IPv6 без nat, але як щодо зміни isp?

Я не працював з IPv6 за межами тунелювання 4to6 на своєму домашньому ПК з такими речами, як GoGoNet. Я читав про те, як це працює в цілому. Жоден NAT не вимагається (або пропонується), і кожен клієнт використовує загальнодоступну ipv6 адресу, і я розумію, що триває використання брандмауерів. З мого розуміння, без використання NAT, UAL та отримання ARIN для надання вам власного глобального діапазону, це означатиме, що ipv6-адреса на всіх системах вашого LAN буде з діапазону, який надає ваш ісп. Що буде у випадку, якщо ви зміните свій провайдер? Чи означає це, що вам доведеться змінити весь діапазон адрес LAN?

У типовому магазині windows ipv4 у мене може виникнути така ситуація:

Site1 Lan IPs: 192.168.1.0/24
Site2 Lan IPs: 10.0.0.0/24
Site1 Public IP: 11.12.13.1/29 (11.12.13.1 - 11.12.13.5 usable)
Site2 Public IP: 20.30.40.1/29 (20.30.40.1 - 20.30.40.5 usable)
Site-to-site VPN via firewalls

Site1:                                 Lan IP,         Public IP:Port
Hardware firewall/router             - 192.168.1.1,    11.12.13.1
Windows AD DC server (AD DNS server) - 192.168.1.10
Windows Exchange (email)             - 192.168.1.11,   11.12.13.2:25+443
Windows RDS (term server)            - 192.168.1.12,   11.12.13.3:3389
Workstations (via DHCP)              - 192.168.1.100+

Site2:
Hardware firewall/router             - 10.0.0.1,       20.30.40.1
Windows AD DC server (AD DNS server) - 10.0.0.10
Windows IIS (webserver)              - 10.0.0.11,      20.30.40.2:80
Workstations (via DHCP)              - 10.0.0.100+

Сервери мають статично призначені локальні ips, DNS-сервери повинні і інші, оскільки брандмауер виконує переадресацію портів до серверів через ip-адреси, які ви вводите (проти імен хостів).

Тепер, якщо я хотів налаштувати це як середовище лише для ipv6? Чи все-таки все буде те саме зі статично призначеними серверами та dhcpv6 на робочих станціях?

Але тоді, якщо я перейду на інший исп, це означатиме, що мені потрібно змінити IP-адресу для всіх серверів? Що робити, якщо у мене 100 серверів? Я думаю, що я можу використовувати dhcpv6 на серверах, але я не бачив брандмауер бізнес-класу, який би дозволяв переадресацію портів через ім'я хоста або внутрішні dns (sonicwall, ядловець, cisco тощо) лише локальний ip (принаймні для ipv4). І DNS-серверу все одно потрібні статичні ips.

Також це не означатиме, що під час переходу зміни ipv6 ips lan мої сервери можуть надсилати трафік lan через Інтернет до мого старого блоку, оскільки це вже не локальний lan? Щонайменше, з технічної точки зору, я розумію, що навряд чи хтось швидко використає старий блок і його можна заблокувати на брандмауері.

Мені здається, було б чудово, щоб кожен отримав власну perm присвоюється блоку ipv6, але я розумію, що це зробить глобальну таблицю маршрутизації незвично великою.

Оновлення На підставі відповідей нижче, я оновив приклад вище, і це буде еквівалент ipv6?

Site1 ULA: fd80::192:/64
Site2 ULA: fd80::10:/64
Site1 Public IP: 2000:1112:1301::/48
Site2 Public IP: 2000:2030:4001::/48
Site-to-site VPN via firewalls

Site1:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:1,   2000:1112:1301::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:10,  2000:1112:1301::A
Windows Exchange (email)   - fe80::11,   fd80::ABCD:11,  2000:1112:1301::B
Windows RDS (term server)  - fe80::12,   fd80::ABCD:12,  2000:1112:1301::C
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:1xx, 2000:1112:1301::10+

Site2:                       Link-Local, ULA,            Public
Hardware firewall/router   - fe80::1,    fd80::ABCD:2,    2000:2030:4001::1
Windows AD DC server (DNS) - fe80::10,   fd80::ABCD:20,   2000:2030:4001::A
Windows IIS (webserver)    - fe80::11,   fd80::ABCD:21,   2000:2030:4001::B
Workstations (via DHCP)    - fe80::100+, fd80::ABCD:2xx,  2000:2030:4001::10+

Кожна власна система сайту розмовляла б через Link-Local, що сайт на сайт спілкувався би між собою ULA (зашифрований VPN), а світ (включаючи служби) розмовляв би через загальнодоступні IP-адреси?

Тут напевно є деякі механізми, які допоможуть вам тут.

Для внутрішнього трафіку локальної мережі між системами вашої мережі є унікальні локальні адреси. Думайте про них, як адреси RFC1918; вони працюватимуть лише у вашій мережі. Ви зможете використовувати ці адреси для будь-якого спілкування в межах вашої мережі; просто виріжте деякі мережі fd00::/8та попросіть маршрутизатори розпочати їх рекламу.

При звичайному розгортанні це означає, що всі ваші вузли мають (принаймні) 3 адреси IPv6; локальна fe80::/64адреса посилання (яка може спілкуватися лише з іншими вузлами в її широкомовному домені), унікальна локальна fd00::/8адреса (яка може говорити з усім у вашій локальній мережі) та загальнодоступна адреса.

Тепер, це все ще означає, що ви перенумеровуєте все, змінюючи Інтернет-провайдери (що ви все одно робите зараз для публічно адресованих вузлів, припускаючи, що ви не володієте простором IPv4), просто що вам не потрібно турбуватися про всі внутрішні спілкування, яке може залишатися на унікальному локальному діапазоні.

Це може охопити ваші занепокоєння - але є також і пропозиція NPTv6, для якої наразі існує експериментальний RFC . Це дозволить вам перекладати публічні префікси в приватні діапазони на межі мережі, що означає відсутність внутрішньої нумерації при зміні провайдерів і можливість безперебійного використання декількох провайдерів з розрізненими призначеними адресами (постійно або під час перехідного періоду для провайдера зміна).

Для внутрішніх сервісів (термінальних серверів, внутрішніх поштових серверів, принтерів, веб-проксі-серверів тощо) ви можете використовувати локальні адреси сайту в унікальному локальному блоці під fd00: / 8. Це розроблено для створення блоку / 48, з якого можна вирізати / 64 для окремих сайтів. Ви можете мати тисячі сайтів за допомогою цієї моделі з одного / 64. Сервери та сервіси, що використовують цю схему адресації, не будуть захищені від зміни провайдера. Вам потрібно буде тунелювати ці адреси між сайтами, якщо сайти підключені через Інтернет.

ПРИМІТКА. Унікальні локальні блоки стикаються з тими ж проблемами, що і з блоками приватних адрес IPv4. Однак, якщо ви рандомізуєте наступні 40 біт FD, це малоймовірно, що у вас виникне зіткнення.

Клієнтські машини не потребують послідовних IP-адрес в Інтернеті. Існують варіанти конфіденційності, які періодично генеруватимуть нові адреси, щоб зробити відстеження клієнтів шляхом розриву IP-адреси. Якщо ваші маршрутизатори працюють із послугою radvd (Router Advertisement Daemon), то ваші клієнти можуть генерувати власну адресу. (Реклама маршрутизаторів ідентифікує шлюз і може надати список серверів DNS.) IPv6 radvdзамінює основні служби DHCP. Нульова конфігурація може бути використана для того, щоб дозволити відкриття багатьох служб DHCP буде використовуватися для оголошення. Адреси клієнтських машин повинні бути в різних / 64 адресних блоках, ніж ваші сервери, доступні для Інтернету.

DMZ (демілітаризована зона) - це місце, де ваші сервери та сервіси, доступні для Інтернету, повинні розміщуватися. Ці адреси, ймовірно, зміняться, коли ваш Інтернет-провайдер зміниться. Вони можуть перебувати в межах одного / 64, що спростить зміну адрес. Оскільки для IPv6 потрібна підтримка декількох адрес, ви можете підключити свій новий провайдер і виконати переключення в порядку, перш ніж відключити вихідне з'єднання провайдера.

Unique local block: fd33:ab:de::/48
Site 1:  fd33:ab:de:1::/64
Site 2:  fd33:ab:de:2::/64

Site 1 /48: 2000:1112:1301::/48
Site 1 DMZ: 2000:1112:1301:1:/64    (set on servers)
Site 1 Hosts: 2000:1112:1301:2:/64  (via radv)

Site 2 /48: 2000:2030:4001::/48
Site 2 DMZ: 2000:2030:4001::/64
Site 2 Hosts: 2000:2030:4001:2:/64

Ви можете використовувати будь-які значення, які ви хочете розрізнити між DMZ та вашими хост-зонами. Ви можете використовувати 0 для DMZ, як я робив для сайту 2 вище. Ваш Інтернет-провайдер може надавати менший блок, ніж a / 48. RFC припускають, що вони можуть підрозділити a / 64 та виділити / 56s. Це обмежує діапазон, який у вас є у розпорядженні / 64.