Quel est l'IPv6 équivalent aux adresses IPv4 RFC1918?

Ayant du mal à enrouler ma tête autour d'IPv6 ici. Une grande partie du jargon semble ciblée sur les déploiements IPv6 au niveau de l'entreprise, discutant de la liaison locale, du site local, de la monodiffusion globale, des étendues, etc. Pas beaucoup d'informations solides sur de très petits réseaux, comme les réseaux domestiques. Je veux vérifier ma façon de penser et m'assurer que j'obtiens les traductions correctes d'IPv4-parler à IPv6-parler.

La première question est, quel est l'équivalent de RFC1918 pour IPv6? Les recherches initiales ont suggéré qu'il n'y avait pas d'équivalent. Ensuite, je suis tombé sur des adresses locales uniques (RFC4193), et cela indique que tous les ULA doivent être affectés du préfixe fc00, suivi d'un nombre aléatoire de 40 bits dans le préfixe de routage. Ce nombre aléatoire vise à «empêcher les collisions lorsque deux réseaux IPv6 sont interconnectés» - encore une fois, une autre référence à une fonction au niveau de l'entreprise.

Si j'ai un petit LAN local à la maison, numéroté en utilisant 192.168.4.0/24, quel est mon équivalent dans la portée ULA d'IPv6? En supposant que je ne lierai jamais cette adresse IPv6 au vrai Internet (un routeur le NAT et le pare-feu), puis-je ignorer le RFC dans une certaine mesure et continuer fc00::4:0/120?

Il semble également que toutes les adresses fc00::/7doivent être routables globalement. Cela signifie-t-il que j'aurai besoin de protections supplémentaires pour que mon routeur ne commence pas automatiquement à publier ces adresses IPv6 privées dans le monde?

Deuxième question, quel est ce lien-local? La lecture suggère une adresse affectée par défaut dans la fe80::/10plage qui contient les 64 derniers bits de l'adresse composée de l'adresse MAC de l'interface. Semble être nécessaire aussi, mais je suis ennuyé par la discussion constante à ce sujet en relation avec les réseaux d'entreprise.

Troisième question, à quoi sert l'ID de portée? Semble être encore un autre terme lancé en relation avec les réseaux d'entreprise, en particulier lors de leur interconnexion, mais presque aucune explication sur le plus petit niveau du réseau domestique.

Puis-je voir un ID d'étendue et une notation CIDR utilisés ensemble? C'est-à-dire, fc00::4:0/120%6ou les ID d'étendue ne sont-ils censés être appliqués qu'à une seule adresse IPv6 / 128?

L '"adresse locale unique" est exactement ce que vous recherchez. fc00::/7vous donne suffisamment de bits pour que si vous générez un nombre aléatoire au lieu d'en choisir un, les risques de collision sont faibles.

Cela signifie-t-il que j'aurai besoin de protections supplémentaires pour que mon routeur ne commence pas automatiquement à publier ces adresses IPv6 privées dans le monde?

Le RFC qui couvre ces ULA ( RFC4193 ) indique spécifiquement que ces numéros ne doivent pas être acheminés sur Internet, bien que deux pairs puissent mutuellement accepter de passer certains préfixes. À moins que Comcast ne décide de les acheminer unilatéralement (probablement à l'extrême), vous ne devriez pas vous inquiéter de la publicité d'itinéraire.

En supposant que je ne lierai jamais cette adresse IPv6 au vrai Internet (un routeur le NAT et le pare-feu), puis-je ignorer le RFC dans une certaine mesure et aller avec fc00 :: 4: 0/120?

Ne présumez pas cela. Par exemple, Comcast effectue actuellement des essais IPv6 et distribue des / 64 aux utilisateurs finaux (diapositive 5); pas seulement l'adresse unique qu'ils font avec IPv4. Cela signifie que leurs testeurs IPv6 en cours d'exécution ont la possibilité de s'exécuter avec des adresses routables à l'échelle mondiale, mais protégés par un pare-feu par leur routeur, ou de faire une sorte de NAT avec des adresses de liaison locale ou uniques globales.

Cependant, courir sans aucun type de traduction d'adresse n'est pas aussi fou que cela puisse paraître . Gardez à l'esprit quelques points.

• Comcast vous distribue un sous-réseau / 64, donc votre attaquant sait déjà à quoi ressemble votre espace IP.
• A / 64 fournit un nombre incroyablement élevé d'adresses potentielles. 2 ^ 64 vaut! Cela représente quatre milliards d'adresses IPv4 Internet. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Quatre milliards de fois quatre milliards.) Alors que la nature de l'autoprovisioning IPv6 réduit le nombre réel d'adresses qui doivent être analysées, il est toujours impossible de les analyser.
• À moins que vous ne configuriez votre propre domaine pour le fournir, Comcast ne fournira pas de recherches DNS directes ou inversées à vos adresses IP d'une valeur de / 64. Cela réduit considérablement la capacité des attaquants à reconstituer votre réseau.
• L'exécution sans NAT facilite certains problèmes de réseau et rend certainement les technologies d'égal à égal indésirables (mais très populaires) (vous savez de quoi je parle) beaucoup plus faciles à mettre en place et à utiliser.

Courir sans pare-feu est toujours aussi fou que cela puisse paraître. Heureusement, vous pouvez faire un pare-feu sans avoir à NAT.

Deuxième question, quel est ce lien-local?

Considérez-le comme capable d'atteindre n'importe quoi dans le domaine de diffusion actuel et ne peut pas être routé. Comme NetBEUI-of-old. En fait, si votre réseau domestique est complètement plat, vous pouvez utiliser ces adresses au lieu des adresses locales uniques.

Troisième question, à quoi sert l'ID de portée?

Il est utilisé pour deux choses différentes, ce qui le rend ennuyeux à décrire:

Chose 1: multidiffusion. Il définit jusqu'où le paquet de multidiffusion est censé atteindre.

Chose 2: (Ce à quoi je pense que vous faites référence) Ceci est utilisé sur un URI comme moyen de définir quelle interface utiliser. Il est utilisé principalement avec des adresses de lien local. Il ne doit jamais être utilisé en conjonction avec la notation CIDR, donc les deux syntaxes ne doivent jamais être combinées.

Vous ne devez pas utiliser une adresse commençant par fc00:

Comme expliqué dans la RFC 4193, il s'agit d'un préfixe 7 bits. Tout après ces 7 premiers bits doit être rempli comme expliqué dans le RFC. La méthode actuellement définie produira toujours une adresse commençant par fd. Le 00 doit être remplacé par des nombres aléatoires, et les deux groupes de 16 bits suivants doivent également être aléatoires, ce qui représente un total de 40 bits.

Il existe de nombreuses pages sur Internet qui peuvent en générer une pour vous. Je veux juste un de ces sites pour obtenir un exemple de ce à quoi pourrait ressembler un tel préfixe fdae: a212: e94d :: / 48

Comme vous l'avez souligné, ces adresses sont des monodiffusions globales, mais elles ne sont pas censées être routables globalement. Si votre routeur les achemine en externe par défaut, ce serait une bonne idée de configurer des filtres pour éviter cela. Votre amont doit également filtrer, de sorte qu'ils ne seront routés en dehors de votre réseau que si vous avez tous les deux des routeurs mal configurés.

toutes les adresses commençant par fe80: quelque chose est link-local. Vous pouvez penser à un "lien" comme étant tous les ordinateurs connectés à un réseau commuté sans routeurs. Ces adresses ipv6 ne peuvent donc être utilisées que pour la communication sur ce réseau.

La partie la plus difficile pour nous, les humains, est probablement que les machines se configurent maintenant elles-mêmes. Il existe un protocole appelé NDP (Neighbour Discovery Protocol) qui se charge de dire "bonjour" à toutes les autres machines du réseau.

Si vous ne voulez pas que les machines accèdent à Internet, alors ... n'installez pas de routeur.

Vous POUVEZ configurer ipv6 à la main ou avec un serveur DHCP, mais ce n'est pas nécessaire. C'est l'une des bonnes nouvelles avec ipv6.