段的方法，即只有IPv6的主机的新networking通过NAT64 / DNS64访问旧的LAN。

看起来您可能会想要在一段时间内运行双栈。 同样的方法可以通过代理/将10.xxx v4地址映射到旧的LAN来解决与RFC1918的不符合。 假设你的公共IP被劫持了。 如果您已经从IANA / ARIN /等获得了分配，那么这不是问题。