没有nat的IPv6，但是isp的改变呢？

Question

除了在家里的pc上使用GoGoNet之类的东西外，我还没有和GoGoNet一起工作过。我读过关于它的一般运作方式的文章。不需要NAT (或建议)，每个客户端都使用公共ipv6地址，我理解防火墙的继续使用。据我所知，如果不使用NAT、UAL和使ARIN为您提供自己的全局范围，这将意味着您局域网上所有系统上的ipv6地址将来自您的isp提供的范围。如果你改变了你的ISP，会发生什么？这是否意味着你必须改变你的整个局域网地址范围？

在一个典型的ipv4窗口商店里，我可能会遇到这样的情况：

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

服务器有静态分配lan ips，DNS服务器必须和其他服务器一样，因为防火墙通过您输入的ip地址(vs主机名)将端口转发到服务器。

现在，如果我想将它设置为ipv6专用环境？对于静态分配的服务器和工作站的dhcpv6，一切还会一样吗？

但是，如果我切换到另一个isp，这是否意味着我需要更改所有服务器的ip地址？如果我有100个服务器呢？我想我可以在服务器上使用dhcpv6，但我还没有看到一个biz级防火墙，它允许通过主机名或内部dns (sonicwall、juniper、cisco等)进行端口转发，只允许本地ip (至少对于ipv4)。而DNS服务器仍然需要静态的ips。

这也意味着，在改变lan ipv6 ips的转换过程中，我的服务器可能会通过互联网向我的旧块发送局域网流量，因为它不再是本地局域网了？至少从技术上来说，我知道不太可能有人会很快地使用旧的块，并且它可以在防火墙上被封锁。

我听起来好像每个人都有自己的烫发分配的ipv6块是很好的，但我知道这会使全局路由表变得异常大。

根据下面的答案进行更新，我更新了上面的示例位置，所以这将是ipv6等效的吗？

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

每个站点自己的系统将通过链接-本地，站点-站点之间进行对话，ULA (由VPN加密)和世界(包括服务)将通过公共IP？

Answer 1

这里肯定有一些帮助你的机制。

对于内部LAN通信，在您网络上的系统之间，有唯一的本地地址。把它们想象成RFC1918地址；它们只能在您的网络中工作。您可以在网络边界内的任何通信中使用这些地址；只需将一些网络从fd00::/8中分割出来，然后让路由器开始为它们做广告。

在正常部署中，这将意味着您的节点都拥有(至少)3个IPv6地址；一个链接本地fe80::/64地址(只能与其广播域中的其他节点对话)；一个唯一的本地fd00::/8地址(可以与局域网中的所有内容进行通信)和一个公共地址。

现在，这仍然意味着当您更改ISP(假设您不拥有IPv4空间的话，对于可公开寻址的节点)时，您将重新命名所有内容，只是您不需要担心所有的内部通信，这可以保留在唯一的Local上。

这可能涵盖了您的担忧--但也有NPTv6的建议，目前有一个实验RFC。这将允许您在网络边缘将公共前缀转换为私有范围，这意味着当您更改ISP时不会在内部重命名，并且能够无缝地利用具有不同分配地址的多个ISP(无论是永久地还是在某个过渡期间进行提供商更改)。

Answer 2

用于内部服务(终端服务器、内部邮件服务器、打印机、网络代理等)您可以在fd00:/8下的唯一本地块中使用站点本地地址。这是为了生成一个/48块，您可以从该块中为各个站点划分出/64s。您可以从单个/64中使用此模型的数千个站点。使用此寻址方案的服务器和服务将不受ISP的变化影响。如果站点是通过Internet连接的，则需要在站点之间设置这些地址。

注意:唯一的本地块会遇到与IPv4私有地址块相同的问题。但是，如果将FD后面的40位随机化，则很可能不会发生碰撞。

客户端计算机不需要Internet上一致的IP地址。有一些隐私选项将定期生成新地址，以便通过IP地址中断来跟踪客户端。如果您的路由器运行一个radvd (路由器广告守护进程)服务，那么您的客户端可以生成他们自己的地址。(路由器广告标识网关，并可以提供DNS服务器的列表。)IPv6与radvd取代了基本的DHCP服务。零配置可以用来允许发现许多服务，DHCP将用来宣布。客户端计算机的地址应该与您的Internet可访问服务器使用的地址块不同。

DMZ (非军事化区)是您的Internet可访问服务器和服务应该驻留的地方。当ISP更改时，这些地址可能会更改。它们可能驻留在单个/64中，这将使更改地址变得更简单。由于IPv6需要多个地址支持，因此在断开原始ISP连接之前，您可以连接新的ISP并以有序的方式执行转换。

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

您可以使用任何想要区分DMZ和宿主区域的值(S)。您可以使用0作为DMZ，正如我对站点2以上。您的ISP可能提供一个比/48更小的块。RFCs建议他们可以细分一个/64并分配/56s。这将限制可用于分配/64s的范围。