Який IPv6 еквівалентний IPv4 RFC1918 адресам?

Мені важко обернути голову навколо IPv6 тут. Дуже багато мови здається націленим на розгортання IPv6 на рівні підприємства, обговорюючи локальні посилання, локальні сайти, глобальні трансляції, сфери застосування тощо. Не багато надійної інформації про справді невеликі мережі, як-от домашні мережі. Я хочу перевірити своє мислення і переконатися, що я отримую правильні переклади з IPv4-говорити на IPv6-говорять.

Перше питання - що еквівалент RFC1918 для IPv6? Початкові пошукові запити припустили, що немає еквівалента. Тоді я натрапив на унікальні локальні адреси (RFC4193), і це стверджує, що всім ULA слід присвоїти префікс з fc00подальшим 40-бітовим випадковим числом у префіксі маршрутизації. Це випадкове число "запобігає зіткненням, коли дві мережі IPv6 з'єднані між собою" - знову ж таки, ще одна посилання на функцію на рівні підприємства.

Якщо у мене вдома є невелика локальна локальна мережа, яка пронумерована 192.168.4.0/24, який мій еквівалент в області ULA IPv6? Якщо припустити, що я ніколи і ніколи не прив’язуватиму цю IPv6-адресу до реального Інтернету (маршрутизатор буде NAT і брандмауер її), чи можу я ігнорувати RFC до такої міри та йти fc00::4:0/120?

Крім того, здається, що будь-яка адреса fc00::/7має бути глобально маршрутизованою. Чи означає це, що мені потрібні додаткові захисти, щоб мій маршрутизатор не почав автоматично рекламувати ці приватні адреси IPv6 у всьому світі?

Друге питання, що це за місцева ланка? Читання пропонує запропонувати за замовчуванням адресу в fe80::/10діапазоні, який має останні 64 біти адреси, що складається з MAC-адреси інтерфейсу. Здається, це теж потрібно, але мене дратує постійне обговорення цього питання стосовно мереж підприємств.

Третє питання, для чого призначений ідентифікатор області? Здається, це ще один термін, що підкидається стосовно корпоративних мереж, особливо при їх з'єднанні, але майже не пояснює на меншому рівні домашньої мережі.

Чи можу я бачити позначення ідентифікатора області та CIDR, які використовуються разом? Тобто fc00::4:0/120%6чи повинні бути застосовані ідентифікатори діапазону лише до однієї / 128 IPv6 адреси?

"Унікальна локальна адреса" - саме те, що ви шукаєте. fc00::/7дає достатньо бітів, що якщо ви генеруєте випадкове число, а не просто вибираєте один, шанси зіткнення невеликі.

Чи означає це, що мені знадобиться додатковий захист, щоб мій маршрутизатор автоматично не почав рекламувати ці приватні IPv6 адреси у всьому світі?

RFC, що охоплює ці ULAs ( RFC4193 ), конкретно вказує, що ці числа не повинні бути маршрутизовані в Інтернеті, хоча двоє однолітків можуть взаємно погоджуватися на передачу певних префіксів. Якщо Comcast не вирішить в односторонньому порядку прокладати їх (мабуть, в крайньому випадку), у вас не повинно бути турбот щодо реклами маршруту.

Якщо припустити, що я ніколи і ніколи не прив’язуватиму цю IPv6-адресу до реального Інтернету (маршрутизатор буде NAT і брандмауер), чи можу я ігнорувати RFC до такої міри та йти з fc00 :: 4: 0/120?

Не припускайте цього. Наприклад, Comcast наразі проводить випробування IPv6, і вони передають кінцевим користувачам / 64's (слайд 5); не лише одну адресу, яку вони роблять з IPv4. Це означає, що їхні тепер запущені тестери IPv6 мають можливість працювати з глобально маршрутизованими адресами, але їх прокручує маршрутизатор, або роблять якусь NAT з локальними адресами або локальними, або унікальними глобальними адресами.

Однак працювати без будь-якого перекладу адрес не так божевільно, як це звучить . Майте на увазі кілька моментів.

• Comcast передає вам підмережу / 64, тож ваш зловмисник уже знає, як виглядає ваш IP-простір.
• A / 64 забезпечує розумну величезну кількість потенційних адрес. 2 ^ 64 варто! Це чотири мільярди IP-адрес IPv4 в Інтернеті. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Чотири мільярди в чотири мільярди.) У той час як характер автозабезпечення IPv6 зменшує фактичну кількість адрес, які потребують сканування, сканування все ще неможливо.
• Якщо ви не встановите свій власний домен, щоб надати його, Comcast не надаватиме прямі або зворотні перегляди DNS на ваші IP-адреси, які мають 64 рази. Це значно знижує здатність зловмисників відновлювати вашу мережу.
• Запуск без NAT полегшує певні проблеми з мережею, і, звичайно, робить небажані, але дуже популярні однорангові технології (ви знаєте, про що я говорю) набагато простіше встати та працювати.

Хоча без брандмауера все ще так само шалено, як і звучить. На щастя, ви можете робити брандмауер без необхідності NAT.

Друге питання, що це за місцева ланка?

Подумайте про це як про те, що зможете охопити що-небудь у поточному домені мовлення, і не може бути маршрутизований. Як NetBEUI старого. Насправді, якщо ваша домашня мережа повністю рівна, ви можете використовувати ці адреси замість унікальних локальних адрес.

Третє питання, для чого призначений ідентифікатор області?

Він використовується для двох різних речей, що робить прикро описати:

Річ 1: багатоадресна передача. Він визначає, як далеко має бути досягнутий пакет багатоадресної передачі.

Річ 2: (Що я думаю, ви маєте на увазі) Це використовується в URI як спосіб визначення інтерфейсу, який слід використовувати. Він використовується в основному з локальними адресами посилань. Він ніколи не повинен використовуватися разом із позначенням CIDR, тому два синтаксиси ніколи не повинні поєднуватися.

Ви не повинні використовувати адресу, що починається з fc00:

Як пояснено в RFC 4193, це 7-бітний префікс. Все після цих перших 7 біт потрібно заповнити, як пояснено в RFC. Наразі визначений метод завжди створюватиме адресу, яка починається з довідки fd. 00 слід замінити випадковими числами, а наступні дві групи з 16 біт також повинні бути випадковими, складаючи загалом 40 біт.

В Інтернеті є багато сторінок, які можуть створити одну для вас. Я просто хочу на одному з цих сайтів отримати приклад того, як може виглядати такий префікс fdae: a212: e94d :: / 48

Як ви зазначали, ці адреси є глобальними одноамериканськими, але вони не повинні бути глобально маршрутизованими. Якщо ваш маршрутизатор спрямовує їх зовнішньо за замовчуванням, було б корисно налаштувати фільтри, щоб цього не допустити. Ваш верхній потік також повинен фільтрувати, тож вони будуть маршрутизовані за межами вашої мережі, лише якщо ви обидва неправильно налаштували маршрутизатори.

всі адреси, що починаються з fe80: щось є локальним посиланням. Ви можете придумати "посилання" - це всі комп'ютери, підключені до комутованої мережі без маршрутизаторів. Тож ці ipv6 адреси можна використовувати лише для спілкування в цій мережі.

Найважче для нас людей - це, мабуть, те, що машини зараз налаштовують себе. Існує протокол під назвою Neighbor Discovery Protocol (NDP), який піклується про те, щоб привітатися з усіма іншими машинами в мережі.

Якщо ви не хочете, щоб машини мали доступ до Інтернету, тоді ... просто не встановлюйте роутер.

МОЖЕТЕ налаштувати ipv6 вручну або за допомогою сервера DHCP, але цього не потрібно. Це одна з хороших новин з ipv6.