Grundlegendes zu IPv4- und IPv6-Protokollfamilien
IPv4-Adressen sind 32-Bit-Zahlen, die in der Regel in Dezimalschreibweise mit Punkten angezeigt werden und aus zwei Hauptteilen bestehen: dem Netzwerkpräfix und der Hostnummer. In den folgenden Themen wird Folgendes beschrieben:
-
IPv4-Classful-Adressierung
-
IPv4-Classful-Adressierung
-
IPv4-Dezimalschreibweise mit Punkten
-
IPv4-Subnetting
-
IPv4 VLSM
-
IPv6 verstehen
-
IPv6-Adresstypen und Verwendung der Adresstypen in Junos OS Firewalls der RX-Serie
-
Konfiguration der IPv6-Protokollfamilie
Grundlegendes zur IPv4-Adressierung
IPv4-Adressen sind 32-Bit-Zahlen, die in der Regel in Dezimalschreibweise mit Punkten angezeigt werden. Eine 32-Bit-Adresse besteht aus zwei Hauptteilen: dem Netzwerkpräfix und der Hostnummer.
Alle Hosts in einem einzigen Netzwerk haben dieselbe Netzwerkadresse. Jeder Host hat außerdem eine Adresse, die ihn eindeutig identifiziert. Je nach Umfang des Netzwerks und Gerätetyp ist die Adresse entweder global oder lokal eindeutig. Geräte, die für Benutzer außerhalb des Netzwerks sichtbar sind (z. B. Webserver), müssen über eine weltweit eindeutige IP-Adresse verfügen. Geräte, die nur innerhalb des Netzwerks sichtbar sind, müssen über lokal eindeutige IP-Adressen verfügen.
IP-Adressen werden von einer zentralen Nummerierungsstelle vergeben, die als Internet Assigned Numbers Authority (IANA) bezeichnet wird. IANA stellt sicher, dass Adressen bei Bedarf global eindeutig sind, und verfügt über einen großen Adressraum, der für die Verwendung durch Geräte reserviert ist, die außerhalb ihrer eigenen Netzwerke nicht sichtbar sind.
Dieses Thema enthält die folgenden Abschnitte:
- IPv4-Classful-Adressierung
- IPv4-Dezimalschreibweise mit Punkten
- IPv4-Subnetting
- IPv4-Subnetzmasken variabler Länge
IPv4-Classful-Adressierung
Um Flexibilität bei der Anzahl der Adressen zu bieten, die auf Netzwerke unterschiedlicher Größe verteilt werden, wurden IP-Adressen mit 4 Oktetten (32 Bit) ursprünglich in drei verschiedene Kategorien unterteilt: Klasse A, Klasse B und Klasse C. Jede Adressklasse gibt eine unterschiedliche Anzahl von Bits für ihr Netzwerkpräfix und ihre Hostnummer an:
Adressen der Klasse A verwenden nur das erste Byte (Oktett), um das Netzwerkpräfix anzugeben, und es bleiben 3 Byte zur Definition einzelner Hostnummern übrig.
Adressen der Klasse B verwenden die ersten 2 Byte, um das Netzwerkpräfix anzugeben, und es bleiben 2 Byte zum Definieren von Hostadressen übrig.
Klasse-C-Adressen verwenden die ersten 3 Byte, um das Netzwerkpräfix anzugeben, und nur das letzte Byte zur Identifizierung von Hosts übrig.
Im Binärformat, bei dem ein x für jedes Bit in der Hostnummer steht, können die drei Adressklassen wie folgt dargestellt werden:
00000000 xxxxxxxx xxxxxxxx xxxxxxxx (Class A) 00000000 00000000 xxxxxxxx xxxxxxxx (Class B) 00000000 00000000 00000000 xxxxxxxx (Class C)
Da jedes Bit (x) in einer Hostnummer einen Wert von 0 oder 1 haben kann, stellt jedes Bit eine Potenz von 2 dar. Wenn z.B. nur 3 Bit für die Angabe der Hostnummer zur Verfügung stehen, sind nur die folgenden Hostnummern möglich:
111 110 101 100 011 010 001 000
In jeder IP-Adressklasse gibt die Anzahl der Hostnummernbits hoch 2 an, wie viele Hostnummern für ein bestimmtes Netzwerkpräfix erstellt werden können. Adressen der Klasse A haben 224 (oder 16.777.216) mögliche Hostnummern, Adressen der Klasse B haben 216 (oder 65.536) Hostnummern und Adressen der Klasse C haben 28 (oder 256) mögliche Hostnummern.
IPv4-Dezimalschreibweise mit Punkten
Die 32-Bit-IPv4-Adressen werden am häufigsten in Dezimalschreibweise mit Punkten ausgedrückt, wobei jedes Oktett (oder Byte) als separate Zahl behandelt wird. Innerhalb eines Oktetts steht das Bit ganz rechts für 20 (oder 1) und steigt nach links an, bis das erste Bit im Oktett 27 (oder 128) ist. Im Folgenden finden Sie IP-Adressen im Binärformat und ihre Dezimalstellen mit Punkten:
11010000 01100010 11000000 10101010 = 208.98.192.170 01110110 00001111 11110000 01010101 = 118.15.240.85 00110011 11001100 00111100 00111011 = 51.204.60.59
IPv4-Subnetting
Aufgrund der räumlichen und architektonischen Beschränkungen hinsichtlich der Größe von Netzwerken müssen Sie große Netzwerke häufig in kleinere Teilnetze aufteilen. Innerhalb eines solchen Subnetznetzwerks benötigt jede Schnittstelle eine eigene Netzwerknummer und eine eigene identifizierende Subnetzadresse.
Die IP-Routing-Welt hat sich auf Classless Inter-Domain Routing (CIDR) verlagert. Wie der Name schon sagt, verzichtet CIDR auf Adressklassen und überträgt einfach ein Netzwerkpräfix zusammen mit einer Maske. Die Maske gibt an, welche Bits in der Adresse das Netzwerk (das Präfix) identifizieren. In diesem Dokument wird das Subnetting im traditionellen Kontext von Classful-IP-Adressen erläutert.
Abbildung 1 zeigt ein Netzwerk, das aus drei Teilnetzen besteht.
Abbildung 1 zeigt: drei Geräte, die mit dem Alpha-Subnetz auf der linken Seite verbunden sind, drei Geräte, die mit dem Beta-Subnetz auf der rechten Seite verbunden sind, und ein drittes Subnetz namens Gamma, das das linke und rechte Subnetz über eine WAN-Verbindung miteinander verbindet. Zusammen sind die sechs Geräte und drei Subnetze in dem größeren Klasse-B-Netzwerkpräfix enthalten. In diesem Beispiel wird der Organisation das Netzwerkpräfix 172.16/16zugewiesen, bei dem es sich um eine Adresse der Klasse B handelt. Jedem Subnetz wird eine IP-Adresse zugewiesen, die in dieses Netzwerkpräfix der Klasse B fällt.
Zusätzlich zur gemeinsamen Nutzung des Klasse-B-Netzwerkpräfixes (der ersten beiden Oktette) teilt sich jedes Subnetz das dritte Oktett. Da wir eine /24-Netzwerkmaske in Verbindung mit einer Adresse der Klasse B verwenden, identifiziert das dritte Oktett das Subnetz. Alle Geräte in einem Subnetz müssen die gleiche Subnetzadresse haben. In diesem Fall hat das Alpha-Subnetz die IP-Adresse 172.16.1.0/24, das Beta-Subnetz die IP-Adresse 172.16.2.0/24und das Gamma-Subnetz ist zugewiesen 172.16.10.10/24.
Am Beispiel eines dieser Subnetze wird die Adresse 172.16.2.0/24 des Beta-Subnetzes in binärer Schreibweise wie folgt dargestellt:
10101100 . 00010000 . 00000010 . xxxxxxxx
Da die ersten 24 Bits in der 32-Bit-Adresse das Subnetz identifizieren, können die letzten 8 Bits den Hosts in jedem Subnetz Anhänge zuweisen. Um auf ein Subnetz zu verweisen, wird die Adresse als 172.16.10.0/24 (oder nur 172.16.10/24) geschrieben. Die /24 gibt die Länge der Subnetzmaske an (manchmal auch als geschrieben als 255.255.255.0). Diese Netzwerkmaske gibt an, dass die ersten 24 Bit das Netzwerk und das Teilnetz identifizieren, während die letzten 8 Bit die Hosts im jeweiligen Teilnetz identifizieren.
IPv4-Subnetzmasken variabler Länge
Traditionell wurden Subnetze nach Adressklassen unterteilt. Subnetze hatten entweder 8, 16 oder 24 signifikante Bits, was 224, 216 oder 28 möglichen Hosts entsprach. Infolgedessen musste ein ganzes /16-Subnetz für ein Netzwerk zugewiesen werden, das nur 400 Adressen benötigte, was 65.136 (216 – 400 = 65.136) Adressen verschwendete.
Um Adressräume effizienter zuzuweisen, wurden Subnetzmasken variabler Länge (VLSMs) eingeführt. Mithilfe von VLSM können Netzwerkarchitekten die Anzahl der Adressen, die für ein bestimmtes Subnetz erforderlich sind, genauer zuweisen.
Angenommen, ein Netzwerk mit dem Präfix 192.14.17/24 ist in zwei kleinere Subnetze unterteilt, von denen eines aus 18 Geräten und das andere aus 46 Geräten besteht.
Um 18 Geräte unterzubringen, muss das erste Subnetz 25 (32) Hostnummern haben. Wenn der Hostnummer 5 Bits zugewiesen sind, bleiben 27 Bits der 32-Bit-Adresse für das Subnetz übrig. Die IP-Adresse des ersten Subnetzes ist also 192.14.17.128/27, oder die folgende in binärer Schreibweise:
11000000 . 00001110 . 00010001 . 100xxxxx
Die Subnetzmaske enthält 27 signifikante Ziffern.
Um das zweite Subnetz mit 46 Geräten zu erstellen, muss das Netzwerk 26 (64) Hostnummern aufnehmen. Die IP-Adresse des zweiten Subnetzes ist 192.14.17.64/26, oder
11000000 . 00001110 . 00010001 . 01xxxxxx
Durch das Zuweisen von Adressbits innerhalb der größeren /24 Subnetzmaske erstellen Sie zwei kleinere Subnetze, die den zugewiesenen Adressraum effizienter nutzen.
Grundlegendes zu IPv6-Adressraum, Adressierung, Adressformat und Adresstypen
- Grundlegendes zu IP-Version 6 (IPv6)
- Grundlegendes zu IPv6-Adresstypen und deren Verwendung durch Junos OS für Services Gateways der SRX-Serie
- IPv6-Adressbereich
- IPv6-Adressstruktur
- Grundlegendes zu IPv6-Adressraum, Adressierung und Adresstypen
- IPv6-Adressformat verstehen
Grundlegendes zu IP-Version 6 (IPv6)
Das anhaltend expansive Wachstum des Internets und die Notwendigkeit, IP-Adressen bereitzustellen, um dies zu unterstützen – um eine wachsende Anzahl neuer Benutzer, Computernetzwerke, internetfähige Geräte sowie neue und verbesserte Anwendungen für die Zusammenarbeit und Kommunikation zu unterstützen – lässt die aufkommende Verwendung eines neuen IP-Protokolls eskalieren. IPv6 wurde mit seiner robusten Architektur entwickelt, um diese aktuellen und erwarteten zukünftigen Anforderungen zu erfüllen.
IP-Version 4 (IPv4) wird heute weltweit für das Internet, Intranets und private Netzwerke verwendet. IPv6 baut auf der Funktionalität und Struktur von IPv4 auf folgender Weise auf:
Bietet einen vereinfachten und verbesserten Paket-Header für ein effizienteres Routing.
Verbessert die Unterstützung für Mobiltelefone und andere mobile Computergeräte.
Erzwingt erhöhte, obligatorische Datensicherheit durch IPsec (das ursprünglich dafür entwickelt wurde).
Bietet umfassendere QoS-Unterstützung (Quality of Service).
IPv6-Adressen bestehen aus 128 Bit statt aus 32 Bit und enthalten ein Bereichsfeld, das den für die Adresse geeigneten Anwendungstyp angibt. IPv6 unterstützt keine Broadcast-Adressen, sondern verwendet Multicast-Adressen für Broadcasts. Darüber hinaus definiert IPv6 einen neuen Adresstyp, der als Anycast bezeichnet wird.
Grundlegendes zu IPv6-Adresstypen und deren Verwendung durch Junos OS für Services Gateways der SRX-Serie
IP-Version 6 (IPv6) umfasst die folgenden Adresstypen:
Unicast
Eine Unicastadresse gibt eine Kennung für eine einzelne Schnittstelle an, an die Pakete übermittelt werden. Bei IPv6 ist der überwiegende Teil des Internetdatenverkehrs als Unicast vorgesehen, und aus diesem Grund ist der größte zugewiesene Block des IPv6-Adressraums für die Unicastadressierung reserviert. Unicastadressen umfassen alle Adressen außer Loopback, Multicast, Link-Local-Unicast und Unspecified.
Für Firewalls der SRX-Serie unterstützt das Datenflussmodul die folgenden Arten von IPv6-Unicast-Paketen:
Pass-Through-Unicast-Datenverkehr, einschließlich Datenverkehr von und zu virtuellen Routern. Das Gerät überträgt Pass-Through-Datenverkehr gemäß seiner Routing-Tabelle.
Eingehender Host-Datenverkehr von und zu Geräten, die direkt mit Schnittstellen der SRX-Serie verbunden sind. Eingehender Host-Datenverkehr umfasst beispielsweise Protokollierungs-, Routing-, Protokoll- und Verwaltungsdatenverkehrstypen. Das Datenflussmodul sendet diese Unicastpakete an die Routing-Engine und empfängt sie von ihr. Der Datenverkehr wird von der Routing-Engine anstelle vom Datenflussmodul verarbeitet, basierend auf Routing-Protokollen, die für die Routing-Engine definiert sind.
Das Datenstrommodul unterstützt alle Routing- und Verwaltungsprotokolle, die auf der Routing-Engine ausgeführt werden. Einige Beispiele sind OSPFv3, RIPng, TELNET und SSH.
Multicast
Eine Multicast-Adresse gibt einen Bezeichner für eine Reihe von Schnittstellen an, die in der Regel zu verschiedenen Knoten gehören. Er wird durch den Wert 0xFF identifiziert. IPv6-Multicastadressen unterscheiden sich von Unicastadressen durch den Wert des höherwertigen Oktetts der Adressen.
Die Geräte unterstützen nur Host-eingehenden und ausgehenden Multicast-Datenverkehr. Der eingehende Hostdatenverkehr umfasst Protokollierung, Routing-Protokolle, Verwaltungsdatenverkehr usw.
Anycast
Eine Anycastadresse gibt einen Bezeichner für eine Reihe von Schnittstellen an, die in der Regel zu verschiedenen Knoten gehören. Ein Paket mit einer Anycast-Adresse wird gemäß den Regeln des Routing-Protokolls an den nächstgelegenen Knoten übermittelt.
Es gibt keinen Unterschied zwischen Anycastadressen und Unicastadressen, mit Ausnahme der Subnetz-Router-Adresse. Für eine Anycast-Subnetz-Router-Adresse sind die Bits niedriger Ordnung, in der Regel 64 oder mehr, Null. Anycastadressen werden aus dem Unicastadressraum entnommen.
Das Datenflussmodul behandelt Anycast-Pakete auf die gleiche Weise wie Unicast-Pakete. Wenn ein Anycastpaket für das Gerät bestimmt ist, wird es als eingehender Datenverkehr des Hosts behandelt und an den Protokollstapel weitergeleitet, der es weiter verarbeitet.
IPv6-Adressbereich
Unicast- und Multicast-IPv6-Adressen unterstützen das Scoping von Adressen, wodurch die für die Adresse geeignete Anwendung identifiziert wird.
Unicastadressen unterstützen den globalen Adressbereich und zwei Arten des lokalen Adressbereichs:
Link-lokale Unicastadressen: Wird nur auf einer einzelnen Netzwerkverbindung verwendet. Die ersten 10 Bits des Präfixes identifizieren die Adresse als verbindungslokale Adresse. Link-lokale Adressen können außerhalb des Links nicht verwendet werden.
Standortlokale Unicastadressen: Werden nur an einem Standort oder im Intranet verwendet. Ein Standort besteht aus mehreren Netzwerkverbindungen. Standortlokale Adressen identifizieren Knoten innerhalb des Intranets und können nicht außerhalb des Standorts verwendet werden.
Multicastadressen unterstützen 16 verschiedene Arten von Adressbereichen, einschließlich Knoten-, Link-, Standort-, Organisations- und globaler Adressbereich. Ein 4-Bit-Feld im Präfix gibt den Adressbereich an.
IPv6-Adressstruktur
Unicastadressen identifizieren eine einzelne Schnittstelle. Jede Unicastadresse besteht aus n Bits für das Präfix und 128 Bits n für die Schnittstellen-ID.
Multicastadressen identifizieren eine Reihe von Schnittstellen. Jede Multicast-Adresse besteht aus den ersten 8 Bits aller Einsen, einem 4-Bit-Flags-Feld, einem 4-Bit-Bereichsfeld und einer 112-Bit-Gruppen-ID:
11111111 | flgs | scop | group ID
Das erste Oktett von 1s identifiziert die Adresse als Multicast-Adresse. Das Feld flags gibt an, ob es sich bei der Multicast-Adresse um eine bekannte Adresse oder eine vorübergehende Multicast-Adresse handelt. Das Feld scope gibt den Bereich der Multicast-Adresse an. Die 112-Bit-Gruppen-ID identifiziert die Multicastgruppe.
Ähnlich wie Multicastadressen identifizieren Anycastadressen eine Reihe von Schnittstellen. Pakete werden jedoch nur an eine der Schnittstellen gesendet, nicht an alle Schnittstellen. Anycastadressen werden aus dem normalen Unicastadressraum zugewiesen und können vom Format her nicht von einer Unicastadresse unterschieden werden. Daher muss jedes Mitglied einer Anycastgruppe so konfiguriert werden, dass bestimmte Adressen als Anycastadressen erkannt werden.
Grundlegendes zu IPv6-Adressraum, Adressierung und Adresstypen
Die Adressierung ist der Bereich, in dem die meisten Unterschiede zwischen IP-Version 4 (IPv4) und IPv6 bestehen, aber die Änderungen betreffen hauptsächlich die Art und Weise, wie Adressen implementiert und verwendet werden. IPv6 verfügt über einen wesentlich größeren Adressraum als der bald erschöpfte IPv4-Adressraum. IPv6 erhöht die Größe der IP-Adresse von den 32 Bit, aus denen sich eine IPv4-Adresse zusammensetzt, auf 128 Bit. Jedes zusätzliche Bit, das einer Adresse zugewiesen wird, verdoppelt die Größe des Adressraums.
IPv4 wurde mithilfe von Techniken wie Network Address Translation (NAT) erweitert, die es ermöglichen, Bereiche privater Adressen durch eine einzige öffentliche Adresse darzustellen, sowie eine temporäre Adresszuweisung. Diese Techniken sind zwar nützlich, entsprechen aber nicht den Anforderungen neuartiger Anwendungen und Umgebungen, wie z. B. neue drahtlose Technologien, Always-on-Umgebungen und internetbasierte Verbrauchergeräte.
Neben dem vergrößerten Adressraum unterscheiden sich IPv6-Adressen von IPv4-Adressen in folgenden Punkten:
Enthält ein Bereichsfeld, das den Typ der Anwendung identifiziert, auf die sich die Adresse bezieht
Unterstützt keine Broadcast-Adressen, sondern verwendet Multicast-Adressen zum Broadcasten eines Pakets
Definiert einen neuen Adresstyp, der als Anycast bezeichnet wird
IPv6-Adressformat verstehen
Alle IPv6-Adressen sind 128 Bit lang und in 8 Abschnitten zu je 16 Bit geschrieben. Sie werden in hexadezimaler Darstellung ausgedrückt, so dass die Abschnitte von 0 bis FFFF reichen. Abschnitte werden durch Doppelpunkte getrennt, und führende Nullen in jedem Abschnitt können weggelassen werden. Wenn zwei oder mehr aufeinander folgende Abschnitte alle Nullen haben, können sie zu einem doppelten Doppelpunkt reduziert werden.
IPv6-Adressen bestehen aus 8 Gruppen von 16-Bit-Hexadezimalwerten, die durch Kommata (:)) getrennt sind. IPv6-Adressen haben das folgende Format:
aaaa:aaaa:aaaa:aaaa:aaaa:aaaa:aaaa:aaaa
Jeder aaaa Wert ist ein 16-Bit-Hexadezimalwert und jeder a ist ein 4-Bit-Hexadezimalwert. Im Folgenden finden Sie ein Beispiel für eine IPv6-Adresse:
3FFE:0000:0000:0001:0200:F8FF:FE75:50DF
Sie können die führenden Nullen jeder 16-Bit-Gruppe wie folgt weglassen:
3FFE:0:0:1:200:F8FF:FE75:50DF
Sie können 16-Bit-Gruppen von Nullen in Doppeldoppelpunkte (::) komprimieren, wie im folgenden Beispiel gezeigt, aber nur einmal pro Adresse:
3FFE::1:200:F8FF:FE75:50DF
Ein IPv6-Adresspräfix ist eine Kombination aus einem IPv6-Präfix (Adresse) und einer Präfixlänge. Das Präfix hat die Form ipv6-prefix/prefix-length und stellt einen Adressraumblock (oder ein Netzwerk) dar. Die ipv6-prefix Variable folgt den allgemeinen IPv6-Adressierungsregeln. Die prefix-length Variable ist ein Dezimalwert, der die Anzahl der zusammenhängenden, höherwertigen Bits der Adresse angibt, aus denen der Netzwerkteil der Adresse besteht. Beispielsweise ist 10FA:6604:8136:6502::/64 ein mögliches IPv6-Präfix mit komprimierten Nullen. Das Standortpräfix der IPv6-Adresse 10FA:6604:8136:6502::/64 ist in den 64 Bit ganz links enthalten, 10FA:6604:8136:6502.
Weitere Informationen zur Textdarstellung von IPv6-Adressen und Adresspräfixen finden Sie unter RFC 4291, IP Version 6 Addressing Architecture.
Begrenzungen
Für SRX300-, SRX320-, SRX340-, SRX345-, SRX380- und SRX550HM Geräte gelten die folgenden Einschränkungen:
Änderungen am Quell-AS und am Ziel-AS werden nicht sofort in exportierten Flows widergespiegelt.
IPv6-Datenverkehr, der über einen IPv4-basierten IP-over-IP-Tunnel geleitet wird (z. B. IPv6-over-IPv4 mit IP-X/X/X-Schnittstelle) wird nicht unterstützt.
Siehe auch
Konfigurieren der IPv6-Protokollfamilie inet6
In Konfigurationsbefehlen wird die Protokollfamilie für IPv6 als inet6benannt. In der Konfigurationshierarchie sind Instanzen von inet6 parallel zu Instanzen von inet, der Protokollfamilie für IPv4. Im Allgemeinen konfigurieren inet6 Sie Einstellungen und geben IPv6-Adressen parallel zu inet Einstellungen und IPv4-Adressen an.
Bei Firewalls der SRX-Serie wird bei der Konfiguration identischer IPs auf einer einzigen Schnittstelle keine Warnmeldung angezeigt. Stattdessen wird eine Syslog-Meldung angezeigt.
Das folgende Beispiel zeigt die CLI-Befehle, die Sie verwenden, um eine IPv6-Adresse für eine Schnittstelle zu konfigurieren:
[edit]
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.100.37.178/24;
}
}
}
[edit]
user@host# set interfaces ge-0/0/0 unit 0 family ?
Possible completions:
+ apply-groups Groups from which to inherit configuration data
+ apply-groups-except Don't inherit configuration data from these groups
> ccc Circuit cross-connect parameters
> ethernet-switching Ethernet switching parameters
> inet IPv4 parameters
> inet6 IPv6 protocol parameters
> iso OSI ISO protocol parameters
> mpls MPLS protocol parameters
> tcc Translational cross-connect parameters
> vpls Virtual private LAN service parameters
[edit]
user@host# set interfaces ge-0/0/0 unit 0 family inet6 address 8d8d:8d01::1/64
user@host# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.100.37.178/24;
}
family inet6 {
address 8d8d:8d01::1/64;
}
}
}