Co to jest IPv6 równoważny adresom IPv4 RFC1918?

28

Trudno mi się tutaj owinąć wokół IPv6. Wiele żargonów wydaje się być ukierunkowanych na wdrożenia IPv6 na poziomie przedsiębiorstwa, omawiając lokalne łącza, lokalne strony, globalną emisję pojedynczą, zakresy itp. Niewiele solidnych informacji w naprawdę małych sieciach, takich jak sieci domowe. Chcę sprawdzić moje myślenie i upewnić się, że otrzymuję prawidłowe tłumaczenia z IPv4-speak na IPv6-speak.

Pierwsze pytanie brzmi: jaki jest odpowiednik RFC1918 dla IPv6? Wstępne wyszukiwania sugerowały, że nie ma odpowiednika. Potem natknąłem się na unikalne adresy lokalne (RFC4193), które stwierdzają, że wszystkim ULA należy przypisać prefiks fc00, a następnie 40-bitową liczbę losową w prefiksie routingu. Ta liczba losowa ma „zapobiegać kolizjom, gdy dwie sieci IPv6 są ze sobą połączone” - ponownie, kolejne odniesienie do funkcji na poziomie przedsiębiorstwa.

Jeśli mam w domu małą lokalną sieć LAN, numerowaną za pomocą 192.168.4.0/24, jaki jest mój odpowiednik w zakresie ULA IPv6? Zakładając, że nigdy nie powiążę tego adresu IPv6 z prawdziwym Internetem (router NAT i zapora ogniowa), czy mogę zignorować RFC do pewnego stopnia i iść z tym fc00::4:0/120?

Wydaje się również, że każdy adres fc00::/7ma być globalnie routowalny. Czy to oznacza, że ​​będę potrzebował dodatkowych zabezpieczeń, aby mój router nie zaczął automatycznie reklamować tych prywatnych adresów IPv6 na świecie?

Drugie pytanie, co to za połączenie lokalne? Odczyt sugeruje domyślnie przypisany adres w fe80::/10zakresie, który zawiera ostatnie 64 bity adresu złożonego z adresu MAC interfejsu. Wydaje się, że jest to również wymagane, ale denerwuje mnie ciągła dyskusja na ten temat w odniesieniu do sieci przedsiębiorstw.

Trzecie pytanie, do czego służy identyfikator zakresu? Wydaje się, że to kolejny termin rzucany w odniesieniu do sieci korporacyjnych, szczególnie podczas ich łączenia, ale prawie nie ma wyjaśnienia na mniejszym poziomie sieci domowej.

Czy mogę zobaczyć razem identyfikator ID i notację CIDR? To znaczy, fc00::4:0/120%6czy identyfikatory zakresu powinny być stosowane tylko do pojedynczego adresu / 128 IPv6?

Kumba
źródło
Jeśli szukasz bardziej praktycznych informacji na temat wdrażania IPv6, tunnelbroker.net da ci rzeczywistą przestrzeń do IPv6 do zabawy, a także szereg samouczków i ćwiczeń na ten temat.
MikeyB
Twoje założenie (nigdy nie wiąże się z Internetem) jest ignoranckie. Co się stanie, jeśli zaczniesz pracować dla firmy i masz VPN, a oni korzystają z tej samej sieci? Upewnienie się, że twoja prywatna przestrzeń jest wyjątkowa, niekoniecznie jest przedsięwzięciem korporacyjnym - istnieją dobre powody, aby nie używać 192.168.xx, ponieważ każdy router wydaje się być skonfigurowany w ten sposób, a następne zadanie może wymagać od ciebie połączenia się z firmą.
TomTom
1
@TomTom, chociaż „ignorant” jest technicznie terminem neutralnym, często nie jest tak często używany . Potocznie wydaje się niepotrzebnie szorstki i równie łatwo można go zastąpić słowem „nie ma racji” lub podobnym.
tgm1024

Odpowiedzi:

12

„Unikalny adres lokalny” jest dokładnie tym, czego szukasz. fc00::/7daje wystarczającą liczbę bitów, że jeśli wygenerujesz losową liczbę, a nie tylko jedną, szanse na kolizję są niewielkie.

Czy to oznacza, że ​​będę potrzebował dodatkowych zabezpieczeń, aby mój router nie zaczął automatycznie reklamować tych prywatnych adresów IPv6 na świecie?

RFC, które obejmuje te ULA ( RFC4193 ), wyraźnie stwierdza, że ​​numery te nie powinny być kierowane przez Internet, chociaż dwóch partnerów może wzajemnie uzgodnić przekazanie pewnych prefiksów. O ile Comcast nie zdecyduje się na jednostronne trasowanie (mało prawdopodobne), nie powinieneś martwić się reklamą trasy.

Zakładając, że nigdy nie powiążę tego adresu IPv6 z prawdziwym Internetem (router NAT i zapora ogniowa), czy mogę zignorować RFC do pewnego stopnia i przejść do fc00 :: 4: 0/120?

Nie zakładaj tego. Na przykład Comcast prowadzi obecnie testy IPv6 i przekazuje / 64 użytkownikom końcowym (slajd 5); nie tylko jeden adres, który robią z IPv4. Oznacza to, że ich obecnie działające testery IPv6 mają opcję uruchamiania z adresami globalnie trasowanymi, ale zaporą ogniową przez router lub wykonują jakąś translację NAT za pomocą adresów lokalnych lub unikalnych globalnych.

Jednak uruchamianie bez translacji adresów nie jest tak szalone, jak się wydaje . Pamiętaj o kilku punktach.

  • Comcast rozdaje ci podsieć / 64, więc twój napastnik już wie, jak wygląda twoja przestrzeń IP.
  • A / 64 zapewnia zadziwiająco dużą liczbę potencjalnych adresów. 2 ^ 64 warte! To cztery miliardy adresów IP Internetu IPv4. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Cztery miliardy razy cztery miliardy). Podczas gdy natura automatycznej regulacji IPv6 zmniejsza faktyczną liczbę adresów, które wymagają skanowania, skanowanie jest nadal niemożliwe.
  • O ile nie skonfigurujesz własnej domeny do jej zapewniania, Comcast nie będzie zapewniać wyszukiwania DNS w przód ani w tył do adresów IP o wartości / 64. To znacznie zmniejsza zdolność atakujących do ponownego uruchomienia sieci.
  • Uruchamianie bez translacji NAT ułatwia pewne problemy z siecią i na pewno sprawia, że ​​niepożądane, ale bardzo popularne technologie peer-to-peer (wiesz o czym mówię) są znacznie łatwiejsze do uruchomienia.

Jednak działanie bez zapory jest nadal tak szalone, jak się wydaje. Na szczęście możesz wykonywać zaporę ogniową bez konieczności NAT.

Drugie pytanie, co to za połączenie lokalne?

Pomyśl o tym, że jest w stanie dotrzeć do czegokolwiek w bieżącej domenie rozgłoszeniowej i nie może zostać przekierowany. Jak NetBEUI-of-old. W rzeczywistości, jeśli sieć domowa jest całkowicie płaska, możesz użyć tych adresów zamiast unikalnych adresów lokalnych.

Trzecie pytanie, do czego służy identyfikator zakresu?

Jest używany do dwóch różnych rzeczy, co sprawia, że ​​denerwujące jest opisanie:

Rzecz 1: Multicast. Określa, jak daleko ma dotrzeć pakiet multiemisji.

Rzecz 2: (To, o czym myślę, że masz na myśli) Jest to używane w identyfikatorze URI jako sposób definiowania, którego interfejsu należy użyć. Jest używany głównie z adresami lokalnymi dla łącza. Nigdy nie należy go używać w połączeniu z notacją CIDR, więc nigdy nie należy łączyć dwóch składni.

sysadmin1138
źródło
Nie uważam NAT za „istotny” dla bezpieczeństwa, ale uważam to za niezwykle przydatne. Jednak w większości moja sieć domowa jest w większości płaska. Jednak majstrowałem przy VLAN-ach na moim routerze, więc korzystanie z lokalnych łączy wydaje się być niemożliwe, szczególnie jeśli są one automatycznie określane. Pewna kontrola nad własnymi numeracjami przemawia do mnie, więc będę musiał przyjrzeć się więcej fc00::7.
Kumba
Identyfikator zakresu wydaje się prawie rzeczą Microsoftu. Nigdy o tym nie słyszałem, dopóki nie natknąłem się na artykuł MSDN IPv6. Rzadko widziałem kilka odniesień do tego w dokumentacji FreeBSD.
Kumba
Ta odpowiedź obejmuje różne rzeczy. Jeszcze więcej badań do zrobienia, ale teraz sprawy są nieco jaśniejsze. Dzięki!
Kumba
@Kumba Przekazałem większość tego z mojego posta na blogu jakiś czas temu. Dobra ściągawka: sysadmin1138.net/mt/blog/2010/09/…
sysadmin1138
3
@Kumba A / 64 jest najmniejszą podsiecią v6 dozwoloną przez specyfikację IPv6. Możesz zmieścić 34 000 000/64 alokacji (2x liczba abonentów Comcast 2009) w pojedynczej alokacji / 36. Ponieważ Comcast ma co najmniej 32 / (2001: 558/32), mogą sobie pozwolić na liberalność. Prawdopodobnie nie będą potrzebować kolejnego / 32 przez bardzo długi czas.
sysadmin1138
5

Nie powinieneś używać adresu zaczynającego się od fc00:

Jak wyjaśniono w RFC 4193, jest to 7-bitowy przedrostek. Wszystko po tych pierwszych 7 bitach należy wypełnić, jak wyjaśniono w RFC. Obecnie zdefiniowana metoda zawsze wygeneruje adres, który zaczyna się od fd. 00 należy zastąpić liczbami losowymi, a kolejne dwie grupy 16 bitów powinny być również losowe, co w sumie daje 40 bitów.

Istnieje wiele stron w Internecie, które mogą wygenerować jedną dla Ciebie. Chcę tylko na jednej z tych stron, aby uzyskać przykład tego, jak taki prefiks mógłby wyglądać fdae: a212: e94d :: / 48

Jak wskazałeś, adresy te są globalną emisją pojedynczą, ale nie powinny być globalnie routowalne. Jeśli router domyślnie kieruje je zewnętrznie, dobrym pomysłem byłoby skonfigurowanie filtrów, aby temu zapobiec. Twój serwer nadrzędny powinien również filtrować, więc będą kierowane poza Twoją sieć tylko wtedy, gdy obaj macie źle skonfigurowane routery.

Kasper
źródło
Nie jestem. Wiem, że fc00 :: / 8 nie ma jeszcze sensu w życiu, dlatego obecnie jestem w podsieci fd00 :: / 8 dla mojej sieci domowej. I nie interesują mnie losowe adresy. Mój ISP nawet nie oferuje jeszcze IPv6, więc jest to ściśle wewnętrzne, więc trzymam się czegoś, co naprawdę pamiętam.
Kumba
Co najmniej jeden projekt opiera się na fc00 :: / 8: Cjdns
Vi.
3

wszystkie adresy zaczynające się od fe80: coś jest linkiem lokalnym. Można sobie wyobrazić, że „łącze” oznacza wszystkie komputery podłączone do przełączanej sieci bez routerów. Tak więc te adresy ipv6 mogą być używane tylko do komunikacji w tej sieci.

Najtrudniejszą częścią dla nas ludzi jest prawdopodobnie to, że maszyny same się teraz konfigurują. Istnieje protokół o nazwie Neighbor Discovery Protocol (NDP), który zajmuje się przywitaniem wszystkich innych komputerów w sieci.

Jeśli nie chcesz, aby maszyny miały dostęp do Internetu, to ... po prostu nie instaluj routera.

Możesz skonfigurować ipv6 ręcznie lub z serwerem DHCP, ale nie musisz. To jedna z dobrych wiadomości z ipv6.

Arno Teigseth
źródło
@Arno: Ach, więc jeśli mam skrzynkę, do której mam SSH w mojej wewnętrznej sieci LAN, mogę po prostu użyć adresu lokalnego łącza do SSH? Czy nadal mogę ręcznie skonfigurować ten fe80::/10adres na coś, co lubię? A może będzie ustawiony automatycznie na podstawie projektu IPv6 (i konkretnej implementacji stosu systemu operacyjnego)?
Kumba
PS: Maszyny, które same się konfigurują. Hmm, gdzie to widziałem? :)
Kumba
Prawdopodobnie widziałeś samokonfigurujące się maszyny w jakimś filmie :) Po prostu nie pozwól im się wystartować, bo inaczej zostaniemy zdominowani.
Arno Teigseth,
1
o konfiguracji: en.wikipedia.org/wiki/Link-local_address (system operacyjny pobiera adres MAC karty sieciowej, robi kilka sztuczek i kończy się na fe80: coś. Brzydkie szczegóły są na tools.ietf.org / html / rfc4862 , wyszukaj fe80 ...)
Arno Teigseth
Rzeczywiście brzydkie szczegóły.
Kumba