Was ist das IPv6-Äquivalent zu IPv4-RFC1918-Adressen?

28

Es fällt mir schwer, mich hier mit IPv6 zu beschäftigen. Ein Großteil der Fachsprache scheint auf IPv6-Bereitstellungen auf Unternehmensebene ausgerichtet zu sein, in denen es um verbindungslokale, standortlokale, globale Unicast-Dienste, Bereiche usw. geht. Ich möchte meine Überlegungen überprüfen und sicherstellen, dass ich die richtigen Übersetzungen von IPv4-speak zu IPv6-speak erhalte.

Die erste Frage ist, was entspricht RFC1918 für IPv6? Erste Suchanfragen deuteten darauf hin, dass es keine Entsprechung gab. Dann bin ich auf eindeutige lokale Adressen gestoßen (RFC4193), und das besagt, dass allen ULAs das Präfix zugewiesen werden sollte fc00, gefolgt von einer 40-Bit-Zufallszahl im Routing-Präfix. Diese Zufallszahl soll "Kollisionen verhindern, wenn zwei IPv6-Netzwerke miteinander verbunden sind" - ein weiterer Verweis auf eine Funktion auf Unternehmensebene.

Wenn ich zu Hause ein kleines lokales LAN habe, das mit einer Nummer versehen ist 192.168.4.0/24, was entspricht mir im ULA-Bereich von IPv6? Unter der Annahme, dass ich diese IPv6-Adresse niemals mit dem echten Internet verknüpfen werde (ein Router wird NAT- und Firewall-fähig sein), kann ich den RFC bis zu einem gewissen Grad ignorieren und mitmachen fc00::4:0/120?

Es scheint auch, dass jede Adresse in fc00::/7global routingfähig sein soll. Bedeutet dies, dass ich zusätzlichen Schutz benötige, damit mein Router diese privaten IPv6-Adressen nicht automatisch der Welt bekannt gibt?

Zweite Frage, was ist das für eine Link-lokale Sache? Das Lesen schlägt eine voreingestellte Adresse in dem fe80::/10Bereich vor, in dem die letzten 64 Bit der Adresse aus der MAC-Adresse der Schnittstelle bestehen. Scheint auch erforderlich zu sein, aber ich ärgere mich über die ständige Diskussion darüber in Bezug auf Unternehmensnetzwerke.

Dritte Frage, wozu dient die Scope-ID? Scheint ein weiterer Begriff zu sein, der sich in Bezug auf Unternehmensnetzwerke herumwirbelt, insbesondere wenn sie miteinander verbunden werden, aber auf der Ebene kleinerer Heimnetzwerke fast keine Erklärung findet.

Kann ich eine Scope-ID UND CIDR-Notation sehen, die zusammen verwendet werden? Dh, fc00::4:0/120%6oder sollen Bereichs-IDs nur auf eine einzelne / 128-IPv6-Adresse angewendet werden?

Kumba
quelle
Wenn Sie weitere praktische Informationen zur Bereitstellung von IPv6 benötigen , bietet Ihnen tunnelbroker.net den tatsächlichen IPv6-Speicherplatz zum Spielen sowie eine Reihe von Tutorials und Übungen zu diesem Thema.
MikeyB
Ihre Annahme (die niemals an das Internet gebunden ist) ist unwissend. Was ist, wenn Sie für ein Unternehmen arbeiten und Sie VPN in und sie das gleiche Netzwerk verwenden? Sicherzustellen, dass Ihr privater Bereich einzigartig ist, ist nicht unbedingt ein Unternehmensbereich - es gibt gute Gründe, 192.168.xx nicht zu verwenden, da jeder Router mit dieser Funktion vorkonfiguriert zu sein scheint und der nächste Auftrag möglicherweise eine VPN-Verbindung zum Unternehmen erfordert.
TomTom
1
@TomTom ist zwar technisch gesehen ein neutraler Begriff, wird jedoch häufig nicht so häufig verwendet . Umgangssprachlich wirkt es unnötig abrasiv und könnte genauso gut durch "nicht richtig" oder ähnliches ersetzt werden.
tgm1024

Antworten:

12

Die "Unique Local Address" ist genau das, wonach Sie suchen. fc00::/7Gibt Ihnen genug Bits, damit die Wahrscheinlichkeit einer Kollision gering ist , wenn Sie eine Zufallszahl generieren, anstatt nur eine auszuwählen.

Bedeutet dies, dass ich zusätzlichen Schutz benötige, damit mein Router diese privaten IPv6-Adressen nicht automatisch der Welt bekannt gibt?

Der RFC, der diese ULAs abdeckt ( RFC4193 ), besagt ausdrücklich, dass diese Nummern nicht im Internet weitergeleitet werden sollten, obwohl zwei Peers sich möglicherweise einig sind, bestimmte Präfixe zu übergeben. Sofern Comcast diese nicht einseitig weiterleitet (im Extremfall unwahrscheinlich), sollten Sie sich keine Sorgen um die Routenwerbung machen.

Unter der Annahme, dass ich diese IPv6-Adresse niemals mit dem echten Internet verbinde (ein Router wird NAT- und Firewall-fähig sein), kann ich den RFC bis zu einem gewissen Grad ignorieren und fc00 :: 4: 0/120 verwenden?

Nimm das nicht an. Zum Beispiel führt Comcast derzeit IPv6-Versuche durch, und sie geben / 64-Werte an Endbenutzer weiter (Folie 5). nicht nur die einzelne Adresse, die sie mit IPv4 tun. Dies bedeutet, dass ihre derzeit ausgeführten IPv6-Tester die Option haben, mit global routbaren Adressen zu arbeiten, die jedoch von ihrem Router geschützt werden, oder eine Art NAT mit entweder verbindungslokalen oder eindeutigen globalen Adressen durchzuführen.

Das Ausführen ohne Adressübersetzung ist jedoch nicht so verrückt, wie es sich anhört . Beachten Sie einige Punkte.

  • Comcast verteilt ein / 64-Subnetz an Sie, sodass Ihr Angreifer bereits weiß, wie Ihr IP-Bereich aussieht.
  • A / 64 bietet unglaublich viele potenzielle Adressen. 2 ^ 64 wert! Das sind vier Milliarden IPv4-Internetadressen. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Vier Milliarden mal vier Milliarden.) Die IPv6-Autoprovisionierung reduziert zwar die tatsächliche Anzahl der Adressen, die gescannt werden müssen, ist jedoch immer noch nicht möglich.
  • Sofern Sie keine eigene Domain für die Bereitstellung eingerichtet haben, bietet Comcast keine DNS-Forward- oder Reverse-Lookups für Ihre IP-Adressen im Wert von / 64 an. Dies verringert die Fähigkeit von Angreifern, Ihr Netzwerk wiederherzustellen, erheblich.
  • Das Ausführen ohne NAT erleichtert bestimmte Netzwerkprobleme und macht unerwünschte, aber sehr beliebte Peer-to-Peer-Technologien (Sie wissen, wovon ich spreche) viel einfacher in Betrieb zu nehmen.

Das Laufen ohne Firewall ist jedoch immer noch genauso verrückt, wie es sich anhört. Glücklicherweise können Sie eine Firewall einrichten, ohne NAT zu benötigen.

Zweite Frage, was ist das für eine Link-lokale Sache?

Stellen Sie sich vor, dass es in der aktuellen Broadcast-Domäne alles erreichen kann und nicht weitergeleitet werden kann. Wie NetBEUI-of-Old. Wenn Ihr Heimnetzwerk vollständig flach ist, können Sie diese Adressen anstelle von eindeutigen lokalen Adressen verwenden.

Dritte Frage, wozu dient die Scope-ID?

Es wird für zwei verschiedene Dinge verwendet, was es ärgerlich macht zu beschreiben:

Sache 1: Multicast. Es definiert, wie weit das Multicast-Paket reichen soll.

Sache 2: (Worauf Sie sich wohl beziehen) Dies wird in einem URI verwendet, um zu definieren, welche Schnittstelle verwendet werden soll. Es wird hauptsächlich mit linklokalen Adressen verwendet. Es sollte niemals in Verbindung mit der CIDR-Notation verwendet werden, daher sollten die beiden Syntaxen niemals kombiniert werden.

sysadmin1138
quelle
Ich würde NAT nicht als "lebenswichtig" für die Sicherheit ansehen, aber ich halte es für äußerst nützlich. In den meisten Fällen ist mein Heimnetzwerk jedoch meistens flach. Ich habe jedoch an VLANs auf meinem Router herumgebastelt, sodass es sich bei verbindungslokalen Sounds wie ein No-Go anhört, insbesondere wenn diese automatisch ermittelt werden. Die Kontrolle über meine eigene Nummerierung zu haben, spricht mich an, also muss ich genauer hinschauen fc00::7.
Kumba
Scope ID scheint fast ein Microsoft-Ding zu sein. Ich hatte noch nie davon gehört, bis ich auf den MSDN IPv6-Artikel gestoßen bin. Selten habe ich in der FreeBSD-Dokumentation einige Verweise darauf gesehen.
Kumba
Diese Antwort deckt Dinge ab. Noch mehr Forschung zu tun, aber die Dinge sind jetzt ein bisschen klarer. Vielen Dank!
Kumba
@Kumba Ich habe das meiste davon vor einiger Zeit aus einem meiner Blog-Posts geklaut. Ein guter Spickzettel: sysadmin1138.net/mt/blog/2010/09/…
sysadmin1138
3
@Kumba A / 64 ist das kleinste von der IPv6-Spezifikation zugelassene v6-Subnetz. Sie können 34.000.000 / 64 Zuordnungen (2 x Comcasts Teilnehmerzahl 2009) in eine einzelne / 36-Zuordnung einfügen. Da Comcast mindestens eine / 32 hat (2001: 558/32), können sie es sich leisten, liberal zu sein. Sie werden wahrscheinlich für eine sehr lange Zeit keine weiteren 32 brauchen.
sysadmin1138
5

Sie sollten keine Adresse verwenden, die mit fc00 beginnt:

Wie in RFC 4193 erläutert, handelt es sich um ein 7-Bit-Präfix. Alles nach diesen ersten 7 Bits sollte wie im RFC beschrieben ausgefüllt werden. Die aktuell definierte Methode erzeugt immer eine Adresse, die mit fd beginnt. Die 00 sollte durch Zufallszahlen ersetzt werden, und die nächsten beiden 16-Bit-Gruppen sollten ebenfalls zufällig sein und insgesamt 40 Bits umfassen.

Es gibt viele Seiten im Internet, die eine für Sie erstellen können. Ich möchte nur auf einer dieser Sites ein Beispiel dafür finden, wie ein solches Präfix aussehen könnte: fdae: a212: e94d :: / 48

Wie Sie bereits betont haben, handelt es sich bei diesen Adressen um globales Unicast, sie dürfen jedoch nicht global routingfähig sein. Wenn Ihr Router sie standardmäßig extern weiterleitet, sollten Sie Filter konfigurieren, um dies zu verhindern. Ihr Upstream sollte ebenfalls filtern, sodass sie nur dann außerhalb Ihres Netzwerks geroutet werden, wenn Sie beide Router falsch konfiguriert haben.

Kasper
quelle
Ich bin nicht. Mir ist bewusst, dass fc00 :: / 8 noch keinen Lebenszweck hat, daher bin ich derzeit in einem fd00 :: / 8-Subnetz für mein Heimnetzwerk. Und ich interessiere mich nicht für zufällige Adressen. Mein ISP bietet noch nicht einmal IPv6 an, das ist also rein intern. Ich halte mich also an etwas, an das ich mich tatsächlich erinnern kann.
Kumba
Mindestens ein Projekt basiert auf fc00 :: / 8: Cjdns
Vi.
3

alle adressen beginnend mit fe80: irgendwas ist link-lokal. Sie können sich eine "Verbindung" vorstellen, die alle Computer umfasst, die mit einem Switch-Netzwerk ohne Router verbunden sind. Diese IPv6-Adressen können also nur für die Kommunikation in diesem Netz verwendet werden.

Das Schwierigste für uns Menschen ist wahrscheinlich, dass sich die Maschinen jetzt selbst konfigurieren. Es gibt ein Protokoll namens Neighbor Discovery Protocol (NDP), das sich darum kümmert, allen anderen Computern im Netz "Hallo" zu sagen.

Wenn Sie nicht möchten, dass die Computer auf das Internet zugreifen, installieren Sie einfach keinen Router.

Sie KÖNNEN ipv6 manuell oder mit einem DHCP-Server einrichten, müssen dies jedoch nicht. Das ist eine der guten Nachrichten mit ipv6.

Arno Teigseth
quelle
@Arno: Ah, also wenn ich eine SSH Box in meinem internen LAN habe, kann ich einfach die linklokale Adresse davon zu SSH verwenden? Kann ich diese fe80::/10Adresse trotzdem manuell für etwas konfigurieren, das mir gefällt? Oder wird es automatisch festgelegt, basierend auf dem IPv6-Design (und der speziellen Stack-Implementierung des Betriebssystems)?
Kumba
PS: Maschinen, die sich selbst konfigurieren. Hmm, wo habe ich das schon gesehen? :)
Kumba
Sie haben wahrscheinlich selbstkonfigurierende Maschinen in einem Film gesehen :) Lassen Sie sie einfach nicht los, sonst werden wir dominiert.
Arno Teigseth
1
Über die Konfiguration: en.wikipedia.org/wiki/Link-local_address (Das Betriebssystem nimmt die MAC-Adresse der Netzwerkkarte, macht ein paar Tricks und endet mit fe80: Etwas. Die hässlichen Details finden Sie auf tools.ietf.org / html / rfc4862 , suche nach fe80 ...)
Arno Teigseth
Hässliche Details in der Tat.
Kumba