服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 全球IPv6地址是否可以在防火墙级别NAT内部IPv4地址?
Intereting Posts
如何定义服务运行级命令的位置? 禁用一组用户的networking访问,但只允许smtp KVM上的Exchange 2010 – CPU使用情况报告不正确 SSL的专用IP 从SSH转储一个表 日志文件 – 1.6 GB – 如何推送日志文件的旋转 Libvirt:创build桥接到LAN的networking(eth0) 垃圾邮件数据集,适合SpamAssasin或不? 从PowerShell获取“停止”Hyper-V VM状态 select10GbE交换机:1GbE交换机上的10Gb上行链路模块意味着它可以在10Gb带宽下运行? mod_rewrite无法redirect到lib文件夹 在主机上使用DHCP设置KVM虚拟networking openssl从CSR生成.key Haproxy Incoming X-Forwarded-For Header进入Outgoing X-Forwarded-For VMWare-Mount无法识别虚拟磁盘

全球IPv6地址是否可以在防火墙级别NAT内部IPv4地址?

作为一个组织,我们刚刚要求我们的第一个IPv6分配。 目前,我们是一个完全的IPv4组织,在我们的边缘路由器上configuration了一个全球IPv4地址分配,并通过边缘防火墙(主要)用于NAT到内部托pipe的带有私有IPv4地址的Web服务器。

我明白,使我们的面向外部的服务可用于IPv6互联网的一种方式是在整个内部networking上实现IPv6双栈,并将全球可访问的IPv6地址(除了其现有的IPv4地址之外)直接分配给这些服务器。

然而,即使在阅读了关于IPv6过渡技术以及IPv6在IPv6世界中的地址转换技术的文章和文章之后,我仍然不能完全确定我们是否可以复制我们现有的设置,但是使用IPv6地址,也就是说,在我们的边缘路由器上configuration一个全球可路由的IPv6接口,在我们的防火墙上有一个关联的IPv6“外部”接口,并且简单地将1:1 NAT全局地面对IPv6地址到IPv4地址?

这显然是基于这样一个原则,即我们与ISP拥有IPv6 BGP对等协议,并且RFC1918满足了我们的内部寻址需求,但是我们希望使所选的外部服务IPv6可访问。

正如第一条评论所说,我也强烈build议转向双栈,因为从长远来看,它比实施NAT解决scheme要便宜。 (无论如何,你将不得不这样做,为什么不现在呢?)

但是,对于您的问题,仍然有两种可能的解决scheme /解决方法:

  • 一个支持NAT64的路由器;
  • 具有本地IPv6支持的负载均衡器,通过IPv4平衡它后面的服务器。

通过IPv6提供IPv4服务的方式非常普遍。 您需要一个可以执行静态NAT64映射的防火墙。 我已经使用Juniper SSG盒自己做了。

尽pipe我看到了一些分裂的问题。 由于IPv6报头比IPv4报头大,因此转换会使数据包稍微大一些。 这可能会导致IPv6数据包被碎片化,而且我看到了忽略所有碎片stream量的设备。 为了避免出现设备损坏的用户出现问题,最好将IPv4侧的MTU减less一点(1480或1400是常用值),以便即使在转换之后,数据包也小于1500字节。

可以这样做吗?

是。

你需要一个有状态的NAT64实现。 通常,这些通常用于为本地IPv6客户端提供对公共IPv4networking资源的访问,但没有任何东西可以阻止您使用其他方式。 防火墙可以用来限制通过NAT64网关访问哪些主机。

应该这样做吗?

总的来说,我会说不。

这种方法的关键问题是您将丢失关于stream量的源IP地址的信息。 根本没有办法将一个128位的源IP塞进一个32位的字段。 所以很难追查和举报滥用行为。

有什么select?

有一些。 我会把它们呈现在我所认为的优先顺序中。

第一个选项是在服务器和networking边缘之间的networking段上部署双协议栈。 当您在整个networking中开始部署IPv6时,这是一个很好的做法。

第二个select是部署从networking边缘到相关服务器的隧道。 隧道可以将ipv6stream量通过IPv4networking传输到服务器,然后可以本地处理它。

第三个选项是反向代理。 由于它在应用程序级别工作,因此可以将外部IP地址信息编码到应用程序级别标题中。 应用程序端更改可能需要利用此信息,但许多应用程序已经支持它,因为反向代理设置在大型部署中由于其他原因是相当常见的。

是的,Mem是完全正确的。 双栈,只有在networking的公共端是强制性的第一步…这是真正的保留。 也就是说没有准备好放弃IPv4。

NAT设备将做他们一直以来做的事情。 IPv6提供私有地址空间,但是没有办法保证它是全球唯一的…所以我们仍然需要NAT来保证这一点。 大多数人仍然在使用NAT,并将永远不顾几十年前NAT背后的动力。 没有关键的需要使用NAT444 / CGNAT在NAT / SNAT下的networking内部强化IPv6

这是2013年在政府层面对IPv6进行的一项研究。 回应世界距离IPv6主导和IPv4弃置有多远的时间表和指导,以及整个转换过程中必须持续的中间双重要求。

http://www.govtech.com/wireless/What-Happened-to-IPv6.html

当寻找设备来做这个NAT寻找支持NAT444 / CG-NAT …这是不一样的NAT64,NAT44等

IPv4将在这里直到2148年。以下文章http://venturebeat.com/2013/06/07/at-our-current-rate-of-progress-ipv6-will-be-fully-implemented-on-may -10-2048 /

是的,当然可以。 其实这是最明智的做法。

不要相信那些说“哦….你最终必须改变你的整个networking到IP6的人,所以不要拖延”

完全废话。

我已经在运营商级别上通过了这一点。

IPv4在这里停留。 由于RFC1918,它对大多数组织来说工作得很好。

如果您是一个拥有less于1700万台设备的组织,需要您直接法律控制的IP地址。 那么IPv6将只是一个速度缓冲区,它肯定不会影响你的服务器/台式机。 这是你如何做到的:
假设你了解经典的networkingdevise。

你的边缘路由器去MPLS / IPv6 / IPv4
您的核心rouers去MPLS / IPv6 / IPv4
您的Distro路由器转到MPLS / IPv6 / IPv4
您的负载均衡器/防火墙外部接口是IPv6 / IPv4,并将其上行插入到Distro中。 F5支持这个很简单,LTM作为一个入口防火墙(比juni / cisco防火墙的方式更快),所以我们不必在Distro路由器上使用ACLS。Loadbalancer / Firewall的内部接口都是纯粹的IPv4,插入你的主干/ leaf或者你的第2层服务/接入路由器和交换机,如果它们都是第3层的话,它们也将保持IPv4。

所以你保持NAT。 您可以使用像F5 BIGIP和防火墙这样的设备来维护一个硬连接的publicIP / privateIP NAT边界,可以毫不费力地处理IPv6到IPv4 NAT。 他们将您的公共发行层与您的私人服务/访问层连接起来。

现在你select保持NAT(可能已经是)的所有东西都停留在IPv4地址,所有废话的IPv6主机软件都可以被删除而不受惩罚,因为只有你在yorunetworking的公共边缘上运行的高端networking设备不得不担心IPv6

说真的,要明智。 IPv6在我们有生之年没有以任何方式超越IPv4。 按照目前的采用率,它将不会与IPv4 BGP表格在尺寸方面达到200多年。