IPV6实际应用
YANGWW 概述
阅读本文前,请先通过https://www.sidoc.cn/article/1461.html了解IPV6的基础知识;
联通、移动、电信等运营商基本都支持IPV6,电信在某些区域可能需要申请IPV6权限;
国家要求从2022年末开始出厂的路由器必须支持IPV6,并默认开启;
市面上大部分路由器、光猫、网卡、操作系统更早就已支持IPV6,因此IPV6基础网络环境已完全具备。
基本概述
路由器或光猫可以统称为网络设备。网络设备访问公网时,可以配置IPV6的上网方式;常见的IPV6上网方式有两种:
Native模式(原生模式):该模式下网络运营商(ISP)直接提供原生IPv6连接,这意味着网络设备可以通过DHCPv6协议自动获取IPv6地址和其他网络配置信息;网络设备下的客户端设备可以直接使用获取到的IPv6地址进行网络通信,而无需进行地址转换。
NAT6模式(IPv6网络地址转换模式):该模式下网络设备会在本地网络中为客户端设备分配私有IPv6地址,并形成一个局域网;当局域网中的设备需要上网时,使用NAT进行转换(与IPV4的上网原理相同)。
客户端设备要想拥有自己的公网IPV6地址,则客户端设备所连接的网络设备必须是Native模式。当网络设备的IPV6上网方式为Native模式时,则该设备必须直接连接公网,即直接拨号,上级不能有其它NAT设备。如果路由器的IPV6上网方式为Native模式,且上级有光猫,则光猫必须设为桥接模式,然后由路由器进行拨号上网。将光猫设为桥接模式,是为了让光猫并入公网,然后将下级路由器暴露到公网上;因此,客户端设备要想拥有自己的IPV6公网地址,就需要上级网络设备使用拨号上网或其它方式直接连接到公网。
客户端IPV6地址
网络运营商(ISP)会给网络设备分配一个IPV6前缀;网络设备再为每一个接入的客户端设备生成一个后缀,然后通过DHCPv6将完整的IPV6地址分配给客户端设备,类似IPv4的DHCP。
通过 ipconfig 命令查看本机IPV6地址;通常会有至少3个IPV6地址,如下图:
第一个较短的IPV6地址是路由器通过DHCPv6自动分配的;
第二个较长的IPV6地址是SLAAC产生的地址,设备入网后自己产生的IPv6地址,通过算法保证不会冲突,这是一种新的地址分配方式,并不是所有客户端操作系统都支持。
第三个临时的IPV6地址是访问外网真正使用的地址,定时更换保护隐藏。网关防火墙默认只允许使用临时IPV6地址通过,客户端设备可以根据隐藏保护的需要生成任意数量的临时地址。
第四个本地链接IPV6地址是本机在内部局域网中的IPV6地址,一般是通过MAC地址生成,可以手动指定;因为所有的本地链接IPv6地址的前缀都是相同的,所以设备会不知道某个地址应当从哪个网卡访问,所以需要指定地址所在的网卡,百分号后就是网卡编号。
通过工具查看本机公网IPV6地址:https://ipw.cn/ipv6/
相关配置文档:https://ipw.cn/doc/
开启IPV6
客户端设备要想拥有自己的IPV6公网地址,就需要将客户端设备所连接的网络设备接入公网:
情况一:如果客户端设备所连接的网络设备是光猫,则只需设置光猫的IPV6上网模式为Native即可;
情况二:如果客户端设备所连接的网络设备是路由器,路由器上级还有光猫,则需要设置光猫为桥接模式;然后通过路由器进行拨号上网,并将路由器的IPV6上网模式设为Native。
详见:https://www.youtube.com/watch?v=dQ1AMXAiEJk&t=812s
相关配置文档:https://ipw.cn/doc/
规避常用端口
为了保护客户端设备安全,网络运营商(ISP)屏蔽了80、443等常用端口的入站访问;所以客户端设备在这些常见端口上搭建的服务可能在公网上无法访问。同时,向公网发布服务有政策风险,理论上在公网上发布的服务都需要进行备案。
Nginx配置IPV6
server {
listen [::]:10000; ## 监听IPV6地址
listen 10000;
server_name localhost;
...
}