อะไรคือความแตกต่างที่แน่นอนระหว่าง "คำนำหน้าเส้นทาง" และ "คำนำหน้าลิงก์" สำหรับ IPv6
ความแตกต่างเหล่านี้เป็นอย่างไรใน wireshark-Trace (ถ้าคุณสังเกตโฮสต์ด้วย "preed routed" หรือ Host ที่มี "prefix ลิงค์" ที่ได้รับมอบหมาย)
ความแตกต่างเหล่านี้ใน Neighbor Discovery Protocol เป็นอย่างไร (จากมุมมองของโฮสต์อื่น / ภายนอก)
พวกเขาทำงานร่วมกันคำนำหน้าทั้งสองประเภทหรือไม่
คำตอบ:
วิธีที่ง่ายที่สุดในการเข้าใจความแตกต่างระหว่างทั้งสองคือผ่านตัวอย่างที่แสดงลักษณะลำดับชั้นของคำนำหน้า
ลำดับชั้นตัวอย่าง
ผู้ให้บริการอินเทอร์เน็ตได้รับการจัดสรรคำนำหน้าจากRIR (Regional Internet Registry) 2001:db8::/32ซึ่งในตัวอย่างนี้เราจะถือว่าเป็น คำนำหน้านี้แตกต่างจากรหัสที่ส่งมอบให้กับลูกค้าในแง่ที่ว่า ISP จะต้องประกาศผ่าน BGP ไปยัง ISP อื่นที่ให้บริการด้วย
ISP กำลังจะจัดสรรคำนำหน้าให้กับลูกค้า ก่อนอื่นพวกเขา2001:db8:0:1::/64จะกำหนดให้กับลิงก์ที่เชื่อมต่อเราเตอร์ ISP กับเราเตอร์CPE (อุปกรณ์ลูกค้าในสถานที่) นี่คือคำนำหน้าลิงก์เนื่องจากถูกกำหนดให้กับลิงก์ ในฐานะที่เป็นข้อเสนอแนะทั่วไปคำนำหน้าการเชื่อมโยงใน IPv6 /64ที่ควรจะเป็น
เราเตอร์ ISP จะส่งโฆษณาเราเตอร์ประกาศคำนำหน้านี้และ CPE จะใช้ SLAAC ที่จะสร้างที่อยู่สำหรับชี้อินเตอร์เฟซภายนอกที่มีต่อเราเตอร์ ISP /64ภายใน สมมติว่าอินเทอร์เฟซภายนอกมีที่อยู่ IP 2001:db8:0:1:42:ff:fe00:42/64(ในสัญลักษณ์/64นี้รวมอยู่เพื่อเตือนเราว่าความยาวของคำนำหน้าลิงก์คืออะไร แต่ฉันทำได้เหมือนกัน)
คำนำหน้าลิงค์นี้เพียงพอสำหรับเราเตอร์ CPE ในการสื่อสารกับส่วนอื่น ๆ ของโลก แต่มันก็ไม่ได้ช่วยเราเตอร์ CPE เพื่อรองรับไคลเอนต์ใด ๆ บน LAN ที่เชื่อมต่อกับอินเตอร์เฟสภายในของมัน CPE เราเตอร์ต้องการคำนำหน้าสำหรับ LAN ซึ่งจะถูกส่งผ่านเราเตอร์ CPE นี้ด้วยเหตุนี้นี้เรียกว่าคำนำหน้าเส้นทาง
คำนำหน้าเส้นทางสามารถกำหนดค่าแบบคงที่หรือผ่าน DHCPv6 รายละเอียดที่แน่นอนของวิธีที่เราเตอร์ CPE เจรจาความยาวของคำนำหน้ากับเซิร์ฟเวอร์ DHCPv6 ที่ ISP ให้ไว้นั้นอยู่นอกขอบเขตของคำตอบนี้ การค้นหาการมอบหมายคำนำหน้าสามารถบอกคุณเพิ่มเติมเกี่ยวกับเรื่องนี้ 2001:db8:1::/48สมมติว่าปลายคำนำหน้าเส้นทางขึ้นเป็น เมื่อวันที่ ISP เราเตอร์รายการตารางเส้นทางจะถูกสร้างขึ้นแสดงให้เห็นว่าจะต้องมีการส่งผ่านประตู2001:db8:1::/48 2001:db8:0:1:42:ff:fe00:42รายการตารางเส้นทางนี้เป็นคุณสมบัติการกำหนดของคำนำหน้าเส้นทาง
CPE เราเตอร์อาจมี LAN ภายในหลายตัวจาก/48นั้นสามารถจัดสรร/64คำนำหน้าลิงก์ให้กับ LAN ภายในแต่ละเครื่อง หากเราถือว่าหนึ่งใน LAN ได้รับการกำหนดให้2001:db8:1:1::/64เป็นลิงก์นำหน้าโหนดในลิงค์นี้อาจได้รับที่อยู่2001:db8:1:1::42:ff:fe00:43ผ่าน SLAAC โหนดนั้นอาจเป็นเราเตอร์ไร้สายซึ่งต้องมีคำนำหน้าสำหรับอินเทอร์เฟซแบบไร้สาย CPE สามารถกำหนด2001:db8:1:100::/60เป็นคำนำหน้าเส้นทางสำหรับเราเตอร์ไร้สายและเราเตอร์ไร้สายสามารถกำหนดให้2001:db8:1:100::/64เป็นส่วนนำหน้าลิงก์สำหรับอินเตอร์เฟสไร้สาย
ตอนนี้ในการตั้งค่าสิ่งที่เรามีคือลำดับชั้นของคำนำหน้า ต่อไปนี้คือทั้งหมดซ้อนกันภายใต้:
2001:db8::/32 BGP ประกาศคำนำหน้า2001:db8:1::/48 คำนำหน้าเส้นทาง2001:db8:1:100::/60 คำนำหน้าเส้นทาง2001:db8:1:100::/64 คำนำหน้าลิงค์จัดการกับแพ็คเก็ตจริงอย่างไร
เมื่อเราเตอร์ ISP ได้รับแพ็คเก็ตสำหรับ2001:db8:0:1::/64ซึ่งเป็นคำนำหน้าการเชื่อมโยงจะดำเนินการค้นพบเพื่อนบ้านที่จะหาที่อยู่ MAC /64ของโฮสต์ภายใน
วิธีนี้เราเตอร์ ISP จะต้องมีรายการแคชเพื่อนบ้านแยกต่างหากสำหรับทุกที่อยู่ IP ภายในคำนำหน้าลิงก์
เมื่อเราเตอร์ ISP ได้รับแพ็คเก็ตสำหรับ2001:db8:1::/48ซึ่งเป็นคำนำหน้าเส้นทางจะดำเนินการค้นพบเพื่อนบ้านที่จะหาที่อยู่ MAC 2001:db8:0:1:42:ff:fe00:42ของประตู
วิธีนี้เราเตอร์ ISP ต้องการเพียงรายการ Neighbor Cache สำหรับเกตเวย์เพื่อกำหนดเส้นทางแพ็กเก็ตไปยังที่อยู่ IP ใด ๆ ภายในคำนำหน้าเส้นทาง คุณสมบัตินี้มีความสำคัญต่อความสามารถในการขยายอินเทอร์เน็ต
หลีกเลี่ยงคำนำหน้าที่ขาดเส้นทาง
บางครั้งลูกค้าพบว่าตัวเองติดอยู่กับ ISP ที่จะให้คำนำหน้าลิงก์และไม่มีคำนำหน้าเส้นทาง ในสถานการณ์ดังกล่าวลูกค้าสามารถติดตั้ง daemon ที่ตอบสนองต่อการค้นหาเพื่อนบ้านสำหรับที่อยู่ IP ทั้งหมดภายในช่วงย่อยเฉพาะของคำนำหน้าลิงก์ สิ่งนี้จะมีเอฟเฟกต์คล้ายกับการกำหนดค่าคำนำหน้านั้นเป็นคำนำหน้าเส้นทาง แต่มีข้อเสียหลายประการ:
/64แต่ daemon ที่ตอบสนองต่อคำขอค้นหาเพื่อนบ้านสามารถสร้างคำนำหน้า "เส้นทาง" ที่ยาวกว่า/64เท่านั้นค่าใช้จ่ายในการประมวลผลบนเราเตอร์ ISP อาจเป็นปัญหาที่สำคัญ เราเตอร์บางคนได้รับไม่ดีดังนั้นในการจัดการน้ำท่วมของแพ็คเก็ตที่ต้องค้นพบเพื่อนบ้านว่ามันกลายเป็นโจมตี DoS ที่เกิดขึ้นจริงและการใช้คำนำหน้าการเชื่อมโยงอีกต่อไป (ใน/120- 127ช่วง) ได้ถูกนำมาใช้เป็นวิธีแก้ปัญหาสำหรับการโจมตี DoS ดังกล่าว
แม้ว่าเราเตอร์จะไม่เสี่ยงต่อการโจมตี DoS หน่วยความจำที่จำเป็นสำหรับรายการแคชเพื่อนบ้านเมื่อใช้วิธีแก้ปัญหาตามที่อธิบายไว้ข้างต้นนั้นมีราคาแพงกว่าสำหรับ ISP มากกว่าที่อยู่ IP สำหรับคำนำหน้าเส้นทางที่กำหนดดังนั้นจึงมีเหตุผลเล็กน้อย สำหรับ ISP ที่จะปฏิเสธการส่งคำนำหน้าเส้นทาง
กรณีพิเศษเกี่ยวกับลิงก์แบบจุดต่อจุด
ลิงก์แบบจุดต่อจุด (เช่น 6in4 tunnels และ PPP links) ไม่จำเป็นต้องค้นหาเพื่อนบ้าน มีเพียงทิศทางเดียวในการส่งแพ็กเก็ตบนลิงก์ดังกล่าวและไม่จำเป็นต้องค้นหาที่อยู่ฮาร์ดแวร์ก่อนที่จะส่งแพ็กเก็ต
ซึ่งหมายความว่าค่าใช้จ่ายในการค้นพบเพื่อนบ้านไม่ได้เป็นปัญหาในลิงก์ดังกล่าว ดังนั้นการมีจุดปลายจุดเชื่อมโยงหนึ่งจุดจึงใช้ที่อยู่จำนวนมากไม่ใช่ปัญหาตราบใดที่จุดปลายมีข้อตกลงว่าใครใช้ที่อยู่ใด การขาดการค้นพบเพื่อนบ้านหมายความว่าไม่มีการตรวจจับที่อยู่ที่ซ้ำกันดังนั้นทั้งสองปลายทางควรลองใช้ที่อยู่เดียวกันซึ่งจะไม่ทำงานตามที่คาดไว้ (เว้นแต่ว่าคุณคาดหวังว่ามันจะทำงานเป็นที่อยู่ใด ๆ )
มีข้อแม้หนึ่งข้อที่ควรจดจำเกี่ยวกับการเชื่อมโยงแบบจุดต่อจุด ปลายทางแต่ละอันจะสมมติว่าที่อยู่ทั้งหมดในลิงก์ที่ไม่ได้กำหนดนั้นถูกกำหนดให้กับปลายทางอื่น ซึ่งหมายความว่าที่อยู่ที่ไม่ได้ใช้บนลิงก์แบบจุดต่อจุดมีแนวโน้มที่จะทริกเกอร์การวนรอบเส้นทาง (และกรณีอื่น ๆ ของการกำหนดเส้นทางลูป) สามารถหลีกเลี่ยงได้โดยจุดปลายไม่เคยส่งแพ็กเก็ตกลับไปยังโหนดที่ได้รับโดยตรง ดังนั้นแพ็กเก็ตที่ได้รับจากลิงก์จุดต่อจุดจะต้องไม่ถูกส่งกลับไปยังจุดเชื่อมโยงแบบจุดต่อจุดเดียวกันตราบใดที่หนึ่งปลายทางได้รับสิทธิ์นี้เส้นทางการวนรอบจะใช้งานไม่ได้ ในฐานะที่เป็นโหนดด้านข้างบนอีเธอร์เน็ตมันถูกต้องที่จะรับแพ็คเก็ตและส่งต่อมันกลับไปยังลิงค์เดียวกัน แต่มันเป็นความคิดที่ดีที่จะหลีกเลี่ยงถ้ามันจะถูกส่งต่อกลับไปยังที่อยู่ MAC เดียวกัน
เนื่องจากที่อยู่ส่วนใหญ่บนลิงก์แบบจุดต่อจุดจะถูกส่งต่อไปที่ปลายอีกด้านหนึ่งของลิงค์โดยไม่จำเป็นต้องหาการค้นพบจากเพื่อนบ้านเลยมันดูคล้ายกับคำนำหน้าที่กำหนดเส้นทาง ตัวอย่างเช่นถ้า ISP กำหนด 2001: db8: 42 :: / 64 ให้กับลิงก์แบบจุดต่อจุดโดยที่ปลายทางถูกกำหนดที่อยู่ 2001: db8: 42 :: 1 และ 2001: db8: 42 :: 2 จากนั้นแพ็กเก็ตไปยังที่อยู่ส่วนใหญ่ ในปี 2001: db8: 42 :: / 64 จะถูกส่งต่อจาก ISP ไปยังลูกค้าด้วยวิธีเดียวกับที่พวกเขาทำหากนี่เป็นคำนำหน้าเส้นทางโดยใช้ 2001: db8: 42 :: 2 เป็นเกตเวย์
ซึ่งหมายความว่าสามารถแฮ็กข้อมูลได้ ใน CPE เป็นไปได้ที่จะกำหนดค่า 2001: db8: 42 :: / 64 จริง ๆ เป็นคำนำหน้าลิงก์บน LAN เพื่อให้ CPE ทราบว่าทั้งสองลิงก์เชื่อมโยงปลายทางใดอยู่การกำหนดค่าจริงบนจุดต่อจุดเชื่อมโยงไปยัง ISP จะต้องเปลี่ยนเป็น 2001: db8: 42 :: / 126 ทั้งหมดนี้จะทำงานด้วยข้อยกเว้นเล็กน้อยหนึ่งโฮสต์บน LAN ไม่สามารถสื่อสารกับสี่ที่อยู่ IP ในปี 2001: db8: 42 :: / 126 เนื่องจากพวกเขาอาจไม่จำเป็นต้องสื่อสารกับสิ่งเหล่านี้อยู่ดีนี่เป็นปัญหาใหญ่ อย่างไรก็ตามไม่แนะนำให้ใช้แฮ็คนี้การกำหนดค่าที่เหมาะสมคือการขอคำนำหน้าเส้นทางจาก ISP
การแฮ็กเพื่อบันทึกที่อยู่อีกอย่างหนึ่งคือการจัดสรรที่อยู่ส่วนกลางสำหรับคำนำหน้าเส้นทางและใช้ที่อยู่ RFC 4193 สำหรับการเชื่อมโยงแบบจุดต่อจุด อย่างไรก็ตามนี่เป็นแฮ็คที่โง่เพราะมันยังแนะนำข้อบกพร่องบางอย่างเพื่อแก้ไขปัญหาที่ไม่มีอยู่จริง
นอกจากนี้ยังเป็นไปได้ที่จะไม่กำหนดคำนำหน้าใด ๆ ให้กับลิงก์แบบจุดต่อจุด ตราบใดที่ปลายทางแต่ละจุดมีอินเทอร์เฟซอื่นซึ่งมีที่อยู่ส่วนกลางพวกเขาสามารถใช้ที่อยู่ที่กำหนดให้กับอินเทอร์เฟซอื่นเมื่อทำการสื่อสารบนลิงก์แบบจุดต่อจุด ฉันไม่ทราบถึงข้อเสียใด ๆ จากวิธีการนี้ดังนั้นหากคุณพบว่าวิธีการเชื่อมโยงแบบจุดต่อจุดทำให้การกำหนดค่าเครือข่ายของคุณง่ายต่อการใช้งาน แต่ไม่ได้ใช้เป็นมาตรการในการบันทึกที่อยู่
ใช้กรณีสำหรับคำนำหน้าเส้นทาง
ตัวอย่างที่มีรายละเอียดเพิ่มเติมของประเด็นสุดท้ายจะเป็นตัวเรียกคืน DNS เนื่องจากฉันไม่เห็นว่า DNSSEC ได้รับแรงฉุดมากมายจนกระทั่งหลังจากที่เราต่อสู้กับ IPv4 เสร็จแล้วจึงจำเป็นต้องมีมาตรการอื่น ๆ สำหรับการวางยาพิษ DNS ความพยายามได้ถูกนำไปใช้ในการรับข่าวสารมากที่สุดเท่าที่จะทำได้ ID และหมายเลขพอร์ตสามารถเก็บได้สูงสุด 32 บิตของเอนโทรปีส่วนอีกสองสามบิตสามารถเก็บไว้ในคำขอได้หากตัวพิมพ์ใหญ่และตัวพิมพ์เล็กผสมกันในชื่อโดเมนที่จะแก้ไข คุณจะไม่ค่อยได้รับรวมมากกว่า 48 บิตด้วยวิธีนี้ การกำหนดตัวเรียก/64ใช้ DNS แบบเต็มจะทำให้เอนโทรปีเพิ่มขึ้น 64 บิตในครั้งเดียวซึ่งมากกว่าความพยายามอื่น ๆ ทั้งหมดที่รวมเข้าด้วยกัน
/48ผลลัพธ์ในแพ็คเก็ตการชักชวนเพื่อนบ้านสำหรับ IP ปลายทางมันจะฟังดูคล้ายกับว่าผู้ให้บริการกำหนดค่า/48เป็นคำนำหน้าลิงก์ การกำหนดค่า/48เป็นคำนำหน้าลิงก์ไม่ใช่การกำหนดค่าที่แนะนำ แต่ฉันเคยได้ยินผู้ให้บริการทำเช่นนั้น ถ้ามันเป็นคำนำหน้าเส้นทางแล้วโดยไม่คำนึงถึงที่อยู่ IP ภายใน/48แพ็คเก็ตที่มีการกำหนดเป้าหมายการชักชวนเพื่อนบ้านที่คุณจะเห็นจะเป็นที่อยู่ IP เดียวกันในแต่ละครั้ง และเมื่อคุณตอบกลับแล้วคุณจะไม่เห็นการเรี่ยไรเพื่อนบ้าน
คำนำหน้าลิงก์จะใช้ระหว่างเราเตอร์และ ISP ของคุณ
คำนำหน้าเส้นทางถูกใช้ภายในเครือข่ายของคุณ
หากคุณได้รับคำนำหน้า / 64 เส้นทางจาก ISP ของคุณคุณก็แค่ให้เราเตอร์โฆษณาคำนำหน้านั้นบน LAN ของคุณ หากคุณมีคำนำหน้าเล็กกว่า / 64 (อาจเป็น / 48?) คุณควรพิจารณาวิธีการ subnet คำนำหน้านั้นในทางตรรกะที่จะใช้เราเตอร์ของคุณในองค์กรของคุณ
ใน Wireshark ขึ้นอยู่กับตำแหน่งที่คุณจับแพ็คเก็ตคุณอาจเห็นเฉพาะคำนำหน้าที่กำหนดเส้นทางที่ใช้ (หากคุณจับภาพบน LAN) หรือคุณอาจเห็นคำนำหน้าทั้งสองที่ใช้ (หากคุณจับภาพบน WAN)
สำหรับ Neighbor Discovery Protocol นั้นก็ขึ้นอยู่กับลิงค์ด้วย ในการเชื่อมโยงระหว่าง ISP และเราเตอร์ของคุณ NDP จะใช้เพื่อค้นหาที่อยู่ MAC ของอินเตอร์เฟส WAN ของเราเตอร์ของคุณและที่อยู่ MAC ของเราเตอร์อัปสตรีมของ ISP ของคุณ บนอินเตอร์เฟส LAN ของคุณ NDP จะใช้เพื่อค้นหาที่อยู่ MAC ของโฮสต์ในส่วน LAN ของคุณ
หวังว่านี่จะช่วยได้
If you received a /64 from your ISP, then you would simply have your router advertise that prefix on your LANอาจจะมีแนวโน้มที่จะเข้าใจผิดน้อยลงหากคุณระบุไว้อย่างชัดเจนว่า/64อ้างถึงคำนำหน้าเส้นทาง
คำนำหน้าเป็นคำนำหน้าที่ส่งหากแพ็กเก็ตไปยังคำนำหน้านั้นต้องผ่านเราเตอร์เพื่อไปยังปลายทาง คำนำหน้าคือคำนำหน้าลิงค์หากอยู่ในส่วนที่เชื่อมต่อกับเครือข่ายท้องถิ่น
ในฐานะที่เป็นแพ็คเก็ตที่เดินทางข้ามอินเทอร์เน็ต / 64 มันเป็นเป้าหมายที่จะเป็นคำนำหน้าเส้นทางจนกว่าคุณจะถึงปฮอปสุดท้าย จากนั้นจะเป็นคำนำหน้าลิงก์
คำนำหน้าเส้นทางมักจะรวม หลายคน / 64 สามารถรวมกันเป็นคำนำหน้าสั้น ๆ เดียวเพื่อให้ตารางเส้นทางมีขนาดเล็กลง ในขอบเขตระหว่างผู้ให้บริการอินเทอร์เน็ตเป็นเรื่องปกติที่จะมีการบังคับใช้คำนำหน้าความยาวสูงสุดที่ / 48
หากคำนำหน้าเป็นอะไรตั้งแต่ / 0 ถึง / 63 คุณมักจะคิดว่ามันเป็นคำนำหน้าเส้นทาง หากคำนำหน้าคือ / 64 คุณต้องการข้อมูลเพิ่มเติมเพื่อทราบว่ามันเป็นเส้นทางหรือคำนำหน้าลิงก์