Biztonságos otthoni hálózat: konfigurálja az IPv6-ot otthoni hálózatához
az IPv6 már egy ideje létezik, de meglepő módon nem minden internetszolgáltató támogatja. Ha az internetszolgáltató támogatja, engedélyezheti azt az útválasztón. Mivel nem minden eszköz vagy az interneten mindenki támogatja az IPv6-ot (vagy soha nem fogja), kétrétegű hálózatot fogunk futtatni, amely egyszerre támogatja mind az IPv4, mind az IPv6-ot.
az IPv6 az otthoni hálózat létrehozásakor a következő módon különbözik az IPv4-től:
- nincs szükség hálózati címfordításra (Nat). Ahelyett, hogy RFC1918 magánterülete lenne az otthoni hálózat számára, és az internetes átjáró NAT-T hajt végre a hozzárendelt nyilvános IPv4-címre történő fordításhoz, az internetszolgáltató hozzárendelhet egy 64 bites vagy nagyobb alhálózatot otthoni használatra. Így az otthoni hálózat egyedileg azonosítható és irányítható az Interneten. A hozzárendelési folyamatot Prefix delegációnak nevezzük.
- mivel az alhálózati terület olyan nagy, nem gyakori az állapotos címkiosztás, például a DHCP használata. Ehelyett a hontalan cím automatikus konfigurálását (SLAAC) széles körben használják az IPv6 gazdagépek automatikus konfigurálásához.
- az útválasztók hálózati előtagokat biztosítanak az eszközökhöz router hirdetéseken keresztül.
mivel az IPv6 otthoni hálózat Internetcímezhető, fontos a tűzfalszabályok beállítása a címek megszerzése előtt. Ubiquiti EdgeRouter-t használok, és a GUI nem támogatja az IPv6 konfigurálását, így CLI (vagy Config fa) használatos. Először a WAN_IN tűzfalszabályokat hozom létre a WAN interfészemen (eth0):
# Configure Firewallset firewall ipv6-name IPV6WAN_IN description 'IPV6WAN to internal'set firewall ipv6-name IPV6WAN_IN default-action dropset firewall ipv6-name IPV6WAN_IN rule 10 action acceptset firewall ipv6-name IPV6WAN_IN rule 10 state established enableset firewall ipv6-name IPV6WAN_IN rule 10 state related enableset firewall ipv6-name IPV6WAN_IN rule 10 log disableset firewall ipv6-name IPV6WAN_IN rule 10 description 'Allow established/related'set firewall ipv6-name IPV6WAN_IN rule 20 action dropset firewall ipv6-name IPV6WAN_IN rule 20 state invalid enableset firewall ipv6-name IPV6WAN_IN rule 20 description 'Drop invalid state'set firewall ipv6-name IPV6WAN_IN rule 30 action acceptset firewall ipv6-name IPV6WAN_IN rule 30 description 'Allow ICMPv6'set firewall ipv6-name IPV6WAN_IN rule 30 log disableset firewall ipv6-name IPV6WAN_IN rule 30 protocol icmpv6set interfaces ethernet eth0 firewall in ipv6-name IPV6WAN_INcommitsaveakkor itt az ideje, hogy konfiguráljuk a DHCPv6 Előtag delegálást, és hozzárendeljük az otthoni hálózatokhoz. Mivel több VLAN-om van otthon (és ebben a bejegyzésben megvitattam, miért kellene ezt tennie), ezt minden VLAN-interfészhez megtehetem, ha egyedi prefix-id – et rendelek nekik:
# Enable DHCPv6 Prefix Delegation on WAN interface# Comcast provides subnet with prefix length of 60set interfaces ethernet eth0 dhcpv6-pd pd 0set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 60set interfaces ethernet eth0 dhcpv6-pd rapid-commit enable# Allocate the delegated space to VLAN 100 with a 4-bit prefix of value 4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 host-address ::1set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 prefix-id :4set interfaces ethernet eth0 dhcpv6-pd pd 0 interface switch0.100 service slaac# Advertise the 64-bit subnet into VLAN 100set interfaces switch switch0 vif 100 ipv6 router-advert prefix ::/64commitsaveezután a show interfaces – ben egy /128 cím van hozzárendelve a WAN interfészhez, és a LAN interfészének (ebben az esetben switch0.100) /64 címmel kell rendelkeznie, és a show ipv6 route – nek /64 előtagokat kell mutatnia az egyes LAN interfészekhez, és ::/0 a WAN interfészhez. Minden IPv6-kompatibilis eszköznek fel kell vennie az IPv6-címét, ha az IPv6 konfigurációja automatikus, és teljes IPv6-kapcsolat van az internethez. Meg lehet próbálni, hogy test-ipv6.com.
a fő kérdés azonban: szüksége van-e IPv6-ra otthoni hálózatában? A válasz nagyrészt, nem.
eszközeinek csak egy kis része támogatja teljes mértékben az IPv6-ot, vagy csak IPv6-hálózaton képes működni. Sok eszköz olyan hálózati felderítési protokollokat használ, mint az UPnP vagy az mDNS, amelyek multicastra vagy helyi hálózaton történő sugárzásra támaszkodnak. Mivel a multicast különbözik az IPv6-ban, és a broadcast egyszerűen nem létezik, és nincs több helyi vagy magánhálózat IPv6-Mal, teljes mértékben elvárom, hogy sok eszköz egyszerűen nem működik csak IPv6-hálózatokban. A gyártók valószínűleg nem adnak firmware-frissítéseket a régi hardverekhez, hogy az IPv6-tal működjön, és inkább újakat vásárolnak, így csapdába esnek az IPv4 korszakban.
ezenkívül megfelelő tűzfal nélkül az internetcímezhető otthoni hálózat potenciálisan az útválasztón belül jelenleg helyi biztonsági rést tehet ki az internetre, és az otthoni hálózatot az internetes események befolyásolhatják, ha az internetszolgáltató nem akadályozza meg az útválasztó elérését.
ha Pi-lyukú DNS-kiszolgálót használ, az alapértelmezett konfiguráció nem blokkolja a követést az IPv6 hálózaton. További konfigurációra van szükség a hirdetések és a nyomon követés blokkolásához, ha az IPv6 engedélyezve van.
az IPv4 a legtöbb otthoni hálózathoz jól működik. Az otthoni útválasztók nagyobb átviteli sebességgel képesek NAT-ra, mint a legtöbb ember internetes sávszélessége, így nem fog nagy teljesítményjavulást látni az IPv6-ban. Tehát, ha nem tárol dolgokat az interneten (például webszervereket és hasonlókat), akkor nincs szüksége IPv6-ra otthonában.
tehát az IPv6 hálózatomban történő konfigurálásának (és később eltávolításának) fő előnye számomra az a lehetőség, hogy kipróbálhatok valami újat, és megtanulhatom, mit tanult az ipar az IPv6-ból, és így milyen tervezési fejlesztéseket tesznek az IPv6 protokollcsomagba.
ez a poszt sorozat. További bejegyzések a HomeNetwork címke alatt találhatók.