Полное руководство по IPv6: всё, что нужно знать
Освойте IPv6 от основ до продвинутого развертывания. Всеобъемлющее руководство по адресации, конфигурации, безопасности, миграции и лучшим практикам.
Интернет работает на адресах. 4,3 миллиарда адресов IPv4 казались бесконечными в 1981 году. К 2011 году они закончились. IPv6 решает эту проблему с 340 ундециллионами адресов — достаточно, чтобы каждая песчинка на Земле имела миллиарды адресов. Но IPv6 — это не только бóльшие числа. Это более чистый и быстрый протокол, разработанный для современного Интернета.
Это ваше полное руководство по IPv6. Независимо от того, являетесь ли вы системным администратором, развертывающим его в продакшене, разработчиком, создающим приложения с поддержкой IPv6, или студентом, изучающим основы сетевых технологий, — это руководство охватывает всё, что вам нужно знать.
TL;DR - Краткое резюме
Ключевые моменты:
- IPv6 использует 128-битные адреса (всего 340 ундециллионов) против 32-битных адресов IPv4 (4,3 миллиарда)
- Ключевые улучшения: не требуется NAT, встроенный IPsec, автоматическая конфигурация (SLAAC)
- Типы адресов: global unicast (публичные), link-local (локальные), unique local (частные)
- Dual-stack (одновременная работа IPv4+IPv6) — рекомендуемый подход миграции
- ICMPv6 обязателен — его блокировка нарушает функциональность IPv6
Перейти к: Что такое IPv6 | Адреса | Настройка | Безопасность | Миграция
Как пользоваться этим руководством#
Это сводная страница — всеобъемлющая дорожная карта, которая ссылается на подробные статьи по конкретным темам. Начните здесь, чтобы понять общую картину, а затем углубитесь в статьи, которые наиболее важны для ваших потребностей.
Если вы новичок в IPv6: Прочитайте эту страницу сверху донизу, затем последовательно изучите статьи по основам. Статья Основы IPv6 — ваша отправная точка.
Если вы развертываете IPv6: Переходите к разделам конфигурации и миграции. Статьи Руководство по Dual-Stack и Стратегии миграции помогут вам быстро начать работу.
Если вы разработчик: Сосредоточьтесь на разделах адресации, DNS и разработки. Статья IPv6 для разработчиков охватывает вопросы API и распространенные подводные камни.
Если вы устраняете неполадки: Переходите к разделам диагностических инструментов и устранения неполадок. Наши инструменты Ping, Traceroute и MTR работают через IPv6.
Что такое IPv6?#
Адреса IPv4 закончились. Не «могут закончиться» — они действительно закончились. IANA выделила последние блоки в 2011 году. С тех пор мы обходим исчерпание с помощью NAT, операторского NAT и всё более сложных костылей.
IPv6 использует 128-битные адреса вместо 32-битных адресов IPv4. Это 340 282 366 920 938 463 463 374 607 431 768 211 456 адресов. Прописью: триста сорок ундециллионов. Они не закончатся.
Но редизайн протокола исправил не только адресное пространство. IPv6 устраняет NAT, упрощает обработку заголовков для более быстрой маршрутизации, включает IPsec изначально и добавляет автоконфигурацию без состояния, чтобы устройства могли настраиваться без DHCP.
Адрес IPv6 выглядит так: 2001:0db8:85a3:0000:0000:8a2e:0370:7334. Восемь групп шестнадцатеричных цифр, разделенных двоеточиями. Правила сжатия позволяют сократить его до 2001:db8:85a3::8a2e:370:7334, делая адреса более управляемыми.
Начните здесь
Прочитайте Основы IPv6 для полного введения в адресацию IPv6, правила сжатия и ключевые улучшения протокола по сравнению с IPv4.
Понимание адресов IPv6#
Адреса IPv6 иерархические и структурированные. Первые 64 бита обычно идентифицируют сеть, а последние 64 бита идентифицируют интерфейс. Это четкое разделение делает маршрутизацию быстрее, а подсети проще.
Но не все адреса IPv6 одинаковы. Разные типы адресов служат разным целям:
- Глобальные unicast-адреса (
2000::/3) маршрутизируются в публичном Интернете - Link-local адреса (
fe80::/10) работают только в локальном сегменте сети - Уникальные локальные адреса (
fc00::/7) — это частные адреса, как RFC 1918 в IPv4 - Multicast-адреса (
ff00::/8) доставляют пакеты группам хостов - Специальные адреса вроде
::1для loopback и::для неопределенного
Каждый тип решает конкретные задачи. Link-local адреса позволяют устройствам общаться до получения глобальных адресов. Multicast заменяет широковещание IPv4, уменьшая шум в сети. Понимание, какой тип адреса использовать в разных сценариях, фундаментально для работы с IPv6.
Подсети в IPv6 работают на границах полубайтов (4-битные блоки) из-за шестнадцатеричной нотации. Типичный дом или бизнес получает выделение /48, предоставляющее 65 536 подсетей /64. Это больше подсетей, чем большинство организаций имеют IPv4-адресов в целом.
Глубокое погружение в адреса
- Типы адресов IPv6 — Полная разбивка unicast, multicast, anycast и специальных адресов
- Руководство по подсетям IPv6 — Научитесь эффективно делить адресное пространство с практическими примерами
Как работает IPv6#
IPv6 заменил несколько протоколов IPv4 более чистыми решениями. Понимание этих основных механизмов помогает настраивать, устранять неполадки и оптимизировать сети IPv6.
ICMPv6: больше, чем сообщения об ошибках#
В IPv4 ICMP обрабатывает сообщения об ошибках и ping. ICMPv6 в IPv6 делает это плюс обнаружение соседей, обнаружение маршрутизаторов, определение path MTU и многое другое. Он необходим — заблокируйте ICMPv6 на брандмауэре, и IPv6 перестанет работать.
ICMPv6 включает протокол обнаружения соседей (NDP), который заменяет ARP. Вместо широковещательной рассылки «у кого есть этот IP-адрес?» всем хостам, NDP использует целевой multicast. Это эффективнее и безопаснее (особенно с расширениями Secure Neighbor Discovery).
Сообщения Router Advertisement позволяют маршрутизаторам автоматически объявлять сетевые префиксы. Устройства прослушивают эти объявления и настраиваются без ручного вмешательства или DHCP.
Подробнее: ICMPv6 объяснен охватывает сообщения об ошибках, NDP, обнаружение маршрутизаторов и почему нельзя блокировать ICMPv6.
Автоконфигурация адресов#
Устройства IPv6 могут настраиваться сами с помощью SLAAC (Stateless Address Autoconfiguration). Вот что происходит, когда вы подключаете кабель Ethernet:
- Интерфейс генерирует link-local адрес (
fe80::/10) - Он отправляет Neighbor Solicitation, чтобы проверить уникальность адреса
- Он прослушивает Router Advertisement от локального маршрутизатора
- Маршрутизатор объявляет сетевой префикс (например,
2001:db8:1::/64) - Устройство комбинирует префикс с сгенерированным идентификатором интерфейса
- Теперь у него есть глобальный unicast-адрес и известен шлюз по умолчанию
DHCP-сервер не требуется. Устройство настроилось само за секунды.
Вы всё ещё можете использовать DHCPv6 для централизованного управления, назначения DNS-серверов или других опций. Многие сети запускают SLAAC и DHCPv6 вместе. SLAAC обрабатывает базовую связность; DHCPv6 предоставляет дополнительную конфигурацию.
Подробнее: DHCPv6 vs SLAAC объясняет, когда использовать каждый подход и как запускать их вместе.
Настройка IPv6#
Включение IPv6 зависит от вашей операционной системы и настройки сети. Большинство современных систем поддерживают dual-stack (IPv4 и IPv6 одновременно) из коробки. Обычно вам нужно только включить его и настроить маршрутизатор.
Поддержка операционных систем#
Windows, macOS, Linux, iOS и Android — все поставляются с включенным IPv6 по умолчанию. Корпоративные системы вроде FreeBSD, OpenBSD и корпоративных дистрибутивов Linux имеют надежную поддержку IPv6. Синтаксис конфигурации варьируется, но концепции идентичны.
Общие задачи включают:
- Включение IPv6 на сетевых интерфейсах
- Настройку статических адресов или SLAAC
- Настройку маршрутизации и шлюзов по умолчанию
- Настройку DNS-резолверов, поддерживающих AAAA-записи
- Настройку брандмауэров для разрешения ICMPv6
Подробнее: Как включить IPv6 предоставляет пошаговые инструкции для Windows, macOS, Linux и различных серверных платформ.
DNS и IPv6#
DNS-записи для IPv6 используют AAAA-записи (произносится «quad-A») вместо A-записей. AAAA-запись сопоставляет имя хоста с адресом IPv6, как A-запись сопоставляет с адресом IPv4.
Клиенты обычно запрашивают A и AAAA-записи одновременно. Если у сервера есть адреса IPv4 и IPv6, клиент предпочитает IPv6 (следуя алгоритму Happy Eyeballs для быстрого возврата к IPv4, если IPv6 не работает).
Обратный DNS использует ip6.arpa вместо in-addr.arpa. Адрес переворачивается на уровне полубайтов, что выглядит странно сначала, но следует той же иерархической модели делегирования, что и IPv4.
DNS64 — это специальный механизм, который синтезирует AAAA-записи из A-записей, позволяя клиентам только с IPv6 достигать серверов только с IPv4. Он обычно развертывается в мобильных сетях с инфраструктурой только на IPv6.
Подробнее: Конфигурация DNS для IPv6 охватывает AAAA-записи, обратный DNS, DNS64 и конфигурацию резолверов.
Безопасность IPv6#
IPv6 не является автоматически более или менее безопасным, чем IPv4. Он устраняет некоторые уязвимости IPv4 (например, спуфинг ARP) и вводит новые соображения (например, огромное адресное пространство делает сканирование более трудным, но возможно исчерпание кеша NDP).
Основы безопасности#
Огромное адресное пространство делает слепое сканирование непрактичным. Атакующему, пытающемуся найти хосты путем сканирования каждого адреса в подсети /64, потребуется 584 миллиона лет при скорости миллиард адресов в секунду. Но целевые атаки с использованием предсказуемых схем адресации всё ещё работают.
Поддержка IPsec встроена в IPv6 изначально. В IPv4 IPsec был добавлен позже и никогда не получил широкого распространения за пределами VPN. Более чистая интеграция IPsec в IPv6 упрощает зашифрованную связь — хотя она всё ещё не универсальна.
Расширенные заголовки обеспечивают гибкость, но создают поверхность атаки. Брандмауэры и маршрутизаторы должны обрабатывать их аккуратно. Некоторые сети полностью отбрасывают пакеты с расширенными заголовками, что нарушает легитимные варианты использования, такие как фрагментация.
Подробнее: Соображения безопасности IPv6 охватывает векторы атак, стратегии защиты и распространенные ошибки безопасности.
Правила брандмауэра#
Брандмауэры IPv6 работают как брандмауэры IPv4, но с критическими различиями. Вы должны разрешить типы ICMPv6 133-137 (Neighbor Discovery и Router Advertisement), иначе IPv6 перестанет работать. Блокировка всего ICMPv6 не вариант.
Политики отказа по умолчанию работают так же: блокируйте всё входящее, кроме установленных соединений и явно разрешенных сервисов. Глобальные unicast-адреса на ваших внутренних хостах маршрутизируемы, поэтому правила брандмауэра важнее, чем в средах IPv4 NAT.
Многие организации изначально запускают брандмауэры IPv6 в режиме обучения, логируя весь трафик для понимания легитимных паттернов перед применением правил отказа. Это предотвращает нарушение неожиданных сервисов.
Подробнее: Конфигурация брандмауэра IPv6 включает примеры правил брандмауэра для распространенных платформ и сервисов.
Расширения конфиденциальности#
Идентификаторы интерфейсов на основе MAC раскрывают аппаратные адреса в сетях. Если ваш ноутбук генерирует один и тот же идентификатор интерфейса везде, наблюдатели могут отслеживать вас в разных сетях, даже если префикс меняется.
Расширения конфиденциальности (RFC 4941) решают это, генерируя случайные идентификаторы интерфейсов, которые периодически меняются. Windows, macOS, iOS и Android включают это по умолчанию. Дистрибутивы Linux варьируются — некоторые включают, некоторые нет.
Для серверов стабильные адреса имеют больше смысла. Для пользовательских устройств расширения конфиденциальности уменьшают отслеживание. Выбирайте в зависимости от вашего случая использования.
Подробнее: Расширения конфиденциальности IPv6 объясняет риски отслеживания и механизмы защиты конфиденциальности.
Стратегии миграции#
Вы не переключаете выключатель и не конвертируете в IPv6 за одну ночь. Миграция происходит постепенно с использованием dual-stack, туннелирования или механизмов трансляции.
Dual-Stack: запускайте оба#
Наиболее распространенный подход — запускать IPv4 и IPv6 одновременно в одной сети. Каждое устройство имеет адреса обоих типов. Приложения предпочитают IPv6, когда доступно, и возвращаются к IPv4, когда необходимо.
Dual-stack прямолинеен, но требует адресного пространства для обоих протоколов. Вам нужны IPv4-адреса для обратной совместимости и IPv6-адреса для будущего. Со временем вы можете прекратить использование IPv4 по мере того, как сервисы и клиенты поддерживают исключительно IPv6.
Большинство подключенных к Интернету сетей сегодня работают в режиме dual-stack. Облачные провайдеры вроде AWS, Google Cloud и Azure поддерживают его. CDN вроде Cloudflare доставляют контент через оба протокола. Ваша инфраструктура тоже должна.
Подробнее: Руководство по Dual-Stack IPv4/IPv6 охватывает планирование развертывания, конфигурацию маршрутизации и распространенные проблемы.
Туннелирование и трансляция#
Когда dual-stack невозможен, туннелирование инкапсулирует пакеты IPv6 внутрь IPv4 (или наоборот). Туннели позволяют изолированным сетям IPv6 общаться через инфраструктуру только с IPv4.
Распространенные протоколы туннелирования:
- 6to4: Автоматическое туннелирование с использованием публичных IPv4-адресов
- 6rd: Туннелирование, управляемое ISP, для быстрого развертывания IPv6
- Teredo: Туннелирование через NAT (устарело, заменено лучшими вариантами)
- 6in4: Ручное туннелирование для соединений точка-точка
Механизмы трансляции вроде NAT64 и DNS64 позволяют клиентам только с IPv6 достигать серверов только с IPv4. Мобильные операторы используют это интенсивно — многие телефоны работают только с IPv6 в сотовой сети и переводят в IPv4 только при необходимости.
Подробнее: Стратегии миграции IPv6 объясняет все механизмы миграции со сценариями развертывания и рекомендациями.
IPv6 в продакшене#
Развертывание IPv6 в продакшене требует планирования помимо простого включения на маршрутизаторах. Вам нужен работающий DNS, мониторинг, логирование, поддержка приложений и четкие планы отката.
Поддержка облачных платформ#
Основные облачные провайдеры поддерживают IPv6 с различной степенью интеграции:
- AWS: VPC поддерживает dual-stack, большинство сервисов поддерживают IPv6, некоторые требуют конфигурации
- Google Cloud: Dual-stack VPC по умолчанию, отличная поддержка IPv6 во всех сервисах
- Azure: Поддержка dual-stack, региональная доступность варьируется
- DigitalOcean: IPv6 на всех дроплетах, простая конфигурация
- Hetzner: Нативная поддержка IPv6, выделения /64 стандартны
Облачное развертывание часто проще, чем on-premises, потому что провайдер обрабатывает маршрутизацию и выделение адресов. Вы настраиваете свои инстансы и группы безопасности для работы dual-stack.
Подробнее: IPv6 в облаке охватывает специфику конфигурации для основных облачных платформ.
Лучшие практики#
Продакшн-развертывание IPv6 следует паттернам, которые минимизируют риск и максимизируют совместимость:
- Запускайте dual-stack везде, где возможно
- Используйте стабильные адреса для серверов, расширения конфиденциальности для клиентов
- Разрешайте необходимые типы ICMPv6 на брандмауэрах
- Настройте мониторинг для обоих семейств адресов
- Тестируйте совместимость приложений перед продакшн-развертыванием
- Реализуйте DNS AAAA-записи вместе с A-записями
- Документируйте ваш план выделения адресов
Многие организации сначала развертывают IPv6 на новой инфраструктуре, получая опыт перед миграцией критических систем. Этот поэтапный подход снижает риск при построении институциональных знаний.
Подробнее: Лучшие практики IPv6 предоставляет всеобъемлющий чек-лист для продакшн-развертывания.
Соображения для разработчиков#
Приложениям нужны обновления для правильной поддержки IPv6. Большинство сетевых библиотек поддерживают dual-stack, но код, предполагающий 32-битные адреса или разбирающий нотацию с точками, ломается.
Распространенные проблемы:
- Жестко закодированные IPv4-адреса в конфигурации
- Парсинг строк, ожидающий точки вместо двоеточий
- Поля базы данных слишком малы для адресов IPv6 (используйте VARCHAR(45) минимум)
- Логирование и мониторинг, отслеживающие только IPv4
- Код сокетов, не пытающийся оба семейства адресов
Алгоритм Happy Eyeballs (RFC 8305) изящно обрабатывает dual-stack соединения. Попробуйте IPv6 сначала, быстро возвращайтесь к IPv4, если не работает. Современные HTTP-библиотеки реализуют это автоматически.
Подробнее: IPv6 для разработчиков охватывает изменения API, распространенные подводные камни и стратегии тестирования.
Устранение неполадок IPv6#
Диагностические инструменты для IPv6 работают как их аналоги IPv4, но используют разные протоколы и форматы адресов.
Основные инструменты#
- ping6: Отправка ICMPv6 echo-запросов, проверка связности
- traceroute6: Отображение пути, который проходят пакеты через сеть
- mtr: Комбинирует ping и traceroute со статистикой в реальном времени
- nslookup/dig: Запрос AAAA-записей и проверка конфигурации DNS
- tcpdump/wireshark: Захват и анализ пакетов, включая ICMPv6
Все эти инструменты доступны на ping6.net:
- Инструмент IPv6 Ping — Проверка доступности с детальной статистикой
- Инструмент IPv6 Traceroute — Трассировка путей пакетов с задержкой на каждом хопе
- Инструмент IPv6 MTR — Диагностика сети в реальном времени с обнаружением потери пакетов
- Поиск DNS для IPv6 — Запрос AAAA-записей и проверка конфигурации DNS
Распространенные проблемы#
Нет IPv6-связности: Проверьте, имеет ли ваш интерфейс глобальный unicast-адрес, убедитесь, что Router Advertisement получаются, подтвердите, что ваш ISP предоставляет IPv6.
Прерывистые сбои: Часто вызваны проблемами определения path MTU. Убедитесь, что сообщения ICMPv6 типа 2 (Packet Too Big) не блокируются.
Медленные соединения: Обычно означает, что IPv6 не работает, и приложения возвращаются к IPv4 после таймаутов. Исправьте IPv6-связность или полностью отключите её.
Сбои разрешения DNS: Проверьте, возвращает ли ваш резолвер AAAA-записи, убедитесь, что авторитетный DNS-сервер имеет правильные записи, протестируйте с несколькими резолверами.
Подробнее: Руководство по устранению неполадок IPv6 проходит через систематическую диагностику распространенных проблем.
Индекс статей#
Все статьи организованы по категориям для удобной навигации. Это ваша дорожная карта к глубокой экспертизе в IPv6.
Основы#
Начните здесь, если вы новичок в IPv6 или нуждаетесь во всеобъемлющей основе.
| Статья | Описание | Уровень |
|---|---|---|
| Основы IPv6 | Основные концепции, формат адресов, правила сжатия и улучшения протокола | Начинающий |
| Типы адресов IPv6 | Глобальные unicast, link-local, multicast, anycast и специальные адреса | Начинающий |
| Руководство по подсетям IPv6 | Выделение подсетей, планирование адресов и практические примеры | Средний |
| ICMPv6 объяснен | Сообщения об ошибках, NDP, обнаружение маршрутизаторов и почему ICMPv6 необходим | Средний |
Конфигурация#
Практические руководства по включению и настройке IPv6 на реальных системах.
| Статья | Описание | Уровень |
|---|---|---|
| Как включить IPv6 | Пошаговые инструкции для Windows, macOS, Linux и серверов | Начинающий |
| DHCPv6 vs SLAAC | Автоконфигурация без состояния и с состоянием, когда использовать каждую | Средний |
| Конфигурация DNS для IPv6 | AAAA-записи, обратный DNS, DNS64 и настройка резолверов | Средний |
Безопасность#
Защитите ваши сети IPv6 и понимайте ландшафт безопасности.
| Статья | Описание | Уровень |
|---|---|---|
| Соображения безопасности IPv6 | Векторы атак, стратегии защиты и лучшие практики безопасности | Средний |
| Конфигурация брандмауэра IPv6 | Правила брандмауэра, требования ICMPv6 и примеры конфигураций | Средний |
| Расширения конфиденциальности IPv6 | Риски отслеживания, расширения конфиденциальности и временные адреса | Средний |
Миграция#
Переходите от IPv4 к IPv6 с уверенностью, используя проверенные стратегии.
| Статья | Описание | Уровень |
|---|---|---|
| Стратегии миграции IPv6 | Обзор dual-stack, туннелирования и механизмов трансляции | Средний |
| Руководство по Dual-Stack IPv4/IPv6 | Развертывание обоих протоколов одновременно с детальными примерами | Средний |
Продакшн-развертывание#
Переводите IPv6 из лаборатории в продакшн с уверенностью.
| Статья | Описание | Уровень |
|---|---|---|
| IPv6 в облаке | Специфические руководства по платформам для AWS, GCP, Azure и других | Средний |
| Лучшие практики IPv6 | Чек-лист продакшн-развертывания и проверенные паттерны | Продвинутый |
| IPv6 для разработчиков | Соображения API, изменения кода и стратегии тестирования | Средний |
Устранение неполадок#
Диагностируйте и исправляйте проблемы IPv6 с систематическими подходами.
| Статья | Описание | Уровень |
|---|---|---|
| Руководство по устранению неполадок IPv6 | Систематическая диагностика проблем связности, DNS и маршрутизации | Средний |
Проверьте ваше понимание#
Чтение об IPv6 строит знания. Использование его строит опыт. Наши инструменты позволяют практиковать то, что вы изучили:
Диагностические инструменты#
- IPv6 Ping — Тестирование базовой связности и измерение задержки
- IPv6 Traceroute — Трассировка путей пакетов через Интернет
- IPv6 MTR — Непрерывный мониторинг с обнаружением потери пакетов
- Поиск DNS для IPv6 — Запрос AAAA-записей и проверка конфигурации DNS
Обучающие инструменты#
- Валидатор IPv6 — Практика нотации адресов и правил сжатия
- Калькулятор подсетей IPv6 — Расчет границ подсетей и диапазонов адресов
Проверьте ваше соединение#
- Какой мой IPv6-адрес? — Узнайте, подключены ли вы через IPv6
- Отображение IPv6 — Визуализация структуры адресов и иерархии
Следующие шаги#
Вы достигли конца сводного руководства. Вот как продолжить ваше путешествие по IPv6:
Для начинающих: Начните с Основ IPv6, затем изучите Типы адресов и Подсети. Практикуйтесь с нашим Валидатором, пока нотация адресов не станет естественной.
Для системных администраторов: Прочитайте Как включить IPv6, затем ознакомьтесь с Руководством по Dual-Stack и Стратегиями миграции. Используйте наши диагностические инструменты для тестирования вашего развертывания.
Для разработчиков: Сосредоточьтесь на IPv6 для разработчиков и тестируйте ваши приложения с dual-stack связностью. Проверьте разрешение DNS, обработку сокетов и логирование.
Для специалистов по безопасности: Изучите Безопасность IPv6 и Конфигурацию брандмауэра. Просмотрите ваши правила брандмауэра, чтобы убедиться, что типы ICMPv6 133-137 разрешены.
Интернет переходит на IPv6. Вопрос не в том, развернете ли вы его, а когда. Это руководство дает вам всё необходимое для успешного развертывания.
Оставайтесь на связи
IPv6 — это развивающаяся экосистема. Новые RFC, паттерны развертывания и лучшие практики появляются регулярно. Это руководство обновляется, чтобы отражать текущие лучшие практики и опыт реального развертывания.