一般當我們提及IPv6,無非IPv6地址空間巨大,可以讓地球上的每一粒沙子擁有一個IP地址,IPv6更加安全!但是今天要講的,是不上IPv6,會有哪些後果和我們及時瞭解IPv6的必要性。
勢不可擋:各大運營商已經在全面鋪設IPv6,包括手機、家庭寬帶,比如福州的移動4G手機,已經獲得IPv6地址。
坐以待斃:當IPv6佔用率達到一定比例的時候,我相信已有的網站、新申請備案的網站,會被強制要求上IPv6,如果不配置,已有網站停止運營、申請備案不予通過。甚至,到那時,手機、家庭寬帶,會僅獲得IPv6地址,無法獲得IPv4地址。最後,IPv4從中國互聯網中廢除。
通過上述2點,可以知道,作為服務端(如WEB服務提供方)是必須要上IPv6的,否則不僅無法運營、連用戶也都無法訪問。
問題一:內網需要IPv6嗎?
家庭內網,比如連著wifi的手機、電腦;企業內網,比如辦公室內每個工位上的電腦;數據中心內網,比如機房內的服務器、公有云主機……這些內網環境,是否也需要配置ipv6地址?
只要你想訪問IPv6互聯網,就必須要在終端上配置IPv6地址。原因在於“IPv6優先原則”,越來越多的程序,比如各大編程語言的許多主流模塊/框架,在進行域名解析時,會通過dns優先查詢AAAA記錄(對應IPv4的A記錄) ,若該域名有提供IPv6訪問,就必然會解析出AAAA記錄。接著,就會優先通過IPv6來訪問(即使本機沒有配置IPv6,甚至沒有啟用IPv6),如果IPv6網絡不通,則該訪問直接失敗,即便有的模塊/框架在失敗後會嘗試IPv4,但已經增加了許多的延時。
問題二:IPv6地址太複雜了,記不住
說的好像IPv4地址你能背下來似的,其實IPv6地址只是長度增加,並且展示方式從十進制改為十六進制,具體的計算方式是一樣的。而且有dns在,沒必要去背IP地址,就算是內網的IPv6地址,也可以通過DHCPv6或者路由器發送RA包來自動生成IPv6地址。
問題三:每臺服務器都有IPv6地址,會暴露整個內網,不安全
擔心是對的,但解決方案也和IPv4一樣,有2種:
可以在內網服務器上配置“IPv6私網地址”,這樣公網就訪問不到了。在IPv6中,私網地址是fd00::/8,這相當於IPv4的10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。然後在網關上配置NAT;依然用“IPv6公網地址”(即全球單播地址),但在網關上配置“有狀態防火牆”。
無論是哪種方案,最終都實現了“只出不進”,即服務器可以主動訪問IPv6公網,但公網無法主動訪問進來,保證了內網的安全。
IPv6基礎知識
關於IPv6的教程,網絡上已經有非常多寫的很棒的教程了,現編沒有把握能寫出更好的,因此《IPv6系列》文章,將把重點放在一些概念、解決方案、很多人沒注意到的坑、工作原理等等
1、IPv6地址長度
IPv4:32 bit
IPv6:128 bit
可以這麼記憶,IPv6比IPv4多了一倍的段落,並且每個段落裡增加了一倍的長度,所以IPv6比IPv4長了2×2=4倍
2、IPv6地址組成
IPv4:網絡號+主機號/子網掩碼,如192.168.1.2/24
IPv6:前綴ID+接口ID/前綴長度,如2001:0000:0000:0000:0011:0000:0000:0010/64
3、地址簡寫
IPv4:不支持
IPv6:壓縮0
注意:IPv6單個段落內可重複壓縮,比如上述可壓縮為2001:0:0:0:11:0:0:10/64;若多個段落連續為0,可壓縮,但只能壓縮一次,比如上述可進一步壓縮為2001::11:0:0:10/64,或者2001:0:0:0:11::10/64,通常為前者
4、檢驗方法
找一臺linux服務器,比如centos7系統,執行ip addr add ${IPv6地址} dev eth0,然後ip addr show dev eth0看一下會如何壓縮
5、術語
節點:任何運行IPv6的設備
路由器:轉發不是發給自己的IPv6報文的節點
主機:非路由器的節點
接口:節點和鏈路相連的物理或邏輯配件
鏈路:由路由器分割的網絡接口集合
鄰居:同一鏈路上的節點
鏈路MTU:鏈路能傳輸的最大單位,即最大的IPv6報文字節數
路徑MTU:IPv6源端和目的端之間能傳輸的最大的IPv6報文字節數,通常是路徑中所有鏈路的最小鏈路MTU
6、IPv6地址生成
IPv4:手工指定、dhcp分配
IPv6:手工指定、dhcp分配、自動生成
在IPv6裡,主流方案就是自動生成IP,而不是手工指定或dhcp分配。當然,作為服務端是需要手工指定的,但對於更廣闊的客戶端來說,基本都是自動生成。這種自動生成的,叫做“無狀態”,相對於“無狀態”,通過dhcp獲取到的固定IP,就叫做“有狀態”(dhcp也支持“無狀態”,這裡不做詳解)。
除了協議規定的特殊地址,其他可自行分配的地址,都是可以在具體範圍內自動生成的,包括鏈路本地、全球單播、唯一本地。其中全球單播、唯一本地,是在接收到路由器發送的RA包後自動生成,具體生成的是全球單播還是唯一本地,是根據RA包內容中的前綴而定。
IPv6推動安防階段性改革
在物聯網感知層中,攝像機採集的數據信息佔據世界物聯網數據約一半以上的存儲量。傳統視頻監控技術在智慧城市、公共安全等各行業已獲得廣泛的應用,而目前網絡視頻監控技術正在升級為“以視頻為核心的物聯信息服務”,即“視頻+”“視頻+多維感知”和“視頻+多維應用”,視頻監控網絡已成為目前應用廣泛、技術成熟的物聯網。
IPv6在地址空間的擴充對於智慧安防在視頻監控領域的設備連接上、雲服務平臺的管理上、以及視頻數據傳輸安全上都起到很好的管控作用。結合5G的不斷髮展,在數據傳輸速率與頻段上,也能起到良好的省時省力作用,IPv6為智慧安防帶來的雙效應值得引起關注。
因此,IPv6的發展與規模化推進落地,在互聯網產業上將是一次新的產業革命,同樣對於智慧安防領域也會是一場階段性改革。這場局,智慧安防不僅該迅速進場,更應該趁勢追擊,迅速拓展應用試點加速全面落地範圍。
安防廠商將面臨新安全挑戰
IPv6帶來的另一個優點,就是大幅提升的安全性。在IPv6的部署中,IPSec一度是標配,這意味著在IPv6地址之間傳輸數據往往是經由加密的,信息不再會被輕易劫持。在智慧城市勢如破竹的發展趨勢下,智能視頻監控、人臉識別、車牌識別等技術帶來的信息安全問題引發了大眾的高度關注,IPv6無疑將很大程度上滿足公眾對個人信息安全的要求。
不過,IPv6的安全性也不是高枕無憂。隨著IPv6的大規模推進部署,全球互聯網安全格局將發生重大變化。Pv6會面臨現有IPv4網絡下碎片化的攻擊,地址欺騙和泛洪等問題依然存在。專家表示,網絡安全威脅和新型網絡安全形勢嚴峻,IPv6將會成為主要的攻擊點。萬物互聯時代,安防廠商也將迎來新的要求和挑戰。