Was ist das IPv6-Äquivalent zu IPv4-RFC1918-Adressen?

Es fällt mir schwer, mich hier mit IPv6 zu beschäftigen. Ein Großteil der Fachsprache scheint auf IPv6-Bereitstellungen auf Unternehmensebene ausgerichtet zu sein, in denen es um verbindungslokale, standortlokale, globale Unicast-Dienste, Bereiche usw. geht. Ich möchte meine Überlegungen überprüfen und sicherstellen, dass ich die richtigen Übersetzungen von IPv4-speak zu IPv6-speak erhalte.

Die erste Frage ist, was entspricht RFC1918 für IPv6? Erste Suchanfragen deuteten darauf hin, dass es keine Entsprechung gab. Dann bin ich auf eindeutige lokale Adressen gestoßen (RFC4193), und das besagt, dass allen ULAs das Präfix zugewiesen werden sollte fc00, gefolgt von einer 40-Bit-Zufallszahl im Routing-Präfix. Diese Zufallszahl soll "Kollisionen verhindern, wenn zwei IPv6-Netzwerke miteinander verbunden sind" - ein weiterer Verweis auf eine Funktion auf Unternehmensebene.

Wenn ich zu Hause ein kleines lokales LAN habe, das mit einer Nummer versehen ist 192.168.4.0/24, was entspricht mir im ULA-Bereich von IPv6? Unter der Annahme, dass ich diese IPv6-Adresse niemals mit dem echten Internet verknüpfen werde (ein Router wird NAT- und Firewall-fähig sein), kann ich den RFC bis zu einem gewissen Grad ignorieren und mitmachen fc00::4:0/120?

Es scheint auch, dass jede Adresse in fc00::/7global routingfähig sein soll. Bedeutet dies, dass ich zusätzlichen Schutz benötige, damit mein Router diese privaten IPv6-Adressen nicht automatisch der Welt bekannt gibt?

Zweite Frage, was ist das für eine Link-lokale Sache? Das Lesen schlägt eine voreingestellte Adresse in dem fe80::/10Bereich vor, in dem die letzten 64 Bit der Adresse aus der MAC-Adresse der Schnittstelle bestehen. Scheint auch erforderlich zu sein, aber ich ärgere mich über die ständige Diskussion darüber in Bezug auf Unternehmensnetzwerke.

Dritte Frage, wozu dient die Scope-ID? Scheint ein weiterer Begriff zu sein, der sich in Bezug auf Unternehmensnetzwerke herumwirbelt, insbesondere wenn sie miteinander verbunden werden, aber auf der Ebene kleinerer Heimnetzwerke fast keine Erklärung findet.

Kann ich eine Scope-ID UND CIDR-Notation sehen, die zusammen verwendet werden? Dh, fc00::4:0/120%6oder sollen Bereichs-IDs nur auf eine einzelne / 128-IPv6-Adresse angewendet werden?

Die "Unique Local Address" ist genau das, wonach Sie suchen. fc00::/7Gibt Ihnen genug Bits, damit die Wahrscheinlichkeit einer Kollision gering ist , wenn Sie eine Zufallszahl generieren, anstatt nur eine auszuwählen.

Bedeutet dies, dass ich zusätzlichen Schutz benötige, damit mein Router diese privaten IPv6-Adressen nicht automatisch der Welt bekannt gibt?

Der RFC, der diese ULAs abdeckt ( RFC4193 ), besagt ausdrücklich, dass diese Nummern nicht im Internet weitergeleitet werden sollten, obwohl zwei Peers sich möglicherweise einig sind, bestimmte Präfixe zu übergeben. Sofern Comcast diese nicht einseitig weiterleitet (im Extremfall unwahrscheinlich), sollten Sie sich keine Sorgen um die Routenwerbung machen.

Unter der Annahme, dass ich diese IPv6-Adresse niemals mit dem echten Internet verbinde (ein Router wird NAT- und Firewall-fähig sein), kann ich den RFC bis zu einem gewissen Grad ignorieren und fc00 :: 4: 0/120 verwenden?

Nimm das nicht an. Zum Beispiel führt Comcast derzeit IPv6-Versuche durch, und sie geben / 64-Werte an Endbenutzer weiter (Folie 5). nicht nur die einzelne Adresse, die sie mit IPv4 tun. Dies bedeutet, dass ihre derzeit ausgeführten IPv6-Tester die Option haben, mit global routbaren Adressen zu arbeiten, die jedoch von ihrem Router geschützt werden, oder eine Art NAT mit entweder verbindungslokalen oder eindeutigen globalen Adressen durchzuführen.

Das Ausführen ohne Adressübersetzung ist jedoch nicht so verrückt, wie es sich anhört . Beachten Sie einige Punkte.

• Comcast verteilt ein / 64-Subnetz an Sie, sodass Ihr Angreifer bereits weiß, wie Ihr IP-Bereich aussieht.
• A / 64 bietet unglaublich viele potenzielle Adressen. 2 ^ 64 wert! Das sind vier Milliarden IPv4-Internetadressen. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Vier Milliarden mal vier Milliarden.) Die IPv6-Autoprovisionierung reduziert zwar die tatsächliche Anzahl der Adressen, die gescannt werden müssen, ist jedoch immer noch nicht möglich.
• Sofern Sie keine eigene Domain für die Bereitstellung eingerichtet haben, bietet Comcast keine DNS-Forward- oder Reverse-Lookups für Ihre IP-Adressen im Wert von / 64 an. Dies verringert die Fähigkeit von Angreifern, Ihr Netzwerk wiederherzustellen, erheblich.
• Das Ausführen ohne NAT erleichtert bestimmte Netzwerkprobleme und macht unerwünschte, aber sehr beliebte Peer-to-Peer-Technologien (Sie wissen, wovon ich spreche) viel einfacher in Betrieb zu nehmen.

Das Laufen ohne Firewall ist jedoch immer noch genauso verrückt, wie es sich anhört. Glücklicherweise können Sie eine Firewall einrichten, ohne NAT zu benötigen.

Zweite Frage, was ist das für eine Link-lokale Sache?

Stellen Sie sich vor, dass es in der aktuellen Broadcast-Domäne alles erreichen kann und nicht weitergeleitet werden kann. Wie NetBEUI-of-Old. Wenn Ihr Heimnetzwerk vollständig flach ist, können Sie diese Adressen anstelle von eindeutigen lokalen Adressen verwenden.

Dritte Frage, wozu dient die Scope-ID?

Es wird für zwei verschiedene Dinge verwendet, was es ärgerlich macht zu beschreiben:

Sache 1: Multicast. Es definiert, wie weit das Multicast-Paket reichen soll.

Sache 2: (Worauf Sie sich wohl beziehen) Dies wird in einem URI verwendet, um zu definieren, welche Schnittstelle verwendet werden soll. Es wird hauptsächlich mit linklokalen Adressen verwendet. Es sollte niemals in Verbindung mit der CIDR-Notation verwendet werden, daher sollten die beiden Syntaxen niemals kombiniert werden.

Sie sollten keine Adresse verwenden, die mit fc00 beginnt:

Wie in RFC 4193 erläutert, handelt es sich um ein 7-Bit-Präfix. Alles nach diesen ersten 7 Bits sollte wie im RFC beschrieben ausgefüllt werden. Die aktuell definierte Methode erzeugt immer eine Adresse, die mit fd beginnt. Die 00 sollte durch Zufallszahlen ersetzt werden, und die nächsten beiden 16-Bit-Gruppen sollten ebenfalls zufällig sein und insgesamt 40 Bits umfassen.

Es gibt viele Seiten im Internet, die eine für Sie erstellen können. Ich möchte nur auf einer dieser Sites ein Beispiel dafür finden, wie ein solches Präfix aussehen könnte: fdae: a212: e94d :: / 48

Wie Sie bereits betont haben, handelt es sich bei diesen Adressen um globales Unicast, sie dürfen jedoch nicht global routingfähig sein. Wenn Ihr Router sie standardmäßig extern weiterleitet, sollten Sie Filter konfigurieren, um dies zu verhindern. Ihr Upstream sollte ebenfalls filtern, sodass sie nur dann außerhalb Ihres Netzwerks geroutet werden, wenn Sie beide Router falsch konfiguriert haben.

alle adressen beginnend mit fe80: irgendwas ist link-lokal. Sie können sich eine "Verbindung" vorstellen, die alle Computer umfasst, die mit einem Switch-Netzwerk ohne Router verbunden sind. Diese IPv6-Adressen können also nur für die Kommunikation in diesem Netz verwendet werden.

Das Schwierigste für uns Menschen ist wahrscheinlich, dass sich die Maschinen jetzt selbst konfigurieren. Es gibt ein Protokoll namens Neighbor Discovery Protocol (NDP), das sich darum kümmert, allen anderen Computern im Netz "Hallo" zu sagen.

Wenn Sie nicht möchten, dass die Computer auf das Internet zugreifen, installieren Sie einfach keinen Router.

Sie KÖNNEN ipv6 manuell oder mit einem DHCP-Server einrichten, müssen dies jedoch nicht. Das ist eine der guten Nachrichten mit ipv6.