On 2019-05-13 at 09:20, Mateusz Viste wrote:
>> Może to faktycznie kwestia przyzwyczajeń, ale segmentacja sieci na
>> lokalnych adresach wydaje się mi dużo bardziej przejrzysta. Jak coś jest
>> bardziej przejrzyste, to trudniej o błędy.
>
> W kwestii routingu nic się nie zmienia. Odchodzi tylko bolesny NAT.
>
> Zamiast mieć takie 3 sieci:
> 192.168.1.0/24
> 192.168.2.0/24
> 192.168.3.0/24
>
> Będziesz mieć np. takie trzy*:
>
> 2a01:aaaa:bbbb:1:/64
> 2a01:aaaa:bbbb:2:/64
> 2a01:aaaa:bbbb:3:/64
>
> *przy czym powyższe zależy od tego co oferuje ISP, patrz dwa punkty
> niżej. Jeśli to normalny ISP dla normalnych ludzi (a nie tranzytowiec lub
> łączność "dla firm"), to sprawa może być nieco mniej oczywista.
>
>> W IPv6 jak rozumiem dostanę pewną pulę adresów od IPSa (też mnie to
>> przeraża, że będę zalezny w takiej kwestii od IPS).
>
> No ale przecież już jesteś zależny, jeśli chodzi o adres publiczny. Przy
> IPv6 twoja sieć staje się faktyczną częścią internetu - dlatego też nie
> może mieć tu miejsca żadna dowolność.
>
>> Pewnie da się to też posegmentować, na poziomie FW i bez NATu.
>
> Tak, możesz mieć w domu różne podsieci do różnych potrzeb, ale pod
> warunkiem, że ISP przydzieli ci prefiks większy od /64 i zgodzi się
> wykonywać routing prefiksów na twoją domową bramę. Sądzę jednak, że
> większość ISP raczej będzie przydzielać klientom domowym bloki /64, a to
> oznacza tylko jedną sieć logiczną (mającą za to ponad 4 miliardy razy
> więcej adresów niż cały obecny internet). Niemniej jeśli się uprzesz to i
> w takiej sytuacji możesz dokonać segmentacji w domu - twój domowy router/
> firewall musi wtedy działać po części w trybie bridge, tj. zezwolić aby
> kilka jego interfejsów należało do tej samej sieci IP. Filtry z reguły
> ustawia się wtedy w zależności od interfejsów, a nie adresacji (np. "to
> co wchodzi interfejsem CCTV_0 nie ma prawa wyjść w internet").
W IPv6 jest zdefiniowana pula adresów lokalnych (tzw. ULA) będąca
odpowiednikiem prywatnych sieci w IPv4, więc nic nie stoi na
przeszkodzie by nadal samemu kontrolować/segmentować swoją sieć
lokalną, bez uzależnienia od przydziału adresu, czy nawet całej
puli, od IPS-a, i z miejscem na pewną dowolność. :-)
Szczegóły: https://tools.ietf.org/html/rfc4193.
--
mrg
|