Quel est l'IPv6 équivalent aux adresses IPv4 RFC1918?

28

Ayant du mal à enrouler ma tête autour d'IPv6 ici. Une grande partie du jargon semble ciblée sur les déploiements IPv6 au niveau de l'entreprise, discutant de la liaison locale, du site local, de la monodiffusion globale, des étendues, etc. Pas beaucoup d'informations solides sur de très petits réseaux, comme les réseaux domestiques. Je veux vérifier ma façon de penser et m'assurer que j'obtiens les traductions correctes d'IPv4-parler à IPv6-parler.

La première question est, quel est l'équivalent de RFC1918 pour IPv6? Les recherches initiales ont suggéré qu'il n'y avait pas d'équivalent. Ensuite, je suis tombé sur des adresses locales uniques (RFC4193), et cela indique que tous les ULA doivent être affectés du préfixe fc00, suivi d'un nombre aléatoire de 40 bits dans le préfixe de routage. Ce nombre aléatoire vise à «empêcher les collisions lorsque deux réseaux IPv6 sont interconnectés» - encore une fois, une autre référence à une fonction au niveau de l'entreprise.

Si j'ai un petit LAN local à la maison, numéroté en utilisant 192.168.4.0/24, quel est mon équivalent dans la portée ULA d'IPv6? En supposant que je ne lierai jamais cette adresse IPv6 au vrai Internet (un routeur le NAT et le pare-feu), puis-je ignorer le RFC dans une certaine mesure et continuer fc00::4:0/120?

Il semble également que toutes les adresses fc00::/7doivent être routables globalement. Cela signifie-t-il que j'aurai besoin de protections supplémentaires pour que mon routeur ne commence pas automatiquement à publier ces adresses IPv6 privées dans le monde?

Deuxième question, quel est ce lien-local? La lecture suggère une adresse affectée par défaut dans la fe80::/10plage qui contient les 64 derniers bits de l'adresse composée de l'adresse MAC de l'interface. Semble être nécessaire aussi, mais je suis ennuyé par la discussion constante à ce sujet en relation avec les réseaux d'entreprise.

Troisième question, à quoi sert l'ID de portée? Semble être encore un autre terme lancé en relation avec les réseaux d'entreprise, en particulier lors de leur interconnexion, mais presque aucune explication sur le plus petit niveau du réseau domestique.

Puis-je voir un ID d'étendue et une notation CIDR utilisés ensemble? C'est-à-dire, fc00::4:0/120%6ou les ID d'étendue ne sont-ils censés être appliqués qu'à une seule adresse IPv6 / 128?

ipv6 
Kumba
source
Si vous recherchez des informations plus pratiques sur le déploiement d'IPv6, tunnelbroker.net vous donnera un espace IPv6 réel pour jouer avec ainsi qu'un certain nombre de tutoriels et d'exercices sur le sujet.
MikeyB
Votre hypothèse (ne lie jamais cela à Internet) est ignorante. Que se passe-t-il si vous commencez à travailler pour une entreprise et que vous VPN et qu'ils utilisent le même réseau? Assurez-vous que votre espace privé est unique n'est pas nécessairement une entreprise - il y a de bonnes raisons de ne pas utiliser 192.168.xx car chaque routeur semble être configuré avec cela et le prochain travail peut vous obliger à vpn dans l'entreprise.
TomTom
1
@TomTom, bien que "ignorant" soit techniquement un terme neutre, ce n'est souvent pas le cas dans l'usage courant . Familièrement, il semble inutilement abrasif et pourrait tout aussi bien être remplacé par «n'est pas juste» ou similaire.
tgm1024 - Monica a été maltraitée

Réponses:

12

L '"adresse locale unique" est exactement ce que vous recherchez. fc00::/7vous donne suffisamment de bits pour que si vous générez un nombre aléatoire au lieu d'en choisir un, les risques de collision sont faibles.

Cela signifie-t-il que j'aurai besoin de protections supplémentaires pour que mon routeur ne commence pas automatiquement à publier ces adresses IPv6 privées dans le monde?

Le RFC qui couvre ces ULA ( RFC4193 ) indique spécifiquement que ces numéros ne doivent pas être acheminés sur Internet, bien que deux pairs puissent mutuellement accepter de passer certains préfixes. À moins que Comcast ne décide de les acheminer unilatéralement (probablement à l'extrême), vous ne devriez pas vous inquiéter de la publicité d'itinéraire.

En supposant que je ne lierai jamais cette adresse IPv6 au vrai Internet (un routeur le NAT et le pare-feu), puis-je ignorer le RFC dans une certaine mesure et aller avec fc00 :: 4: 0/120?

Ne présumez pas cela. Par exemple, Comcast effectue actuellement des essais IPv6 et distribue des / 64 aux utilisateurs finaux (diapositive 5); pas seulement l'adresse unique qu'ils font avec IPv4. Cela signifie que leurs testeurs IPv6 en cours d'exécution ont la possibilité de s'exécuter avec des adresses routables à l'échelle mondiale, mais protégés par un pare-feu par leur routeur, ou de faire une sorte de NAT avec des adresses de liaison locale ou uniques globales.

Cependant, courir sans aucun type de traduction d'adresse n'est pas aussi fou que cela puisse paraître . Gardez à l'esprit quelques points.

  • Comcast vous distribue un sous-réseau / 64, donc votre attaquant sait déjà à quoi ressemble votre espace IP.
  • A / 64 fournit un nombre incroyablement élevé d'adresses potentielles. 2 ^ 64 vaut! Cela représente quatre milliards d'adresses IPv4 Internet. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Quatre milliards de fois quatre milliards.) Alors que la nature de l'autoprovisioning IPv6 réduit le nombre réel d'adresses qui doivent être analysées, il est toujours impossible de les analyser.
  • À moins que vous ne configuriez votre propre domaine pour le fournir, Comcast ne fournira pas de recherches DNS directes ou inversées à vos adresses IP d'une valeur de / 64. Cela réduit considérablement la capacité des attaquants à reconstituer votre réseau.
  • L'exécution sans NAT facilite certains problèmes de réseau et rend certainement les technologies d'égal à égal indésirables (mais très populaires) (vous savez de quoi je parle) beaucoup plus faciles à mettre en place et à utiliser.

Courir sans pare-feu est toujours aussi fou que cela puisse paraître. Heureusement, vous pouvez faire un pare-feu sans avoir à NAT.

Deuxième question, quel est ce lien-local?

Considérez-le comme capable d'atteindre n'importe quoi dans le domaine de diffusion actuel et ne peut pas être routé. Comme NetBEUI-of-old. En fait, si votre réseau domestique est complètement plat, vous pouvez utiliser ces adresses au lieu des adresses locales uniques.

Troisième question, à quoi sert l'ID de portée?

Il est utilisé pour deux choses différentes, ce qui le rend ennuyeux à décrire:

Chose 1: multidiffusion. Il définit jusqu'où le paquet de multidiffusion est censé atteindre.

Chose 2: (Ce à quoi je pense que vous faites référence) Ceci est utilisé sur un URI comme moyen de définir quelle interface utiliser. Il est utilisé principalement avec des adresses de lien local. Il ne doit jamais être utilisé en conjonction avec la notation CIDR, donc les deux syntaxes ne doivent jamais être combinées.

sysadmin1138
source
Je ne considérerais pas le NAT comme "vital" pour la sécurité, mais je le considère extrêmement utile. Pour la plupart, cependant, mon réseau domestique est principalement plat. Cependant, j'ai bricolé avec des VLAN sur mon routeur, donc aller avec des liens locaux sonne comme un no-go, surtout si ceux-ci sont automatiquement déterminés. Le fait d'avoir un certain contrôle sur ma propre numérotation m'attire, alors je vais devoir approfondir mes recherches fc00::7.
Kumba
L'ID d'étendue semble presque une chose Microsoft. Je n'en avais jamais entendu parler jusqu'à ce que je tombe sur l'article MSDN IPv6. Rarement, j'en ai vu quelques références dans la documentation de FreeBSD.
Kumba
Cette réponse couvre les choses. Encore plus de recherches à faire, mais les choses sont un peu plus claires maintenant. Merci!
Kumba
@Kumba J'ai récupéré la plupart de ces informations dans un de mes articles de blog il y a quelque temps. Un bon cheat-sheet: sysadmin1138.net/mt/blog/2010/09/…
sysadmin1138
3
@Kumba A / 64 est le plus petit sous-réseau v6 autorisé par la spécification IPv6. Vous pouvez intégrer 34 000 000/64 allocations (2x le nombre d'abonnés de Comcast 2009) en une seule allocation / 36. Étant donné que Comcast a au moins un / 32 (2001: 558/32), ils peuvent se permettre d'être libéraux. Ils n'auront probablement pas besoin d'un autre / 32 pendant très longtemps.
sysadmin1138
5

Vous ne devez pas utiliser une adresse commençant par fc00:

Comme expliqué dans la RFC 4193, il s'agit d'un préfixe 7 bits. Tout après ces 7 premiers bits doit être rempli comme expliqué dans le RFC. La méthode actuellement définie produira toujours une adresse commençant par fd. Le 00 doit être remplacé par des nombres aléatoires, et les deux groupes de 16 bits suivants doivent également être aléatoires, ce qui représente un total de 40 bits.

Il existe de nombreuses pages sur Internet qui peuvent en générer une pour vous. Je veux juste un de ces sites pour obtenir un exemple de ce à quoi pourrait ressembler un tel préfixe fdae: a212: e94d :: / 48

Comme vous l'avez souligné, ces adresses sont des monodiffusions globales, mais elles ne sont pas censées être routables globalement. Si votre routeur les achemine en externe par défaut, ce serait une bonne idée de configurer des filtres pour éviter cela. Votre amont doit également filtrer, de sorte qu'ils ne seront routés en dehors de votre réseau que si vous avez tous les deux des routeurs mal configurés.

Kasper
source
Je ne suis pas. Je suis conscient que fc00 :: / 8 n'a pas encore été défini dans la vie, je suis donc actuellement sur un sous-réseau fd00 :: / 8 pour mon réseau domestique. Et je ne suis pas intéressé par les adresses aléatoires. Mon FAI n'offre même pas encore IPv6, donc c'est strictement interne, donc je m'en tiens à quelque chose dont je me souviens réellement.
Kumba
Au moins un projet s'appuie sur fc00 :: / 8: Cjdns
Vi.
3

toutes les adresses commençant par fe80: quelque chose est link-local. Vous pouvez penser à un "lien" comme étant tous les ordinateurs connectés à un réseau commuté sans routeurs. Ces adresses ipv6 ne peuvent donc être utilisées que pour la communication sur ce réseau.

La partie la plus difficile pour nous, les humains, est probablement que les machines se configurent maintenant elles-mêmes. Il existe un protocole appelé NDP (Neighbour Discovery Protocol) qui se charge de dire "bonjour" à toutes les autres machines du réseau.

Si vous ne voulez pas que les machines accèdent à Internet, alors ... n'installez pas de routeur.

Vous POUVEZ configurer ipv6 à la main ou avec un serveur DHCP, mais ce n'est pas nécessaire. C'est l'une des bonnes nouvelles avec ipv6.

Arno Teigseth
source
@Arno: Ah, donc si j'ai un boîtier I SSH sur mon LAN interne, je peux simplement en utiliser l'adresse link-local vers SSH? Puis-je toujours configurer manuellement cette fe80::/10adresse à quelque chose que j'aime? Ou sera-t-il réglé automatiquement en fonction de la conception d'IPv6 (et de l'implémentation particulière de la pile du système d'exploitation)?
Kumba
PS: machines qui se configurent. Hmm, ai-je vu ça avant? :)
Kumba
Vous avez probablement vu des machines à configuration automatique dans certains films :) Ne les laissez pas décoller, ou nous serons dominés.
Arno Teigseth
1
à propos de la configuration: en.wikipedia.org/wiki/Link-local_address (le système d'exploitation prend l'adresse MAC de la carte réseau, fait quelques trucs et se retrouve avec fe80: quelque chose. Les détails moches sont sur tools.ietf.org / html / rfc4862 , recherche de fe80 ...)
Arno Teigseth
Des détails moches en effet.
Kumba
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.