與 IPv4 RFC1918 地址等效的 IPv6 是什麼?
在這裡很難理解 IPv6。很多術語似乎針對企業級 IPv6 部署,討論鏈路本地、站點本地、全球單播、範圍等。關於真正小型網路(如家庭網路)的可靠資訊並不多。我想檢查一下我的想法,並確保我得到了從 IPv4 到 IPv6 的正確翻譯。
第一個問題是,對於 IPv6,RFC1918 的等價物是什麼?最初的搜尋表明沒有等價物。然後我偶然發現了唯一本地地址 (RFC4193),它指出應該為所有 ULA 分配前綴
fc00
,後跟路由前綴中的 40 位隨機數。這個隨機數是為了“防止兩個 IPv6 網路互連時發生衝突”——再次提及企業級功能。如果我家裡有一個小型本地 LAN,使用 編號
192.168.4.0/24
,那麼我在 IPv6 的 ULA 範圍內的等價物是什麼?假設我永遠不會將該 IPv6 地址綁定到真正的網際網路(路由器將對其進行 NAT 和防火牆),我可以在一定程度上忽略 RFC 並繼續使用fc00::4:0/120
嗎?似乎任何地址
fc00::/7
都可以全域路由。這是否意味著我需要額外的保護,這樣我的路由器就不會自動開始向全世界宣傳這些私有 IPv6 地址?第二個問題,這個連結本地的東西是什麼?
fe80::/10
閱讀建議在地址的最後 64 位由介面的 MAC 地址組成的範圍內的預設分配地址。似乎也是必需的,但我對與企業網路相關的不斷討論它感到惱火。第三個問題,scope id 是乾什麼用的?似乎是與企業網路相關的另一個術語,尤其是在互連它們時,但幾乎沒有對較小的家庭網路級別的解釋。
我可以看到同時使用的範圍 ID 和 CIDR 表示法嗎?即,
fc00::4:0/120%6
或範圍 ID 是否只應該應用於單個 /128 IPv6 地址?
“唯一本地地址”正是您正在尋找的。
fc00::/7
給你足夠的位,如果你生成一個隨機數而不是僅僅選擇一個,那麼碰撞的機會就會很小。這是否意味著我需要額外的保護,這樣我的路由器就不會自動開始向全世界宣傳這些私有 IPv6 地址?
涵蓋這些 ULA ( RFC4193 ) 的 RFC 明確指出,這些號碼不應在 Internet 上路由,儘管兩個對等方可能會相互同意傳遞某些前綴。除非康卡斯特決定單方面路由這些(不太可能在極端情況下),否則您不必擔心路由廣告。
假設我永遠不會將該 IPv6 地址綁定到真正的網際網路(路由器將對其進行 NAT 和防火牆),我可以在一定程度上忽略 RFC 並使用 fc00::4:0/120 嗎?
不要假設。例如,Comcast 目前正在進行 IPv6 試驗,他們正在將 /64 傳遞給最終使用者(幻燈片 5);不僅僅是他們使用 IPv4 處理的單個地址。這意味著他們現在正在執行的 IPv6 測試人員可以選擇使用全域可路由地址執行,但由他們的路由器設置防火牆,或者使用連結本地或唯一全域地址進行某種 NAT。
然而,在沒有任何地址轉換的情況下執行並不像聽起來那麼瘋狂。請記住幾點。
- Comcast 正在向您分發 /64 子網,因此您的攻擊者已經知道您的 IP 空間是什麼樣的。
- /64 提供了令人難以置信的大量潛在地址。2^64 價值!那是 40 億 IPv4 Internet 的 IP 地址。(2^64 == 2^32 * 2^32. 40 億乘以 40 億。)雖然 IPv6 自動配置的性質減少了需要掃描的實際地址數量,但掃描它仍然是不可行的。
- 除非您設置自己的域來提供它,否則 Comcast 不會為您的 /64 值的 IP 地址提供正向或反向 DNS 查找。這大大降低了攻擊者偵察您的網路的能力。
- 在沒有 NAT 的情況下執行會使某些網路問題更容易,並且肯定會使不受歡迎但非常流行的點對點技術(你知道我在說什麼)更容易啟動和執行。
不過,在沒有防火牆的情況下執行仍然像聽起來一樣瘋狂。令人高興的是,您無需 NAT 即可進行防火牆。
第二個問題,這個連結本地的東西是什麼?
認為它可以到達目前廣播域中的任何內容,並且無法路由。像NetBEUI-of-old。事實上,如果您的家庭網路完全平坦,您可以使用這些地址而不是唯一本地地址。
第三個問題,scope id 是乾什麼用的?
它用於兩種不同的事情,這使得描述起來很煩人:
**事情1:**多播。它定義了多播數據包打算到達的距離。
**事情 2:(**我認為您指的是)這在 URI 上用作定義要使用的介面的一種方式。它主要用於連結本地地址。它不應該與 CIDR 表示法一起使用,因此這兩種語法不應該結合使用。