IPv6中防火墙和VPN问题

2020-09-30 15:42:55 云杰通信 100

IPv6中防火墙和VPN问题

  IPv6所允许的IP地址空间比IPv4大得多。IPv4使用32位地址,如果删除了子网划分所消耗的大量保留块和IP,则该地址可以使用2 32个或40亿个地址,更少。IPv6使用128位地址,该地址是2 128或3.403×10 38 IP地址。IETF定义的标准大小的IPv6子网是/ 64,其中包含2 个64个IP或18.4亿个地址。整个IPv4空间可以多次容纳在典型的IPv6子网中,并有剩余空间。

  IPv6的更微妙的改进之一是,没有IP地址丢失到子网划分中。使用IPv4,每个子网都会丢失两个IP地址,以解决空路由和广播IP地址的问题。在IPv6中,广播是通过用于多播的相同机制处理的,该机制涉及发送到整个网段的特殊地址。其他改进包括集成的数据包加密,更大的潜在数据包大小以及其他设计元素,使路由器更容易在数据包级别上管理IPv6。

  与IPv4不同,所有数据包均在没有NAT的IPv6中路由。每个IP地址都可以直接由另一个IP地址访问,除非被防火墙阻止。对于习惯于使用特定的专用子网来存在其LAN并随后对外部地址恰好执行NAT的人们来说,这是一个很难理解的概念。

  与IPv4相比,IPv6的操作存在根本差异,但主要只是这些差异:差异。有些事情比IPv4更简单,而有些事情则稍微复杂一些,但在大多数情况下完全不同。主要区别发生在第2层(例如ARP与NDP)和第3层(IPv4与IPv6寻址)。高层使用的协议是相同的。只有那些协议的传输机制已更改。HTTP仍然是HTTP,SMTP仍然是SMTP等。

  防火墙和VPN问题

  IPv6最初使用IPv4恢复了真正的对等连接,这使得正确的防火墙控制变得更加重要。在IPv4中,NAT被误用作附加的防火墙控件。在IPv6中,NAT被删除。IPv6中不再需要端口转发,因此,远程访问将由防火墙规则处理。必须注意确保加密的VPN LAN到LAN的流量不会直接路由到远程站点。