IPv6, IPv4 RFC1918 adreslerine eşdeğer nedir?


28

Başımı burada IPv6'ya sarmakta zorlanıyor. Dilin çoğu kurumsal düzeyde IPv6 dağıtımlarını hedef alıyor, bağlantı yerel, site yerel, küresel tek noktaya yayın, kapsamlar, vb. Tartışıyor. Görünüşe göre ev ağları gibi küçük ağlar hakkında çok fazla sağlam bilgi yok. Düşüncemi kontrol etmek ve IPv4-speak'ten IPv6-speak'e doğru çevirileri aldığımdan emin olmak istiyorum.

İlk soru, IPv6 için RFC1918'in karşılığı nedir? İlk aramalar eşdeğer olmadığını öne sürdü. Sonra Eşsiz Yerel Adresler (RFC4193) üzerine tökezledim ve bu, tüm ULA'ların önek olarak atanması gerektiğini fc00, ardından yönlendirme önekinde 40 bitlik rastgele bir sayı olduğunu belirtir . Bu rasgele sayı "iki IPv6 ağı birbirine bağlandığında çarpışmaları önlemek" - yine işletme düzeyinde bir işleve bir referans.

Eğer evde numaralandırılmış küçük bir yerel 192.168.4.0/24LAN'ım varsa, IPv6'nın ULA kapsamındaki eşdeğeri nedir? Bu IPv6 adresini asla gerçek internete (bir yönlendirici NAT ve güvenlik duvarı kuracak) asla bağlamayacağımı varsayarak, RFC'yi bir dereceye kadar görmezden gelip gidebilir fc00::4:0/120miyim?

Ayrıca, herhangi bir adresin fc00::/7global olarak yönlendirilebilir olduğu görülüyor . Bu, yönlendiricimin bu özel IPv6 adreslerini dünyaya otomatik olarak reklam vermeye başlamaması için ekstra korumalara ihtiyacım olacağı anlamına mı geliyor?

İkinci soru, bu yerel bağlantı nedir? Okuma fe80::/10, arayüzün MAC adresinden oluşan adresin son 64 bitini içeren aralıkta varsayılan olarak atanmış bir adres önerir . Ben de gerekli gibi görünüyor, ancak kurumsal ağlarla ilgili sürekli olarak tartışması beni rahatsız ediyor.

Üçüncü soru, kapsam kimliği nedir? Özellikle ağları birbirine bağlarken kurumsal ağlarla ilgili olarak atılan başka bir terim olarak görünüyor, ancak daha küçük ev ağı düzeyinde neredeyse hiçbir açıklama yok.

Birlikte kullanılan bir kapsam kimliği ve CIDR gösterimi görebilir miyim? Yani, fc00::4:0/120%6kapsam kimlikleri sadece bir tek / 128 IPv6 adresine uygulanmalı mıdır?


IPv6 dağıtımı hakkında daha pratik bilgiler arıyorsanız, tunnelbroker.net size konuyla ilgili öğretici ve alıştırmaların yanı sıra oynayabileceğiniz gerçek IPv6 alanı sağlayacaktır.
MikeyB

Varsayım (asla internete bağlı değildir) cahildir. Bir şirkette çalışmaya başlarsanız ve VPN'i kullanıyorsanız ve aynı ağı kullanıyorlarsa? Özel alanınızın benzersiz olmasını sağlamak kesinlikle kurumsal değildir - 192.168.xx'i kullanmamanın iyi nedenleri vardır, çünkü her yönlendirici bununla önceden yapılandırılmış görünmektedir ve bir sonraki iş şirketinize girmenizi gerektirebilir.
TomTom

1
@TomTom, "cahil" teknik olarak nötr bir terim olsa da, çoğu zaman ortak kullanımda değildir . Konuşma gereği gibi gereksiz yere aşındırıcı görünür ve "doğru değil" veya benzeri ile kolayca ikame edilebilir.
tgm1024

Yanıtlar:


12

"Benzersiz Yerel Adres" tam olarak aradığınız şey. sadece bir tane seçmek yerine rastgele bir sayı oluşturursanız , çarpışma şansının küçük olması içinfc00::/7 yeterli miktarda bilgi verir .

Bu, yönlendiricimin bu özel IPv6 adreslerini dünyaya otomatik olarak reklam vermeye başlamaması için ekstra korumalara ihtiyacım olacağı anlamına mı geliyor?

Bu ULA'ları kapsayan RFC ( RFC4193 ) özellikle bu numaraların internette yönlendirilmemesi gerektiğini belirtirken, iki arkadaş belirli önekleri geçmeyi kabul edebilir. Comcast, bunları tek taraflı olarak yönlendirmeye karar vermediği sürece (aşırı derecede ihtimal dışı), rota reklamlarıyla ilgili endişelenmenize gerek yoktur.

Bu IPv6 adresini asla gerçek internete bağlamayacağımı varsayarak (bir yönlendirici NAT ve güvenlik duvarı kuracak), RFC'yi bir dereceye kadar görmezden gelip fc00 :: 4: 0/120 ile gidebilir miyim?

Bunu varsayma. Örneğin, Comcast şu anda IPv6 denemeleri yapıyor ve son kullanıcılara / 64'leri geçiyorlar (slayt 5); IPv4 ile yaptıkları tek adres değil. Bu, şu anda çalışan IPv6 test cihazlarının global olarak yönlendirilebilen adreslerle çalışma, ancak yönlendiricileri tarafından güvenlik duvarı oluşturma veya yerel veya benzersiz genel adreslerle bağlantı kurma yoluyla bir tür NAT yapma seçeneğine sahip olduğu anlamına gelir.

Bununla birlikte, herhangi bir adres çevirisi olmadan çalışmak göründüğü kadar delice değildir . Aklınızda bulundurun birkaç nokta.

  • Comcast size / 64 alt ağını veriyor, bu yüzden saldırganınız IP alanınızın nasıl göründüğünü zaten biliyor.
  • A / 64, şaşırtıcı derecede çok sayıda potansiyel adrese bir zihin sağlar. 2 ^ 64 değer! Bu dört milyar IPv4 İnternet'in IP adresleri. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Dört milyar kez dört milyar.) IPv6 otomatik çoğaltma işleminin doğası, taraması gereken gerçek adres sayısını azaltırken, taraması yine de mümkün değildir.
  • Sağlamak için kendi etki alanınızı ayarlamadığınız sürece, Comcast, / 64 değerindeki IP adreslerinize ileri ve geri DNS aramaları sağlamayacaktır. Bu, saldırganların ağınızı uzlaştırma becerisini büyük ölçüde azaltır.
  • NAT olmadan çalıştırma, belirli ağ sorunlarını kolaylaştırır ve kesinlikle istenmeyen ancak çok popüler eşler arası teknolojileri (ne hakkında konuştuğumu bilirsiniz) çalıştırıp çalıştırmayı çok daha kolaylaştırır.

Bir güvenlik duvarı olmadan koşmak, yine de göründüğü kadar delilik. Ne mutlu ki, NAT'a gerek olmadan güvenlik duvarı yapabilirsiniz.

İkinci soru, bu yerel bağlantı nedir?

Geçerli yayın alanındaki herhangi bir şeye ulaşabileceğini ve yönlendirilemediğini düşünün. Eski NetBEUI gibi. Aslında, eğer ev ağınız tamamen düz ise, bu adresleri Benzersiz Yerel Adresler yerine kullanabilirsiniz.

Üçüncü soru, kapsam kimliği nedir?

İki farklı şey için kullanılır, bu da tarif etmesini sinirlendirir:

Şey 1: Çok Noktaya Yayın. Çok noktaya yayın paketinin ne kadar ulaşması gerektiğini tanımlar.

2. Şey: (Neyi kastediyorsunuz sanırım) Bu, URI'de hangi arayüzün kullanılacağını tanımlamanın bir yolu olarak kullanılır. Öncelikle yerel bağlantı adresleriyle kullanılır. Asla CIDR notasyonu ile birlikte kullanılmamalıdır, bu yüzden iki sözdizimi asla birleştirilmemelidir.


NAT'ı güvenlik için "hayati" olarak düşünmezdim, ama bunu son derece yararlı buluyorum. Yine de, ev ağım çoğunlukla düzdür. Yönlendiricimdeki VLAN'lar ile uğraşmıştım, bu yüzden, özellikle otomatik olarak belirlenirse, bağlantısız yerel seslerle devam ediyor. Kendi numaralandırmam üzerinde kontrol sahibi olmak bana çekici geliyor, bu yüzden daha fazla araştırmam gerekecek fc00::7.
Kumba

Kapsam kimliği neredeyse bir Microsoft şey gibi görünüyor. MSDN IPv6 makalesiyle karşılaşana kadar bunu hiç duymamıştım. Nadiren, FreeBSD belgelerinde buna birkaç referans gördüm.
Kumba,

Bu cevap işleri kapsar. Yapacak daha fazla araştırma var, ama şimdi işler biraz daha net. Teşekkürler!
Kumba

@Kumba Bir süre önce bir blog yazımdan bunun çoğunu seçtim. İyi bir kopya kağıdı: sysadmin1138.net/mt/blog/2010/09/…
sysadmin1138

3
@Kumba A / 64, IPv6 spec tarafından izin verilen en küçük v6 alt ağıdır . Tek bir / 36 atamada 34.000.000 / 64 atama (2x Comcast'in 2009 abone sayısı) sığdırabilirsiniz. Comcast en az 32 yaşında olduğu için (2001: 558/32) liberal olmayı göze alabilirler. Muhtemelen çok uzun süre başka bir 32 / 32'ye ihtiyaç duymayacaklar.
sysadmin1138

5

Fc00 ile başlayan bir adres kullanmamalısınız:

RFC 4193'te açıklandığı gibi 7 bitlik bir önek. Bu ilk 7 bitten sonraki her şey RFC'de açıklandığı gibi doldurulmalıdır. Halihazırda tanımlanmış olan yöntem her zaman fd ile başlayan bir adres üretecektir. 00 rastgele sayılarla değiştirilmelidir ve sonraki 16 bitlik iki grup da toplam 40 bit oluşturan rastgele olmalıdır.

İnternette sizin için bir tane oluşturabilecek birçok sayfa var. Sadece bu sitelerden birinin böyle bir önek fdae gibi görünebileceğini gösteren bir örnek almak istiyorum: a212: e94d :: / 48

Sizin de belirttiğiniz gibi, bu adresler küresel tek noktaya yayındır ancak küresel olarak yönlendirilebilir olmaları gerekmez. Yönlendiriciniz bunları varsayılan olarak harici olarak yönlendirirse, bunu önlemek için filtreleri yapılandırmak iyi bir fikirdir. Giriş yönünüzü de filtrelemelisiniz, bu nedenle her ikisi de yanlış yapılandırılmış yönlendiricilere sahipseniz yalnızca ağınızın dışına yönlendirilecektir.


Değilim. Fc00 :: / 8'in yaşamda henüz bir amaç kazanmadığının farkındayım, bu yüzden şu anda ev ağım için fd00 :: / 8 alt ağındayım. Ve rastgele adreslerle ilgilenmiyorum. İSS'im henüz IPv6 sunmuyor, bu yüzden bu kesinlikle içsel, bu yüzden gerçekten hatırlayabildiğim bir şeye yapıyorum.
Kumba

En az bir proje fc00 :: / 8: Cjdns
Vi.

3

fe80 ile başlayan tüm adresler: yerel bağlantı. Anahtarsız bir ağa bağlı tüm bilgisayarların yönlendiricisi olmayan bir "bağlantı" olduğunu düşünebilirsiniz. Böylece bu ipv6 adresleri yalnızca bu ağdaki iletişim için kullanılabilir.

Bizim için en zor kısım muhtemelen makinelerin kendilerini yapılandırmasıdır. Ağdaki diğer tüm makinelere "merhaba" demeye özen gösteren Komşu Keşif Protokolü (NDP) adlı bir protokol var.

Makinelerin internete erişmesini istemiyorsanız ... sadece bir yönlendirici yüklemeyin.

İpv6'yı elle veya bir DHCP sunucusuyla kurabilirsin, ama gerek yok. Bu ipv6 ile iyi haberlerden biri.


@Arno: Ah, Yani dahili LAN'ımda SSH'ye gönderdiğim bir kutu varsa, yerel olarak yerel bağlantı adresini SSH'ye kullanabilir miyim? Bu fe80::/10adresi, sevdiğim bir şeye hala elle yapılandırabilir miyim ? Yoksa IPv6'nın tasarımına (ve işletim sisteminin özel yığın uygulamasına) göre otomatik olarak ayarlanacak mı?
Kumba,

Not: Kendilerini yapılandıran makineler. Hmm, daha önce nerede gördüm? :)
Kumba

Muhtemelen bazı filmlerde kendi kendini ayarlayan makineleri görmüşsünüzdür :) Sadece onların çıkmalarına izin vermeyin, aksi takdirde baskın oluruz.
Arno Teigseth,

1
yapılandırma hakkında: en.wikipedia.org/wiki/Link-local_address (işletim sistemi ağ kartının MAC adresini alır, birkaç numara yapar ve fe80 ile biter: bir şey. Çirkin detaylar tools.ietf.org'dadır) / html / rfc4862 , fe80 arayın ...)
Arno Teigseth

Gerçekten çirkin detaylar.
Kumba,
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.