我正在尝试熟悉 IPv6。
我发现本指南非常有用,但我仍然不明白某些方面。
链接本地与唯一本地
通过阅读上述指南,我了解到链路本地地址不跨越主机边界(即它们不用于设备之间的通信)。唯一本地地址更接近 IPv4 本地 IP 地址的概念。
它是否正确?
接口 ID
如果我理解正确的话,每个主机都由一个可以根据 MAC 地址计算出的值来标识。这是强制性的/最佳做法吗?
在 IPv4 中,地址与 MAC 地址无关,因此例如我可以更改 PC 上的 NIC 卡(从而更改其 MAC 地址)并仍然使用相同的地址。
此外,IP 地址通常使用一些标准进行分配(从 a 到 b 分配给 PC,从 x 到 y 分配给打印机,等等)。这不是强制性的,但在日常维护中很有用。
在 IPv6 中如何实现这一点?
答案1
链路本地地址不跨越主机边界(即,它们不用于设备之间的通信)。
不,他们做跨越主机边界,但永远不会跨越网络(或子网)边界。
链路本地地址用于以前必须从空地址发送的数据包(例如 DHCP → DHCPv6),或根本不基于 IP 的数据包(例如 ARP → ICMPv6 NDP)。它们还被路由协议(RIPng、OSPFv3、Babel…)使用,这些协议以前使用“普通”IP 地址来发送本质上属于链路范围的消息。
(从技术上讲,IPv4 也具有链路范围地址 169.254.0.0/16,但它们是可选的,并且它们的使用受到更多限制 - 它们通常被认为与“普通”地址互斥。在 IPv6 中情况并非如此,其中所有接口通常除了其他所有地址之外还具有链路本地地址。)
但是,您可能会将链接范围与“接口本地”或“主机”范围地址混淆,这些地址实际上并不跨越主机边界。实际上,您唯一能看到的主机范围地址是::1(loopback)。
唯一本地地址更接近 IPv4 本地 IP 地址的概念。
是的,不过它们的预期用途与 IPv4 略有不同。也就是说,即使你想在 LAN 中使用唯一的本地地址,你也应该仍然同时使用全局地址(即每个主机有两个地址)——极不鼓励使用 NAT,即使是 1:1 NAT。
请注意,在 IPv4 和 IPv6 中,这些地址都被认为具有全球的范围。它们仅本地分配但是 IP 并不认为它们与“公共互联网”地址有根本区别;它们以相同的方式进行路由。
如果我理解正确的话,每个主机都由一个可以根据 MAC 地址计算出的值来标识。这是强制性的/最佳做法吗?
不。这是默认选项(对于具有 MAC 地址的网络而言),但不是强制性的 - IPv6 允许任何类型的接口标识符,并且不会对它们进行任何不同的处理,除了一些例外。
如今,您经常会看到主接口 ID 被 RFC 7217 中不透明的基于哈希的接口标识符所取代。它保持稳定,但不向外部透露任何信息。(某些操作系统可能使用不同的算法,但最终结果相同。)
在此之前的很长一段时间里,当大多数主机仍在使用 EUI-64 接口标识符时,其中许多主机已经实现了 RFC 4941 来生成随机暂时的接口标识符。
一般来说,MAC 或 EUI-64 不是强制性的,因为存在大量点对点、仅有第 3 层的隧道机制(例如 PPP),而这些机制根本没有第 2 层地址。
从 EUI-64 或 MAC 地址生成 IPv6 地址的算法已针对 EUI-64“本地/全局”位进行了仔细的考虑,因此如果您只是手动分配您的首选接口 ID(例如<whatever>::123:ab),它在语法上看起来与基于“本地管理”的 EUI-64 地址相同(在此示例中02:00:00:00:01:23:00:ab)。
此外,IP 地址通常使用一些标准进行分配(从 a 到 b 分配给 PC,从 x 到 y 分配给打印机,等等)。这不是强制性的,但在日常维护中很有用。
我的第一个建议是“使用 DNS”。在工作中,大多数时候我不再输入原始地址 - 如果我想连接到特定的打印机,我不会开始输入192.,而是开始输入pr-,然后浏览器会为我提供打印机列表,而不是杂项 IP 地址列表。
在较大的网络上,您还需要有多个 VLAN 和多个子网。将子网 ID 1(例如 2001:db8:42:1::/64)分配给用户 VLAN,将子网 ID 2(2001:db8:42:2::/64)分配给打印机 VLAN,依此类推。
大多数设备不会阻止您手动分配 IPv6 地址,例如,您可以自由地将其2001:db8:42::53用于 DNS 服务器。如前所述,即使在 EUI-64 分配的假设范围内,这也完全没问题 - 它只是映射到“本地管理”的 EUI-64 地址。
(只有少数支持分配只是手动设置接口 ID,同时仍自动接收网络前缀,但希望你的 IPv6 前缀不会改变那无论如何,经常如此。