与 IPv4 RFC1918 地址等效的 IPv6 地址是什么？

“唯一本地地址”正是您要找的。fc00::/7为您提供足够的位，如果你生成一个随机数而不是随便选一个发生碰撞的可能性很小。

这是否意味着我需要额外的保护，以便我的路由器不会自动开始向全世界公布这些私有 IPv6 地址？

涵盖这些 ULA 的 RFC（RFC4193）明确指出这些数字不应该在互联网上路由，尽管两个对等点可能相互同意传递某些前缀。除非康卡斯特决定单方面路由这些（在极端情况下不太可能），否则您不必担心路由通告。

假设我永远不会将该 IPv6 地址与真实互联网联系起来（路由器将对其进行 NAT 和防火墙），我可以在一定程度上忽略 RFC 并使用 fc00::4:0/120 吗？

不要以为这样。例如，康卡斯特目前正在进行 IPv6 试验和他们正在向最终用户分发 /64（幻灯片 5）；不仅仅是他们使用 IPv4 的单一地址。这意味着他们现在运行的 IPv6 测试器可以选择使用全局可路由地址运行，但由路由器进行防火墙保护，或者使用本地链路或唯一全局地址进行某种 NAT。

然而，在没有任何地址转换的情况下运行这听起来不是一个坏主意. 记住几点。

• 康卡斯特正在向您提供 /64 子网，因此攻击者已经知道您的 IP 空间是什么样的。
• /64 提供了数量惊人的潜在地址。价值 2^64！这相当于 40 亿个 IPv4 互联网 IP 地址。（2^64 == 2^32 * 2^32。40 亿乘以 40 亿。）虽然 IPv6 自动配置的性质减少了需要扫描的实际地址数量，但扫描它仍然是不可行的。
• 除非您设置自己的域名来提供 DNS 查询，否则 Comcast 不会为您的 /64 个 IP 地址提供正向或反向 DNS 查询。这大大降低了攻击者侦查您的网络的能力。
• 在没有 NAT 的情况下运行会使某些网络问题变得更容易，并且肯定会使不受欢迎但非常流行的点对点技术（您知道我在说什么）更容易启动和运行。

不过，没有防火墙的运行仍然和 IPv4 一样糟糕。幸运的是，你可以不用 NAT 就使用防火墙。

第二个问题，这个 link-local 是什么？

可以将其视为能够到达当前广播域中的任何内容，并且无法路由。就像旧版 NetBEUI 一样。事实上，如果您的家庭网络完全是扁平的，您可以使用这些地址代替唯一本地地址。

第三个问题，scope id是干什么用的？

它有两种不同的用途，因此描述起来很烦人：

第一件事：多播。它定义多播数据包要到达多远。

第 2 件事：（我认为你指的是）这在 URI 上用于定义要使用哪个接口。它主要用于链路本地地址。它永远不应与 CIDR 表示法一起使用，因此永远不应将这两种语法组合在一起。

您不应该使用以 fc00 开头的地址：

如 RFC 4193 中所述，它是一个 7 位前缀。前 7 位之后的所有内容都应按照 RFC 中的说明进行填写。当前定义的方法将始终生成以 fd 开头的地址。00 应替换为随机数，接下来的两组 16 位也应为随机数，总共 40 位。

互联网上有很多页面可以为您生成一个。我只是想访问其中一个网站来获取此类前缀的示例，例如 fdae:a212:e94d::/48

正如您所指出的，这些地址是全球单播的，但它们不应该是全球可路由的。如果您的路由器默认将它们路由到外部，那么配置过滤器以防止这种情况发生是一个好主意。您的上游也应该进行过滤，因此只有当你们双方的路由器配置错误时，它们才会被路由到您的网络之外。

所有以 fe80: something 开头的地址都是本地链路。您可以将“链路”视为连接到没有路由器的交换网络的所有计算机。因此，这些 ipv6 地址只能用于该网络上的通信。

对于我们人类来说，最困难的部分可能是机器现在可以自行配置。有一种称为邻居发现协议 (NDP) 的协议负责向网络上的所有其他机器说“你好”。

如果您不想让机器访问互联网，那么......就不要安装路由器。

您可以手动或使用 DHCP 服务器设置 ipv6，但您不需要这样做。这是 ipv6 的好消息之一。