Мой провайдер любезно передал мне префикс / 64, и я создаю маршрутизатор Ubuntu, так как большая часть моего существующего оборудования слишком устарела для поддержки IPv6. Используя различные статьи, мне удалось заставить его работать в основном, но большинство примеров, которые я нашел, сосредоточены вокруг туннельных маршрутизаторов, которые я также построил, но я думаю, что я больше ищу лучшие практики, когда дело доходит до встроенный маршрутизатор / брандмауэр IPv6.
В качестве фона eth0 - мой внутренний интерфейс, а eth1 - внешний. В настоящее время у меня есть что-то вроде:
iface eth0 inet6 static
address 2605:xxxx:yyyy:zzzz::1
netmask 64
iface eth1 inet6 static
address 2605:xxxx:yyyy:zzzz::2
netmask 64
Связь была проверена на входе / выходе на eth1, поэтому мой провайдер правильно маршрутизирует меня. Я планирую использовать radvd на eth0. Я также планирую использовать ip6tables в качестве брандмауэра.
Где я неясен, как (или если) я должен разделить мой префикс. У меня есть несколько VLAN, доступных для eth0, хотя, учитывая возраст моего оборудования, мне, вероятно, придется маршрутизировать их через этот (виртуальный) маршрутизатор, так что я могу в конечном итоге получить больше интерфейсов или использовать транкинг в той или иной форме на eth0 .
Большинство машин в этой сети являются виртуальными, в основном на двух VLAN. Вероятно, существует менее 200 активных машин, большинство из которых поддерживают IPv6.
Первоначально я думал о создании моста вместо маршрутизатора, но мне нужна некоторая защита в моей сети - большинству машин нужен только исходящий доступ, и в этот момент мы не будем размещать общедоступные серверы.
Мои вопросы довольно просты:
Моя главная проблема заключается в том, что, похоже, не так много нативных примеров, которые бы не были простыми, не касались оборудования Cisco или не использовались BGP. Один, хороший простой пример, вероятно, ответит на все мои вопросы.
Спасибо!
Размер, который необходимо направить к подсети, является/64. Вещи как автоматическая конфигурация не работают, если Вы не используете/64 на подсеть. Если Вы только получите единственный/64 от своего ISP тогда, то Вы не будете в состоянии направить его любым удобным способом. ISP должен дать Вам/48, или по крайней мере/56 и маршрут что целый префикс к Вашему маршрутизатору шлюза. Тогда можно создать подсети и маршрут.
В основном, с Вашей текущей установкой Вы ограничены единственной подсетью. Таким образом, необходимо создать мост.
Я пересмотрел бы использование Вашего ISP как поставщик IPv6, если они не дали Вам по крайней мере один IPv6 / 64 сети, которые направляются Вам и одному адресу IPv6 для Вашего внешнего interfacenfor Ваш маршрутизатор. Это могло aldo benthe случай, который Вы неправильно поняли что они, учитывая Вас.
Вам нужен один адрес IPv6 в сети, обеспеченной Вашим ISP для Вашего внешнего интерфейса. Это - их сеть, не Ваша, что Ваш маршрутизатор достигает Интернета. Это могло быть дано Вам как помехи, DHCPv6 или SLAAC. Первая и вторая потребность Вы и Ваш ISP для передачи адресов, как MAC маршрутизатора или адреса IPv6 и сетевой маски (формат CIDR). С SLAA все это автоматически установлено.
сеть, которую Вы имеете, должна быть/64, или SLAAC и therfore radvd не будут работать. Тогда необходимо вручную установить все адреса машин. Нет, DHCPv6 не будет работать также, поскольку он создается сверху того же механизма как использование SLAAC.
И если Ваш ISP не дает Вам/48 или/56 сеть, когда спрашивают, необходимо снова пересмотреть выбор ISP.
Так, одно простое соединение IPv6 с Вашим ISP, как Вы было бы с туннелем. И одна направленная сеть для Вашей LAN, и не что иное как/64 и, когда спросили/48 или/56 сеть, которую тогда можно разделить на различные/64 сети для LAN. Не используйте ничего кроме/64 для LAN, или Вы получите проблемы.
Для брандмауэра, не используйте чистый ip6tables, если Вы не считали и поняли весь соответствующий RFCs.
я рекомендовал бы ufw
для серверов и shorewall6
для маршрутизаторов. Вы должны aldo рассматривать настроить DNS через radvd (или DHCPv6, если Вы рассматриваете использование этого и не SLAAC), и затем Вам нужен пакет для каждого clent для установки этого. Также в базирующихся дистрибутивах Debian как Ubuntu, установите пакет resolvconf
.