web-dev-qa-db-ja.com

動的/ 56プレフィックスをサブネット化するIPv6

IPv6サブネット化はどのように機能し、IPv4サブネット化とどのように異なりますか? を読みましたが、私の質問には答えられませんでした。

IPv4ネットワークをIPv6にアップグレードしています。現在、NATゲートウェイは、1つのIPv4アドレスを2つのプライベートサブネット(メインサブネットと分離されたゲストサブネット)に分割します。IPv6で2つの分離されたサブネットを持つというこのプラクティスを継続したいと思います。/64より大きいプレフィックスは壊れてしまうので使用しないでください。ただし、ルーターが取得する委任されたプレフィックス(DHCPv6経由であると思います)は/ 64プレフィックスです。したがって、どういうわけか、/ 56プレフィックスを自動的に割り当てます(提案は歓迎します)、しかしそれを取得した後でも、それはまだ動的になるので、私の質問は、この動的割り当てに基づいて2つのサブネットをどのように設定するかです。

NATおよび静的に構成されたIPv4プライベートサブネットを使用することに慣れています。次に、ファイアウォールを間に挟んで2つのパブリックサブネットを管理する必要がありますが、想定されている方法がわかりません。 「/ 56動的プレフィックスとこの8ビット静的サブネット識別子を組み合わせて/ 64サブネットを作成する」と言うようにRouterOSルーターを構成するにはどうすればよいですか(または代わりに何をすべきですか)。

3
Old Pro

MikrotikがRouterOSに実装した方法は、ルーターにDHCPクライアントがあり、ISPから/ 56プレフィックスを取得して、アドレスプールに配置することです。次に、ルーターには、そのアドレスプールから個々のインターフェイスに/ 64プレフィックスを渡すDHCPサーバーもあります。

/ipv6 dhcp-client 
add add-default-route=yes comment="delgate ISP-assigned prefix" \
interface=ether1-WAN pool-name=wan6-pool prefix-hint=::/56 \
request=prefix use-peer-dns=no

/ipv6 dhcp-server 
add address-pool=wan6-pool interface=ether2-LAN name=LAN
add address-pool=wan6-pool interface=ether3-Guest lease-time=3h name=guest

/ipv6 address add from-pool=wan6-pool interface=ether2-LAN
/ipv6 address add from-pool=wan6-pool interface=ether3-Guest

これにより、ISPから委任された/ 56プレフィックスの2つの異なる/ 64サブネットにether2ether3が配置されます。すべてのIPv6アドレスはグローバルにルーティング可能であるため、ファイアウォールルールを追加してインターネットから保護する必要があります。さらに、2つのサブネットが相互に通信しないようにする場合はさらにいくつか追加する必要があります。アドレスは動的であるため、アドレスベースのルールではなくインターフェイスベースのルールを使用することをお勧めします。

ISPから/ 64プレフィックスではなく/ 56プレフィックスを取得するには、DHCPクライアントをprefix-hint=::/56 request=prefixで構成する必要があることに注意してください。

2
Old Pro