Вопросы по созданию собственного маршрутизатора / брандмауэра IPv6
Мой провайдер любезно передал мне префикс / 64, и я создаю маршрутизатор Ubuntu, так как большая часть моего существующего оборудования слишком устарела для поддержки IPv6. Используя различные статьи, мне удалось заставить его работать в основном, но большинство примеров, которые я нашел, сосредоточены вокруг туннельных маршрутизаторов, которые я также построил, но я думаю, что я больше ищу лучшие практики, когда дело доходит до встроенный маршрутизатор / брандмауэр IPv6.
В качестве фона eth0 - мой внутренний интерфейс, а eth1 - внешний. В настоящее время у меня есть что-то вроде:
iface eth0 inet6 static
address 2605:xxxx:yyyy:zzzz::1
netmask 64
iface eth1 inet6 static
address 2605:xxxx:yyyy:zzzz::2
netmask 64
Связь была проверена на входе / выходе на eth1, поэтому мой провайдер правильно маршрутизирует меня. Я планирую использовать radvd на eth0. Я также планирую использовать ip6tables в качестве брандмауэра.
Где я неясен, как (или если) я должен разделить мой префикс. У меня есть несколько VLAN, доступных для eth0, хотя, учитывая возраст моего оборудования, мне, вероятно, придется маршрутизировать их через этот (виртуальный) маршрутизатор, так что я могу в конечном итоге получить больше интерфейсов или использовать транкинг в той или иной форме на eth0 .
Большинство машин в этой сети являются виртуальными, в основном на двух VLAN. Вероятно, существует менее 200 активных машин, большинство из которых поддерживают IPv6.
Первоначально я думал о создании моста вместо маршрутизатора, но мне нужна некоторая защита в моей сети - большинству машин нужен только исходящий доступ, и в этот момент мы не будем размещать общедоступные серверы.
Мои вопросы довольно просты:
- С точки зрения передового опыта, какой префикс я должен использовать для VLAN / подсети? / 72? / 68?
- Должны ли eth0 и eth1 находиться в отдельных подсетях? Это тупой вопрос?
- Должен ли я использовать мост вместо маршрутизатора? Преимущества / недостатки?
Моя главная проблема заключается в том, что, похоже, не так много нативных примеров, которые бы не были простыми, не касались оборудования Cisco или не использовались BGP. Один, хороший простой пример, вероятно, ответит на все мои вопросы.
Спасибо!
2 ответа
Размер, который необходимо направить к подсети, является/64. Вещи как автоматическая конфигурация не работают, если Вы не используете/64 на подсеть. Если Вы только получите единственный/64 от своего ISP тогда, то Вы не будете в состоянии направить его любым удобным способом. ISP должен дать Вам/48, или по крайней мере/56 и маршрут что целый префикс к Вашему маршрутизатору шлюза. Тогда можно создать подсети и маршрут.
В основном, с Вашей текущей установкой Вы ограничены единственной подсетью. Таким образом, необходимо создать мост.
Я пересмотрел бы использование Вашего ISP как поставщик IPv6, если они не дали Вам по крайней мере один IPv6 / 64 сети, которые направляются Вам и одному адресу IPv6 для Вашего внешнего interfacenfor Ваш маршрутизатор. Это могло aldo benthe случай, который Вы неправильно поняли что они, учитывая Вас.
Вам нужен один адрес IPv6 в сети, обеспеченной Вашим ISP для Вашего внешнего интерфейса. Это - их сеть, не Ваша, что Ваш маршрутизатор достигает Интернета. Это могло быть дано Вам как помехи, DHCPv6 или SLAAC. Первая и вторая потребность Вы и Ваш ISP для передачи адресов, как MAC маршрутизатора или адреса IPv6 и сетевой маски (формат CIDR). С SLAA все это автоматически установлено.
сеть, которую Вы имеете, должна быть/64, или SLAAC и therfore radvd не будут работать. Тогда необходимо вручную установить все адреса машин. Нет, DHCPv6 не будет работать также, поскольку он создается сверху того же механизма как использование SLAAC.
И если Ваш ISP не дает Вам/48 или/56 сеть, когда спрашивают, необходимо снова пересмотреть выбор ISP.
Так, одно простое соединение IPv6 с Вашим ISP, как Вы было бы с туннелем. И одна направленная сеть для Вашей LAN, и не что иное как/64 и, когда спросили/48 или/56 сеть, которую тогда можно разделить на различные/64 сети для LAN. Не используйте ничего кроме/64 для LAN, или Вы получите проблемы.
Для брандмауэра, не используйте чистый ip6tables, если Вы не считали и поняли весь соответствующий RFCs.
я рекомендовал бы ufw для серверов и shorewall6 для маршрутизаторов. Вы должны aldo рассматривать настроить DNS через radvd (или DHCPv6, если Вы рассматриваете использование этого и не SLAAC), и затем Вам нужен пакет для каждого clent для установки этого. Также в базирующихся дистрибутивах Debian как Ubuntu, установите пакет resolvconf.