IPV6基础知识[0]

Posted on by

最近升级内网的ipv6基础设施,但是发现ipv6的地址分配方式和ipv4差别很大。

Pv6在IPv4的基础上做了很多改进,如扩编地址(由32位扩编为128位)、支持无状态地址自动配置、简化报头、身份验证、支持新的网络服务(QoS)等,并且增强了移动性和安全性,这使得IPv6成为下一代互联网的核心协议。

  • ipv6的基础知识

1)ipvd6的地址格式和访问方式

例如:dd67:b38b:d024:0:4168:88ba:3b3:52da/64

访问方式http://[dd67:b38b:d024:0:4168:88ba:3b3:52da]:8080

以上IPV6的地址若是ISP下发(下发网段),则为公网IP,若是路由器下发就是内网IP。

dd67:b38b:d024:0由下发方确定,4168:88ba:3b3:52da为设备端确定,一般一个网口ipv6会下发多个ip地址,其中会有临时ipv6地址,用于保护设备免受攻击。

2)对于 IPv6 网络,我们有两种动态分配方法:

2.1)无状态地址自动配置 (SLAAC,都是无状态,没有服务器维护网络地址信息),

简单概括 SLAAC,它是指主机无需 DHCPv6 服务器即可获得 IPv6 全局单播地址的一种方法。SLAAC 的基础在于 ICMPv6,它比 IPv4 的 ICMP 更加可靠。基本上,SLAAC 使用以下 ICMPv6 消息来提供 IPv6 寻址。

2.2)IPv6 的动态主机配置协议 (DHCPv6,包含有状态和无状态两种)

其中DHCPv6还区分有状态和无状态

2.2.1)无状态地址自动配置(无状态:不可控、难管理)

DHCPv6 无状态选项通知客户端使用 RA 消息中的信息来获取 IPv6 寻址,但是 DHCPv6 服务器中提供其他配置参数。使用该名称进行定义是因为 DHCPv6 服务器不维护任何客户端状态信息,在网络中只有网关,没有IP地址管理者。

2.2.2)有状态地址自动配置(有状态:可控、可管理)

类似ipv4的DHCP,在这种情况下,RA 消息会通知客户不应使用其消息信息,并且必须从 DHCPv6 有状态服务器获取所有 IPv6 寻址信息和其他配置参数。因为 DHCPv6 服务器维护 IPv6 状态信息,所以使用此名称进行定义。

3)全球单播地址——全球唯一地址

4)ipv6后64位的设备地址产生方式

4.1)eui64:根据mac地址换算而来

4.2)stable_secret:跟随网络环境的变化而变化,处于固定网络环境时其值将固定

4.3)random:随机生成

  • ipv6和ipv4的对比

ipv4因为其地址数量有限(256^4=4.3E9,含保留地址),导致了ipv4地址耗尽问题,而ipv6的地址数量达到2^128=3.40282367E38个。在局域网升级IPV6及其基础设施后,又发现了ipv6升级而引起的其他问题

  • 小结

1)由于ipv4地址有限,目前黑客常用的地址扫描技术能够发现漏洞,但是ipv6的数量巨大,该技术失效

2)ipv6地址不变或者一个月变化一次,一旦暴露真实地址,被黑客盯上非常麻烦,隐私问题也很严重,虽然设备端采用生成临时ipv6地址保护,作用有待考证

3)ipv6地址太长,人是无法记录的,因此域名成为必然的选择

4)域名同时有A记录和AAAA记录的情况下,本机有ipv6网络,如何限制网络从ipv4走是一个问题

5)端到端的访问会不会导致所有移动个人设备成为监控工具?

6)原有防火墙开放特地ip地址和端口的方式失效(ipv6的64位地址会变,此方法不通),只能全局开放特定端口,这又给所有设备的特定端口要求有防火墙

7)IPV6的数据链路较短,确实在相同条件下,能够获得更快的上传和下载速度

8)IPV6在原则上不推荐使用NAT方式,但是openwrt已经支持NAT6,目前这类方式如何使用以及存在多久都是问题。NAT6采用的是内网的设备需要通过openwrt转发,对外只有openwrt的ipv6地址,进而内网的设备的IPV6地址都可以是固定的,openwrt作为内网的ipv6地址的DHCPv6服务器,此种方式和ipv4相同,内部设备外部不能直接访问,需要NAT转发,但是不需要隧道转换即ipv6转ipv4,但是如果只给内部设备ipv4的内网地址,外部ipv6地址访问到openwrt的ipv6,在openwrt需要做隧道转换。此种方式限定了内网设备访问外部的渠道只能是ipv4。除非openwrt做双向隧道。

参考资料:

  1. https://blog.csdn.net/chuanzhangYangfan/article/details/6853300
  2. https://learningnetwork.cisco.com/s/blogs/a0D3i000003nER4EAM/%E5%88%86%E6%9E%90-dhcpv6-%E6%9C%89%E7%8A%B6%E6%80%81%E5%92%8C%E6%97%A0%E7%8A%B6%E6%80%81
  3. https://network.51cto.com/art/201910/603898.htm
  4. https://blog.ihipop.info/2012/06/3218.html