Sikkert Hjemmenettverk: Konfigurer IPv6 For Hjemmenettverket
IPv6 har eksistert en stund, men overraskende støtter ikke ALLE ISP det. Hvis INTERNETT-LEVERANDØREN støtter det, kan du aktivere det på ruteren. Gitt ikke alle enheter eller alle på internett støtter IPv6 ennå (eller aldri vil), vil vi kjøre dual-stack nettverk som støtter Både IPv4 og IPv6 samtidig.
IPv6 skiller Seg fra IPv4 når du oppretter et hjemmenettverk på følgende måter:
- Det er ingen Network Address Translation (Nat) nødvendig. I stedet FOR Å ha EN RFC1918 privat plass for hjemmenettverket og internett-gatewayen utfører NAT for å oversette til din tildelte offentlige IPv4-adresse, KAN INTERNETT-LEVERANDØREN tilordne et subnett, som er 64 bit eller større, for hjemmebruk. Dermed er hjemmenettverket ditt unikt identifisert og rutbart på Internett. Tildelingsprosessen kalles Prefiks Delegering.
- gitt delnettplassen er så stor, er det uvanlig å bruke tilstandsfri adressetildeling, FOR EKSEMPEL DHCP. I stedet er stateless address autoconfiguration (SLAAC) mye brukt til Å tillate IPv6-verter å konfigurere seg automatisk.
- Rutere gir nettverksprefikser til enheter via ruterannonser.
Fordi IPv6-hjemmenettverket er internett-adresserbart, er det viktig å sette opp brannmurregler før du får tak i adresser. Jeg bruker Ubiquiti EdgeRouter OG GUI støtter ikke konfigurering Av IPv6, så CLI (Eller Config Tree) brukes. Jeg lager først WAN_IN brannmurregler på MITT wan-grensesnitt (eth0):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsaveså er det på tide å konfigurere DHCPv6 Prefiks Delegering og allokere den til våre hjemmenettverk. Siden jeg har flere Vlan hjemme (og jeg diskuterte hvorfor du burde gjøre det i dette innlegget), kan jeg gjøre det for hvert VLAN-grensesnitt ved å tildele en unik prefix-id for dem:
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsaveDeretter i show interfaces, bør du se en /128 – adresse er allokert TIL WAN-grensesnittet, OG LAN-grensesnittet (i dette tilfellet switch0.100) skal ha en /64 – adresse, og show ipv6 route skal vise /64 prefikser til HVERT AV LAN-grensesnittene, og ::/0 TIL WAN-grensesnittet. Alle Dine IPv6-aktiverte enheter skal hente Sine IPv6-adresser, Hvis IPv6-konfigurasjonen er satt til automatisk, og full IPv6-tilkobling til internett er etablert. Du kan teste det med test-ipv6.com.
hovedspørsmålet er imidlertid: trenger Du IPv6 i hjemmenettverket ditt? Svaret er stort sett nei.
Bare en liten brøkdel av enhetene dine støtter Fullt Ut IPv6 eller kan operere i Et ipv6-nettverk. Mange enheter bruker nettverksoppdagelsesprotokoller som UPnP eller mDNS som er avhengige av multicast eller kringkasting i et lokalt nettverk. Gitt multicast er forskjellig I IPv6 og kringkasting eksisterer ganske enkelt ikke, og det er ikke mer lokalt eller privat nettverk Med IPv6, jeg forventer fullt ut at mange enheter bare ikke fungerer I IPv6-bare nettverk. Leverandører er usannsynlig å gi fastvareoppdateringer til eldre maskinvare for Å få Det til Å fungere Med IPv6, og vil be deg om å kjøpe nye i stedet, noe som gjør Dem fanget i IPv4-epoken.
i tillegg, uten riktig brannmur på plass, kan det å ha internett-adresserbart hjemmenettverk potensielt utsette sikkerhetsproblemet som for øyeblikket er lokalt i ruteren din Til Internett, og hjemmenettverket ditt vil bli påvirket Av internett-hendelser hvis INTERNETT-LEVERANDØREN din ikke klarer å stoppe den fra å nå ruteren din.
hvis Du bruker Pi-Hulls DNS-server, blokkerer standardkonfigurasjonen ikke sporing På IPv6-nettverk. Ytterligere konfigurasjon er nødvendig for å blokkere annonser og sporing hvis Du Har IPv6 aktivert.
IPv4 fungerer fint for de fleste hjemmenettverk. Hjemmerutere KAN NAT ved høyere gjennomstrømning enn de fleste menneskers internettbåndbredde, slik at Du ikke vil se en stor ytelsesforbedring I IPv6. Så hvis du ikke er vert for Ting på Internett (som webservere og slikt), trenger Du Ikke IPv6 i ditt hjem.
så den største fordelen med å konfigurere IPv6 i nettverket mitt (og fjerne det senere) for meg er muligheten til å prøve noe nytt og lære hva bransjen har lært Av IPv6 og dermed hvilke designforbedringer som legges inn I IPv6-protokollpakken.
dette er post-serien. Andre innlegg kan bli funnet Under HomeNetwork tag.