我自己承担了企业局域网中 ipv6 网络的配置。LAN 中的所有主机都有一个 VLAN。我正在使用 pfsense 2.3.4 软件。
我现在必须弄清楚局域网中的地址分布。这些地址不应允许识别来自全球网络的任何主机,因此有 2 个选项。具有本地地址的 NATv6 或具有地址轮换的全局地址,但我读过 NATv6 是一个糟糕的选择。我可以设置使用全局地址轮换的地址,但这会阻止我创建基于 IP 地址的防火墙规则,因为地址会一直变化。
有没有办法可以为每个主机分配一个 IPv6 地址范围以在该范围内轮换它们的地址,所以我仍然可以为每个范围(而不是静态地址)编写防火墙规则并隐藏(在某种程度上)来自全球观众的主持人的公共地址?这在 pfsense 中可行吗?
我也可以为办公室中的每个不同角色创建一个 VLAN,并基于每个角色轮换全局地址,并基于每个角色创建防火墙规则,但这不是一个选项。
在过去的几天里,我做了更多的调整和修补,并找到了一个好地方。
所以我会写一个我要工作的总结。
刷新主题:我想在我的 pfsense 盒子的单个(LAN)接口后面创建一个网络。网络的要求是为网络中的工作站提供工作 ipv6 地址。网络不应允许全球网络识别此网络上的设备,但应提供一个选项以根据此网络中的地址编写防火墙规则。我希望该网络中的所有主机都能够“匿名”浏览网络并保持身份不明,并且我希望该网络中的所有主机都对直接连接到我的 pfsense 框的其他网络具有访问限制。因此,我需要识别每个主机并编写每个主机(或每个员工角色)的防火墙规则,以限制对内部资源的某些访问。
据我所知,有 3 种方法可以实现这一目标。
使用 ULA(唯一本地地址)进行内部通信,对静态 ULA 有访问限制,但使用 NAT66 进行全局通信,保护主机的身份。这被认为是坏的。
在网络中有多个每个员工角色(访问级别)的 VLAN。这样,防火墙规则可以基于忽略地址的 VLAN 编写,并且每个主机都可以具有用于全局和本地通信的 GUA(全局唯一地址)。可能有临时隐私地址来帮助保护身份免受全球网络的影响。这不是一个选项,因为我想使用单个 VLAN 来执行此操作。
仍然保持使用 GUA 的单个 VLAN,但为每个可以轮换地址的主机分配一个特定的地址范围。通过这种方式,我可以根据这些范围编写防火墙规则,并使用轮换地址保护身份。这是我想要实现的,但在 pfsense 中发现是不可能的(与某些商业解决方案相反)。
现在我找到了第四种方法来实现这一点。
所以这第四种方式按预期工作,不需要更多的 VLAN 或 NAT66 或 pfsense 不提供的功能。