企业IPv6迁移-终止代理？点对点+10K用户的开始

Question

让我们从一个图表开始：

我们可以看到一个“典型的”IPv4公司网络：

• 因特网通过代理访问
• 通过专用代理访问“其他公司”
• 直接获得当地资源

所有计算机都有一个proxy.pac文件，该文件指示要使用哪个代理或是否直接连接。计算机只能访问本地DNS (例如，google.com没有名称解析)。

顺便问一下..。公司内部不尊重RFC1918，使用公共地址！(历史原因)。互联网代理的使用显着地使得没有问题成为可能。

，如果我们要迁移到IPv6呢？

步骤1: IPv6 internet access

在IPv6中访问互联网是很容易的。实际上，只需在互联网IPv4和IPv6中连接代理即可。在内部网络中没有什么可做的：

步骤2:内部网络

中的IPv6和IPv4

为什么不直接使用全IPv6网络呢？因为老服务器总是不兼容IPv6 ..。

选项1:与使用代理pac

的IPv4中的架构相同

这可能是最简单的解决办法。但这是最好的吗？

我认为过渡到IPv6是一个机会，不麻烦这个代理pac！

选项2:具有透明代理的新体系结构，没有代理，递归DNS

哦，是的!

在这种新的架构中，我们有：

• Explicit Internet Proxy变成Transparent Internet Proxy
• Local DNS成为本地域的Normal Recursive DNS + authorative
• 无正弦波
• Explicit Company Proxy变成Transparent Company Proxy
• 路由
  • 内部路由器将appx.ext.example.com的IP修改为Company Proxy。
  • 默认网关是Transparent Internet proxy。

问题

• 您认为这个体系结构IPv6怎么样？
• 这个架构将显示我们内部网络的IP地址，但是它受到防火墙的保护。这真的是个大问题吗？我们是否应该保持对代理的明确使用？-How，您会为这种迁移场景做什么？-And，您在公司里做得如何？

谢谢!请随意编辑我的帖子，让它变得更好。

Answer 1

良好的透明代理不适用于SSL通信，除非您在每个设备上部署一个可选的受信任根，因此您将失去许多安全和审计好处，并引入新的安全性和审计功能。

我会使用选项2，但使用一个明确的代理，关闭所有其他东西。如果内部机器不使用您的代理，它们就无法访问互联网。您应该已经具备了通过脚本、Windows组策略、DHCP或DNS/proxy.pac自动分发代理配置的工具。

更简单通常更好。

Answer 2

我会用另一个问题来回扣。你为什么真的需要代理？因为RFC1918不兼容？当您选择不重新构建您的IPv4体系结构以使用10.x.x.x地址(我的ISP以前给我们非RFC1918地址，但使用了NAT，现在我们当然有10.x.x.x和NAT )时，代理的使用是完全合理的。或者，您是否使用代理来缓存/安全/过滤/审核？

如果第一个问题的答案是正确的，那么我将选择一个非常简单的选项1:在您的边界上放置一个非常简单的IPv6路由器，更新您的DHCP(s)以广播一个IPv6前缀，并使您的IPv6流量通过您的路由器。因为您已经需要升级中间路由器(那些位于客户端主机和边界路由器之间的路由器)，这不会增加额外的硬件成本。

这样做的好处是使IPv4保持活力，并可供不支持它的机器使用，而这些机器的行为将与以前一样。

为了回答您的问题: 1)您的体系结构选择(如图所示)不支持客户端计算机的IPv6，这是一种真正的浪费；2)“暴露”IP在IPv6中很常见，因为没有NATting。您只需要在防火墙上格外小心，隐私地址(如另一个答案所述)保护客户端计算机的隐私，使其免受域外服务器的攻击。

Answer 3

我会保留IP4/ip4 6，有些设备很笨，无论如何也不能升级。如果你能用vlans分开。

然后使用明确的http代理。不要使用透明代理。为什么？您可以很容易地检测到，有错误配置的应用程序或设备试图上网。你应该区分“正常”交通和“奇怪”交通。有关强制使用http代理的信息应该是员工教育的一部分。

您可以设置一个http代理，该代理将将特定域转发给其他父代理(针对特定客户的网站)。这解决了pac文件问题，您在客户端的应用程序中只定义了一个http代理。

不要在局域网中启用递归dns！DNS隧道工程！不要启用LAN外的ping (ICMP隧道)，不需要客户端！只为您的http代理或真正需要进行dns查询的应用程序启用递归dns。

根据分析，只有20 %的网络管理员知道他们的网络留下了什么:D

我非常喜欢通过远程客户端(RDP、citrix.)为客户端提供httpS访问的想法，但这似乎相当昂贵。

这是不错的阅读- http://undeadly.org/cgi?action=article&sid=20091025011137