Thursday, December 12, 2019

華碩路由器開啟IPv6

天津聯通和天津移動都已經提供IPv6網絡服務。但天津聯通的IPv6不是默認能用的,需要簡單設置一下。

光貓的設置

天津聯通的光貓設置:網絡–>寬帶設置–>選擇*_INTERNET_R_VID_*–>協議模式:IPv4 & IPv6–>勾選獲取前綴,保存即可。

天津移動的光貓設置:無需設置。

路由器設置

以華碩路由器為例:高級設置–>IPv6–>聯機類型–>passthrough–>應用本頁面設置

現在可以測試你的電腦配置IPv6是否成功,如果通過測試,就可以正常訪問IPv6網站。

天津聯通IPv4 DNS服務器
202.99.96.68
202.99.104.68

天津聯通IPv6 DNS服務器
2408:8888::8
2408:8899::8

天津移動IPv4 DNS服務器
211.137.160.5
211.137.160.185

天津移動IPv6 DNS服務器
2409:8002:2000::1
2409:8002:2000::11

引用網上的資料說一下IPv6鏈路方式。

1、NATIVE
這個是需要運營商(ISP)支持的,目前天津聯通還不支持,這種方式允許路由器下級的客戶端與撥號服務器直接通信並獲取原生IPv6地址,如果在支持的ISP下,選擇路由器上的NATIVE就可以了,NATIVE下可以配置無狀態配置IPv6或者靜態IPv6或者DHCP分配IPv6。

2、黑科技PASSTHROUGH/RELAY
運營商不支持NATIVE,但是我又想得到全球可達的外網IPv6地址怎麼辦,這就需要黑科技Passthrough了。在這個模式下,路由器成為你的下一跳,與NAT的區別是,路由器只會轉發數據包,並不會修改源地址,而且因為IPv6的relay協議(多了很多設備間通信協商的功能)和在這種分配模式下,前四部份確定的整個IPv6網段就是你的了,所以你的IPv6地址就是全球可達的。

在這種模式下,你可以使用客戶端無狀態自動生成的IPv6地址,也可以停用本機接受RA廣播並使用自己配置的地址,比如撥號獲取了2001:db8:3c4d:1:的前綴,你可以把設備配置成2001:db8:3c4d:1::2並且可以通信。但是一定要關閉RA廣播防止設備通過DHCP來獲取地址,與IPv4不同,在IPv6協議中,網卡可以同時有多個IPv6地址,並且DHCP獲取地址的優先級高於靜態地址。路由器配置也着重講這個方法。

這種方法在原生IPv6(Native IPv6)+自動分配IPv6地址的網絡環境下(很多高校的校園網都具備),可以使局域網中的每個節點都申請到一個IPv6地址。也就是說,路由器只對IPv4地址起NAT作用,對IPv6地址來說只相當於交換機。

3、NAT66
這種方式就是像在IPv4模式下一樣,路由器替換源地址,並且分配給你的是內網的IPv6地址,也就是前綴第一部分在2000-3FFF之外的地址,比如極路由的PPPOEv6模式,就是4006開頭的IPv6地址。很多人仍然認為NAT66獲取的全球不可達地址比PASSTHROUGH獲取的全球可達地址安全,個人認為這是不全面的。
(1)、現在駭客技術的發達,內網防禦有用,但是用處不大。
(2)、IPv4外網可達地址不安全是由於IPv4地址少,能夠在可接受的時限內實現全網暴力掃描來攻擊,但是對於IPv6巨大的地址池來說,目前來看,全網爬蟲的精細掃描已經是扯淡了。
(3)、PASSTHROUGH仍然可以通過ip6tables的filter表的FORWARD規則來過濾。
(4)、長遠來看全球可達地址對於遊戲、PT下載等需要外網可達地址才能發揮高性能的程序有巨大意義。

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.