IPv6/Adressierung
topic - Beschreibung
IPv6 Adressen
Eigenschaften von IPv6-Adressen
$ ip -6 a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000 inet6 ::1/128 scope host noprefixroute valid_lft forever preferred_lft forever 2: enp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000 inet6 2001:470:6d:b25:8ad:9fd5:a987:ae27/64 scope global dynamic noprefixroute valid_lft 86281sec preferred_lft 14281sec inet6 fe80::2aa1:d9b5:c8a6:bcbb/64 scope link noprefixroute valid_lft forever preferred_lft forever
| Eigenschaft | Beschreibung |
|---|---|
| Länge | 128 Bit
128 Bit sind in dezimaler Darstellung schlecht lesbar
|
| IPv6-Adressen sind wie in IPv4 Netzwerk-Interfaces zugewiesen | Ein Interface hat in der Regel mehrere IPv6-Adressen |
| Scope | IPv6-Adressen haben beschränkten Gültigkeitsbereich
|
| lifetime | IPv6-Adressen haben begrenzte Lebensdauer
|
| Unicast, Multicast und Anycast | Spezifikation verschiedener Unicast, Multicast und Anycast Adressen
|
| Mehreren IP-Adressen | Netzwerkschnittstellen können unter mehreren IP-Adressen erreichbar sein
|
| Interface-Identifier | Ein Interface-Identifier kann damit Teil mehrerer IPv6-Adressen sein
|
Zu unterstützende Adressen
- IPv6 Adressen, die IPv6 Geräte mindestens unterstützen müssen
| Device | Adressen |
|---|---|
| Host |
|
| Router |
|
Interface Identifier
IPv6 Interface Identifier
Beschreibung
Aufbau und Erzeugung
- Interface Identifier
Link Layer Adresse (OSI-Modell Schicht 2)
- 64 Bit
- MAC-Adresse der Schnittstelle
Dazu wird das 64 Bit lange, genormte IEEE EUI-64 Adressformat in einer leicht abgeänderten Form verwendet
- Durch Invertierung des u-Bits wird die Konfiguration von Hand erleichtert
- Kanonische Sichtweise
ISO/OSI-Modell Schicht 2
| 0–7 | 8–15 | 16–23 | 24–31 | 32–39 | 40–47 | 48–55 | 56–63 |
|---|---|---|---|---|---|---|---|
| cccc ccUG | cccc cccc | cccc cccc | xxxx xxxx | xxxx xxxx | xxxx xxxx | xxxx xxxx | xxxx xxxx |
| Kennzeichnung | Beschreibung |
|---|---|
| U | 1: universal - weltweit eindeutige Adresse 0: local - lokal eindeutige Adresse |
| G | 1: group - Gruppen-/Multicast-Adresse 0: individual - Einzel-Adresse |
| c | Interface-Hersteller |
| x | Adressbit |
Abbildungsvorschriften
| Quelle | Ziel |
|---|---|
| EUI-64 | IPv6-Interface ID Adresse (64 Bit) |
| MAC-Adresse (48 Bit) | IPv6-Interface ID Adresse (64 Bit) |
EUI-64
- IEEE EUI-64 Adresse (64 Bit) => IPv6-Interface ID Adresse (64 Bit)
- EUI-64 Adresse wird übernommen
- Das U-Bit wird invertiert
| Adresse | 0–7 | 8–15 | 16–23 | 24–31 | 32–39 | 40–47 | 48–55 | 56–63 |
|---|---|---|---|---|---|---|---|---|
| IEEE EUI-64 Adresse (64 Bit) | cccc cc0G | cccc cccc | cccc cccc | xxxx xxxx | xxxx xxxx | xxxx xxxx | xxxx xxxx | xxxx xxxx |
| IPv6-Interface ID Adresse (64 Bit) | cccc cc1G | cccc cccc | cccc cccc | xxxx xxxx | xxxx xxxx | xxxx xxxx | xxxx xxxx | xxxx xxxx |
- Beispiel
| Option | Beschreibung |
|---|---|
| IEEE EUI-64 Adresse (64 Bit) | 7834:1234:ABCD:5678 |
| IPv6-Interface ID Adresse (64 Bit) | 7A34:1234:ABCD:5678 |
MAC-Adresse
- IEEE 802.3 MAC-Adresse (48 Bit) => IPv6-Interface ID Adresse (64 Bit)
- RFC 2464
Bei der Abbildung der 48 Bit langen IEEE 802.3 auf die 64 Bit langen IPv6-Interface ID Adresse, führt der Weg über die Abbildung auf eine IEEE EUI-64 Adresse RFC/2464
| Option | Beschreibung |
|---|---|
| 1 | Dazu werden die ersten drei Oktette der IEEE 802.3 MAC-Adresse (OUI = Organizational Unique Identfier) in die IEEE EUI-64 Adresse übernommen |
| 2 | In das vierte und das fünfte Oktett wird die Zahlen FF16 und FE16 eingefügt |
| 3 | Die letzten 3 Oktette der IEEE 802.3 MAC-Adresse werden zu den letzten drei Oktetten der IEEE EUI-64 Adresse. Zusätzlich wird auch das u-Bit invertiert |
| Adresse | 0–7 | 8–15 | 16–23 | 24–31 | 32–39 | 40–47 |
|---|---|---|---|---|---|---|
| MAC-Adresse (48 Bit) | cccc ccUG | cccc cccc | cccc cccc | xxxx xxxx | xxxx xxxx | xxxx xxxx |
| Adresse | 0–7 | 8–15 | 16–23 | 24–31 | 32–39 | 40–47 | ||
|---|---|---|---|---|---|---|---|---|
| MAC-Adresse (48 Bit) | cccc ccUG | cccc cccc | cccc cccc | xxxx xxxx | xxxx xxxx | xxxx xxxx |
| Adresse | 0–7 | 8–15 | 16–23 | 24–31 | 32–39 | 40–47 | 48–55 | 56–63 |
|---|---|---|---|---|---|---|---|---|
| IPv6-Interface ID Adresse (64 Bit) | cccc cc0G | cccc cccc | cccc cccc | 1111 1111 | 1111 1110 | xxxx xxxx | xxxx xxxx | xxxx xxxx |
| IPv6-Interface ID Adresse (64 Bit) | cccc cc0G | cccc cccc | cccc cccc | F F | F E | xxxx xxxx | xxxx xxxx | xxxx xxxx |
| IPv6-Interface ID Adresse (64 Bit) | cccc cc1G | cccc cccc | cccc cccc | F F | F E | xxxx xxxx | xxxx xxxx | xxxx xxxx |
Beispiel
- IEEE 802.3 MAC-Adresse (64 Bit) => IPv6-Interface ID Adresse (64 Bit)
| Option | Beschreibung |
|---|---|
| IEEE 802.3 MAC-Adresse (48Bit) | 3007:8912:3456 |
| IPv6-Interface ID Adresse (64 Bit) | 3207:89FF:FE12:345 |
- EUI-64 (64-Bit Extended Unique Identifier)
Vom IEEE standardisiertes MAC-Adressformat zur Identifikation von Netzwerkgeräten
- Eine EUI-64 Adresse ist 64 Bit lang und setzt sich aus zwei Teilen zusammen
Die ersten 24, 28 oder 36 Bit identifizieren den Hardwarehersteller
- siehe OUI
- Die restlichen Bit dienen der Geräteidentifikation
- Eine Variante davon ist das sogenannte modifizierte EUI-64 Adressformat welches bei IPv6 zum Einsatz kommt
- Dieses unterscheidet sich darin, dass der Wert des siebten Bits (von links) einer EUI-64 Adresse, auch Universal/Local Bit genannt, invertiert wird
Adressraum
IPv6/Adressraum - Aufteilung des Adressraums
IPv6-Adressraum
- Adressraum teilt sich in große Blöcke
- die weiter unterteilt sein können
- Alle Adressen unterhalb der hierarchischen Adressebene eines Blockes weisen einen identischen Präfix auf
- Dadurch wird das Routing entschieden vereinfacht
- Router können einen großen Teil der Entscheidungen schon anhand des Präfix treffen
- IPv4-Adressen
- Können mit dem Präfix 0 in den IP6-Raum eingeblendet werden
- Durch die neue Struktur stehen viele neuer Adressen und neue Adressierungsarten zur Verfügung
Übersicht
| 3 | 5 | n Bit | 56–n | Intranet Subcriber Bereich 64 Bit (z. B. 16+48) | |||||
|---|---|---|---|---|---|---|---|---|---|
| 010 | Provider‑ID | Subsciber‑ID | Subnet‑ID | Interface‑ID | |||||
| 80 Bit | 16 Bit | 32 Bit |
|---|---|---|
| 0* | 0* bis 1* | IPv4‑Adresse |
| 10 Bit | n Bit | 118-n Bit | |||||
|---|---|---|---|---|---|---|---|
| 1111 1101 10 | 0* | Interface‑ID | |||||
| 10 Bit | n Bit | m Bit | 118-n-m Bit |
|---|---|---|---|
| 1111 11101 11 | 0* | Subnet‑ID | Interface‑ID |
| 8 Bit | 4 Bit | 4 Bit | 112 Bit |
|---|---|---|---|
| 1111 1111 | Flags | SCOP | Group-ID |
| 4 Bit | |||
| 0 | 0 | 0 | T |
- T.
- 0 - dauerhaft
- 1 - temporär
Präfixe
- Präfixe geben den Netzwerkteil der Adresse an
- Sie werden in CIDR - Notation angegeben
- Alle übrigen Bit können verwendet werden zur
- Unterteilung in Subnetze
- Adressierung von Nodes
- Das Präfix /128 bezeichnet einen einzelnen Node
Übersicht
| Präfix | Verwendung |
|---|---|
| 0000 0000 | Reserviert und IPv4 |
| 0000 0001 | Nicht zugewiesen |
| 0000 0010 | OSI-NSAP-Adressen |
| 0000 010 | Netware IPX-Adressen |
| 0000 011 | Nicht zugewiesen |
| 0000 1 | Nicht zugewiesen |
| 1 | Nicht zugewiesen |
| 1 | Nicht zugewiesen |
| 10 | Adressen für Service Provider |
| 11 | Nicht zugewiesen |
| 100 | Adressen für geographische Bereiche |
| 101 | Nicht zugewiesen |
| 110 | Nicht zugewiesen |
| 1110 | Nicht zugewiesen |
| 1111 10 | Nicht zugewiesen |
| 1111 110 | Nicht zugewiesen |
| 1111 1110 | Nicht zugewiesen |
| 1111 1110 0 | Nicht zugewiesen |
| 1111 1110 10 | verbindungsspezifische lokale Adressen |
| 1111 1110 11 | Standortspezifische lokale Adressen |
| 1111 1111 | Multicast |
Netzsegmente
- Typische Präfix-Längen
| 10 Bit | n Bit | 118-n Bit | |||||
|---|---|---|---|---|---|---|---|
| 1111 1101 10 | 0* | Interface‑ID | |||||
- Netzsegmenten werden 64 Bit lange Präfixe zugewiesen
- Bildet mit dem Interface-Identifier die Adresse
- Interface-Identifier
- kann aus der MAC-Adresse der Netzwerkkarte erstellt oder
- anders eindeutig zugewiesen werden
- das genaue Verfahren ist in RFC 4291, Anhang A beschrieben
Beispiel
- Hat ein Netzwerkgerät die IPv6-Adresse
-
- 2001:0db8:85a3:08d3:1319:8a2e:0370:7347/64
so lautet das Präfix
- 2001:0db8:85a3:08d3::/64
und der Interface-Identifier
- 1319:8a2e:0370:7347
- Provider bekam von der RIR etwa das Netz
-
- 2001:0db8::/32
zugewiesen
- Endkunde vom Provider gegebenenfalls das Netz
-
- 2001:0db8:85a3::/48
oder nur
- 2001:0db8:85a3:0800::/56
Adressierungsarten
| Adressierungsart | Beschreibung | Darstellung |
|---|---|---|
| Unicast |
|
|
| Multicast |
|
|
| Anycast |
|
|
| Broadcast |
|
|
Gültigkeitsbereiche
- Address Scopes (Gültigkeitsbereiche)
- Es gibt verschiedene IPv6-Adressbereiche mit Sonderaufgaben und unterschiedliche Eigenschaften
- Diese werden meist schon durch die ersten Bit der Adresse signalisiert
- Sofern nicht weiter angegeben, werden die Bereiche in RFC 4291 bzw. RFC 5156 definiert
- Scopes
| Scope | Beschreibung |
|---|---|
| interface/host | Verlässt nie den Host |
| link-local | Verlässt nie das lokale Subnetz |
| global | Geht um die ganze Welt |
- Address Scopes sind nicht mit Multicast Scopes zu verwechseln
Zugeordnete Adressbereiche
Der Rest hat momentan noch keine Verwendung
| Verwendung | Präfix | Präfix (binär) | % Anteil |
|---|---|---|---|
| reserved | 0::/8 | 0000 0000 | 0,4% |
| Loopback | 0::0:1 | ||
| IPv4 compatible (für IPv4 -> IPv6 Transition) | ::0102:0304 | ||
| IPv4 mapped (für IPv4 -> IPv6 Transition) | FFFF:0102:0304 | ||
| ISO Network addresses | 200::/7 | 0000 001 | 0,8% |
| Novell Network addresses | 400::/7 | 0000 010 | 0,8% |
| Aggregatable global unicast addresses | 2000::/3 | 001 | 12,5% |
| ehem. Geographic based unicast adresses | 8000::/3 | 100 | |
| Link local address | FE80::/10 | 1111 1110 10 | 0,1% |
| Site local address | FECO0::/10 | 1111 1110 11 | 0,1% |
| Multicast address | FF00::/8 | 11111111 | 0,4% |
| Summe gesamt | 15,1 % |
Besondere Adressen
| Adresse | Beschreibung | Verwendung | |
|---|---|---|---|
| Keine Adresse | ::/128 | 128 0-Bit |
|
| Loopback-Adresse | ::1/128 | 127 0-Bit ein 1-Bit |
|
Privacy-Extensions
IPv6 Privacy Extensions - RFC 4941
Beschreibung
- Privacy Extensions nach RFC 4941
Erzeugung des Interface-Identifiers
- Die Erzeugung des Interface-Identifiers aus der global eindeutigen MAC-Adresse ermöglicht die Nachverfolgung von Benutzern
- Privacy-Extensions (PEX, RFC 4941)
- hebt die permanente Kopplung der Benutzeridentität an die IPv6-Adressen auf
- Zufällig generiert und regelmäßig gewechselt
- Indem der Interface-Identifier zufällig generiert wird und regelmäßig wechselt, soll ein Teil der Anonymität von IPv4 wiederhergestellt werden
- Täglich wechselndes Präfix wünschenswert
- Im Privatbereich lässt das Präfix allein recht sicher auf einen Nutzer schließen
- Daher ist aus Datenschutzgründen ein vom Provider dynamisch zugewiesenes Präfix wünschenswert
- in Verbindung mit den Privacy Extensions
- z. B. täglich wechselnd
- Whois-Datenbank
- Statische Adresszuteilung erfordern meist ein Eintrag in der öffentlichen Whois-Datenbank
- In Deutschland hat der Deutsche IPv6-Rat Datenschutzleitlinien formuliert, die auch eine dynamische Zuweisung von IPv6-Präfixen vorsehen
Stateless Address Autoconfiguration (SLAAC)
Nutzt auf einigen Betriebssystemen per Vorgabe die Hardware-Adresse der Netzwerkschnittstelle
- Solche Adressen sind im Internet leicht wiederzuerkennen
- Abhilfe schaffen die Privacy Extensions
- die zusätzliche, über Zufallszahlen generierte und wechselnde IPv6-Adressen erzeugen
- Stateless Address Autoconfiguration
- schiebt in der Mitte der nur 48 Bit langen MAC-Adresse zusätzlich die Bytes ff:fe ein
- erzeugt daraus den Local Identifier, also die hinteren 64 Bit einer IPv6-Adresse
- Die ersten 64 Bit gehören dem Netzwerk-Präfix, das der IPv6-Router im Netzwerk bekannt gibt und das der Rechner in die globale IPv6-Adresse übernimmt.
Betriebsysteme
- Linux
leiten ohne Eingriff ihre globale IPv6-Adresse aus der Hardware abdamit offenbaren sie Informationen über den Benutzer
- Windows
erzeugt immer eine temporäre IPv6-Adressedie dem Nutzer mehr Privatheit verschafft
- Den IPv6-Entwicklern fiel schnell auf dass dieses Verfahren die Privatsphäre von Rechner und Nutzer gefährdet
- Solche statischen IPv6-Adressen wirken wie eine eindeutige Hardware-ID, die der Rechner bei jedem Kontakt zu einem IPv6-tauglichen Server überträgt.
- Brisant ist das bei Geräten wie Tablets oder Smartphones, denn sie werden in der Regel nur von einer Person genutzt.
- Die für jeden Serverbetreiber und Netzbeobachter zugängliche MAC-Adresse erlaubt es damit, diese Person wiederzuerkennen.
- Privacy Extensions for Stateless Address Autoconfiguration in IPv6
- Daher definierten sie nachträglich das Verfahren "Privacy Extensions for Stateless Address Autoconfiguration in IPv6" (RFC 4941)
- mit dem sich zusätzlich zu diesen statischen Adressen temporäre erzeugen lassen
- die der Rechner für seine Anfragen ins IPv6-Internet einsetzt
- Der Host Identifier dieser Adressen wird über Zufallszahlen ermittelt
- Allerdings setzen längst nicht alle aktuellen Betriebssysteme diese Erweiterung ab Werk ein
- Derzeit hat einzig Windows die Privacy Extensions eingeschaltet
- Andere wie Mac OS und Linux beherrschen das Verfahren
- man muss es aber per Hand aktivieren
Windows
IPv6/Privacy Extension/Windows
Linux
Android
IPv6/Privacy Extension/Android
Mac OS X
IPv6/Privacy Extension/Mac OS X
iPhone und iPad (IOS)
Anhang
Siehe auch
- IPv6
- IPv6/Adress-Aufloesung
- IPv6/Adress/Typen
- IPv6/Adresse/Eigenschaften
- IPv6/Adresse/Konfiguration
- IPv6/Adresse/Notation
- IPv6/Adressierung
- IPv6/Adressraum
- IPv6/BIND
- IPv6/DHCP
- IPv6/Default Router List
- IPv6/Dienste
- IPv6/Eigenschaften
- IPv6/Entwicklung
- IPv6/Fehlersuche
- IPv6/Firewall
- IPv6/Fragmentierung
- IPv6/Funktionen
- IPv6/Glossar
- IPv6/Header
- IPv6/Header/Extension
- IPv6/Header/tmp
- IPv6/Host
- IPv6/Host/Interface Identifier
- IPv6/Host/Link Layer Multicast
- IPv6/Host/Linux
- IPv6/Host/Multicast
- IPv6/Host/Neighbor Cache
- IPv6/Host/Neighbor Cache/TMP
- IPv6/Host/Windows
- IPv6/ICMP
- IPv6/ICMPv6/Fuktionen
- IPv6/IPv4-in-IPv6
- IPv6/IPv6-in-IPv4
- IPv6/Implementierungen
- IPv6/Interface/Identifier
- IPv6/Interface/Konfiguration
- IPv6/Konfiguration
- IPv6/Konfiguration normaler IPv6-Routen
- IPv6/Link
- IPv6/Link/Multicast
- IPv6/Link/Namensauflösung
- IPv6/Link/Präfix
- IPv6/Migration
- IPv6/MobileIP
- IPv6/Motivation
- IPv6/Multicast Address
- IPv6/Multicast Scopes
- IPv6/Multihoming
- IPv6/Neighbor/Advertisement
- IPv6/Neighbor/Cache/Linux
- IPv6/Neighbor/Cache/Windows
- IPv6/Neighbor/Solicitation
- IPv6/Neighbor Discovery Protocol
- IPv6/Parallelbetrieb
- IPv6/Prefix List
- IPv6/Priorisierung
- IPv6/Privacy/Android
- IPv6/Privacy/IOS
- IPv6/Privacy/Linux
- IPv6/Privacy/Mac OS X
- IPv6/Privacy/Windows
- IPv6/Privacy Extension
- IPv6/QoS
- IPv6/Router
- IPv6/Router/Advertisement
- IPv6/Router/Advertisement/Daemon
- IPv6/Router/Solicitation
- IPv6/SLAAC
- IPv6/SLAAC/TMP
- IPv6/Sicherheit
- IPv6/Statische Adressen
- IPv6/Subnetting
- IPv6/System-Check
- IPv6/Tunnel
- IPv6/Upper Layer Protokolle
- IPv6/Verschlüsselung und Authentifizierung
- IPv6/Windows
- IPv6/Windows/Allgemein
- IPv6/Windows/DHCP mit IPv6
- IPv6/Windows/Grundkonfiguration
- IPv6/Windows/IPv6-Labor
- IPv6/Windows/IPv6Support
- IPv6/Windows/IPv6 Subnetz
- IPv6/Windows/IPv6 unter Windows
- IPv6/Windows/Netsh-Befehle
- IPv6/Windows/Router Advertisements
- IPv6/Windows/Teredo
- IPv6/WindowsIPv6ImWindowsNetz
- IPv6/proc
- IPv6/tmp
- IPv6/tmp1
- IPv6 Over IPv4