Tuesday, September 17, 2019

华硕路由器开启IPv6

天津联通和天津移动都已经提供IPv6网络服务。但天津联通的IPv6不是默认能用的,需要简单设置一下。

光猫的设置

天津联通的光猫设置:网络–>宽带设置–>选择*_INTERNET_R_VID_*–>协议模式:IPv4 & IPv6–>勾选获取前缀,保存即可。

天津移动的光猫设置:无需设置。

路由器设置

以华硕路由器为例:高级设置–>IPv6–>联机类型–>passthrough–>应用本页面设置

现在可以测试你的电脑配置IPv6是否成功,如果通过测试,就可以正常访问IPv6网站。

天津联通IPv4 DNS服务器
202.99.96.68
202.99.104.68

天津联通IPv6 DNS服务器
2408:8888::8
2408:8899::8

天津移动IPv4 DNS服务器
211.137.160.5
211.137.160.185

天津移动IPv6 DNS服务器
2409:8002:2000::1
2409:8002:2000::11

引用网上的资料说一下IPv6链路方式。

1、NATIVE
这个是需要运营商(ISP)支持的,目前天津联通还不支持,这种方式允许路由器下级的客户端与拨号服务器直接通信并获取原生IPv6地址,如果在支持的ISP下,选择路由器上的NATIVE就可以了,NATIVE下可以配置无状态配置IPv6或者静态IPv6或者DHCP分配IPv6。

2、黑科技PASSTHROUGH/RELAY
运营商不支持NATIVE,但是我又想得到全球可达的外网IPv6地址怎么办,这就需要黑科技Passthrough了。在这个模式下,路由器成为你的下一跳,与NAT的区别是,路由器只会转发数据包,并不会修改源地址,而且因为IPv6的relay协议(多了很多设备间通信协商的功能)和在这种分配模式下,前四部份确定的整个IPv6网段就是你的了,所以你的IPv6地址就是全球可达的。

在这种模式下,你可以使用客户端无状态自动生成的IPv6地址,也可以停用本机接受RA广播并使用自己配置的地址,比如拨号获取了2001:db8:3c4d:1:的前缀,你可以把设备配置成2001:db8:3c4d:1::2并且可以通信。但是一定要关闭RA广播防止设备通过DHCP来获取地址,与IPv4不同,在IPv6协议中,网卡可以同时有多个IPv6地址,并且DHCP获取地址的优先级高于静态地址。路由器配置也着重讲这个方法。

这种方法在原生IPv6(Native IPv6)+自动分配IPv6地址的网络环境下(很多高校的校园网都具备),可以使局域网中的每个节点都申请到一个IPv6地址。也就是说,路由器只对IPv4地址起NAT作用,对IPv6地址来说只相当于交换机。

3、NAT66
这种方式就是像在IPv4模式下一样,路由器替换源地址,并且分配给你的是内网的IPv6地址,也就是前缀第一部分在2000-3FFF之外的地址,比如极路由的PPPOEv6模式,就是4006开头的IPv6地址。很多人仍然认为NAT66获取的全球不可达地址比PASSTHROUGH获取的全球可达地址安全,个人认为这是不全面的。
(1)、现在骇客技术的发达,内网防御有用,但是用处不大。
(2)、IPv4外网可达地址不安全是由于IPv4地址少,能够在可接受的时限内实现全网暴力扫描来攻击,但是对于IPv6巨大的地址池来说,目前来看,全网爬虫的精细扫描已经是扯淡了。
(3)、PASSTHROUGH仍然可以通过ip6tables的filter表的FORWARD规则来过滤。
(4)、长远来看全球可达地址对于游戏、PT下载等需要外网可达地址才能发挥高性能的程序有巨大意义。

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.