¿Cuál es el equivalente de IPv6 a las direcciones IPv4 RFC1918?

tag-icon tag-icon ipv6
¿Cuál es el equivalente de IPv6 a las direcciones IPv4 RFC1918?

Me está costando entender IPv6 aquí. Gran parte de la jerga parece dirigida a implementaciones de IPv6 a nivel empresarial, discutiendo enlaces locales, sitios locales, unidifusión global, alcances, etc. No hay mucha información sólida sobre redes realmente pequeñas, como redes domésticas. Quiero comprobar mi forma de pensar y asegurarme de obtener las traducciones correctas del lenguaje IPv4 al lenguaje IPv6.

La primera pregunta es, ¿cuál es el equivalente de RFC1918 para IPv6? Las búsquedas iniciales sugirieron que no había ningún equivalente. Luego me topé con Direcciones locales únicas (RFC4193), que establece que a todas las ULA se les debe asignar el prefijo fc00, seguido de un número aleatorio de 40 bits en el prefijo de enrutamiento. Este número aleatorio es para "evitar colisiones cuando dos redes IPv6 están interconectadas"; nuevamente, otra referencia a una función de nivel empresarial.

Si tengo una pequeña LAN local en casa, numerada con 192.168.4.0/24, ¿cuál es mi equivalente en el alcance ULA de IPv6? Suponiendo que nunca jamás vincularé esa dirección IPv6 a Internet real (un enrutador realizará NAT y cortafuegos), ¿puedo ignorar el RFC hasta cierto punto y seguir adelante fc00::4:0/120?

También parece que cualquier dirección fc00::/7debe ser enrutable globalmente. ¿Significa esto que necesitaré protecciones adicionales para que mi enrutador no comience a anunciar automáticamente estas direcciones IPv6 privadas al mundo?

Segunda pregunta, ¿qué es eso del enlace local? La lectura sugiere una dirección asignada de forma predeterminada en el fe80::/10rango que tiene los últimos 64 bits de la dirección compuestos por la dirección MAC de la interfaz. Parece ser necesario también, pero me molesta la discusión constante al respecto en relación con las redes empresariales.

Tercera pregunta, ¿para qué sirve la identificación del alcance? Parece ser otro término que se utiliza en relación con las redes empresariales, especialmente cuando se interconectan, pero casi no hay explicación a nivel de redes domésticas más pequeñas.

¿Puedo ver un ID de alcance y una notación CIDR utilizados juntos? Es decir, ¿ fc00::4:0/120%6o se supone que los ID de alcance solo deben aplicarse a una única dirección IPv6 /128?

Respuesta1

La "Dirección local única" es exactamente lo que estás buscando. fc00::/7te da suficientes bits quesi generas un número aleatorio en lugar de simplemente elegir unolas posibilidades de colisión son pequeñas.

¿Significa esto que necesitaré protecciones adicionales para que mi enrutador no comience a anunciar automáticamente estas direcciones IPv6 privadas al mundo?

El RFC que cubre estos ULA (RFC4193) afirma específicamente que estos númerosno debeenrutarse en Internet, aunque dos pares pueden acordar mutuamente pasar ciertos prefijos. A menos que Comcast decida enrutarlos unilateralmente (algo poco probable en extremo), no debería preocuparse por la publicidad de rutas.

Suponiendo que nunca jamás vincularé esa dirección IPv6 a Internet real (un enrutador realizará NAT y cortafuegos), ¿puedo ignorar el RFC hasta cierto punto e ir con fc00::4:0/120?

No asumas eso. Por ejemplo,Comcast actualmente está realizando pruebas de IPv6yestán repartiendo /64 a los usuarios finales(diapositiva 5); no solo la dirección única que están haciendo con IPv4. Esto significa que sus probadores de IPv6 que ahora se ejecutan tienen la opción de ejecutar con direcciones enrutables globalmente, pero protegidas por firewall por su enrutador, o realizar algún tipo de NAT con direcciones de enlace local o globales únicas.

Sin embargo, ejecutar sin ningún tipo de traducción de direccionesno es mala idea parece. Tenga en cuenta algunos puntos.

  • Comcast le está entregando una subred /64, por lo que su atacante ya sabe cómo es su espacio IP.
  • Un /64 proporciona una cantidad asombrosamente enorme de direcciones potenciales. ¡Vale 2^64! Esto equivale a cuatro mil millones de direcciones IP de Internet IPv4. (2^64 == 2^32 * 2^32. Cuatro mil millones por cuatro mil millones). Si bien la naturaleza del aprovisionamiento automático de IPv6 reduce la cantidad real de direcciones que necesitan escaneo, escanearlo aún no es factible.
  • A menos que configure su propio dominio para proporcionarlo, Comcast no proporcionará búsquedas de DNS directas o inversas a sus direcciones IP de /64. Esto reduce en gran medida la capacidad de los atacantes para reconocer su red.
  • Ejecutar sin NAT facilita ciertos problemas de red y ciertamente hace que las tecnologías peer-to-peer no deseadas pero muy populares (ya sabes de lo que estoy hablando) sean mucho más fáciles de poner en funcionamiento.

Sin embargo, ejecutar sin un firewall sigue siendo una idea tan mala como lo es con IPv4. Afortunadamente, puedes realizar cortafuegos sin tener que utilizar NAT.

Segunda pregunta, ¿qué es eso del enlace local?

Piense en ello como si fuera capaz de alcanzar cualquier cosa en el dominio de transmisión actual y no se puede enrutar. Como el NetBEUI de antaño. De hecho, si su red doméstica es completamente plana, puede utilizar estas direcciones en lugar de direcciones locales únicas.

Tercera pregunta, ¿para qué sirve la identificación del alcance?

Se usa para dos cosas diferentes, lo que hace que resulte molesto describirlo:

Cosa 1:Multidifusión. Define hasta dónde se pretende que llegue el paquete de multidifusión.

Cosa 2:(A qué creo que te refieres) Esto se usa en un URI como una forma de definir qué interfaz usar. Se utiliza principalmente con direcciones de enlace local. Nunca debe usarse junto con la notación CIDR, por lo que las dos sintaxis nunca deben combinarse.

Respuesta2

No deberías utilizar una dirección que comience con fc00:

Como se explica en RFC 4193, es un prefijo de 7 bits. Todo lo que sigue a esos primeros 7 bits debe completarse como se explica en el RFC. El método actualmente definido siempre producirá una dirección que comience con fd. El 00 debe reemplazarse con números aleatorios, y los siguientes dos grupos de 16 bits también deben ser aleatorios, sumando un total de 40 bits.

Hay muchas páginas en Internet que pueden generar una para usted. Solo quiero ir a uno de esos sitios para obtener un ejemplo de cómo podría verse dicho prefijo fdae:a212:e94d::/48

Como señaló, esas direcciones son de unidifusión global, pero no se supone que sean enrutables globalmente. Si su enrutador los enruta externamente de forma predeterminada, sería una buena idea configurar filtros para evitarlo. Su flujo ascendente también debe filtrarse, por lo que solo se enrutarán fuera de su red si ambos tienen enrutadores mal configurados.

Respuesta3

todas las direcciones que comienzan con fe80: algo son de enlace local. Puede pensar en un "enlace" que son todas las computadoras conectadas a una red conmutada sin enrutadores. Entonces esas direcciones ipv6 solo se pueden usar para la comunicación en esa red.

Lo más difícil para nosotros, los humanos, probablemente sea que ahora las máquinas se configuran solas. Existe un protocolo llamado Neighbor Discovery Protocol (NDP) que se encarga de saludar a todas las demás máquinas de la red.

Si no desea que las máquinas accedan a Internet, entonces... simplemente no instale un enrutador.

PUEDES configurar ipv6 manualmente o con un servidor DHCP, pero no es necesario. Esa es una de las buenas noticias con ipv6.

información relacionada