web-dev-qa-db-fra.com

Quel est l'équivalent IPv6 aux adresses IPv4 RFC1918?

Avoir du mal à enrouler ma tête autour de IPv6 ici. Beaucoup de lingo semble cibler les déploiements IPv6 de niveau d'entreprise, discutant de liens-locaux, de locaux locaux, d'unicast global, de scopes, etc. PAS de nombreuses informations solides sur des réseaux très petits, tels que les réseaux à domicile. Je veux vérifier ma pensée et m'assurer que je reçois les traductions correctes d'IPv4-Parlez à IPv6-Speak.

La première question est que l'équivalent de RFC1918 pour IPv6? Les recherches initiales suggérées qu'il n'y avait pas d'équivalent. Ensuite, je suis tombé sur des adresses locales uniques (RFC4193), et cela indique que tous les ULA doivent être attribués au préfixe fc00, suivi d'un nombre aléatoire 40 bits dans le préfixe de routage. Ce nombre aléatoire est de "empêcher les collisions lorsque deux réseaux IPv6 sont interconnectés" - à nouveau, une autre référence à une fonction au niveau de l'entreprise.

Si j'ai un petit réseau local à la maison, numéroté en utilisant 192.168.4.0/24, quel est mon équivalent dans la portée de l'ULA d'IPv6? En supposant que je n'aurai jamais, je n'aurai jamais naître cette adresse IPv6 dans l'Internet réel (un routeur Will NAT & pare-feu), puis-je ignorer le RFC dans une mesure et aller avec fc00::4:0/120?

Il semble également que toute adresse en fc00::/7 doivent être routards globalement. Cela signifie-t-il que je vais avoir besoin de protections supplémentaires afin que mon routeur ne commence pas automatiquement à la publicité de ces adresses IPv6 privées au monde?

Deuxième question, quelle est cette liaison-locale? La lecture suggère une adresse attribuée par défaut dans le fe80::/10 Plage qui comporte les 64 plans de l'adresse de l'adresse de l'interface. Semble aussi être requis, mais je suis ennuyé par la discussion constante de celui-ci par rapport aux réseaux d'entreprise.

Troisième question, qu'est-ce que l'identifiant de la portée? Semble être encore un autre terme jeté par rapport aux réseaux d'entreprise, en particulier lorsqu'ils les interconnectent, mais presque aucune explication sur le niveau de réseau domestique plus petit.

Puis-je voir une identification de la portée et une notation de la CIDR utilisée ensemble? C'est à dire., fc00::4:0/120%6, ou sont uniquement censés être appliqués à une adresse IPv6 unique/128?

28
Kumba

L'adresse locale unique est exactement ce que vous recherchez. fc00::/7 vous donne assez de bits que Si vous générez un nombre aléatoire au lieu de simplement en choisir un Les chances de collision sont petites.

Cela signifie-t-il que je vais avoir besoin de protections supplémentaires afin que mon routeur ne commence pas automatiquement à la publicité de ces adresses IPv6 privées au monde?

Le RFC qui couvre ces ULAS ( RFC419 ) indique spécifiquement que ces chiffres ne devraient pas être acheminé sur Internet, bien que deux pairs puissent mutuellement accepter de passer certains préfixes. Sauf si Comcast décide de les acheminer unilatéralement (peu probable à l'extrême), vous ne devriez avoir aucune inquiétude sur la publicité de la route.

En supposant que je ne jetterai jamais que je n'aurai jamais naître que l'adresse IPv6 dans l'Internet réel (un routeur sera NAT & pare-feu), puis-je ignorer le RFC dans une mesure et aller avec FC00 :: 4: 0/120?

Ne présumez pas ça. Par exemple, Comcast fait actuellement des essais IPv6 et ils passent/64 à des utilisateurs finaux (diapositive 5); Pas seulement l'adresse unique qu'ils font avec IPv4. Cela signifie que leurs testeurs IPv6 maintenant exécutés ont la possibilité de courir avec des adresses routières globalement, mais sont du pare-feu par leur routeur ou de faire une sorte de NAT avec link-local ou unique-global- adresses.

Cependant, en cours d'exécution sans aucune sorte de traduction de l'adresse n'est pas aussi insensé que cela sonne . Gardez à l'esprit quelques points.

  • Comcast vous remet un sous-réseau A/64 pour vous, votre attaquant sait donc déjà à quoi ressemble votre espace IP.
  • A/64 fournit un grand nombre d'adresses potentielles. 2 ^ 64 vaut la peine! C'est quatre milliards d'adresses IPv4 sur Internet d'Internet. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Quatre milliards de fois quatre milliards.) Bien que la nature de l'autocrovisionnement IPv6 réduit le nombre réel d'adresses nécessitant une numérisation, la numérisation est toujours infaisable.
  • Sauf si vous configurez votre propre domaine pour le fournir, Comcast ne fournira pas de recherches DNS en avant ou en inverse sur vos adresses IP/64. Cela réduit considérablement la capacité des attaquants à reconvirez votre réseau.
  • En cours d'exécution sans NAT affronte certains problèmes de réseau plus facilement, et fait certainement des technologies paifères indésirables mais très populaires (vous savez de quoi je parle) beaucoup plus facile à vous lever et à courir.

En cours d'exécution sans pare-feu est toujours aussi fou que cela sonne, cependant. Heureusement, vous pouvez faire du pare-feu sans avoir à Nat.

Deuxième question, quelle est cette liaison-locale?

Pensez-y aussi capable d'atteindre tout dans le domaine de diffusion actuel et ne peut pas être acheminé. Comme NetBeui-of-Vieux. En fait, si votre réseau domestique est complètement plat, vous pouvez utiliser ces adresses au lieu d'adresses locales uniques.

Troisième question, qu'est-ce que l'identifiant de la portée?

Il est utilisé pour deux choses différentes, ce qui rend gênant de décrire:

chose 1: MultiCast. Il définit jusqu'où le paquet de multidiffusion est destiné à atteindre.

chose 2: (ce que je pense que vous référez-vous à) Ceci est utilisé sur une URI afin de définir quelle interface à utiliser. Il est utilisé principalement avec des adresses locales de liaison. Il ne doit jamais être utilisé conjointement avec la notation de la CIDR, de sorte que les deux syntaxes ne doivent jamais être combinées.

13
sysadmin1138

Vous ne devriez pas utiliser une adresse commençant par FC00:

Comme expliqué dans RFC 4193, il s'agit d'un préfixe 7 bits. Tout après que ces 7 premiers bits devraient être remplis comme expliqué dans la RFC. La méthode actuellement définie produira toujours une adresse qui commence avec FD. Les 00 doivent être remplacés par des nombres aléatoires et les deux groupes suivants de 16 bits doivent également être aléatoires de 40 bits.

Il y a beaucoup de pages sur Internet qui peuvent en générer un pour vous. Je veux juste un de ces sites pour obtenir un exemple de ce qu'un préfixe pourrait ressembler à la FDAE: A212: E94D ::/48

Comme vous l'avez souligné, ces adresses sont une unicast global, mais elles ne sont pas censées être routables à l'échelle mondiale. Si votre routeur les acheminez à l'extérieur par défaut, ce serait une bonne idée de configurer des filtres pour éviter cela. Votre amont devrait également filtrer, de sorte qu'elles ne seront donc acheminées qu'en dehors de votre réseau si vous avez tous les deux des routeurs mal configurés.

5
Kasper

toutes les adresses commençant par Fe80: Quelque chose est link-local. Vous pouvez penser à un "lien" étant tous les ordinateurs connectés à un réseau commuté sans routeurs. Ces adresses IPv6 ne peuvent donc être utilisées que pour la communication sur ce filet.

La partie la plus difficile pour les humains américains est probablement que les machines se configurent maintenant. Il existe un protocole appelé Protocole de Discovery voisin (NPD) qui prend soin de dire "Bonjour" à toutes les autres machines sur le net.

Si vous ne voulez pas que les machines accèdent à Internet, n'installez pas de routeur.

Vous pouvez configurer IPv6 à la main ou avec un serveur DHCP, mais vous n'avez pas besoin de. C'est l'une des bonnes nouvelles avec IPv6.

3
Arno Teigseth