Co to jest IPv6 równoważny adresom IPv4 RFC1918?

Trudno mi się tutaj owinąć wokół IPv6. Wiele żargonów wydaje się być ukierunkowanych na wdrożenia IPv6 na poziomie przedsiębiorstwa, omawiając lokalne łącza, lokalne strony, globalną emisję pojedynczą, zakresy itp. Niewiele solidnych informacji w naprawdę małych sieciach, takich jak sieci domowe. Chcę sprawdzić moje myślenie i upewnić się, że otrzymuję prawidłowe tłumaczenia z IPv4-speak na IPv6-speak.

Pierwsze pytanie brzmi: jaki jest odpowiednik RFC1918 dla IPv6? Wstępne wyszukiwania sugerowały, że nie ma odpowiednika. Potem natknąłem się na unikalne adresy lokalne (RFC4193), które stwierdzają, że wszystkim ULA należy przypisać prefiks fc00, a następnie 40-bitową liczbę losową w prefiksie routingu. Ta liczba losowa ma „zapobiegać kolizjom, gdy dwie sieci IPv6 są ze sobą połączone” - ponownie, kolejne odniesienie do funkcji na poziomie przedsiębiorstwa.

Jeśli mam w domu małą lokalną sieć LAN, numerowaną za pomocą 192.168.4.0/24, jaki jest mój odpowiednik w zakresie ULA IPv6? Zakładając, że nigdy nie powiążę tego adresu IPv6 z prawdziwym Internetem (router NAT i zapora ogniowa), czy mogę zignorować RFC do pewnego stopnia i iść z tym fc00::4:0/120?

Wydaje się również, że każdy adres fc00::/7ma być globalnie routowalny. Czy to oznacza, że ​​będę potrzebował dodatkowych zabezpieczeń, aby mój router nie zaczął automatycznie reklamować tych prywatnych adresów IPv6 na świecie?

Drugie pytanie, co to za połączenie lokalne? Odczyt sugeruje domyślnie przypisany adres w fe80::/10zakresie, który zawiera ostatnie 64 bity adresu złożonego z adresu MAC interfejsu. Wydaje się, że jest to również wymagane, ale denerwuje mnie ciągła dyskusja na ten temat w odniesieniu do sieci przedsiębiorstw.

Trzecie pytanie, do czego służy identyfikator zakresu? Wydaje się, że to kolejny termin rzucany w odniesieniu do sieci korporacyjnych, szczególnie podczas ich łączenia, ale prawie nie ma wyjaśnienia na mniejszym poziomie sieci domowej.

Czy mogę zobaczyć razem identyfikator ID i notację CIDR? To znaczy, fc00::4:0/120%6czy identyfikatory zakresu powinny być stosowane tylko do pojedynczego adresu / 128 IPv6?

„Unikalny adres lokalny” jest dokładnie tym, czego szukasz. fc00::/7daje wystarczającą liczbę bitów, że jeśli wygenerujesz losową liczbę, a nie tylko jedną, szanse na kolizję są niewielkie.

Czy to oznacza, że ​​będę potrzebował dodatkowych zabezpieczeń, aby mój router nie zaczął automatycznie reklamować tych prywatnych adresów IPv6 na świecie?

RFC, które obejmuje te ULA ( RFC4193 ), wyraźnie stwierdza, że ​​numery te nie powinny być kierowane przez Internet, chociaż dwóch partnerów może wzajemnie uzgodnić przekazanie pewnych prefiksów. O ile Comcast nie zdecyduje się na jednostronne trasowanie (mało prawdopodobne), nie powinieneś martwić się reklamą trasy.

Zakładając, że nigdy nie powiążę tego adresu IPv6 z prawdziwym Internetem (router NAT i zapora ogniowa), czy mogę zignorować RFC do pewnego stopnia i przejść do fc00 :: 4: 0/120?

Nie zakładaj tego. Na przykład Comcast prowadzi obecnie testy IPv6 i przekazuje / 64 użytkownikom końcowym (slajd 5); nie tylko jeden adres, który robią z IPv4. Oznacza to, że ich obecnie działające testery IPv6 mają opcję uruchamiania z adresami globalnie trasowanymi, ale zaporą ogniową przez router lub wykonują jakąś translację NAT za pomocą adresów lokalnych lub unikalnych globalnych.

Jednak uruchamianie bez translacji adresów nie jest tak szalone, jak się wydaje . Pamiętaj o kilku punktach.

• Comcast rozdaje ci podsieć / 64, więc twój napastnik już wie, jak wygląda twoja przestrzeń IP.
• A / 64 zapewnia zadziwiająco dużą liczbę potencjalnych adresów. 2 ^ 64 warte! To cztery miliardy adresów IP Internetu IPv4. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Cztery miliardy razy cztery miliardy). Podczas gdy natura automatycznej regulacji IPv6 zmniejsza faktyczną liczbę adresów, które wymagają skanowania, skanowanie jest nadal niemożliwe.
• O ile nie skonfigurujesz własnej domeny do jej zapewniania, Comcast nie będzie zapewniać wyszukiwania DNS w przód ani w tył do adresów IP o wartości / 64. To znacznie zmniejsza zdolność atakujących do ponownego uruchomienia sieci.
• Uruchamianie bez translacji NAT ułatwia pewne problemy z siecią i na pewno sprawia, że ​​niepożądane, ale bardzo popularne technologie peer-to-peer (wiesz o czym mówię) są znacznie łatwiejsze do uruchomienia.

Jednak działanie bez zapory jest nadal tak szalone, jak się wydaje. Na szczęście możesz wykonywać zaporę ogniową bez konieczności NAT.

Drugie pytanie, co to za połączenie lokalne?

Pomyśl o tym, że jest w stanie dotrzeć do czegokolwiek w bieżącej domenie rozgłoszeniowej i nie może zostać przekierowany. Jak NetBEUI-of-old. W rzeczywistości, jeśli sieć domowa jest całkowicie płaska, możesz użyć tych adresów zamiast unikalnych adresów lokalnych.

Trzecie pytanie, do czego służy identyfikator zakresu?

Jest używany do dwóch różnych rzeczy, co sprawia, że ​​denerwujące jest opisanie:

Rzecz 1: Multicast. Określa, jak daleko ma dotrzeć pakiet multiemisji.

Rzecz 2: (To, o czym myślę, że masz na myśli) Jest to używane w identyfikatorze URI jako sposób definiowania, którego interfejsu należy użyć. Jest używany głównie z adresami lokalnymi dla łącza. Nigdy nie należy go używać w połączeniu z notacją CIDR, więc nigdy nie należy łączyć dwóch składni.

Nie powinieneś używać adresu zaczynającego się od fc00:

Jak wyjaśniono w RFC 4193, jest to 7-bitowy przedrostek. Wszystko po tych pierwszych 7 bitach należy wypełnić, jak wyjaśniono w RFC. Obecnie zdefiniowana metoda zawsze wygeneruje adres, który zaczyna się od fd. 00 należy zastąpić liczbami losowymi, a kolejne dwie grupy 16 bitów powinny być również losowe, co w sumie daje 40 bitów.

Istnieje wiele stron w Internecie, które mogą wygenerować jedną dla Ciebie. Chcę tylko na jednej z tych stron, aby uzyskać przykład tego, jak taki prefiks mógłby wyglądać fdae: a212: e94d :: / 48

Jak wskazałeś, adresy te są globalną emisją pojedynczą, ale nie powinny być globalnie routowalne. Jeśli router domyślnie kieruje je zewnętrznie, dobrym pomysłem byłoby skonfigurowanie filtrów, aby temu zapobiec. Twój serwer nadrzędny powinien również filtrować, więc będą kierowane poza Twoją sieć tylko wtedy, gdy obaj macie źle skonfigurowane routery.

wszystkie adresy zaczynające się od fe80: coś jest linkiem lokalnym. Można sobie wyobrazić, że „łącze” oznacza wszystkie komputery podłączone do przełączanej sieci bez routerów. Tak więc te adresy ipv6 mogą być używane tylko do komunikacji w tej sieci.

Najtrudniejszą częścią dla nas ludzi jest prawdopodobnie to, że maszyny same się teraz konfigurują. Istnieje protokół o nazwie Neighbor Discovery Protocol (NDP), który zajmuje się przywitaniem wszystkich innych komputerów w sieci.

Jeśli nie chcesz, aby maszyny miały dostęp do Internetu, to ... po prostu nie instaluj routera.

Możesz skonfigurować ipv6 ręcznie lub z serwerem DHCP, ale nie musisz. To jedna z dobrych wiadomości z ipv6.