IPv6 VPN 源地址选择

网络工程 虚拟专用网 纳特 IPv6 ipsec
2022-02-18 04:52:10

假设我的 ISP 为我分配了以下 IPv6 前缀:

  • 2a01:1000:1000::/48 分配给我的 VPN 服务器的 2a01:1000:1000::1/48。

我使用该块中的 /64 设置了一个 VPN,以分配给我的 VPN 客户端:

  • 2a01:1000:1000:FFFF::/64

假设所有流量(包括 Internet)都通过我的 VPN 网关路由。退出 VPN 网关并进入服务器时,数据包的源 IPv6 地址是什么?是 VPN 网关的 IPv6 (2a01:1000:1000::1),还是使用客户端的 VPN IPv6 (2a01:1000:1000:FFFF)?

以IPSec VPN为例,图1中的Inner源IP(当客户端的数据包到达VPN网关时)是否会用作图2中的源IP。(当VPN网关发送到服务器时) ?

IPSec NAT-T

在此处输入图像描述

1个回答

IPv6 数据包上的源地址将是源主机的地址,而目标 IPv6 地址将是目标主机的地址。这是IP的前提。

NAT 通过转换源地址和目标地址中的一个或两个来打破这一点。创建 NAT 是为了延长 IPv4 的寿命,但代价是破坏 IP 设计并导致许多协议出现问题。IPv6 有足够的地址来恢复原来的 IP 端到端范式。IPv6 没有 NAT,因此源主机放置在 IPv6 数据包上的原始源和目标 IPv6 地址是到达目标主机的地址。

除了 IPv4 的 VPN 隧道模式外,IPv6 还增加了 VPN 数据包模式,其中数据包内容被加密。这允许在不使用隧道的情况下进行端到端加密(将原始数据包封装在隧道数据包中)。

其它你可能感兴趣的问题
上一篇只允许本地 VLAN 的中继端口? 下一篇vlan 中继和路由