O que é o IPv6 equivalente aos endereços IPv4 RFC1918?

Navegue suas respostas
25

Ter dificuldade em lidar com o IPv6 aqui. Muito do jargão parece direcionado a implementações IPv6 em nível corporativo, discutindo link local, local-local, unicast global, escopos, etc. Não há muita informação sólida sobre redes realmente pequenas, como redes domésticas. Quero verificar meu raciocínio e verificar se estou obtendo as traduções corretas de fala IPv4 para IPv6.

A primeira pergunta é: qual é o equivalente do RFC1918 para o IPv6? Pesquisas iniciais sugeriram que não havia equivalente. Então eu deparei com Unique Local Addresses (RFC4193), e que afirma que todos os ULA's devem receber o prefixo fc00 , seguido por um número aleatório de 40 bits no prefixo de roteamento. Esse número aleatório serve para "evitar colisões quando duas redes IPv6 estão interconectadas" - mais uma vez, outra referência a uma função no nível corporativo.

Se eu tiver uma pequena LAN local em casa, numerada usando 192.168.4.0/24 , qual é o meu equivalente no escopo do ULA do IPv6? Supondo que eu nunca, nunca, amarrei esse endereço IPv6 na internet real (um roteador irá NAT e firewall dele), posso ignorar o RFC até certo ponto e usar fc00::4:0/120 ?

Parece também que qualquer endereço em fc00::/7 deve ser globalmente roteável. Isso significa que precisaremos de proteções extras para que meu roteador não comece a anunciar automaticamente esses endereços IPv6 privados para o mundo?

Segunda pergunta, o que é essa coisa de link-local? A leitura sugere um endereço atribuído por padrão no intervalo fe80::/10 que contém os últimos 64 bits do endereço composto pelo endereço MAC da interface. Parece ser necessário também, mas estou incomodado com a discussão constante sobre isso em relação às redes corporativas.

Terceira pergunta, para que serve o id do escopo? Parece ser mais um termo discutido em relação às redes corporativas, especialmente ao interconectá-las, mas quase nenhuma explicação sobre o menor nível da rede doméstica.

Posso ver uma ID de escopo e uma notação CIDR usadas juntas? Ou seja, fc00::4:0/120%6 ou os IDs de escopo devem ser aplicados apenas a um único endereço / 128 IPv6?

    
por Kumba 28.12.2010 / 03:15

3 respostas

12

O "Endereço local exclusivo" é exatamente o que você está procurando. fc00::/7 fornece bits suficientes que, se você gerar um número aleatório em vez de apenas escolher um, as chances de colisão são pequenas.

Does this mean I'll need extra protections so my router would not automatically start advertising these private IPv6 addresses to the world?

O RFC que abrange esses ULAs ( RFC4193 ) declara especificamente que esses números não devem ser roteado na internet, embora dois pares possam concordar em passar certos prefixos. A menos que a Comcast decida rotear unilateralmente estes (improváveis ao extremo), você não deve se preocupar com propaganda de rotas.

Assuming I will never, ever, tie that IPv6 address into the real internet (a router will NAT & firewall it), can I ignore the RFC to an extent and go with fc00::4:0/120?

Não assuma isso. Por exemplo, a Comcast está atualmente realizando testes IPv6 e eles estão passando / 64's para os usuários finais (slide 5); não apenas o único endereço que eles estão fazendo com o IPv4. Isso significa que seus testadores de IPv6 agora em execução têm a opção de executar com endereços globalmente roteaveis, mas com firewall por seu roteador, ou fazer algum tipo de NAT com endereços globais de link ou exclusivos de global.

No entanto, a execução sem qualquer tipo de tradução de endereço não é tão insano quanto parece . Tenha em mente alguns pontos.

  • A Comcast está distribuindo uma sub-rede / 64 para você, para que seu invasor já saiba como é o seu espaço IP.
  • A / 64 fornece um número absurdamente grande de endereços em potencial. 2 ^ 64 vale a pena! São quatro bilhões de endereços IP da Internet IPv4. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Quatro bilhões de vezes quatro bilhões.) Embora a natureza do autoprovisionamento do IPv6 reduza o número real de endereços que precisam ser verificados, a verificação ainda é inviável.
  • A menos que você configure seu próprio domínio para fornecê-lo, a Comcast não fornecerá pesquisas de DNS diretas ou reversas para seus endereços IP / 64 de endereços IP. Isso reduz bastante a capacidade dos invasores de reconhecer sua rede.
  • A execução sem o NAT facilita certos problemas de rede e certamente torna as tecnologias peer-to-peer indesejáveis, mas muito populares (você sabe do que estou falando) muito mais fáceis de serem executadas e executadas.

Correr sem um firewall ainda é tão insano quanto parece. Felizmente, você pode fazer o firewall sem precisar NAT.

Second question, what's this link-local thing?

Pense nisso como capaz de alcançar qualquer coisa no domínio de transmissão atual e não pode ser roteado. Como o NetBEUI de idade. Na verdade, se sua rede doméstica estiver completamente vazia, você poderá usar esses endereços em vez de endereços locais exclusivos.

Third question, what is scope id for?

É usado para duas coisas diferentes, o que torna irritante descrever:

Coisa 1: Multicast. Ele define até que ponto o pacote multicast deve ser alcançado.

Coisa 2: (a que eu acho que você está se referindo) Isso é usado em um URI como uma maneira de definir qual interface usar. É usado principalmente com endereços locais de link. Ele nunca deve ser usado em conjunto com a notação CIDR, portanto, as duas sintaxes nunca devem ser combinadas.

    
por 28.12.2010 / 03:45
5

Você não deve usar um endereço que comece com fc00:

Como explicado no RFC 4193, é um prefixo de 7 bits. Tudo após esses primeiros 7 bits deve ser preenchido como explicado no RFC. O método atualmente definido sempre produzirá um endereço que comece com fd. O 00 deve ser substituído por números aleatórios, e os próximos dois grupos de 16 bits também devem ser aleatórios, totalizando 40 bits.

Existem muitas páginas na internet que podem gerar uma para você. Eu só quero um desses sites para obter um exemplo de como tal prefixo poderia se parecer com fdae: a212: e94d :: / 48

Como você apontou, esses endereços são unicast globais, mas não devem ser globalmente roteáveis. Se o seu roteador os rotear externamente por padrão, seria uma boa ideia configurar filtros para evitar isso. Seu upstream também deve estar sendo filtrado, então eles só serão roteados fora de sua rede se ambos tiverem roteadores configurados incorretamente.

    
por 09.05.2011 / 11:57
3

todos os endereços que começam com fe80: algo é link-local. Você pode pensar em um "link" sendo todos os computadores conectados a uma rede comutada sem roteadores. Então, esses endereços ipv6 podem ser usados apenas para comunicação nessa rede.

A parte mais difícil para nós humanos é provavelmente que as máquinas agora se configurem. Existe um protocolo chamado NDP (Neighbor Discovery Protocol) que cuida de dizer "olá" a todas as outras máquinas na rede.

Se você não quiser que as máquinas acessem a Internet, basta instalar um roteador.

Você pode configurar o ipv6 manualmente ou com um servidor DHCP, mas não precisa fazê-lo. Essa é uma das boas notícias com o ipv6.

    
por 28.12.2010 / 03:28
Como posso implantar um cluster haproxy escalável e confiável no Amazon EC2? SQL Server para a configuração do servidor vinculado do sql server