¿Cuál es el equivalente de IPv6 a las direcciones IPv4 RFC1918?

Me resulta difícil entender mi IPv6 aquí. Gran parte de la jerga parece estar dirigida a implementaciones de IPv6 a nivel empresarial, discutiendo enlace local, sitio local, unidifusión global, alcances, etc. No hay mucha información sólida en redes realmente pequeñas, como las redes domésticas. Quiero verificar mi forma de pensar y asegurarme de que recibo las traducciones correctas de IPv4-speak a IPv6-speak.

La primera pregunta es, ¿cuál es el equivalente de RFC1918 para IPv6? Las búsquedas iniciales sugirieron que no había equivalente. Luego me topé con direcciones locales únicas (RFC4193), y eso indica que a todos los ULA se les debe asignar el prefijo fc00, seguido de un número aleatorio de 40 bits en el prefijo de enrutamiento. Este número aleatorio es para "evitar colisiones cuando dos redes IPv6 están interconectadas", nuevamente, otra referencia a una función de nivel empresarial.

Si tengo una LAN local pequeña en casa, numerada usando 192.168.4.0/24, ¿cuál es mi equivalente en el alcance ULA de IPv6? Suponiendo que nunca, nunca, vincularé esa dirección IPv6 a Internet real (un enrutador lo pondrá en NAT y cortafuegos), ¿puedo ignorar el RFC hasta cierto punto y seguir fc00::4:0/120?

También parece que cualquier dirección fc00::/7debe ser globalmente enrutable. ¿Esto significa que necesitaré protecciones adicionales para que mi enrutador no comience a anunciar automáticamente estas direcciones IPv6 privadas en todo el mundo?

Segunda pregunta, ¿qué es esto de enlace local? La lectura sugiere una dirección asignada por defecto en el fe80::/10rango que tiene los últimos 64 bits de la dirección compuesta por la dirección MAC de la interfaz. Parece ser necesario también, pero me molesta la discusión constante sobre las redes empresariales.

Tercera pregunta, ¿para qué sirve el id de alcance? Parece ser otro término más en relación con las redes empresariales, especialmente cuando se interconectan, pero casi no hay explicación en el nivel de red doméstica más pequeño.

¿Puedo ver una identificación de alcance y una notación CIDR usadas juntas? Es decir, ¿ fc00::4:0/120%6o se supone que los ID de alcance solo se deben aplicar a una única dirección IPv6 / 128?

La "Dirección local única" es exactamente lo que está buscando. fc00::/7le da suficientes bits que si genera un número aleatorio en lugar de solo elegir uno, las posibilidades de colisión son pequeñas.

¿Significa esto que necesitaré protecciones adicionales para que mi enrutador no comience a anunciar automáticamente estas direcciones IPv6 privadas en todo el mundo?

El RFC que cubre estos ULA ( RFC4193 ) establece específicamente que estos números no deben enrutarse en Internet, aunque dos pares pueden acordar mutuamente pasar ciertos prefijos. A menos que Comcast decida enrutarlos de manera unilateral (poco probable en extremo), no debe preocuparse por la publicidad de la ruta.

Suponiendo que nunca vincularé esa dirección IPv6 a Internet real (un enrutador lo pondrá en NAT y cortafuegos), ¿puedo ignorar el RFC hasta cierto punto e ir con fc00 :: 4: 0/120?

No asumas eso. Por ejemplo, Comcast actualmente está haciendo pruebas de IPv6 y están pasando / 64's a usuarios finales (diapositiva 5); no solo la dirección única que están haciendo con IPv4. Esto significa que sus probadores de IPv6 que se ejecutan ahora tienen la opción de ejecutarse con direcciones enrutables globalmente, pero con un cortafuegos por su enrutador, o hacer algún tipo de NAT con direcciones locales de enlace o direcciones globales únicas.

Sin embargo, ejecutar sin ningún tipo de traducción de direcciones no es tan loco como parece . Tenga en cuenta algunos puntos.

• Comcast le está entregando una subred / 64, por lo que su atacante ya sabe cómo es su espacio IP.
• A / 64 proporciona una gran cantidad de direcciones potenciales. 2 ^ 64 vale la pena! Son cuatro mil millones de direcciones IPv4 de Internet. (2 ^ 64 == 2 ^ 32 * 2 ^ 32. Cuatro mil millones de veces cuatro mil millones.) Si bien la naturaleza de la autoprovisión IPv6 reduce el número real de direcciones que necesitan escaneo, escanearlo aún no es factible.
• A menos que configure su propio dominio para proporcionarlo, Comcast no proporcionará búsquedas DNS directas o inversas a sus direcciones IP / 64. Esto reduce en gran medida la capacidad de los atacantes para reconocer su red.
• Ejecutar sin NAT hace que ciertos problemas de red sean más fáciles, y ciertamente hace que las tecnologías peer-to-peer indeseables pero muy populares (ya sabes de lo que estoy hablando) sean mucho más fáciles de poner en funcionamiento.

Sin embargo, correr sin un cortafuegos sigue siendo tan loco como parece. Afortunadamente, puedes hacer firewalls sin tener que usar NAT.

Segunda pregunta, ¿qué es esto de enlace local?

Piense en ello como capaz de alcanzar cualquier cosa en el dominio de transmisión actual, y no se puede enrutar. Como NetBEUI de antaño. De hecho, si su red doméstica es completamente plana, puede usar estas direcciones en lugar de Direcciones locales únicas.

Tercera pregunta, ¿para qué sirve el id de alcance?

Se usa para dos cosas diferentes, lo que hace que sea molesto describirlo:

Cosa 1: Multidifusión. Define hasta dónde debe llegar el paquete de multidifusión.

Cosa 2: (A lo que creo que te refieres) Esto se usa en un URI como una forma de definir qué interfaz usar. Se utiliza principalmente con direcciones locales de enlace. Nunca debe usarse junto con la notación CIDR, por lo que las dos sintaxis nunca deben combinarse.

No debe usar una dirección que comience con fc00:

Como se explica en RFC 4193, es un prefijo de 7 bits. Todo después de esos primeros 7 bits debe completarse como se explica en el RFC. El método actualmente definido siempre producirá una dirección que comienza con fd. El 00 debe reemplazarse con números aleatorios, y los siguientes dos grupos de 16 bits también deben ser aleatorios, lo que representa un total de 40 bits.

Hay muchas páginas en Internet que pueden generar una para usted. Solo quiero que uno de esos sitios obtenga un ejemplo de cómo podría ser ese prefijo fdae: a212: e94d :: / 48

Como señaló, esas direcciones son unidifusión global, pero no se supone que sean enrutables globalmente. Si su enrutador los enruta externamente de forma predeterminada, sería una buena idea configurar filtros para evitarlo. Su flujo ascendente también debe estar filtrando, por lo que solo se enrutará fuera de su red si ambos tienen enrutadores mal configurados.

todas las direcciones que comienzan con fe80: algo es link-local. Puede pensar en un "enlace" que es todas las computadoras conectadas a una red conmutada sin enrutadores. Por lo tanto, esas direcciones ipv6 solo se pueden usar para la comunicación en esa red.

La parte más difícil para nosotros los humanos es probablemente que las máquinas ahora se configuran solas. Hay un protocolo llamado Neighbour Discovery Protocol (NDP) que se encarga de saludar a todas las otras máquinas en la red.

Si no desea que las máquinas accedan a Internet, entonces ... simplemente no instale un enrutador.

PUEDE configurar ipv6 a mano o con un servidor DHCP, pero no es necesario. Esa es una de las buenas noticias con ipv6.