IPv4:32位元,格式 xxx.xxx.xxx.xxx (xxx:0~255)
IPv6:128位元,格式 hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh (hhhh:0000~FFFF)
IPv6種類:(a) Link Local;(b) Unique Local;(c) Global
(a) Link Local
- 固定為 FE80 帶頭(二進位的 1111 1110 10 開頭再固定接上54 bits的 0,最後接64 bits的Interface Identifier)
- 僅限同一個 Link(網段)之間使用,不可跨越 Router 送往其他網段
- 每個已經啟用 IPv6 的介面會自動各配一個 Link-local 位址,不論該介面是否已有其他可跨網段的 Unicast 位址
- 主要用於 Neighbor Discovery、Automatic Address Configuration…等用途
- 您可以使用 Link-local Address 與同網段其他 IPv6 主機進行溝通,只是執行這個動作時,由於主機上可能有多個介面都配有 Link-local Address,因此您需要指定外送介面
- 另外,在 IPv4 表示本機的 127.0.0.1,在 IPv6 下可表示為 ::1/128
- FC00::/7-唯一區域位址(ULA,unique local address)只可用於本地通訊,類似於IPv4的專用網路位址 10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16。
- 這定義在 RFC 4193 中,是用來取代站點本地位域。這位址包含一個40位元的偽隨機數,以減少當網站合併或封包誤傳到網路時碰撞的風險。
- 這些位址除了只能用於區域。
(c) Global
人工配置位址(適合網路設備及網頁伺服器主機):
與 Pv4 網路設定固定位址的做法相同,逐台主機人工配置 IPv6 位址、預設閘道與 DNS 伺服器位址。一般而言,路由器與 DMZ 伺服器的 IPv6 位址建議採用人工配置,以方便於防火牆設定資安政策,IPv6 位址尾碼可以選擇與 IPv4 位址相同,便於管理及記憶。在使用固定位址的 DMZ 網段,建議要關閉 RA (Router Advertisement) 的發送,以避免成為資安漏洞。
SLAAC+RDNSS(目前較適合智慧物件連網):
無狀態位址自動配置 (Stateless Address Auto-configuration, SLAAC) 是 IPv6 通訊協定才有的功能,做法是透過定期經由 Multicast 發出 Router Advertisement (RA) 的封包,網路上的主機經由RA會收到 IPv6 Prefix (也就是Network ID) 及 Default Gateway 的資訊,主機組合收到的 Prefix 及自動產生的 Host ID(主機識別碼)即為該主機的 IPv6 位址。由於位址核發後即不再持續管理這個位址的使用情形,所以稱為「無狀態」。
上述提到的主機識別碼 (Host ID) 有兩種產生方式,一種是使用 EUI-64 運算法,從主機的MAC address 轉換而來,另一種是使用亂數法產生。
SLAAC不支援發送DNS伺服器位址,雖然新修訂的SLAAC RDNSS標準已解決這個問題,但目前Cisco IOS及Windows作業系統均尚未支援。電腦主機對外連線大多透過DNS進行網域名稱與IP位址的解析,缺乏DNS將對網路頁連線造成極大不便。智慧物件通常不需要主動對外連網,網路環境也越單純越好,SLAAC標準將有助於物件連網的發展。
SLAAC+Stateless DHCPv6 (適合不須嚴格進行資安查核管理場所)
這個做法是結合 SLAAC 及 DHCPv6 進行無狀態位址自動配置,RA 負責 IPv6 位址及 Default Gateway 指配,DHCPv6 則提供 DNS 伺服器位址及其他資訊 (如NTP)。實作上是在路由器上設定發送 O-bit 為 1 的 RA 封包,用戶端主機收到 RA 會再向 DHCPv6 伺服器請求 DNS 伺服器位址,但Windows XP不支援DHCPv6,需外掛DHCPv6程式(http://klub.com.pl/dhcpv6/)。
SLAAC的機制並不會進行IPv6位址的更新維護及使用追蹤,所以稱為無狀態DHCPv6定址(Stateless DHCPv6)。在資安管理上不易由IPv6位址追蹤到使用者,因此比較適合不須嚴格進行資安查核管理的場所使用。
Stateful DHCPv6(適合需要嚴格進行資安查核管理場所)
在這個做法裡 RA 只負責提供 Default Gateway,IPv6 位址配置 (包括 Prefix、Host ID)及DNS 伺服器位址等資訊均由 DHCPv6 負責。實作上是設定 RA 封包的 M-bit 及 O-bit 均為1,用戶端主機收到RA會再向DHCPv6伺服器請求IPv6位址及DNS伺服器位址。(Windows XP需外掛DHCPv6程式,http://klub.com.pl/dhcpv6/)
由於DHCPv6會記錄IPv6位址與MAC位址的對應表,並經由定期位址更新維護使用紀錄,所以稱為全狀態DHCPv6位址自動配置(Stateful DHCPv6),對於需要嚴格進行資安查核管理場所是比較恰當的做法。由於DHCPv6無法提供Default Gateway的資訊,所以Stateful DHCPv6仍需要與RA配合運作,將來DHCPv6可能會發展出提供Default Gateway的機制,這樣就不需要RA的協助。
結合前面所述,學校網路架構主要可以區分為伺服器群組與其他群組。
在伺服器群組中:
參考資料:
https://www.lijyyh.com/2011/11/ipv6_16.html
https://www.uuu.com.tw/Public/content/article/140407tips.htm
https://www.jannet.hk/zh-Hant/post/IP-Address-Version-6-IPv6/
https://www.ttrc.edu.tw/userfiles/file/training102/IPv6
https://www.lijyyh.com/2012/04/ipv6ipv6-auto-configuration.html
http://www.myhome.net.tw/2012_09/p03.htm
https://www.cadch.com/modules/news/article.php?storyid=132
- 可用於網際網路使用的 IP 位址。
- 本校申請所得的 IPv6 位址為:2001:288:102b::/48,經計算共有 1,208,925,819,614,629,174,706,176 個 IP 位址可以用。
- 目前規劃每個 vlan 網段分配 2001:288:102b:xxxx::/64 的 IP 位址。共可以分出 65,535個網域區段,計算每個區段可分配 18,446,744,073,709,551,616 個 IP。
IPv6發放設定:
IPv6 的設定同 IPv4 一樣,可以使用手動設定與 DHCP 動態設定。但除了需要有固定位址的伺服器服務與重要資訊設備外,其餘的使用者真的不需要記那麼長的IP位址。人工配置位址(適合網路設備及網頁伺服器主機):
與 Pv4 網路設定固定位址的做法相同,逐台主機人工配置 IPv6 位址、預設閘道與 DNS 伺服器位址。一般而言,路由器與 DMZ 伺服器的 IPv6 位址建議採用人工配置,以方便於防火牆設定資安政策,IPv6 位址尾碼可以選擇與 IPv4 位址相同,便於管理及記憶。在使用固定位址的 DMZ 網段,建議要關閉 RA (Router Advertisement) 的發送,以避免成為資安漏洞。
SLAAC+RDNSS(目前較適合智慧物件連網):
無狀態位址自動配置 (Stateless Address Auto-configuration, SLAAC) 是 IPv6 通訊協定才有的功能,做法是透過定期經由 Multicast 發出 Router Advertisement (RA) 的封包,網路上的主機經由RA會收到 IPv6 Prefix (也就是Network ID) 及 Default Gateway 的資訊,主機組合收到的 Prefix 及自動產生的 Host ID(主機識別碼)即為該主機的 IPv6 位址。由於位址核發後即不再持續管理這個位址的使用情形,所以稱為「無狀態」。
上述提到的主機識別碼 (Host ID) 有兩種產生方式,一種是使用 EUI-64 運算法,從主機的MAC address 轉換而來,另一種是使用亂數法產生。
SLAAC不支援發送DNS伺服器位址,雖然新修訂的SLAAC RDNSS標準已解決這個問題,但目前Cisco IOS及Windows作業系統均尚未支援。電腦主機對外連線大多透過DNS進行網域名稱與IP位址的解析,缺乏DNS將對網路頁連線造成極大不便。智慧物件通常不需要主動對外連網,網路環境也越單純越好,SLAAC標準將有助於物件連網的發展。
SLAAC+Stateless DHCPv6 (適合不須嚴格進行資安查核管理場所)
這個做法是結合 SLAAC 及 DHCPv6 進行無狀態位址自動配置,RA 負責 IPv6 位址及 Default Gateway 指配,DHCPv6 則提供 DNS 伺服器位址及其他資訊 (如NTP)。實作上是在路由器上設定發送 O-bit 為 1 的 RA 封包,用戶端主機收到 RA 會再向 DHCPv6 伺服器請求 DNS 伺服器位址,但Windows XP不支援DHCPv6,需外掛DHCPv6程式(http://klub.com.pl/dhcpv6/)。
SLAAC的機制並不會進行IPv6位址的更新維護及使用追蹤,所以稱為無狀態DHCPv6定址(Stateless DHCPv6)。在資安管理上不易由IPv6位址追蹤到使用者,因此比較適合不須嚴格進行資安查核管理的場所使用。
Stateful DHCPv6(適合需要嚴格進行資安查核管理場所)
在這個做法裡 RA 只負責提供 Default Gateway,IPv6 位址配置 (包括 Prefix、Host ID)及DNS 伺服器位址等資訊均由 DHCPv6 負責。實作上是設定 RA 封包的 M-bit 及 O-bit 均為1,用戶端主機收到RA會再向DHCPv6伺服器請求IPv6位址及DNS伺服器位址。(Windows XP需外掛DHCPv6程式,http://klub.com.pl/dhcpv6/)
由於DHCPv6會記錄IPv6位址與MAC位址的對應表,並經由定期位址更新維護使用紀錄,所以稱為全狀態DHCPv6位址自動配置(Stateful DHCPv6),對於需要嚴格進行資安查核管理場所是比較恰當的做法。由於DHCPv6無法提供Default Gateway的資訊,所以Stateful DHCPv6仍需要與RA配合運作,將來DHCPv6可能會發展出提供Default Gateway的機制,這樣就不需要RA的協助。
結合前面所述,學校網路架構主要可以區分為伺服器群組與其他群組。
在伺服器群組中:
- 設定 Default Gateway 的 IPv6 位址,關閉 RA 功能
- 各個伺服器手動設定 IPv6 位址等相關資訊
- 於 DNS 上新增 IN AAAA 的 IPv6 正解
- 設定 Default Gateway 的 IPv6 位址,並開啟 RA 功能
- 設定 M-bit = 0,O-bit = 1,將區域設定為 SLAAC + Stateless DHCPv6 模式
參考資料:
https://www.lijyyh.com/2011/11/ipv6_16.html
https://www.uuu.com.tw/Public/content/article/140407tips.htm
https://www.jannet.hk/zh-Hant/post/IP-Address-Version-6-IPv6/
https://www.ttrc.edu.tw/userfiles/file/training102/IPv6
https://www.lijyyh.com/2012/04/ipv6ipv6-auto-configuration.html
http://www.myhome.net.tw/2012_09/p03.htm
https://www.cadch.com/modules/news/article.php?storyid=132
留言
張貼留言