IPv6 tương đương với địa chỉ IPv4 RFC1918 là gì?

Có một thời gian khó khăn trong đầu của tôi xung quanh IPv6 ở đây. Rất nhiều biệt ngữ dường như nhắm vào các triển khai IPv6 cấp doanh nghiệp, thảo luận về liên kết cục bộ, địa phương, unicast toàn cầu, phạm vi, v.v. Không có nhiều thông tin chắc chắn trên các mạng thực sự nhỏ, như mạng gia đình. Tôi muốn kiểm tra suy nghĩ của mình và đảm bảo rằng tôi đang nhận được các bản dịch chính xác từ IPv4-speak sang IPv6-speak.

Câu hỏi đầu tiên là, RFC1918 tương đương với IPv6 là gì? Các tìm kiếm ban đầu cho thấy không có tương đương. Sau đó, tôi tình cờ phát hiện ra Địa chỉ cục bộ duy nhất (RFC4193) và nói rằng tất cả các ULA nên được gán tiền tố fc00, theo sau là số ngẫu nhiên 40 bit trong tiền tố định tuyến. Số ngẫu nhiên này là để "ngăn va chạm khi hai mạng IPv6 được kết nối với nhau" - một lần nữa, một tham chiếu khác đến chức năng cấp doanh nghiệp.

Nếu tôi có một mạng LAN cục bộ nhỏ ở nhà, được đánh số bằng cách sử dụng 192.168.4.0/24, thì tương đương với phạm vi ULA của IPv6 là gì? Giả sử tôi sẽ không bao giờ, kết nối địa chỉ IPv6 đó vào internet thực (bộ định tuyến sẽ NAT & tường lửa), tôi có thể bỏ qua RFC ở một mức độ nào đó fc00::4:0/120không?

Dường như bất kỳ địa chỉ nào fc00::/7cũng có thể được định tuyến toàn cầu. Điều này có nghĩa là tôi sẽ cần thêm sự bảo vệ để bộ định tuyến của tôi không tự động bắt đầu quảng cáo các địa chỉ IPv6 riêng tư này ra thế giới?

Câu hỏi thứ hai, những gì liên kết địa phương này? Việc đọc gợi ý một địa chỉ được gán mặc định trong fe80::/10phạm vi có 64 bit cuối cùng của địa chỉ bao gồm địa chỉ MAC của giao diện. Có vẻ cũng được yêu cầu, nhưng tôi cảm thấy khó chịu vì cuộc thảo luận liên tục về nó liên quan đến mạng doanh nghiệp.

Câu hỏi thứ ba, phạm vi id để làm gì? Có vẻ như là một thuật ngữ khác được đưa ra liên quan đến các mạng doanh nghiệp, đặc biệt là khi kết nối chúng, nhưng hầu như không có lời giải thích nào về cấp độ mạng gia đình nhỏ hơn.

Tôi có thể thấy ký hiệu ID và CIDR phạm vi được sử dụng cùng nhau không? Tức là, fc00::4:0/120%6hoặc ID phạm vi chỉ được cho là được áp dụng cho một địa chỉ / 128 IPv6?

"Địa chỉ địa phương duy nhất" chính xác là những gì bạn đang tìm kiếm. fc00::/7cung cấp cho bạn đủ số bit mà nếu bạn tạo một số ngẫu nhiên thay vì chỉ chọn một số thì khả năng va chạm là nhỏ.

Điều này có nghĩa là tôi sẽ cần thêm sự bảo vệ để bộ định tuyến của tôi không tự động bắt đầu quảng cáo các địa chỉ IPv6 riêng tư này ra thế giới?

RFC bao gồm các ULA này ( RFC4193 ) nói rõ rằng những con số này không nên được định tuyến trên internet, mặc dù hai đồng nghiệp có thể cùng đồng ý để vượt qua các tiền tố nhất định. Trừ khi Comcast quyết định đơn phương định tuyến những điều này (không chắc trong trường hợp cực đoan), bạn sẽ không phải lo lắng về quảng cáo tuyến.

Giả sử tôi sẽ không bao giờ, kết nối địa chỉ IPv6 đó vào internet thực (bộ định tuyến sẽ NAT & tường lửa), tôi có thể bỏ qua RFC ở một mức độ nào đó và đi với fc00 :: 4: 0/120 không?

Đừng cho rằng. Chẳng hạn, Comcast hiện đang thực hiện các bản dùng thử IPv6 và chúng đang phân phát / 64 cho người dùng cuối (slide 5); không chỉ là địa chỉ duy nhất họ đang làm với IPv4. Điều này có nghĩa là những người kiểm tra IPv6 hiện đang chạy của họ có tùy chọn chạy với các địa chỉ có thể định tuyến toàn cầu, nhưng được tường lửa bởi bộ định tuyến của họ hoặc thực hiện một số loại NAT với địa chỉ liên kết cục bộ hoặc duy nhất toàn cầu.

Tuy nhiên, chạy mà không có bất kỳ loại dịch địa chỉ không điên rồ như nó có vẻ . Hãy ghi nhớ một vài điểm.

• Comcast đang phân phát một mạng con / 64 cho bạn, vì vậy kẻ tấn công của bạn đã biết không gian IP của bạn trông như thế nào.
• A / 64 cung cấp một số lượng lớn các địa chỉ tiềm năng. 2 ^ 64 giá trị! Đó là bốn tỷ địa chỉ IP của Internet IPv4. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Bốn tỷ lần bốn tỷ.) Trong khi bản chất của tự động phê duyệt IPv6 làm giảm số lượng địa chỉ thực tế cần quét, quét vẫn không thể thực hiện được.
• Trừ khi bạn thiết lập tên miền của riêng mình để cung cấp tên miền, Comcast sẽ không cung cấp tra cứu DNS chuyển tiếp hoặc đảo ngược cho địa chỉ IP có giá trị / 64 của bạn. Điều này làm giảm đáng kể khả năng kẻ tấn công để điều chỉnh lại mạng của bạn.
• Chạy mà không có NAT làm cho các vấn đề mạng nhất định trở nên dễ dàng hơn và chắc chắn làm cho các công nghệ ngang hàng không mong muốn nhưng rất phổ biến (bạn biết tôi đang nói về điều gì) dễ dàng hơn rất nhiều để khởi động và chạy.

Tuy nhiên, chạy mà không có tường lửa vẫn điên rồ như nó nghe. Hạnh phúc, bạn có thể làm tường lửa mà không cần phải NAT.

Câu hỏi thứ hai, những gì liên kết địa phương này?

Hãy nghĩ về nó như có thể đạt được bất cứ điều gì trong miền phát sóng hiện tại và không thể định tuyến. Giống như NetBEUI-cũ. Trên thực tế, nếu mạng gia đình của bạn hoàn toàn bằng phẳng, bạn có thể sử dụng các địa chỉ này thay vì Địa chỉ địa phương duy nhất.

Câu hỏi thứ ba, phạm vi id để làm gì?

Nó được sử dụng cho hai thứ khác nhau, điều này gây khó chịu khi mô tả:

Điều 1: Đa phát. Nó xác định khoảng cách mà gói multicast dự định đạt được.

Điều 2: (Điều tôi nghĩ bạn đang đề cập đến) Điều này được sử dụng trên URI như một cách xác định giao diện nào sẽ sử dụng. Nó được sử dụng chủ yếu với các địa chỉ liên kết cục bộ. Nó không bao giờ nên được sử dụng cùng với ký hiệu CIDR, vì vậy không bao giờ nên kết hợp hai cú pháp.

Bạn không nên sử dụng một địa chỉ bắt đầu bằng fc00:

Như đã giải thích trong RFC 4193, nó là tiền tố 7 bit. Mọi thứ sau 7 bit đầu tiên sẽ được điền vào như được giải thích trong RFC. Phương thức hiện được xác định sẽ luôn tạo ra một địa chỉ bắt đầu wit fd. Số 00 phải được thay thế bằng số ngẫu nhiên và hai nhóm 16 bit tiếp theo cũng sẽ ngẫu nhiên tạo thành tổng cộng 40 bit.

Có rất nhiều trang trên internet có thể tạo một trang cho bạn. Tôi chỉ muốn một trong những trang web đó lấy ví dụ về tiền tố như vậy có thể trông giống như fdae: a212: e94d :: / 48

Như bạn đã chỉ ra, những địa chỉ đó là unicast toàn cầu, nhưng chúng không được cho là có thể định tuyến toàn cầu. Nếu bộ định tuyến của bạn định tuyến chúng bên ngoài theo mặc định, đó là một ý tưởng tốt để định cấu hình bộ lọc để ngăn chặn điều đó. Thượng nguồn của bạn cũng nên được lọc, vì vậy chúng sẽ chỉ được định tuyến bên ngoài mạng của bạn nếu cả hai bạn có bộ định tuyến bị định cấu hình sai.

tất cả các địa chỉ bắt đầu bằng fe80: một cái gì đó là liên kết cục bộ. Bạn có thể nghĩ về một "liên kết" là tất cả các máy tính được kết nối với mạng chuyển mạch không có bộ định tuyến. Vì vậy, các địa chỉ ipv6 chỉ có thể được sử dụng để liên lạc trên mạng đó.

Phần khó nhất đối với con người chúng ta có lẽ là các máy hiện tự cấu hình. Có một giao thức được gọi là Neighbor Discovery Protocol (NDP) đảm nhiệm việc nói "xin chào" với tất cả các máy khác trên mạng.

Nếu bạn không muốn máy móc truy cập internet thì ... đừng cài đặt bộ định tuyến.

Bạn CÓ THỂ thiết lập ipv6 bằng tay hoặc với máy chủ DHCP, nhưng bạn không cần. Đó là một trong những tin tốt với ipv6.