Сравнение ipv4 и ipv6
https://en.wikipedia.org/wiki/IPv6_address ________________________________________________________________________________________________________________________ | | | | IPv4 = /32 (8 + 8 + 8 + 8) | IPv6 =/128 бит (16+16+16+16+16+16+16+16) | | 000.000.000.000 | 0000:0000:0000:0000:0000:0000:0000:0000 | | 255.255.255.255 | ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff | | | :: | |___________________________________________________________|__________________________________________________________| | Это иерархический адрес из 2-х частей: Сетевая/Узловая | В IPv6 нет широковещательных адресов. | |___________________________________________________________|__________________________________________________________| | Типы адресов: | Типы адресов: | | 1. Сетевой | 1. Индивидуальные | | 2. Адрес узлов | 2. Групповые | | 3. Широковещательные адреса | 3. Произвольные | |___________________________________________________________|__________________________________________________________| | 0.0.0.0 - 223-225.255.255 - одноадресный диапазон ipv4 | FC00::/7-FDFF/7 - Уникальные локальные | | 224.0.0.0 - 239.255.255.255 - многоадресный диапазон ipv4 | FF00::/8 - Групповые | | 224.0.0.0 - 224.0.0.255 - много адресный диапазон для ЛС | FE80::/10-FEBF/10 - Локальные адреса канала | | ЛС - локальная сеть | | | 224.0.0.9 - RIP (резерв) | | |___________________________________________________________|__________________________________________________________| | Частные IPv4(RFC-1918): | Что то типа частных: | | 10.0.0.0 - 255.255.255.255 (10.0.0.0/8) | 2001:DB8 - тестовая сеть | | 172.16.0.0 - 172.31.255.255 (172.16.0.0/12) | fc00::/7 - Уникальные локальные адреса (ULA) | | 192.168.0.0 - 192.168.255.255 (192.168.0.0/16) | fc00:: до fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff | | | предназначены для локальной связи | | | 2001:0DB8::/32 - РЕЗЕРВ для примеров | |___________________________________________________________|__________________________________________________________| | Loopback / петля | loopback - из 0, последний бит - 1 | | 127.0.0.1 - 127.255.255.254 (/8) | ::1/128 | | | ::1 | |___________________________________________________________|__________________________________________________________| | APIPA / не работает dhcp | FE80:: - LINK-LOCAL | | 169.254.0.1 - 169.254.255.254 (169.254.0.0/16) | адрес формируется на основе так | | | называемого «идентификатора интерфейса» IEEE EUI-64 | | | где в середину добавляют байты 0xFF и 0xFE | | | MAC адреса 00:21:2F:B5:6E:10 | | | получится EUI-64 02:21:2F:FF:FE:B5:6E:10 | | | | |___________________________________________________________|__________________________________________________________| | Неопределённый адрес | Неопределённый адрес / (невозможно назначить интерфейсу) | | 0.0.0.0 | ::/128 | | | (::) | |___________________________________________________________|__________________________________________________________| | Адреса TEST-NET: | Default route | | | ::/0 | | 192.0.2.0 - 192.0.2.255 (192.0.2.0/24) | | | Экспериментальные: | Глобальный адрес - обычный адрес, видимый всему Интернету| | 240.0.0.0 - 255.255.255.254(/?) | 2000::/3 глобальное пространство | | Классовые: | 001 - 200:/3 - Глобальные / Global | | A 0.0.0.0 - 127.0.0.0/8 (Крупные) | от 2000:: до 3fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff | | B 128.0.0.0 - 191.255.0.0/16 (Средние) | | | C 192.0.0.0 - 223.255.255.0/24 (Малые) | | | D 224.0.0.0 - 239.0.0.0 (Групповые) | | | | ::ffff:0:0:0/96 - используемый преобразованных в IPv4 | | | 64:ff9b::/96 и 64:ff9b:1::/48 Адреса с этим префиксом | | | используются для автоматической трансляции IPv4/IPv6 | | | | | | 100::/64 - используется для отбрасывания трафика | |___________________________________________________________|__________________________________________________________|
Отличие ipv6 от ipv4 и коротко об особенностях ipv6:
IP-адреса будут иметь длину 128 бит (а не 32 как в IPV4).
При записи в традиционном формате IP-адрес будет выглядеть так:
abcd:0017:2ff:12aa:2222:783:00dd:1234
32 шестнадцатеричных значения
: - хекстет
0000:0000:0000:0000:0000:0000:0000:0000
Очевидно, что такие записи неудобны на практике.
Ради экономии места адреса IPv6 будут разбиваться символом хекстет(:)
на группы шестнадцатеричных чисел (не более восьми групп), например, так:
abcd:17:2ff:12aa:2222:783:dd:1234
Чтобы не нужно было писать лишнего, используется символ ::, который является сокращенной формой для нескольких нулевых групп:
abcd:17:0:0:0:0:dd:1234 -> axd:17::dd:1234
0:0:C:0:0:783:dd:1234 3 -> ::783:dd:1234
При отображении адресов IPv4 в формате IPv6 первые шесть групп являются нулевыми.
Оставшиеся две группы можно записывать не только в шестнадцатеричной но и в более привычной десятичной системе:
Адрес IPv4: ::110.111.112.113
Для localhost существует более компактная запись — ::1.
::/128 - текущий хост
::/0 - маршрут по умолчанию
::1/128 - обратная петля (loopback)
Зарезервированные адреса многоадресной рассылки(multicast):
Multicast - ff00::/8 - адреса групповой рассылки
FF02::1 - все устройства
FF02::2 - все маршрутизаторы
FF02::1:2 - все DHCPv6 серверы
FF02::1:FFxx:xxxx/104 - solicited-node multicast, группа узлов, у которых совпадают последние 24 бита (xx:xxxx) из unicast адреса
FF02::5 - группа маршрутизаторов с протоколом OSPFv3
FF02::6 - группа маршрутизаторов с протоколом OSPFv3
Сеть для эксперементов:
2001:db8:0000:0000:0000:0000:0000:0001
_____________|____|___________________
Network ID Subnet Interface ID
адреса из области 2001:0DB8::/32 предназначены для использования в экспериментах
ipv6 маска сети:
!!! ipv6 нету маски используется \ вместо этого длина префикса
Провайдеры выдают сеть /48
Длина префикса от 0 - до 128
Стандартная длина префикса /64 (Можно использовать другой но windows хочет /64)
Существует три типа IPv6–адресов:
# Unicast (индивидуальный) – Служит для определения интерфейса на устройстве под управлением протокола IPv6
одноадресная рассылка (unicast) - один пк на другой
# Multicast (Групповой) – Используется для отправки пакетов по нескольким адресам назначения
(Заменил собой Broadcast адрес, имеется IPv6- адрес для всех узлов, который дает аналогичный результат.)
многоадресная рассылка (multicast) - на группу пк (iptv)
# Anycast (Произвольный) – Любой индивидуальный адрес, который может быть назначен нескольким устройствам.
Пакет, отправляемый на адрес произвольной рассылки, направляется к ближайшему устройству с этим адресом.
адрес любого узла из группы (anycast) - любой адрес из группы
Примечание. Протокол IPv6 не содержит адресов широковещательной рассылки (broadcast)
Начальные цифры адресов IPv6:
Глобальные: 2 или 3
Локальный: FD
Локальный канал связи: FE80
Групповой: FF
Еще разок про IPV6-адрес
Разберем адрес:
2001:0DB8:ACAD:0002::/64
___________________________________________________________________________________________________
|48бит |16бит |64бит |
|Префикс глобальной маршрутизации |Идентификатор подсети |Идентификатор интерфейса/Адрес хоста|
|2001:0DB8:ACAD |:0002: |:/64 |
|___________________________________|_________________________|____________________________________|
/64
48бит - выдается региональным регистратором (RIR)
16бит - выдается провайдером
64бит - локальная сеть клиента, где он может делать все что угодно
2001:0DB8:ACAD:0002::/64
2001:0DB8:ACAD:0003::/64
Разбиение на подсети с использованием идентификатора подсети:
Как вы помните, блок IPv6-адресов с префиксом /48 содержит 16 бит идентификатора подсети, как показано на рисунке.
Разбиение на подсети с использованием 16 бит идентификатора подсети даёт 65 536 возможных подсетей /64.
Поэтому нет необходимости заимствовать биты из идентификатора интерфейса или узловой части адреса.
Каждая IPv6-подсеть /64 содержит примерно 18 квинтиллионов адресов, что, как очевидно, гораздо больше, чем когда-либо понадобится в одном сегменте IP-сети.
Подсети, созданные из идентификатора подсети, легко представить, поскольку не нужно выполнять преобразование в двоичный формат.
Чтобы определить следующую доступную подсеть, достаточно рассчитать следующее шестнадцатеричное число.
Необходимо применить расчёт части идентификатора подсети в шестнадцатеричной системе счисления.
Префикс глобальной маршрутизации является одинаковым для всех подсетей.
Для каждой подсети увеличивается только четырёхразрядный байт идентификатора подсети.
Типы совместного использование протоколов IPv4 и IPv6
0. Двойной стек: двойной стек позволяет протоколам IPv4 и IPv6 сосуществовать в одной сети.
Устройства с двойным стеком одновременно работают с протокольными стеками IPv4 и IPv6
______
| | ___
| | <--ipv6---> | |-----> ipv6-network
| | <--ipv4---> |___|-----> ipv4-network
|______| router
PC
1. Туннелирование — это способ транспортировки IPv6-пакетов через IPv4-сеть.
IPv6-пакет инкапсулируется внутри IPv4-пакета, как и другие типы данных
______ transit network ____
ipv4-network <----->|____| --------tunel---------|____|<----->ipv4-network
router ipv6 network router
2. Преобразование — преобразование сетевых адресов 64 (NAT64) позволяет устройствам под управлением IPv6 обмениваться данными
с устройствами под управлением IPv4 с помощью метода преобразования, похожего на метод преобразования из NAT для IPv4.
IPv6-пакет преобразовывается в пакет IPv4-пакет и наоборот.
_____
ipv6-internet -------|___| -----pc-ipv4-host
NAT
Основные отличия IPV6 от IPV4
1. В IPv6 нету Broadcast ARP Broadcast частично заменили Multicast адреса и адреса Link Local. ARP протокол заменен протоколом NDP; 2. В IPv6 нет технологии NAT, которая есть в IPv4. Смело спорьте с тем: кто скажет обратное. Экономия адресов в IPv6 не используется, адресов хватит на всех. Уровень безопасности, который обеспечивает NAT в технологии IPv4, заменен адресами Unique Local, но нельзя забывать, что безопасность должны обеспечивать межсетевые экраны - это их функция. Название Nat64 которое можете встретить в литературе про IPv6, идет речь о совместном использовании технологии IPv6, IPv4. 3. Благодаря Link Local адресам сетевые устройства могут общаться в пределах одного локального канала и только в пределах его. 4. Появилась фича которая называется: «проверка уникальности IPv6 адреса». Используется в DHCPV6, полный процесс будет описан чуть ниже. Суть ее в том, что после назначения ip-адреса устройству он посылает icmp запрос, destination выбирает данный ему адрес, если приходит ответ — то его адрес не уникален и нужно получать новый IPv6 адрес. 5. Появились адреса anycast. В сети могут существовать несколько хостов с абсолютно идентичными IPv6-адресами. Вариант использования, например, несколько балансировщиков около сервера. Им дается один и тот же адрес, который называется anycast. 6. Вендоры, такие как Cisco или Juniper, полностью готовы к переходу на IPv6, дело остается за операторами связи и ИТ-компаниями.
Ping:
ping6 -c4 -I eth0 ff02::1 - узнать какие хосты могут использовать ipv6 ping6 ::1 - пингануть локальный хост ::1 — это сокращение от 0000:0000:0000:0000:0000:0000:0000:0001. Любая непрерывная последовательность нулей может быть заменена на пару двоеточий, а любая четвёрка, состоящая из нулей, может быть заменена на один ноль.
Подключение по SSH:
ssh phineas@fe80::221:97ff:feed:ef01%eth0 И опять же, если вы используете link-local адрес, то вы должны указать имя интерфейса с которого будете осуществлять подключение. Как показано выше, делается это путём добавления знака процента и имени интерфейса
Еще раз про типы адресов IPv6:
Калькулятор ipv6: https://findipv6.com/ipv6-cidr-to-range Конвертер ip4 to ipv6: https://dnschecker.org/ipv4-to-ipv6.php IPv6 также может показаться сложным, потому что существуют разные типы адресов. Подобно общедоступным, частным (RFC 1918) и адресам автоматической частной IP-адресации (APIPA) IPv4 (169.254.0.0/16), IPv6 имеет четыре основных типа адресов, каждый из которых выполняет свою специфическую функцию: 2000::/3 = Global Unicast Addresses = глобальные одноадресные адреса (GUA). Вы можете думать о них как об общедоступных интернет-адресах для прямой одноадресной связи между узлами. Start range: 2000:: End range: 3fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff FC00::/7 = Unique Local Addresses = уникальные локальные адреса (ULA). Это частные адреса, которые никогда не должны использоваться в Интернете, а не через NAT. Start range: fc00:: End range: fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff FE80::/10 = Link-Local Addresses = Локальные адреса ссылок. Используется только для внутренней связи по локальной сети, никогда не перенаправляется маршрутизаторами. Start range: fe80:: End range: febf:ffff:ffff:ffff:ffff:ffff:ffff:ffff FF00::/8 = Multicast addresses = многоадресные адреса. Используется для распространения пакетов «один ко многим» в пределах сети. Start range: ff00:: End range: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff Давайте сосредоточим наше внимание на глобальных адресах(GUA), потому что это то, что вы собираетесь использовать для своих систем, выходящих в Интернет, а также сетей и систем в пределах вашего интернет-периметра. Для IPv6 не требуется функциональность NAT (см. RFC 4864 ), потому что у нас множество адресов. Уникальные локальные адреса (ULA) ( RFC 4193 ) не рекомендуются для внутренних корпоративных сетей. Адреса Link-local IPv6 и многоадресные адреса можно легко исследовать самостоятельно Пример: Сеть для эксперементов: 2001:db8:0000:0000:0000:0000:0000:0001 _____________|____|___________________ Network ID Subnet Interface ID адреса из области 2001:0DB8::/32 предназначены для использования в экспериментах Start range: 2001:db8:: End range: 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff
Обращение к страничкам в интернете:
При использовании IPv6-адреса в URL необходимо заключать адрес в квадратные скобки: http://[2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d]/ Если необходимо указать порт, то он пишется после скобок: http://[2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d]:8080/
DHCP в ipv6
ipv6 SLAAC \ NDP \ Neighbor Discovery \ Router Discovery Собственно адрес ipv6 128 бит делится на две части: 0. Префикс IPv6 = 64бит (Эту часть отдает DHCPv6) 1. Идентификатор интерфейса = 64бит \ (ff:fe в середину MAC) (Эта часть генерируется клиентом при EUI-64) Neighbor Discovery (знаю адрес IPv6 соседа, но не знаю канальный: как найти?) Neighbor Solicitation (NS) - запрос канального адреса (LLA или ::(DAD) -> SNMA) Neighbor Advertisement (NA) - ответ на такой запрос (LLA -> LLA или FF02::1(DAD)) тут же работают механизмы Duplicate Address Detection (DAD) и Neighbor UnreachabilityDetection (NUD) Router Discovery (хочу получить информацию о роутерах) Router Solicitation (RS) - запрос информации о роутерах (:: -> FF02::2) Router Advertisement (RA) - оповещение по расписанию о настройках IPv6 и ответ, если был принудительный запрос (LLA -> FF02::1) ND использует порты udp port 547,546 Как клиент получает адрес: На роутере настроить radvd и SLAAC! Включить интерфейс 0. Генерируется Link-Local Address и рассылается сообщение Neighbor Solicitation на адрес Solicited-node Multicast для Duplicate Address Detection (адрес в состоянии tentative) 1. Рассылается сообщение Router Solicitation на адрес ff02::2 2. Роутер отвечает на Link-Local Address, что есть такие-то доступные префиксы и настройки 3. Генерируется Global Unicast Address на основе полученного префикса и рассылается сообщение Neighbor Solicitation на адрес Solicited-node Multicast для Duplicate Address Detection (адрес в состоянии tentative) 4. Применяются настройки полученные от роутера 5. Если Duplicate Address Detection отрабатывает успешно, то адреса переходят в состояние preferred. Для чего нужен DHCPv6? то бы раздавать опции! DHCPv6 нужен, т.к. в SLAAC ограничен набор предлагаемых опций. Если вы хотите, к примеру, загрузку по сети или передавать опции NTP, то вам нужен полноценный сервер DHCPv6. Варианты: stateless DHCPv6 = SLAAC (сеть, префикс и шлюз) + DHCPv6 (опции); stateful DHCPv6 (клиент принципиально не слушает RA от роутера и обращается к серверу DHCPv6). radvd Если сообщения RA рассылаются, то: Autonomous = off (не назначаем адрес из префиксов RA) Managed = on (запрашиваем адрес у сервера DHCPv6) OtherConfig = on (получаем опции у сервера DHCPv6) Если RA не рассылаются, то клиент всегда может самостоятельно обратиться к серверу DHCPv6 по FF02::1:2 Помним, что клиент отправляет сообщение с порта 546/UDP серверу на порт 547/UDP. В идеальном случае, DHCPv6 сервер ещё добавляет соответствующие записи в зону DNS. Кратко как всё-таки работает DHCPv6: Вариант 1(Только SLACC): "Я предоставляю все необходимое вам данные (префикс, длину префикса и шлюз по умолчанию)" Вариант 2(SLAAC и DHCPv6): Вот моя информация, но вам понадобится и другие данные, например об DNS-адресах с сервера DHCPv6" Вариант 3(только DHCPv6): "Я не могу вам помочь. Запросите необходимую информацию у сервера DHCPv6"
Настройка ipv6 средствами systemd-networkd
vim /etc/systemd/network/eth0.network ------------------------------------- [Network] # Use 'yes' instead of 'ipv6' for both ipv4 and ipv6. DHCP=ipv6 /etc/systemd/network/lan.network [Network] IPv6SendRA=yes DHCPv6PrefixDelegation=yes -------------------------------------
Если все таки хочется задушить ipv6, используем systemd-networkd:
etc/systemd/network/40_eth0.network ----------------------------------- [Match] Name=eth0 [Network] LinkLocalAddressing=ipv4 # вот эта строка отключает работу ipv6 на интерфейсе DHCP=ipv4 #DHCP=yes # по умолчанию просит настройки ipv6 вместе с ipv4 ----------------------------------
Еще примеры настройки сети используя systemd-networkd:
cat > /etc/systemd/network/10-eth-static.network << "EOF" [Match] Name=[Network] Address=192.168.0.2/24 Gateway=192.168.0.1 DNS=192.168.0.1 Domains= EOF cat > /etc/systemd/network/10-eth-dhcp.network << "EOF" [Match] Name= [Network] DHCP=ipv4 [DHCP] UseDomains=true EOF cat > /etc/systemd/network/10-ether0.link << "EOF" [Match] # Change the MAC address as appropriate for your network device MACAddress=12:34:45:78:90:AB [Link] Name=ether0 EOF cat > /etc/resolv.conf << "EOF" # Begin /etc/resolv.conf domain nameserver nameserver # End /etc/resolv.conf EOF
Ручное управление ipv6 программой ip:
ifconfig eth0 | grep "inet6 addr:" посмотреть адрес ip -6 addr add 2001::1/64 dev eth0 - назначить адрес ip -6 addr del 2001::1/64 dev eth0 - удалить адрес
firewall
Управляется так де как и iptables # ip6tables -P OUTPUT DROP # ip6tables -p INPUT DROP # ip6tables -p FORWARD DROP
Включения forward для ipv6:
временно до перезагрузки: sysctl -w net.ipv6.conf.all.forwarding=1 - вкл маршрутизации ipv6 Проверка: cat /proc/sys/net/ipv6/conf/eth0/forwarding проверка включения маршрутизации ipv6 Для постоянно нужно отредактировать файл /etc/sysctl.conf и раскоментировать строку: net.ipv6.conf.all.forwarding = 1
Основной вариант отключения IPV6
0. В файле /etc/sysctl.conf вставляем следующие строки - nano /etc/sysctl.conf --------------------- #disable ipv6 settins net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1 net.ipv6.conf.enp1s0.disable_ipv6 = 1 -------------------- Сохраняем файл. 1. Применяем: sysctl -p P.S. аналогичное в windows Отключение 6to4 netsh int 6to4 set st disabled
вариант 2
sudo sysctl -w net.ipv6.conf.all.disable_ipv6=1 sudo sysctl -w net.ipv6.conf.default.disable_ipv6=1 sudo sysctl -w net.ipv6.conf.lo.disable_ipv6=1
вариант 3
sudo vi /etc/default/grub ------------------------- GRUB_CMDLINE_LINUX = "ipv6.disable = 1" ------------------------- sudo update-grub2
Обще доступные серверы DNS для ipv6:
DNS Google Базовый 2001:4860:4860::8888 DNS Google Базовый 2001:4860:4860::8844 DNS Google Базовый 2a02:6b8::feed:0ff DNS Google Базовый 2a02:6b8:0:1:feed::0ff DNS Яндекс Безопасный 2a02:6b8::feed:bad DNS Яндекс Безопасный 2a02:6b8:0:1::feed:bad DNS Яндекс Семейный 2a02:6b8::feed:a11 - адрес семейного сервера (не выдаются адреса с контентом 18+) DNS Яндекс Семейный 2a02:6b8:0:1::feed:a11 - адрес семейного сервера (не выдаются адреса с контентом 18+)
Пример записи ipv6 в /etc/network/interfaces
auto ens5
iface ens5 inet6 static
address 2001:db8::1/64
cisco
ipv6 unicast-routing