IPv6前缀管理

Question

所以，我的SiXXS的爸爸似乎有麻烦了，我正在考虑换到他。想法是连接到他，改变雷达设置和..。许多其他人认为：

• UFW，特别是在膝上型计算机中，它只允许从某些RFC1918地址访问某些开发服务，并允许访问我的全局IPV6地址。
• 我的服务器有固定的IPv6地址以方便DNS安装。
• 有些软件需要对安装程序中的“本地”地址进行某种类型的引用(比如squid acls或libvirt网络)。
• 等。

因此，我的问题是:处理这个问题的最佳方法是什么?假设明天我需要更改我的隧道代理，或者出于任何原因，我需要更改我的前缀并使用另一个提供者作为备份，我真的需要检查我的所有设置吗？我能想到的唯一解决方案是我不喜欢的ULAs和NAT (或者ULAs加上全局地址，但我认为不推荐这种设置)。

(如果我正确理解的话，一个可能的解决方案是移动IPv6，但这真的是今天的一种选择吗?有多少供应商使用它？)

总结:我有哪些选项可以简化更改网络的IPv6前缀的管理任务？

更新

非常感谢你的回答，但我想我留下了一些对这个问题很重要的事情：https://en.wikipedia.org/wiki/IPv6_address#Default_地址_选择给出了一个选择偏好表，以防你有多个地址。由于SiXXS和HE都使用2001:：前缀，这意味着(如果我正确地读取表)全局地址将始终被选中，而不是ULAs。因此，如果我设置squid来限制基于ULAs的访问，它将无法工作，因为所有客户端都将标识自己的全局地址。还有一个关于相同问题的问题，但是使用ULAs和全局地址的答案是有效的，因为在本例中，公共前缀是2000:：。

我是对的?还是我错了地址偏好？

Answer 1

移动IP不适用于这种情况。当您将设备从家庭网络带到另一个网络时，您仍然希望它们使用它们的原始地址。不过，家庭网络必须是可达的。

对于只需要从您自己的网络访问的服务，您可以使用ULA进行稳定的寻址。您可以将ULA与glibal地址并排使用，以便具有稳定的内部地址和全局连接。您将需要管理每个网络的两个前缀，因此可能需要一些额外的工作。

对于全局地址:是的，如果您从一个ISP切换到另一个ISP，那么您需要对所有内容重新编号。

Answer 2

ULA (FD00::/8)可以利用这一点来简化事情。您可以根据需要在其中设置/64前缀(SiXXS维护注册中心，以确保您能够路由其他人的ULA前缀)，并部署(加密)VPN来连接它们。然后，您的安全关键服务只能接受来自FE80::/10、FC00::/7和::1/128的流量，而且它们不会直接暴露在互联网上。这些地址大致相当于只在环回和RFC1918地址上侦听(尽管FE80::/10实际上更像APIPA、169.254.0.0/16)。

如果您要重编号(如果您放弃了SiXXS分配的地址，绝对不能继续使用它，因为它们将成为巨龙，您将面临互操作性问题)，您应该将这些服务重新编号到ULA中。然后，您将不必在下次更改提供程序时重新编号这些本地内容。在这种情况下不需要NAT，因为每个主机都可以有许多地址(例如。链接本地地址、ULA地址和因特网地址，或每个地址中的几个)。这绝不是不被推荐的，这正是你应该做的。

使用IPv6的想法是，每个主机都有大量的地址，并且可以将它们用于适当的目的。利用这个。