IPv6을 둘러 보는 데 어려움을 겪고 있습니다. 많은 링고가 링크 수준, 사이트 로컬, 글로벌 유니 캐스트, 범위 등을 논의하면서 엔터프라이즈 수준의 IPv6 배포를 목표로하는 것 같습니다. 홈 네트워크와 같은 소규모 네트워크에 대한 확실한 정보는 많지 않습니다. 내 생각을 확인하고 IPv4에서 IPv6으로 올바른 번역을 받고 있는지 확인하고 싶습니다.
첫 번째 질문은 IPv6에 대한 RFC1918과 동등한 것이 무엇입니까? 초기 검색 결과에 해당하는 것이 없음을 제안했습니다. 그런 다음 고유 로컬 주소 (RFC4193)를 우연히 발견했으며 모든 ULA에 접두사를 할당 fc00하고 라우팅 접두사에 40 비트 임의의 숫자를 지정해야합니다. 이 난수는 “두 개의 IPv6 네트워크가 상호 연결될 때 충돌을 방지하는 것”입니다. 다시 말하면 엔터프라이즈 수준 기능에 대한 또 다른 참조입니다.
집에 소규모 로컬 LAN이 있고 번호를 사용하여 번호를 192.168.4.0/24매길 경우 IPv6의 ULA 범위에서 동등한 것은 무엇입니까? IPv6 주소를 실제 인터넷에 연결하지 않을 것이라고 가정하면 (라우터가 NAT 및 방화벽으로) RFC를 어느 정도 무시하고 계속 사용할 수 fc00::4:0/120있습니까?
또한 모든 주소는 fc00::/7전 세계적으로 라우팅 가능한 것으로 보입니다 . 이것은 라우터가 이러한 개인 IPv6 주소를 전세계에 자동으로 알리지 않기 위해 추가 보호가 필요하다는 것을 의미합니까?
두 번째 질문입니다.이 링크 로컬 문제는 무엇입니까? 읽기는 fe80::/10인터페이스의 MAC 주소로 구성된 주소의 마지막 64 비트가있는 범위 에서 기본 할당 주소를 제안합니다 . 필요한 것 같지만 엔터프라이즈 네트워크와 관련하여 끊임없이 논의하는 것에 짜증이납니다.
세 번째 질문, 범위 ID는 무엇입니까? 엔터프라이즈 네트워크와 관련하여 특히 상호 연결시 또 다른 용어 인 것처럼 보이지만 소규모 홈 네트워크 수준에 대한 설명은 거의 없습니다.
범위 ID와 CIDR 표기법을 함께 사용할 수 있습니까? 즉, fc00::4:0/120%6범위 ID가 단일 / 128 IPv6 주소에만 적용되어야합니까?
답변
“고유 로컬 주소”는 바로 당신이 찾고있는 것입니다. fc00::/7당신 이 단지 하나를 선택하는 대신 임의의 숫자를 생성하면 충돌의 가능성이 작은 충분한 비트를 제공합니다 .
이것은 라우터가 이러한 개인 IPv6 주소를 전세계에 자동으로 알리지 않기 위해 추가 보호가 필요하다는 것을 의미합니까?
이러한 ULA ( RFC4193 ) 를 다루는 RFC는 구체적으로이 숫자 가 인터넷에서 라우팅 되어서는 안된다고 명시하고 있지만 두 명의 피어가 특정 접두사를 전달하는 데 상호 동의 할 수도 있습니다. Comcast가 이러한 경로를 일방적으로 라우팅하기로 결정하지 않는 한 (아마도 극단적 일 경우) 경로 광고에 대해 걱정할 필요가 없습니다.
IPv6 주소를 실제 인터넷에 연결하지 않을 경우 (라우터가 NAT 및 방화벽으로) RFC를 어느 정도 무시하고 fc00 :: 4 : 0/120으로 갈 수 있습니까?
그렇게 가정하지 마십시오. 예를 들어, 컴캐스트는 현재의 IPv6 시험을하고있다 그리고 그들은 최종 사용자에게 / 64의 기절하고 (슬라이드 5); IPv4로 수행하는 단일 주소 만이 아닙니다. 이는 현재 실행중인 IPv6 테스터가 전 세계적으로 라우팅 가능한 주소로 실행되지만 라우터에 의해 방화벽으로 작동하거나 링크 로컬 또는 고유 글로벌 주소로 일종의 NAT를 수행 할 수있는 옵션이 있음을 의미합니다.
그러나, 어떤 종류의 주소 변환없이 실행하는 것은 소리처럼 미친 것이 아닙니다 . 몇 가지 사항을 명심하십시오.
- Comcast는 / 64 서브넷을 사용자에게 전달하므로 공격자는 이미 IP 공간의 모양을 알고 있습니다.
- / 64는 엄청나게 많은 수의 잠재적 인 주소를 제공합니다. 2 ^ 64 가치! 40 억 개의 IPv4 인터넷 가치 IP 주소입니다. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. 40 억 배 40 억.) IPv6 자동 프로비저닝의 특성상 스캔이 필요한 실제 주소 수는 줄어들지 만 스캔은 여전히 불가능합니다.
- 도메인을 제공하기 위해 고유 한 도메인을 설정하지 않으면 Comcast는 / 64-worth의 IP 주소에 대한 DNS 조회를 제공하지 않습니다. 이는 공격자가 네트워크를 정찰하는 능력을 크게 줄입니다.
- NAT없이 실행하면 특정 네트워크 문제가 더 쉬워지고 바람직하지는 않지만 널리 사용되는 P2P 기술 (내가 무엇을 말하는지 알 수 있음)을 쉽게 시작하고 실행할 수 있습니다.
그러나 방화벽없이 실행하는 것은 여전히 소리처럼 미쳤습니다. 다행히도 NAT없이 방화벽을 수행 할 수 있습니다.
두 번째 질문,이 링크 로컬 문제는 무엇입니까?
현재 브로드 캐스트 도메인에 도달 할 수 있고 라우팅 할 수없는 것으로 생각하십시오. 오래된 NetBEUI처럼. 실제로 홈 네트워크가 완전히 평평한 경우 고유 로컬 주소 대신이 주소를 사용할 수 있습니다.
세 번째 질문, 범위 ID는 무엇입니까?
두 가지 다른 용도로 사용되므로 설명하기가 어렵습니다.
일 1 : 멀티 캐스트. 멀티 캐스트 패킷의 도달 거리를 정의합니다.
Thing 2 : (내가 생각하는 것) 이것은 사용할 인터페이스를 정의하는 방법으로 URI에서 사용됩니다. 주로 링크 로컬 주소와 함께 사용됩니다. CIDR 표기법과 함께 사용해서는 안되므로 두 구문을 결합해서는 안됩니다.
답변
fc00으로 시작하는 주소를 사용하지 않아야합니다.
RFC 4193에 설명 된대로 7 비트 접두사입니다. RFC에서 설명한대로 첫 7 비트 이후의 모든 내용을 채워야합니다. 현재 정의 된 방법은 항상 wit fd로 시작하는 주소를 생성합니다. 00은 임의의 숫자로 대체되어야하며, 16 비트의 다음 두 그룹은 또한 총 40 비트를 구성하는 임의적이어야합니다.
인터넷에는 많은 페이지가 있으며이를 생성 할 수 있습니다. 나는 그러한 접두사가 fdae처럼 보일 수있는 예를 얻기 위해 그 사이트 중 하나를 원합니다 : a212 : e94d :: / 48
지적했듯이 이러한 주소는 전역 유니 캐스트이지만 전역 적으로 라우팅 할 수는 없습니다. 라우터가 기본적으로 외부로 라우팅하는 경우이를 방지하도록 필터를 구성하는 것이 좋습니다. 업스트림도 필터링해야하므로 둘 다 라우터가 잘못 구성된 경우에만 네트워크 외부로 라우팅됩니다.
답변
fe80으로 시작하는 모든 주소 : 링크 로컬입니다. 라우터가없는 교환 네트워크에 연결된 모든 컴퓨터가 “링크”라고 생각할 수 있습니다. 따라서 해당 ipv6 주소는 해당 네트워크에서의 통신에만 사용할 수 있습니다.
우리 인간에게 가장 어려운 부분은 아마도 기계가 이제 스스로 구성한다는 것입니다. 네트워크의 다른 모든 컴퓨터에 “hello”라고 말하는 NNDB (Neighbor Discovery Protocol)라는 프로토콜이 있습니다.
컴퓨터가 인터넷에 액세스하지 못하게하려면 라우터를 설치하지 마십시오.
직접 또는 DHCP 서버로 ipv6을 설정할 수 있지만 반드시 그럴 필요는 없습니다. 그것은 ipv6의 좋은 소식 중 하나입니다.