一般當(dāng)我們提及IPv6,無(wú)非IPv6地址空間巨大��,可以讓地球上的每一粒沙子擁有一個(gè)IP地址���,IPv6更加安全!但是今天小編要講的�,是不上IPv6���,會(huì)有哪些后果和我們及時(shí)了解IPv6的必要性。
勢(shì)不可擋:各大運(yùn)營(yíng)商已經(jīng)在全面鋪設(shè)IPv6���,包括手機(jī)��、家庭寬帶�,比如筆者所在地福州的移動(dòng)4G手機(jī)�,已經(jīng)獲得IPv6地址。
坐以待斃:當(dāng)IPv6占用率達(dá)到一定比例的時(shí)候��,我相信已有的網(wǎng)站、新申請(qǐng)備案的網(wǎng)站��,會(huì)被強(qiáng)制要求上IPv6���,如果不配置�,已有網(wǎng)站停止運(yùn)營(yíng)���、申請(qǐng)備案不予通過(guò)��。甚至��,到那時(shí)��,手機(jī)�����、家庭寬帶����,會(huì)僅獲得IPv6地址��,無(wú)法獲得IPv4地址��。最后,IPv4從中國(guó)互聯(lián)網(wǎng)中廢除�����。
通過(guò)上述2點(diǎn)�����,可以知道���,作為服務(wù)端(如WEB服務(wù)提供方)是必須要上IPv6的�,否則不僅無(wú)法運(yùn)營(yíng)���、連用戶也都無(wú)法訪問(wèn)���。
問(wèn)題一:內(nèi)網(wǎng)需要IPv6嗎?
家庭內(nèi)網(wǎng),比如連著wifi的手機(jī)���、電腦
企業(yè)內(nèi)網(wǎng),比如辦公室內(nèi)每個(gè)工位上的電腦
數(shù)據(jù)中心內(nèi)網(wǎng)�,比如機(jī)房?jī)?nèi)的服務(wù)器、公有云主機(jī)
這些內(nèi)網(wǎng)環(huán)境���,是否也需要配置ipv6地址?
只要你想訪問(wèn)IPv6互聯(lián)網(wǎng)���,就必須要在終端上配置IPv6地址���。原因在于“IPv6優(yōu)先原則”,越來(lái)越多的程序��,比如各大編程語(yǔ)言的許多主流模塊/框架��,在進(jìn)行域名解析時(shí)��,會(huì)通過(guò)dns優(yōu)先查詢AAAA記錄(對(duì)應(yīng)IPv4的A記錄)
��,若該域名有提供IPv6訪問(wèn)��,就必然會(huì)解析出AAAA記錄��。接著��,就會(huì)優(yōu)先通過(guò)IPv6來(lái)訪問(wèn)(即使本機(jī)沒(méi)有配置IPv6�����,甚至沒(méi)有啟用IPv6)���,如果IPv6網(wǎng)絡(luò)不通��,則該訪問(wèn)直接失敗�����,即便有的模塊/框架在失敗后會(huì)嘗試IPv4���,但已經(jīng)增加了許多的延時(shí)��。
問(wèn)題二:IPv6地址太復(fù)雜了�,記不住啊
說(shuō)的好像IPv4地址你能背下來(lái)似的����,其實(shí)IPv6地址只是長(zhǎng)度增加,并且展示方式從十進(jìn)制改為十六進(jìn)制���,具體的計(jì)算方式是一樣的��。而且有dns在��,沒(méi)必要去背IP地址�����,就算是內(nèi)網(wǎng)的IPv6地址�����,也可以通過(guò)DHCPv6或者路由器發(fā)送RA包來(lái)自動(dòng)生成IPv6地址�。
問(wèn)題三:每臺(tái)服務(wù)器都有IPv6地址��,會(huì)暴露整個(gè)內(nèi)網(wǎng)��,不安全
擔(dān)心是對(duì)的��,但解決方案也和IPv4一樣��,有2種:
可以在內(nèi)網(wǎng)服務(wù)器上配置“IPv6私網(wǎng)地址”��,這樣公網(wǎng)就訪問(wèn)不到了�。在IPv6中,私網(wǎng)地址是fd00::/8����,這相當(dāng)于IPv4的10.0.0.0/8、172.16.0.0/12���、192.168.0.0/16��。然后在網(wǎng)關(guān)上配置NAT
依然用“IPv6公網(wǎng)地址”(即全球單播地址)�,但在網(wǎng)關(guān)上配置“有狀態(tài)防火墻”
無(wú)論是哪種方案,最終都實(shí)現(xiàn)了“只出不進(jìn)”����,即服務(wù)器可以主動(dòng)訪問(wèn)IPv6公網(wǎng),但公網(wǎng)無(wú)法主動(dòng)訪問(wèn)進(jìn)來(lái)��,保證了內(nèi)網(wǎng)的安全��。
IPv6基礎(chǔ)知識(shí)
關(guān)于IPv6的教程��,網(wǎng)絡(luò)上已經(jīng)有非常多寫(xiě)的很棒的教程了�,現(xiàn)編沒(méi)有把握能寫(xiě)出更好的,因此《IPv6系列》文章�,將把重點(diǎn)放在一些概念、解決方案��、很多人沒(méi)注意到的坑�、工作原理等等
IPv6地址長(zhǎng)度
IPv4:32 bit
IPv6:128 bit
可以這么記憶,IPv6比IPv4多了一倍的段落��,并且每個(gè)段落里增加了一倍的長(zhǎng)度��,所以IPv6比IPv4長(zhǎng)了2×2=4倍
IPv6地址組成
IPv4:網(wǎng)絡(luò)號(hào)+主機(jī)號(hào)/子網(wǎng)掩碼,如192.168.1.2/24
IPv6:前綴ID+接口ID/前綴長(zhǎng)度���,如2001:0000:0000:0000:0011:0000:0000:0010/64
地址簡(jiǎn)寫(xiě)
IPv4:不支持
IPv6:壓縮0
注意:IPv6單個(gè)段落內(nèi)可重復(fù)壓縮,比如上述可壓縮為2001:0:0:0:11:0:0:10/64;若多個(gè)段落連續(xù)為0�,可壓縮,但只能壓縮一次����,比如上述可進(jìn)一步壓縮為2001::11:0:0:10/64,或者2001:0:0:0:11::10/64���,通常為前者
檢驗(yàn)方法
找一臺(tái)linux服務(wù)器���,比如centos7系統(tǒng),執(zhí)行ip addr add ${IPv6地址} dev eth0�,然后ip addr show dev
eth0看一下會(huì)如何壓縮
IPv6地址分類
注意:表格列出的是比較常見(jiàn)的地址,并非全部地址
另外��,除了單播���、多播����,IPv6相比IPv4新增了一種任播(anycast),任播是屬于單播范疇內(nèi)的�,無(wú)法單純從地址識(shí)別出任播
術(shù)語(yǔ)
節(jié)點(diǎn):任何運(yùn)行IPv6的設(shè)備
路由器:轉(zhuǎn)發(fā)不是發(fā)給自己的IPv6報(bào)文的節(jié)點(diǎn)
主機(jī):非路由器的節(jié)點(diǎn)
接口:節(jié)點(diǎn)和鏈路相連的物理或邏輯配件
鏈路:由路由器分割的網(wǎng)絡(luò)接口集合
鄰居:同一鏈路上的節(jié)點(diǎn)
鏈路MTU:鏈路能傳輸?shù)淖畲髥挝唬醋畲蟮腎Pv6報(bào)文字節(jié)數(shù)
路徑MTU:IPv6源端和目的端之間能傳輸?shù)淖畲蟮腎Pv6報(bào)文字節(jié)數(shù)���,通常是路徑中所有鏈路的最小鏈路MTU
IPv6地址生成
IPv4:手工指定����、dhcp分配
IPv6:手工指定��、dhcp分配��、自動(dòng)生成
在IPv6里��,主流方案就是自動(dòng)生成IP����,而不是手工指定或dhcp分配。當(dāng)然�����,作為服務(wù)端是需要手工指定的�,但對(duì)于更廣闊的客戶端來(lái)說(shuō),基本都是自動(dòng)生成����。這種自動(dòng)生成的���,叫做“無(wú)狀態(tài)”,相對(duì)于“無(wú)狀態(tài)”�,通過(guò)dhcp獲取到的固定IP,就叫做“有狀態(tài)”(dhcp也支持“無(wú)狀態(tài)”�,這里不做詳解)��。
除了協(xié)議規(guī)定的特殊地址�,其他可自行分配的地址,都是可以在具體范圍內(nèi)自動(dòng)生成的���,包括鏈路本地�、全球單播�����、唯一本地�。其中全球單播、唯一本地���,是在接收到路由器發(fā)送的RA包后自動(dòng)生成���,具體生成的是全球單播還是唯一本地��,是根據(jù)RA包內(nèi)容中的前綴而定��。
IPv6推動(dòng)安防階段性改革
在物聯(lián)網(wǎng)感知層中�����,攝像機(jī)采集的數(shù)據(jù)信息占據(jù)世界物聯(lián)網(wǎng)數(shù)據(jù)約一半以上的存儲(chǔ)量��。傳統(tǒng)視頻監(jiān)控技術(shù)在智慧城市�、公共安全等各行業(yè)已獲得廣泛的應(yīng)用�,而目前網(wǎng)絡(luò)視頻監(jiān)控技術(shù)正在升級(jí)為“以視頻為核心的物聯(lián)信息服務(wù)”,即“視頻+”“視頻+多維感知”和“視頻+多維應(yīng)用”��,視頻監(jiān)控網(wǎng)絡(luò)已成為目前應(yīng)用廣泛���、技術(shù)成熟的物聯(lián)網(wǎng)��。
IPv6在地址空間的擴(kuò)充對(duì)于智慧安防在視頻監(jiān)控領(lǐng)域的設(shè)備連接上�、云服務(wù)平臺(tái)的管理上����、以及視頻數(shù)據(jù)傳輸安全上都起到很好的管控作用���。結(jié)合5G的不斷發(fā)展,在數(shù)據(jù)傳輸速率與頻段上�,也能起到良好的省時(shí)省力作用,IPv6為智慧安防帶來(lái)的雙效應(yīng)值得引起關(guān)注�。
因此,IPv6的發(fā)展與規(guī)?;七M(jìn)落地,在互聯(lián)網(wǎng)產(chǎn)業(yè)上將是一次新的產(chǎn)業(yè)革命�,同樣對(duì)于智慧安防領(lǐng)域也會(huì)是一場(chǎng)階段性改革。這場(chǎng)局��,智慧安防不僅該迅速進(jìn)場(chǎng)��,更應(yīng)該趁勢(shì)追擊����,迅速拓展應(yīng)用試點(diǎn)加速全面落地范圍���。
安防廠商將面臨新安全挑戰(zhàn)
IPv6帶來(lái)的另一個(gè)優(yōu)點(diǎn)�,就是大幅提升的安全性�。在IPv6的部署中,IPSec一度是標(biāo)配�����,這意味著在IPv6地址之間傳輸數(shù)據(jù)往往是經(jīng)由加密的,信息不再會(huì)被輕易劫持��。在智慧城市勢(shì)如破竹的發(fā)展趨勢(shì)下��,智能視頻監(jiān)控��、人臉識(shí)別���、車牌識(shí)別等技術(shù)帶來(lái)的信息安全問(wèn)題引發(fā)了大眾的高度關(guān)注���,IPv6無(wú)疑將很大程度上滿足公眾對(duì)個(gè)人信息安全的要求。
不過(guò)��,IPv6的安全性也不是高枕無(wú)憂���。隨著IPv6的大規(guī)模推進(jìn)部署���,全球互聯(lián)網(wǎng)安全格局將發(fā)生重大變化。Pv6會(huì)面臨現(xiàn)有IPv4網(wǎng)絡(luò)下碎片化的攻擊���,地址欺騙和泛洪等問(wèn)題依然存在�����。專家表示���,網(wǎng)絡(luò)安全威脅和新型網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻��,IPv6將會(huì)成為主要的攻擊點(diǎn)���。萬(wàn)物互聯(lián)時(shí)代,安防廠商也將迎來(lái)新的要求和挑戰(zhàn)��。
