IPv6 không có nat nhưng còn thay đổi isp thì sao?

Tôi chưa làm việc với IPv6 ngoài 4to6 đường hầm trên máy tính ở nhà của tôi với những thứ như GoGoNet. Tôi đã đọc về cách nó hoạt động một cách chung chung. Không yêu cầu NAT (hoặc được đề xuất) và mỗi khách hàng sử dụng địa chỉ ipv6 công khai và tôi hiểu việc tiếp tục sử dụng tường lửa. Theo hiểu biết của tôi, không sử dụng NAT, UAL và nhận ARIN để cung cấp cho bạn phạm vi toàn cầu, điều đó có nghĩa là địa chỉ ipv6 trên tất cả các hệ thống trên lan của bạn sẽ từ một phạm vi được cung cấp bởi isp của bạn. Điều gì sẽ xảy ra trong trường hợp bạn thay đổi ISP của bạn? Điều đó có nghĩa là bạn phải thay đổi toàn bộ phạm vi địa chỉ lan?

Trong một cửa hàng ipv4 điển hình, tôi có thể gặp một tình huống như sau:

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

Các máy chủ có lan ips được gán tĩnh, các máy chủ DNS phải và các máy chủ khác cũng vậy, vì tường lửa thực hiện chuyển tiếp cổng tới máy chủ thông qua địa chỉ IP bạn nhập (so với tên máy chủ).

Bây giờ nếu tôi muốn thiết lập điều này như là một môi trường chỉ ipv6? Mọi thứ vẫn sẽ giống với các máy chủ được gán tĩnh và dhcpv6 cho các máy trạm chứ?

Nhưng sau đó nếu tôi chuyển sang một isp khác, điều đó có nghĩa là tôi cần thay đổi địa chỉ IP cho tất cả các máy chủ? Nếu tôi có 100 máy chủ thì sao? Tôi đoán rằng tôi có thể sử dụng dhcpv6 trên các máy chủ nhưng tôi chưa thấy tường lửa lớp biz cho phép chuyển tiếp cổng qua tên máy chủ hoặc dns nội bộ (sonicwall, Juniper, cisco, v.v.) chỉ là ip cục bộ (ít nhất cho ipv4). Và máy chủ DNS vẫn cần ips tĩnh.

Cũng không có nghĩa là trong quá trình chuyển đổi lan ipv6 ips, máy chủ của tôi có thể gửi lưu lượng truy cập lan qua internet đến khối cũ của tôi vì nó không còn là lan cục bộ nữa? Nói một cách kỹ thuật, tôi hiểu rằng không có khả năng ai đó sẽ sử dụng khối cũ một cách nhanh chóng và nó có thể bị chặn trên tường lửa.

Tôi nghe có vẻ rất tuyệt khi mọi người có được khối ipv6 được gán perm của riêng họ nhưng tôi hiểu nó sẽ làm cho bảng định tuyến toàn cầu lớn hơn một cách bất thường.

Cập nhật Dựa trên các câu trả lời bên dưới, tôi đã cập nhật vị trí ví dụ ở trên và vì vậy đây sẽ là tương đương ipv6?

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

Mỗi hệ thống của riêng mỗi trang sẽ nói chuyện qua Link-Local, Site-to-Site sẽ nói chuyện với nhau ULA (được xác định bởi VPN) và thế giới (bao gồm cả dịch vụ) sẽ nói chuyện qua IP công cộng?

Chắc chắn có một số cơ chế giúp bạn ra khỏi đây.

Đối với lưu lượng LAN nội bộ, giữa các hệ thống trên mạng của bạn, có Địa chỉ cục bộ duy nhất. Hãy nghĩ về chúng như địa chỉ RFC1918; họ sẽ chỉ làm việc trong mạng của bạn. Bạn sẽ có thể sử dụng các địa chỉ này cho bất kỳ liên lạc nào trong biên giới mạng của bạn; chỉ cần khắc một số lưới từ fd00::/8và bộ định tuyến của bạn bắt đầu quảng cáo chúng.

Trong một triển khai bình thường, điều này có nghĩa là tất cả các nút của bạn đều sở hữu (ít nhất) 3 địa chỉ IPv6; một địa fe80::/64chỉ liên kết cục bộ (chỉ có thể nói chuyện với các nút khác trên miền quảng bá của nó), một địa fd00::/8chỉ cục bộ duy nhất (có thể nói chuyện với mọi thứ trong mạng LAN của bạn) và một địa chỉ công cộng.

Bây giờ, điều này vẫn có nghĩa là bạn đang đánh số lại mọi thứ khi bạn thay đổi ISP (hiện tại bạn đang làm gì cho các nút có thể đánh địa chỉ công khai giả sử bạn không sở hữu không gian IPv4), chỉ là bạn không cần phải lo lắng về tất cả nội bộ thông tin liên lạc, có thể ở trên phạm vi địa phương duy nhất.

Điều đó có thể giải quyết mối quan tâm của bạn - nhưng cũng có đề xuất NPTv6, hiện đang có RFC thử nghiệm . Điều này sẽ cho phép bạn dịch các tiền tố công khai sang phạm vi riêng ở rìa mạng, nghĩa là không đánh số lại nội bộ khi bạn thay đổi ISP và khả năng sử dụng nhiều ISP với các địa chỉ được phân tách liền mạch (vĩnh viễn hoặc trong thời gian chuyển tiếp cho nhà cung cấp thay đổi).

Đối với các dịch vụ nội bộ (máy chủ đầu cuối, máy chủ thư nội bộ, máy in, proxy web, v.v.), bạn có thể sử dụng địa chỉ trang web cục bộ trong một khối cục bộ duy nhất trong fd00: / 8. Điều này được thiết kế để có một khối / 48 được tạo từ đó bạn có thể khắc / 64 giây cho các trang web riêng lẻ. Bạn có thể có hàng ngàn trang web sử dụng mô hình này từ một / 64. Máy chủ và dịch vụ sử dụng sơ đồ địa chỉ này sẽ được miễn trừ khỏi sự thay đổi của ISP. Bạn sẽ cần đường hầm các địa chỉ này giữa các trang web nếu các trang web được kết nối qua Internet.

LƯU Ý: Các khối cục bộ duy nhất chạy vào cùng các vấn đề mà các khối địa chỉ riêng của IPv4 gặp phải. Tuy nhiên, nếu bạn chọn ngẫu nhiên 40 bit sau FD, rất có thể bạn sẽ không có xung đột.

Máy khách không cần địa chỉ IP nhất quán trên Internet. Có các tùy chọn bảo mật sẽ tạo địa chỉ mới định kỳ để theo dõi khách hàng bằng cách ngắt địa chỉ IP. Nếu bộ định tuyến của bạn chạy dịch vụ radvd (Bộ định tuyến Quảng cáo Bộ định tuyến), thì khách hàng của bạn có thể tạo địa chỉ của riêng họ. (Quảng cáo bộ định tuyến xác định cổng và có thể cung cấp danh sách máy chủ DNS.) IPv6 radvdthay thế các dịch vụ DHCP cơ bản. Zero config có thể được sử dụng để cho phép phát hiện nhiều dịch vụ DHCP sẽ được sử dụng để thông báo. Địa chỉ của các máy khách phải ở các khối địa chỉ / 64 khác nhau so với các máy chủ có thể truy cập Internet của bạn sử dụng.

DMZ (Khu vực phi quân sự) là nơi cư trú của các máy chủ và dịch vụ có thể truy cập Internet của bạn. Những địa chỉ này có thể sẽ thay đổi khi ISP của bạn thay đổi. Chúng có thể nằm trong một / 64, điều này sẽ giúp việc thay đổi địa chỉ đơn giản hơn. Vì IPv6 yêu cầu hỗ trợ nhiều địa chỉ, bạn có thể kết nối ISP mới của mình và thực hiện chuyển đổi một cách có trật tự trước khi ngắt kết nối ISP gốc.

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

Bạn có thể sử dụng bất kỳ giá trị nào bạn muốn phân biệt giữa DMZ và (các) khu vực máy chủ của bạn. Bạn có thể sử dụng 0 cho DMZ như tôi đã làm cho trang 2 ở trên. ISP của bạn có thể cung cấp một khối nhỏ hơn a / 48. Các RFC đề nghị rằng họ có thể chia nhỏ a / 64 và phân bổ / 56s. Điều này sẽ hạn chế phạm vi bạn có sẵn để phân bổ / 64 giây.