- 相关功能说明
- 防火墙过滤规则放行
- 防火墙放行端口数据
- 防火墙放行IP数据(IPv6、IPv4)
- 基于MAC的自动放行IPv6数据
- 防火墙端口映射(IPv6、IPv4)
- 防火墙端口映射案例
- 支持IPv6的动态域名服务
- 基于接口的动态域名支持(IPv6)
- dynv6
- 阿里云DNS
- 基于MAC 的动态域名支持(IPv6)
- 云平台的地址更新服务(IPv6)
- 云平台绑定
- 远程运维
- 方案1:IPv6 配合 支持IPv6的动态域名服务
- 方案2 : IPv6 配合我司云平台
- 开放内网服务
- 临时开放方案:IP放行
- 长期开放方案1 : 动态域名 + MAC 放行方案
- 长期开放方案2 : 云平台 + MAC 放行方案
- 网络安全说明
- 下一节更精彩 - 异地组网终极解决方案
相关功能说明
为了内网用户的安全,默认情况下,路由设备对内部获得IPv6地址的设备数据是指允许从内向外访问,不允许从外向内访问的
[配图]
防火墙过滤规则放行
我司设备防火墙已经完全支持IPv6网络,用户可以通过配置设备防火墙来有条件的放行内网设备
防火墙放行端口数据
例如:内网设备,IPv6地址为240e:399:129:f4:6914:3a99:c4da:aa3,需要开放22 (ssh服务) ,23 (telnet服务),8080 (网页服务):
只需要创建一条防火墙放行(动作选择为ACCEPT)规则即可,配置协议为IPv6,端口为 22 23 8080,就通过外网访问IPv6地址为 240e:399:129:f4:6914:3a99:c4da:aa3 的设备上运行的对应服务
防火墙放行IP数据(IPv6、IPv4)
也可以直接将特定设备的所有服务都开放到外网访问
只需要在创建规则的时候,选择任意协议(ANY), 端口(1:65500)全部开放,即可,如下图:
基于MAC的自动放行IPv6数据
IPv6 地址均为动态分配,目前根据IPv6的标准规定,为了提高网络环境安全性,最新的IPv6标准要求地址的分配一定是动态的,在这样的情况下,网关设备内网服务器的地址都可能是变化的
当网关和服务器的地址都是变化的情况下:
地址变化,而网关设备配置没有变化,会导致数据被过滤
应该如何正确应对上述的情况呢?
我司产品提供基于MAC 的自动放行规则配置,使得设备即使在IPv6地址变化的情况下,也能正确放行数据
例如
内网的服务器A MAC地址为 00:11:f4:11:12:14
内网的服务器B MAC地址为 08:00:27:ea:d5:15
需要开放的服务端口为22,23 (ssh telnet)配置如下:
防火墙端口映射(IPv6、IPv4)
有些情况下,比如内网设备服务比较多,但是又不能一一记住设备地址的情况下,可以使用端口映射功能,将内网服务的端口都映射到网关上
配置如下:
配置成功后,通过网关的地址 + 端口即可访问内网的服务
防火墙端口映射案例
比如:
1. 网关的IPv6地址为 240e:398:10a:8628:2d1:abff:35a5:e385
2. 内网设备A的IPv6地址为 240e:399:129:f4:6914:3a99:c4da:aa3
3、内网设备A上开启的网页服务(端口80),需要外网访问配置如下:
配置完成后,即可通过网关的IPv6地址方位内网服务器上的网页
运营商禁止没有备案的地址直接开放80端口,因此需要使用非80端口访问网页
访问地址为:http://[240e:398:10a:8628:2d1:abff:35a5:e385]:8090[配图]
支持IPv6的动态域名服务
当网关和服务器的地址都是变化的情况下:
地址变化,用户却无法得知地址变化
我司提供三大部分的功能支持用户应对这种情况
- 接口的动态域名支持(IPv6)
- 基于MAC 的动态域名支持(IPv6)
- 云平台的地址更新服务(IPv6)
基于接口的动态域名支持(IPv6)
我司网关提供支持IPv6的动态域名服务,用户可自行配置相关接口,当地址变化的时候,自动更新DNS映射记录
注意:不是所有的动态域名服务商都能支持IPv6或双协议栈
dynv6: [点我] 提供免费的IPv4 + IPv6动态域名服务,适合个人用户使用
阿里dns, [点我] 提供IPv4 + IPv6 双协议栈的动态域名服务,同一个域名,可同时映射IPv6地址+IPv4地址,适合企业用户使用
dynv6
配置如下:
阿里云DNS
配置如下:
阿里DNS的使用域名ID + AppKey的方式来授权更新域名信息
如何获取AccessKeyId和AccessKeySecret?[点我]
基于MAC 的动态域名支持(IPv6)
基于MAC 的动态域名支持和基于接口的动态域名配置完全一致
区别在于 基于MAC 的动态域名 是使用指定的MAC对应的IPv4/IPv6地址来更新动态域名
在配置的时候增加了MAC配置,如下图所示
云平台的地址更新服务(IPv6)
云平台绑定
我司提供云平台管理设备,用户可在云平台获取注册用户的绑定token 填入设备配置页完成绑定
绑定完成后,设备信息上报后,可以在平台看到设备地址更新信息,如果开启了远程管理服务的外网端口,可以在云平台上直接获取到访问链接
远程运维
如何远程管理网关设备(配合平台)
需要解决的问题如下:
1、如何访问网关设备
2、如何获取设备的最新访问地址:
方案1:IPv6 配合 支持IPv6的动态域名服务
1、免费获取支持IPv6的动态域名服务[dynv6.com](https://dynv6.com "dynv6.com")
2、通过 系统设置/远程访问 开启外网HTTP/HTTPS访问
3、通过 应用中心/动态域名 配置dynv6动态域名基于端口解析设备IPv6地址到域名
4、通过动态域名 + 外网访问端口,即可随时访问网关设备方案2 : IPv6 配合我司云平台
1、通过 系统设置/远程访问 开启外网HTTP/HTTPS访问
2、通过TOKEN绑定方式,绑定设备到云平台
3、通过云平台设备详情页面可以查看设备最新的IPv6地址和访问链接开放内网服务
如何开放网关内网的设备
典型应用:
1、开放内网的OA服务
2、开放内网的网页服务
3、开放内网的文件存储服务
4、其他内网服务。
临时开放方案:IP放行
1、通过 状态监控/内网用户 页面查找特定服务器的IPv6地址
2、通过 防火墙/过滤规则 页面,添加IPv6的放行规则,放行指定IPv6地址
3、外网即可通过IPv6地址访问服务
例如主机地址为 240e:399:129:f4:6914:3a99:c4da:aa3 ,web服务端口为 8080,则访问链接为:
http://[240e:399:129:f4:6914:3a99:c4da:aa3]:8080关联功能
防火墙过滤规则放行
长期开放方案1 : 动态域名 + MAC 放行方案
1、通过 状态监控/内网用户 页面找到需要长期放行设备的MAC地址
2、通过 防火墙/主机放行 页面,添加基于MAC的IPv6的放行规则,放行指定IPv6地址
当MAC地址对应的IPv6地址变化的时候,也能更新并放行
3、通过 应用中心/动态域名 配置dynv6动态域名基于MAC解析, 映射指定MAC对应的IPv6地址到域名
4、外网即可通过动态域名地址访问服务
长期开放方案2 : 云平台 + MAC 放行方案
1、通过 状态监控/内网用户 页面找到需要长期放行设备的MAC地址
2、通过 防火墙/主机放行 页面,添加基于MAC的IPv6的放行规则,放行指定IPv6地址
当MAC地址对应的IPv6地址变化的时候,也能更新并放行
并勾选 **上报到云平台** 选项
3、通过TOKEN绑定方式,绑定设备到小云平台
4、通过云平台设备详情页面可以查看设备上报的最新的内网服务器IPv6地址和访问链接
5、外网即可通过平台查询到的地址访问服务网络安全说明
IPv6 都是公网地址,为什么是安全的
有人一直说NAT是一个安全问题,但在IPv6网络中,这是一种无知。
有状态防火墙提供安全性,而不是NAT
IPv6企业网使用防火墙配置ACL可以实现安全管理。
企业网防火墙ACL策略设置阻止外网IP主机发起的对内网IP主机的所有访问,只允许内网IP主机发起对外网IP访问的应答(返回)数据包进入。
下一节更精彩 - 异地组网终极解决方案
无需第三方中转数据、安全自由把控!
软件定义网络SD-LAN
