IPv6 について理解するのに苦労しています。専門用語の多くは、リンク ローカル、サイト ローカル、グローバル ユニキャスト、スコープなど、エンタープライズ レベルの IPv6 導入を対象としているようです。ホーム ネットワークのような本当に小さなネットワークに関する確かな情報はあまりありません。自分の考えをチェックし、IPv4 用語から IPv6 用語への正しい翻訳を確実に理解したいです。
最初の質問は、IPv6 の RFC1918 に相当するものは何か、ということです。最初の検索では、同等のものはないと示されました。その後、偶然、Unique Local Addresses (RFC4193) を見つけました。そこには、すべての ULA にプレフィックスを割り当てfc00、その後にルーティング プレフィックスの 40 ビットの乱数を割り当てる必要があると記載されています。この乱数は、「2 つの IPv6 ネットワークが相互接続されるときに衝突を防ぐ」ためのもので、これもまたエンタープライズ レベルの機能への参照です。
自宅に という番号の付いた小さなローカル LAN がある場合192.168.4.0/24、IPv6 の ULA スコープでこれに相当するものは何でしょうか? その IPv6 アドレスを実際のインターネットに結び付けることは絶対にないと仮定すると (ルーターが NAT とファイアウォールで処理します)、RFC をある程度無視して を使用できますかfc00::4:0/120?
また、 内のすべてのアドレスはfc00::/7グローバルにルーティング可能であるようです。これは、ルータがこれらのプライベート IPv6 アドレスを世界に自動的にアドバタイズしないように、追加の保護が必要になることを意味しますか?
2 番目の質問です。このリンク ローカルとは何ですか? 読むと、fe80::/10インターフェイスの MAC アドレスで構成されるアドレスの最後の 64 ビットを含む範囲内の、デフォルトで割り当てられたアドレスが示唆されます。これも必要なようですが、エンタープライズ ネットワークに関連してこれについて絶えず議論されていることにイライラしています。
3 番目の質問、スコープ ID の目的は何ですか? これは、エンタープライズ ネットワーク、特にそれらを相互接続する場合に関連して頻繁に使用される用語の 1 つであるようですが、小規模なホーム ネットワーク レベルではほとんど説明がありません。
スコープ ID と CIDR 表記が一緒に使用されているのを見ることはできますか? つまり、fc00::4:0/120%6、またはスコープ ID は単一の /128 IPv6 アドレスにのみ適用されることになっていますか?
答え1
「ユニークローカルアドレス」はまさにあなたが探しているものですfc00::/7。単に1つの数字を選ぶのではなく、ランダムな数字を生成すると衝突の可能性は低いです。
これは、ルータがこれらのプライベート IPv6 アドレスを世界に自動的に宣伝しないように、追加の保護が必要になることを意味しますか?
これらのULAをカバーするRFC(RFC4193)は、これらの数字がいけないインターネット上でルーティングされることはありません。ただし、2 つのピアが相互に特定のプレフィックスを渡すことに同意する場合があります。Comcast がこれらを一方的にルーティングすることを決定しない限り (非常に可能性が低いですが)、ルート広告について心配する必要はありません。
その IPv6 アドレスを実際のインターネットに結び付けることは決してないと仮定すると (ルーターが NAT とファイアウォールで接続します)、RFC をある程度無視して fc00::4:0/120 を使用することはできますか?
そう思い込まないでください。例えば、Comcastは現在IPv6の試験運用中そして彼らはエンドユーザーに/64を配布している(スライド 5) IPv4 で実行している単一のアドレスだけではありません。つまり、現在実行中の IPv6 テスターには、グローバルにルーティング可能なアドレスで実行し、ルーターでファイアウォールで保護するか、リンク ローカル アドレスまたは一意のグローバル アドレスのいずれかを使用して何らかの NAT を実行するオプションがあります。
しかし、アドレス変換なしで実行するとそれは悪い考えではないようですいくつかの点に留意してください。
- Comcast は /64 サブネットを配布しているので、攻撃者は IP 空間がどのようなものかすでに知っています。
- /64 は、驚くほど膨大な数の潜在的なアドレスを提供します。2^64 に相当します。これは、40 億の IPv4 インターネットの IP アドレスに相当します。(2^64 == 2^32 * 2^32。40 億 x 40 億) IPv6 自動プロビジョニングの性質により、スキャンが必要な実際のアドレス数は減りますが、スキャンは依然として実行不可能です。
- 独自のドメインを設定して提供しない限り、Comcast は /64 相当の IP アドレスに対して前方または逆方向の DNS ルックアップを提供しません。これにより、攻撃者がネットワークを偵察する能力が大幅に低下します。
- NAT なしで実行すると、特定のネットワークの問題が軽減され、望ましくないが非常に人気のあるピアツーピア テクノロジ (私が何を言っているかお分かりでしょう) の起動と実行がはるかに簡単になります。
ただし、ファイアウォールなしで実行するのは、IPv4 の場合と同様に悪い考えです。幸いなことに、NAT を使用せずにファイアウォールを使用することができます。
2 番目の質問です。このリンク ローカルとは何ですか?
現在のブロードキャスト ドメイン内の任意のものに到達でき、ルーティングできないと考えてください。昔の NetBEUI のように。実際、ホーム ネットワークが完全にフラットな場合は、ユニーク ローカル アドレスの代わりにこれらのアドレスを使用できます。
3 番目の質問です。スコープ ID の目的は何ですか?
これは 2 つの異なる目的で使用されるため、説明が面倒です。
事1:マルチキャスト。マルチキャスト パケットが到達する距離を定義します。
2つ目のこと:(あなたが言及しているものだと思います) これは、使用するインターフェースを定義する方法として URI で使用されます。主にリンクローカル アドレスで使用されます。CIDR 表記と組み合わせて使用することは決してありません。したがって、2 つの構文を組み合わせることは絶対にしないでください。
答え2
fc00 で始まるアドレスは使用しないでください。
RFC 4193 で説明されているように、これは 7 ビットのプレフィックスです。最初の 7 ビットの後のすべては、RFC で説明されているように入力する必要があります。現在定義されている方法では、常に fd で始まるアドレスが生成されます。00 はランダムな数字に置き換えられ、次の 16 ビットの 2 つのグループもランダムで、合計 40 ビットになります。
インターネット上には、プレフィックスを生成できるページがたくさんあります。私は、そのようなプレフィックスが fdae:a212:e94d::/48 のように表示される例を知りたいので、それらのサイトの 1 つにアクセスします。
ご指摘のとおり、これらのアドレスはグローバル ユニキャストですが、グローバルにルーティングできるものではありません。ルーターがデフォルトで外部にルーティングする場合は、フィルターを設定してそれを防ぐことをお勧めします。アップストリームもフィルタリングする必要があるため、両方のルーターの設定が間違っている場合にのみ、ネットワークの外部にルーティングされます。
答え3
fe80: something で始まるすべてのアドレスはリンク ローカルです。「リンク」は、ルーターのないスイッチ ネットワークに接続されたすべてのコンピューターであると考えることができます。したがって、これらの IPv6 アドレスは、そのネットワーク上の通信にのみ使用できます。
私たち人間にとって最も難しい部分は、おそらく、マシンが自ら設定を行うようになったことです。近隣探索プロトコル (NDP) と呼ばれるプロトコルがあり、これがネット上の他のすべてのマシンに「こんにちは」と挨拶する役割を果たします。
マシンがインターネットにアクセスしないようにしたい場合は、ルーターをインストールしないでください。
IPv6 は手動でも DHCP サーバーを使用しても設定できますが、必ずしもそうする必要はありません。これは IPv6 の良い点の 1 つです。