Säkert hemnätverk: Konfigurera IPv6 för ditt hemnätverk
IPv6 har funnits ett tag, men överraskande stöder inte alla Internetleverantörer det. Om din Internetleverantör stöder den kan du aktivera den på din router. Med tanke på att inte alla enheter eller alla på internet stöder IPv6 ännu (eller aldrig kommer), kommer vi att köra dual-stack nätverk som stöder både IPv4 och IPv6 samtidigt.
IPv6 skiljer sig från IPv4 när du skapar ett hemnätverk på följande sätt:
- det finns ingen nätverksadressöversättning (Nat) krävs. Istället för att ha ETT RFC1918 privat utrymme för ditt hemnätverk och din Internet-gateway utför NAT för att översätta till din tilldelade offentliga IPv4-adress, kan ISP tilldela ett delnät, som är 64 bitar eller större, för ditt hemmabruk. Således är ditt hemnätverk unikt identifierat och dirigerbart på Internet. Tilldelningsprocessen kallas Prefixdelegation.
- med tanke på att subnätutrymmet är så stort är det ovanligt att använda stateful address allocation, till exempel DHCP. Istället används statslös address autoconfiguration (SLAAC) i stor utsträckning för att tillåta IPv6-värdar att konfigurera sig automatiskt.
- Routrar tillhandahåller nätverksprefix till enheter via routerannonser.
eftersom IPv6-hemnätverket är Internetadresserbart är det viktigt att ställa in brandväggsregler innan du får adresser. Jag använder Ubiquiti EdgeRouter och dess GUI stöder inte konfigurering av IPv6, så CLI (eller Config Tree) används. Jag skapar först brandväggsreglerna för WAN_IN på mitt Wan-gränssnitt (eth0):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsavedå är det dags att konfigurera DHCPv6 Prefix Delegation och fördela det till våra hemnätverk. Eftersom jag har flera VLAN hemma (och jag diskuterade varför du borde göra det i det här inlägget) kan jag göra det för varje VLAN-gränssnitt genom att tilldela en unik prefix-id för dem:
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsavesedan i show interfaces bör du se att en /128 – adress tilldelas ditt WAN-gränssnitt, och ditt LAN-gränssnitt (i det här fallet switch0.100) ska ha en /64 – adress och show ipv6 route ska visa /64 prefix till vart och ett av LAN-gränssnitten och ::/0 till ditt WAN-gränssnitt. Alla dina IPv6-aktiverade enheter ska hämta sina IPv6-adresser, om IPv6-konfigurationen är inställd på automatisk och full IPv6-anslutning till internet är etablerad. Du kan testa det med test-ipv6.com.
huvudfrågan är dock: behöver du IPv6 i ditt hemnätverk? Svaret är till stor del nej.
endast en liten del av dina enheter stöder helt IPv6 eller kan fungera i ett IPv6-nätverk. Många enheter använder nätverksupptäcktsprotokoll som UPnP eller mDNS som är beroende av multicast eller sändning i ett lokalt nätverk. Med tanke på multicast är annorlunda i IPv6 och sändning existerar helt enkelt inte, och det finns inget mer lokalt eller privat nätverk med IPv6, jag förväntar mig fullt ut att många enheter helt enkelt inte fungerar i IPv6-bara nätverk. Leverantörer kommer sannolikt inte att tillhandahålla firmwareuppdateringar till äldre hårdvara för att få det att fungera med IPv6 och kommer att be dig att köpa nya istället, vilket gör dem fångade i IPv4-eran.
dessutom, utan ordentlig brandvägg på plats, med internet-adresserbara hemnätverk kan potentiellt utsätta säkerhetsproblem som för närvarande lokala i din router till Internet, och ditt hemnätverk skulle påverkas av Internet-händelser om din ISP misslyckas med att stoppa den från att nå din router.
om du använder PI-håls DNS-server, standardkonfigurationen blockerar inte spårning på IPv6-nätverk. Ytterligare konfiguration krävs för att blockera annonser och spårning om du har IPv6 aktiverat.
IPv4 fungerar bra för de flesta hemnätverk. Hem routrar kan NAT vid högre genomströmning än de flesta människors Internet bandbredd så att du inte kommer att se en stor prestandaförbättring i IPv6. Så om du inte är värd för saker på Internet (som webbservrar och sådant) behöver du inte IPv6 i ditt hem.
så den största fördelen med att Konfigurera IPv6 i mitt nätverk (och ta bort det senare) för mig är möjligheten att prova något nytt och lära sig vad branschen har lärt sig av IPv6 och därmed vilka designförbättringar som läggs in i IPv6-protokollsviten.
detta är post-serien. Andra inlägg kan hittas under HomeNetwork tag.