Đây là một câu hỏi Canonical về mạng con IPv6.

Liên quan:

• Làm thế nào để mạng con IPv4 hoạt động?

Tôi biết rất nhiều về mạng con IPv4 và khi tôi chuẩn bị (triển khai | hoạt động) mạng IPv6, tôi cần biết lượng kiến ​​thức này có thể chuyển được và những gì tôi vẫn cần học. IPv6 thoạt nhìn có vẻ phức tạp hơn nhiều so với IPv4. Vì vậy, tôi muốn biết:

• IPv6 là 128 bit, vậy tại sao / 64 mạng con được đề xuất nhỏ nhất cho máy chủ? Liên quan đến điều này:
  • Tại sao nên sử dụng / 127 cho các liên kết điểm tới điểm giữa các bộ định tuyến và tại sao trước đây nó được đề xuất chống lại? Tôi có nên thay đổi các liên kết bộ định tuyến hiện có để sử dụng / 127?
  • Tại sao các máy ảo sẽ được cung cấp với ít hơn 64 địa chỉ?
  • Có những tình huống khác trong đó tôi sẽ sử dụng một mạng con nhỏ hơn / 64 không?
• Tôi có thể ánh xạ trực tiếp từ mạng con IPv4 sang mạng con IPv6 không? Chẳng hạn, liệu IPv4 / 24 có tương ứng trực tiếp với IPv6 / 56 hoặc / 120 không?
• Giao diện của tôi có một số địa chỉ IPv6. Mạng con phải giống nhau cho tất cả chúng?
• Tại sao đôi khi tôi thấy% thay vì / trong địa chỉ IPv6 và điều đó có nghĩa là gì?
• Tôi có lãng phí quá nhiều mạng con không? Không phải chúng ta sẽ chạy ra ngoài một lần nữa sao?
• Trong các cách chính khác, mạng con IPv6 khác với mạng con IPv4 là gì?

Điều đầu tiên cần được đề cập về mạng con IPv6 là một chế độ suy nghĩ khác được yêu cầu. Trong IPv4, bạn thường nghĩ về số lượng địa chỉ bạn có sẵn và cách bạn có thể phân bổ đủ số lượng địa chỉ đó cho mỗi người dùng cuối. Trong IPv6, bạn thường nghĩ về số lượng (/ 64) mạng con bạn có sẵn và cách bạn có thể phân bổ chúng cho người dùng cuối. Bạn gần như không bao giờ lo lắng về việc có bao nhiêu địa chỉ IP sẽ được sử dụng trong một mạng con nhất định. Ngoại trừ một số trường hợp đặc biệt như liên kết điểm tới điểm, mỗi mạng con chỉ đơn giản là có sẵn nhiều địa chỉ hơn yêu cầu, vì vậy thay vào đó bạn chỉ lo lắng về việc phân bổ mạng con, không lưu trữ bên trong chúng.

Các mạng con IPv6 thường là / 64 vì điều đó là bắt buộc để SLAAC (tự động cấu hình địa chỉ không trạng thái) hoạt động. Ngay cả khi SLAAC không được sử dụng, có thể có những lý do khác để sử dụng / 64. Ví dụ, có thể có một số thiết bị người dùng cuối ngoài đó chỉ giả sử / 64 hoặc các mạng con định tuyến dài hơn / 64 có thể không hiệu quả trên một số bộ định tuyến vì trình triển khai bộ định tuyến đã tối ưu hóa trường hợp / 64 hoặc các tuyến ngắn hơn để lưu bộ nhớ bảng định tuyến.

Tại sao nên sử dụng / 127 cho liên kết điểm tới điểm

Đối với trường hợp cụ thể của các liên kết điểm-điểm, / 127 được khuyến nghị thay vì / 64 để tránh lỗ hổng trong đó các gói gửi đến bất kỳ một trong bốn phần tư của các địa chỉ không được sử dụng trên mạng con gây ra các yêu cầu giải quyết hàng xóm không mong muốn và các mục trong bảng có thể nhấn chìm một bộ định tuyến. Những gói tin đau khổ như vậy có thể là độc hại hoặc vô tình. Nhưng ngay cả khi bạn thực sự định cấu hình liên kết điểm-điểm là / 127, một số người ủng hộ việc gán toàn bộ / 64 dù sao chỉ để thống nhất.

Tại sao các máy ảo sẽ được cung cấp các mạng con nhỏ hơn / 64?

Tôi không biết cụ thể tại sao các máy ảo sẽ được cung cấp các mạng con nhỏ hơn / 64. Có lẽ bởi vì một nhà cung cấp dịch vụ lưu trữ cho rằng một máy chủ giống như người dùng cuối và chỉ yêu cầu một mạng con (/ 64) duy nhất, không dự đoán rằng máy chủ đó thực sự sẽ là một tập hợp các VM yêu cầu cấu trúc liên kết định tuyến nội bộ? Nó cũng có thể được thực hiện đơn giản chỉ là vấn đề làm cho kế hoạch ghi địa chỉ dễ dàng hơn để ghi nhớ: máy chủ nhận được PREFIX::/64, sau đó mỗi VM nhận được PREFIX:0:NNNN::/96NNNN là duy nhất cho VM và VM có thể phân bổ PREFIX:0:NNNN:XXXX:YYYYkhi nó vừa ý.

Tôi có thể ánh xạ trực tiếp từ mạng con IPv4 sang mạng con IPv6 không? Chẳng hạn, liệu IPv4 / 24 có tương ứng trực tiếp với IPv6 / 56 hoặc / 120 không?

Từ góc độ thấp về cách thức địa chỉ và định tuyến hoạt động, độ dài tiền tố có cùng ý nghĩa trong IPv6 và IPv4. Ở mức đó, bạn có thể tạo một sự tương tự, chẳng hạn như "một IPv4 / 16 sử dụng một nửa số bit cho địa chỉ mạng và một nửa số bit cho địa chỉ máy chủ, giống như một / 64 trong IPv6". Nhưng so sánh này không thực sự thích hợp. Các quy ước mạnh mẽ đã xuất hiện trong IPv6, điều này làm cho sự phân chia kích thước mạng trông giống như thế giới cũ của các mạng đẳng cấp trong IPv4. Để chắc chắn, IPv6 không giới thiệu lại classful giải quyết, trong đó vài bit quan trọng nhất của địa chỉ buộc một mặt nạ mạng cụ thể, nhưng những gì IPv6 không phải là nhất định [defacto / thông thường] tiêu chuẩn kích thước mạng:

• / 64 : kích thước cơ bản của một mạng con duy nhất: LAN, WAN, khối địa chỉ cho các máy chủ ảo web, v.v ... Các mạng con "Bình thường" không bao giờ được dự kiến ​​là nhỏ hơn (tiền tố dài hơn) so với / 64. Không có mạng con nào được dự kiến ​​sẽ lớn hơn (tiền tố ngắn hơn) so với / 64 vì giá trị địa chỉ máy chủ của a / 64 là nhiều hơn mức chúng ta có thể tưởng tượng cần.
• / 56 : một khối gồm 256 mạng con cơ bản. Mặc dù các chính sách hiện tại cho phép các ISP cung cấp các khối lớn tới 48 cho mọi người dùng cuối và vẫn coi việc sử dụng địa chỉ của họ là hợp lý, một số ISP có thể (và đã làm) chọn phân bổ / 56 cho khách hàng cấp tiêu dùng như một sự thỏa hiệp giữa phân bổ rất nhiều mạng con cho họ và giải quyết nền kinh tế.
• / 48 : một khối gồm 65536 mạng con cơ bản và kích thước khối được đề xuất mà mọi trang web cuối của khách hàng ISP sẽ nhận được.
• / 32 : kích thước khối mặc định mà hầu hết các ISP sẽ nhận được mỗi khi họ yêu cầu thêm địa chỉ từ sổ đăng ký địa chỉ khu vực.

Bên trong nhà cung cấp dịch vụ và các mạng liên kết, có thể thấy nhiều độ dài tiền tố hơn 4 mạng này. Khi xem xét các bảng định tuyến của các bộ định tuyến bên trong các mạng này, IPv4 và IPv6 có nhiều điểm chung bao gồm hầu hết các cách định tuyến hoạt động: các tuyến cho tiền tố dài hơn ghi đè lên các tuyến cho các tiền tố ngắn hơn, do đó có thể tổng hợp (rút ngắn) và khoan xuống (làm dài hơn) các tuyến đường. Giống như trong IPv4, các tuyến đường có thể được tổng hợp hoặc tóm tắt thành các khối lớn hơn với tiền tố ngắn hơn để giảm thiểu kích thước của các bảng định tuyến.

Một câu hỏi khác về ánh xạ giữa IPv4 và IPv6 sẽ là làm thế nào để hài hòa các bài tập IPv4 và IPv6 trên các máy xếp chồng kép để có thể dễ dàng hiểu được các kế hoạch giải quyết. Xa hơn, chắc chắn có những quy ước được sử dụng phổ biến để thực hiện điều này: nhúng "số mạng con" của IPv4 vào một phần của tiền tố IPv6, với BCD (ví dụ: 10.0.234.0/24trở thành 2001:db8:abcd:234::/64) hoặc nhị phân ( 10.0.234.0/24trở thành 2001:db8:abcd:ea::/64).

Giao diện của tôi có một số địa chỉ IPv6. Mạng con phải giống nhau cho tất cả chúng?

Tuyệt đối không! Các máy chủ IPv6 dự kiến ​​sẽ có thể được đa dạng hóa bằng cách có nhiều địa chỉ IP đồng thời đến từ các mạng con khác nhau, giống như IPv4. Nếu chúng được cấu hình tự động với SLAAC thì các mạng con khác nhau có thể đến từ các quảng cáo bộ định tuyến từ các bộ định tuyến khác nhau.

Tại sao đôi khi tôi thấy% thay vì / trong địa chỉ IPv6 và điều đó có nghĩa là gì?

Bạn sẽ không nhìn thấy cái này thay vì cái kia. Chúng có ý nghĩa khác nhau. Dấu gạch chéo biểu thị tiền tố (mạng con), nghĩa là một khối địa chỉ bắt đầu bằng cùng một nbit. Một địa chỉ không có dấu gạch chéo là một địa chỉ máy chủ. Bạn có thể nghĩ về một địa chỉ như vậy có dấu "/ 128" ở cuối, nghĩa là tất cả 128 bit được chỉ định.

Dấu phần trăm đi kèm với một địa chỉ liên kết địa phương. Trong IPv6, mọi giao diện đều có một địa chỉ liên kết cục bộ bên cạnh bất kỳ địa chỉ IP nào khác mà nó có thể có. Nhưng điều quan trọng là, các địa chỉ liên kết cục bộ luôn luôn, không có ngoại lệ, trong fe80::/10khối. Nhưng nếu chúng ta cố gắng nói chuyện với một đồng nghiệp bằng địa chỉ liên kết cục bộ và máy chủ cục bộ có nhiều giao diện, làm thế nào để chúng ta biết giao diện nào sẽ được sử dụng để nói chuyện với đồng nghiệp này? Thông thường bảng định tuyến cho chúng ta biết nên sử dụng giao diện nào cho một tiền tố cụ thể, nhưng ở đây nó sẽ cho chúng ta biết khả năng fe80::/10tiếp cận thông qua mọi giao diện.

Câu trả lời là chúng ta phải cho nó biết sử dụng giao diện nào bằng cú pháp address%interface. Ví dụ, fe80::1234:5678:8765:4321%eth0.

Tôi có lãng phí quá nhiều mạng con không? Không phải chúng ta sẽ chạy ra ngoài một lần nữa sao?

Không ai biết. Ai có thể nói cho tương lai?

Nhưng hãy xem xét điều này. Trong IPv6, số lượng mạng con khả dụng là bình phương của số lượng địa chỉ riêng lẻ có sẵn trong IPv4. Điều đó thực sự khá nhiều. Không, ý tôi là thực sự khá nhiều!

Tuy nhiên: chúng tôi vẫn tự động phân phát a / 32 cho bất kỳ ISP nào yêu cầu một, chúng tôi sẽ phân phát a / 48 cho mỗi khách hàng ISP. Có lẽ chúng tôi đang phóng đại và chúng tôi sẽ phung phí IPv6 sau tất cả. Nhưng có một điều khoản cho việc này: Chỉ một phần tám không gian IPv6 đã được cung cấp để sử dụng cho đến nay : 2000::/3. Ý tưởng là nếu chúng ta tạo ra một mớ hỗn độn khủng khiếp trong lần thứ tám đầu tiên và chúng ta phải sửa đổi mạnh mẽ các chính sách phân bổ tự do, chúng ta phải thử 7 lần nữa trước khi chúng ta gặp rắc rối.

Và cuối cùng: IPv6 không phải tồn tại mãi mãi. Có lẽ nó sẽ có tuổi thọ dài hơn IPv4 (một cuộc đời ấn tượng và nó chưa kết thúc) nhưng giống như mọi công nghệ, một ngày nào đó nó sẽ ngừng quan trọng. Chúng tôi chỉ cần làm cho đến khi đó.

IPv6 là 128 bit, vậy tại sao / 64 mạng con được đề xuất nhỏ nhất cho máy chủ?

Trước hết, một nghệ thuật ASCII nhỏ từ RFC để thiết lập thuật ngữ:

|         n bits         |   m bits  |       128-n-m bits         |
+------------------------+-----------+----------------------------+
| global routing prefix  | subnet ID |       interface ID         |
+------------------------+-----------+----------------------------+

Tiền tố định tuyến toàn cầu thường xác định mạng tổng thể mà địa chỉ thuộc về. Nó thường là 48 bit. ID giao diện xác định một giao diện mạng nhất định. Nó thường là 64 bit. 16 bit còn lại là ID mạng con của bạn.

OK, với lời giải thích:

Theo RFC 4291 - Kiến trúc địa chỉ IP phiên bản 6 :

Tất cả các địa chỉ Global Unicast ngoài các địa chỉ bắt đầu bằng nhị phân 000 đều có trường ID giao diện 64 bit.

Và RFC 5375 - Cân nhắc chuyển nhượng địa chỉ IPv6 Unicast :

Một phần quan trọng của kế hoạch đánh địa chỉ IPv4 là quyết định độ dài của mỗi tiền tố mạng con. Không giống như trong IPv4, kiến ​​trúc địa chỉ IPv6 [RFC4291] chỉ định rằng tất cả các mạng con sử dụng Địa chỉ duy nhất toàn cầu và ULA luôn có cùng độ dài tiền tố là 64 bit.

Vì vậy, bỏ qua ngoại lệ 000 tiền tố, ID giao diện luôn chính xác là 64 bit. Đây là một cách khác để nói rằng tất cả các mạng phát sóng cục bộ luôn là 64 bit . Nếu bạn có địa chỉ IPv6, netmask của nó luôn là 64 bit. Không bao giờ hơn, không bao giờ ít hơn. Nếu bạn được chỉ định một không gian địa chỉ lớn hơn (mạng ngắn hơn 64 bit), thì bạn sẽ giả định rằng bạn sẽ phân vùng không gian địa chỉ đó thành mạng 64 bit và tự xử lý việc định tuyến. Nếu bạn được cung cấp một mạng nhỏ hơn mạng đó (netmask dài hơn), thì có ai đó đã làm hỏng.

Vậy, tại sao chính xác là 64 bit?

Theo quy định, địa chỉ IPv6 được cấu hình tự động thay vì được chỉ định. Bộ định tuyến sẽ quảng cáo tiền tố mạng nào khả dụng (tiền tố định tuyến + ID mạng con: 64 bit đầu tiên) và máy tính của bạn sẽ điền vào 64 bit cuối bằng cách sử dụng mã định danh duy nhất của riêng mình. Làm thế nào để máy tính của bạn đưa ra một định danh duy nhất? Có một vài khả năng, phổ biến nhất là sử dụng địa chỉ MAC của giao diện của bạn. Bạn chia MAC làm đôi (nửa nhà cung cấp / nửa nối tiếp), lật bit cục bộ phổ quát ở phía nhà cung cấp và nối chúng lại với nhau FF:FEở giữa. Vì vậy, 00:30:48:01:23:45trở thành 0230:48ff:fe01:2345. Bây giờ đặt tiền tố mạng 64 bit được quảng cáo ở phía bên trái của điều đó và bạn có địa chỉ IP của mình.

Điểm quan trọng ở đây là nếu bạn thực hiện theo sơ đồ này, các xung đột địa chỉ IP sẽ không xảy ra. Vì mọi thiết bị trên một mạng phát sóng nhất định CẦN một địa chỉ MAC duy nhất để hoạt động, việc nhập ID giao diện vào địa chỉ MAC có nghĩa là miễn là lưu lượng phát không bị va chạm, thì địa chỉ IPv6 cũng không. Sử dụng 64 bit (thay vì chỉ 48 dành riêng cho địa chỉ MAC) sẽ mang lại một chút không gian lung tung ngoài các địa chỉ được cung cấp bởi sơ đồ này (có một số địa chỉ khác).

Có những tình huống khác trong đó tôi sẽ sử dụng một mạng con nhỏ hơn / 64 không?

Không. Không, trừ khi bạn bị hỏng. Chà, bạn có thể có một lời biện minh dựa trên các yêu cầu cục bộ để thiết lập định tuyến thủ công với mạng hiện tại của bạn. Nhưng hãy nhớ rằng bằng cách đó, có lẽ bạn đang tạo ra một mớ hỗn độn:

Từ RFC 5375 - Cân nhắc chuyển nhượng địa chỉ IPv6 Unicast :

Sử dụng độ dài tiền tố mạng con khác với a / 64 sẽ phá vỡ nhiều tính năng của IPv6, bao gồm Neighbor Discovery (ND), Secure Neighbor Discovery (SEND) [RFC3971], tiện ích mở rộng quyền riêng tư [RFC4941], các bộ phận của Mobile IPv6 [RFC4866], Giao thức độc lập Multicast - Chế độ thưa thớt (PIM-SM) với RP-nhúng [RFC3956] và Đa trang web bằng cách trung gian IPv6 (SHIM6), trong số những thứ khác. Một số tính năng khác hiện đang được phát triển hoặc đang được đề xuất cũng dựa trên / 64 tiền tố mạng con.

....

Tuy nhiên, một số quản trị viên mạng đã sử dụng tiền tố dài hơn / 64 cho các liên kết kết nối bộ định tuyến, thường chỉ là hai bộ định tuyến trên liên kết điểm-điểm. Trên các liên kết nơi tất cả các địa chỉ được gán theo cấu hình thủ công và tất cả các nút trên liên kết là bộ định tuyến (không phải máy chủ cuối) mà mạng biết, quản trị viên không cần bất kỳ tính năng IPv6 nào dựa trên / 64 tiền tố mạng con, điều này có thể làm việc. Không nên sử dụng tiền tố mạng con dài hơn / 64 để sử dụng chung và sử dụng chúng cho các liên kết chứa máy chủ cuối sẽ là một ý tưởng đặc biệt tồi tệ, vì rất khó để dự đoán các tính năng IPv6 mà máy chủ sẽ sử dụng trong tương lai.

Tại sao nên sử dụng / 127 cho các liên kết điểm tới điểm giữa các bộ định tuyến và tại sao trước đây nó được đề xuất chống lại?

Bạn có thể muốn phủ bóng lên RFC 3627 - Sử dụng / 127 Độ dài tiền tố giữa các bộ định tuyến được coi là có hại . Sau đó, hãy xem RFC 6164 tiếp theo - Sử dụng Tiền tố IPv6 127 bit trên các Liên kết Bộ định tuyến .

Việc phản đối sử dụng tiền tố dài hơn / 64 trên các bộ định tuyến phải thực hiện với cấu hình tự động của bộ định tuyến có khả năng bị lỗi trong các trường hợp hiếm gặp. Việc phản đối sử dụng các tiền tố ngắn hơn / 127 (chỉ có 2 máy chủ) có liên quan đến một số vấn đề từ chối dịch vụ tiềm năng liên quan đến các gói được gửi đến các địa chỉ không được gửi. Vì các vấn đề từ chối dịch vụ trong thế giới thực tồi tệ hơn các lỗi cấu hình tự động trên lý thuyết, / 127 là mục ưa thích mới.

Tôi có nên thay đổi các liên kết bộ định tuyến hiện có để sử dụng / 127?

Nếu bạn điều khiển bộ định tuyến IPv6, tôi khuyên bạn nên đọc hai RFC (chúng ngắn!) Và tự quyết định.

Tôi có thể ánh xạ trực tiếp từ mạng con IPv4 sang mạng con IPv6 không?

Chẳng hạn, liệu IPv4 / 24 có tương ứng trực tiếp với IPv6 / 56 hoặc / 120 không?

Thật ra ... đúng vậy. Hãy nhớ rằng tiền tố 000 mà chúng tôi cố tình bỏ qua trước đó? Vâng, đây là một cách sử dụng cho nó:

Trên các hệ thống ngăn xếp kép (các hệ thống có cả ngăn xếp IPv4 và IPv6 hoạt động), bạn có thể biểu diễn IPv4 bằng cơ chế IPv6. Họ gọi nó là " địa chỉ IPv6 được ánh xạ IPv4 ". Mẫu này là tất cả các số 0, theo sau là FFFFđịa chỉ IPv4 32 bit.

Vì vậy, 192.168.100.21trở thành ::FFFF:C0A8:6415- hoặc đơn giản hơn : ::FFFF:192.168.100.21. Vì bit bên phải đại diện cho một địa chỉ IPv4, theo truyền thống, nó được viết ra bằng cách sử dụng dạng thập phân rải rác.

Vì đây là một địa chỉ IPv4 thực tế, nó vẫn sử dụng các tiêu đề IPv4, v.v., điều đó có nghĩa là phải có một ngăn xếp IPv4, các tuyến IPv4 phải được đặt và tất cả điều đó. Ưu điểm là bạn có thể biểu diễn cả địa chỉ IPv4 và IPv6 bằng cách sử dụng một cấu trúc địa chỉ duy nhất, điều này có thể đơn giản hóa việc phát triển ứng dụng. Nó không tạo ra sự khác biệt khi có liên quan đến mạng.

1. IPv6 là 128 bit, vậy tại sao / 64 mạng con được đề xuất nhỏ nhất cho máy chủ?

   Kích thước tiền tố này ban đầu được đề xuất trong RFC cũ - từ đó đã có sự hủy bỏ chính sách này trong đó vấn đề Neighbor Discovery Attacks được xem xét và sử dụng / 126 là giảm thiểu hợp lệ - dù sao, nếu bạn đang thiết lập liên kết PtP với Mục đích duy nhất của định tuyến lưu lượng, một tùy chọn thay thế chỉ đơn giản là gắn bó với / 64 và tường lửa mạng con đó. Tốt hơn hết, hãy phân bổ cho mình một nhóm mà bạn sẽ rút ra / 64 mạng con và có toàn bộ nhóm đó là một điểm đến trong danh sách đen ở rìa của bạn (và bất cứ nơi nào khác mà sự thù địch có thể đến từ đó)

2. Tại sao nên sử dụng / 127 cho các liên kết điểm tới điểm giữa các bộ định tuyến và tại sao trước đây nó được đề xuất chống lại? Tôi có nên thay đổi các liên kết bộ định tuyến hiện có để sử dụng / 127?

   / 127 không được khuyến nghị giữa các bộ định tuyến và không bao giờ - địa chỉ Anycast của tất cả các bộ định tuyến là địa chỉ toàn bộ số không của mạng con; điều này có nghĩa là / 127 chỉ hợp lệ về mặt kỹ thuật giữa hai máy trong đó một trong số chúng KHÔNG hoạt động như một bộ định tuyến. / 126 là tất nhiên tốt.

   Tuy nhiên, trong mọi trường hợp, tôi sẽ không khuyên chuyển đổi các liên kết / 64 hiện có trừ khi thiết bị của bạn dễ bị tấn công lũ lụt bộ đệm Neighbor Discovery - và ngay cả trong trường hợp này, trước tiên hãy xác định xem bạn có thực sự sử dụng / 64 đó để kết nối internet không , nếu câu trả lời là không, chỉ cần tường lửa nó.

3. Tại sao các máy ảo sẽ được cung cấp các mạng con nhỏ hơn / 64?

   Điều này phá vỡ SLAAC và RA, trừ khi bạn thực sự, thực sự biết những gì bạn đang làm, không chắc là bạn có bất kỳ lý do chính đáng nào để làm điều này - có lẽ thượng nguồn của bạn chỉ cung cấp cho bạn một 64 / nhưng nếu đó là trường hợp, bạn cần phải đi quay lại với họ và yêu cầu thêm, nếu họ muốn tính phí cho bạn, hãy bắt đầu tìm kiếm một nhà cung cấp mới và có thể gửi cho họ một số e-mail lén lút liên kết với các RFC có liên quan.

4. Có những tình huống khác trong đó tôi sẽ sử dụng một mạng con nhỏ hơn / 64 không?

   Thành thật? chắc là không. Nếu tôi nghĩ về một lý do chính đáng trong đó một mạng con nhỏ hơn là thích hợp hơn cho các mục đích khác ngoài việc ngăn chặn các cuộc tấn công NDP, tôi sẽ chỉnh sửa phần này.

   Ngược lại, có những tình huống bạn KHÔNG muốn sử dụng các mạng con nhỏ hơn / 64 - đặc biệt là bất cứ nơi nào bạn chạy môi trường với thiết bị chuyển tiếp phần cứng (nghĩ rằng bộ định tuyến thương hiệu tên và bộ chuyển mạch L3) - một số sẽ không thể thực hiện định tuyến phần cứng của tiền tố dài hơn / 64, những người khác phải chia hoạt động thành nhiều so sánh, do đó, ít nhất bạn nên cố gắng hết sức để đảm bảo rằng / 64 là tiền tố dài nhất trong xương sống (OSPF / ISIS / EIGRP / v.v.) của bạn.

5. Tôi có thể ánh xạ trực tiếp từ mạng con IPv4 sang mạng con IPv6 không? Chẳng hạn, liệu IPv4 / 24 có tương ứng trực tiếp với IPv6 / 56 hoặc / 120 không?

   Chính thức, :: ffff: xxxx là định dạng cho địa chỉ IPv4 được ánh xạ IPv6 - tất nhiên cũng có một số cơ chế chuyển đổi, cụ thể là 6to4 và tương đối của nó, thứ 6, ánh xạ địa chỉ IPv4 thành địa chỉ IPv6 toàn cầu cho mục đích về việc cung cấp quyền truy cập IPv6 qua IPv4 bằng cách tạo tiền tố IPv6 có nguồn gốc từ địa chỉ IPv4 mà nó mang theo.

6. Giao diện của tôi có một số địa chỉ IPv6. Mạng con phải giống nhau cho tất cả chúng?

   Không, sử dụng các địa chỉ và kích thước mạng con khác nhau trên cùng một giao diện sẽ không thành vấn đề. Nếu có, việc thực hiện là lỗi. Tất nhiên, một câu hỏi tốt hơn là tại sao bạn sẽ làm điều này?

7. Tại sao đôi khi tôi thấy% thay vì / trong địa chỉ IPv6 và điều đó có nghĩa là gì?

   Đây là một dấu phân cách, thường được áp dụng cho các địa chỉ liên kết cục bộ (fe80 :: / 12) - vì cùng một địa chỉ liên kết cục bộ có thể tồn tại hợp pháp trên nhiều giao diện,% delimiter được sử dụng để cho phép chỉ định giao diện nào có nghĩa. Linux thường chỉ định giao diện bắt buộc khi thực hiện các hoạt động liên quan đến liên kết cục bộ. Windows Vista / 2008 trở lên thông minh hơn một chút và sẽ không phàn nàn trừ khi liên kết cục bộ không phải là duy nhất.

8. Tôi có lãng phí quá nhiều mạng con không? Không phải chúng ta sẽ chạy ra ngoài một lần nữa sao?

   Không. Đây là một con ngựa chết đã bị mắc kẹt WAAAAAAAAAY quá nhiều lần - Internet IPv6 toàn cầu hiện tại là 2000 :: / 3 - có một số tiền tố nữa mà IANA có thể bắt đầu sử dụng nếu, bằng cách nào đó, mọi RIR trên hành tinh được quản lý để làm cạn kiệt địa chỉ cổ phiếu. Vì vậy, không, chúng tôi sẽ không hết dung lượng, và ngay cả khi chúng tôi làm, nó đòi hỏi một cái bút để bật một tiền tố mới, không phải là một thay đổi kỹ thuật. Điều duy nhất mà câu hỏi này thực sự nổi bật là sự bất lực của tâm trí con người trong việc hiểu đầy đủ không gian địa chỉ rộng lớn đến mức nào.

9. Trong các cách chính khác, mạng con IPv6 khác với mạng con IPv4 là gì?

   Khác với việc không quan tâm đến việc bạn đang sử dụng bao nhiêu dung lượng, hãy nhớ rằng không có địa chỉ quảng bá và địa chỉ "subnet-zero" hiện là địa chỉ allcast của bộ định tuyến (về cơ bản là một địa chỉ tồn tại trên tất cả các nút được định cấu hình để chuyển tiếp các gói IPv6) - điều này có tác dụng phụ hữu ích là cho phép bạn sử dụng tất cả các địa chỉ số 0 làm tuyến mặc định của bạn trong mạng (không, nó sẽ không gây ra sự trùng lặp gói, đó là BẤT K, chứ không phải MULTIcast) - hãy lưu ý mặc dù máy chủ có thể lật giữa các bộ định tuyến cứ sau vài giây, do đó, điều này không phù hợp với thiết lập tường lửa trạng thái nếu theo dõi kết nối không được đồng bộ hóa giữa chúng.

   Ngoài ra, điểm khác biệt lớn khác là IPv6 quan tâm đến các địa chỉ trùng lặp và hàng xóm đã chết (NUD) - do đó, không giống như IPv4, một máy chủ sẽ từ chối sử dụng địa chỉ nếu có thể xác định rằng một nút khác trên liên kết đã sử dụng nó. . Mặt khác, NUD rất hữu ích nếu bạn định cấu hình các tuyến tĩnh - bạn thực sự có thể xác định nhiều tuyến riêng biệt với tiền tố với các số liệu khác nhau và chúng sẽ thực sự hoạt động, không giống như trong IPv4 nơi tuyến số liệu thấp nhất sẽ được sử dụng bất kể tuyến tiếp theo nào -hop đã chết hoặc còn sống (mặc dù điều này có thể không đúng đối với một số triển khai IPv4 sử dụng ARP để xác thực các tuyến đường như Cisco và các nhà cung cấp bộ định tuyến chính khác)

   TLDR; IPv6 phát hiện các địa chỉ trùng lặp và hàng xóm không thể truy cập. Địa chỉ all-zero là all-router anycast và không có thứ gì như phát sóng, tất cả đều là địa chỉ thông thường.

Đối với những người thắc mắc về yêu cầu / 64 đối với SLAAC đến từ đâu, đây là một số tài liệu tham khảo thêm:

Từ tự động cấu hình địa chỉ không trạng thái IPv6 (RFC 4862) :

Nếu tổng độ dài tiền tố và độ dài định danh giao diện không bằng 128 bit, tùy chọn Thông tin tiền tố PHẢI bị bỏ qua. [...]

Quản trị viên hệ thống có trách nhiệm đảm bảo rằng độ dài của các tiền tố có trong Quảng cáo Bộ định tuyến phù hợp với độ dài của số nhận dạng giao diện cho loại liên kết đó.

Và từ Kiến trúc Địa chỉ IP Phiên bản 6 (RFC 4291) :

Đối với tất cả các địa chỉ unicast, ngoại trừ các địa chỉ bắt đầu bằng giá trị nhị phân 000, ID giao diện được yêu cầu phải dài 64 bit và được xây dựng theo định dạng EUI-64 đã sửa đổi.

Do đó, vì ID giao diện phải dài 64 bit và tổng độ dài tiền tố và độ dài ID giao diện phải là 128, độ dài duy nhất có thể có của tiền tố khi sử dụng SLAAC là 64 bit.

IPv6 là 128 bit, vậy tại sao / 64 mạng con được đề xuất nhỏ nhất cho máy chủ?

Bởi vì những người đề xuất IPv6 thích ý tưởng về cấu hình tự động không trạng thái.

Nếu bạn chọn bất kỳ kích thước mạng con nào khác thì cấu hình tự động không trạng thái sẽ bị hỏng. Một số điều nhỏ khác cũng có thể bị hỏng, hãy đọc rfc7421 để biết thêm chi tiết.

Cá nhân tôi nghĩ rằng cấu hình tự động không trạng thái dù sao cũng là một ý tưởng ngu ngốc. Nó dẫn đến các địa chỉ không thể đọc được và về cơ bản bạn không có quyền kiểm soát nào đối với việc đánh địa chỉ ngoài việc khẳng định khối với mạng con.

Tất nhiên, điều với các quy ước là nếu bạn tuân theo chúng và mọi thứ trở nên sai lầm, bạn có thể chỉ ra quy ước, nếu bạn từ chối tuân theo chúng và mọi thứ trở nên sai lầm thì đó sẽ là lỗi của bạn.

Tại sao nên sử dụng / 127 cho liên kết điểm tới điểm giữa các bộ định tuyến,

Sử dụng mạng con với số lượng nhỏ địa chỉ có sẵn để tránh các cuộc tấn công kiệt sức phát hiện hàng xóm.

Tất nhiên lý do này không chỉ áp dụng để liên kết điểm. Tôi đoán rằng về mặt chính trị có thể thực hiện việc giới thiệu này cho các liên kết bộ định tuyến điểm tới điểm nhưng không thể về mặt chính trị để thực hiện nó cho các liên kết khác.

Tại sao các máy ảo sẽ được cung cấp với ít hơn 64 địa chỉ?

Chúng ta cần phân biệt ở đây. Có hai cách nhà cung cấp dịch vụ lưu trữ có thể gán địa chỉ cho máy (dù là vật lý hay ảo).

Họ có thể gán cho họ các địa chỉ "trên liên kết" nơi máy dự kiến ​​sẽ trả lời các yêu cầu khám phá hàng xóm. Một số nhà cung cấp dịch vụ lưu trữ đã chọn cung cấp cho mỗi máy a / 64 có lợi thế về khả năng di chuyển địa chỉ, một số nhà cung cấp khác cung cấp cho mỗi Vlan a / 64 và sau đó cung cấp cho các khối máy riêng lẻ sử dụng ít địa chỉ hơn và có thể có nghĩa là lưu lượng truy cập cục bộ vẫn ở địa phương hơn là chuyển đến một bộ định tuyến.

Hoặc họ có thể coi máy như một bộ định tuyến và gán cho nó một khối định tuyến. Trong trường hợp này, nó sẽ cần đủ địa chỉ để giải quyết tất cả các mạng con bên trong của nó. Nếu bạn tuân theo quy ước "tất cả các mạng con phải là / 64", điều đó có nghĩa là phân bổ ít nhất là a / 64 và sở hữu nhiều hơn. Điều này có ý nghĩa đối với các máy có "mạng bên trong máy", ví dụ như máy chủ chứa.

Tôi có thể ánh xạ trực tiếp từ mạng con IPv4 sang mạng con IPv6 không? Chẳng hạn, liệu IPv4 / 24 có tương ứng trực tiếp với IPv6 / 56 hoặc / 120 không?

Bất kỳ ánh xạ như vậy là một vấn đề cho chính sách địa phương.

Giao diện của tôi có một số địa chỉ IPv6. Mạng con phải giống nhau cho tất cả chúng?

Không

Tại sao đôi khi tôi thấy% thay vì / trong địa chỉ IPv6 và điều đó có nghĩa là gì?

% là một định danh giao diện. Nó được sử dụng cùng với các địa chỉ liên kết cục bộ. Điều này là cần thiết vì một máy có thể có nhiều giao diện và các mạng được kết nối với các giao diện đó có thể có các địa chỉ liên kết cục bộ chồng chéo.

Tôi có lãng phí quá nhiều mạng con không? Không phải chúng ta sẽ chạy ra ngoài một lần nữa sao?

Tôi sẽ không lo lắng về nó quá nhiều.

Ngay cả với quyết định kỳ lạ của các nhà thiết kế IPv6 là sử dụng không gian địa chỉ 128 bit và sau đó vứt bỏ gần một nửa số đó vào cấu hình tự động không trạng thái, IPv6 vẫn có dung lượng lớn hơn so với IPv4.

Và nếu có một cuộc khủng hoảng, sẽ mất ít hơn một nét bút để hoàn nguyên quyết định kỳ lạ đó.

Một mối quan tâm lớn hơn nhiều với khả năng mở rộng IPv6 là kích thước bảng định tuyến. IPv6 NAT không được khuyến khích. Điều hành một mạng lớn trên các địa chỉ do nhà cung cấp phân phối dẫn đến rủi ro đáng kể về việc khóa nhà cung cấp.

Vì vậy, tôi tin rằng khi thâm nhập IPv6 vào các mạng công ty tăng lên, chúng ta sẽ thấy sự bùng nổ trong các yêu cầu đối với không gian IPv6 độc lập với nhà cung cấp.