Qual è l'IPv6 equivalente agli indirizzi IPv4 RFC1918?

28

Ho difficoltà a avvolgere la mia testa attorno a IPv6 qui. Gran parte del gergo sembra mirato alle implementazioni IPv6 a livello aziendale, che parlano di link-local, site-local, unicast globale, ambiti, ecc. Non molte informazioni solide su reti molto piccole, come le reti domestiche. Voglio verificare il mio pensiero e assicurarmi di ottenere le traduzioni corrette da IPv4-speak a IPv6-speak.

La prima domanda è: qual è l'equivalente di RFC1918 per IPv6? Le ricerche iniziali hanno suggerito che non c'erano equivalenti. Quindi mi sono imbattuto in Unique Local Addresses (RFC4193), e questo afferma che a tutti gli ULA dovrebbe essere assegnato il prefisso fc00, seguito da un numero casuale a 40 bit nel prefisso di routing. Questo numero casuale serve a "prevenire le collisioni quando due reti IPv6 sono interconnesse" - ancora una volta, un altro riferimento a una funzione a livello aziendale.

Se ho una piccola LAN locale a casa, numerata usando 192.168.4.0/24, qual è il mio equivalente nell'ambito ULA di IPv6? Supponendo che non collegherò mai mai quell'indirizzo IPv6 a Internet reale (un router lo NAT e lo firewallerà), posso ignorare in un certo senso l'RFC e andare avanti fc00::4:0/120?

Sembra inoltre che qualsiasi indirizzo in fc00::/7debba essere instradabile a livello globale. Questo significa che avrò bisogno di protezioni extra in modo che il mio router non inizierebbe automaticamente a pubblicizzare questi indirizzi IPv6 privati ​​nel mondo?

Seconda domanda, cos'è questa cosa link-local? La lettura suggerisce un indirizzo assegnato di default fe80::/10nell'intervallo che ha gli ultimi 64 bit dell'indirizzo composto dall'indirizzo MAC dell'interfaccia. Sembra essere anche richiesto, ma sono infastidito dalla costante discussione in merito alle reti aziendali.

Terza domanda, a cosa serve l'ambito di applicazione? Sembra essere ancora un altro termine usato in relazione alle reti aziendali, specialmente quando le interconnettono, ma quasi nessuna spiegazione a livello di rete domestica più piccola.

Posso vedere una notazione ID ID e CIDR usata insieme? Vale a dire, fc00::4:0/120%6o gli ID ambito dovrebbero essere applicati solo a un singolo indirizzo / 128 IPv6?

ipv6 
Kumba
fonte
Se stai cercando ulteriori informazioni pratiche sulla distribuzione di IPv6, tunnelbroker.net ti darà lo spazio IPv6 effettivo con cui giocare, oltre a una serie di tutorial ed esercitazioni sull'argomento.
MikeyB,
La tua ipotesi (mai legata a Internet) è ignorante. Che cosa succede se inizi a lavorare per un'azienda e la tua VPN e usano la stessa rete? Accertarsi che lo spazio privato sia unico non è necessariamente un'impresa: ci sono buoni motivi per non usare 192.168.xx poiché ogni router sembra essere configurato con questo e il lavoro successivo potrebbe richiedere di entrare in azienda.
TomTom,
1
@TomTom, mentre "ignorante" è tecnicamente un termine neutro, spesso non è così comune . Colloquialmente sembra inutilmente abrasivo e potrebbe essere facilmente sostituito con "non è giusto" o simile.
tgm1024 - Monica è stata maltrattata

Risposte:

12

"Indirizzo locale univoco" è esattamente quello che stai cercando. fc00::/7ti dà abbastanza bit che se generi un numero casuale invece di sceglierne uno le possibilità di collisione sono piccole.

Questo significa che avrò bisogno di protezioni extra in modo che il mio router non inizierebbe automaticamente a pubblicizzare questi indirizzi IPv6 privati ​​nel mondo?

L'RFC che copre questi ULA ( RFC4193 ) afferma specificamente che questi numeri non devono essere instradati su Internet, sebbene due peer possano concordare reciprocamente il passaggio di determinati prefissi. A meno che Comcast non decida di instradare unilateralmente questi (improbabile all'estremo), non dovresti preoccuparti della pubblicità del percorso.

Supponendo che non collegherò mai e poi mai quell'indirizzo IPv6 a Internet reale (un router lo NAT e lo proteggerà con un firewall), posso ignorare l'RFC in una misura e andare con fc00 :: 4: 0/120?

Non dare per scontato questo. Ad esempio, Comcast sta attualmente eseguendo prove IPv6 e sta distribuendo / 64 agli utenti finali (diapositiva 5); non solo il singolo indirizzo che stanno facendo con IPv4. Ciò significa che i loro tester IPv6 attualmente in esecuzione hanno la possibilità di funzionare con indirizzi instradabili a livello globale, ma protetti dal firewall dal loro router, oppure eseguono un qualche tipo di NAT con link local-local o unique-global-address.

Tuttavia, correre senza alcun tipo di traduzione degli indirizzi non è così folle come sembra . Tieni a mente alcuni punti.

  • Comcast ti sta distribuendo una sottorete / 64, quindi il tuo aggressore sa già che aspetto ha il tuo spazio IP.
  • A / 64 fornisce un numero incredibilmente enorme di potenziali indirizzi. Vale 2 ^ 64! Sono quattro miliardi di indirizzi IP di Internet IPv4. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Quattro miliardi di volte quattro miliardi.) Mentre la natura dell'autoprovisioning IPv6 riduce il numero effettivo di indirizzi che devono essere sottoposti a scansione, la sua scansione è ancora impossibile.
  • A meno che tu non abbia impostato il tuo dominio per fornirlo, Comcast non fornirà ricerche DNS dirette o inverse ai tuoi indirizzi IP / 64. Ciò riduce notevolmente la capacità degli utenti malintenzionati di riconnettere la rete.
  • L'esecuzione senza NAT semplifica alcuni problemi di rete e certamente rende le tecnologie peer-to-peer indesiderate ma molto popolari (sai di cosa sto parlando) molto più facili da avviare e da utilizzare.

Correre senza firewall è comunque folle come sembra. Fortunatamente, puoi fare firewall senza dover NAT.

Seconda domanda, cos'è questa cosa link-local?

Pensalo come in grado di raggiungere qualsiasi cosa nel dominio di trasmissione corrente e non può essere instradato. Come NetBEUI-di-vecchio. In effetti, se la tua rete domestica è completamente piatta, puoi utilizzare questi indirizzi invece di Indirizzi locali univoci.

Terza domanda, a cosa serve l'ambito di applicazione?

È usato per due cose diverse, il che rende fastidioso descrivere:

Cosa 1: Multicast. Definisce fino a che punto il pacchetto multicast è destinato a raggiungere.

Cosa 2: (Cosa penso che ti riferisca a) Questo è usato su un URI come un modo per definire quale interfaccia usare. Viene utilizzato principalmente con indirizzi locali di collegamento. Non dovrebbe mai essere usato insieme alla notazione CIDR, quindi le due sintassi non dovrebbero mai essere combinate.

sysadmin1138
fonte
Non considererei NAT "vitale" per la sicurezza, ma lo considero estremamente utile. Per la maggior parte, tuttavia, la mia rete domestica è prevalentemente piatta. Ho armeggiato con le VLAN sul mio router, quindi andare con i suoni di collegamento locale come un no-go, specialmente se questi sono determinati automaticamente. Avere un po 'di controllo sulla mia numerazione mi piace, quindi dovrò approfondire fc00::7.
Kumba,
Scope ID sembra quasi una cosa di Microsoft. Non ne avevo mai sentito parlare fino a quando non mi sono imbattuto nell'articolo MSDN IPv6. Raramente, ho visto alcuni riferimenti ad esso nella documentazione di FreeBSD.
Kumba,
Questa risposta copre le cose. Ancora più ricerca da fare, ma le cose sono un po 'più chiare ora. Grazie!
Kumba,
@Kumba Ho paralizzato la maggior parte di questo da un mio post sul blog qualche tempo fa. Un buon cheat-sheet: sysadmin1138.net/mt/blog/2010/09/…
sysadmin1138
3
@Kumba A / 64 è la sottorete v6 più piccola consentita dalla specifica IPv6. È possibile adattare 34.000.000 / 64 allocazioni (2 volte il numero di iscritti 2009 di Comcast) in un'unica allocazione / 36. Dato che Comcast ha almeno un / 32 (2001: 558/32), possono permettersi di essere liberali. Probabilmente non avranno bisogno di un altro / 32 per molto tempo.
sysadmin1138
5

Non dovresti usare un indirizzo che inizia con fc00:

Come spiegato in RFC 4193 è un prefisso a 7 bit. Tutto dopo quei primi 7 bit dovrebbe essere compilato come spiegato nella RFC. Il metodo attualmente definito produrrà sempre un indirizzo che inizia con fd. Lo 00 dovrebbe essere sostituito con numeri casuali e anche i successivi due gruppi di 16 bit dovrebbero essere casuali per un totale di 40 bit.

Ci sono molte pagine su Internet che possono generarne una per te. Voglio solo uno di quei siti per avere un esempio di come un prefisso potrebbe apparire come fdae: a212: e94d :: / 48

Come hai sottolineato, quegli indirizzi sono unicast globali, ma non dovrebbero essere instradabili a livello globale. Se il router li instrada esternamente per impostazione predefinita, sarebbe una buona idea configurare i filtri per evitarlo. Anche il tuo upstream dovrebbe filtrare, quindi verranno instradati al di fuori della tua rete solo se entrambi hai router configurato male.

Kasper
fonte
Non sono. Sono consapevole che fc00 :: / 8 non ha ancora avuto uno scopo nella vita, quindi sono attualmente su una sottorete fd00 :: / 8 per la mia rete domestica. E non mi interessano gli indirizzi randomizzati. Il mio ISP non offre ancora IPv6, quindi è strettamente interno, quindi mi attengo a qualcosa che in realtà posso ricordare.
Kumba,
Almeno un progetto si basa su fc00 :: / 8: Cjdns
Vi.
3

tutti gli indirizzi che iniziano con fe80: qualcosa è link-local. Puoi pensare a un "collegamento" che è tutti i computer collegati a una rete commutata senza router. Quindi quegli indirizzi ipv6 possono essere usati solo per la comunicazione su quella rete.

La parte più difficile per noi umani è probabilmente che le macchine ora si configurano da sole. Esiste un protocollo chiamato Neighbor Discovery Protocol (NDP) che si occupa di dire "ciao" a tutte le altre macchine in rete.

Se non vuoi che le macchine accedano a Internet, allora ... non installare un router.

È possibile configurare ipv6 a mano o con un server DHCP, ma non è necessario. Questa è una delle buone notizie con ipv6.

Arno Teigseth
fonte
@Arno: Ah, quindi se ho un box I SSH sulla mia LAN interna, posso semplicemente usare l'indirizzo link-local di esso su SSH? Posso ancora configurare manualmente quell'indirizzo fe80::/10su qualcosa che mi piace? O sarà impostato automaticamente in base al design di IPv6 (e alla particolare implementazione dello stack del sistema operativo)?
Kumba,
PS: macchine che si configurano da sole. Hmm, dove l' ho visto prima? :)
Kumba,
Probabilmente hai visto macchine autoconfiguranti in alcuni film :) Non lasciarli decollare, o saremo dominati.
Arno Teigseth,
1
sulla configurazione: en.wikipedia.org/wiki/Link-local_address (il sistema operativo prende l'indirizzo MAC della scheda di rete, fa qualche trucco e finisce con fe80: qualcosa. I brutti dettagli sono su tools.ietf.org / html / rfc4862 , ricerca fe80 ...)
Arno Teigseth,
Brutti dettagli davvero.
Kumba,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.