相关功能说明
为了内网用户的安全,默认情况下,路由设备对内部获得IPv6地址的设备数据是指允许从内向外访问,不允许从外向内访问的。
防火墙过滤规则放行
我司设备防火墙已经完全支持IPv6网络,用户可以通过配置设备防火墙来有条件的放行内网设备
防火墙放行端口数据
例如:内网设备,IPv6地址为240e:399:129:f4:6914:3a99:c4da:aa3,需要开放22 (ssh服务) ,23 (telnet服务),8080 (网页服务):
只需要创建一条防火墙放行(动作选择为ACCEPT)规则即可,配置协议为IPv6,端口为 22 23 8080,就通过外网访问IPv6地址为 240e:399:129:f4:6914:3a99:c4da:aa3 的设备上运行的对应服务
防火墙放行IP数据(IPv6、IPv4)
也可以直接将特定设备的所有服务都开放到外网访问:只需要在创建规则的时候,选择任意协议(ANY), 端口(1:65500)全部开放,即可,如下图:
基于MAC的自动放行IPv6数据
IPv6 地址均为动态分配,目前根据IPv6的标准规定,为了提高网络环境安全性,最新的IPv6标准要求地址的分配一定是动态的,在这样的情况下,网关设备内网服务器的地址都可能是变化的
当网关和服务器的地址都是变化的情况下:
地址变化,而网关设备配置没有变化,会导致数据被过滤
应该如何正确应对上述的情况呢?
我司产品提供基于MAC 的自动放行规则配置,使得设备即使在IPv6地址变化的情况下,也能正确放行数据
例如:
内网的服务器A:MAC地址为 00:11:f4:11:12:14
内网的服务器B:MAC地址为 08:00:27:ea:d5:15
需要开放的服务端口为22,23 (ssh telnet)
配置如下:
防火墙端口映射(IPv6、IPv4)
有些情况下,比如内网设备服务比较多,但是又不能一一记住设备地址的情况下,可以使用端口映射功能,将内网服务的端口都映射到网关上
配置如下:
配置成功后,通过网关的地址 + 端口即可访问内网的服务
防火墙端口映射案例
比如:
1.网关的IPv6地址为:240e:398:10a:8628:2d1:abff:35a5:e385
2.内网设备A的IPv6地址为:240e:399:129:f4:6914:3a99:c4da:aa3
3.内网设备A上开启的网页服务(端口80),需要外网访问
配置如下:
配置完成后,即可通过网关的IPv6地址方位内网服务器上的网页
运营商禁止没有备案的地址直接开放80端口,因此需要使用非80端口访问网页
访问地址为:
http://[240e:398:10a:8628:2d1:abff:35a5:e385]:8090
支持IPv6的动态域名服务
当网关和服务器的地址都是变化的情况下:
地址变化,用户却无法得知地址变化
我司提供三大部分的功能支持用户应对这种情况
1. 接口的动态域名支持(IPv6)
2. 基于MAC 的动态域名支持(IPv6)
3. 云平台+小程序的地址更新服务(IPv6)
基于接口的动态域名支持(IPv6)
我司网关提供支持IPv6的动态域名服务,用户可自行配置相关接口,当地址变化的时候,自动更新DNS映射记录
注意:不是所有的动态域名服务商都能支持IPv6或双协议栈
dynv6: 提供免费的IPv4 + IPv6动态域名服务,适合个人用户使用
阿里云DNS:提供IPv4 + IPv6 双协议栈的动态域名服务,同一个域名,可同时映射IPv6地址+IPv4地址,适合企业用户使用
dynv6
配置如下:
阿里云DNS
配置如下:
阿里DNS的使用域名ID + AppKey的方式来授权更新域名信息
如何获取AccessKeyId和AccessKeySecret?
请浏览公众号,里面有详细的操作流程。
基于MAC的动态域名支持(IPv6)
基于MAC 的动态域名支持和基于接口的动态域名配置完全一致
区别在于基于MAC的动态域名 是使用指定的MAC对应的IPv4/IPv6地址来更新动态域名,在配置的时候增加了MAC配置,如下图所示
云平台+小程序的地址更新服务(IPv6)
小程序扫码与云平台绑定
我司提供完善的云平台 + 小程序来配套管理设备,设备可通过小程序扫码绑定,也可在云平台获取注册用户的绑定token 填入设备配置页完成绑定
小程序上信息查看
绑定完成后,设备信息上报后,可以在平台看到设备地址更新信息,如果开启了远程管理服务的外网端口,可以在云平台上直接获取到访问链接
也可在小程序远程管理页面看到设备地址更新信息,如果开启了远程管理服务的外网端口,可以在云平台上直接获取到访问链接
点击 HTTP访问 或 HTTPS访问 可拷贝链接到浏览器最直接访问
使用基于MAC的放行规则中,可供过选择 “上报云平台”功能,将内网服务器地址上报云平台,随后也可通过云平台 + 小程序获取到服务器的最新地址信息:
远程运维
如何远程管理网关设备(配合平台,小程序)
需要解决的问题如下:
1、如何访问网关设备;
2、如何获取设备的最新访问地址;
方案1:IPv6配合支持IPv6的动态域名服务
1、免费获取支持IPv6的动态域名服务[dynv6.com](https://dynv6.com "dynv6.com")
2、通过 系统设置/远程访问 开启外网HTTP/HTTPS访问
3、通过 应用中心/动态域名 配置dynv6动态域名基于端口解析设备IPv6地址到域名
4、通过动态域名 + 外网访问端口,即可随时访问网关设备
关联功能
防火墙过滤规则放行
基于接口的动态域名支持(IPv6)
方案2:IPv6配合我司小程序+云平台
1、通过 系统设置/远程访问 开启外网HTTP/HTTPS访问
2、通过小程序扫码或/TOKEN绑定方式,绑定设备到小程序/云平台
3、通过云平台设备详情页面可以查看设备最新的IPv6地址和访问链接
4、通过小程序设备 远程访问 页面可以查看最新的IPv6地址和访问链接
关联功能
防火墙过滤规则放行
云平台+小程序的地址更新服务(IPv6)
开放内网服务
如何开放网关内网的设备
典型应用:
1、开放内网的OA服务
2、开放内网的网页服务
3、开放内网的文件存储服务
4、其他内网服务
临时开放方案:IP放行
1、通过状态监控/内网用户页面查找特定服务器的IPv6地址
2、通过防火墙/过滤规则页面,添加IPv6的放行规则,放行指定IPv6地址
3、外网即可通过IPv6地址访问服务
例如主机地址为 240e:399:129:f4:6914:3a99:c4da:aa3 ,web服务端口为 8080,则访问链接为:http://[240e:399:129:f4:6914:3a99:c4da:aa3]:8080
关联功能
防火墙过滤规则放行
长期开放方案1:动态域名+MAC放行方案
1、通过 状态监控/内网用户 页面找到需要长期放行设备的MAC地址
2、通过 防火墙/主机放行 页面,添加基于MAC的IPv6的放行规则,放行指定IPv6地址当MAC地址对应的IPv6地址变化的时候,也能更新并放行
3、通过 应用中心/动态域名 配置dynv6动态域名基于MAC解析, 映射指定MAC对应的IPv6地址到域名
4、外网即可通过动态域名地址访问服务
关联功能
防火墙过滤规则放行
基于MAC的自动放行IPv6数据
基于接口的动态域名支持(IPv6)
长期开放方案2:小程序+MAC旅行方案
1、通过状态监控/内网用户页面找到需要长期放行设备的MAC地址
2、通过防火墙/主机放行页面,添加基于MAC的IPv6的放行规则,放行指定IPv6地址
当MAC地址对应的IPv6地址变化的时候,也能更新并放行并勾选 **上报到云平台** 选项
3、通过小程序扫码或/TOKEN绑定方式,绑定设备到小程序/云平台
4、通过云平台设备详情页面可以查看设备上报的最新的内网服务器IPv6地址和访问链接5、通过小程序设备 远程访问 页面可以查看设备上报的最新的内网服务器IPv6地址和访问链接
6、外网即可通过平台/小程序查询到的地址访问服务
关联功能
防火墙过滤规则放行
基于MAC的自动放行IPv6数据
云平台+小程序的地址更新服务(IPv6)
网络安全服务
IPv6 都是公网地址,为什么是安全的
有人一直说NAT是一个安全问题,但在IPv6网络中,这是一种无知。
有状态防火墙提供安全性,而不是NAT。
IPv6企业网使用防火墙配置ACL可以实现安全管理。
企业网防火墙ACL策略设置阻止外网IP主机发起的对内网IP主机的所有访问,只允许内网IP主机发起对外网IP访问的应答(返回)数据包进入。
下一节更精彩 —— 异地组网终极解决方案
无需第三方中转数据、安全自由把控!
软件定义网络SD-LAN
重点来了:
冠航全新OS全面支持IPv6
目前我司冠航科技产品已经支持IPv6了,现在购买我们产品将开放免费试用阶段,让你体验IPv6带来的新快感,目前暂时支持免费申请试用,公测授权后,你将体验终身有效的权益,终身我们为你全程服务,欢迎咨询并体验!!!
点击下方链接参与活动:
http://ngrouter.mikecrm.com/AuPa56H
或者扫描下方二维码:
也可以咨询官网进行了解,扫描下方二维码进入官网。
如果你那边信号不好,网络不稳定
那你也可以选择电话拨打:
400-6616-791
下期见!