여기서 IPv6에 대해 머리를 감는 데 어려움을 겪고 있습니다. 많은 용어가 링크-로컬, 사이트-로컬, 글로벌 유니캐스트, 범위 등에 대해 논의하면서 엔터프라이즈 수준의 IPv6 배포를 목표로 하는 것 같습니다. 홈 네트워크와 같은 매우 작은 네트워크에 대한 확실한 정보는 많지 않습니다. 내 생각을 확인하고 IPv4 언어에서 IPv6 언어로 올바르게 번역되고 있는지 확인하고 싶습니다.
첫 번째 질문은 IPv6용 RFC1918과 동등한 것이 무엇입니까?입니다. 초기 검색에서는 이에 상응하는 항목이 없다고 제안했습니다. 그런 다음 우연히 고유 로컬 주소(RFC4193)를 발견했는데, 이는 모든 ULA에 접두사를 할당해야 하고 fc00그 뒤에 라우팅 접두사에 40비트 임의의 숫자가 와야 한다고 명시되어 있습니다. 이 난수는 "두 개의 IPv6 네트워크가 상호 연결될 때 충돌을 방지"하기 위한 것입니다. 이는 다시 엔터프라이즈 수준 기능에 대한 또 다른 참조입니다.
집에 를 사용하여 번호가 매겨진 소규모 로컬 LAN이 있는 경우 192.168.4.0/24IPv6의 ULA 범위에서 이에 해당하는 것은 무엇입니까? 해당 IPv6 주소를 실제 인터넷에 절대로 연결하지 않을 것이라고 가정하면(라우터가 NAT 및 방화벽을 수행함) RFC를 어느 정도 무시하고 계속할 수 있습니까 fc00::4:0/120?
fc00::/7또한 모든 주소는 전 세계적으로 라우팅 가능한 것으로 보입니다 . 이는 내 라우터가 이러한 개인 IPv6 주소를 전 세계에 자동으로 광고하기 시작하지 않도록 추가 보호가 필요하다는 것을 의미합니까?
두 번째 질문입니다. 이 링크 로컬은 무엇인가요? 읽으면 fe80::/10인터페이스의 MAC 주소로 구성된 주소의 마지막 64비트를 포함하는 범위 에서 기본 할당 주소를 제안합니다 . 꼭 필요한 것 같기도 한데, 기업 네트워크와 관련해 끊임없이 논의되는 게 짜증스럽습니다.
세 번째 질문, 범위 ID는 무엇입니까? 특히 기업 네트워크를 상호 연결할 때 기업 네트워크와 관련하여 사용되는 또 다른 용어인 것 같지만 소규모 홈 네트워크 수준에 대해서는 설명이 거의 없습니다.
범위 ID와 CIDR 표기법을 함께 볼 수 있나요? 즉 fc00::4:0/120%6, 범위 ID는 단일 /128 IPv6 주소에만 적용되어야 합니까?
답변1
"고유 로컬 주소"가 바로 당신이 찾고 있는 것입니다. fc00::/7당신에게 충분한 비트를 제공합니다하나를 선택하는 대신 임의의 숫자를 생성하는 경우충돌 가능성은 적습니다.
이는 내 라우터가 이러한 개인 IPv6 주소를 전 세계에 자동으로 광고하기 시작하지 않도록 추가 보호가 필요하다는 의미입니까?
이러한 ULA를 다루는 RFC(RFC4193) 구체적으로 이 숫자가 다음과 같이 명시되어 있습니다.해서는 안 된다두 피어가 특정 접두사를 전달하는 데 상호 동의할 수도 있지만 인터넷에서 라우팅됩니다. Comcast가 이러한 경로를 일방적으로 결정하지 않는 한(극단적인 가능성은 낮음) 경로 광고에 대해 걱정할 필요가 없습니다.
해당 IPv6 주소를 실제 인터넷에 절대로 연결하지 않을 것이라고 가정하면(라우터가 NAT 및 방화벽을 수행함) RFC를 어느 정도 무시하고 fc00::4:0/120을 사용할 수 있습니까?
그렇게 가정하지 마십시오. 예를 들어,Comcast는 현재 IPv6 시험을 진행하고 있습니다.그리고최종 사용자에게 /64를 전달하고 있습니다.(슬라이드 5); IPv4를 사용하는 단일 주소만이 아닙니다. 즉, 현재 실행 중인 IPv6 테스터에는 전역적으로 라우팅 가능한 주소로 실행하지만 라우터에 의해 방화벽이 설정되어 있거나 링크 로컬 또는 고유 글로벌 주소를 사용하여 일종의 NAT를 수행하는 옵션이 있습니다.
그러나 어떤 종류의 주소 변환도 없이 실행 중입니다.나쁜 생각은 아닌 것 같은데. 몇 가지 사항을 명심하십시오.
- Comcast는 /64 서브넷을 귀하에게 전달하므로 공격자는 귀하의 IP 공간이 어떻게 생겼는지 이미 알고 있습니다.
- /64는 믿을 수 없을 정도로 엄청난 수의 잠재적 주소를 제공합니다. 2^64 상당! 이는 40억 개의 IPv4 인터넷 가치에 해당하는 IP 주소입니다. (2^64 == 2^32 * 2^32. 40억 x 40억 .) IPv6 자동 프로비저닝의 특성상 검사가 필요한 실제 주소 수는 줄어들지만 검사는 여전히 불가능합니다.
- 이를 제공하기 위해 자체 도메인을 설정하지 않는 한 Comcast는 /64 상당의 IP 주소에 대한 정방향 또는 역방향 DNS 조회를 제공하지 않습니다. 이로 인해 공격자가 네트워크를 정찰할 수 있는 능력이 크게 감소합니다.
- NAT 없이 실행하면 특정 네트워크 문제가 더 쉬워지고, 바람직하지 않지만 매우 인기 있는 P2P 기술(무슨 말인지 아시겠지만)을 시작하고 실행하기가 훨씬 쉬워집니다.
그러나 방화벽 없이 실행하는 것은 IPv4를 사용하는 것과 마찬가지로 여전히 나쁜 생각입니다. 다행스럽게도 NAT를 사용하지 않고도 방화벽을 설정할 수 있습니다.
두 번째 질문입니다. 이 링크 로컬은 무엇인가요?
현재 브로드캐스트 도메인의 모든 항목에 도달할 수 있지만 라우팅할 수 없다고 생각하세요. 예전의 NetBEUI처럼 말이죠. 실제로 홈 네트워크가 완전히 평면적이라면 고유 로컬 주소 대신 이 주소를 사용할 수 있습니다.
세 번째 질문, 범위 ID는 무엇입니까?
이는 두 가지 다른 용도로 사용되므로 설명하기가 짜증납니다.
일 1:멀티캐스트. 멀티캐스트 패킷이 도달할 거리를 정의합니다.
두 번째:(내 생각에 당신이 말하는 것) 이것은 사용할 인터페이스를 정의하는 방법으로 URI에서 사용됩니다. 주로 링크 로컬 주소와 함께 사용됩니다. CIDR 표기법과 함께 사용하면 안 되므로 두 구문을 결합하면 안 됩니다.
답변2
fc00으로 시작하는 주소를 사용하면 안 됩니다.
RFC 4193에 설명된 대로 이는 7비트 접두사입니다. 처음 7비트 이후의 모든 항목은 RFC에 설명된 대로 채워져야 합니다. 현재 정의된 메소드는 항상 fd로 시작하는 주소를 생성합니다. 00은 난수로 대체되어야 하며, 다음 2개의 16비트 그룹도 무작위로 이루어져 총 40비트가 되어야 합니다.
인터넷에는 페이지를 생성할 수 있는 페이지가 많이 있습니다. 나는 그러한 접두사가 fdae:a212:e94d::/48처럼 보일 수 있는 예를 얻기 위해 해당 사이트 중 하나를 원합니다.
지적한 대로 해당 주소는 전역 유니캐스트이지만 전역적으로 라우팅할 수는 없습니다. 라우터가 기본적으로 외부로 라우팅하는 경우 이를 방지하도록 필터를 구성하는 것이 좋습니다. 업스트림도 필터링해야 하므로 둘 다 라우터가 잘못 구성된 경우에만 네트워크 외부로 라우팅됩니다.
답변3
fe80:something으로 시작하는 모든 주소는 링크 로컬입니다. 라우터 없이 스위치 네트워크에 연결된 모든 컴퓨터를 "링크"라고 생각할 수 있습니다. 따라서 해당 ipv6 주소는 해당 네트워크에서의 통신에만 사용할 수 있습니다.
우리 인간에게 가장 어려운 부분은 아마도 이제 기계가 스스로 구성한다는 것입니다. 네트워크의 다른 모든 시스템에 "안녕하세요"라고 말하는 NDP(Neighbor Discovery Protocol)라는 프로토콜이 있습니다.
컴퓨터가 인터넷에 액세스하는 것을 원하지 않는다면... 라우터를 설치하지 마세요.
직접 또는 DHCP 서버를 사용하여 ipv6을 설정할 수 있지만 반드시 그럴 필요는 없습니다. 이는 ipv6의 좋은 소식 중 하나입니다.