我读过IPv6子网划分的工作原理,它与IPv4子网划分有何不同? 但我的问题没有在那里回答。
我正在将我们的IPv4networking升级到IPv6。 目前,我们的NAT网关将我们的一个IPv4地址分成2个私有子网,我们的主子网和一个隔离的子网。 我想继续这种在IPv6下有两个分开的子网的做法。 我读过,我不应该使用大于/ 64的前缀,因为它会打破的东西,但委托前缀我的路由器(我相信通过DHCPv6)是一个/ 64前缀。 所以不知何故,我想得到一个/ 56前缀自动分配(build议欢迎),但即使我得到它,它仍然是dynamic的,所以我的问题是如何设置2个子网基于这种dynamic分配?
我习惯于使用NAT和静态configuration的IPv4私有子网。 现在,我将不得不pipe理2个公共子网与他们之间的防火墙,但我不知道我应该如何configurationRouterOS路由器说:“/ 56dynamic前缀与这个8位静态子网标识符创build/ 64子网“。 我该怎么做(或者我应该怎么做)?
Mikrotik在RouterOS中实现的方式是,路由器有一个DHCP客户端,它从ISP获得一个/ 56前缀并将其放入地址池中。 然后,路由器还有一个DHCP服务器,将该地址池中的64个前缀分发给各个接口。
/ipv6 dhcp-client add add-default-route=yes comment="delgate ISP-assigned prefix" \ interface=ether1-WAN pool-name=wan6-pool prefix-hint=::/56 \ request=prefix use-peer-dns=no /ipv6 dhcp-server add address-pool=wan6-pool interface=ether2-LAN name=LAN add address-pool=wan6-pool interface=ether3-Guest lease-time=3h name=guest /ipv6 address add from-pool=wan6-pool interface=ether2-LAN /ipv6 address add from-pool=wan6-pool interface=ether3-Guest 这将ether2和ether3放在由ISP委托的/ 56前缀的两个不同的/ 64子网上。 由于所有IPv6地址都是全局路由的,因此您需要添加额外的防火墙规则以保护它们免受互联网的攻击,然后再保留2个子网互相通话。 您将需要使用基于接口的规则而不是基于地址的规则,因为地址是dynamic的。