С трудом укладываюсь в голове по поводу IPv6. Большая часть жаргона, похоже, нацелена на развертывания IPv6 на уровне предприятия, обсуждая link-local, site-local, global unicast, scopes и т. д. Не так много надежной информации о действительно маленьких сетях, таких как домашние сети. Я хочу проверить свои мысли и убедиться, что получаю правильные переводы с IPv4-speak на IPv6-speak.
Первый вопрос: что эквивалентно RFC1918 для IPv6? Первоначальные поиски показали, что эквивалента нет. Затем я наткнулся на Unique Local Addresses (RFC4193), и в нем говорится, что всем ULA следует назначить префикс fc00, за которым следует 40-битное случайное число в префиксе маршрутизации. Это случайное число должно «предотвращать коллизии при соединении двух сетей IPv6» — снова еще одна ссылка на функцию корпоративного уровня.
Если у меня дома небольшая локальная сеть LAN, пронумерованная с помощью 192.168.4.0/24, какой у меня эквивалент в области действия ULA IPv6? Предполагая, что я никогда, никогда не привяжу этот адрес IPv6 к реальному интернету (маршрутизатор будет транслировать NAT и брандмауэром), могу ли я в какой-то степени игнорировать RFC и использовать fc00::4:0/120?
Также кажется, что любой адрес в fc00::/7должен быть глобально маршрутизируемым. Означает ли это, что мне понадобятся дополнительные меры защиты, чтобы мой маршрутизатор автоматически не начал рекламировать эти частные адреса IPv6 миру?
Второй вопрос, что это за link-local штука? Чтение предполагает адрес, назначенный по умолчанию в диапазоне, fe80::/10в котором последние 64 бита адреса состоят из MAC-адреса интерфейса. Кажется, это тоже требуется, но меня раздражает постоянное обсуждение этого в отношении корпоративных сетей.
Третий вопрос, для чего нужен scope id? Кажется, это еще один термин, который часто употребляется в отношении корпоративных сетей, особенно при их соединении, но почти нет объяснений на уровне небольших домашних сетей.
Могу ли я увидеть идентификатор области и нотацию CIDR, используемые вместе? То есть fc00::4:0/120%6, или идентификаторы области должны применяться только к одному адресу IPv6 /128?
решение1
«Уникальный локальный адрес» — это именно то, что вы ищете. fc00::/7Он дает вам достаточно информации,если вы сгенерируете случайное число, а не просто выберете одновероятность столкновения мала.
Означает ли это, что мне понадобятся дополнительные меры защиты, чтобы мой маршрутизатор не начал автоматически рекламировать эти частные адреса IPv6 всему миру?
RFC, который охватывает эти ULA (RFC4193) конкретно говорится, что эти цифрыне должнамаршрутизироваться в Интернете, хотя два пира могут взаимно согласиться передавать определенные префиксы. Если только Comcast не решит в одностороннем порядке маршрутизировать их (что маловероятно в крайнем случае), вам не следует беспокоиться об объявлении маршрута.
Если предположить, что я никогда не свяжу этот адрес IPv6 с реальным Интернетом (маршрутизатор будет преобразовывать его в NAT и использовать межсетевой экран), могу ли я в какой-то степени проигнорировать RFC и использовать fc00::4:0/120?
Не думайте, что. Например,Comcast в настоящее время проводит испытания IPv6.иони раздают /64 конечным пользователям(слайд 5); не только один адрес, который они делают с IPv4. Это означает, что их нынешние тестеры IPv6 имеют возможность работать с глобально маршрутизируемыми адресами, но с файрволом их маршрутизатора, или делать что-то вроде NAT либо с локальными адресами, либо с уникальными глобальными адресами.
Однако работа без какой-либо трансляции адресовне такая уж плохая идея, как может показаться. Помните о нескольких моментах.
- Comcast выделяет вам подсеть /64, поэтому злоумышленник уже знает, как выглядит ваше IP-пространство.
- /64 предоставляет невероятно огромное количество потенциальных адресов. Значение 2^64! Это четыре миллиарда IPv4-адресов Интернета. (2^64 == 2^32 * 2^32. Четыре миллиарда умножить на четыре миллиарда.) Хотя природа автоматического предоставления IPv6 уменьшает фактическое количество адресов, которые необходимо сканировать, сканирование все еще невыполнимо.
- Если вы не настроите свой собственный домен для предоставления этого, Comcast не будет предоставлять прямой или обратный DNS-запрос к вашим IP-адресам /64. Это значительно снижает возможность злоумышленников разведать вашу сеть.
- Работа без NAT упрощает решение некоторых сетевых проблем и, безусловно, значительно упрощает настройку и запуск нежелательных, но очень популярных одноранговых технологий (вы понимаете, о чем я говорю).
Хотя запуск без брандмауэра — это такая же плохая идея, как и с IPv4. К счастью, вы можете использовать брандмауэр без необходимости NAT.
Второй вопрос: что это за штука с локальными ссылками?
Думайте об этом как о способном достичь чего угодно в текущем широковещательном домене, и не может быть маршрутизировано. Как NetBEUI-of-old. Фактически, если ваша домашняя сеть полностью плоская, вы можете использовать эти адреса вместо уникальных локальных адресов.
Третий вопрос: для чего нужен идентификатор области действия?
Он используется для двух разных целей, что делает его описание неудобным:
Вещь 1:Многоадресная передача. Определяет, насколько далеко должен дойти многоадресный пакет.
Вещь 2:(Я думаю, вы имеете в виду) Это используется в URI как способ определения того, какой интерфейс использовать. Это используется в основном с локальными адресами ссылок. Это никогда не должно использоваться вместе с нотацией CIDR, поэтому эти два синтаксиса никогда не следует объединять.
решение2
Не следует использовать адрес, начинающийся с fc00:
Как объясняется в RFC 4193, это 7-битный префикс. Все после этих первых 7 бит должно быть заполнено, как описано в RFC. Метод, определенный в настоящее время, всегда будет создавать адрес, начинающийся с fd. 00 следует заменить случайными числами, а следующие две группы по 16 бит также должны быть случайными, что в общей сложности составит 40 бит.
В интернете есть много страниц, которые могут сгенерировать его для вас. Я просто хочу зайти на один из этих сайтов, чтобы получить пример того, как может выглядеть такой префикс fdae:a212:e94d::/48
Как вы отметили, эти адреса являются глобальными одноадресными, но они не должны быть глобально маршрутизируемыми. Если ваш маршрутизатор маршрутизирует их наружу по умолчанию, было бы неплохо настроить фильтры, чтобы предотвратить это. Ваш восходящий поток также должен фильтровать, поэтому они будут маршрутизироваться за пределы вашей сети, только если у вас обоих неправильно настроены маршрутизаторы.
решение3
все адреса, начинающиеся с fe80: something, являются локальными для связи. Вы можете представить себе "связь" как все компьютеры, подключенные к коммутируемой сети без маршрутизаторов. Поэтому эти адреса ipv6 могут использоваться только для связи в этой сети.
Самое сложное для нас, людей, это, вероятно, то, что машины теперь настраивают себя сами. Существует протокол, который называется Neighbour Discovery Protocol (NDP), который заботится о том, чтобы сказать "привет" всем другим машинам в сети.
Если вы не хотите, чтобы машины имели доступ к Интернету, то... просто не устанавливайте маршрутизатор.
Вы МОЖЕТЕ настроить ipv6 вручную или с помощью DHCP-сервера, но вам это не нужно. Это одна из хороших новостей с ipv6.