В нашей сети у нас есть маршрутизатор Cisco, действующий как основной маршрутизатор, соединяющий все наши сайты с основным сайтом. У нас также есть брандмауэр Linux, соединяющий нас с Интернетом.
Site 1 --\
+-------+ LAN +----------------+
Site 2 --| Cisco |---------| Linux Firewall | ------ Internet
+-------+ | +----------------+
Site 3 --/ |
wksta
ЛВС между Cisco и межсетевым экраном имеет (например, не актуально) 2001:DB8::/64, а остальные 2001:DB8::/48 распространяется среди других сайтов.
В настоящее время маршрутизатор Cisco рекламируется. 2001:DB8::/64 в локальной сети, а брандмауэр Linux ничего не рекламирует. В результате Cisco объявляет себя шлюзом по умолчанию, и wksta сначала отправляет любой связанный с Интернетом трафик на маршрутизатор Cisco, а затем маршрутизатор Cisco перенаправляет его на межсетевой экран.
Есть лучший способ сделать это? Я хотел бы иметь возможность рекламировать в локальной сети, что 2001:DB8::/48 должен быть направлен на маршрутизатор Cisco, но шлюзом по умолчанию должен быть межсетевой экран Linux. Возможно ли это с автонастройкой без сохранения состояния?
Текущая конфигурация интерфейса маршрутизатора Cisco:
interface FastEthernet0/0
ipv6 address 2001:DB8::1/64
ipv6 enable
!
Я не думаю, что вы можете сделать это с помощью рекламы маршрутизатора.
Насколько я понимаю, вам нужна следующая настройка:
2001:DB8::/48 via cisco
default via linux
Проблема в том, что объявления маршрутизатора не позволяют указывать статические маршруты. Они просто сообщают всем хостам, какие подсети доступны в локальной сети (что означает, что к ним можно получить доступ напрямую, без шлюза). Ваши удаленные сайты не находятся в локальной сети, поэтому к ним нет прямого доступа, поэтому реклама маршрутизаторов не поможет.
Вы можете добиться этого, добавив статические маршруты на все ваши локальные машины, но это довольно быстро станет раздражать.
Я бы посоветовал отключить рекламу маршрутизаторов на вашем устройстве Cisco и настроить их на вашем Linux-компьютере. Затем на вашем компьютере с Linux добавьте статический маршрут для 2001: DB8 :: / 48 через устройство Cisco.
Ваш внутренний трафик все равно сначала попадет на компьютер Linux, но вы не можете избежать этого, просто рекламируя маршрутизатор.
Вы мощь иметь возможность выполнить это, используя своего рода проксирование соседей IPv6 (это приведет к тому, что все удаленные хосты будут находиться в той же локальной сети, что и ваша рабочая станция), но я бы не предлагал этого, если у вас действительно нет другого варианта.
Брандмауэр linux должен объявлять себя шлюзом по умолчанию с временем жизни маршрутизатора> 0. Если маршрутизатор cisco все еще объявляется как шлюз по умолчанию, попробуйте установить для параметра AdvDefaultPreference в radvd.conf на брандмауэре значение High. Клиенты в сегменте общей локальной сети должны автоматически выбрать брандмауэр Linux в качестве шлюза по умолчанию.