标签: ipv6

这是一个关于 IPv6 子网划分的规范问题。

有关的：

• IPv4 子网划分是如何工作的？

我对IPv4 Subnetting了解很多，当我准备（部署|工作）IPv6 网络时，我需要知道这些知识中有多少是可以转移的，以及我还需要学习什么。乍一看，IPv6 似乎比 IPv4 复杂得多。所以我想知道：

• IPv6 是 128 位，为什么 /64 是主机推荐的最小子网？与此相关：
  • 为什么建议使用 /127 用于路由器之间的点对点链接，为什么过去不建议使用？我应该更改现有的路由器链接以使用 /127 吗？
  • 为什么要为虚拟机提供少于 /64 的地址？
  • 在其他情况下我会使用小于 /64 的子网吗？
• 我可以直接从 IPv4 子网映射到 IPv6 子网吗？例如，IPv4 /24 是否直接对应于 IPv6 /56 或 /120？
• 我的接口有几个 IPv6 地址。它们的子网必须相同吗？
• 为什么我有时会在 IPv6 地址中看到 % 而不是 /，这是什么意思？
• 我是否浪费了太多子网？我们不是要再次耗尽吗？
• IPv6 子网划分与 IPv4 子网划分还有哪些其他主要方式？

这是一个关于 IPv6 和 NAT的规范问题

有关的：

• IPv6 子网划分是如何工作的，它与 IPv4 子网划分有何不同？
• 我如何“涉足”动态 IPv6 网络寻址？
• 没有 nat 的 IPv6 但如果更改 isp 呢？

所以我们的 ISP 最近设置了 IPv6，我一直在研究过渡应该包括什么，然后再加入竞争。

我注意到三个非常重要的问题：

1. 我们办公室的 NAT 路由器（旧的 Linksys BEFSR41）不支持 IPv6。也没有任何更新的路由器，AFAICT。我正在阅读的有关 IPv6 的书告诉我，无论如何它都使 NAT 变得“不必要”。

2. 如果我们应该摆脱这个路由器并将所有东西直接插入互联网，我开始恐慌。我绝对不可能把我们的账单数据库（有很多信用卡信息！）放在互联网上供大家查看。即使我提议在其上设置 Windows 的防火墙，只允许 6 个地址对其进行任何访问，我仍然会冒出一身冷汗。我不信任 Windows、Windows 的防火墙或足够大的网络，甚至无法远程适应。

3. 有一些旧的硬件设备（即打印机）完全没有 IPv6 功能。并且可能是一长串可追溯到 1998 年左右的安全问题。而且可能无法以任何方式实际修补它们。并且没有新打印机的资金。

我听说 IPv6 和 IPSEC 应该以某种方式使这一切变得安全，但是如果没有使这些设备对 Internet 不可见的物理隔离网络，我真的不知道如何做到。我同样可以真正看到我创建的任何防御将如何在短时间内被超越。我多年来一直在 Internet 上运行服务器，我非常熟悉保护这些服务器所必需的东西，但是在网络上放置一些私有的东西（例如我们的计费数据库）一直是完全不可能的。

如果我们没有物理上独立的网络，我应该用什么来替换 NAT？

URL 始终具有以下格式：

<protocol>://<host>[:<port>]/[<path>][#<hash>]

问题是 IPv6 使用冒号，就像端口和主机的分隔符一样，例如：

2001:db8:1f70::999:de8:7648:6e8

但是，如果这是主机，并且我想通过端口 100 上的 HTTP 连接到它呢？

http://2001:db8:1f70::999:de8:7648:6e8:100/

问题是最后一个冒号。由于用双冒号（在 1f70 和 999 之间）省略了零，因此不知道 ':100' 属于 IP 还是端口号。我们怎么知道这个？

我看过各种配置示例，用于在 nginx 上处理双栈 IPv4 和 IPv6 虚拟主机。许多人建议这种模式：

listen 80;
listen [::]:80 ipv6only=on;

据我所知，这与以下内容完全相同：

listen [::]:80 ipv6only=off;

为什么要使用前者？我能想到的唯一原因是您是否需要特定于每个协议的其他参数，例如，如果您只想deferred在 IPv4上设置。

当然，我意识到有必要在开放的互联网上使用 IPv6，因为我们的地址用完了，但我真的不明白为什么有必要在内部网络上使用它。我在 IPv6 上做了零，所以我也想知道：现代防火墙不会在内部 IPv4 地址和外部 IPv6 地址之间进行 NAT 吗？

我只是想知道，因为我在这里看到这么多人在为 IPv6 问题而苦苦挣扎，不知道为什么要麻烦？

当我运行 netstat 时，有一些条目，例如 TCP [::]:8010 computername LISTENING

这意味着什么？搜索是不可能的...

在描述 IPv4 网络时，我可以使用0.0.0.0/0或 仅0/0指定所有网络。IPv6 的等效符号是什么？

IPv4 可以广播。为什么 IPv6 不能这样做？

我有一个 nginx 服务器，为近六个不同的网站提供服务。它运行在刚刚获得 IPv6 本机支持（达拉斯数据中心）的 Linode 上，我正在尝试将我的大部分站点配置为双栈操作。我使用 IPv6-only 子域启动并运行了第一个，如下所示：

server {
    listen [::]:80 ipv6only=on;
    listen 80;

    server_name example.com ipv6.example.com;

    root /var/www/example.com/htdocs;

    #More stuff, including PHP, WordPress
}

这很有效——example.com 仅支持 IPv4（目前），而 ipv6.example.com 仅支持 IPv6（主要用于测试目的）。我可以ping6 ipv6.example.com，甚至wget ipv6.example.com没有流汗 - 这一切都令人愉快地无痛（在通过 nginx 绑定虚拟主机的方式找到“问题”之后，需要ipv6only=on参数和双重listen指令）。

但是，我现在正在尝试扩展它以支持我的其他域，从 static.example.com 开始；但是，当我采用与上述相同的方法时（双重listen指令，包括ipv6only=on参数），在重新启动 nginx 时出现以下错误：

* Starting Nginx Server...
nginx: [emerg] a duplicate listen options for [::]:80 in /etc/nginx/sites-enabled/example.com.conf:3

似乎 nginx 绑定 IPv6 的方法不允许基于名称的虚拟主机？我是否必须从我的主机获取额外的 IPv6 地址（不是问题）并在 IPv6 上使用基于 IP …

我的 Web 服务器（Ubuntu、Nginx）具有主机分配的 IPv4 和 IPv6 地址。对于我的网站，我是否应该仅将其绑定到 IPv6 地址？这是标准推荐的方式吗？或者，我应该同时使用 IPv4 和 IPv6 地址吗？