Ich habe hier Schwierigkeiten, IPv6 zu verstehen. Ein Großteil der Fachsprache scheint sich auf IPv6-Bereitstellungen auf Unternehmensebene zu beziehen und diskutiert Link-Local, Site-Local, Global Unicast, Bereiche usw. Es gibt nicht viele solide Informationen zu wirklich kleinen Netzwerken wie Heimnetzwerken. Ich möchte meine Überlegungen überprüfen und sicherstellen, dass ich die richtigen Übersetzungen von IPv4-Sprache in IPv6-Sprache erhalte.
Die erste Frage ist, was ist das Äquivalent zu RFC1918 für IPv6? Erste Recherchen ergaben, dass es kein Äquivalent gibt. Dann stieß ich auf Unique Local Addresses (RFC4193), und dort steht, dass allen ULAs das Präfix zugewiesen werden soll fc00, gefolgt von einer 40-Bit-Zufallszahl im Routing-Präfix. Diese Zufallszahl soll „Kollisionen verhindern, wenn zwei IPv6-Netzwerke miteinander verbunden werden“ – auch hier ein Verweis auf eine Funktion auf Unternehmensebene.
Wenn ich zu Hause ein kleines lokales LAN habe, das mit nummeriert ist 192.168.4.0/24, was ist mein Äquivalent im ULA-Bereich von IPv6? Angenommen, ich werde diese IPv6-Adresse niemals mit dem echten Internet verknüpfen (ein Router wird sie per NAT und Firewall schützen), kann ich das RFC bis zu einem gewissen Grad ignorieren und mit arbeiten fc00::4:0/120?
Es scheint auch, dass jede Adresse fc00::/7global geroutet werden kann. Bedeutet das, dass ich zusätzliche Schutzmaßnahmen benötige, damit mein Router diese privaten IPv6-Adressen nicht automatisch der Welt bekannt gibt?
Zweite Frage: Was ist dieses Link-Local-Ding? Beim Lesen wird eine standardmäßig zugewiesene Adresse im fe80::/10Bereich vorgeschlagen, bei der die letzten 64 Bit der Adresse aus der MAC-Adresse der Schnittstelle bestehen. Scheint auch erforderlich zu sein, aber mich ärgert die ständige Diskussion darüber in Bezug auf Unternehmensnetzwerke.
Dritte Frage: Wofür ist die Bereichs-ID? Das scheint ein weiterer Begriff zu sein, der im Zusammenhang mit Unternehmensnetzwerken, insbesondere bei deren Verbindung, immer wieder verwendet wird, aber auf der Ebene kleinerer Heimnetzwerke gibt es fast keine Erklärung.
Kann ich eine Bereichs-ID UND eine CIDR-Notation zusammen sehen? fc00::4:0/120%6Oder sollen Bereichs-IDs nur auf eine einzelne /128-IPv6-Adresse angewendet werden?
Antwort1
Die "Unique Local Address" ist genau das, was Sie suchen. fc00::/7gibt Ihnen genug Bits, diewenn Sie eine Zufallszahl generieren, anstatt nur eine auszuwählenDie Kollisionsgefahr ist gering.
Bedeutet dies, dass ich zusätzliche Schutzmaßnahmen benötige, damit mein Router diese privaten IPv6-Adressen nicht automatisch weltweit bekannt gibt?
Der RFC, der diese ULAs abdeckt (RFC4193) besagt ausdrücklich, dass diese Zahlensollte nichtüber das Internet geroutet werden, obwohl sich zwei Peers einvernehmlich darauf einigen können, bestimmte Präfixe weiterzuleiten. Sofern Comcast sich nicht einseitig dazu entscheidet, diese zu routen (was im Extremfall unwahrscheinlich ist), müssen Sie sich keine Sorgen um die Routenankündigung machen.
Angenommen, ich werde diese IPv6-Adresse niemals mit dem realen Internet verknüpfen (ein Router wird NAT und eine Firewall dafür verwenden), kann ich das RFC bis zu einem gewissen Grad ignorieren und fc00::4:0/120 verwenden?
Gehen Sie nicht davon aus. Zum Beispiel:Comcast führt derzeit IPv6-Tests durchUndSie verteilen /64er an Endbenutzer(Folie 5); nicht nur die einzelne Adresse, die sie mit IPv4 verwenden. Das bedeutet, dass ihre jetzt laufenden IPv6-Tester die Möglichkeit haben, mit global routbaren Adressen zu arbeiten, die jedoch durch eine Firewall ihres Routers geschützt sind, oder eine Art NAT mit entweder lokalen Link- oder eindeutigen globalen Adressen durchzuführen.
Allerdings läuft es ohne jede Art von Adressübersetzungist nicht so schlecht, wie es klingtBeachten Sie einige Punkte.
- Comcast verteilt ein /64-Subnetz an Sie, sodass Ihr Angreifer bereits weiß, wie Ihr IP-Bereich aussieht.
- Ein /64-Server bietet eine unglaublich große Anzahl potenzieller Adressen. 2^64! Das entspricht vier Milliarden IP-Adressen im IPv4-Internet. (2^64 == 2^32 * 2^32. Vier Milliarden mal vier Milliarden.) Obwohl die Art der automatischen Bereitstellung von IPv6 die tatsächliche Anzahl der zu scannenden Adressen reduziert, ist das Scannen dennoch nicht praktikabel.
- Sofern Sie nicht Ihre eigene Domain dafür einrichten, stellt Comcast keine Forward- oder Reverse-DNS-Lookups für Ihre /64-IP-Adressen bereit. Dies verringert die Möglichkeiten von Angreifern, Ihr Netzwerk auszuspionieren, erheblich.
- Der Betrieb ohne NAT begünstigt bestimmte Netzwerkprobleme und erleichtert sicherlich die Inbetriebnahme unerwünschter, aber sehr beliebter Peer-to-Peer-Technologien (Sie wissen, was ich meine).
Allerdings ist der Betrieb ohne Firewall genauso schlecht wie mit IPv4. Glücklicherweise können Sie eine Firewall auch ohne NAT verwenden.
Zweite Frage: Was ist dieses Link-Local-Ding?
Stellen Sie sich vor, es kann alles in der aktuellen Broadcast-Domäne erreichen und kann nicht geroutet werden. Wie das alte NetBEUI. Wenn Ihr Heimnetzwerk völlig flach ist, können Sie diese Adressen tatsächlich anstelle eindeutiger lokaler Adressen verwenden.
Dritte Frage: Wofür ist die Bereichs-ID?
Es wird für zwei verschiedene Dinge verwendet, was die Beschreibung erschwert:
Sache 1:Multicast. Definiert, wie weit das Multicast-Paket reichen soll.
Sache 2:(Ich glaube, Sie meinen das) Dies wird bei einer URI verwendet, um zu definieren, welche Schnittstelle verwendet werden soll. Es wird hauptsächlich bei Link-Local-Adressen verwendet. Es sollte nie in Verbindung mit der CIDR-Notation verwendet werden, daher sollten die beiden Syntaxen nie kombiniert werden.
Antwort2
Sie sollten keine Adresse verwenden, die mit fc00 beginnt:
Wie in RFC 4193 erläutert, handelt es sich um ein 7-Bit-Präfix. Alles nach diesen ersten 7 Bits sollte wie im RFC erläutert ausgefüllt werden. Die aktuell definierte Methode erzeugt immer eine Adresse, die mit fd beginnt. Die 00 sollte durch Zufallszahlen ersetzt werden, und die nächsten beiden Gruppen von 16 Bits sollten ebenfalls zufällig sein und insgesamt 40 Bits ergeben.
Es gibt viele Seiten im Internet, die ein solches Präfix für Sie generieren können. Ich möchte nur eine dieser Seiten aufrufen, um ein Beispiel dafür zu erhalten, wie ein solches Präfix aussehen könnte fdae:a212:e94d::/48
Wie Sie bereits erwähnt haben, handelt es sich bei diesen Adressen um globale Unicast-Adressen, sie sollten jedoch nicht global geroutet werden können. Wenn Ihr Router sie standardmäßig extern routet, wäre es eine gute Idee, Filter zu konfigurieren, um dies zu verhindern. Ihr Upstream sollte ebenfalls filtern, sodass sie nur dann außerhalb Ihres Netzwerks geroutet werden, wenn Sie beide falsch konfigurierte Router haben.
Antwort3
Alle Adressen, die mit fe80: irgendwas beginnen, sind link-lokal. Sie können sich einen „Link“ als alle Computer vorstellen, die mit einem Switched Network ohne Router verbunden sind. Diese IPv6-Adressen können also nur für die Kommunikation in diesem Netz verwendet werden.
Der schwierigste Teil für uns Menschen ist wahrscheinlich, dass sich die Maschinen mittlerweile selbst konfigurieren. Es gibt ein Protokoll namens Neighbour Discovery Protocol (NDP), das dafür sorgt, dass alle anderen Maschinen im Netz „Hallo“ sagen.
Wenn Sie nicht möchten, dass die Maschinen auf das Internet zugreifen, dann ... installieren Sie einfach keinen Router.
Sie KÖNNEN IPv6 manuell oder mit einem DHCP-Server einrichten, müssen es aber nicht. Das ist eine der guten Neuigkeiten bei IPv6.