Qual é o IPv6 equivalente aos endereços IPv4 RFC1918?

Tendo dificuldade em entender meu IPv6 aqui. Muitas das linguagens parecem direcionadas para implantações de IPv6 em nível empresarial, discutindo link-local, site-local, unicast global, escopos etc. Não há muitas informações sólidas sobre redes realmente pequenas, como redes domésticas. Quero verificar meu raciocínio e garantir que estou recebendo as traduções corretas do IPv4-speak para IPv6-speak.

A primeira pergunta é: qual é o equivalente do RFC1918 para IPv6? Pesquisas iniciais sugeriram que não havia equivalente. Então me deparei com endereços locais únicos (RFC4193), e afirma que todos os ULAs deveriam ter o prefixo atribuído fc00, seguido por um número aleatório de 40 bits no prefixo de roteamento. Esse número aleatório é para "evitar colisões quando duas redes IPv6 são interconectadas" - novamente, outra referência a uma função de nível corporativo.

Se eu tiver uma pequena LAN local em casa, numerada usando 192.168.4.0/24, qual é o meu equivalente no escopo de ULA do IPv6? Supondo que nunca, jamais, amarrei esse endereço IPv6 na Internet real (um roteador irá NAT e fará firewall), posso ignorar o RFC até certo ponto e continuar fc00::4:0/120?

Parece também que qualquer endereço em fc00::/7deve ser globalmente roteável. Isso significa que precisarei de proteções extras para que meu roteador não comece automaticamente a anunciar esses endereços IPv6 privados para o mundo?

Segunda pergunta, o que é essa coisa de link-local? A leitura sugere um endereço padrão atribuído no fe80::/10intervalo que possui os últimos 64 bits do endereço composto pelo endereço MAC da interface. Parece ser necessário também, mas estou irritado com a discussão constante sobre isso em relação às redes corporativas.

Terceira pergunta, para que serve o escopo? Parece ser mais um termo usado em relação às redes corporativas, especialmente ao interconectá-las, mas quase nenhuma explicação no nível menor da rede doméstica.

Posso ver uma identificação de escopo e notação CIDR usadas juntas? fc00::4:0/120%6Ou seja,, ou os IDs de escopo devem apenas ser aplicados a um único endereço / 128 IPv6?

O "Endereço local exclusivo" é exatamente o que você está procurando. fc00::/7fornece bits suficientes para que, se você gerar um número aleatório, em vez de apenas escolher um, as chances de colisão sejam pequenas.

Isso significa que precisarei de proteções extras para que meu roteador não comece automaticamente a anunciar esses endereços IPv6 privados para o mundo?

A RFC que cobre esses ULAs ( RFC4193 ) especifica especificamente que esses números não devem ser roteados na Internet, embora dois pares possam mutuamente concordar em passar determinados prefixos. A menos que a Comcast decida rotear unilateralmente esses itens (improvável ao extremo), você não deve se preocupar com o anúncio de rotas.

Supondo que nunca, jamais, amarrei esse endereço IPv6 na Internet real (um roteador irá NAT e fará firewall), posso ignorar o RFC até certo ponto e usar fc00 :: 4: 0/120?

Não assuma isso. Por exemplo, a Comcast está atualmente testando IPv6 e distribuindo / 64 para usuários finais (slide 5); não apenas o endereço único que eles estão usando com o IPv4. Isso significa que seus testadores IPv6 em execução no momento têm a opção de executar com endereços roteáveis ​​globalmente, mas protegidos por firewall pelo roteador ou executar algum tipo de NAT com endereços locais de link ou endereços globais exclusivos.

No entanto, executar sem nenhum tipo de conversão de endereço não é tão insano quanto parece . Lembre-se de alguns pontos.

• A Comcast está entregando uma sub-rede / 64 para você, para que seu invasor já saiba como é o seu espaço IP.
• O A / 64 fornece um número impressionante de endereços possíveis. 2 ^ 64 vale a pena! São quatro bilhões de endereços IPv4 na Internet. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Quatro bilhões vezes quatro bilhões.) Embora a natureza do provisionamento automático IPv6 reduz o número real de endereços que precisam ser verificados, a verificação ainda é inviável.
• A menos que você configure seu próprio domínio para fornecê-lo, a Comcast não fornecerá pesquisas de DNS avançadas ou reversas para seus endereços IP com valor de / 64. Isso reduz bastante a capacidade dos invasores de reconectar sua rede.
• A execução sem NAT facilita alguns problemas de rede e certamente torna as tecnologias ponto a ponto indesejáveis, mas muito populares (você sabe do que estou falando), muito mais fáceis de instalar e executar.

A execução sem firewall ainda é tão insana quanto parece. Felizmente, você pode fazer firewall sem ter que usar o NAT.

Segunda pergunta, o que é essa coisa de link-local?

Pense nisso como capaz de alcançar qualquer coisa no domínio de transmissão atual e não pode ser roteado. Como o NetBEUI. De fato, se sua rede doméstica for completamente plana, você poderá usar esses endereços em vez de endereços locais exclusivos.

Terceira pergunta, para que serve o escopo?

É usado para duas coisas diferentes, o que torna irritante descrever:

Coisa 1: Multicast. Ele define até onde o pacote multicast deve atingir.

Coisa 2: (O que eu acho que você está se referindo) Isso é usado em um URI como uma maneira de definir qual interface usar. É usado principalmente com endereços locais de link. Ele nunca deve ser usado em conjunto com a notação CIDR, portanto, as duas sintaxes nunca devem ser combinadas.

Você não deve usar um endereço começando com fc00:

Conforme explicado na RFC 4193, é um prefixo de 7 bits. Tudo após os primeiros 7 bits deve ser preenchido conforme explicado na RFC. O método atualmente definido sempre produzirá um endereço que começa com fd. O 00 deve ser substituído por números aleatórios, e os próximos dois grupos de 16 bits também devem ser aleatórios, perfazendo um total de 40 bits.

Existem muitas páginas na internet que podem gerar uma para você. Eu só quero um desses sites para obter um exemplo de como esse prefixo poderia parecer: fdae: a212: e94d :: / 48

Como você apontou, esses endereços são unicast globais, mas não devem ser roteados globalmente. Se o seu roteador os rotear externamente por padrão, seria uma boa ideia configurar filtros para evitar isso. Seu upstream também deve ser filtrado, para que eles sejam roteados apenas para fora da rede se os dois tiverem roteadores mal configurados.

todos os endereços começando com fe80: algo é link-local. Você pode pensar em um "link" sendo todos os computadores conectados a uma rede comutada sem roteadores. Portanto, esses endereços IPv6 podem ser usados ​​apenas para comunicação nessa rede.

A parte mais difícil para nós, humanos, é provavelmente que as máquinas agora se configuram. Há um protocolo chamado NDP (Neighbor Discovery Protocol) que se encarrega de dizer "olá" a todas as outras máquinas na rede.

Se você não quiser que as máquinas acessem a Internet, simplesmente ... não instale um roteador.

Você pode configurar o ipv6 manualmente ou com um servidor DHCP, mas não precisa. Essa é uma das boas notícias do ipv6.