我现在有一个约束。 在这里,我得到了这个叫做Google的美妙的东西,但是我却为了更好地发展我的基本愿望而苦苦挣扎。
我为一个本地的特殊兴趣小组运行互联网,在这个小组中我们有三个通过FreeBSD上的PacketFilter的商业级WAN连接(阻止除了以前build立的连接以外的所有传入连接,以及为远程pipe理select一些服务)队列设置,以确保快速的HTTP / IMAP)和负载均衡27个带宽饥饿的用户。
我想简化并保持端到端的安全性,但是我对如何设置事务犹豫不决,以至于我的用户可以做同样的事情,除了希望减lessNAT的头痛之外。 有没有一种资源可以让我知道我想要做的事?
这听起来好像你正在使用IPv4 NAT在三个WAN连接之间进行多宿主。 这是IPv6目前支持得不太好的用例之一,虽然有一些正在起草的标准正在进行中,可能会有所改善。 虽然会有一些折衷。
我假设所有三个连接都是通过不同的提供者,每个连接都从他们自己的地址空间分配给你一个/ 48。 用现在可用的技术来做到这一点的最好办法,就是将所有三个前缀通告给局域网,所以每个主机都有一个来自每个ISP的地址。 对于自动故障转移,您可以监视每个链接,并在相应的链接closures时将适当的前缀的首选生存期设置为零。 您将不得不在路由器上使用源路由,以便适当的源地址出去正确的链接。
您仍然可以在每个ISP链路上应用优先级队列,但会将ISPselect(相当于此处的源地址select)从路由器移动到terminal主机。 您可以使用Linux系统上的/etc/gai.conf中的RFC3484表进行影响, 不知道什么是其他操作系统的等价物,但它应该是可configuration的。 有一个IETF草案(draft-fujisaki-6man-addr-select-opt-00)通过DHCPv6分发这个信息。
如果您还运行内部服务器,则可能还需要在内部使用唯一的本地寻址(ULA)前缀,并在内部DNS中使用ULA地址。 这样ISP的故障不会影响内部通信。
如果在路由器上控制ISPselect对你来说很重要,那么看看NAT66的草案。 我不确定是否还在运行代码,但它提供了与NAT44相同的ISP独立性。 它打破了端到端的寻址,但是因为它只交换了前缀,所以它是无状态的,并且可以支持端到端的连接,所以它比v4 NAT有害一点。