一般當我們提及IPv6,無非IPv6地址空間巨大,可以讓地球上的每一粒沙子擁有一個IP地址,IPv6更加安全!但是今天要講的,是不上IPv6,會有哪些后果和我們及時了解IPv6的必要性。
勢不可擋:各大運營商已經(jīng)在全面鋪設IPv6,包括手機、家庭寬帶,比如福州的移動4G手機,已經(jīng)獲得IPv6地址。
坐以待斃:當IPv6占用率達到一定比例的時候,我相信已有的網(wǎng)站、新申請備案的網(wǎng)站,會被強制要求上IPv6,如果不配置,已有網(wǎng)站停止運營、申請備案不予通過。甚至,到那時,手機、家庭寬帶,會僅獲得IPv6地址,無法獲得IPv4地址。最后,IPv4從中國互聯(lián)網(wǎng)中廢除。
通過上述2點,可以知道,作為服務端(如WEB服務提供方)是必須要上IPv6的,否則不僅無法運營、連用戶也都無法訪問。
問題一:內(nèi)網(wǎng)需要IPv6嗎?
家庭內(nèi)網(wǎng),比如連著wifi的手機、電腦;企業(yè)內(nèi)網(wǎng),比如辦公室內(nèi)每個工位上的電腦;數(shù)據(jù)中心內(nèi)網(wǎng),比如機房內(nèi)的服務器、公有云主機……這些內(nèi)網(wǎng)環(huán)境,是否也需要配置ipv6地址?
只要你想訪問IPv6互聯(lián)網(wǎng),就必須要在終端上配置IPv6地址。原因在于“IPv6優(yōu)先原則”,越來越多的程序,比如各大編程語言的許多主流模塊/框架,在進行域名解析時,會通過dns優(yōu)先查詢AAAA記錄(對應IPv4的A記錄) ,若該域名有提供IPv6訪問,就必然會解析出AAAA記錄。接著,就會優(yōu)先通過IPv6來訪問(即使本機沒有配置IPv6,甚至沒有啟用IPv6),如果IPv6網(wǎng)絡不通,則該訪問直接失敗,即便有的模塊/框架在失敗后會嘗試IPv4,但已經(jīng)增加了許多的延時。
問題二:IPv6地址太復雜了,記不住
說的好像IPv4地址你能背下來似的,其實IPv6地址只是長度增加,并且展示方式從十進制改為十六進制,具體的計算方式是一樣的。而且有dns在,沒必要去背IP地址,就算是內(nèi)網(wǎng)的IPv6地址,也可以通過DHCPv6或者路由器發(fā)送RA包來自動生成IPv6地址。
問題三:每臺服務器都有IPv6地址,會暴露整個內(nèi)網(wǎng),不安全
擔心是對的,但解決方案也和IPv4一樣,有2種:
可以在內(nèi)網(wǎng)服務器上配置“IPv6私網(wǎng)地址”,這樣公網(wǎng)就訪問不到了。在IPv6中,私網(wǎng)地址是fd00::/8,這相當于IPv4的10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。然后在網(wǎng)關上配置NAT;依然用“IPv6公網(wǎng)地址”(即全球單播地址),但在網(wǎng)關上配置“有狀態(tài)防火墻”。
無論是哪種方案,最終都實現(xiàn)了“只出不進”,即服務器可以主動訪問IPv6公網(wǎng),但公網(wǎng)無法主動訪問進來,保證了內(nèi)網(wǎng)的安全。
IPv6基礎知識
關于IPv6的教程,網(wǎng)絡上已經(jīng)有非常多寫的很棒的教程了,現(xiàn)編沒有把握能寫出更好的,因此《IPv6系列》文章,將把重點放在一些概念、解決方案、很多人沒注意到的坑、工作原理等等
1、IPv6地址長度
IPv4:32 bit
IPv6:128 bit
可以這么記憶,IPv6比IPv4多了一倍的段落,并且每個段落里增加了一倍的長度,所以IPv6比IPv4長了2×2=4倍
2、IPv6地址組成
IPv4:網(wǎng)絡號+主機號/子網(wǎng)掩碼,如192.168.1.2/24
IPv6:前綴ID+接口ID/前綴長度,如2001:0000:0000:0000:0011:0000:0000:0010/64
3、地址簡寫
IPv4:不支持
IPv6:壓縮0
注意:IPv6單個段落內(nèi)可重復壓縮,比如上述可壓縮為2001:0:0:0:11:0:0:10/64;若多個段落連續(xù)為0,可壓縮,但只能壓縮一次,比如上述可進一步壓縮為2001::11:0:0:10/64,或者2001:0:0:0:11::10/64,通常為前者
4、檢驗方法
找一臺linux服務器,比如centos7系統(tǒng),執(zhí)行ip addr add ${IPv6地址} dev eth0,然后ip addr show dev eth0看一下會如何壓縮
5、術語
節(jié)點:任何運行IPv6的設備
路由器:轉(zhuǎn)發(fā)不是發(fā)給自己的IPv6報文的節(jié)點
主機:非路由器的節(jié)點
接口:節(jié)點和鏈路相連的物理或邏輯配件
鏈路:由路由器分割的網(wǎng)絡接口集合
鄰居:同一鏈路上的節(jié)點
鏈路MTU:鏈路能傳輸?shù)淖畲髥挝?,即最大的IPv6報文字節(jié)數(shù)
路徑MTU:IPv6源端和目的端之間能傳輸?shù)淖畲蟮腎Pv6報文字節(jié)數(shù),通常是路徑中所有鏈路的最小鏈路MTU
6、IPv6地址生成
IPv4:手工指定、dhcp分配
IPv6:手工指定、dhcp分配、自動生成
在IPv6里,主流方案就是自動生成IP,而不是手工指定或dhcp分配。當然,作為服務端是需要手工指定的,但對于更廣闊的客戶端來說,基本都是自動生成。這種自動生成的,叫做“無狀態(tài)”,相對于“無狀態(tài)”,通過dhcp獲取到的固定IP,就叫做“有狀態(tài)”(dhcp也支持“無狀態(tài)”,這里不做詳解)。
除了協(xié)議規(guī)定的特殊地址,其他可自行分配的地址,都是可以在具體范圍內(nèi)自動生成的,包括鏈路本地、全球單播、唯一本地。其中全球單播、唯一本地,是在接收到路由器發(fā)送的RA包后自動生成,具體生成的是全球單播還是唯一本地,是根據(jù)RA包內(nèi)容中的前綴而定。
IPv6推動安防階段性改革
在物聯(lián)網(wǎng)感知層中,攝像機采集的數(shù)據(jù)信息占據(jù)世界物聯(lián)網(wǎng)數(shù)據(jù)約一半以上的存儲量。傳統(tǒng)視頻監(jiān)控技術在智慧城市、公共安全等各行業(yè)已獲得廣泛的應用,而目前網(wǎng)絡視頻監(jiān)控技術正在升級為“以視頻為核心的物聯(lián)信息服務”,即“視頻+”“視頻+多維感知”和“視頻+多維應用”,視頻監(jiān)控網(wǎng)絡已成為目前應用廣泛、技術成熟的物聯(lián)網(wǎng)。
IPv6在地址空間的擴充對于智慧安防在視頻監(jiān)控領域的設備連接上、云服務平臺的管理上、以及視頻數(shù)據(jù)傳輸安全上都起到很好的管控作用。結(jié)合5G的不斷發(fā)展,在數(shù)據(jù)傳輸速率與頻段上,也能起到良好的省時省力作用,IPv6為智慧安防帶來的雙效應值得引起關注。
因此,IPv6的發(fā)展與規(guī)?;七M落地,在互聯(lián)網(wǎng)產(chǎn)業(yè)上將是一次新的產(chǎn)業(yè)革命,同樣對于智慧安防領域也會是一場階段性改革。這場局,智慧安防不僅該迅速進場,更應該趁勢追擊,迅速拓展應用試點加速全面落地范圍。
安防廠商將面臨新安全挑戰(zhàn)
IPv6帶來的另一個優(yōu)點,就是大幅提升的安全性。在IPv6的部署中,IPSec一度是標配,這意味著在IPv6地址之間傳輸數(shù)據(jù)往往是經(jīng)由加密的,信息不再會被輕易劫持。在智慧城市勢如破竹的發(fā)展趨勢下,智能視頻監(jiān)控、人臉識別、車牌識別等技術帶來的信息安全問題引發(fā)了大眾的高度關注,IPv6無疑將很大程度上滿足公眾對個人信息安全的要求。
不過,IPv6的安全性也不是高枕無憂。隨著IPv6的大規(guī)模推進部署,全球互聯(lián)網(wǎng)安全格局將發(fā)生重大變化。Pv6會面臨現(xiàn)有IPv4網(wǎng)絡下碎片化的攻擊,地址欺騙和泛洪等問題依然存在。專家表示,網(wǎng)絡安全威脅和新型網(wǎng)絡安全形勢嚴峻,IPv6將會成為主要的攻擊點。萬物互聯(lián)時代,安防廠商也將迎來新的要求和挑戰(zhàn)。
來源: 數(shù)智網(wǎng)