Я читаю Как работает разделение на подсети IPv6 и чем оно отличается от разделения на подсети IPv4? но на мой вопрос там не ответили.
Я обновляю нашу сеть IPv4 до IPv6. В настоящее время наш шлюз NAT разделяет наш один IPv4-адрес на 2 частные подсети, нашу основную подсеть и изолированную гостевую подсеть. Я хочу продолжить эту практику разделения двух подсетей под IPv6. Я читал, что мне не следует использовать префикс больше / 64, потому что он сломается, но делегированный префикс, который мой маршрутизатор принимает (я считаю, через DHCPv6), является префиксом / 64. Так или иначе, я хочу, чтобы префикс / 56 был автоматически назначен (предложения приветствуются), но даже после того, как я его получу, он все равно будет динамическим, поэтому мой вопрос: как мне настроить 2 подсети на основе этого динамического распределения?
Я привык использовать NAT и статически настроенные частные подсети IPv4. Теперь мне нужно будет управлять 2 общедоступными подсетями с брандмауэром между ними, но я не понимаю, как я должен настроить маршрутизатор RouterOS, чтобы он говорил: «объедините динамический префикс / 56 с этим 8-битным статическим идентификатором подсети. создать подсеть / 64 ». Как мне это сделать (или что мне делать вместо этого)?
Способ, которым Mikrotik реализовал это в RouterOS, заключается в том, что у маршрутизатора есть DHCP-клиент, который получает префикс / 56 от интернет-провайдера и помещает его в пул адресов. Затем у маршрутизатора также есть DHCP-сервер, который раздает префиксы / 64 из этого пула адресов отдельным интерфейсам.
/ipv6 dhcp-client
add add-default-route=yes comment="delgate ISP-assigned prefix" \
interface=ether1-WAN pool-name=wan6-pool prefix-hint=::/56 \
request=prefix use-peer-dns=no
/ipv6 dhcp-server
add address-pool=wan6-pool interface=ether2-LAN name=LAN
add address-pool=wan6-pool interface=ether3-Guest lease-time=3h name=guest
/ipv6 address add from-pool=wan6-pool interface=ether2-LAN
/ipv6 address add from-pool=wan6-pool interface=ether3-Guest
Это ставит ether2 и ether3 в двух разных подсетях / 64 с префиксом / 56, делегированным провайдером. Поскольку все IPv6-адреса являются глобально маршрутизируемыми, вам необходимо добавить дополнительные правила брандмауэра, чтобы защитить их от Интернета, а затем еще несколько, если вы хотите, чтобы две подсети не взаимодействовали друг с другом. Вы захотите использовать правила на основе интерфейса, а не правила на основе адресов, поскольку адреса будут динамическими.
Обратите внимание, что для получения префикса / 56 вместо префикса / 64 от моего интернет-провайдера мне пришлось настроить DHCP-клиент с помощью prefix-hint=::/56 request=prefix